FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 18 mai 2021IT-Connect

Microsoft Teams : la version gratuite bénéficie de nouvelles fonctionnalités

18 mai 2021 à 13:54

Depuis début 2020, de plus en plus d'entreprises et d'établissements scolaires adoptent Microsoft Teams pour faciliter le travail collaboratif en télétravail ou pour les cours en ligne. Désormais, Microsoft Teams Personnel s'enrichit de nouvelles fonctionnalités pour la version gratuite, destinée à un usage personnel.

Après plusieurs mois de tests, Microsoft a décidé de mettre en ligne de nombreuses fonctionnalités à destination de la version gratuite de Teams, pour un usage personnel donc. Aujourd'hui, Teams rassemble près de 145 millions d'utilisateurs actifs et ce chiffre devrait continuer d'augmenter suite aux annonces de Microsoft.

L'accès à Microsoft Teams pour le grand public n'est pas nouveau. Néanmoins, les fonctionnalités étaient très limitées puisqu'il était seulement possible d'utiliser le chat et la visioconférence.

Désormais, Microsoft Teams Personnel intègre des fonctionnalités que l'on retrouve sur la version professionnelle et payante. Voici la liste des fonctions gratuites :

✔ Démarrer un chat avec une personne ou un groupe de personnes (jusqu'à 250 participants)

✔ Synchronisation des conversations entre tous les appareils, notamment entre l'ordinateur et le smartphone

✔ Le partage de fichiers, notamment des photos et des vidéos

✔ L'agenda partagé

✔ Les sondages

✔ Visioconférences en ligne avec l'utilisation des modes "Gallery view" et "Together mode"

✔ Appels à deux participants limités à 24 heures et les appels de groupe sont limités à 1 heure

✔ Utilisation des réactions en live et des GIFs

✔ Gestion des tâches

D'autres fonctionnalités devraient être déployées par la suite par Microsoft. Il y a une fonctionnalité en cours de test aux États-Unis et au Canada qui permet de démarrer une conversation avec une personne qui n'a pas encore Teams. Elle pourra répondre par SMS pour participer à la conversation sans même avoir à installer Teams.

Ces nouvelles fonctionnalités sont disponibles dès maintenant, aussi bien sur le mode Web, que les clients Desktop et les applications mobiles pour iOS et Android. À partir du client Teams, vous pouvez basculer facilement entre votre compte professionnel et votre compte personnel. Les données quant à elles sont bien sûr isolées et non partagées entre les deux environnements.

Maintenant que de nombreuses personnes sont habituées à utiliser Teams au travail ou en formation, il ne serait pas étonnant que l'utilisation dans le cadre privé de Teams explose.... De quoi faire de l'ombre à des applications comme WhatsApp ou Facebook Messenger ? Pourquoi pas... Qu'en pensez-vous ?

Source

The post Microsoft Teams : la version gratuite bénéficie de nouvelles fonctionnalités first appeared on IT-Connect.

Office 365 : comment améliorer la délivrabilité et la sécurité de vos e-mails ?

18 mai 2021 à 13:00

I. Présentation

Que ce soit avec Office 365 et Exchange Online, ou une autre solution de messagerie, lorsque l'on parle d'e-mails, il y a deux termes qui reviennent encore et encore, constamment : sécurité et délivrabilité.

En tant qu’administrateur infrastructure, on souhaite éviter autant que possible de recevoir les mails de type spam, phishing, contenant des pièces jointes frauduleuses. Alors on met en place des filtres anti-phishing, antispam. On cherche aussi à sécuriser les e-mails au départ de notre serveur de messagerie, et faire en sorte qu’ils soient sains. Et puis on souhaite enfin s’assurer que nos mails passent les filtres de sécurité des serveurs de messagerie distants sans encombre, et arrivent directement dans la boîte mail du destinataire, sans passer par la case spam.

Avec Office 365, il y a plusieurs manières (complémentaires) d’arriver à nos fins. L’une d’entre elles est de passer par le trio gagnant des enregistrements DNS : « SPF », « DKIM » et « DMARC ».

II. Prérequis

III. Pourquoi l’enregistrement SPF n’est pas suffisant ?

Bon, je vous vois venir, vous allez me dire que lorsque vous configurez un nouveau domaine dans Office 365, vous devez obligatoirement configurer un enregistrement SPF dans votre zone DNS, et que cet enregistrement sert déjà à améliorer la sécurité et la délivrabilité de vos mails. Alors, à quoi bon s’embêter avec DKIM et DMARC ?

On va la faire courte : SPF est bien entendu nécessaire, mais n’est absolument pas suffisant. C’est là que DKIM et DMARC entrent en jeu.

Je vous explique.

A. SPF – Comment ça marche ?

SPF (ou Sender Policy Framework) est une norme adoptée à l’international qui permet de réduire les spams au niveau de votre serveur.

Concrètement, l’enregistrement SPF sert à authentifier l’expéditeur d’un courrier électronique. Cela permet de vérifier que le serveur qui envoie un mail à partir d’une adresse mail en @mondomaine.com est bien un serveur légitime.

Le nom de domaine de l’émetteur est extrait de l’en-tête du mail reçu (« MAIL FROM : »), et une requête DNS est émise sur ce domaine pour connaître la liste des serveurs de messagerie légitimes qui peuvent émettre des mails pour ce domaine précis. On compare alors cette liste de serveurs à l’adresse IP du serveur qui a émis le message.

Par exemple dans mon cas, comme mes domaines sont configurés sur Office 365, seuls les serveurs Exchange Online du tenant Office 365 sont autorisés à envoyer des mails à mon nom.

Du coup, si jamais quelqu’un essaye de se faire passer pour moi en envoyant un mail en mon nom, son serveur ne sera pas reconnu comme légitime et le mail pourra donc être classifié comme mail frauduleux / spam.

SPF est donc devenu un indispensable pour :

  • Augmenter la délivrabilité globale de ses mails
  • Se défendre contre l’usurpation d’identité de domaine, ainsi que l’usurpation d’adresse électronique (mail)

Cependant, SPF ne sait pas gérer les transferts de mail, et c’est là que les enregistrements DKIM entrent en jeu.

B. SPF – Les bonnes pratiques

L’enregistrement SPF est un enregistrement dans votre zone DNS publique de type TXT qui contient la liste des serveurs de messagerie autorisés à envoyer un mail pour votre domaine.

Voici une bonne pratique à respecter en toute circonstance : incluez toujours vos serveurs sous la forme server.mondomaine.com, ne listez pas les adresses IP une par une.

A. Vérifier la configuration SPF

Vous pouvez vérifier la validité de votre enregistrement SPF en utilisant cet outil gratuit.

Renseignez dans le champ votre nom de domaine, puis cliquez sur le bouton « Valider DNS ».

Vous obtiendrez alors un résultat complet de l’analyse de votre enregistrement SPF.

Dans mon cas, ma configuration SPF est validée, et le serveur spf.protection.outlook.com (correspondant à Office 365) est bien celui qui est déclaré. Tout est parfait! 🙂

 

IV. Comprendre et configurer DKIM

A. DKIM – Comment ça marche ?

DKIM est un acronyme pour Domain Keys Identified Mail. Cette technologie permet d’envoyer un message chiffré, et de s’assurer que celui-ci n’a subi aucune altération durant sa transition entre le serveur émetteur et le serveur récepteur.

Rassurez-vous, le contenu du mail n’est pas chiffré, et votre destinataire pourra continuer à lire le message sans vous demander de clé de déchiffrement.

Au moment où vous envoyez votre mail, le serveur émetteur le chiffre via sa clé DKIM privée. Le serveur récepteur va lui vérifier la clé DKIM publique (l’enregistrement DKIM de votre zone DNS), et comparer celle-ci avec ce qu’il a reçu. Si le test est concluant, alors le serveur émetteur est bien qui il prétend être, l’identité de l’émetteur est prouvée et le mail peut donc être délivré dans la boîte mail du destinataire.

DKIM permet donc de s’affranchir des attaques de type « man in the middle ».

Note : Cette signature DKIM se gère dans l’en-tête du mail envoyé. Cela est donc transparent pour l’utilisateur final. Comme cette signature reste dans l’en-tête, cela permet de continuer à certifier l’exactitude du mail initial si celui-ci est transféré à une tierce personne.

 

B. Pourquoi DKIM est aujourd’hui indispensable ?

Je vous conseille fortement de mettre en place DKIM en plus de vos enregistrements SPF. Pourquoi ?

Parce que DKIM prouve que le contenu du mail ainsi que les en-têtes n’ont subi aucune altération : le mail est donc authentique et légitime : personne ne l'a envoyé à votre place, et le serveur de messagerie distant est maintenant en capacité de le vérifier.

C. Configuration de DKIM pour votre domaine

Tout d’abord, ouvrez une console PowerShell et commencez par vous connecter à votre serveur Exchange Online :

Import-Module ExchangeOnlineManagement

Connect-ExchangeOnline

Avant de commencer, vérifions ensemble que mondomaine.com soit bien déclaré comme un nom de domaine utilisable par Exchange :

Get-AcceptedDomain

Vous devriez voir mondomaine.com dans la liste.

Nous allons ensuite initialiser la configuration DKIM de notre nom de domaine mondomaine.com :

New-DkimSigningConfig -DomainName mondomaine.com -Enabled $false

 

Note : Vous pouvez utiliser le paramètre -Keysize 2048 dans la commande précédente, pour forcer la taille de votre clé DKIM à 2048 bits. Pas de panique toutefois, si vous ne l'avez pas fait, vous pourrez toujours y apporter des modifications plus tard en production.

Bien. Maintenant, il nous reste à générer les enregistrements DNS « DKIM » que nous devrons ajouter dans notre zone DNS publique.

Pour cela, tapez la commande :

Get-DkimSigningConfig -Identity mondomaine.com | Format-List Selector1CNAME, Selector2CNAME

Dans mon cas, je vais donc devoir créer 2 enregistrements CNAME sur ma zone DNS :

Prenons 30 secondes pour analyser la structure des enregistrements selector1 et selector2 à créer. Ces deux enregistrements se composent comme suit :

selector<id>-<domaine>-<extension>._domainkey.<tenantOffice365>.onmicrosoft.com

Pour le domaine mondomaine.com, cela donnerait donc :

  • selector1-mondomaine-com._domainkey.mondomaine.onmicrosoft.com
  • selector2-mondomaine-com._domainkey.mondomaine.onmicrosoft.com

Il ne nous reste plus qu'à créer ces deux enregistrements CNAME dans notre zone DNS avec le paramétrage suivant :

  • Nom : selector1._domainkey & selector2._domainkey
  • TTL : 3 600 secondes

Note : Pensez bien à ajouter un point (.) à la fin du nom de domaine, pour indiquer que vous souhaitez pointer vers selector1-mondomaine-com._domainkey.mondomaine.onmicrosoft.com (domaine externe).

 

Attendez maintenant quelques secondes, le temps que votre zone DNS se réplique, puis lancez la commande suivante afin d’activer l’utilisation de DKIM pour mondomaine.com.

Set-DkimSigningConfig -Identity mondomaine.com -Enabled $true

Note : Si vous obtenez une erreur, soit une faute s’est glissée dans votre enregistrement DNS de type CNAME (pensez à bien vérifier le point final), soit vous n’avez pas attendu assez longtemps pour que la réplication de votre zone DNS soit effectuée.

D. Vérifier la configuration DKIM

Pour vérifier la bonne configuration de DKIM sur votre domaine, je vous conseille d’utiliser ce lien.

Renseignez l’un des 2 sélecteurs configurés, ainsi que votre nom de domaine, puis cliquez sur le bouton « Valider DNS ».

Note : Ne saisissez que selector1, l'outil va compléter automatiquement le reste de l'enregistrement DNS. Si vous saisissez selector1._domainkey, le test échouera.

Vous pouvez donc voir que dans mon cas l’enregistrement DKIM du sélecteur 1 est valide.

Note : Pensez bien à refaire cette étape pour chacun des sélecteurs DKIM configurés pour votre domaine.

Vous pouvez également, lorsque vous êtes connectés à votre serveur Exchange en PowerShell, exécuter la commande suivante :

Get-DkimSigningConfig -Identity mondomaine.com

Je n'obtiens pas d'erreur, mon domaine est donc correctement configuré avec DKIM.

V. Comprendre & configurer DMARC

A. DMARC – Comment ça marche ?

DMARC est un acronyme pour Domain-based Message Authentication, Reporting, and Conformance. DMARC utilise SPF et DKIM pour authentifier les expéditeurs d’emails, et fournit une protection supplémentaire.

En effet, SPF et DKIM permettent d’authentifier un expéditeur (ou non). Mais ils ne donnent aucune indication sur la conduite à tenir dans le cas d’une usurpation d’identité avérée.

C’est là que DMARC entre en jeu : lorsqu’on configure cet enregistrement DNS, on lui indique une politique à tenir. Cela permet au serveur de messagerie de savoir quoi faire de ces mails : faut-il les rejeter ? les mettre en quarantaine ? Ne rien faire mais l’historiser ?

A vous de le décider, et ça se passe dans DMARC.

B. Configuration de DMARC pour votre domaine

Afin de configurer DMARC pour votre domaine, il n’est pas nécessaire de faire des manipulations PowerShell : tout se passe dans votre zone DNS.

Il vous faut créer l’enregistrement TXT suivant dans votre zone DNS :

  • Type : TXT
  • Nom : _dmarc
  • TTL : 3 600 secondes
  • Valeur : « v=DMARC1 ; p=<policy>; rua=mailto:[email protected]; pct=100; adkim=s; aspf=s »

Quelques explications :

Pct=100 indique que cette règle s’applique à 100% des emails.

adkim=s indique que la règle d'alignement avec DKIM est stricte. Seuls les mails partant du domaine mondomaine.com sont valides. Les mails en provenance d'un sous-domaine de mondomaine.com ne sont pas considérés comme valides.

aspf=s indique que la règle d'alignement avec SPF est stricte. L'en-tête "De" du mail doit correspondre exactement au nom de domaine de la commande SMTP "MAIL FROM".

Le paramètre rua est optionnel. Si vous l'indiquez comme ici, cela permettra d'envoyer des rapports sur l'activité DMARC à l'adresse mail [email protected].

Vous pouvez remplacer <policy> par 3 valeurs. Il s’agit ici de configurer la stratégie à appliquer sur le serveur de messagerie si un mail est rejeté par DMARC :

  • None : vous êtes en mode surveillance uniquement.
  • Quarantine : les mails qui ne passent pas DMARC sont mis en quarantaine.
  • Reject : les mails qui ne passent pas DMARC sont rejetés

Note : Je vous conseille de commencer par la stratégie none. Cela vous permet d’analyser l’impact de DMARC sur les mails reçus lorsque vous le passerez en mode quarantaine. On ne sait pas exactement la quantité de messages que l’on risque de perdre (non délivrés dans la boîte de réception du destinataire) via une stratégie DMARC restrictive, commencez donc par la stratégie de surveillance « none ».

C. Vérifier la configuration DMARC

Afin de vérifier que votre enregistrement DMARC est bien configuré sur votre zone, je vous invite à utiliser ce lien.

Renseignez alors le nom du domaine à vérifier, et cliquez sur le bouton « Valider DNS ».

Si vous avez suivi mes recommandations sur l’implémentation de DMARC, vous devriez donc avoir un enregistrement présent avec une stratégie de type « none ».

VI. Et si on regardait les en-têtes de nos mails ?

Avant de nous quitter, vérifions maintenant ce qui se passe dans l’en-tête des mails en sortie de notre serveur de messagerie.

Je me suis donc envoyé un mail de mon adresse [email protected] à mon adresse Gmail personnelle, puis j’ai affiché l’intégralité du message pour pouvoir consulter l’en-tête.

On peut voir que le mail a bien été envoyé à partir d’un serveur Exchange Office365, nommé FRA01-PR2-obe.outbound.protection.outlook.com, et qu’il a été réceptionné par le serveur mx.google.com.

On peut également voir 4 mentions importantes dans la section Authentication-Results :

  • Dkim=pass
  • Arc=pass
  • Spf=pass
  • Dmarc=pass

Ces mentions indiquent que la configuration SPF, DKIM et DMARC mise en place ensemble est fonctionnelle, et que ce mail est légitime. Autrement dit :

  • Le serveur ayant envoyé le mail est bien un serveur autorisé et légitime pour envoyer des mails du domaine mondomaine.com
  • Le mail a bien été envoyé par [email protected], il n’y a donc pas d’usurpation d’identité.

 

Note : On peut également voir deux points supplémentaires :

  • L’échange du mail entre les deux serveurs de messagerie s’est bien effectué de façon sécurisée : le protocole TLS 1.2 a été utilisé pour cela.
  • La politique DMARC actuellement mise en place pour ce domaine est sur « none », comme je vous le conseille dans un premier temps. Pour l’anecdote, elle va changer dans les prochains jours pour passer en « quarantine ».

VII. Conclusion

Vous n’avez maintenant plus aucune excuse pour ne pas correctement configurer vos enregistrements SPF, DKIM et DMARC.

Et si vous êtes amenés à expliquer à vos collègues ou à votre DSI l’intérêt de configurer ces enregistrements, retenez simplement que cela :

  • Renforce la protection antispam & anti-phishing
  • Augmente la sécurité de votre serveur de messagerie
  • Permets de contrer les attaques « man in the middle » ainsi que l’usurpation de domaine et l’usurpation d’identité
  • Favorise la délivrabilité de vos mails

Sachez engin que Google, Microsoft et Yahoo travaille sur un nouveau standard pour toujours plus renforcer la sécurité et la délivrabilité des mails, j’ai nommé BIMI.

The post Office 365 : comment améliorer la délivrabilité et la sécurité de vos e-mails ? first appeared on IT-Connect.

FragAttacks : des failles WiFi qui menacent des millions d’appareils !

18 mai 2021 à 09:09

De millions d'appareils se retrouvent vulnérables à des failles de sécurité liées au Wi-Fi et qui touchent tous les protocoles, autant le WEP que le WPA3.

Le chercheur en sécurité Mathy Vanhoef (Université de New York Abu Dhabi) a dévoilé cet ensemble de failles de sécurité qu'il a baptisé FragAttacks (fragmentation and aggregation attacks). Ces failles de sécurité rendent les terminaux vulnérables, que ce soit les smartphones, les PC portables, les points d'accès sans-fil, mais aussi tous les appareils connectés de l'Internet des objets que l'on a tous, ou presque, à la maison. Le protocole WEP est vulnérable depuis longtemps à diverses failles, et il est touché par ces failles une fois de plus, mais les versions plus récentes des protocoles comme le WPA3 sont également affectées.

Comment expliquer qu'autant d'appareils et de versions de protocoles soient concernés ? Toujours d'après Mathy Vanhoef, il y a trois vulnérabilités découvertes qui sont des défauts de conception au sein de la norme WiFi. Néanmoins, elles sont difficiles à exploiter. Sa plus grande inquiétude réside dans les failles liées à des défauts d'implémentations du WiFi dans les appareils, car là les appareils eux-mêmes sont exposés directement.

D'après Mathy Vanhoef, un attaquant qui se trouve à portée d'un appareil vulnérable peut exploiter ces failles de sécurité pour réaliser une attaque et voler des données. D'ailleurs, il a publié une vidéo sur YouTube où il montre trois exemples d'exploitation de ces failles FragAttacks.

  • Intercepter des informations sensibles comme l'identifiant et le mot de passe de la victime
  • Interagir à distance avec un appareil connecté (IoT), par exemple allumer et éteindre une prise connectée
  • Prise de contrôle d'une machine sous Windows 7 sur un réseau local

Au final, on obtient un bulletin d'alerte qui regroupe un ensemble de 12 CVE dont voici la liste : CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26141, CVE-2020-26142, CVE-2020-26143, CVE-2020-26144, CVE-2020-26145, CVE-2020-26146, et CVE-2020-26147.

➡Pour en savoir plus sur ces CVE

Un site "FragAttacks" est en ligne, je vous invite à le consulter si vous souhaitez obtenir des détails techniques supplémentaires. Dans tous les cas, cela fait 9 mois qu'il a découvert ces vulnérabilités et que les différents acteurs sont au courant dans le but de préparer des correctifs de sécurité. Certains fabricants proposent déjà des correctifs depuis plusieurs mois, notamment Aruba, Cisco, Dell, Intel, Microsoft ou encore Juniper. Sur GitHub, Mathy Vanhoef a recensé les bulletins des éditeurs :

➡Bulletins liés à FragAttacks

The post FragAttacks : des failles WiFi qui menacent des millions d’appareils ! first appeared on IT-Connect.

Windows : un exploit existe pour la faille wormable située dans le pilote HTTP.sys

18 mai 2021 à 08:20

À l'occasion du Patch Tuesday de mai 2021, Microsoft a corrigé une faille de sécurité critique dans la pile du protocole HTTP et plus particulièrement dans le pilote HTTP.sys. Cette faille est dite "wormable" c'est-à-dire qu'elle peut être exploitée par un ver informatique. Désormais, il existe un exploit pour tirer profit de cette faille de sécurité.

Référencée sous le nom CVE-2021-31166, la faille de sécurité touche la pile du protocole HTTP (HTTP.sys) intégrée à Windows 10 et Windows Server. Il s'avère que la faille touche HTTP.sys, un pilote en mode noyau qui permet à Windows de gérer les requêtes HTTP. Ce pilote est exploité par IIS (serveur Web), mais aussi par WinRM pour la gestion à distance, ainsi que SSDP.

Cette vulnérabilité est désormais corrigée par Microsoft et elle touche exclusivement Windows 10 en version 2004 et 20H2, ainsi que Windows Server 2004 et 20H2 également. Pour Windows Server, cela concerne aussi les installations en mode Core. Les versions antérieures ne sont pas concernées.

Microsoft recommande de patcher toutes les machines affectées dès que possible, car un attaquant, non authentifié, peut exploiter cette faille. En exploitant cette faille, il peut exécuter du code malveillant sur votre serveur,  le tout à distance. Par "toutes les machines affectées", j'entends tous les serveurs et postes de travail qui exécutent une version de Windows concernée, et pas seulement celles qui exécutent un serveur IIS puisqu'il y a divers composants qui s'appuient sur ce pilote HTTP.sys.

CVE-2021-31166 : un exploit qui mène à un déni de service

Un chercheur en sécurité nommé Axel Souchet a publié un code de l'exploit sur GitHub en guise de proof-of-concept. Dans son exemple, l'attaque mène à un déni de service puisque la machine ciblée génère un écran bleu de la mort (BSoD).

Suite à la publication du code de cet exploit, le risque c'est qu'un ver informatique soit créé et qu'il soit en mesure de se déplacer de machine en machine en tirant profit de la faille CVE-2021-31166.

Voici le message publié par Axel Souchet sur Twitter :

I've built a PoC for CVE-2021-31166 the "HTTP Protocol Stack Remote Code Execution Vulnerability": https://t.co/8mqLCByvCp 🔥🔥pic.twitter.com/yzgUs2CQO5

— Axel Souchet (@0vercl0k) May 16, 2021

La bonne nouvelle dans tout ça, c'est que la faille de sécurité touche les toutes dernières versions de Windows 10 et Windows Server : deux versions pas forcément adoptées par les entreprises pour le moment.

A vos mises à jour ! 

Source

The post Windows : un exploit existe pour la faille wormable située dans le pilote HTTP.sys first appeared on IT-Connect.
Hier — 17 mai 2021IT-Connect

Linux – Afficher la branche Git dans le prompt

17 mai 2021 à 13:00

I. Présentation

Lorsqu’on utilise Git au quotidien pour versionner son code / ses scripts, on est souvent amené à créer des branches pour tester un bout de code, corriger un bug, le tout sans impacter le script actuel qui tourne en production.

Et pour éviter un carnage en production, nous devons redoubler de vigilance, et nous assurer de bien être sur la branche de test, et non celle de production.

Il existe des commandes Git pour vérifier cela, et pour naviguer d’une branche à l’autre. Mais on peut vite s’y perdre.

Et si je vous disais qu’il est possible de manipuler le prompt de votre terminal Linux pour afficher le nom de la branche de votre repository Git sur laquelle vous travaillez ?

Note : Si vous ne voyez pas encore l’intérêt en tant que sysadmin d’utiliser Git pour gérer vos scripts et la configuration de vos serveurs, laissez-moi vous convaincre du contraire : Git c’est l’avenir du sysadmin. Ça devient même un nouveau standard dont vous ne pouvez plus passer à côté.

II. Prérequis

Afin de suivre ce tutoriel, vous devez respecter les prérequis suivants :

  • Avoir une distribution Linux fonctionnelle, que ce soit une machine virtuelle, ou une distribution sous WSL
  • Git installé
  • Avoir créé votre premier repository Git

III. Comment modifier le prompt bash

Au lancement de votre terminal Linux, vous devriez avoir par défaut un prompt affichant :

  • Votre nom d’utilisateur
  • Le hostname de votre machine
  • Le répertoire dans lequel vous vous trouvez
  • Un $, indiquant que votre compte n’est pas un compte root

Le contenu de ce prompt est stocké dans une variable nommée PS1, pour Prompt String 1.

Vous pouvez d’ailleurs afficher le contenu de cette variable via la commande :

echo $PS1

Bon, on est d’accord, vu comme ça, c’est un peu moins parlant 😉

Note : Si l’anglais n’est pas un problème pour vous, je vous invite à consulter cet article pour tout savoir en détail sur la variable PS1.

Pour afficher le nom de la branche Git sur laquelle on travaille dans notre prompt, il nous faut donc modifier le contenu de cette variable PS1.

Et pour éviter de refaire la manipulation à chaque fois que l’on démarre un nouveau terminal, on va donc ajouter un bout de code à notre profile bash, en modifiant le fichier .bashrc :

vim ~/.bashrc

Note : le caractère ~ est un raccourci pour indiquer votre répertoire d’utilisateur. Dans mon cas, cela correspond à /home/thibault.

Déplacez-vous à la fin du fichier, et ajoutez le code suivant, puis sauvegardez :

# Configuration Git Branch – Modification prompt Linux
parse_git_branch() {
     git branch 2> /dev/null | sed -e '/^[^*]/d' -e 's/* \(.*\)/ (\1)/'
}
export PS1="\[email protected]\h \[\033[32m\]\w\[\033[33m\]\$(parse_git_branch)\[\033[00m\] $ "

 

Avant de tester le bon fonctionnement du code, quelques explications s’imposent :

La fonction parse_git_branch va extraire le nom de la branche Git sur laquelle vous vous trouvez actuellement dans votre repository Git.

Le contenu de la variable PS1 est alors modifié pour inclure le nom de la branche Git.

Si on analyse en détail le contenu de la variable PS1, on a alors les propriétés suivantes :

  • \[email protected]\h \[\033[32m\] à Affiche le nom de l’utilisateur et le hostname de la machine, avec la couleur appropriée
  • \w\[\033[33m\] à Affiche le nom du répertoire de travail actuel. Lorsque vous changez de répertoire avec la commande cd, ce contenu change également de manière dynamique.
  • \$(parse_git_branch)\[\033[00m\] à Si le répertoire de travail est un repository Git (et seulement dans ce cas-là), alors on affiche le nom de la branche Git dans laquelle nous nous trouvons actuellement.

IV. Tester le bon fonctionnement

Maintenant pour tester ça, comment faire ? Et bien, il suffit de redémarrer votre terminal pour que la fonction que l'on vient de rajouter soit prise en compte.

Jusque là, vous ne devriez voir aucun changement. Normal après tout, puisque vous vous trouvez actuellement dans un répertoire qui n'est pas tracké par Git.

Pour vérifier le fonctionnement, je me déplace dans mon dossier repository Git "scripts", qui contient deux branches :

  • master
  • test/branch

On peut voir que lorsque j'utilise la commande git checkout pour changer de branche et me déplacer entre "master" et "test/branch", mon prompt change aussi en fonction.

 

V. Conclusion

Ainsi, on sait d’un coup d’œil si le répertoire de travail est suivi par Git ou non, et si c’est le cas, on connaît également la branche (production, développement, etc) sur laquelle on travaille.

Plus aucun risque de se tromper maintenant ! 😉

The post Linux – Afficher la branche Git dans le prompt first appeared on IT-Connect.

kMeet : l’alternative européenne et écologique à Zoom et Teams

17 mai 2021 à 10:00

Si vous cherchez une alternative à Zoom ou Microsoft Teams, cet article devrait vous intéresser tout comme la solution dont je vais vous parler aujourd’hui : kMeet. 

Derrière ce nom se cache la solution de webconférence proposée par la société Infomaniak. Souvenez-vous, il y a quelques mois, je vous parlais de la possibilité d’obtenir une adresse e-mail gratuite chez eux, via le service ik.me.

Pourquoi devrait-on s’intéresser à la solution kMeet ? 

Le développement de la solution kMeet est constant et de nouvelles fonctionnalités sont ajoutées très régulièrement. Vous allez me dire, comme les autres solutions en fait. Oui, c’est vrai, mais c’est important de le signaler malgré tout. 

La solution kMeet d’Infomaniak est différente des autres. Pourquoi ? Parce qu’elle est gratuite, sécurisée notamment par du chiffrement bout-en-bout, sans publicités et elle peut s’utiliser sans inscription. Ah oui, et aussi, elle se veut respectueuse de votre vie privée. De manière générale, le respect de la vie privée est au cœur des préoccupations de la société Infomaniak avec tous ses produits. 

Autant d’avantages gratuitement, c’est bizarre non ? En tout cas, pouvoir réaliser une visio gratuitement sans réaliser la moindre inscription ou fournir d'informations à son sujet, c'est attrayant ! En fait, cette gratuité et les autres avantages associés se justifient par le fait que cette solution gratuite est financée par les services payants d’Infomaniak, notamment les hébergements web, le stockage en ligne, etc. De toute façon, Infomaniak le clame haut et fort : vous n’êtes en aucun cas le produit. 

Les fonctionnalités de kMeet

Comme je le disais kMeet est en constante évolution et bénéficie d'une toute nouvelle interface. Parmi les dernières nouveautés ajoutées, on retrouve notamment la gestion d’une salle d’attente, la possibilité d’enregistrer les sessions et de les stocker dans kDrive (solution de stockage en ligne de Infomaniak), flouter ou modifier l’arrière-plan de votre caméra, la synchronisation des réunions avec votre calendrier, etc.

Dès le 31 mai prochain, deux nouvelles fonctionnalités seront intégrées : la possibilité d'effectuer des annotations lors d'un partage d'écran et le contrôle à distance pour macOS et Windows.

Puisqu'un schéma vaut mieux qu'un long discours, voici un tableau de comparaison - proposé par Infomaniak - avec les principales solutions concurrentes :

La solution kMeet est disponible sur ordinateur à partir d'un navigateur, mais aussi sur mobile, que ce soit Android ou iOS, à partir d'un navigateur ou de l'application officielle.

➡ Chez Infomaniak, le stockage des données est effectué en Suisse, que ce soit pour kMeet, kDrive ou tout autre service proposé par cette société suisse.

kMeet une solution écoresponsable ?

Oui, car d'après les informations fournies par Infomaniak, l'entreprise utilise exclusivement de l’électricité issue d’énergies renouvelables et elle compense à 200% ses émissions de CO2. Par ailleurs, au sein de ses datacenters elle est en mesure de prolonger la durée de vie de ses serveurs jusqu’à 15 ans.

Bien que kMeet soit une solution jeune puisqu’elle existe depuis avril 2020, elle montre une belle progression. Chaque mois, plus de 500 000 sessions sont initiées sur kMeet. Clairement, kMeet est une solution de webconférence souveraine et elle mérite qu’on en parle et qu’on l’essaie, alors si ça vous tente, voici le lien : essayer kMeet

Source : communiqué de presse

The post kMeet : l’alternative européenne et écologique à Zoom et Teams first appeared on IT-Connect.

Le ransomware eChoraix s’attaque activement aux NAS QNAP

17 mai 2021 à 09:48

QNAP alerte ses clients sur une nouvelle vague d'attaques qui touchent les NAS de la marque. En cause, des mots de passe faibles, mais une faille dans Roon inquiète et pourrait être exploitée par un ransomware.

Le fabricant de NAS QNAP informe que certains de ses clients sont victimes du ransomware eChoraix, sans préciser combien. QNAP précise que les appareils qui utilisent un compte avec un mot de passe faible sont vulnérables à cette attaque. Voici les recommandations de QNAP pour vous protéger contre cette attaque (et les attaques de manière générale, en fait) :

  • Utiliser un mot de passe complexe pour les comptes administrateurs
  • Activer la fonction "IP Protection" pour vous protéger contre les attaques de type brute force, aussi bien en SSH qu'en accès HTTPS
  • Ne pas utiliser les ports par défaut 443 et 8080 pour l'accès Web

Sur son site, QNAP détaille la marche à suivre pour mettre en œuvre ses recommandations.

Une faille Zero Day dans Roon

Nous apprenons également que le paquet Roon de QNAP contient une faille de sécurité Zero Day activement exploitée. Cependant, il n'y aurait pas de liens entre les attaques avec le ransomware eChoraix et cette faille dans Roon. En tout cas, pas pour le moment, mais ce n'est peut être qu'une question de temps...

💡Qu'est-ce que Roon sur QNAP ? Le paquet tiers Roon de QNAP sert à transformer votre NAS en véritable jukebox puisqu'il permet de créer un serveur musical pour gérer votre bibliothèque musicale et de lire de la musique facilement.

Le serveur Roon est un paquet tiers et la version affectée par cette faille de sécurité est la version 2021-02-01 (et les versions précédentes). D'ailleurs, ce paquet est disponible aussi chez d'autres fabricants comme Synology et ASUSTOR. En attendant que Roon Labs distribue une mise à jour de son paquet Roon, il est recommandé de désactiver le Roon Server sur votre NAS. D'autant plus qu'il est probable que votre Server Roon soit accessible sur Internet, si vous l'utilisez en mobilité.

eChoraix et QNAP : une histoire qui dure

Ce n'est pas la première fois que le ransomware eChoraix s'attaque aux NAS QNAP : il y avait déjà eu une vague d'attaques en juin 2019 et en juin 2020. Ce ransomware est également connu sous le nom de QNAPCrypt.

Le mois dernier, il y avait déjà eu une vague d'attaques sur les NAS QNAP avec le ransomware Qlocker. Ce dernier exploitait une faille de sécurité au sein du paquet Multimedia Console de QNAP. En cinq jours, ce ransomware avait généré plus de 260 000 dollars de gain.

Enfin, il y a quelques jours, QNAP a également corrigé une vulnérabilité importante au sein de l'application Malware Remover. Si vous avez un NAS QNAP : il est temps de passer en revue votre configuration 😉

Source

The post Le ransomware eChoraix s’attaque activement aux NAS QNAP first appeared on IT-Connect.

Une faille Zero Day découverte dans Adobe Reader : un correctif est disponible

17 mai 2021 à 08:37

La semaine dernière, Adobe a publié un ensemble de correctifs à destination de ses produits dans le but de corriger 44 failles de sécurité, dont une faille Zero Day activement exploitée dans Adobe Reader.

Adobe a publié un total de 12 correctifs pour combler 44 failles de sécurité au total, dans différents produits dont voici la liste : Experience Manager, InDesign, Illustrator, InCopy, Adobe Genuine Service, Acrobat et Reader, Magento, Creative Cloud Desktop, Media Encoder, After Effects, Medium, et enfin Animate.

Intéressons-nous à la vulnérabilité qui touche Adobe Reader et qui est la plus critique, même si les autres ne doivent pas être négligées pour autant.

Adobe Reader et la faille CVE-2021-28550

La faille de sécurité CVE-2021-28550 est une faille Zero Day activement exploitée par les pirates informatiques et qui touche Adobe Reader, le célèbre lecteur PDF d'Adobe. Cette faille de sécurité touche aussi bien Adobe Reader sous Windows que sous macOS, autant pour la version gratuite que la version payante. Néanmoins, les attaques relevées jusqu'ici concernent uniquement des machines sous Windows.

Les chercheurs en sécurité de la Zero Day Initiative expliquent que du code malveillant aurait pu être exécuté sur la machine cible si l'utilisateur dispose d'une version vulnérable d'Adobe Reader. Le code malveillant sera exécuté dans le contexte du processus d'Adobe Reader. Pour mener à bien cette attaque, il suffit à l'attaquant de créer un fichier PDF piégé et conçu pour exécuter le code malveillant à l'ouverture.

Au-delà de cette faille de sécurité Zero Day, il y a eu d'autres failles de sécurité importantes corrigées dans Adobe Reader.

Si vous utilisez Adobe Acrobat ou Adobe Reader, ne tardez pas pour mettre à jour le logiciel sur votre machine. Pour Acrobat DC et Acrobat Reader DC, la version patchée est la version 2021.001.20155.

➡Voir sur le site d'Adobe

Pour rappel, Microsoft a également publié son Patch Tuesday de Mai 2021, vous pouvez retrouver toutes les informations utiles dans notre article : Patch Tuesday Mai 2021

The post Une faille Zero Day découverte dans Adobe Reader : un correctif est disponible first appeared on IT-Connect.
À partir d’avant-hierIT-Connect

OnePlus dévoile Clipt, une application pour partager des fichiers

14 mai 2021 à 10:00

OnePlus a dévoilé une nouvelle application baptisée Clipt dont l'objectif est de faciliter le partage de contenus, que ce soit des photos, des documents, des liens ou des photos, entre tous les types d'appareils.

Vous avez besoin de partager des données entre votre smartphone Android ou iOS et votre ordinateur sous macOS ou Windows ? Peut-être même que vous avez besoin de partager des données entre deux smartphones ? La nouvelle application développée par OnePlus, le fabricant de smartphones, devrait vous intéresser. Plus précisément, c'est OneLab Studio, le studio de développement de OnePlus qui est à l'origine de l'application.

Quand on voit ce que permet de faire Clipt à première vue, on pense directement à Google Drive, OneDrive ou encore Dropbox. Néanmoins, avec Clipt, OnePlus veut simplifier le processus de partage et surtout cet échange de fichiers sera limité à quelques éléments. C'est vraiment pour du partage et de l'échange, et non du stockage sur le long terme. Explications.

Tout d'abord, il faut savoir que Clipt s'appuie sur Google Drive pour stocker les données (vous êtes déçu, je sais). L'espace d'échange de Clipt se veut temporaire : seuls les 10 derniers fichiers déposés sont conservés, donc vous n'êtes pas obligé d'opter pour un forfait payant de Google Drive. Lorsqu'un fichier est partagé avec Clipt, il est automatiquement chiffré : vous êtes le seul à pouvoir le consulter. L'application est optimisée pour partager des documents, des photos, des liens, mais aussi du texte notamment avec l'historique du presse-papier.

La version Android est disponible tandis que la version iOS est en cours de développement. Vous l'aurez surement deviné, Clipt n'est pas réservé aux smartphones OnePlus, mais l'application est bien ouverte à tous. Sur Windows ou macOS il ne semble pas y avoir de client Clipt, mais une extension pour navigateur en l'occurrence Chrome. Il faut utiliser le même compte Google Drive sur tous les appareils.

Qu'en pensez-vous ?

➡Téléchargement sur Android (via le Play Store)

The post OnePlus dévoile Clipt, une application pour partager des fichiers first appeared on IT-Connect.

Comment gérer ses mots de passe avec Bitwarden ?

13 mai 2021 à 11:15

I. Présentation

Dans ce tutoriel, nous allons apprendre à créer un compte Bitwarden et à utiliser Bitwarden pour vous faciliter la gestion de vos mots de passe au quotidien.

🎥 Tutoriel disponible au format vidéo (plus complète sur la partie démo) :

Toujours les jours, nous faisons usage des mots de passe, que ce soit pour se connecter sur un site d'e-commerce, sur le site de notre banque, pour ouvrir sa session sur une machine au travail ou à la maison, ou encore pour s'authentifier sur un site X ou Y, tout simplement.

Pour des raisons de sécurité et par précaution (notamment en cas de fuite de données faisant suite à un piratage), il est préférable de ne pas utiliser le même mot de passe sur deux sites différents. La question, c'est, comment vais-je faire pour mémoriser des dizaines voire des centaines de mots de passe dans ma petite tête ? Même si j'arrive à les mémoriser, comment faire pour ne pas les confondre ? Autant de questions auxquelles on peut répondre à l'aide d'un logiciel que l'on appelle un "Gestionnaire de mots de passe".

Il existe de nombreuses solutions sur le marché, des gratuites, des payantes, certaines Open source d'autres non... La différence se fait sur la sécurité et sur les fonctionnalités. En ce qui me concerne, je suis adepte de plusieurs gestionnaires de mots de passe :

➡KeePass qui est un gestionnaire de mots de passe open source et gratuit, avec stockage de la base de mots de passe en local

➡LastPass qui est un gestionnaire de mots de passe propriétaire, avec des versions gratuites et payantes, et un stockage sécurisé dans le Cloud. Néanmoins, la version gratuite a pris du plomb dans l'aile récemment puisqu'il n'est plus possible de synchroniser et d'accéder à son coffre-fort depuis plusieurs types d'appareils. Très contraignant... Pour moi, c'est rédhibitoire : j'ai besoin de cette fonctionnalité.

Ce qui m'amène à vous présenter Bitwarden, un gestionnaire de mots de passe que j'utilisais par ailleurs, et la décision de LastPass quant à la synchronisation multiappareils m'a définitivement convaincu de passer sur Bitwarden. Cet outil permet dans sa version gratuite d'utiliser la synchronisation multiappareils.

Bitwarden, c'est quoi ? Bitwarden est un gestionnaire de mots de passe open source, disponible en version gratuite et payante. Le coffre-fort de vos identifiants peut-être hébergé directement par Bitwarden, mais il est possible d'héberger sa propre instance de Bitwarden. Par exemple, on peut le déployer sur un NAS (Synology, ASUSTOR, etc.), ou sur sa propre machine Windows ou Linux, notamment grâce à la solution Docker.

Bitwarden est une solution sécurisée et régulièrement auditée par des cabinets externes spécialisés. Sachez également que Bitwarden ne peut pas accéder à vos identifiants et mots de passe : vous êtes le seul à pouvoir le faire, car pour déchiffrer et déverrouiller votre coffre-fort, il faut connaître le mot de passe maître (nous y reviendrons).

Dans ce tutoriel, je vous propose de voir comment utiliser Bitwarden dans sa version gratuite, en s'appuyant sur l'offre Cloud de Bitwarden. L'objectif étant de permettre au plus grand nombre de gérer ses mots de passe efficacement, sans avoir une grande connaissance technique.

➡ En fait, héberger soi-même Bitwarden c'est bien, car on maîtrise pleinement son coffre-fort, mais il faut penser à aller plus loin et en faire une sauvegarde : héberger soi-même, cela veut aussi dire assurer soi-même les sauvegardes.

Si vous prêts, suivez-moi...

II. Créer un compte Bitwarden

Pour commencer, il faut créer un compte sur le site Bitwarden, voici le lien : Bitwarden

Dès que vous êtes sur le site, cliquez en haut à droite sur "Get Started".

Pour créer un compte, vous avez besoin d'une adresse e-mail : indiquez votre e-mail dans le champ "Adresse e-mail", jusque là ça devrait aller. Ensuite, précisez votre nom.

Un troisième champ se présente à l'écran : Mot de passe maître. Qu'est-ce que c'est que ce truc ? En bref, c'est le seul mot de passe que vous devez retenir : c'est la clé de votre coffre-fort. Pour accéder à votre banque de mots de passe, il faut indiquer le mot de passe maître pour déverrouiller l'accès.

Ce qui signifie que ce mot de passe doit être complexe ! J'entends par là, un mot de passe de 10 caractères minimum, en mixant au minimum l'usage de trois types de caractères différents parmi les types suivants : les minuscules, les majuscules, les chiffres et les caractères spéciaux. 

Attention : n'oubliez pas que si vous perdez ce mot de passe, vous perdez l'accès à votre compte Bitwarden ! Il faut aussi avoir conscience que si quelqu'un devine ce mot de passe, il peut accéder à votre compte Bitwarden, et donc à tous vos mots de passe ! D'où l'utilité de choisir un mot de passe complexe.

Il n'est pas indispensable de renseigner le champ "Indice du mot de passe maître" : si vous pouvez éviter d'indiquer un indice, c'est mieux. Cochez la case et cliquez sur "Soumettre".

Le compte est créé : identifiez-vous avec votre adresse e-mail et le mot de passe maître. Ne me dites pas que vous l'avez déjà oublié ? 😉

Bienvenue dans votre coffre-fort Bitwarden : c'est là qu'il faudra stocker vos identifiants pour accéder à vos sites et applications favoris.

Avant d'aller plus loin, cliquez sur le bouton "Envoyer l'e-mail" en haut à droite, cela va permettre de valider le compte.

Vous allez recevoir un e-mail, cliquez sur "Verify Email Address Now".

Le coffre-fort est prêt à être utilisé ! L'étape suivante consiste à migrer ses données de LastPass vers Bitwarden. Si vous n'êtes pas concerné, vous pouvez passer directement à l'étape IV.

III. Importer ses données LastPass dans Bitwarden

Comme je le disais en introduction, mon objectif est de migrer de LastPass vers Bitwarden, je vous explique donc comment procéder si vous êtes dans le même cas.

Connectez-vous sur le site LastPass ou cliquez sur l'extension dans le navigateur puis sur "Open my vault". Ensuite, dans le menu cliquez sur "Advanced options" puis sur "Export" sous "Manage your vault".

Saisissez le mot de passe maître de votre compte LastPass...

Un fichier CSV sera téléchargé. Attention, il contient le contenu de votre coffre-fort LastPass avec toutes les informations en claires : nom d'utilisateur, mots de passe, nom du site, etc... À la fin de l'opération de migration vers Bitwarden, pensez à supprimer ce fichier.

Retournez dans Bitwarden... Cliquez sur "Outils" dans le menu supérieur, puis à gauche sur "Importer des données". Pour répondre à la question "Sélectionnez le format du fichier importé", sélectionnez "LastPass (csv)".

Cliquez sur "Choisir un fichier" et sélectionnez le fichier lastpass_export.csv. Enfin, cliquez sur "Importer des données".

Votre coffre-fort Bitwarden contient désormais les données de votre coffre-fort LastPass ! Les dossiers sont également récupérés, ce qui est une bonne nouvelle !

Ce que je vous recommande, c'est de vérifier quelques identifiants migrés pour vérifier qu'il n'y a pas de trous dans la raquette comme on dit. De mon côté, je n'ai pas eu de soucis particuliers lors de ce transfert.

Une fois que vous êtes prêt (vous pouvez attendre 2-3 jours avant de faire cette action), je vous invite à supprimer votre compte LastPass. Puisque l'on ne va plus l'utiliser, ce n'est pas utile de le garder actif...

Pour cela, rendez-vous sur la page suivante : Supprimer compte LastPass

Cliquez sur "Delete" et validez.

IV. Installer les clients Bitwarden

Pour utiliser son coffre-fort au quotidien, l'idée ce n'est pas d'accéder au site Bitwarden à chaque fois. L'idée ce n'est pas non plus de renseigner soi-même les identifiants mots de passe dans le coffre, ni d'aller piocher manuellement dans son coffre-fort pour se connecter à un site Internet.

En fait, Bitwarden propose un ensemble de clients pour interconnecter les systèmes d'exploitation et les navigateurs avec son coffre-fort. Il existe des clients Bitwarden pour Windows, Linux, macOS, Android, iOS... Mais aussi pour les navigateurs, notamment Chrome, Firefox, Edge et Safari.

Utilisez le lien ci-dessous pour télécharger et installer les clients Bitwarden correspondants à vos équipements et votre navigateur préféré.

Les outils sont accessibles à l'adresse suivante : Télécharger - clients Bitwarden

L'application Windows permet d'avoir une interface très proche de celle du site Bitwarden. Tandis qu'au sein des navigateurs, l'extension permet d'accéder au contenu de son coffre au travers d'une interface minimaliste.

Au sein de l'extension, on remarque plusieurs sections :

➡Onglet : affiche les identifiants correspondants à l'onglet actif dans votre navigateur

➡Mon coffre : affiche le contenu complet de votre coffre-fort, et gérer vos identifiants

➡Send : affiche vos Send et vous permet d'en créer un nouveau. Send est une fonctionnalité récente de Bitwarden qui permet de partager du texte (par exemple un mot de passe) en toute sécurité avec un tiers

➡Générateur : un générateur de mots de passe pour vous aider à trouver un nouveau mot de passe pour chaque nouveau site 🙂

➡Paramètres : configuration du coffre-fort, mais aussi de l'extension. Cela permet notamment de définir à partir de combien de temps le coffre-fort se verrouille en cas d'inactivité

V. L'extension Bitwarden au quotidien

L'extension dans le navigateur est indispensable compte tenu du temps que l'on passe sur Internet à naviguer d'un site à l'autre. C'est un gain de temps énorme au quotidien, sans pour autant négliger la sécurité puisque l'on peut utiliser un mot de passe différent pour chaque site.

Prenons le cas où Bitwarden est installé dans un navigateur et que l'on est connecté avec son compte. Si l'on se connecte pour la première fois sur un site quelconque avec des identifiants existants, mais non renseignés dans le coffre-fort, un bandeau va apparaître : est-ce que Bitwarden doit se souvenir de ce mot de passe pour vous ?

Note : lorsque vous allez alimenter votre coffre-fort Bitwarden au fur et à mesure, profitez-en pour modifier vos mots de passe sur les différents sites. Si vous gériez tout de tête, il y a de fortes chances pour que vous utilisiez le même mot de passe sur plusieurs sites 😉

Si vous cliquez sur "Oui, enregistrer maintenant", Bitwarden va créer une entrée dans votre coffre-fort. Cette entrée va contenir l'adresse du site Internet, le nom d'utilisateur et le mot de passe.

La prochaine fois que l'on reviendra sur ce même site, l'extension Bitwarden va afficher un petit "1" (voir ci-dessous) pour indiquer qu'il y a un identifiant dans le coffre qui correspond à ce site.

Il suffira de cliquer sur l'icône de l'extension Bitwarden, puis sur l'identifiant en question pour que le formulaire de connexion soit automatiquement renseigné avec le compte utilisateur et le mot de passe de ce site.

Autre cas de figure : l'inscription sur un nouveau site. Dans ce cas, au moment de devoir indiquer un mot de passe pour l'inscription, suivez la procédure suivante :

1 - Cliquez sur l'icône de l'extension Bitwarden

2 - Cliquez sur l'onglet "Générateur"

3 - Cliquez sur "Générer un nouveau mot de passe"

4 - Cliquez sur "Copier le mot de passe"

5 - Collez le mot de passe dans le formulaire d'inscription (deux fois)

Une fois l'inscription validée, cliquez sur "Oui, enregistrer maintenant" : Bitwarden contient désormais une nouvelle entrée pour ce site ! Vous n'avez pas besoin de retenir le mot de passe (ni même de le connaître en fait) : c'est Bitwarden qui gère !

Lors de votre prochaine connexion sur ce site, il vous suffira d'aller piocher dans votre coffre lorsque vous serez sur la page de connexion.

VI. Ajouter un identifiant manuellement dans Bitwarden

Nous avons vu comment utiliser l'extension pour les navigateurs, mais il y a des cas de figure où vous allez devoir alimenter vous-même votre coffre-fort. Par exemple, pour stocker une clé de licence ou encore des informations de connexion d'une session Windows, etc.

Dans ce cas, on peut passer par le client Windows, Linux ou Mac, mais aussi par l'interface Web de Bitwarden. Ce qui revient quasiment au même en fait, en termes d'ergonomie.

Pour accéder à son coffre-fort en mode Web, voici l'adresse : vault.bitwarden.com

Cliquez ensuite sur "Ajouter un élément", en haut à droite.

Il ne reste plus qu'à remplir le formulaire et cliquer sur "Enregistrer", tout en sachant que chaque entrée est modifiable par la suite. Il y a plusieurs champs à remplir : Nom, Dossier (pour garder un coffre-fort organisé), Nom d'utilisateur, et Mot de passe.

S'il s'agit d'un site Internet, il est intéressant de renseigner aussi le champ "URI 1" qui va correspondre à l'adresse du site Internet. Mais bon, pour les identifiants des sites Internet, en règle général c'est l'extension qui alimente elle-même notre coffre 😉.

VII. Le mot de la fin

J'espère qu'au travers de cet article j'ai pu vous convaincre de l'utilité d'un gestionnaire de mots de passe, et surtout que j'ai pu vous donner l'envie de vous y mettre si ce n'est pas déjà le cas ! Que ce soit via Bitwarden ou une autre solution, je vous recommande vivement d'utiliser un gestionnaire de mots de passe. C'est réellement indispensable au quotidien, que ce soit pour gérer sa vie numérique ou au travail pour gérer ses identifiants et mots de passe.

Si vous souhaitez aller un peu plus loin, vous pouvez héberger vous-même Bitwarden sur votre NAS ou votre machine. Je vous invite également à consulter la version vidéo de ce tutoriel où la démonstration va plus loin puisque je vous parle de Bitwarden Send, mais aussi des Collections.

La vidéo est là pour vous proposer quelque chose de plus interactif et plus détaillé que les explications écrites. À consommer sans modération, et n'oubliez pas l'essentiel : utiliser un mot de passe différent par site/application et surtout mémorisez votre mot de passe maître.

The post Comment gérer ses mots de passe avec Bitwarden ? first appeared on IT-Connect.

Détails des durcissements des sysctl sous Linux : sysctl réseau

12 mai 2021 à 13:00

I. Présentation

Faisant suite à mon autre article "Détails des durcissements des sysctl sous Linux : sysctl système".

Nous allons dans cet article nous intéresser aux durcissements recommandés par l'ANSSI sur les sysctl réseau dans son guide Recommandation de configuration d'un système GNU/Linux. Je vais dans cet article suivre la même approche que dans l'article précédent, dans lequel vous trouverez également quelques exemples d'utilisation de la commande sysctl pour lire et écrire des paramètres.

Pour les paramètres sysctl au niveau réseau, celles-ci peuvent être appliquées à plusieurs niveaux, ce qui détermine le nom précis du paramètre à modifier. On peut par exemple différencier les paramètres s'appliquant sur les interfaces IPv4 (net.ipv4.X.X) ou IPv6 (net.ipv6.X.X), mais également spécifier une interface précise (net.ipv4.eth0), les mots-clés all et default sont utilisés respectivement pour appliquer un paramètre sur toutes les interfaces ou pour les interfaces nouvellement créées (configuration par défaut si rien n'est spécifié).

Ça, c'était la théorie, la réalité est un chouilla plus obscure (voir ce mail https://marc.info/?l=linux-kernel&m=123606366021995&w=2) et je vous déconseille, pour résumer, de paramétrer des valeurs différentes pour le all et le default d'une même sysctl sous peine de vous retrouver avec des comportements difficiles à déboguer ou à comprendre.

II. Durcissement des sysctl réseau Linux

A. IP Forwarding

Le premier durcissement généralement recommandé en ce qui concerne les sysctl réseau est la désactivation de l'IP forwarding. Ce sysctl, lorsqu'il est à 1, permet au serveur de faire transiter des paquets d'une interface vers une autre, à l'image d'un routeur. Lorsque cette fonctionnalité n'est pas utile au fonctionnement du serveur, il est recommandé de désactiver l'IP forwarding :

net.ipv4.ip_forward = 0

Ainsi, le serveur ne sera pas autorisé à faire du routing, c'est-à-dire faire suivre des paquets d'une interface vers une autre, et ne pourra être utilisé comme un routeur entre deux réseaux. Dans le cas où votre serveur dispose de deux interfaces, dont une vers un réseau non maitrisé (Internet par exemple), les paquets provenant d'internet ne pourront atteindre directement les autres serveurs du réseau non exposé (deuxième interface de votre serveur), car le serveur ne fera pas suivre ces paquets, même s'il connait la route par lesquels ils sont censés passer.

Dans le cas où ce sysctl est à 1 (IP forwarding activé), alors les paquets reçus par le serveur sans lui être destinés, mais pour lesquels il connait une route seront automatiquement envoyés sur cette route, le serveur pourrait alors servir de pont entre deux réseaux sans que cela ne soit voulu.

À noter que ce paramétrage ne protège pas de tout, si votre serveur est compromis ou si l'application web qu'il héberge est ciblée par une attaque SSRF (Server Side Request Forgery), alors les IP du réseau "interne" pourront tout de même être atteintes.

B. Filtrage par chemin inverse

Le filtrage par chemin inverse ou Reverse Path Filtering est un mécanisme du noyau Linux consistant à vérifier si l'adresse source indiquée dans les paquets reçus par une interface est routable par cette interface. En d'autres termes, lorsque notre serveur va recevoir un paquet sur une interface, il va l'ouvrir, regarder quelle est son adresse IP source, puis utiliser sa table de routage pour voir s’il contient une route capable de joindre cette IP source pour l'interface par laquelle il a reçu ce paquet (qui deviendra une IP destination en cas de réponse :)). On pourrait décrire ce mécanisme comme un contrôle de cohérence du serveur qui reçoit un paquet, le serveur cherche à vérifier s'il est normal ou cohérent de recevoir un paquet avec telle IP source sur cette interface.

Dans le cas où ce "contrôle de cohérence" échoue, le paquet est supprimé ("droppé" pourrait-on dire en bon français). L'ANSSI recommande d'activer cette fonctionnalité en mettant une valeur 1 aux sysctl suivants :

 net.ipv4.conf.all.rp_filter = 1
 net.ipv4.conf.default.rp_filter = 1

À noter que les systèmes Red Hat possèdent une option supplémentaire (2) permettant d'accepter un paquet si son IP source est routable par n'importe quelle interface du serveur, et non pas uniquement par l'interface ayant réceptionné le paquet analysé.

Le reverse path filtering est en réalité un mécanisme créé pour limiter les attaques par Déni de Service (Denial of Service ou DoS). L'une des techniques de déni de service profite du Three way Handshake TCP combiné à de l'IP spoofing. Plus clairement, l'attaquant va envoyer des milliers de paquets TCP SYN au serveur avec des adresses IP usurpées ou n'existant pas. Le serveur va alors renvoyer à ces adresses IP un paquet SYN/ACK et n'obtiendra jamais de réponse. Ainsi, les connexions resteront ouvertes pendant un long moment, ce qui les rendra indisponibles pour de nouvelles connexions légitimes. Un peu comme si l'on réservait toutes les tables d'un restaurant sur une semaine sans venir y manger :).

Ce mécanisme est décrit précisément dans la RFC3704 : https://tools.ietf.org/html/rfc3704

Lorsqu'une telle attaque intervient avec un rp_filter activé, la plupart des paquets seront droppés dès leur réception, car le système remarquera qu'ils ne sont pas légitimes pour arriver sur une interface réseau donnée.

C. Redirections ICMP

L'ICMP (Internet Control Message Protocol) est un protocole qui ne se réduit pas au ping, les paquets echo request (paquet ICMP de type 8) et echo reply (paquet ICMP de type 0) observés lorsqu'on fait un ping ne sont qu'une petite partie des capacités de ce protocole. Parmi les fonctions méconnues de ce dernier, les paquets ICMP de type 5, nommés Redirect Messages sont utilisés afin d'avertir un hôte nous ayant envoyé un message qu'une autre route est possible (et plus rapide) pour joindre l'hôte qu'il cherche à contacter.

Ce mécanisme se nomme l'ICMP redirect est n'est utilisé qu'à de rares occasions (voire jamais) sur un système d'information moderne correctement configuré, et comme tout en sécurité, si c'est inutile, c'est à désactiver.

net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0

En soit, ce mécanisme de l'ICMP redirect permet donc à un hôte recevant un paquet de faire passer son correspondant par un autre chemin réseau, en lui indiquant une nouvelle route qu'il intégrera durablement dans sa table de routage, un attaquant utilisant ce mécanisme envers un système peut donc modifier le chemin qu'emprunterons les futurs paquets, et pourquoi pas provoquer une attaque de type Man in the Middle ou une simple interruption de service. C'est pourquoi l'ANSSI recommande de désactiver l'acceptation et l'envoi de paquets ICMP redirect.

Le sysctl secure_redirects correspond à une option permettant à l'hôte d'accepter un paquet ICMP redirect uniquement si celui provient de l'adresse IP d'une des passerelles enregistrées au niveau de la configuration réseau. On cherche ici a maintenir l'utilisation de l'ICMP redirect, mais à réduire les hôtes pouvant nous envoyés de tels paquets à une liste de confiance.

D. Source routing

Pour l'expéditeur d'un paquet IP, le mécanisme du source routing consiste en la possibilité de définir la route prise par ce paquet sur le réseau. Alors que dans la plupart des cas, un paquet IP est envoyé par son expéditeur sur la passerelle réseau, qui définit ensuite en fonction de sa table de routage quel sera le prochain saut ou la prochaine passerelle à atteindre. Dans le cas d'un source routing, l'expéditeur peut inclure dans le paquet IP une liste d'adresses IP par lequel le paquet devra passer et ainsi modifier la décision nominale des différentes passerelles du réseau qui seront traversées. En d'autres termes, l'expéditeur peut manipuler une partie de la décision des passerelles concernant le routage des paquets. Également, le chemin par lequel le paquet est passé peut être transmis à son destinataire, qui prendra potentiellement ce chemin pour ses réponses. Les guides de bonnes pratiques recommandent de désactiver cette fonctionnalité :

net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

Dans les faits, le source routing au niveau d'un paquet IP n'est presque jamais utilisé, il peut être utile pour du débogage (notamment pour du traceroute). En plus d'aider à dresser une cartographie du réseau, le source routing reste intéressant pour un attaquant, car il peut permettre de joindre une machine sur un réseau qui n'est, selon les tables de routages habituelles, pas accessibles au travers un serveur ayant deux interfaces réseau par exemple. 

E. Journalisation des martians packet

L'IANA définit un paquet "martien" comme un paquet qui arrive sur une interface n'utilisant pas le réseau source ou destination du paquet reçu. Pour Linux, il s’agit de tout paquet qui arrive sur une interface qui n’est en aucun cas configurée pour ce sous-réseau.

net.ipv4.conf.all.log_martians = 1

L'objectif de la journalisation des IP "anormales" est justement de pouvoir investiguer, voire alerter et réagir sur un comportement réseau qui n'est pas usuel. Il est en effet courant qu'un attaquant produise ce genre de comportements anormaux lors d'une phase de cartographie, d'une analyse comportementale d'un hôte ou d'un service pour en déterminer la nature (version, technologie précise), voir de causer un bug ou d'exploiter une vulnérabilité.

Dans les faits, la journalisation d'un tel paquet aura aussi de grandes chances de provenir d'une erreur de configuration au niveau des routes et des routeurs du réseau, le but pourrait donc également être d'avertir les administrateurs d'un potentiel problème de routage.

F. RFC 1337

La RFC 1337 est une RFC de type Informationnal (non obligatoire en somme) qui décrit un bug théoriquement possible sur des connexions TCP, ce bug est nommé "TIME-WAIT Assassination hazards". En somme, il s'agit d'une "lacune" dans la conception de TCP/IP qui rend possible la fermeture d'une connexion en TIME-WAIT par un paquet provenant d'une ancienne session TCP (arrivé en retard ou en dupliqué à cause d'une latence quelconque). Ce cas de figure théorique peut donc perturber des communications établies entre un client et un serveur :

net.ipv4.tcp_rfc1337 = 1

Cette protection vise donc à se protéger d'une anomalie potentielle dans les communications TCP, qui n'est pas le fruit d'une attaque ciblée visant à avoir un résultat précis.

G. Ignorer les réponses non conformes à la RFC 1122

Certains routeurs sur Internet ignorent les normes établies dans la RFC 1122 et envoient de fausses réponses aux trames de diffusion. Normalement, ces violations sont journalisées via les fonctions de journalisation du noyau, mais si vous ne voulez pas voir ces messages d'erreur dans vos journaux, vous pouvez activer cette variable, ce qui conduira à ignorer totalement tous ces messages d'erreur.

La RFC 1122  normalise ce que toute machine terminale (host, par opposition à routeur) connectée à l'Internet devrait savoir. Je vous invite à consulter la description de Stéphane Borztmeyer sur son blog pour plus de détails : RFC 1122: Requirements for Internet Hosts - Communication Layers

net.ipv4.icmp_ignore_bogus_error_responses = 1

L'objectif est donc simplement d'économiser un tout petit peu d'espace disque et d'éviter la présence de certains évènements inutiles dans les journaux. Peu d'impact en termes de sécurité donc.

H. Augmenter la plage pour les ports éphémères

Les ports éphémères sont les ports utilisés comme port source lorsqu'un système initie une connexion vers un serveur (alors nommés "port client"). Ces ports peuvent également être utilisés par certains protocoles dans une seconde phase d'échange avec le client après un premier échange sur un port "officiel". C'est notamment le cas pour les protocoles TFTP ou RPC. Sur les serveurs à haut trafic (reverse proxy ou load balancer), il est recommandé d'élargir la plage de port par rapport à celle par défaut :

net.ipv4.ip_local_port_range = 32768 65535

À noter que 65535 est la valeur la plus haute pouvant être acceptée. La valeur la plus basse (ici 32768) peut aller jusqu'à 0, gardez cependant à l'esprit que de nombreux ports sont réservés à des usages spécifiques (22 pour SSH, 80 pour HTTP, etc.). Il est donc plus sage de ne pas empiéter sur ces ports-là.

Le gain n'est pas très significatif, mais ce faisant, nous permettons au serveur d'établir plus de connexions et limitons ainsi les risques de saturation de ces ports pouvant être provoqués intentionnellement (attaque par déni de service) ou non (trafic réseau exceptionnellement élevé).

I. Utiliser les SYN cookies

Les SYN cookies sont des valeurs particulières des numéros de séquences initiales générés par un serveur (ISN: Initial Sequence Number) lors d'une demande de connexion TCP. Les bonnes pratiques de sécurité recommandent leur activation au niveau des échanges réseau :

 net.ipv4.tcp_syncookies = 1

L'activation des SYN cookies au niveau du système permet de se protéger des attaques par inondation de requêtes SYN (SYN flooding) qui consiste à ouvrir un très grand nombre de connexions sur un serveur à l'aide de requêtes SYN, sans jamais donner suite au Three Way Handshake TCP (SYN, SYN/ACK, ACK). Le serveur maintient donc un ensemble de connexions en attente (attente de réception d'un ACK après envoi d'un SYN/ACK), ce qui finit par saturer les connexions disponibles pour les clients légitimes.

Ce mécanisme permet au serveur de garder la "tête froide" lorsqu'il est ciblé par une telle attaque, mais il n'est pas conçu pour améliorer les capacités du serveur dans un contexte normal de fonctionnement (autre qu'une attaque par SYN flood).

Attention toutefois : les SYN cookies ne sont en théorie pas conforme au protocole TCP et empêchent l'utilisation d'extension TCP, ils peuvent entraîner une dégradation sérieuse de certains services (par exemple le relais SMTP). Si vous voulez tester les effets des SYN cookies sur vos connexions réseau, vous pouvez paramétrer ce sysctl sur 2 pour activer sans condition la génération de SYN cookies.

J. Gestion de l'IPv6

Dans le cas où l'IPv6 n'est pas activement utilisé au sein de vos réseaux locaux (c'est très très souvent le cas), il est tout simplement recommandé de désactiver la prise en compte de l'IPv6 au niveau du noyau Linux.

net.ipv6.conf.all.disable_ipv6 = 1 
net.ipv6.conf.default.disable_ipv6 = 1

La désactivation pure et simple de l'IPv6 permet de réduire la surface d'attaque du serveur, ce qui est l'un des principaux fondements de la sécurité. Dans bien des cas, l'IPv6 peut être utilisé pour détourner du trafic réseau, réaliser des attaques par déni de service ou contourner des politiques de filtrage lorsqu'il n'est pas activement utilisé et pris en compte dans la configuration et le durcissement global d'un système d'information.

K. Gestion de l'auto-configuration IPv6

Dans le cas, très rare selon moi, où vous utilisez de manière active l'IPv6 dans vos infrastructures internes, différents paramètres peuvent être utilisés afin de durcir la configuration de vos systèmes.

En IPv6, les router advertisements sont des paquets régulièrement envoyés par les routeurs d'un réseau pour s'annoncer aux éventuels nouveaux venus. Les informations contenues dans les router advertisements permettent à un nouvel hôte connecté de récupérer les caractéristiques essentielles du réseau, passerelles par défaut, routes et le préfixe servant à se forger une adresse IPv6 en auto configuration.

Dans le cas où les adresses IPv6 sont établies de manière statique sur vos réseaux, il est recommandé de désactiver la prise en charge des router advertisements afin de ne pas laisser la possibilité à un attaquant d'utiliser leur prise en charge sur les systèmes du réseau pour lui-même déterminer la configuration IPv6 de ces systèmes . En effet, quoi de plus simple que de se faire passer pour un routeur ou une passerelle pour réaliser une attaque par l'homme du milieu ?

# Ne pas accepter les router preferences par router advertisements
net.ipv6.conf.all.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0

# Pas de configuration automatique des prefix par router advertisements
net.ipv6.conf.all.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_pinfo = 0

# Pas d’apprentissage de la passerelle par router advertisements
net.ipv6.conf.all.accept_ra_defrtr = 0
net.ipv6.conf.default.accept_ra_defrtr = 0

# Pas de configuration auto des adresses à partir des router advertisements
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0

L. Désactiver le support des "router solicitations" IPv6

En IPv6, le router sollicitation est un type de message qui permet à un hôte de demander à tous les routeurs présents sur le réseau local de lui envoyer un Router Advertisement, afin qu'il l'enregistre dans sa liste de voisins et qu'il puisse récupérer les éléments essentiels du réseau IPv6. Dans le cas où les adresses IPv6 sont paramétrées en statique, il est recommandé de désactiver ce mécanisme :

 net.ipv6.conf.all.router_solicitations = 0
 net.ipv6.conf.default.router_solicitations = 0

Pour être plus précis, ce sysctl configure le nombre de router sollicitation à envoyer sur le réseau avant de considérer qu'il n'y a pas de routeur sur le réseau. Désactiver ce comportement lorsque les adresses IPv6 sont statiques permet donc d'éviter du trafic inutile, mais également qu'un attaquant puisse répondre à ces sollicitations en vue de se faire passer pour un routeur IPv6 auprès de votre serveur, lui facilitant ainsi le travail pour la réalisation d'une attaque de type man in the middle.

M. Nombre maximal d’adresses autoconfigurées par interface

L'adressage IPv6 permet d'utiliser plusieurs adresses par interface. À moins que vous n'ayez un besoin particulier nécessitant plusieurs adresses IPv6 unicast global par interface, il est recommandé de paramétrer ce sysctl à 1, ce qui limite à 1 le nombre d'adresses unicast global par interface (16 possibles dans la configuration par défaut).

 net.ipv6.conf.all.max_addresses = 1
 net.ipv6.conf.default.max_addresses = 1

Attention, positionner ces sysctl à 0 rend illimité le nombre d'adresses possibles, ce qui finira par avoir un impact sur les performances de votre serveur.

J'ai toutefois du mal à trouver des risques concrets relatifs à la non-application de ce paramètre. D'après ma compréhension du paramètre dans son état par défaut et du fonctionnement de l'IPv6, sa non-application entrainera la possibilité pour un attaquant de générer la création d'une adresse IPv6 sur sa cible puisque dans un environnement "normal", les 16 slots disponibles sur l'interface IPv6 ne seront pas toutes utilisées. En principe on laisse donc au travers la configuration par défaut, des paramètres non utilisés qui n'attendent qu'à recevoir les faux router avertissements d'un attaquant.  Alors que si le nombre d'adresses IPv6 est limité à 1 par interface est que celle-ci est déjà configurée lors de la venue de l'attaquant (en statique qui plus est), ce dernier n'aura pas de porte d'entrée possible.

N'hésitez pas à ajouter des informations de compréhension supplémentaires dans les commentaires si vous en avez à ce sujet :).

III. Conclusion

Voilà, nous avons fait le tour des durcissements sysctl recommandés par l'ANSSI dans son guide Recommandations de configuration d'un système GNU/Linux. Vous aurez compris que les raisons de certains durcissements sont faciles à appréhender alors que d'autres sont plus bien abstraits ou répondent à des cas très spécifiques. Quoi qu'il en soit j'espère vous avoir apporté une lumière supplémentaire sur ces éléments.

N'hésitez pas à signaler toute erreur ou précision technique dans les commentaires 🙂

The post Détails des durcissements des sysctl sous Linux : sysctl réseau first appeared on IT-Connect.

Détails des durcissements des sysctl sous Linux : sysctl système

12 mai 2021 à 10:00

I. Présentation

Nous allons dans cet article nous intéresser aux durcissements du noyau proposés par le guide de configuration de l'ANSSI à travers les sysctl. Les guides de bonnes pratiques et de configuration de l'ANSSI sont pour la plupart très pertinents, mais il arrive qu'ils manquent de détails et que la cohérence de certains durcissements puisse être difficile à appréhender. Je vais donc ici m'efforcer de décortiquer les recommandations 22 et 23 du Guide Recommandation de configuration d'un système GNU/Linux de l'ANSSI qui portent sur les paramétrages des sysctl réseau et système en vue du durcissement d'un noyau Linux. Nous parlerons dans cet article des sysctl système et un prochain article portera sur les sysctl réseau.

J'essaierai notamment de mettre en avant les implications en termes de sécurité et les attaques qu'un durcissement permet d'éviter, sans oublier les potentiels effets de bords si ceux-ci sont connus et les éventuelles questions qui restent en suspens après avoir tenté de creuser ce sujet.

Sur les OS Linux, sysctl est utilisé afin de consulter et modifier les paramètres du noyau, cela nous permet donc de configurer certains comportements du noyau comme la prise en compte de l'IPv6 sur nos interfaces réseau ou l'activation de l'ASLR. Les paramètres utilisables sont ceux listés dans le répertoire /proc/sys

On parle souvent de sysctl pour décrire une clé de configuration paramétrable par la commande sysctl. Ne soyez donc pas étonné de lire "On configure le sysctl net.ipv4.ip_forward à 0" pour indiquer que la clé de configuration net.ipv4.ip_forward doit être définie à 0, par exemple 😉

Pour les systèmes utilisant systemd, la configuration des sysctl se trouve dans /etc/sysctl.d/.conf, /usr/lib/sysctl.d/.conf. et /etc/sysctl.conf.

Attention, depuis récemment (2017) il se peut que certains systèmes utilisant systemd n'appliquent plus les configurations sysctl indiquées dans /etc/sysctl.conf. Seuls les fichiers ayant une extensions .conf et situés dans les répertoires /etc/sysctl.d ou /usr/lib/sysctl.d sont appliqués.

➡ A lire également : Détails des durcissements des sysctl sous Linux : sysctl réseau

II. Comment modifier un sysctl

Il existe deux possibilités de modification d'un sysctl, soit de façon temporaire, c'est à dire valable jusqu'au prochain redémarrage, soit de façon persistante, c'est à dire qui persiste après un redémarrage.

Pour modifier une configuration sysctl de façon temporaire, on peut modifier à chaud la valeur stockée dans le fichier correspondant au sysctl à modifier, par exemple :

# echo 1 > /proc/sys/kernel/sysrq

Ou utiliser la commande sysctl pour faire cette même opération :

# sysctl -w kernel.sysrq=1

Pour modifier un sysctl de façon persistante, il faut aller modifier le fichier configuration (/etc/sysctl.d/99-sysctl.conf, ou autre fichier finissant par .conf dans le même dossier) et y modifier ou ajouter notre valeur pour le sysctl souhaité :

Modification persistante d'une sysctl
Modification persistante d'une sysctl

Pour être techniquement plus précis, une configuration modifiant un sysctl est appelée clé. Ici la clé est donc net.ipv4.conf.default.log_martians et 0 est la valeur associée à cette clé.

Pour afficher l'ensemble des sysctl actuellement utilisées et appliquées, la commande suivante est à utiliser :

# sysctl -a

Enfin pour récupérer un sysctl précis, la commande suivante est à utiliser :

# sysctl -n net.ipv4.conf.eth1.log_martians

III. Durcissement des sysctl système Linux

A. Désactivation des SysReq

Les SysReq ou Magic System Request Key sont une fonctionnalité du noyau Linux permettant, via une combinaison de touche réalisable à tout moment, de lancer des commandes bas niveau, par exemple afin de pouvoir redémarrer un système bloqué sans corrompre le système de fichiers ou tuer un programme paralysant les ressources du système. Parmi les actions réalisables :

  • Déterminer le niveau de log de la console
  • Redémarrer l'ordinateur reBoot
  • Redémarrer via kexec pour faire un crashdump Crashdump
  • Envoyer un signal de terminaison (SIGTERM) à tous les processus (sauf init) tErm
  • Tuer le processus qui consomme le plus de mémoire (via oom-killer)
  • Envoyer un signal de fin (SIGKILL, plus ferme que SIGTERM) à tous les processus (sauf init)
  • Tuer tous les processus de la console virtuelle courante.
  • Envoyer un signal de fin (SIGKILL, plus ferme que SIGTERM) à tous les processus (même init)
  • Afficher le contenu actuel de la mémoire Memory
  • Éteindre le systeme via APM Out
  • Afficher sur la console les registres et drapeaux actuels Print
  • Basculer la gestion du clavier de mode brute (raw) à XLATE
  • Synchroniser les disques (tente d'écrire toutes les données non sauvegardées)
  • Afficher une liste des taches et autres informations dans la console
  • Remonter les disques en lecture seule

À noter que même si les SysReq sont activées, une partie seulement de ces actions sont réalisables dans la configuration par défaut. D'autres requièrent une configuration spécifique. Cette combinaison de touche clavier doit être réalisée sur un terminal "physique", entendez par là qu'une connexion SSH ne sera pas suffisante, en théorie :).

Il existe en effet une petite astuce permettant d'exécuter des SysReq depuis une connexion distante, et cela en utilisant directement une fonctionnalité "native" de sysctl, le fichier /proc/sysrq-trigger. Si l'on souhaite redémarrer le système par exemple, il faut envoyer l'instruction "b", et donc :

echo "b" > /proc/sysrq-trigger

Ce fichier n'est cependant modifiable que par l'utilisateur root :

[email protected]:~$ ls -al /proc/sysrq-trigger
 --w------- 1 root root 0 juil. 28  2018 /proc/sysrq-trigger

Pour gérer cela, il faut se rendre dans le fichier /proc/sys/kernel/sysrq ou utiliser la clé kernel.sysrq dans un fichier de configuration sysctl.

Positionner la valeur 1 permet d'activer l'utilisation des SysReq (valeur par défaut sur une majorité de systèmes), positionner la valeur 0 interdit toute utilisation des SysReq. Lorsque la valeur est autre que 0 ou 1, c'est que certaines commandes sont autorisées, d'autres non, à utiliser en connaissance de cause donc. À nouveau, comme cette fonctionnalité est très rarement utilisée, voir inconnue des sysadmins la plupart du temps, mieux vaut la désactiver :

kernel . sysrq = 0

L'ANSSI recommande en effet de positionner la valeur de cette clé à 0 afin de désactiver totalement leur utilisation. On peut imaginer les effets de bords possibles grâce à ces commandes, notamment en ce qui concerne la possibilité de tuer des processus, afficher les registres CPU, démonter un système de fichier, redémarrer la machine, etc. À noter que le plus grand danger reste l'exploitation de ces SysReq à partir d'un terminal physique par un utilisateur non privilégié, mais leur utilisation n'est pas forcément restreinte au terminal physique comme je l'ai indiqué précédemment.

La frontière entre physique et virtuel s'étant quelque peu estompée ces dernières années, j'ignore par exemple si l'on peut lancer des SysReq à partir d'un clavier virtuel, dans le cas d'un accès distant VNC, via une console d'hyperviseur type VMWare/Proxmox, etc.

B. Interdire les core dump des exécutables setuid

Par défaut, le système va réaliser un core dump (extraction de la mémoire) des processus s'arrêtant brusquement, cela est notamment pratique pour du debug, avoir une photo à l'instant du crash permet de voir quelles données ou actions ont potentiellement causé ce crash.

Cependant, ces dumps sont exécutés par le kernel et écrits sur le système avec les droits de l'utilisateur courant (celui ayant lancé la commande). Dans le cadre de l'utilisation d'un exécutable setuid ou setgid, l'extraction mémoire contiendra les informations d'un programme exécuté avec les droits d'un autre utilisateur, probablement avec un plus haut niveau de privilège que l'utilisateur courant ou root, mais sera écrit sur le système avec les droits de l'utilisateur courant (non privilégié). Ainsi, des informations sensibles, permettant potentiellement une élévation de privilège, pourront se trouver dans ce type de fichier et lisible par l'utilisateur courant.

Afin de contrôler ce comportement, on peut utiliser la clé fs.suid_dumpable afin de ne pas produire de core dump pour les exécutables possédant un bit setuid ou setgid.

fs.suid_dumpable = 0

L'ANSSI recommande de passer la valeur de la clé fs.suid_dumpable à 0 pour désactiver tout core dump sur les exécutables possédant un bit setuid ou setgid, et ainsi éviter d'éventuelles fuites de données sensibles concernant les attributs, les fichiers accédés ou d'autres actions d'un utilisateur privilégié.

C. Déréférencement des liens de fichiers

Une des vulnérabilités courantes sous Linux concernant les liens symboliques est le symlink-based time-of-check-time-of-use race (ou symlink race condition). Il s'agit d'un delta de temps entre le moment où un fichier est contrôlé (pour voir si les droits d'accès sont suffisants) et celui où il est utilisé par un programme.

Pendant le laps de temps où ces deux opérations sont effectuées, un utilisateur malveillant peut créer un lien symbolique portant le nom de ce fichier et ainsi manipuler une partie de l'exécution du programme, qui s'exécute idéalement avec un plus haut niveau de privilège. Un exemple courant fourni comme explication est le suivant :

Exemple d'une attaque time-of-check to time-of-use - Wikipedia
Exemple d'une attaque time-of-check to time-of-use - Wikipedia

Dans cet exemple, le programme contrôle les permissions d'un fichier file avec l'instruction access() en C. Puis, dans un deuxième temps si les permissions le permettent, il va écrire dans ce fichier. Dans le cadre d'une attaque, l'attaquant va laisser le fichier tel quel pour la première opération (par exemple créer lui-même le fichier file en permission 777 pour que le programme constate qu'il peut y écrire). Puis, il va remplacer ce fichier par un lien symbolique pointant vers /etc/passwd. Le programme s'exécutant avec un haut niveau de privilège va alors exécuter sa deuxième instruction et écrire dans le fichier file, qui sera en réalité/etc/passwd.

Un très bon labo est mis à disposition sur ce Gitlab Ranjelikasah/ace-Condition-Seedsecurity, je vous le recommande si vous souhaitez expérimenter par vous-même 🙂

Ce type d'attaque est notamment dangereuse sur les setuid/setgid, qui permettent d'exécuter un binaire avec les droits root (ou d'un autre utilisateur en fonction de leur configuration). C'est pourquoi il est recommandé de durcir ces sysctl qui ont plusieurs effets concernant les liens symboliques et les setuid.

Concernant les hardlinks et pour un utilisateur système créant un lien, l'une des conditions suivantes doit être remplie :

  • l'utilisateur peut seulement créer des liens vers des fichiers dont il est le propriétaire
  • l'utilisateur doit avoir les droits d'écriture et de lecture vers le fichier vers lequel souhaite créer un lien.
Démonstration sur l'effet des durcissement sysctl sur la création des hardlinks
Démonstration de l'effet des durcissements sysctl sur la création des hardlinks

Concernant les symlinks et les processus qui sont amenés à suivre des liens symboliques vers des répertoires world-writable qui ont le sticky bit activé :

  • le processus suivant le lien symbolique doit être le propriétaire du lien symbolique
  • le propriétaire du répertoire est également le propriétaire du lien symbolique.

Si vous avez bien compris le fonctionnement de l'attaque présentée, vous comprendrez rapidement quelle devient impossible si ces conditions sont imposées via le durcissement sysctl :

fs.protected_symlinks = 1
fs.protected_hardlinks = 1

Ce paramétrage permet en somme de durcir les conditions d'utilisation des symlinks et des hardlinks afin de se protéger des différentes attaques permettant une élévation de privilège

D. Activation de l’ ASLR

L'ASLR (Address Space Layout Randomization) est un mécanisme permettant de limiter les effets et de complexifier l'exploitation des attaques de type buffer overflow (dépassement de tampon). L'objectif est ici de placer la zone de données dans la mémoire virtuelle de façon aléatoire, changeant ainsi sa position à chaque exécution.

L'exploitation de buffer overflow consiste notamment à contrôler une partie des registres CPU afin de modifier le flux d'exécution d'un programme. Cela passe, entre autres, par le contrôle du registre EIP (Extended Instruction Pointer) qui permet d'indiquer à quel offset (adresse mémoire) la prochaine instruction à exécuter se trouve. En contrôlant le registre EIP, l'attaquant peut indiquer au programme de sauter à un offset précis et dont le contenu est sous son contrôle, notamment s'il a réussi à injecter du code malveillant (shellcode) à cet endroit de la mémoire. En modifiant la répartition et le positionnement des instructions, de la pile (stack), du tas (heap) et autres, en mémoire, l'attaquant n'est plus en capacité de pointer vers son shellcode car celui-ci ne sera jamais au même endroit à chaque exécution.

Pour activer l'ASLR, on peut utiliser la clé kernel.randomize_va_space et y positionner la valeur 2, qui permet de positionner de façon aléatoire (aka randomiser :/ ) la stack (pile), les pages CDSO (virtual dynamic shared object), la mémoire partagée et le segment de données (data segment), qui contient les variables globales et statiques initialisées par le programme. Positionner la valeur 1 aura le même effet, sauf pour le segment de données. La valeur 0 désactive l'ASLR.

kernel.randomize_va_space = 2

Pour plus d'information sur les buffer overflow, je vous oriente vers les très bons articles (en français) d'0x0ff :

E. Mappage de la mémoire des adresses basses

Une vulnérabilité de type NULL pointer dereference est le fait pour un programme d'utiliser un pointeur non initialisé (valant NULL) ou pointant vers une adresse mémoire inexistante (0x00000000). De fait, lorsque ce programme utilisera ce pointeur dans ses instructions, cela causera un crash. Dans le contexte d'exécution du noyau ou d'un programme à haut niveau de privilège, le fait de déclencher intentionnellement l'utilisation d'un pointeur NULL par un attaquant lui permet de faire crasher le programme, voir le système.

Cependant, si l'attaquant parvient à identifier l'adresse mémoire du pointeur en question et à la manipuler pour y insérer les données de son choix avant qu'elle ne soit utilisée activement par le noyau ou un programme à haut niveau de privilège, alors il pourra contrôler son utilisation dans le programme exécuté, menant à une potentielle élévation de privilège.

En C, un pointeur est une variable qui permet de stocker non pas une valeur ("ABC" ou 12,28), mais une adresse mémoire. Lorsqu'un programme démarre, le système lui alloue une zone mémoire dans laquelle il peut s'organiser. Cette zone mémoire est constituée de "cases" de 8 bits (octets). Chacune de ces cases (appelées blocs) est identifiée par un numéro : son adresse. On peut alors accéder à une variable soit par son nom "agePersonne", soit par l'adresse du premier bloc alloué à la variable en question, c'est-à-dire son pointeur.

Il se trouve que le noyau a tendance à plutôt utiliser les adresses mémoires dites "basses", si l'attaquant parvient à manipuler les pointeurs visant des blocs d'adresses mémoires "basses", alors il a plus de chances de trouver un bloc d'adresse qui sera ensuite utilisé par le noyau.

La clé vm.mmap_min_addr est donc une constante qui permet d'empêcher les utilisateurs non privilégiés de créer des mapping mémoires en dessous de cette adresse. Elle permet de définir l'adresse minimale qu'un processus n'ayant pas les droits root peut mapper, adresse que nous allons rehausser par rapport à sa valeur par défaut (0) :

vm.mmap_min_addr = 65536

Attention toutefois à bien tester le fonctionnement de vos programmes et applications avec ce paramètre avant de passer en production.

F. Espace de choix plus grand pour les valeurs de PID

Sous Linux (et Windows), le PID (Process IDentifier) est un numéro unique assigné à un processus en cours d'exécution. Il permet son identification parmi d'autres processus pour leur gestion, par exemple lorsque l'on utilise les commandes ps ou kill.

Comme pour les ports clients, les PID  sont en nombre limité sur un système. Il se peut donc que toute la plage de PID disponible soit saturée par un dysfonctionnement ou une attaque. Dès lors, aucun autre processus ne pourra être créé, car il n'aura aucun PID à utiliser. L'ANSSI recommande d'élargir la plage du nombre de PID disponible sur un système afin d'éviter ou de limiter de tels scénarios :

kernel.pid_max = 65536

Cette configuration permet donc de prévenir d'une saturation de PID entrainant une impossibilité de créer de nouveau processus. Sur les systèmes 32 bits, la valeur max est de 32 768 alors que pour les systèmes 64 bits, elle est de 2^22 (4 194 304, ça fait beaucoup de processus). À noter toutefois que les PID sont "recyclés", c'est-à-dire que lorsqu'un processus avec un certain PID se termine, ce PID peut être réutilisé plus tard par un autre processus. Ce durcissement vise donc à élargir le nombre de processus tournant simultanément sur votre système, ce qui ne sera le cas qu'en cas d'attaque ou pour des serveurs à très haute performance.

G. Obfuscation des adresses mémoires kernel

Un attaquant qui cherche à compromettre un noyau en cours d'exécution en écrasant les structures de données du noyau ou en forçant un jump (saut) vers un code de noyau spécifique doit, dans les deux cas, avoir une idée de l'emplacement des objets cibles en mémoire. Des techniques comme l'ASLR ont été créées dans l'espoir de "dissimuler" cette information, mais cet effort est vain si le noyau divulgue des informations sur l'endroit où il a été placé en mémoire. Il existe en effet plusieurs cas de figure où des adresses mémoires relatives au kernel peuvent être affichées (fuitées) vers l'espace utilisateur, qui obtient alors des informations intéressantes sur les pointeurs à cibler dans le cadre d'une attaque.

L'ANSSI recommande de paramétrer la directive suivante à 1 afin que, dans certains cas, les adresses mémoires relatives au noyau affichées par un programme soit dissimulées (remplacées par des 0) :

 kernel.kptr_restrict = 1

Attention toutefois, cette dissimulation n'est effective uniquement si le programme utilise la notation %pK (au lieu de %p pour un pointeur "normal"). C'est-à-dire que le développeur a marqué le pointeur vers une adresse noyau comme tel et indique donc au système que l'information doit être protégée. Dans le cas où un programme ne respecte pas cette bonne pratique, le durcissement au niveau du sysctl est inutile.

Enfin, si l'utilisateur possède la capabilities CAP_SYSLOG dans le contexte d'exécution du programme, les adresses mémoire kernel seront affichées normalement (paramétrez la sysctl à 2 si vous souhaitez éviter ce cas de figure).

H. Restriction d’accès au buffer dmesg

Sous Linux, la commande dmesg permet de voir les journaux (plus précisément la mémoire tampon des messages) relatifs au kernel, par exemple ceux créés par les drivers, lors du démarrage du système ou au branchement d'un nouveau périphérique. Ces messages sont ensuite stockés dans le fichier /var/log/messages.

L'ANSSI recommande de configurer le sysctl suivant à 1 afin de n'autoriser que les utilisateurs privilégiés à consulter ce type d'information via la commande dmesg :

 kernel.dmesg_restrict = 1

L'objectif est ici de dissimuler les informations relatives aux journaux du noyau de la vue des utilisateurs, ceux-ci peuvent en effet dans certains cas contenir des informations sensibles pouvant être utilisées dans le cadre de futures attaques.

Voici un exemple de l'utilisation de la commande dmesg par un utilisateur non privilégié avec le paramétrage à 1, puis à 0 :

Effet de la sysctl kernel.dmesg_restrict
Effet de la sysctl kernel.dmesg_restrict

I. Restreindre l’utilisation du sous-système perf

Sous Linux, le sous-système perf est une commande très complète et puissante qui permet de mesurer les performances d'un programme ou du système. Il réalise ces mesures en étant au plus proche de l'hardware, ce qui nécessite un niveau de privilège élevé.

L'ANSSI recommande le paramétrage à 2 de la sysctl suivante afin de limiter l'accès des utilisateurs non privilégiés à cette commande :

kernel.perf_event_paranoid = 2

Ainsi, un utilisateur non privilégié ne sera pas en mesure d'utiliser cette commande, qui peut notamment impacter les performances du système. Ce paramétrage est effectif sauf si l'utilisateur en question possède la capabilities CAP_SYS_ADMIN.

Également, les deux sysctl suivantes doivent être paramétrées à 1 :

kernel.perf_event_max_sample_rate = 1 
kernel.perf_cpu_time_max_percent = 1

Ces deux sysctl servent à gérer combien de ressource et de temps CPU le système de performance peut utiliser. Il s'agit d'un pourcentage (1% du temps CPU). Ces configurations visent à limiter l'impact du sous-système perf sur le système lors de son utilisation. Attention, mettre ces deux sysctl à 0 fait tout simplement sauter toute limite, ce qui serait contre-productif 🙂

Quoi qu'il en soit l'idée derrière le paramétrage de ces deux sysctl est de limiter l'impact du sous-système perf. sur les performances du système.

Rendez-vous dans le prochain article pour l'étude des durcissement des sysctl réseau :). N'hésitez pas à signaler toute erreur ou précision technique dans les commentaires 🙂

The post Détails des durcissements des sysctl sous Linux : sysctl système first appeared on IT-Connect.

Patch Tuesday – Mai 2021 : 55 vulnérabilités et 3 failles Zero Day corrigées

12 mai 2021 à 08:22

Pour ce Patch Tuesday de Mai 2021, Microsoft a corrigé 55 vulnérabilités, dont 4 considérées comme critiques et 3 failles Zero Day.

Trois failles Zero Day corrigées

Commençons par les trois failles Zero Day corrigées au sein des produits Microsoft. Bien qu'elles étaient connues publiquement, elles ne sont pas exploitées dans le cadre d'attaques. Les trois failles en question sont les suivantes :

- CVE-2021-31204

Il s'agit d'une faille dans .NET et Visual Studio qui permet une élévation de privilèges. Cela concerne les framework .NET 5.0 et .NET Core 3.1, tandis que pour Visual Studio, il y a plusieurs versions touchées : Visual Studio 2019 version 16.X sur Windows et Visual Studio 2019 version 8.9 sur macOS.

- CVE-2021-31207

Cette faille de sécurité au sein d'Exchange a été découverte lors de la compétition de hacking Pwn2Own 2021 par l'équipe Devcore. Il s'agit d'une attaque complexe à mettre en œuvre d'après Microsoft et qui nécessite des privilèges élevés. D'ailleurs, lors de la compétition Pwn2Own, l'équipe de Devcore a effectué une élévation de privilèges avant de pouvoir exploiter cette faille.

Voici les versions d'Exchange Server concernées :

➡ Microsoft Exchange Server 2013 Cumulative Update 23
➡ Microsoft Exchange Server 2016 Cumulative Update 19 et Cumulative Update 20
➡ Microsoft Exchange Server 2019 Cumulative Update 9 et Cumulative Update 8

- CVE-2021-31200

Cette troisième et dernière faille Zero Day touche la boîte à outils Microsoft Neural Network Intelligence (NNI). Il s'agit d'une faille qui permet une exécution de code à distance. Abhiram V. de chez Resec System a corrigé cette faille directement sur le Github du projet, en poussant une nouvelle version du fichier common_utils.py.

Mai 2021 - Patch cumulatif pour Windows 10

Pour information, voici les noms des KB pour Windows 10 :

- Windows 10 version 1507 — KB5003172 (OS Build 10240.18932)
- Windows 10 version 1607 — KB5003197 (OS Build 14393.4402)
- Windows 10 version 1703 — Fin de support
- Windows 10 version 1709 — Fin de support
- Windows 10 version 1803 — KB5003174 (OS Build 17134.2208)
- Windows 10 version 1809 — KB5003171 (OS Build 17763.1935)
- Windows 10 version 1909 — KB5003169 (OS Build 18363.1556)
- Windows 10 version 2004 et 20H2 — KB5003173 (OS Build 19041.985 et 19042.985)

Les autres mises à jour de Mai 2021...

Mise à part les failles Zero Day, Microsoft a corrigé des vulnérabilités dans d'autres produits comme Windows 10, Office ou encore Internet Explorer. La liste des produits est longue et variée comme d'habitude.

Attention à ces quatre failles considérées comme critiques :

CVE-2021-31166 - Pile du protocole HTTP

- CVE-2021-26419 - Internet Explorer

- CVE-2021-28476 - Hyper-V

- CVE-2021-31194 - Windows OLE

D'ailleurs, la faille Hyper-V est particulièrement inquiétante : l'attaque s'effectue par le réseau, et Microsoft précise sur son site que le niveau de complexité pour l'exploiter est faible et qu'il ne faut pas spécialement de privilèges élevés. La Zero Day Initiative a attribué un score CVSS de 9.9 sur 10 à cette faille de sécurité.

La Zero Day Initiative alerte également les entreprises sur la faille qui touche la pile du protocole HTTP. En effet, cette faille permet à un attaquant non authentifié d'exécuter du code dans le noyau de Windows. Un paquet spécialement conçu peut affecter une machine non patchée. En plus, à la question "Is this wormable ?" Microsoft a précisé "Yes" sur son site donc on peut considérer que cette faille de sécurité est exploitable par un ver informatique.

Retrouvez la liste complète des mises à jour sur cette page : Microsoft - Sécurité Mai 2021

Bon, maintenant, il ne reste plus qu'à espérer qu'il n'y ait pas de trop de problèmes sur nos machines dans les prochains jours après l'installation des patchs... En tout cas, pour le moment c'est Outlook qui est en difficulté : Outlook : une mise à jour vous empêche de lire ou d'écrire un nouvel e-mail

Source

The post Patch Tuesday – Mai 2021 : 55 vulnérabilités et 3 failles Zero Day corrigées first appeared on IT-Connect.

Une mise à jour Outlook vous empêche de lire ou d’écrire un e-mail

12 mai 2021 à 07:34

Microsoft vient de déployer une nouvelle mise à jour pour son client de messagerie Outlook. Malheureusement, cette mise à jour génère un bug plutôt gênant : il n'est plus possible de lire vos e-mails ni d'en écrire un nouveau.

La version d'Outlook qui pose problème est la suivante : Outlook version 2104, build 13929.20372. Après avoir installé cette mise à jour, les ennuis commencent avec le client Click-to-run d'Outlook.

Problème avec la lecture des e-mails : si vous cherchez à lire un e-mail, plutôt que de voir le message entièrement, là il n'y aura seulement qu'une petite partie du message qui s'affichera, voire même qu'une seule ligne.

Problème pour écrire un nouvel e-mail : il est toujours possible de créer un e-mail et de commencer à le rédiger. Par contre, à chaque fois que vous allez appuyer sur Entrée pour sauter une ligne, tout ce que vous avez déjà rédigé dans votre e-mail sera effacé.

Au sein du centre d'administration Office 365, Microsoft a créé l'incident "EX255650" tout en précisant avoir identifié la cause du problème. Dans son message, Microsoft précise qu'un correctif sera distribué dans les prochaines heures : il faudra rechercher les mises à jour Office pour en bénéficier puis relancer Outlook. D'ailleurs, la firme de Redmond précise : "Nous prévoyons de terminer ce processus de correction et de rétablir le service pour tous les utilisateurs concernés d'ici le mercredi 12 mai 2021 à 3:00 AM UTC.", ce qui correspond à 5:00 du matin en France.

Que faire en attendant que le correctif soit déployé ?

En attendant, si la mise à jour d'Office qui corrige ce bug est longue à venir sur votre machine, vous pouvez toujours revenir en arrière : c'est un moyen d'éliminer le problème. Pour cela, vous pouvez revenir à la version précédente du 23 avril 2021, via ces deux commandes à exécuter dans un CMD :

# Se déplacer dans le dossier ClickToRun
cd "C:\Program Files\Common Files\microsoft shared\ClickToRun"
# Réaliser la bascule de version
officec2rclient.exe /update user updatetoversion=16.0.13901.20462

Suite à l'exécution de cette deuxième commande, Office va télécharger les fichiers nécessaires pour basculer sur la version souhaitée.

Il y a une autre solution pour contourner ce problème sans effectuer un changement de version : lancer Outlook en mode sans échec. J'ai bien dit Outlook, et non Windows complètement. Pour cela, avant de cliquer sur l'icône Outlook pour le lancer, appuyez sur la touche "CTRL" de votre clavier et en même temps cliquez sur l'icône. Un message va s'afficher, cliquez sur "Oui".

Lorsqu’Outlook démarre en mode sans échec, toutes les extensions sont désactivées. À chaque fois que vous fermez Outlook, il faudra penser à appuyer sur la touche "CTRL" pour le rouvrir en mode sans échec.

Une rustine en attendant que le correctif arrive sur votre machine, mais elle devrait être disponible : pensez à faire une recherche avant d'appliquer une solution de contournement.

Source

The post Une mise à jour Outlook vous empêche de lire ou d’écrire un e-mail first appeared on IT-Connect.

Bon plan – La montre connectée Huawei Watch Fit tombe à 64 €

11 mai 2021 à 13:15

La montre connectée Huawei Watch Fit bénéficie d'une belle promotion sur Cdiscount : son prix tombe à 63,99 euros. Habituellement, elle est vendue 79 euros, voire même 90 euros.

À ce prix, cette montre connectée qui tourne sous LiteOS est vraiment compétitive ! Tout d'abord, elle embarque une puce GPS, ce qui permet d'avoir un suivi directement avec la montre lors des activités sportives. Autrement dit, il n'est pas nécessaire de prendre son smartphone. Tout en sachant qu'il y a 96 modes disponibles pour le sport.

Ensuite, ce qui est intéressant, c'est son écran : il s'agit d'un écran AMOLED incurvé de 1,64 pouce avec une résolution HD (280 x 456p - 326 ppi). Pour l'autonomie, Huawei annonce 10 jours, mais l'on serait plus sur une autonomie comprise entre 6 et 8 jours, d'après les tests. Heureusement qu'elle bénéficie de la charge rapide, car l'autonomie peut sembler un peu courte pour certains.

En complément du GPS, cette montre connectée intègre un capteur cardiaque qui permet la mesure en continu de votre rythme cardiaque, ainsi que la mesure du taux d'oxygène dans le sang (SpO2).

Proposé à 63,99 euros sur Cdiscount, le produit est proposé à ce prix par un vendeur tiers, mais il est expédié gratuitement depuis la France.

➡Pour en profiter : Cdiscount - Huawei Watch Fit

The post Bon plan – La montre connectée Huawei Watch Fit tombe à 64 € first appeared on IT-Connect.

Identifiez les mots de passe vulnérables dans l’AD avec Specops Password Auditor

11 mai 2021 à 11:30

I. Présentation

Dans cet article, je vous propose de découvrir l'outil Specops Password Auditor, un logiciel gratuit qui va permettre de réaliser un audit des mots de passe au sein de son annuaire Active Directory. Grâce à cet audit, vous serez en mesure d'identifier les utilisateurs qui ont un mot de passe faible et vulnérable. Quand je dis vulnérable, j'entends un mot de passe qui a fait l'objet d'une fuite de données.

Le logiciel va également vous indiquer les comptes sans mots de passe, les comptes où le mot de passe n'expire jamais, les comptes avec des mots de passe identiques, etc... La stratégie de mots de passe déployée sur votre Active Directory sera également évaluée pour voir si elle respecte les bonnes pratiques en matière de sécurité.

Auditer la qualité des mots de passe utilisés par les utilisateurs est important pour une raison simple : les mots de passe représentent un obstacle et agisse comme une défense en matière de sécurité, donc il est indispensable de s'assurer que cette barrière de protection soit à la hauteur de vos attentes. Un compte avec un mot de passe faible est en quelque sorte une proie facile.

Malheureusement, c'est loin d'être une évidence dans les entreprises et bien souvent cette partie est négligée. Grâce à cet audit, vous allez avoir des éléments entre vos mains pour remettre le sujet sur la table auprès de votre direction...

🎥 Disponible en version vidéo :

II. Les attaques sur les mots de passe : brute force et password spraying

Avant d'aller plus loin, il me semble pertinent de vous rappeler les deux attaques les plus courantes lorsqu'il s'agit de deviner les mots de passe : les attaques de type brute force et les attaques de type password spraying. 

A. Mots de passe - Attaque brute force

Les attaques par brute force sont un grand classique et repose sur une méthode très simple : prendre un compte utilisateur comme cible et essayer un maximum de combinaisons différentes. Autrement dit, on essaie un maximum de mots de passe différents en espérant trouver la bonne combinaison et accéder au compte de l'utilisateur.

Pour cette méthode, on s'appuie sur l'utilisation d'un outil adéquat et d'un dictionnaire, c'est-à-dire un fichier qui contient des dizaines de milliers de mots de passe différents (pour ne pas dire plus). Bien souvent, les mots de passe du dictionnaire sont issus directement d'anciennes fuites de données.

Cette attaque porte bien son nom, disons que c'est une méthode un peu brute et pas très discrète. Bien qu'elle soit efficace contre les comptes avec des mots de passe faibles (nous y voilà), cela peut être beaucoup plus compliqué et plus long dès que le mot de passe est plus complexe et aléatoire.

Les systèmes de protection actuels sont capables de détecter et bloquer ces attaques, notamment l'Active Directory grâce à la fameuse stratégie de mots de passe. En fait, si un utilisateur essaie de se connecter, mais qu'il y a 5 tentatives en échecs dans un laps de temps de 1 minute, on peut verrouiller le compte par sécurité.

B. Mots de passe - Attaque password spraying

Une attaque du type password spraying se rapproche d'une attaque brute force sauf qu'il y a la volonté de rester discret. Plutôt que de cibler un seul compte, nous allons en cibler plusieurs, et plutôt que d'utiliser énormément de combinaisons différentes, on va limiter le nombre de combinaisons. L'objectif est simple : rester sous le seuil de détection et éviter que les comptes ciblés soient verrouillés.

En fait, on teste un mot de passe sur un compte, et après on teste ce même mot de passe sur d'autres comptes. Pendant ce temps, le chrono tourne en la faveur de l'attaquant, tout en poursuivant l'attaque. Au bout d'un moment, il y a de fortes chances pour que la porte s'ouvre compte tenu du fait que les mots de passe faibles sont très répandus.

Ces attaques sont plus difficiles à détecter, mais pas impossible. Généralement les tentatives de connexion sont effectuées depuis la même adresse IP : est-ce normal qu'il y ait de nombreuses tentatives de connexion infructueuses depuis la même adresse IP dans les 10 dernières minutes ? Je ne pense pas 😉.

Le décor est planté, passons à la découverte de l'outil du jour : Specops Password Auditor.

III. Les fonctionnalités de Specops Password Auditor

Specops Password Auditor va effectuer une analyse de votre annuaire Active Directory. Pour réaliser cette analyse et en tirer des conclusions, il va regarder les hash des mots de passe et scanner différents attributs des comptes utilisateurs de votre annuaire, notamment pwdLastSet, userAccountControl, et lastLogonTimestamp.

Grâce à cette analyse rapide, Password Auditor va remonter les éléments suivants :

  • Comptes avec des mots de passe vides
  • Comptes avec des mots de passe ayant fait l'objet d'une fuite de données (mots de passe divulgués)
  • Comptes avec des mots de passe identiques
  • Comptes administrateur du domaine
  • Comptes administrateur inactifs
  • Comptes où le mot de passe n'est pas obligatoire
  • Comptes où le mot de passe n'expire jamais
  • Comptes où le mot de passe est configuré pour expirer
  • Comptes avec le mot de passe expiré
  • Liste des politiques de mots de passe
  • Utilisation / affectation des politiques de mots de passe
  • Conformité des politiques de mots de passe

Specops Password Auditor va également comparer les mots de passe de votre annuaire Active Directory avec sa propre base de mots de passe. La base de mots de passe du logiciel fait environ 5 Go, ce qui représente des centaines de millions d'entrées. Cette base est construite à partir des mots de passe qui sont sortis dans différentes fuites de données et à partir des informations du site haveibeenpwned.com.

Note : la version gratuite du logiciel s'appuie sur une base de 800 millions de mots de passe, tandis que le logiciel payant, Specops Password Policy utilise la base complète de 2,3 milliards de mots de passe.

Si les mots de passe de certains utilisateurs ont fait l'objet d'une fuite de données, vous serez au courant. C'est fort probable que ce soit le cas, notamment si le mot de passe de l'utilisateur est le même dans l'AD et pour se connecter sur ses sites de e-commerce préférés.

IV. Télécharger et installer Specops Password Auditor

Pour télécharger le logiciel, il faut se rendre sur le site de Specops Software et cliquer sur le bouton "Free Download". Il suffira ensuite de remplir un formulaire. Voici le lien : Télécharger - Specops Password Auditor

Un lien de télécharger et une licence seront envoyés sur votre adresse e-mail.

L'installation est très basique, il suffit de quelques clics avec l'assistant. Cochez l'option "Start Specops Password Auditor" à la fin pour démarrer le logiciel.

Passons à l'utilisation du logiciel en lui-même.

V. Rechercher les mots de passe faibles dans l'Active Directory

Le logiciel doit tourner à partir d'une session admin du domaine pour qu'il puisse collecter toutes les informations nécessaires et auditer vos mots de passe.

Au lancement du logiciel, il y a plusieurs champs à renseigner, mais en fait les valeurs sont remontées directement. Il n'y a rien à faire si ce n'est cliquer sur "Import License" en bas à gauche pour charger sa licence gratuite. Cliquez sur "Start".

Néanmoins, vous pouvez utiliser un autre contrôleur de domaine que celui proposé si vous préférez, et vous pouvez restreindre l'analyse à une unité d'organisation spécifique en modifiant la valeur de "Scan Root".

L'étape "Breached Passwords" que l'on peut traduire par "Mots de passe divulgués" permet d'indiquer si vous souhaitez que vos mots de passe soient comparés ou non avec la base de Specops. Le but étant d'identifier les mots de passe vulnérables dans votre annuaire, car concerné par une fuite de données.

Si vous désirez utiliser cette fonction, cochez la case "Download latest version..." et indiquez un chemin au niveau du champ "Local folder". En fait, la base de mots de passe du logiciel va être téléchargée sur votre machine. Comme je le disais, cela représente environ 5 Go d'espace disque.

Cliquez sur "Start Scanning".

La première fois, l'analyse est longue, car il faut télécharger la base de mots de passe. Si vous réexécutez l'analyse ultérieurement, ce sera beaucoup plus rapide.

Une fois l'analyse terminée, un résumé s'affiche sous la forme d'un tableau de bord. Pour chaque catégorie, le verdict tombe. La vue est synthétique, ce qui est appréciable. Pour chaque partie de l'analyse, il y a une bulle rouge qui s'affiche pour indiquer le nombre d'utilisateurs concernés par le point en question.

Tableau de bord de Specops Password Auditor après analyse
Tableau de bord de Specops Password Auditor après analyse

En cliquant sur un bloc, on peut obtenir des informations précises notamment la liste des utilisateurs concernés. Par exemple, voici pour les utilisateurs dont le mot de passe est divulgué. Ce qui est pertinent aussi, c'est la partie "Report information" à gauche qui donne des informations sur l'analyse effectuée et des recommandations.

Si l'on regarde le rapport de la section "Expiring Passwords", on peut voir les comptes utilisateurs pour lesquels le mot de passe va expirer prochainement. Il y a un curseur que l'on peut bouger et qui correspond à un nombre de jours restants avant expiration, de quoi anticiper les changements de mots de passe à venir pour vos utilisateurs.

En revenant sur le tableau de bord, on peut générer un rapport en cliquant sur le bouton "Get PDF Report".

Le rapport généré est très professionnel et très propre. Il reprend chacun des points audités avec un descriptif et la liste des comptes concernés. Au début du rapport, il affiche également une note globale sur 100 qui permettra de vous situer rapidement.

Aperçu du rapport PDF généré par Specops Password Auditor
Aperçu du rapport PDF généré par Specops Password Auditor

VI. Specops Password Auditor : le mot de la fin

Exécuter une analyse de son Active Directory avec le logiciel Specops Password Auditor est un bon point de départ lorsque l'on souhaite s'attaquer au sujet des mots de passe et des stratégies de mots de passe. C'est une manière simple d'auditer soi-même la qualité des mots de passe des utilisateurs : le résumé fourni suite à l'analyse vous permettra d'établir une liste d'actions à mener pour améliorer la sécurité de votre SI.

Vous pourriez même être surpris, sur des SI avec beaucoup de comptes, beaucoup d'unités d'organisations, on peut vite passer à côté de quelques comptes qui traînent et que l'on ignore. Il vaut mieux prendre un peu de temps pour réaliser ces audits et identifier les comptes problématiques avant que quelqu'un le fasse à votre place, si vous voyez  ce que je veux dire.

💡 Avec le rapport généré par l'outil, vous avez des éléments concrets pour avancer avec votre responsable ou votre direction, bien que le rapport soit en anglais.

Envie de tester ? Voici le lien : Télécharger - Specops Password Auditor

VII. Pour aller plus loin : Specops Password Policy

En plus de cet outil de scan et d’audit des mots de passe, une autre solution de Specops, Specops Password Policy, permet de facilement filtrer les mots de passe compromis ou divulgués de votre environnement Active Directory qui auraient été détectés, et de renforcer les stratégies de mot de passe par défaut d’Active Directory. Ce logiciel apporte une réponse aux problèmes remontés par le logiciel Specops Password Auditor.

Specops Password Policy a l’avantage de se baser sur une liste complète, constamment mise à jour, de plus de 2,3 milliards de mots de passe divulgués. En fait, à partir du moment où un mot de passe se trouve dans une fuite de données, vos utilisateurs ne pourront plus l'utiliser pour leur compte Active Directory. Ce logiciel va plus loin que le système de politiques de mots de passe natif à l'Active Directory. Par exemple, pour anticiper les changements de mots de passe, vos utilisateurs peuvent être avertis par e-mail juste avant que le mot de passe arrive à expiration.

Contrairement à Password Auditor, ce second logiciel est payant, mais vous pouvez l'essayer. Si cela vous intéresse, voici le lien : Specops Password Policy

The post Identifiez les mots de passe vulnérables dans l’AD avec Specops Password Auditor first appeared on IT-Connect.

Etats-Unis : le principal opérateur de pipelines à l’arrêt à cause d’un ransomware

11 mai 2021 à 08:19

L'entreprise Colonial Pipeline est victime d'un ransomware et ce n'est pas sans conséquence puisqu'il s'agit premier opérateur de pipelines du pays. Son activité est à l'arrêt dans 18 états des États-Unis.

Suite à cette attaque qui cible le système d'information de la société Colonial Pipeline, ce sont 9 000 km de conduits qui sont à l'arrêt par mesure de précautions. Cela représente un réseau qui s'étend du Texas au New Jersey, ce qui fait de Colonial Pipeline le principal opérateur de pipelines du pays. Résultat, un état d'urgence est déclaré 18 états, car ce réseau d'oléoducs transporte 2,5 millions de barils par jour, ce qui représente près de la moitié de la consommation en carburant liquide de la côte Est des USA. Cet état d'urgence autorise le transport par voie routière de tous les dérivés pétroliers en attendant le rétablissement du réseau d'oléoducs.

Le système de contrôle des pipelines ne semble pas touché directement, mais ils sont à l'arrêt par mesure de précaution. En effet, il existe des passerelles entre ce système de contrôle industriel et le SI en lui-même. Ce qui est sûr, c'est que le système d'information est touché directement et les données chiffrées par le ransomware représentent une centaine de giga-octets. Il y a de fortes chances pour qu'une partie de ces données aient été exfiltrées également.

Les experts en sécurité de FireEye Mandiant sont missionnés pour analyser cette attaque dans le but d'en déterminer la nature et les impacts. Le ransomware qui a infecté le système de Colonial Pipeline serait DarkSide. Le réseau de pipelines sera remis en service lorsque le système d'information sera restauré.

Voici un aperçu du réseau de pipelines de Colonial Pipeline :

Source

The post Etats-Unis : le principal opérateur de pipelines à l’arrêt à cause d’un ransomware first appeared on IT-Connect.

Quelques conseils avant de choisir son nom de domaine

10 mai 2021 à 07:00

I. Présentation

Bien que cela puisse paraître anodin, le choix d’un nom de domaine avant le lancement d’un site internet n’est pas quelque chose d’aisé. En effet, pour que votre site web soit bien référencé par Google, vous devez choisir un nom de domaine avec la plus grande attention, car, contrairement au design que vous pouvez décider de changer à tout moment, le nom de domaine lui reste immuable.

Dans ce nouvel article, nous allons vous donner quelques conseils pratiques à appliquer lors du choix et l’adoption définitive d’un nom de domaine. Mais tout d’abord, nous allons vous expliquer ce qu’est véritablement un nom de domaine.

II. Qu’est-ce qu’un nom de domaine ?

Le nom de domaine est l’adresse de votre site web. C’est le lien qui permet aux visiteurs de le retrouver d’y accéder. Il est composé du préfixe (www.) suivi du nom que vous aurez choisi, ainsi que de l’extension de domaine en « .fr », « .com », « .cm », « .gov », « .org », ou même « .shop ». En vérité, le nom de domaine représente la première étape du processus de création de votre site internet. Cependant, le choix d’une extension de nom de domaine est presque aussi important que celui du nom de domaine lui-même.

En effet, les extensions de nom de domaine se déclinent en deux principaux groupes : les extensions génériques et les extensions géographiques.

A. Les extensions de nom de domaine génériques

Généralement déclinées en « .com », « .net », « .org », etc., les extensions génériques sont les plus utilisées sur le net. En effet, elles favorisent le référencement et permettent d’obtenir rapidement de bons classements SEO. D’ailleurs, il ne serait pas superflu de noter qu’un site en « .com », en « .net » ou en « .org » aura exactement le même impact sur Google.

B. Les extensions de nom de domaine géographiques

Comme son nom l’indique, les extensions géographiques sont en général liées à la localisation de votre site web : « .fr » pour la France, « .ca » pour le Canada, « .cm » pour le Cameroun, « .uk » pour la Grande-Bretagne, et ainsi de suite. Ainsi, si votre site internet est en français et destiné à des utilisateurs français, il serait judicieux de choisir un nom de domaine en « .fr ». Par contre, même si votre site web est en français, mais avec une vocation plus internationale, il est préférable dans ce cas de choisir un nom de domaine en « .com ».

C. Remarque

Les noms de domaines avec des extensions en « .com » renvoient généralement à des sites web à vocation commerciale, en « .org » à des institutions ou des organisations à but non lucratif, en « .gov » à des gouvernements, en « .shop » à des sites d’e-commerce, etc. Notons que de nouvelles extensions de nom de domaine sont enregistrées assez régulièrement auprès de l'ICANN, l’organisation chargée d’allouer et de gérer le système de noms de domaines.

III. Que faut-il faire lors du choix d’un nom de domaine ?

Le choix d’un nom de domaine comme nous vous l’avons expliqué plus haut repose sur plusieurs critères essentiels : Ainsi, un nom de domaine doit être facile à comprendre, à retenir et à écrire ; court; représenter votre entreprise ou votre activité; etc. Nous allons vous donner plus de détails sur les prérequis pour le choix d’un bon nom de domaine dans la deuxième partie de notre tutoriel.

A. Un nom de domaine facile à identifier

Le nom de domaine étant la porte d’entrée à votre site web, il doit être facilement identifiable. Cela implique que le visiteur sera non seulement capable de comprendre du premier coup d’œil votre adresse, mais aussi de l’écrire facilement. C’est pourquoi vous devez éviter les noms de domaines trop complexes et favoriser ceux pouvant être transmis le plus facilement possible par le maximum de personnes ; en fonction de votre langue, de la cible et du périmètre géographique.

Notons cependant que si votre site internet ambitionne une portée internationale, il est préférable de choisir un nom de domaine en anglais dans la mesure où l’on sait que l’anglais est la langue la plus parlée au monde.

B. Privilégier un nom de domaine court

Bien que techniquement un nom de domaine puisse comporter entre 0 et 63 caractères alphanumériques, il est toujours préférable de privilégier un nom de domaine court. D’ailleurs, plus le nom de domaine est court, mieux c’est ! En effet, les noms de domaines courts sont faciles à retenir et à transcrire. Cependant, il est fortement recommandé d’éviter les chiffres lors du choix de votre nom de domaine, car, ils peuvent facilement induire l’internaute en erreur du fait qu’il ne saura pas toujours s’il faut les saisir en toutes lettres ou pas.

C. Choisir le nom de votre entreprise ou de votre activité

Le choix d’un nom de domaine représentant une entreprise ou un secteur d’activité est en général fortement recommandé. En effet, dans les moteurs de recherche, les internautes ont généralement tendance à rechercher un site web grâce au nom de l’entreprise ou de l’activité qu’il représente. Par exemple, si vous avez une boulangerie qui s’appelle Le Bon Pain, les internautes auront tendance à rechercher « le bon pain + boulangerie » dans les moteurs de recherche. Ainsi, si votre nom de domaine est le « lebonpain.fr » ou « boulangerie-lebonpain.fr », cela va de soi que la combinaison du nom de votre entreprise et de son secteur d’activité permettra à coup à coup sûr de retrouver facilement votre site web.

D. Insérer ou non des tirets dans le nom de domaine

Comme nous l’avons vu plus haut, l’assemblage du nom de votre entreprise avec celui de votre secteur d’activité peut être un bon point pour le référencement. En effet, bien que les moteurs de recherche sont aujourd’hui capables de détecter les mots collés, l’ajout des tirets leur permettra de traiter les mots séparés plus rapidement. Cependant, l’abus des tirets peut être préjudiciable, car ils rallongent inutilement votre nom de domaine.

E. Choisir des noms de domaines uniques

Rien n’est plus désagréable pour un internaute de saisir un nom de domaine et d’être dirigé vers un site internet aux antipodes de sa recherche. Cela est généralement lié aux noms de domaines similaires pouvant pousser à confusion. Par exemple, vous avez une entreprise dont l’adresse est « mon-site.fr » et malheureusement, ce nom de domaine est trop semblable à « monsite.fr », un autre site web ne faisant pas dans le même secteur d’activité que le vôtre. Seulement, « monsite.fr » est mieux référencé par les moteurs de recherche, car faisant plus de publications que vous. Du coup, chaque fois qu’un internaute recherche « mon site » dans un moteur de recherche, c’est cet autre site web qui lui est redirigé.

Pour éviter ce genre de désagrément, vous pouvez simplement au moment de la réservation de votre nom de domaine y ajouter le secteur d’activité ou la ville. Ainsi, si vous êtes basé à Paris, vous pouvez choisir par exemple « monsite-paris.fr » ou si vous êtes un spécialiste de l’information « monsite-info.fr », vous pouvez aussi vous assurer de la disponibilité d’un nom de domaine grâce à un des meilleurs outils du marché.

F. Savoir choisir la bonne extension

Comme nous l’avons vu plus haut, l’extension de votre nom de domaine qu’il soit générique ou géographique doit être en fonction de votre cible ou de la vocation de votre site internet. Ainsi, vous votre site est informatif et destiné à un public français, il devra avoir une extension en « .fr » ou, s’il est à vocation commerciale ou destiné à un public international, dans ce cas, le « .com » est le bienvenu. Par contre si vous êtes une institution ou une ONG, votre site web aura forcément un nom de domaine en « .org ».

Notons cependant qu’il peut arriver que certains types de sites internet aient un nom de domaine avec telle ou telle extension sans que cela influence de façon particulière sa vocation. C’est le cas par exemple des sites de commerce en ligne qui peuvent très bien avoir une adresse du genre « boutique.com » ou « boutique.shop ». Cependant, lorsque dans ce cas le nom de domaine ne reflète pas de façon explicite le secteur d’activité comme dans notre exemple, il est préférable de choisir une extension en « .shop ».

G. Les accents et les caractères spéciaux

Très néfastes pour le SEO, les accents et les caractères spéciaux sont en effet à proscrire lors du choix d’un nom de domaine. En effet, les navigateurs internet ont beaucoup de mal à les interpréter, ce qui a pour conséquence de transmettre des informations erronées aux moteurs de recherche. Dans la même foulée, les adresses e-mail du même genre ne sont carrément pas reconnues par les boîtes mail donc sont par conséquent rejetées. C’est pourquoi il est préférable de choisir des caractères simples qui sont universels et favorisent le référencement.

IV. Conclusion

Nous voici arrivés au terme de notre tutoriel. Comme vous pouvez le constater, le choix d’un nom de domaine n’est pas une tâche facile. Pourtant, bien que certaines personnes préfèrent en général souscrire une réservation indépendamment de leur hébergement web, nous pensons qu’il est préférable de prendre le nom de domaine chez le même hébergeur, car cela confère quelques avantages liés par exemple au DNS ou au certificat SSL, sans parler du fait qu’il est offert gratuitement la première année. Cependant, prendre un nom de domaine indépendamment de l’hébergement n’est pas forcément une mauvaise idée, car en cas de résiliation de l’hébergement, ils peuvent toujours récupérer leur nom de domaine et le réutiliser chez un autre hébergeur web.

The post Quelques conseils avant de choisir son nom de domaine first appeared on IT-Connect.

Oups… L’Apple AirTag est déjà victime d’un piratage !

10 mai 2021 à 17:08

Finalement, le tracker Apple AirTag n'est pas inviolable : un chercheur en sécurité est parvenu à pirater l'appareil, ce qui lui a permis de le reprogrammer.

Le mois dernier, Apple a dévoilé un produit très attendu : l'AirTag. Il s'agit d'un petit appareil qui vous permet de retrouver tout objet auquel il est attaché. Grâce à l'application Localiser d'Apple et à la technologie Bluetooth, vous pouvez localiser l'AirTag.

Quand on sait à quoi sert cet appareil et comment il fonctionne, on peut imaginer de nombreux usages détournés... Du coup, il fallait s'attendre à ce que les chercheurs en sécurité (mais aussi les pirates) s'intéressent de près à la sécurité de l'Apple AirTag. Résultat, il n'aura pas résisté un mois.

Spécialisé en rétro-ingénierie, un chercheur en sécurité nommé "stacksmashing" s'est penché sur le sujet et il est parvenu à hacker l'AirTag. Résultat il a pu reprogrammer l'AirTag. Il y aura tout de même fallu quelques heures de travail pour y parvenir et il aura briqué deux AirTags, mais ce n'est qu'un détail, car c'est un bel exploit ! 😉

Yesss!!! After hours of trying (and bricking 2 AirTags) I managed to break into the microcontroller of the AirTag! 🥳🥳🥳

/cc @colinoflynn @LennertWo pic.twitter.com/zGALc2S2Ph

— stacksmashing (@ghidraninja) May 8, 2021

Il faut savoir que si vous perdez votre objet (et donc l'AirTag), vous pouvez activer le "Mode Perdu". Si quelqu'un trouve votre objet, il pourra vous aider à le retrouver. En fait, grâce à la technologie NFC, il suffit de poser le smartphone contre l'AirTag attaché à l'objet, et une notification apparaît sur le smartphone. Cette notification renvoie vers le site "found.apple.com" et la page qui s'affiche va indiquer des informations sur l'AirTag et son propriétaire.

Il s'avère que le chercheur est parvenu à remplacer l'adresse "found.apple.com" par une autre valeur : ce qui permet de renvoyer vers n'importe quel site. Suite à la découverte de cette faille de sécurité au sein de l'AirTag, Apple n'a pas encore réagi. Nul doute que cela sera fait dans les prochaines heures ou prochains jours et qu'un correctif sera disponible.

Apple AirTag Hack

Récemment, Apple a activé une nouvelle fonctionnalité basée "Détection d’un AirTag suivant vos déplacements" : dans le cas où un AirTag qui ne nous appartient pas suit vos déplacements, vous recevez une alerte. Potentiellement, cela signifie que quelqu'un vous a glissé un AirTag dans la poche. Si l'on tient compte de la faille de sécurité découverte par stacksmashing, on peut imaginer qu'il s'agisse d'une sorte de AirTag piégé qui a pour objectif de renvoyer vers un site malveillant au moment où vous allez le scanner via NFC.

Source

The post Oups… L’Apple AirTag est déjà victime d’un piratage ! first appeared on IT-Connect.
❌