La cybersécurité est un enjeu crucial pour les petites et moyennes entreprises (TPE/PME). Comment sécuriser son réseau ? C'est la question que se posent les dirigeants d'entreprises. Nous allons voir comment répondre à cette question grâce à l'utilisation des fonctionnalités de la solution TP-Link Omada.
Nous vous proposons un tour d'horizon des fonctionnalités de sécurité offertes par la solution TP-Link Omada, autour de 3 grands axes, en commençant aujourd'hui par le premier :
La sécurité du réseau : détectez et bloquez les menaces
L'authentification réseau et la sécurité du Wi-Fi
La gestion d'un portail captif et la centralisation des logs
Ceci nous permettra d'évoquer un ensemble de fonctionnalités techniques à configurer pour renforcer la sécurité d'un réseau. Ces mesures viennent s'ajouter aux autres recommandations telles que la sensibilisation des utilisateurs, les sauvegardes régulières, l'application des mises à jour, utiliser des mots de passe robustes, etc.
Pour rappel, la solution TP-Link Omada est entièrement gratuite : 0 licence pour le contrôleur en lui-même, 0 licence pour les périphériques réseau et 0 licence pour les mises à jour logicielles. Autrement dit, il vous suffit d'acheter les appareils de la gamme TP-Link Omada : routeurs, switchs, points d'accès Wi-Fi, etc. Le contrôleur TP-Link Omada peut être un boitier physique ou une machine virtuelle que vous pouvez auto-héberger.
Pour approfondir ce point, consultez notre précédent article (inclus une vidéo) sur le sujet :
II. La sécurité du réseau : détectez et bloquez les menaces
En informatique, une menace désigne un danger potentiel en mesure de compromettre la sécurité de l'infrastructure d'une organisation. Ces menaces peuvent prendre différentes formes et être présentes aussi bien en interne qu'en externe. Ceci conduit les entreprises à sécuriser leur accès à Internet, mais également leur réseau local.
La base de la sécurité d'un réseau passe par l'implémentation de règles de filtrage afin de limiter et de contrôler les flux entrants et sortants. Aujourd'hui, face à la diversité des usages et la complexité des menaces, les organisations doivent effectuer du filtrage réseau et du filtrage applicatif pour garder la maitrise de leur réseau. Ces différentes règles, que l'on peut appeler "ACL", vont permettre de déterminer ce que peut faire ou ne pas faire un équipement connecté au réseau.
Quelle est la différence entre le filtrage réseau et le filtrage applicatif ? Le filtrage réseau se concentre sur les ports et les paquets IP, tandis que le filtrage applicatif intervient au niveau des applications et de leurs protocoles spécifiques. Autrement dit, nous ne travaillons pas sur la même couche du modèle OSI. Ceci fait référence à la fonction de pare-feu dont l'implémentation est recommandée par l'ANSSI dans plusieurs de ses guides, y compris dans celui intitulé "La cybersécurité pour les TPE/PME en 13 questions".
Le trafic du réseau ne doit pas seulement être filtré de façon statique. Ce n'est pas suffisant pour assurer la sécurité du réseau. Les flux en transit sur le réseau doivent être analysés pour détecter et bloquer les comportements suspects et malveillants. C'est pour cette raison que nous pouvons recourir à un système de détection d'intrusion (IDS) et un système de prévention d'intrusion (IPS). En effet, l'IDS va analyser les paquets de données à la recherche de schémas anormaux tandis que l'IPS va bloquer les attaques en temps réel.
A. Les fonctions de TP-Link Omada
Avec la solution TP-Link Omada, nous allons pouvoir déployer un ensemble de fonctionnalités pour sécuriser un réseau par le filtrage des flux ainsi que la détection et le blocage des menaces.
La Deep Packet Inspection (DPI) analyse en profondeur le contenu des paquets pour bloquer des applications et des services indésirables et/ou malveillants.
Le blocage par DNS Proxy permet de filtrer le trafic DNS malveillant par l'utilisation d'un DNS prévu à cet effet.
Le filtrage IP, MAC et URL permet de bloquer l’accès à des sites Web, adresses IP ou mots clés spécifiques.
La création d'ACL (Access Control List) pour restreindre l'accès aux ressources réseau, au niveau du routeur, des switchs et des bornes WiFi.
La restriction géographique (GeoIP) via les listes de contrôle d’accès (ACL) permet de limiter l’accès en fonction de la localisation géographique.
Le blocage des attaques par déni de service (DoS).
La protection contre l'ARP spoofing (ou empoisonnement de cache ARP).
Etc....
En combinant l'utilisation de ces fonctionnalités, les entreprises peuvent renforcer la sécurité de leur réseau, et ainsi mieux protéger leurs données.
B. Scénario de déploiement
Pour cette démonstration, nous allons mettre en œuvre une configuration dont l'objectif sera de :
Bloquer les flux entrants en provenance de la Russie et de la Chine, grâce au filtrage géographique.
Renforcer la sécurité de la navigation Internet grâce à l'utilisation d'un proxy DNS, ce dernier pouvant filtrer les contenus malveillants. Le DNS sécurisé "https://security.cloudflare-dns.com/dns-query" sera utilisé pour bloquer les malwares.
Bloquer les applications et les services relatifs au P2P, aux tunnels VPN, au partage de fichiers en ligne, et à la prise en main à distance.
Activer les mécanismes de protection contre les attaques DoS et l'ARP Spoofing.
Détecter et bloquer les flux malveillants (P2P, User-agents suspects, etc...) grâce à l'IDS/IPS.
C. La vidéo de mise en œuvre
Ci-dessous, la vidéo de mise en œuvre technique de cette configuration avec la solution TP-Link Omada.
L'interface intuitive de TP-Link Omada permet de configurer des fonctionnalités de sécurité simplement, aussi bien sur les réseaux filaires que Wi-Fi. En effet, la plateforme TP-Link Omada permet l'administration des routeurs, des switchs et des points d'accès, que ce soit pour un ou plusieurs sites, ainsi que un ou plusieurs clients lors de l'utilisation du mode MSP.
Visitez le site TP-Link Omada pour en savoir plus :
Sachez que des nouveautés sont attendues pour la version 5.15 qui sera disponible cet été :
Prise en charge du filtrage de contenu, y compris le filtrage DNS et le filtrage d'URL
Prise en charge de la base de données de signatures d'URL, mise à jour régulière
Prise en charge du filtrage DNS pour deux catégories (Travail et Domicile)
Prise en charge de la liste noire et de la liste blanche de filtrage de contenu
Fonctionnalités de SD-WAN
Rendez-vous prochainement pour la seconde partie de cette série intitulée "L'authentification réseau et la sécurité du Wi-Fi" ! En attendant, vous pouvez commenter cet article pour donner votre avis ou poser vos questions.
Comment enregistrer des GIF sous Linux pour créer des images animées ? Aujourd’hui, je vous présente Peek, un outil qui va vous permettre d'enregistrer rapidement et simplement des GIF sous Linux.
Les GIF sont notamment pratiques pour faire office de "mini-vidéo" car nous pouvons créer des images animées, afin de montrer quelques enchaînements rapides de commande, ils peuvent très bien se substituer aux vidéos dans le cadre de tutoriels ou sur les forums afin de montrer un événement dynamique. Enfin, ils sont beaucoup moins lourds à enregistrer et à traiter que les vidéos. C'est une particularité des GIF, car ce n'est pas possible avec les formats JPG et PNG.
Peek est un outil à installer sur une machine Linux. Pour cela, il est nécessaire de disposer d'un environnement graphique sur votre machine Linux car il ne fonctionnera pas si vous êtes seulement en ligne de commande.
Version originale de l'article : 28 septembre 2017.
II. Installation de Peek sur Debian
Il y a quelques années, il était nécessaire de compiler Peek afin de pouvoir l'installer sur Linux. Désormais, il est bien intégré aux différents dépôts, que ce soit pour Debian, ElementaryOS, Ubuntu, Fedora ou encore Arch Linux. Les commandes d'installations sont fournies sur le GitHub officiel.
Il suffit de l'installer comme n'importe quel paquet. Son installation va aussi déclencher l'installation de dépendances : ffmpeg, libavdevice59 et libkeybinder-3.0-0.
sudo apt-get update sudo apt-get install peek
À la suite de son installation, Peek pourra être lancé depuis la ligne de commande ou depuis votre environnement graphique.
III. Utilisation de Peek pour enregistrer un GIF
Peek est très simple d'utilisation, il suffit de le lancer depuis votre environnement graphique. Un raccourci est présent dans le lanceur d'applications.
Une fenêtre va alors apparaître avec seulement un bouton "Enregistrer en GIF" accompagné par une flèche sur la droite. Celle-ci permet de changer le format de sortie, pour enregistrer au format MP4, par exemple. Mais, ici, c'est bien la création d'un GIF animé qui nous intéresse.
Tout ce qui sera à l'intérieur du cadre sera alors enregistré dans le GIF animé. Avant de lancer l'enregistrement, vous devez ajuster la position et les dimensions de cette fenêtre transparente, en fonction de vos besoins.
Pour mettre fin à l'enregistrement, il suffit de cliquer sur le bouton "Arrêter". Peek demandera alors où vous souhaitez enregistrer votre fichier GIF, qui sera directement exploitable. À noter également la présence d'un chronomètre pour connaître la durée de l'enregistrement. Il va de soi que plus l'enregistrement est long et la zone capturée grande, plus l'image sera lourde.
La section "Préférences" de l'application intègre quelques options pour personnaliser Peek. Par exemple, vous pouvez ajuster la fréquence d'image. Ceci aura un impact sur la fluidité du GIF, mais aussi sur son poids. Il y a également un raccourci pour lancer ou arrêter la capture : CTRL + ALT + R. Ce dernier est personnalisable.
Remarque : si vous rencontrez l'erreur "Using screen recorder backend gnome-shell Recording to file /home/harry/.cache/peek/peekTP7X0Y.mp4 convert: delegate failed", c'est probablement qu'il vous manque le paquet "ffmpeg" sur votre machine. Voici comment remédier à ce problème :
sudo apt-get install ffmpeg
IV. Conclusion
Désormais, vous êtes capable d'enregistrer des GIF animés sur votre machine Linux ! Que pensez-vous de Peek ? Connaissez-vous des alternatives ? N'hésitez pas à commenter cet article.
La sortie de Windows 11 24H2 est proche et certains changements effectués par Microsoft pourraient perturber l'accès à des fichiers partagés sur les NAS. En effet, la configuration par défaut des accès réseau basés sur l'utilisateur du protocole SMB a été renforcée.
Ceci va impacter l'accès aux données hébergées sur des partages de fichiers, notamment sur les NAS, que ce soit des modèles de chez Synology, Asustor, QNAP ou encore TerraMaster. Microsoft a mis en ligne un article à ce sujet pour avertir ses utilisateurs. Nous allons évoquer ces changements ainsi que les solutions possibles.
II. Windows 11 24H2 : ce qui change avec le protocole SMB
A. Les modifications apportées par Microsoft
Microsoft a apporté deux changements importants dans la configuration des connexions SMB sur Windows 11 24H2. L'objectif étant de renforcer la sécurité de Windows et de lutter contre certaines attaques associées au protocole SMB (dont le "SMB relay").
Par défaut, la signature SMB sera requise et obligatoire pour toutes les connexions. Dans le cadre d'une connexion SMB, où le client est représenté par le PC Windows 11 et le serveur par le NAS (ou un autre périphérique), si le serveur SMB ne prend pas en charge la signature des échanges, alors la connexion échouera.
"Nous ne savons pas faire la différence entre un NAS qui n'a pas activé la signature SMB et un serveur malveillant qui ne veut pas que la signature SMB soit activée.", voilà une phrase qui résume bien l'intérêt d'avoir la signature SMB activée, et le problème de ne pas l'utiliser.
Le basculement vers l'accès invité, appelé "guest fallback", lors de la connexion à des partages SMB sera désactivé sur Windows 11 Pro. L'accès invité sert à se connecter sur un partage réseau en tant qu'invité, c'est-à-dire de façon anonyme, sans avoir besoin de préciser un identifiant et un mot de passe. Cette possibilité va être désactivée.
À ce sujet, Microsoft précise : "La signature SMB est disponible dans Windows depuis 30 ans mais, pour la première fois, elle est désormais requise par défaut pour toutes les connexions. La fonction d'invité est désactivée dans Windows depuis 25 ans et la fonction SMB guest fallback est désactivée depuis Windows 10 dans les éditions Enterprise, Education et Pro for Workstation."
Ces changements concernent principalement les connexions SMB sortantes depuis votre appareil Windows 11 vers d’autres serveurs SMB. Autrement dit, lorsque votre appareil Windows 11 se connecte à un autre serveur, notamment un partage réseau situé sur un NAS.
B. Les erreurs que vous pouvez rencontrer
Microsoft a précisé un ensemble de messages d'erreur et de codes d'erreur que vous pouvez rencontrer avec Windows 11 24H2 lors de l'accès à un NAS. Voici les messages en question.
Si la signature SMB n'est pas prise en charge par le NAS.
0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
The cryptographic signature is invalid / La signature cryptographique n'est pas valide
Si le NAS exige une connexion en tant qu'invité (ce qui est plus rare).
You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network / Vous ne pouvez pas accéder à ce dossier partagé car les règles de sécurité de votre entreprise bloquent l'accès des invités non authentifiés. Ces stratégies permettent de protéger votre ordinateur contre les périphériques dangereux ou malveillants présents sur le réseau.
0x80070035
0x800704f8
The network path was not found / Le chemin d'accès au réseau n'a pas été trouvé
System error 3227320323 has occurred / L'erreur système 3227320323 s'est produite
Que faire pour résoudre ces erreurs ?
III. Comment configurer son NAS ?
Nous n'allons pas voir comment autoriser l'accès invité, car je considère que le risque de sécurité est trop important, autant pour votre appareil Windows 11 que pour les données hébergées sur votre NAS. Néanmoins, nous allons nous intéresser à la signature SMB.
Vous avez deux solutions :
Configurer le NAS pour activer la signature SMB et ainsi permettre la connexion des appareils Windows 11 24H2 tout en renforçant la sécurité des accès.
Configurer l'appareil Windows 11 24H2 pour ne pas rendre la signature SMB obligatoire, ce qui d'avoir une configuration identique à celle de Windows 11 23H2 et les versions antérieures.
A. Activer la signature SMB sur un NAS Synology
La signature SMB est prise en charge par le système DSM des NAS Synology. Il s'agit d'une fonctionnalité supportée dans DSM 6.2 et les versions supérieures (bien que pas située au même endroit dans toutes les versions). Voici où trouver cette option dans DSM 7.2.
Connectez-vous à DSM et accédez au "Panneau de configuration" afin de parcourir l'interface de cette façon :
1 - Cliquez sur "Services de fichiers".
2 - Cliquez sur l'onglet "SMB".
3- Cliquez sur le bouton "Paramètres avancés".
4 - Configurez l'option "Activer la signature serveur" de façon à choisir le mode "Défini par le client". La valeur par défaut est "Désactiver". Ceci permettra d'accepter les connexions des appareils Windows 11 24H2, tout en continuant d'autoriser les clients qui ne supportent pas la signature SMB, ou pour lesquels, elle n'est pas activée. Dans un second temps, il pourrait être utile de sélectionner le mode "Forcer".
Il ne vous reste plus qu'à cliquer sur "Sauvegarder" pour valider.
Ce simple changement va permettre aux appareils Windows 11 24H2 de se connecter à un partage de fichiers situés sur un NAS Synology, via le protocole SMB. À condition, bien entendu, de s'authentifier avec un nom d'utilisateur et un mot de passe. La configuration du NAS, c'est-à-dire du serveur SMB, est l'option à privilégiée.
Remarque : la signature SMB est prise en charge sur d'autres marques de NAS. L'idée générale reste la même, donc "il suffira" de naviguer dans les menus pour trouver une option équivalente à celle présentée ici.
B. Activer ou désactiver la signature SMB sur Windows 11
Pour activer ou désactiver la signature SMB sur Windows 11, il convient d'éditer la stratégie de sécurité locale ou d'utiliser PowerShell. Cette action doit être effectuée uniquement si le NAS, ou en tout cas le serveur SMB, ne supporte pas la signature SMB.
Voici la marche à suivre à partir de l'interface graphique :
Appuyez sur Win + R, tapez "gpedit.msc"et appuyez sur Entrée.
Dans l’arborescence, accédez à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
Double-cliquez sur le paramètre nommé "Client réseau Microsoft : communications signées numériquement (toujours)", ou "Microsoft network client: Digitally sign communications (always)", en anglais.
Sélectionnez "Désactivé" et cliquez sur "OK".
Ce qui donne :
Remarque : ce paramètre est configurable dans une stratégie de groupe (GPO) Active Directory afin de modifier la configuration sur un ensemble d'appareils.
Si vous souhaitez opérer en ligne de commande, vous pouvez utiliser les commandes suivantes pour configurer la signature SMB à l'aide de PowerShell. Commencez par ouvrir une console PowerShell en tant qu'administrateur.
La commande ci-dessous sert à indiquer si votre PC est actuellement configuré pour exiger ou non la signature SMB. Si la valeur retournée "true", c'est que c'est le cas. Sinon, la valeur "false" sera retournée.
Ce changement va permettre à votre appareil Windows 11 24H2 de se connecter à un partage SMB, en faisant une croix sur la signature SMB.
IV. Conclusion
Voilà, nous venons de traiter cette problématique intéressante et qui devrait perturber de nombreux utilisateurs, que ce soit les particuliers ou les professionnels. En effet, les NAS sont très répandues et nous sommes susceptibles de les croiser aussi bien dans une baie informatique que dans un salon...
Ce qui est évoqué dans cet article, en prenant le cas d'un NAS, s'applique aussi pour Windows Server. En fait, la signature SMB doit être activée sur Windows Server pour que l'appareil Windows 11 24H2 puisse se connecter à un partage de fichiers. Ce cas de figure sera abordé dans un autre article.
La configuration évoquée ici est celle attendue dans la version stable de Windows 11 24H2. De mon côté, j'ai installé une machine Windows 11 24H2 en version "Preview" et la signature SMB n'était pas forcée : j'ignore pourquoi. Si vous faites des tests de votre côté, n'hésitez pas à faire un retour en commentaire.
Qu'est-ce que le tableau de bord Google My Activity ? Peut-on désactiver l'historique sur son compte Google ? Est-il possible de supprimer les données collectées par Google ? Nous allons répondre à ces trois questions !
À partir du moment où l'on utilise les services de Google, nos faits et gestes sont intégrés au sein d'un historique. Ceci est vrai pour les recherches sur le moteur de recherche, le streaming de vidéos sur YouTube ou encore la navigation avec Maps. Google essaie de jouer la carte de la transparence grâce à une interface en ligne que chacun peut utiliser pour visualiser son activité : Google My Activity.
II. Qu'est-ce que l'outil My Activity ou Mon Activité de Google ?
Google My Activity, ou en français, Mon Activité Google, se présente sous la forme d'un centre de contrôle accessible à partir de son compte Google, à l'adresse suivante : myactivity.google.com. Même s'il n'est pas connu de tous les utilisateurs, il n'est pas nouveau, car il existe depuis 2016.
Au-delà de vous, donner l'accès à votre historique sur les différents services Google, c'est aussi un moyen de brider la collecte de données. En effet, lorsque l'on arrive sur la page d'accueil de "Mon activité Google", on peut voir en un coup d'œil l'état des fonctions suivantes :
Activité sur le Web et dans les applications,
Historique des positions,
Historique YouTube
Tout cela correspond aux recherches effectuées sur le moteur de recherche Google et sur YouTube, mais aussi aux vidéos que vous regardez en étant connecté à votre compte Google. Ainsi, vous pouvez visualiser l'historique des recherches effectuées et des pages visitées sur tous vos appareils, car ces informations sont stockées sur les serveurs de Google. Sans surprise, ces différentes options sont activées par défaut. Vous pouvez lire cet article détaillé pour en savoir plus sur l'historique de my activity.
Google décrit l'historique de YouTube de cette façon : "L'historique YouTube répertorie les vidéos que vous avez visionnées ainsi que les recherches que vous avez effectuées sur YouTube. En conservant votre historique YouTube, vous pouvez bénéficier d'une expérience plus personnalisée, comme de meilleures recommandations ou la possibilité de reprendre là où vous en étiez."
La collecte de données des utilisateurs et Google, c'est un sujet de longue date. Ainsi, si l'on souhaite utiliser les services de Google sans pour autant donner le maximum d'informations à Google, cela me semble indispensable d'aller faire un tour dans cette interface. Vous pourriez bien être surpris de voir à quel point Google trace l'ensemble de vos actions. Même si l'on sait que Google "se fait plaisir", c'est l'occasion d'avoir un aperçu, car on peut imaginer, légitimement, que ces données sont exploitées par le géant américain.
Pour désactiver l'enregistrement de données, cliquez sur chaque section et désactivez toutes les options disponibles. Par la même occasion, vous pourrez supprimer l'historique relatif à la section en cours de configuration.
L'exemple ci-dessous montre comment désactiver l'enregistrement de votre activité pour le Web et les applications Google. Vous devez cliquer sur le bouton "Désactiver" puis choisir entre, simplement désactiver, ou alors désactiver et supprimer les données actuelles. Faites le choix que vous préférez et laissez-vous guider par l'assistant. Profitez-en également pour désactiver les paramètres secondaires.
III. Comment supprimer les données de son compte Google ?
Google My Activity offre la possibilité à l'utilisateur de supprimer les données de son historique, que ce soit pour Android (historique d'utilisation des applications !), la navigation Google Maps, les recherches Google, ou encore l'utilisation de l'assistant Google.
Tout d'abord, le bouton "Supprimer" présent sur la page d'accueil du tableau de bord Google My Activity peut vous permettre de supprimer rapidement les données, notamment celles les plus récentes (dernière heure, dernier jour), sur une période personnalisée ou sur toute la période.
Le fait de choisir "Toute la période" permet de sélectionner les services et applications pour lesquels vous souhaitez supprimer les données. Ceci est efficace à condition de désactiver également l'historique, sinon, Google va continuer à collecter les données.
Plus intéressant encore, il est possible, à partir du menu "Commandes relatives à l'activité" (présent dans le menu latéral, sur la gauche) de configurer la suppression automatique des activités Google de plus de 3 mois, de plus de 18 mois ou de plus de 36 mois.
IV. Conclusion
En conclusion, je dirais que Google My Activity est un outil utile pour savoir tout ce que Google sait de vous (et qu'on a le droit de savoir). Chaque internaute qui utilise les services de Google devrait s'y connecter au moins une fois pour définir ses préférences. Malheureusement, je doute que ce soit utilisé majoritairement, sauf par les utilisateurs avertis et ceux qui souhaitent volontairement améliorer la protection de leurs données personnelles.
Retenez que My Activity est un outil pratique pour contrôler et personnaliser votre expérience avec les services Google en gardant un œil sur votre activité en ligne. En effet, l'historique est exploité par Google pour personnaliser votre expérience à différents niveaux, y compris pour les publicités.
Pour se protéger totalement contre ce phénomène, la meilleure solution reste d'utiliser des services alternatifs en remplacement de ceux de Google. Pour la recherche sur le Web, vous pouvez utiliser les moteurs de recherche Qwant et DuckDuckGo en remplacement de Google (mais sachez qu'ils s'appuient sur l'API de Bing, le moteur de recherche de Microsoft). Pour la messagerie électronique, il y a également des alternatives, notamment ProtonMail, un service suisse en perpétuelle évolution, ainsi que d'autres tels que kMail d'Infomaniak.
Connaissiez-vous cette interface de gestion Google ?
Cet article a pour but de vous sensibiliser à l'importance de la vérification de l'intégrité des sources d'installation pour vos images ISO. Nous verrons également comment répondre à la question suivante : comment vérifier l'authenticité d'une image ISO ?
Nous allons parler d'un principe fondamental de la cybersécurité qui est la préservation de l'intégrité des sources. Que ce soit dans un contexte professionnel ou personnel, il est fréquent de rencontrer des sources historiques ou des versions obsolètes de logiciels, souvent sans un suivi approprié.
Il n'est pas rare de trouver des fichiers ISO de SQL Server ou de Windows téléchargés ou modifiés sans une référence adéquate au hash ou à la source de téléchargement correspondante.
Nous allons voir comment grâce à l'outil Check-ISO ou PowerShell et des sources fiables, qu'il sera possible de vérifier nos sources pour les images ISO de produits Microsoft.
II. Rappel sur l'intégrité des sources
A. Téléchargement de source Microsoft
Microsoft propose de télécharger les sources pour les particuliers et professionnels n'ayant pas d'abonnement à partir du centre de téléchargement disponible à l'adresse suivante : https://www.microsoft.com/fr-fr/download
Ce centre permet de télécharger les sources pour divers produits comme SQL Server, Windows Server, et Office. Malheureusement, seules les dernières versions mises à jour ou supportées sont disponibles. Pour Windows 11 où Microsoft propose la dernière version en encourageant à vérifier le hash une fois le téléchargement terminé.
Microsoft fourni un tableau des hash correspondant aux différentes langues disponibles.
Pour les entreprises, le même principe est proposé de partir du centre de gestion des licences en volume, le portail professionnel.
B. Problématique
Malgré les consignes de Microsoft, la charge de travail et le temps que cela requiert peuvent être importants et faire que la vérification de l'intégrité des sources n'est pas effectuée. Nous avons remarqué que régulièrement, tant dans les entreprises que chez les particuliers, ces actions ne sont pas respectées.
Peu de personnes téléchargent à partir du portail officiel ou gardent des traces de hash. D'autant plus que les prestataires infogérants n'ont souvent pas accès à ce dernier et utilisent parfois des sources partagées ou provenant d'autres endroits. Passer une après-midi à récupérer ou chercher les hash d'une version qui n'est plus supportée ou absente du portail n'est pas pratique...
Nous verrons ensemble comment apporter une réponse à cette problématique.
Remarque : le hash d'une image ISO sera identique entre deux fichiers, même s'il ne porte le même nom, mais que leur contenu est identique. Ainsi, nous pouvons vérifier l'authenticité d'une image à partir de son hash. Si elle est altérée, son hash sera modifié donc elle n'est plus authentique.
C. Risque de sécurité
Le grand risque réside dans les sources ISO modifiées par un tiers qui pourrait y injecter un malware ou un crack, pouvant endommager le système informatique.
L'image montre comment une source récupérée sur Internet non conforme ou à partir d'un partage manipulé par une personne malveillante, peut contenir un outil espion ou un dispositif capable de contourner la surveillance de sécurité.
Afin de remédier à cela, il est nécessaire de vérifier le hash de la source avant de l'installer. Nous allons voir comment effectuer cette vérification manuellement ou de manière automatisée avec un outil.
III. Vérifier l'intégrité d'une image ISO avec PowerShell
Il est possible d'obtenir le hash d'une image ISO ou d'un quelconque fichier à l'aide de PowerShell en utilisant la commande "Get-FileHash".
Voici un exemple pour vérifier l'intégrité du fichier "J:\ISO\WINDOWS\Windows\win_10.iso" :
Une fois le hash obtenu, vous devriez le comparer avec une base de données fiable. En cas d'absence du hash dans le centre de téléchargement Microsoft, il est possible d'utiliser le site suivant :
C'est un projet initié par des membres du staff de Microsoft et des MVP, intégrant les hash de toutes les distributions Microsoft officielles.
Le site contient une base de données riche, avec 380 téraoctets d'informations et d'images ISO, sous réserve de Microsoft. Il demeure ainsi l'une des sources les plus fiables à ce jour, recommandée sur plusieurs forums et blogs, y compris dans les Q&A de Microsoft.
Il suffit de coller le hash obtenu dans la barre de recherche, numérotée 1, située dans l'onglet "Recherche", puis d'appuyer sur Entrée.
Cette tâche peut s'avérer lente ou contraignante pour un grand nombre d'images ISO à vérifier, surtout pour les utilisateurs non avertis. De plus, le lien du site peut être amené à changer.
Pour répondre à ce besoin, l'outil Check-ISO a été développé.
IV. Le projet Check-ISO
Suite à plusieurs demandes des membres de la communauté IT-Connect et afin d'automatiser et de faciliter les actions précédentes, le projet Check-ISO a vu le jour. Cela permettra de gagner en temps et en maniabilité dans le processus de vérification d'intégrité. L'outil est open source, disponible en français et en anglais, et développé par Dakhama Mehdi.
Cet outil est essentiel pour toute personne effectuant fréquemment des installations, qu'il s'agisse de techniciens, d'administrateurs système ou même de responsables de la sécurité des systèmes d'information (RSSI). Ceci vous permet de vérifier si votre image ISO correspond bien à une image officielle de Microsoft, et à quelle version elle correspond.
A. Utilisation
Il n'y a rien de plus simple pour l'utilisation de l'outil ; il suffit de le lancer sous les différents formats et de sélectionner votre fichier ISO. Il est disponible au format exécutable, PS1 (script PowerShell) et dans le Microsoft Store.
Indiquez ensuite le chemin de la source Microsoft à vérifier.
Vous avez la possibilité de sélectionner l'algorithme de hachage à utiliser pour la vérification.
Cliquez ensuite sur "Vérifier ISO" et patientez jusqu'à ce que la vérification soit complète. Notez que le temps de calcul dépend de l'algorithme utilisé ainsi que de la taille de l'ISO.
Une fois la vérification terminée, le nom de la source sera listé en vert, si cette dernière est authentique. Dans le cas contraire, un message en rouge sera affiché indiquant que la source n'a pas été trouvée, et n'a pas pu être vérifiée.
B. Téléchargement
Check-ISO peut être obtenu de deux manières. Tout d'abord, en passant par le Microsoft Store intégré à Windows.
Entrez le nom "Check ISO" dans la barre de recherche et installez l'outil, cette méthode offre les avantages suivants :
Ne nécessite pas de droit admin
La source est vérifiée par l'équipe Microsoft
Cela garantira une mise à jour automatique des versions (pour régler les éventuels bugs)
La seconde méthode de téléchargement consiste à utiliser GitHub.
Copiez le code PowerShell disponible directement dans votre éditeur PowerShell ISE et enregistrez le projet. Vous avez également la possibilité de télécharger le code source au format ".ps1". La page du projet propose également une version portable de l'outil (.exe) signée pour en simplifier l'utilisation.
V. Conclusion
Désormais, vous êtes capable de vérifier l'authenticité d'une image d'un produit ou système d'exploitation Microsoft ! Vous n'avez plus d'excuses pour ne pas le faire ! La logique est la même pour d'autres images ISO ou fichiers, à condition de connaître le hash du fichier d'origine.
Le gang de ransomware Monti a frappé fort dans le Sud de la France en faisant 3 victimes d'un coup : l'aéroport de Pau-Pyrénées, l'école de commerce de Pau ainsi que le campus numérique de la ville. Faisons le point !
Dans la nuit du dimanche 12 au lundi 13 mai 2024, un groupe de pirates nommé Monti Ransomware a mené des cyberattaques à l'encontre de trois institutions de la ville de Pau. Les pirates sont parvenus à s'introduire sur l'infrastructure de l'aéroport de Pau-Pyrénées, l'école de commerce Eklore (ex-CNPC) et le campus numérique de la ville de Pau. Il s'agit de trois institutions liées à la Chambre de Commerce et d'Industrie (CCI) Pau Béarn.
Les journalistes de Sud-Ouest sont parvenus à obtenir des informations auprès de la CCI : « Les activités ne sont pas arrêtées mais simplement en mode dégradé. Il n’y a aucun souci sur les vols à l’aéroport. Idem à l’école de commerce, où les cours ont lieu mais sans une partie des outils numériques. », peut-on lire. Une plainte a été déposée.
Des données publiées sur le Dark Web
Sur son site accessible via le Dark Web, le gang de ransomware Monti a mis en ligne des données volées lors de cette cyberattaque. Il serait question de plusieurs milliers de documents, dont des documents administratifs, des factures, des bilans RH ainsi que des informations personnelles relatives aux salariés et aux étudiants. Des données précieuses pouvant être utilisées pour mener des campagnes de phishing ou tenter d'usurper l'identité des personnes concernées.
La divulgation des données par les pirates n'est pas une surprise : en France, les établissements publics ont pour consigne de ne pas payer la rançon demandée par les cybercriminels. Ceci est la bonne décision, mais généralement cela en résulte à la mise en ligne des données exfiltrées lors de l'attaque.
Le gang de ransomware Monti a été repéré pour la première fois en juin 2022. S'il porte un nom proche du ransomware Conti, ce n'est surement pas un hasard : le ransomware Monti partage certaines tactiques avec Conti, ce dernier ayant "fermé ses portes" en mai 2022. Ce qui a donné lieu à la naissance d'autres groupes de cybercriminels.
Grosse alerte de sécurité chez Check Point : un correctif de sécurité a été publié en urgence pour corriger une faille zero-day présente dans la fonction VPN des firewalls Check Point. Le problème : cette vulnérabilité est massivement exploitée par les pirates. Faisons le point.
En début de semaine, Check Point a mis en ligne un rapport pour évoquer une vague d'attaques visant ses firewalls. À ce moment-là, l'entreprise américaine évoquait une campagne basée sur l'utilisation de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.
Ces dernières heures, Check Point a fait une autre découverte à ce sujet : les pirates exploitent une faille de sécurité zero-day présente dans la fonction VPN pour compromettre les firewalls.
Désormais associée à la référence CVE-2024-24919, cette vulnérabilité est décrite de cette façon par Check Point : "La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur les passerelles connectées à Internet dont l'accès à distance VPN ou l'accès mobile est activé.", peut-on lire dans le bulletin de sécurité de l'éditeur. Elle est associée à un score CVSS v3.1 de 7.5 sur 10.
Une faille zero-day exploitée depuis le 30 avril
Cette faille de sécurité zero-day est exploitée depuis, au moins, le 30 avril 2024 : date à laquelle la société mnemonic a constaté des tentatives d'exploitation chez certains de ses clients.
D'ailleurs, le rapport mis en ligne par mnemonic apporte des précisions sur les risques associés à cette vulnérabilité qui "permet à un attaquant d'énumérer et d'extraire des hashs de mots de passe pour tous les comptes locaux, y compris le compte utilisé pour se connecter à Active Directory." - On comprend mieux l'attirance des cybercriminels pour cette faille de sécurité.
Check Point recommande d'ailleurs de renforcer la sécurité du compte permettant de lier l'appliance firewall à l'annuaire Active Directory. À juste titre, voici ce que l'on peut lire dans l'article de mnemonic : "Les mots de passe faibles peuvent être compromis, ce qui entraîne d'autres abus et des mouvements latéraux potentiels au sein du réseau."
Qui est affecté ? Comment se protéger ?
D'après le site de Check Point, les produits suivants sont affectés : CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances. Pour que l'appliance soit vulnérable, il doit y avoir une ou plusieurs fonctions d'accès distance activée (Access VPN ou Mobile Access Software Blades).
Un hotfix a été publié pour diverses versions de système, y compris pour certaines versions en fin de vie.
Check Point a publiéun article de support pour guider ses clients dans l'installation du correctif de sécurité, dit "hotfix", permettant de se protéger de la CVE-2024-24919. Référez-vous à cette page pour accéder au téléchargement propre à votre version et lire les instructions de l'éditeur.
Aujourd'hui, le tracking web joue un rôle fondamental pour les entreprises cherchant à optimiser leurs ressources de manière efficiente. En analysant et en comprenant minutieusement le comportement des utilisateurs en ligne, le tracking web offre aux entreprises des informations précieuses pour allouer judicieusement leurs ressources. Dès lors, il permet de cibler les investissements marketing, de renforcer les stratégies d'acquisition et d'améliorer l'expérience utilisateur, offrant ainsi un avantage concurrentiel significatif.
Dans la suite de l’article, nous vous expliquons à quoi correspond précisément le tracking web ainsi que pourquoi et comment le mettre en place.
Qu’est-ce que le tracking web ?
Le tracking web fait référence à la partie collecte de données du web analytics. Ce dernier est une pratique visant à suivre et à comprendre le comportement des visiteurs sur un site web ainsi que les performances des stratégies d’acquisition. Cela implique la collecte, l'analyse et l'interprétation des données générées par un site. Son objectif principal est d'évaluer la performance des sources d'acquisition et d'améliorer les résultats en comprenant le comportement des utilisateurs.
Le tracking web (tracking client-side ou tracking server-side) est la composante de la collecte de données du web analytics. Il désigne la méthode spécifique utilisée pour collecter des informations sur le comportement des utilisateurs en ligne. Ce processus implique l’élaboration d’un plan de taggage et l'utilisation de diverses technologies telles que les cookies, les balises pixels et les scripts pour enregistrer les actions des utilisateurs sur un site web. Ainsi, le tracking web permet de recueillir des données détaillées sur les interactions des utilisateurs telles que les mouvements de souris, les clics et les interactions avec les éléments de la page.
Ce tracking peut être mis en place pour des outils d'analyse web, mais également pour des plateformes publicitaires telles que Google Ads, Meta Ads, etc. Les données collectées grâce au tracking web peuvent être de nature quantitative (taux, nombre d'utilisateurs, etc.) ou qualitative (appareils utilisés, source de trafic, etc.).
Pourquoi mettre en place un tracking web ?
Les deux objectifs principaux du tracking web sont de comprendre les performances des efforts d'acquisition marketing et d'appréhender le comportement des utilisateurs sur un site. Cela se traduit par l'analyse des résultats des campagnes marketing, incluant le trafic, les taux de conversion, les chiffres d'affaires, le ROAS, etc. Cette analyse peut être effectuée dans le temps ou en comparant différentes campagnes, annonces, etc.
La mise en place du tracking web doit permettre de comprendre qui sont les profils de visiteurs les plus actifs en termes de trafic et de conversions, ainsi que ceux qui quittent rapidement le site. Il est également important de déterminer la provenance des visiteurs afin de cibler efficacement les canaux les plus performants et allouer judicieusement les ressources.
Finalement, le tracking web offre une vue détaillée et précise des performances sur site des entreprises, permettant ainsi d'ajuster les stratégies pour optimiser les résultats et l'expérience utilisateur.
Comment mettre un en place un tracking web ?
Le tracking web implique plusieurs étapes essentielles pour assurer une collecte de données précise et utile.
Étape 1 : Réaliser un plan de mesure
En premier lieu, il peut être intéressant de réaliser un plan de mesure. Ce dernier permet de réaliser un cadrage détaillé du tracking web. Ce plan rassemble ainsi les informations cruciales pour orienter la collecte de données de manière efficace (liste des KPI et dimensions associées, informations sur la gestion du consentement, etc).
Étape 2 : Réaliser un plan de taggage
L'étape suivante consiste en la réalisation d’un plan de taggage dans lequel sont définis précisément les éléments qui doivent être traqués (actions utilisateurs). Il fournit des instructions sur la manière dont le tracking doit être réalisé. Ce document aligne toutes les parties prenantes autour d'une stratégie commune de collecte de données, tout en guidant les développeurs chargés de l'implémentation. Le plan de taggage, également connu sous le nom de plan de tracking, est donc d’une importance capitale dans les projets de tracking web. C’est pourquoi il doit nécessairement être créé avant l’implémentation du tracking.
Étape 3 : Déployer le plan de taggage
Le déploiement du plan de taggage se fait généralement par le biais d'un développeur qui implémente un code permettant l'envoi des données dans le dataLayer. Une vérification rigoureuse est ensuite nécessaire pour s'assurer que les données remontent correctement dans le dataLayer.
Étape 4 : Configurer les outils du tracking web
La configuration des outils de collecte de données, tels que Google Analytics 4 (GA4), Google Tag Manager (GTM), ou des plateformes de gestion de consentement (CMP), constitue une autre étape cruciale. Cela implique la création de variables, balises, déclencheurs dans GTM, ainsi que la mise en place des flux de données, la création de métriques personnalisées, etc., dans GA4. Une vérification rigoureuse est ensuite nécessaire pour s'assurer du bon fonctionnement et de la précision des données collectées par ces outils.
Cette étape consiste à configurer les différents outils utilisés pour la collecte, à savoir :
La CMP envisagée (Axeptio, Didomi, OneTrust, etc) ;
Le TMS envisagé (Google Tag Manager, Commanders Act, etc) - Création des variables, des déclencheurs, des balises, etc ;
L’outils web analytics envisagé (par exemple : Google Analytics 4) - Création de la propriété, activation ou non des signaux Google, création des conversions, création des dimensions personnalisées, connexion à BigQuery, connexion à Google Ads, connexion à Google Search Console, etc (+ 20).
Étape 5 (optionnelle) : Mettre en place des dashboards analytics
Enfin, bien que cela sorte de la sphère du tracking web, pour compléter ce dernier, il est possible de mettre en place des dashboards analytics. Il s’agit d’une autre étape du web analytics, dans la continuité du tracking web. Les dashboards offrent une visualisation claire et interprétable des données collectées, permettant aux entreprises de mieux comprendre et exploiter les informations. La mise en place de dashboard analytics va au-delà du simple suivi web : elle transforme les données en visualisations pertinentes pour une analyse approfondie de l'acquisition marketing et du comportement des utilisateurs sur un site web.
Quel est le rôle d’une CMP dans un tracking web ?
Chaque jour, des millions d'utilisateurs parcourent le web, laissant derrière eux une traînée numérique d'informations personnelles. Dans cette ère de données omniprésentes, la gestion du consentement devient une pièce maîtresse pour les entreprises souhaitant rester en conformité avec des lois telles que le RGPD, la Loi 25, et le CCPA.
Les Consent Management Platforms (CMP) sont les boucliers permettant aux entreprises de naviguer plus sereinement à travers ces réglementations évolutives.
Une CMP est un outil permettant de gérer le consentement donné par les utilisateurs du site web concerné. Cette solution permet aux entreprises de collecter, stocker et gérer le consentement de leurs utilisateurs de façon claire, transparente et en restant en conformité avec la législation en vigueur dans les différentes zones géographiques. En effet, la législation n’est pas la même en fonction du pays dans lequel se trouve l’utilisateur.
Dans cet article, nous allons découvrir et apprendre à maitriser Nuclei : un scanner web, open-source, rapide et puissant. Cet outil peut être utilisé dans de nombreux cas, notamment pour scanner un ou plusieurs sites web très rapidement et découvrir de potentielles vulnérabilités les affectant, et ce, de façon automatisée.
Nuclei propose de très nombreux points de test et de vérification. Par exemple, il vous permettra de facilement découvrir sur des sites web :
Des fichiers sensibles accessibles ;
Des signatures spécifiques à certaines technologies, voire la découverte de leur version exacte ;
Des CVE affectant une application ;
Des logins par défaut ;
Des défauts de configuration concernant l'application web, le service web, les en-têtes de sécurité ou les cookies ;
Des pages d'administration exposées ;
Réaliser des tâches de fuzzing ;
Certaines vulnérabilités du top 10 OWASP ;
Etc.
Et, je ne parle même pas de la prise en compte d'autres protocoles qui peuvent graviter autour de la réalisation d'une analyse de sécurité sur des applications web : DNS, SSH, SSL, mais aussi la réalisation de tâches d'OSINT ou d'analyse de fichiers, etc.
Ce projet open source présent sur le dépôt de ProjectDiscovery possède de nombreuses forces :
Rapidité : Nuclei est écrit en Go (Golang), un langage notamment optimisé pour le parallélisme et les opérations web/API. Il est capable d'effectuer un grand nombre d'opérations sur plusieurs centaines de sites en relativement peu de temps comparé à d'autres outils.
Développement communautaire : presque 5 000 commits en 4 ans existences, plus de 300 contributeurs venant de nombreux pays et plus de 8 000 modules de test. La grande force de Nuclei est également sa communauté qui propose continuellement de nouveaux modules de test pour suivre l'actualité des attaques et des vulnérabilités.
Simplicité de prise en main et de personnalisation : vous le verrez à la fin de cet article, la prise en main de Nuclei est aisé, un peu de pratique sera nécessaire pour une utilisation avancée, mais rien d'insurmontable, il suffit de savoir lire la manpage. Également, les choix techniques faits par les développeurs rendent l'outil personnalisable très facilement grâce au format YAML.
Dans les faits, j'utilise très fréquemment de Nuclei pour automatiser toute sorte de vérification, que ce soit sur une application web précise ou sur plusieurs centaines de sites. Ainsi, les cas d'usage les plus fréquents de Nuclei sont :
Effectuer une analyse globale d'une surface d'attaque composée de nombreuses applications web ;
Réaliser un check-up régulier de la sécurité des applications web de son entreprise ;
Automatiser la vérification de certains points lors test d'intrusion ou d'une recherche Bug Bounty ;
Vérifier rapidement sur un grand nombre de sites la présence d'une nouvelle vulnérabilité publiée ;
Etc.
Attention, bien que Nuclei ne soit pas fait pour exploiter des vulnérabilités, il enverra des requêtes qui s'apparenteront quoi qu'il arrive à une cyberattaque. Ainsi, assurez-vous de disposer d'une autorisation explicite des propriétaires des applications web visées (test d'intrusion, analyse interne à l'entreprise ou Bug Bounty). Pour rappel : Code pénal : Chapitre III : Des atteintes aux systèmes de traitement automatisé de données
II. Installation de Nuclei
Nous allons à présent installer Nuclei, j'utilise pour cela un OS Linux (Kali Linux), mais cela devrait fonctionner sur n'importe que Système Linux. L'outil étant écrit en Go, votre système doit disposer de quoi exécuter les programmes écrit en Go, vous pourrez vérifier que c'est le cas via la commande suivante :
$ go version
go version go1.21.6 linux/amd64
Si vous n'avez pas une version en réponse, c'est que Go n'est pas présent sur votre système. Je vous oriente vers la documentation officielle, très claire, pour l'installer :
Pour que Nuclei puisse être utilisé depuis n'importe quel dossier de votre système, n'oubliez pas d'ajouter le répertoire dans lequel seront stockés les binaires Go dans votre variable "PATH" et d'intégrer cette modification à votre ".bashrc" :
export PATH=$PATH:/usr/local/go/bin
Une fois cela fait, nous pouvons installer Nuclei avec la commande suivante :
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
Pour vérifier qu'il s'est bien installé, vous pouvez utiliser la commande suivante :
nuclei --version
Si tout s'est bien passé, voici le résultat attendu :
Récupération de la version Nuclei installée.
L'outil étant très souvent mis à jour, cette commande vous permettra également de mettre à jour Nuclei. Pour finir, il faut nous assurer que notre base de templates, nom des modules de test de Nuclei, est à jour. Nous pouvons pour cela utiliser la commande suivante (-ut" pour "--update-templates") :
nuclei -ut
Voici une sortie possible :
Mise à jour des templates Nuclei.
Voilà, notre base est à jour. Pensez à mettre souvent à jour votre base de template, car de nouveaux sont très souvent disponibles.
II. Maitriser Nuclei pour scanner des sites web
A. Utilisation basique de Nuclei
À présent, nous allons commencer à utiliser Nuclei dans des cas basiques, afin de se faire la main. Pour commencer, nous pouvons lancer Nuclei en mode "par défaut", sans trop lui spécifier d'option. Nous devons au moins lui spécifier l'application web à scanner :
Utilisation basique de Nuclei sur une application web.
Comme vous pouvez le voir, nous obtenons quelques informations à propos du contexte de lancement du test. Nous voyons notamment si Nuclei et notre base de template sont à jour, mais aussi le nombre de templates qui seront utilisés ici : 7921.
En sachant qu'un template peut lui-même exécuter plusieurs requêtes, cela donne une idée du nombre de requêtes et de tests que Nuclei va faire.
Vu l'application web testée ici, je ne suis pas près de trouver des vulnérabilités là-dessus avec Nuclei. Mais c'est pour l'exemple :). Vous noterez tout de même que Nuclei me renvoie quelques alertes de type "[info]", qui correspondent à des points de vérifications standard (certificat, CDN utilisé, technologies, etc.).
Pour connaitre le nombre exact de requêtes qui seront envoyées, et en plus avoir un état d'avancement du test, je vous conseille de systématiquement utilisé l'option "--stats" :
nuclei -u https://monapplication.tld --stats
Voici ce que cette option va changer :
Utilisation de l'option "-stats" de Nuclei.
Vous aurez un suivi, toutes les 5 secondes, du nombre de tests fait et à faire, le nombre d'hôtes qui ont été scannés parmi ceux fournis en entrée, le nombre de template pour lesquels il y a eu un résultat (4 dans mon exemple) et le nombre d'erreurs. Ce dernier nombre sera forcément élevé puisque la plupart des tests n'aboutiront pas, la cible ne pouvant de toute façon pas être vulnérables à tout d'un seul coup :-).
Pour aller plus loin, nous pouvons aussi scanner non pas une application web, mais un nom de domaine, observons la différence :
Utilisation de Nuclei sur un nom de domaine.
Comme vous pouvez le voir, Nuclei va utiliser "httpx" sur le nom de domaine fournit. Cet outil tiers va permettre de déterminer quels sont les services web accessibles sur le nom de domaine en allant vérifier sur les ports classiques pour ce service : TCP/80, TCP/81, TCP/443, TCP/8080, etc. Cela permet de faire une analyse un peu plus large, et de scanner aussi bien le service TCP/443 que les TCP/8080 si les deux sont présents pour un même domaine.
Enfin, dans un contexte plus réaliste, nous pouvons scanner plusieurs applications web, domaine ou adresse IP. Il suffit pour cela de créer un fichier texte avec une cible par ligne et d'indiquer ce fichier à Nuclei :
nuclei --list mesCibles.txt --stats
Voilà pour l'utilisation vraiment basique de Nuclei. Peut-être avez-vous déjà eu des premiers résultats ici, mais je vous conseille de continuer la lecture de l'article, car nous allons apprendre à manier l'outil de façon beaucoup plus efficace et intéressante.
B. Découverte et usage des templates
Comme indiqué dans l'introduction, la puissance de Nuclei réside dans ses nombreux templates et son approche modulaire. Les templates de Nuclei décrivent chacun un test bien précis et ceux-ci sont organisés en catégories et en tags, ce qui permet de facilement les utiliser en fonction de nos besoins. Voici notamment un aperçu des tags les plus présents :
Extrait du tableau présentant les principaux tags, auteurs et catégories des templatesNuclei.
Vous trouverez sur la page suivante la totalité des tags pouvant être utilisés dans les options d'exécution de Nuclei :
Par défaut, vos templates Nuclei sont normalement stockés dans le répertoire "~/.local/nuclei-templates/". Vous pourrez également les parcourir dans ce répertoire local.
Commençons, pour se faire une idée, par afficher tous les templates disponibles grâce à l'option "-tl" :
Option permettant de lister tous les templates Nuclei.
Comme vous pouvez le voir, il y a du monde ! Pas loin de 8 000 templates sont disponibles en date d'écriture de cet article. La capture ci-dessus est bien sûr tronquée. On peut notamment retrouver un début de hiérarchie dans la capture ci-dessus (cloud, code, exposures, etc.). Pour avoir une meilleure idée, voici à quoi ressemble un templateNuclei :
Ce template, qui se trouve dans le répertoire "http/exposed-panels/" et utilise les tags "panel" et "phpmyadmin" (ligne 17) a pour but de découvrir la présence d'une page d'authentification ou d'un panel "PHPMyAdmin" sur nos cibles.
Nous pouvons notamment voir les payloads qui seront utilisés sur chaque cible, il y en a ici 12. Ce qui signifie que ce test à lui seul générera 12 requêtes par cible. En exécutant ce test, Nuclei essaiera de charger la page "{{baseURL}}/phpmyadmin/" puis "{{baseURL}}/admin/phpmyadmin/", etc. Le "{{BaseURL}}" étant bien sûr remplacé à la volée par l'URL des applications ciblée par nos tests.
Pour chaque réponse, il consultera le code source de la page afin de trouver les chaines de caractères "phpMyAdmin" ou "pmahomme" et lèvera une alerte de niveau "[info]" s'il obtient une réponse positive.
Pour exécuter une analyse se basant sur ce template uniquement, nous pouvons utiliser la commande suivante :
Ici, Nuclei va automatiquement aller cherche le fichier ".yaml" au sein du répertoire par défaut de stockage des templates. Si nous souhaitons utiliser un ensemble de template en fonction de leur catégorie, nous pouvons utiliser la commande suivante :
# Templates relatifs à la découverte de panels d'administration
nuclei -t http/exposed-panels/* -list mesCibles.txt -stats
# Templates relatifs à la découverte de technologies et version
nuclei -t http/technologies/* -list mesCibles.txt -stats
Nous pouvons également nous aider des tags, qui permettent de sélectionner des templates dans plusieurs catégories. Par exemple, si nous avons un CMS "Joomla" à scanner, nous pourrions souhaiter découvrir ses plugins, sa version, puis la présence de CVE ou défauts de configuration spécifiques à "Joomla". Chacun de ces tests se trouve dans une catégorie Nuclei différente, mais tous partagent le même tag : "joomla". Exemple :
# Lister les tous les templates ayant un tags "joomla"
nuclei -tl --tags joomla
# Exécuter tous les templates ayant un tags "joomla"
nuclei --tags joomla -list mesCibles.txt -stats
L'utilisation unitaire d'un template, groupée via les tags ou via les catégories, est ce qui rend Nuclei très pratique d'utilisation et modulable en fonction des besoins et des cibles à scanner. Le grand nombre de templates et de modules nécessite quelque temps de pratique avant de pouvoir exploiter complètement la puissance de Nuclei, mais cela vaut vraiment le coup.
Nuclei est un outil très modulable et propose, en plus de ses nombreux templates, de nombreuses options. Prenez le temps de lire l'aide de l'outil pour avoir un aperçu de tout ce qu'il est capable de faire : "nuclei --help"
Également, plutôt que de réaliser une analyse soit trop précise, soit trop vague entrainant un grand nombre de requêtes inutiles. Nous pouvons utiliser le mode "intelligent" de Nuclei qui va utiliser l'application wappalyzer afin de réaliser une première découverte des technologies utilisées, puis un scan en utilisant les tags associés à ces technologies. Cette opération se fait via le tag "-as" (pour "-automatic-scan") :
# Analyse intelligente basée sur le détecteur de technologie wappalyzer
nuclei --tags joomla -list mesCibles.txt -stats
Avec ces quelques options, vous maitriserez mieux les différents concepts et la puissance de Nuclei. Pour vous faciliter l'utilisation des tags, je vous propose ce tableau qui détaille, pour les principaux tags, leur cas d'usage :
Tag
Usage
--tags cve, --tags cve2023, --tags cve2022
Templates relatifs à la détection de CVE. Utilisable aussi par année.
--tags panel
Templates permettant de découvrir des panels d'administration spécifiques à certaines technologies.
--tags wordpress, --tags wp-plugin, --tags joomla, etc.
Templates relatifs aux CMS, ou à la découverte de plugins des CMS.
--tags exposures
Templates permettant de rechercher des fuites de données dans des fichiers exposés (backups, configurations, etc.)
--tags osint
Templates relatifs à la recherche d'informations par sources ouvertes.
--tags tech
Templates de recherche de bannières des technologies utilisées et de leurs versions.
--tags misconfig
Templates permettant de rechercher des défauts de configuration classiques et connus dans les services web, les CMS, etc.
IV. Concevoir son propre template
A. Comprendre la structure d'un template
Nous allons à présent étudier un peu plus précisément les différents composants d'un template afin d'avoir les connaissances nécessaires pour construire notre premier template.
Vous l'autre peut être remarqué en manipulant Nuclei ou en lisant cet article, les templates Nuclei sont écrits en YAML et visent à décrire précisément comment les requêtes seront envoyées et leurs réponses analysées. On retrouve d'ailleurs l'utilisation du YAML dans les règles de détection SIGMA. Voici la structure globale d'un template :
Identifiant unique
C'est le nom du template, il sera utilisé notamment lors de l'affichage d'une alerte :
id: mon-premier-template
Les informations de métadonnées
Les "info" sont les données annexes d'un template, comme l'auteur, la description, mais aussi les tags, le niveau de criticité de l'alerte qui sera levée, etc. Elles sont importantes pour bien réutiliser, comprendre et évaluer les résultats de notre template par la suite.
info:
name: Mon premier template
author: it-connect
severity: medium
description: Je ne sais pas encore
reference: https://www.it-connect.fr
tags: generic
Le protocole cibléet la requête
Comme indiqué, bien que Nuclei s'oriente principalement autour du web (HTTP), il peut aussi faire quelques actions sur d'autres protocoles comme SSH, DNS, ou directement sur des fichiers. C'est aussi là que sera décrite la requête à envoyer, avec sa méthode (dans le cas de l'HTTP), les données POST, le chemin ciblé, le tout en utilisant des variables comme "{{BaseURL}}", comme vu plus haut.
Voici un exemple du module "tomcat-exposed-docs.yaml"
http:
- method: GET
path:
- '{{BaseURL}}/docs/'
Les matchers
Les matchers sont les éléments principaux du template, ils permettent d'analyser la réponse obtenue et d'y rechercher des éléments indiquant le succès de l'opération. Il s'agit en fait de différentes conditions pouvant s'appliquer sur les en-têtes de réponse, le corps de la réponse, son statut, sa taille, etc. Il est alors possible d'indiquer si toutes les conditions doivent être remplies pour déterminer un succès, ou seulement certaines d'entre elles. Ce sont notamment ces conditions qui assurent un minimum de faux positif.
Voici un exemple du template "tomcat-exposed-docs.yaml" :
matchers-condition: and
matchers:
- type: word
words:
- 'Apache Tomcat'
condition: and
- type: status
status:
- 200
Dans l'exemple ci-dessus, les conditions sont à la fois la présence de "Apache Tomcat" dans le corps de la réponse, et l'obtention d'un code HTTP 200 en retour.
Les extractors
Les extractors sont optionnels et sont déclenchés uniquement en cas de succès du test. Ils permettent de récupérer des informations supplémentaires comme une version grâce à une expression régulière.
Voici un exemple du module "tomcat-exposed-docs.yaml" :
Maintenant que nous connaissons la structure globale d'un template. Nous pouvons construire notre premier templates. Nous ferons simple pour débuter.
Supposons que nous avons découvert que l'administrateur système qui a été embauché pour l'été afin d'effectuer une sauvegarde de nos nombreuses applications web n'a pas été très rigoureux et a laissé certaines de ces archives "backup-lesysadmin.zip" à la racine des applications web. Notre entreprise possédant 340 serveurs web en DMZ avec plusieurs dizaines d'applications chacun, toutes dans des répertoires différents, il serait aussi rapide d'utiliser Nuclei pour aller identifier la présence de ce fichier sur toutes nos applications web.
Pour répondre à ce besoin, il faut commencer par définir les métadonnées de notre template :
id: recherche-zip-sysadmin
info:
name: Recherche archive ZIP du Sysadmin
author: it-connect
severity: medium
description: Recherche de l'archive ZIP créée par notre Sysadmin cet été
reference: https://www.it-connect.fr
tags: generic
Nous allons ensuite définir la requête à envoyer et les conditions à réunir pour déterminer le succès de l'opération. Ici, un code "200" et un en-tête "Content-Type" à "application/zip" :
http:
- method: GET
path:
- '{{BaseURL}}/backup-lesysadmin.zip'
matchers:
- type: word
part: header
words:
- 'application/zip'
condition: and
- type: status
status:
- 200
Notre premier template est prêt ! Pour l'utiliser, il suffit de spécifier le chemin vers le fichier à l'aide de l'option "-t", comme vu précédemment. Voici le résultat :
Utilisation d'un template précis avec Nuclei.
Nous avons bien un match sur l'une de nos applications web. L'alerte est, comme prévu, remonté en sévérité "Medium".
En cas de problème, notamment si Nuclei fait mine de ne pas avoir de template à utiliser, je vous conseille d'utiliser l'option "-v", les éventuelles erreurs de votre template seront alors affichées :
Affichage verbeux pour obtenir les erreurs de syntaxe d'un template.
Si vous souhaitez développer d'autres templates pour effectuer des tâches différentes ou plus complexes, je vous conseille de partir d'un template existant qui fait à peu près la même opération. Qu'il s'agisse de l'envoi de données en POST, la récupération d'informations dans les en-têtes ou le corps de la requête, etc. Vous aurez ainsi une base concrète sur laquelle démarrer.
V. Quelques options pour maitriser la bête
Je vous propose différentes options pour maitriser un peu plus la puissance de Nuclei. Il s'agit des options dont je me sers le plus au quotidien et qui sont, selon moi, utiles à connaitre pour une utilisation plus régulière de l'outil :
Générer un fichier de sortie
Pour stocker, archiver, comparer ou même traiter les données produites par Nuclei, il peut être utile d'écrire ses résultats dans un fichier. Nuclei propose notamment le format de sortie JSON, un format standard pouvant être facilement réutilisé par d'autres outils ou langage de programmation :
# Sortie texte standard
nuclei -list mesCibles.txt -o nuclei_output.txt
# Sortie au format JSON
nuclei -list mesCibles.txt -j -o nuclei_output.json
Gérer le nombre de requêtes sur une période
Vous constaterez surement rapidement que Nuclei et un outil très rapide, il peut arriver que les services web ou équipements intermédiaires aient du mal à encaisser la charge ou bannisse votre adresse IP si elle émet trop de requêtes sur une courte période. Pour cela, Nuclei intègre une option permettant de gérer le nombre de requêtes par seconde :
# Limiter l'exécution à 50 requêtes/seconde (valeur par défaut : 150)
nuclei -list mesCibles.txt -rl 50
Sélectionner/exclure les template exécutés par criticité
La sortie produite par Nuclei peut vite être très verbeuse en fonction du type, de la maturité et du nombre de cibles. Ainsi, de nombreuses options permettent de mieux contrôler les tests qui seront effectués et notamment d'en inclure ou omettre en fonction de la criticité de chaque template, établie sur 6 niveaux : unknown, info, low, medium, high, critical :
# Exécuter uniquement les templates à criticité medium, high et critical
nuclei -list mesCibles.txt -s medium,high,critical
# Exclure des tests les templates high et critical
nuclei -list mesCibles.txt -es high,critical
Optimiser la vitesse de tests
Il est aussi possible d'utiliser certaines options pour que la durée des tests soient optimisée. Par exemple, en raccourcissant le temps ou le nombre de requêtes à partir desquels Nuclei considère une page ou hôte en injoignable/timeout, ou le nombre de tentatives supplémentaires qu'il va faire après un premier échec :
# Réduire le nombre de seconde avant de requête en timeout (par défaut : 10
nuclei -list mesCibles.txt -timeout 2
# Réduire à 3 au lieu de 30 le bombre d'échec avant de considérer un hôte définitivement injoignable
nuclei -list mesCibles.txt -mhe 3
# Réduire à 1 au lieu de 3 le nombre de tentative de communication après un échec
nuclei -list mesCibles.txt -retries 1
Ces différentes options peuvent bien sûr être combinées entre elles pour plus d'efficacité.
VI. Conclusion
Dans cet article, nous avons fait le tour des principales options et cas d'usage de Nuclei. Cela devrait vous permettre de l'utiliser dans de bonnes conditions, bien qu'il regorge de fonctionnalités dont nous n'avons pas parlé grâce à ses nombreuses options et templates. J'espère notamment qu'utiliser cet outil vous aidera à trouver et à corriger des faiblesses sur vos applications web pour améliorer votre sécurité !
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Au cours des trois derniers mois, les cybercriminels derrière le botnet CatDDoS ont utilisé plus de 80 failles de sécurité différentes pour compromettre des appareils ! Ce botnet est ensuite utilisé pour effectuer des attaques DDoS. Faisons le point.
Le botnet CatDDoS, apparu pour la première fois en août 2023 et qui est considéré comme une variante du botnet Mirai, a été observé par l'équipe de chercheurs QiAnXin XLab. Il s'avère que le botnet a été utilisé pour cibler jusqu'à 300 appareils par jour et que pour la compromission de ces derniers, il s'appuie sur pas moins de 80 vulnérabilités différentes. Certaines n'ont pas encore été identifiées et il pourrait s'agir de zero-day, d'après le rapport publié par QiAnXin XLab.
Certaines vulnérabilités sont récentes, tandis que d'autres ont été découvertes il y a plusieurs années. Parmi les produits pris pour cible, nous pouvons citer : Apache Log4j, Apache ActiveMQ, Cacti, Jenkins, les routeurs Linksys, Netgear, TP-Link et D-Link, les NAS Seagate, les contrôleurs de gestion Wi-Fi Ruckus, des équipements de chez Zyxel ou encore différents modèles de caméras notamment chez Avtech. Il y a une réelle diversité dans cette liste.
Source : QiAnXin XLab
Toujours d'après ce rapport, la France fait partie des pays les plus impactés par les attaques DDoS orchestrées par CatDDoS : "Nous pouvons constater que les cibles des gangs liés à CatDDoS sont réparties dans le monde entier, en particulier aux États-Unis, en France, en Allemagne, au Brésil et en Chine." - Il peut s'agir de fournisseurs de services Cloud, d'industries, d'administrations publiques ainsi que d'organisations dans différents domaines comme la recherche scientifique, la construction, ou encore l'éducation.
Les chercheurs expliquent également que d'autres botnets sont similaires à CatDDoS et qu'ils partagent certains éléments. On pourrait presque dire qu'il y a un modèle de fonctionnement et de code qui est partagé entre plusieurs botnets.
Nous pourrions qualifier le botnet CatDDoS de botnet polymorphe, car il est capable d'effectuer des attaques DDoS en utilisant UDP, TCP et d'autres méthodes. Il n'est pas à exclure qu'il exploite la nouvelle technique baptisée DNSBomb.
DNSBomb, c'est le nom d'une nouvelle technique d'attaque révélée récemment et associée à la vulnérabilité CVE-2024-33655. Cette technique repose sur l'utilisation du DNS pour effectuer des attaques DoS avec un facteur d'amplification de x20 000. Voici ce qu'il faut savoir.
Qualifiée d'attaque Pulsing Denial-of-Service (PDoS), cette technique d'attaque baptisée DNSBomb correspond à la vulnérabilité CVE-2024-33655. Elle a été découverte par des chercheurs de l'université de Tsinghua (Chine) et vise à manipuler le trafic DNS. En effet, sa mise en œuvre repose sur l'exploitation des requêtes et des réponses du système DNS.
"DNSBomb exploite plusieurs mécanismes DNS largement mis en œuvre pour accumuler les requêtes DNS envoyées à faible débit, amplifier les requêtes en réponses de grande taille et concentrer toutes les réponses DNS en une courte salve d'impulsions périodiques de grand volume afin de submerger simultanément les systèmes cibles.", peut-on lire sur le site dédié à cette technique. L'objectif étant d'accumuler les réponses DNS pour les libérer simultanément vers une cible : ce qui fait l'effet d'une bombe.
Voici un schéma pour illustrer l'attaque DNSBomb :
Cette technique pourrait être beaucoup plus efficace que les autres déjà connues. Les chercheurs de l'université de Tsinghua ont effectué différents tests qui permettent d'affirmer que le facteur d'amplification de la bande passante peut être multiplié par 20 000. "Des expériences à petite échelle montrent que l'amplitude maximale des impulsions peut approcher 8,7 Gb/s et que le facteur d'amplification de la bande passante peut être multiplié par 20 000.", peut-on lire. Largement suffisant pour faire tomber la cible et notamment des infrastructures critiques.
Quels sont les services vulnérables ?
Il y a deux types de services particulièrement vulnérables à l'attaque DNSBomb : les services DNS et les services CDN (réseau de diffusion de contenu). Nous pensons notamment à des services comme ceux de Cloudflare et Akamai. Voici les conclusions des chercheurs de l'université de Tsinghua suite aux différents tests effectués :
"Grâce à une évaluation approfondie de 10 logiciels DNS grand public, de 46 services DNS publics et d'environ 1,8 million de résolveurs DNS ouverts, nous démontrons que tous les résolveurs DNS peuvent être exploités pour mener des attaques DNSBomb plus pratiques et plus puissantes que les attaques DoS à impulsions précédentes."
Pour limiter ou réduire l'impact de DNSBomb sur un serveur DNS, il convient d'adapter sa configuration pour implémenter des limites, notamment le nombre de requêtes maximales par client. Si vous utilisez Bind9, vous pouvez consulter cet article mis en ligne pour vous guider.
Un exploit PoC a été publié pour une faille de sécurité critique présente dans la solution de SIEM de chez Fortinet, c'est-à-dire FortiSIEM : quels sont les risques ? Faisons le point dans cet article.
Découverte par Zach Hanley de chez Horizon3, cette vulnérabilité associée à la référence CVE-2024-23108 a une sévérité maximale, soit un score CVSS de 10 sur 10. En exploitant cette faille de sécurité présente dans FortiSIEM, un attaquant non authentifié et situé à distance peut exécuter du code en tant que root sur le système. Dans son bulletin de sécurité, Fortinet précise que l'exécution de commandes s'effectue via des requêtes spéciales à destination de l'API de FortiSIEM.
La faille de sécurité CVE-2024-23108 est en fait liée à deux autres vulnérabilités : la CVE-2024-23109, corrigée le 8 février 2024, ainsi que la CVE-2023-34992 corrigée en octobre 2023. Dans un premier temps, Fortinet a nié l'existence des deux nouvelles CVE en affirmant qu'il s'agissait en fait de doublons de la faille de sécurité CVE-2023-34992. Pourtant, il s'agit bel et bien de variantes plus récentes permettant l'exploitation de la vulnérabilité avec des requêtes différentes.
Horizon3 a publié un rapport technique complet ainsi qu'un exploit PoC sur GitHub. Il permet d'exécuter des commandes en tant que root sur toutes les appliances FortiSIEM exposées à Internet et non patchées. La disponibilité de cet exploit PoC pourrait pousser les cybercriminels à exploiter cette faiblesse dans FortiSIEM.
Qui est affecté ? Comment se protéger ?
Différentes versions de FortiSIEM sont affectées par ces vulnérabilités. Voici la liste :
Versions comprises entre 7.1.0 et 7.1.1
Versions comprises entre 7.0.0 et 7.0.2
Versions comprises entre 6.7.0 et 6.7.8
Versions comprises entre 6.6.0 et 6.6.3
Versions comprises entre 6.5.0 et 6.5.2
Versions comprises entre 6.4.0 et 6.4.2
Pour se protéger, il convient de mettre à jour FortiSIEM vers la version 7.1.3, 7.0.3, 6.7.9 ou ultérieure. À l'heure actuelle, il existe des versions plus récentes, mais ceci vous permet de savoir quelle est la version minimale à utiliser.
Pour rappel, en mars dernier, Horizon3 avait publié un exploit PoC pour la faille de sécurité critique CVE-2023-48788 présente dans Fortinet EMS (Enterprise Management Server). Désormais, elle est activement exploitée dans des attaques...
Dans cet article, nous allons présenter la syntaxe de base pour écrire en Markdown, un langage de balisage léger (lightweight markup language) qui offre une syntaxe facile à lire, à écrire et à analyser ("parser") par d'autres programmes. Le Mardown est souvent utilisé pour la documentation technique et dans les systèmes de gestion de versions comme Git, notamment pour écrire les fichiers README.md qui décrivent le fonctionnement du code source d'un programme. La plupart des éditeurs de texte supportent le Markdown soit nativement ou via une extension.
Pour vous entraîner à écrire en Markdown (dont l'extension est .md), vous pouvez utiliser un environnement de développement léger comme Visual Studio Code (VS Code). Pour l'installer, référez-vous à l'article qui suit :
Lorsque vous aurez installé VS Code, ouvrez les Extensions (Ctrl+Shift+X) dans la barre latérale et installez l'extension "Markdown All in One".
Pour tester l'extension, créez un nouveau fichier "README.md" et appuyez sur l'icône "Open Preview to the Side" (Ctrl+K V).
Ce mode « preview » vous permettra de visualiser le rendu à mesure que vous écrirez.
Si vous ne souhaitez pas installer VS Code, vous pouvez rendre sur le site de Stackedit qui offre un éditeur de Markdown en ligne. Si vous disposez d'un compte sur une plateforme web d'hébergement de code source comme GitHub ou GitLab, il suffit de vous créer un nouveau fichier avec l'extension .md et vous verrez le rendu après avoir enregistré vos modifications.
Un fichier de référence pour la syntaxe du Markdown est disponible dans le dépôt GitHub d'IT-Connect, vous pouvez le cloner ou simplement le consulter à l'adresse suivante :
II. Syntaxe du Markdown
A. En-têtes
La première chose à maîtriser lorsque vous écrivez en Markdown sont les en-têtes, que l'on peut considérer comme des titres. Il existe deux manières de créer des en-têtes :
Méthode 1 : Ajoutez un carré / croisillon(#) (hashtag) avant la chaîne caractères qui sera utilisée comme en-tête.
# En-tête niveau 1 ## En-tête niveau 2 ### En-tête niveau 3 #### En-tête niveau 4
Méthode 2 : Ajoutez un signe égal (=) en dessous de la chaîne caractères qui sera utilisée comme en-tête.
En-tête niveau 1=
En-tête niveau 2==
En-tête niveau 3===
En-tête niveau 4====
Exemple de rendu :
Vous verrez qu'il existe parfois deux manières d'utiliser la syntaxe du Markdown. Il est toujours préférable de choisir une seule méthode dans un même fichier.
Avec VS Code, vous verrez que l'éditeur vous proposera des alternatives et des suggestions si vous ne respectez pas la syntaxe.
B. Polices de caractères
Gras
Pour écrire en caractères gras, insérez un tiret bas (underscore) (_chaîne _) au début et à la fin de la chaîne de caractères (méthode recommandée).
Il est également possible d'utiliser un astérisque (*) au lieu du tiret.
# Exemple 1 _ABC_ # Exemple 2 *ABC*
Italique
Pour écrire en italique, insérez un double tiret bas (underscore)(__chaîne __) au début et à la fin de la châine de caractères (méthode recommandée).
Il est également possible d'utiliser deux astérisques (**) au lieu du tiret.
# Exemple 1__ABC__ # Exemple 2**ABC**
Exemples de rendu :
C. Listes
Listes à puce
Pour créer des listes à puces, insérez un tiret (-) au début d'une ligne suivi d'un espace et poursuivez avec la chaîne de caractères.
Il est également possible d'utiliser un astérisque (*) au lieu du tiret.
- Élément A- Élément B - Élément C* Élément A * Élément B * Élément C
- Sous-élément A
* Sous-élément B
Exemple de rendu :
Notez que VS Code souligne les puces indiquées (*) par une étoile parce que la méthode recommandée est celle du tiret (-).
Listes numérotées
Commencez une ligne avec le chiffre 0 ou 1 suivi d'un point (1.) et faire un retour de chariot pour que les lignes suivantes se numérotent automatiquement.
0. Élément A
1. Élément B
2. Élément C
3. Élément D
Exemple de rendu :
D. Blocs de citation
Blocs simples
Commencez la ligne avec un signe de comparaison "plus grand que"(>), ce qui va créer un bloc de citation indenté.
> Ceci est une citation en Markdown.
Blocs imbriqués
Vous pouvez créer un bloc de citation indenté et imbriqué à l'intérieur d'une citation. Commencez une ligne avec une indentation ("tab") et deux signes de comparaison "plus grand que" (>>).
> Ceci est une citation en Markdown. >> Ceci est une citation imbriquée en Markdown.
Exemple de rendu :
E. Blocs de code
L'une des fonctionnalités intéressantes du Markdown est qu'il permet d'afficher des blocs de code pour plusieurs langages de programmation avec la coloration syntaxique spécifique au langage.
Pour ajouter un bloc de code, insérez trois accents grave (backtick) au début de la ligne (ASCII : ALT + 96). Immédiatement après, spécifiez le langage de programmation utilisé (exemples : bash, pwsh, python) et terminez le bloc avec trois accents grave. Il suffit ensuite de placer vos lignes de code entre les deux blocs d'accents.
# Exemple en Bash
```bash ls -lah
mkdir test```
# Exemple en PowerShell
```pwshGet-ChildItem
```
# Exemple en Python
```pythonprint('Hello world')```
Exemple de rendu dans GitHub (qui est plus riche pour l'affichage du code source) :
F. Chaîne caractères surlignée
Insérer un accent grave ( `) avant et après la chaîne de caractères à surligner.
`Ceci permet de surligner une chaîne de caractères`
Exemple de rendu :
G. Tableaux
Le Markdown offre la possibilité de créer des tableaux :
Commencez par définir des colonnes par des chaînes de caractères suivies d'une barre verticale (|).
Faites un retour de chariot et ajoutez des tirets sous chaque nom de colonne suivis d'une barre verticale (|) pour définir les rangées (le nombre de tiret n'a pas d'importance).
Pour chaque champ, entrez une chaîne caractère pour le contenu et la séparer avec une barre verticale (|) pour définir les colonnes.
I* l n'est pas nécessaire de fermer le dernier élément avec une barre verticale.
La fonctionnalité "table des matières" (TOC) est supporté par certaines plateformes web d'hébergement de code source comme Azure DevOps, mais elle n'est pas interprétée par tous les éditeurs (IDE). Parfois, vous trouverez un bouton pour faire afficher la table des matières (exemple : GitHub).
Pour l'utiliser, ajoutez "_TOC_" entre tirets bas à l'intérieur d'une paire de crochets ([[ ]]).
[[_TOC_]]
Exemple de rendu dans Azure DevOps qui supporte [[_TOC_]] :
I. Insérer des images
Images internes à un dépôt Git
Dans un dépôt Git, il est possible d'ajouter des fichiers d'images et d'y faire référence dans un document en Markdown pour les afficher.
Commencez la ligne avec un point d'exclamation (!) suivi d'une description entre crochets ([ ]), ajoutez l'image dans un répertoire de Git et précisez l'emplacement de l'image entre parenthèses ( ).
Il est également possible d'ajouter des images en provenance de sites web, mais il peut y avoir des contraintes sur le format et le positionnement sur la page. Le procédé est le même que pour une image interne.
Le site LightShot (https://app.prntscr.com/en/index.html) permet de faire des captures d'images et de les référencer directement en copiant le nouvel emplacement de l'image créée sur le site.
J. Insérer des liens
Liens externes (web)
Les liens externes (web) peuvent être insérés en ajoutant une description entre crochets ([ ]) suivie de l'URL du site web entre parenthèses ( ( ) ).
Dans Git, vous pouvez ajouter des liens vers d'autres pages du même dépôt de fichiers. Pour cela, il faut insérer une description entre crochets ([ ]) et ajouter l'emplacement du ficher entre parenthèses ( () ).
# Exemple [Document interne à lier](./Markdown/test.md)
Liens de références
Les liens de références (notes de bas de page) permettent d'insérer des liens numérotés (ou tout autre signe ou chaîne de caractères) pour ajouter une référence à une citation ou renvoyer à un contenu web ou interne.
Après la chaîne de caractères à référencer, ajoutez une suite de chiffres (des lettres ou un mot clé) entre crochets ([ ]) suivi d'un accent circonflexe (^).
Ajoutez la référence (lien vers une page web) après son numéro entre crochets ([ ]) suivi d'un deux points [:] à la fin du document. La référence sera cliquable par la suite.
# Insertion des liens de références [1^][2^][3^] [A^][B^][ref1^][ref2^] # Ajout des références au bas du fichier [1]:https://google.com [2]:https://microsoft.com [3]:https://linuxfoundation.org/
K. Caractère d'échappement
Utilisez la barre oblique inversée (backslash) comme caractère d'échappement avant un caractère réservé (-, *, > `) .
[lien](./test.md#Section1)
L. Référer à des fichiers avec un lien relatif
Voici un tableau récapitulatif pour utiliser les liens relatifs pour référer à d'autres pages dans Git :
Principaux cas de figure
Lien relatif (Git)
Référer à un fichier sur la même branche dans le même répertoire
test.md
Référer à un fichier sur la même branche dans un sous-répertoire
./textes/test.md
Référer à un fichier sur la même branche dans un deuxième niveau de répertoires
../documents/textes/test.md
Référer à un fichier dans un répertoire sur une autre branche
/../documents/textes/test.md
M. Référer à une section d'un autre fichier
Ajoutez un carré / croisillon (#) immédiatement après le lien du fichier et ajouter le nom de la section.
[lien](./test.md#Section1)
III. Conclusion
Dans ce tutoriel, nous avons passé en revue la syntaxe principale pour écrire en Markdown. Vous êtes maintenant outillés pour écrire des fichiers README.md et faire de la documentation dans vos dépôts Git.
Connaître le Markdown est une compétence essentielle aujourd'hui puisqu'il est utilisé dans toutes les plateformes collaboratives comme GitHub ou GitLab, mais aussi sur des sites de documentation. Il permet de respecter la pratique essentielle selon laquelle la documentation doit toujours être avec le code source d'un projet.
Le Markdown est très simple, mais, bien sûr, l'apprendre nécessite un peu de pratique. Donnez-vous comme discipline d'en faire à chaque fois que vous devez écrire de la documentation qui pourrait être réalisée en Markdown !
Pour aller plus loin, vous pouvez consulter les sites suivants :
Une faille de sécurité critique a été corrigée dans le firmware du routeur TP-Link Archer C5400X. En l'exploitant, un attaquant non authentifié peut compromettre l'équipement à distance. Faisons le point sur cette menace.
Le C5400X est un routeur Wi-Fi populaire appartenant à la gamme Archer de chez TP-Link. Il s'agit d'un modèle dans l'esprit gaming, avec un module Wi-Fi tri-bandes et des fonctionnalités avancées pour les jeux. Le problème, c'est qu'il est affecté par une faille de sécurité critique.
Cette vulnérabilité, associée à la référence CVE-2024-5035, hérite d'un score CVSSv4 de 10 sur 10, soit le score maximal. Et pour cause, les chercheurs en sécurité de chez OneKey ont fait la découverte de cette vulnérabilité pouvant permettre à un attaquant d'exécuter des commandes à distance sur le routeur, et ce, sans authentification.
"En exploitant avec succès cette faille, un attaquant distant non authentifié peut exécuter des commandes arbitraires sur l'appareil avec des privilèges élevés.", peut-on lire dans le rapport. Pour être plus précis, et toujours d'après le rapport de OneKey, l'élément en cause est le binaire "rftest" qui expose un service réseau vulnérable à l'injection de commandes sur les ports TCP 8888, 8889 et 8890.
Le routeur étant un équipement exposé sur Internet, cette faille de sécurité représente un risque élevé pour les utilisateurs. Néanmoins, voici ce que précisent les chercheurs en sécurité : "On ne sait pas si le binaire est toujours lancé et s'il est toujours exposé sur les interfaces LAN/WAN."
Comment se protéger ?
Pour éviter de prendre des risques, il est préférable de se protéger de cette faille de sécurité CVE-2024-5035. Le 25 mai 2024, TP-Link a mis en ligne un nouveau firmware intitulé "Archer C5400X(EU)_V1_1.1.7 Build 20240510" sur son site, dans le but de corriger cette vulnérabilité.
En fait, tous les routeurs Archer C5400X avec un firmware en version "1_1.1.6" ou antérieure sont potentiellement vulnérables. Si vous utilisez ce routeur, la mise à jour est plus que recommandée. Pour le moment, rien n'indique que cette faille de sécurité soit exploitée dans le cadre d'attaques.
Check Point a publié une alerte de sécurité pour avertir ses utilisateurs qu'une campagne de cyberattaques ciblait les accès VPN sur les firewalls Check Point, via la fonction de Remote Access. Faisons le point sur cette menace.
De part leur fonction, les accès VPN mis à disposition des organisations pour les salariés sont exposés sur Internet. Ceci en fait une cible de choix pour les cybercriminels, car ils peuvent l'utiliser comme porte d'entrée pour s'introduire sur le réseau des entreprises. Dans le cas de Check Point, c'est la fonction Remote Access intégrée à tous les firewalls Check Point qui est prise pour cible.
En effet, cette nouvelle campagne d'attaques révélée par Check Point ciblent directement les firewalls de la marque, mais pas uniquement. L'objectif des attaquants : parvenir à s'authentifier à l'aide de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.
"Le 24 mai 2024, nous avons identifié un petit nombre de tentatives de connexion à l'aide d'anciens comptes locaux VPN reposant sur une méthode d'authentification par mot de passe uniquement non recommandée.", peut-on lire sur le site de Check Point.
D'ailleurs, Check Point a surveillé de près les activités sur ses équipements après avoir constaté des compromissions d'accès VPN sur des firewalls Check Point mais aussi d'autres marques : "Nous avons récemment assisté à la compromission de solutions VPN, y compris de divers fournisseurs de cybersécurité.", précise le communiqué. Nous pensons notamment à Fortinet ainsi qu'aux accès VPN Cisco.
Dans le cas présent, les pirates ne semblent pas exploiter une vulnérabilité dans le système des firewalls Check Point. Ici, c'est plutôt l'erreur de configuration qui est recherchée.
Comment se protéger ?
Pour se protéger, il est recommandé de désactiver les comptes locaux inutilisés. Pour les comptes qui doivent rester actifs, Check Point recommande de renforcer leur sécurité : "Si vous disposez de comptes locaux que vous souhaitez utiliser et qui ne sont authentifiés que par mot de passe, ajoutez une autre couche d'authentification (comme des certificats) pour renforcer la sécurité informatique de votre environnement."
Par ailleurs, Check Point a publié un Hotfix à installer sur le firewall pour bloquer l'utilisation de comptes avec authentification par mot de passe sur les accès VPN Remote Access. Cette méthode est détaillée sur cette page dédiée aux recommandations.
Microsoft a ajouté une nouvelle fonctionnalité importante à son application Outlook Lite pour les smartphones Android : la prise en charge des SMS, directement dans l'application. Faisons le point sur cette annonce.
Sur Android, il y a deux applications Outlook : il y a l'application principale nommée "Microsoft Outlook", ainsi qu'une application secondaire, beaucoup plus légère, car elle ne pèse que 5 Mo, nommée "Microsoft Outlook Lite". Elle est avant tout destinée aux smartphones avec peu de ressources. Elle a été lancée en août 2022.
Par l'intermédiaire d'un nouvel article, Microsoft a fait l'annonce d'une nouveauté pour les utilisateurs d'Outlook Lite sur Android : "Avec SMS sur Outlook Lite, vous pouvez profiter de la commodité et de la sécurité de l'envoi et de la réception de messages SMS à partir de votre application Outlook Lite. Les SMS sont intégrés à votre courrier électronique, votre calendrier et vos contacts, ce qui vous permet de rester en contact avec vos interlocuteurs dans une seule application."
Autrement dit, avec Outlook Lite, vous pouvez envoyer et recevoir des e-mails et des SMS sur Android, grâce à cette expérience unifiée. Microsoft travaille depuis avril 2023 sur le développement de cette fonctionnalité, qui est désormais accessible à tous les utilisateurs : "Aujourd'hui, nous sommes ravis de proposer les SMS sur Outlook Lite aux utilisateurs du monde entier.", peut-on lire.
Cette nouveauté prend place dans l'application grâce à un bouton tout simplement nommé "SMS", comme le montre l'image ci-dessous. Elle est disponible dans la dernière version d'Outlook Lite disponible sur Google Play Store.
Enfin, l'entreprise américaine a évoqué quelques nouveautés à venir et en cours de développement pour Outlook Lite. Voici ce que l'on peut lire :
Intégration plus étroite avec le courrier électronique, le calendrier et les contacts
Dans ce tutoriel, nous allons évoquer l'installation et la configuration de Sysmon sur Windows par l'intermédiaire d'une stratégie de groupe (GPO), en environnement Active Directory. Ceci va nous permettre d'automatiser le déploiement de Sysmon et de gérer sa configuration de façon centralisée.
Outil gratuit présent dans la suite SysInternals de Microsoft, Sysmon est un outil très intéressant pour enrichir les journaux Windows et tracer les activités suspectes sur un poste de travail ou un serveur.
Pour en savoir plus sur son fonctionnement et son utilisation, consultez notre précédent article :
Pour appliquer une nouvelle configuration à Sysmon, nous devons utiliser un fichier de configuration au format XML. Ce fichier de configuration contient un ensemble de règles permettant d'indiquer à Sysmon quelles sont les actions qu'il doit surveiller et journaliser. Ce fichier permet aussi de gérer les exceptions, de façon à éviter les faux positifs.
Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données. Cela signifie qu'il n'y a aucune dépendance de Sysmon vis-à-vis de son fichier de configuration.
Notre premier réflexe pourrait-être d'héberger le fichier de configuration XML sur un partage puis de faire en sorte qu'il soit lu par nos "agents" Sysmon déployés sur les machines Windows. Effectivement, cela pourrait fonctionner. Le problème, c'est que ce fichier de configuration pourrait être accessible par un potentiel attaquant. Il pourrait prendre connaissance de notre configuration Sysmon, ce qui lui permettrait de savoir comment agir pour ne pas être détecté et il pourrait essayer de la contourner.
Comment faire alors ?
A. Injecter la configuration Sysmon dans le Registre
La réponse se trouve dans cette phrase de l'article : "Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données." - Nous allons directement injecter la configuration dans le Registre ! Ceci va nécessiter quelques manipulations, mais l'avantage, c'est que la configuration sera difficilement accessible, lisible et interprétable par un attaquant.
Nous allons devoir procéder de la façon suivante :
1 - Créer une stratégie de groupe pour installer Sysmon, sans configuration personnalisée.
2 - Créer une configuration personnalisée à partir d'une machine de référence.
3 - Exporter la configuration Sysmon, à partir du Registre.
4 - Créer une stratégie de groupe pour injecter les valeurs de Registre sur les machines où Sysmon doit être configuré.
Désormais, nous allons voir comment mettre en œuvre cette méthode fondée sur 4 grandes étapes.
Si malgré tout, vous souhaitez utiliser un fichier XML pour gérer votre configuration Sysmon, je vous recommande de masquer le partage sur lequel le fichier est hébergé et de brider les droits autant que possible. Autorisez seulement les objets ordinateurs où Sysmon est déployé à venir lire la configuration.
III. GPO - Déploiement de Sysmon sur Windows
Intéressons-nous à l'installation de Sysmon sur Windows. Nous allons partir du principe que seule la version 64 bits est utilisée et notre script PowerShell va permettre déployer cette version. Une fois que le script sera prêt, il sera exécuté au travers d'une stratégie de groupe.
A. Script PowerShell pour installer Sysmon
Pour rappel, lorsque Sysmon est installé sur une machine, il crée différentes clés de Registre dont celles-ci (une seule selon la version) :
Nous allons utiliser un script PowerShell pour réaliser l'installation de Sysmon64. Si l'application est déjà installée, le script ne cherchera pas à la réinstaller. Dans le script ci-dessous, vous devez adapter la valeur de la variable "$SysmonShare" car elle contient le chemin vers l'exécutable de Sysmon. Vous pouvez stocker cet exécutable dans le partage "SYSVOL" de votre domaine Active Directory ou dans un autre partage correctement configuré.
# Partage - Chemin réseau vers l'exécutable de SYSMON
$SysmonShare = "\\it-connect.local\SYSVOL\it-connect.local\scripts\Sysmon64.exe"
# Avant de poursuivre, on vérifie que le chemin vers l'exécutable est correct
if(Test-Path -Path $SysmonShare -PathType Leaf)
{
# Chemin vers la clé de Registre de Sysmon (version 64 bits)
$SysmonRegKey = "HKLM:\SYSTEM\CurrentControlSet\Services\Sysmon64"
# Chemin vers le fichier exécutable de Sysmon64 via lecture du Registre
$SysmonRegImagePath = (Get-ItemProperty -Path $SysmonRegKey -Name ImagePath -ErrorAction SilentlyContinue).ImagePath
# Si $SysmonRegImagePath n'est pas nul, c'est que Sysmon est installé
if ($SysmonRegImagePath)
{
Write-Output "Sysmon64 est déjà installé sur cette machine"
}
# Sinon, Sysmon doit être installé à partir de l'exécutable présent dans le partage
else
{
Write-Output "Sysmon64 va être installé sur cette machine"
& $SysmonShare -i -accepteula
}
}
Si vous avez besoin d'un script PowerShell plus complet, vous pouvez utiliser celui de l'ANSSI accessible via le lien ci-dessous. Ce script est capable de gérer les versions 32 bits et 64 bits, mais aussi la mise à jour de Sysmon, ainsi que les configurations particulières basées sur un pilote Sysmon renommé (ce qui influence le nom de la clé de Registre liée au service).
Plutôt que d'utiliser un script PowerShell, nous pourrions utiliser un script Batch. En revanche, il n'existe pas de paquet MSI pour Sysmon.
B. Exécuter le script dans une GPO
Désormais, nous allons exécuter ce script PowerShell à l'aide d'une stratégie de groupe que l'on va créer avec la console "Gestion de stratégie de groupe". Dans cet exemple, la GPO est nommée "Installer Sysmon (PS1)" et elle est liée à l'OU "Serveurs" de l'annuaire Active Directory.
Modifiez la GPO et suivez la procédure suivante :
1 - Accédez à : Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage / arrêt).
2 - Double-cliquez sur "Démarrage".
3 - Cliquez sur "Afficher les fichiers" pour accéder au répertoire des scripts de la GPO et collez le fichier PS1 à cet emplacement. Vous pouvez aussi stocker le script à la racine du SYSVOL.
4 - Cliquez sur "Ajouter" puis sur "Parcourir".
5 - Sélectionnez le script, ici, il s'appelle simplement "Sysmon.ps1".
6 - Cliquez sur "OK" à deux reprises.
Pour information, voici où est stocké le script sur mon environnement de démo :
Voilà, la GPO pour installer Sysmon est prête !
Il ne reste plus qu'à tester son bon fonctionnement sur une machine. Pour rappel, Sysmon sera déployé dans sa configuration par défaut, c'est-à-dire sans aucune règle personnalisée. Sur une machine où Sysmon a été installée, vous pouvez voir le service "Sysmon64", comme ceci :
Remarque : si vous utilisez un script PowerShell pour déployer Sysmon, il est recommandé de le signer à l'aide d'un certificat de signature de code. À ce sujet, vous pouvez lire les deux articles suivants :
Vous allez devoir définir un modèle de configuration Sysmon correspondant à vos besoins et aux spécificités de votre infrastructure. Vous pouvez utiliser comme base la configuration Sysmon de SwiftOnSecurity déjà évoquée dans notre précédent tutoriel sur Sysmon.
Dans cet exemple, c'est ce fichier que nous allons utiliser. Voici le lien :
Vous devez utiliser une machine sur laquelle Sysmon est installé afin de mettre à jour la configuration. Je vous rappelle que l'objectif est d'utiliser cette machine comme "machine de référence" pour la configuration de Sysmon. Le fichier XML de Sysmon doit être présent uniquement sur cette machine.
Voici la commande à exécuter pour mettre à jour la configuration de Sysmon à partir d'un fichier XML :
.\Sysmon64.exe -c sysmonconfig-export.xml
Remarque : en modifiant les paramètres, vous pouvez aussi installer Sysmon et lui associer directement cette configuration.
La prise en compte de cette configuration est immédiate. Désormais, nous allons devoir l'exporter à partir des valeurs présentes dans le Registre Windows.
B. Exporter la configuration Sysmon à partir du Registre
La configuration Sysmon est stockée dans la clé de Registre correspondante au pilote Sysmon : "SysmonDrv" (nom par défaut). Ceci correspond à cet emplacement du Registre :
Nous allons devoir exporter les données des valeurs de Registre suivantes :
DnsLookup
HashingAlgorithm
Options
Rules
La configuration de notre fichier XML est stockée dans "Rules" mais nous devons également prendre en compte les autres valeurs. Certaines valeurs étant en binaire, il n'est pas possible d'exporter les données dans un format interprétable par l'éditeur de GPO à partir de "regedit.exe".
Nous avons deux options :
Utiliser PowerShell pour lire les données et exporter les données de chaque valeur dans un fichier texte. Ensuite, nous pourrons copier-coller le contenu de chaque fichier texte dans notre GPO.
Utiliser l'Assistant Registre de la console de Gestion des stratégies de groupe pour aller lire les données dans le Registre directement et les ajouter à la GPO. C'est sans aucun doute la façon la plus simple, mais cela implique d'avoir les outils RSAT sur le serveur de référence ou de pouvoir s'y connecter à distance via la console de Gestion des stratégies de groupe (connexion RPC).
Dans la suite de ce tutoriel, nous allons appliquer la méthode via l'Assistant Registre, mais voici des instructions pour effectuer la manipulation via PowerShell.
La commande ci-dessous permet d'exporter les données de la valeur "Rules" dans le fichier texte "C:\TEMP\Export_Sysmon_Rules.txt". Nous utilisons la méthode "ToString" associée au format "X2" pour que les données soient converties au format hexadécimal. Ce format est pris en charge par l'éditeur de GPO, ce qui nous permettra de préciser les valeurs dans un format accepté.
L'opération doit être répétée pour chaque valeur du Registre.
Pour vous aider, voici un bout de code pour générer un fichier texte pour chaque valeur. Vous pouvez changer la valeur de la variable "$SysmonSvcOutput" pour modifier le chemin du dossier de sortie.
Désormais, nous allons voir comment ajouter ces informations à une GPO.
C. Configurer Sysmon par GPO
Pour configurer Sysmon, nous allons créer une nouvelle GPO. Pour ma part, elle s'appelle "Configurer Sysmon (GPP)".
1 - Modifiez la GPO et accédez à l'emplacement suivant : Configuration ordinateur > Préférences > Paramètres Windows > Registre.
2 - Effectuez un clic droit puis sous "Nouveau", choisissez "Assistant Registre". Attention, si vous avez exporté les données via PowerShell, choisissez "Élément Registre" et configurez chaque valeur de Registre.
Un assistant s'exécute. Si votre machine de référence correspond à la machine locale, choisissez "Ordinateur local", sinon prenez la seconde option et recherchez votre machine.
Ensuite, parcourez l'arborescence du Registre jusqu'à pouvoir cocher les 4 valeurs que nous souhaitons importer. Cliquez sur "Terminer".
Voilà, les valeurs et les données associées sont immédiatement importées dans la GPO. Pratique.
Voici le résultat obtenu :
Si vous avez besoin de différencier Sysmon 32 bits et Sysmon 64, utilisez une règle de "Ciblage au niveau de l'élément" sur chaque règle de la GPO. Cette règle devra aller vérifier la présence de la clé de Registre "Sysmon" ou "Sysmon64" pour déterminer la version de l'application.
De plus, sachez que le schéma du fichier XML de Sysmon peut évoluer au fil des versions, donc nous devons en tenir compte. Sinon, la configuration peut devenir "illisible" par l'outil. C'est pour cette raison que nous allons ajouter une condition de ciblage sur chaque règle de la GPO. Pour connaître la version de Sysmon, il suffit de regarder dans les propriétés de l'exécutable Sysmon. Ici, il s'agit de la version "15.14.0.0".
Ensuite, nous allons créer une condition de cette façon :
1 - Modifiez une première valeur dans la GPO, cliquez sur "Commun", puis cochez "Ciblage au niveau de l'élément" et cliquez sur le bouton "Ciblage".
2 - Cliquez sur "Nouvel élément" et choisissez "Correspondance fichier".
3 - Choisissez le type de correspondance nommé "Faire correspondre la version de fichier".
4 - Indiquez le chemin d'accès en version 64 bits (si vous gérez les deux versions, vous devez créer plusieurs conditions et utiliser l'opérateur "OU").
%WinDir%\Sysmon64.exe
5 - Indiquez votre version comme valeur maximale, en indiquant la valeur complète (y compris les zéros). Choisissez l'opérateur "<=" à la place de "<" sinon la règle ne s'appliquera pas. Si besoin, nous pourrions aussi ajuster la version minimale (valeur de gauche).
Validez et répétez l'opération pour les autres règles de la GPO.
V. Tester la configuration
Désormais, il ne reste plus qu'à tester la GPO sur une machine ciblée par celle-ci. Voici l'état d'une machine sur laquelle Sysmon a été installé par GPO mais qui n'a pas appliqué de fichier de configuration. Nous voyons que la valeur "Rules" n'est même pas présente.
Après application de la GPO, les valeurs de Registre sont bien actualisées et nous pouvons le confirmer en regardant le Registre :
Il faut savoir qu'il n'y a pas besoin de redémarrer le service Sysmon. Il va détecter de lui-même la modification de la configuration (valeur "Rules") et l'appliquer immédiatement.
Nous venons de déployer une configuration de Sysmon par GPO sans l'exposer dans un fichier XML ! Ainsi, notre configuration est protégée des regards indiscrets.
VI. Conclusion
En suivant ce tutoriel sur Sysmon, vous devriez être en mesure de l'installer et de le configurer de façon automatique sur vos machines Windows ! La prochaine étape consistera à collecter ses événements dans le but de pouvoir les analyser.
Comment fusionner des PDF sous Linux ? Ce tutoriel répond à cette question à l'aide de l'utilisation de l'outil en ligne de commande PDFtk alias le PDF Toolkit.
Avec la dématérialisation, les fichiers PDF sont de plus en plus nombreux sur nos machines. Dans certains cas, il peut être intéressant de fusionner certains documents PDF en un seul fichier, pour mieux les trier ou tout simplement pour envoyer tout en une seule pièce jointe dans un message électronique. Sachez qu’il existe un moyen très simple de fusionner plusieurs PDF sous Linux en utilisant l’application « PDFtk ».
PDFtk est un outil en ligne de commande très utile pour manipuler des fichiers PDF sous Linux. Il vous permet d’effectuer diverses opérations sur les fichiers PDF, telles que la fusion, la division, la rotation, l’extraction de pages, la modification des métadonnées et bien plus encore. Lorsque l'on parle de fusion de PDF, on parle aussi de "concaténation de PDF" ou du fait de "combiner des PDF".
Nous allons voir dans ce tutoriel son installation et son utilisation au travers différents exemples pour fusionner deux fichiers PDF.
Après avoir vérifié avoir accès à internet sur votre machine, mettez à jour la liste des paquets et installez le paquet « pdftk » comme ceci :
sudo apt-get update sudo apt-get install pdftk
L'installation de PDFTK est relativement rapide, bien que dépendante de la vitesse de votre connexion Internet.
III. Fusionner des PDF avec PDFtk
Maintenant, nous pouvons manipuler nos PDF puisque l’installation est terminée. Pour ma part, je vais fusionner 2 PDF nommés « PDF1.pdf » et « PDF2.pdf ». Chaque PDF contient 3 pages. La procédure est la même peu importe le nombre de pages.
Nous verrons plusieurs exemples afin que vous puissiez utiliser plus aisément cette fonctionnalité de pdftk après avoir terminé la lecture ce tutoriel. De manière générale, la syntaxe d’une commande de pdftk est la suivante :
L’opérande correspond à l’action qu’on souhaite effectuer, dans le cas d’une fusion de PDF l’opérande est « cat ». L’ordre des fichiers sources est important puisque pdftk prendra les fichiers dans l’ordre que vous les indiquez.
A. Fusionner deux fichiers PDF en un seul
Afin de fusionner deux fichiers PDF en un seul fichier PDF nommé « PDF1-2.pdf », la commande sera la suivante :
pdftk PDF1.pdf PDF2.pdf cat output PDF1-2.pdf
Le contenu du fichier "PDF1.pdf" sera ajouté en premier, et celui du fichier "PDF2.pdf" viendra à la suite. J'insiste sur le fait que l'ordre est important.
Note : Placez-vous dans le répertoire où sont stockés les PDF auparavant ou indiquez le chemin complet vers chaque fichier dans la commande.
B. Fusionner tous les PDF d’un répertoire en un seul
Pour fusionner tous les PDF situés dans le répertoire « /home/flo/pdf » vers un fichier « PDF-ALL-FLO.pdf » on utilisera ceci :
C. Fusionner la page 1 d’un PDF avec la page 3 d’un autre PDF
Nous allons voir un exemple un peu plus compliqué dans le sens où nous n'allons pas fusionner deux fichiers PDF complets. En effet, nous allons combiner uniquement la page 1 du "PDF1.pdf" et la page 3 du "PDF2.pdf" vers un fichier nommé « PDF-11-23.pdf ».
Pour cela, nous allons utiliser la méthode des alias où une lettre correspondra en fait à un nom de fichier PDF, par exemple : A=PDF1.pdf et B=PDF2.pdf. Un alias ne peut être constitué que d’une seule lettre. Ensuite, après l’opérande « cat » nous allons préciser les pages que nous souhaitons fusionner de cette façon :
<nom_alias><numero_page>
Ce qui donnera pour la page 1 du PDF1.pdf dont l’alias est « A » :
A1
La commande à saisir pour la fusion sera donc la suivante :
Si l’on aurait souhaité fusionner les pages 2 et 3 du PDF2.pdf (alias B), on peut indiquer une plage de pages comme ceci :
B2-3
D. Protéger par un mot de passe le fichier PDF fusionné
Nous allons fusionner les fichiers PDF "PDF1.pdf" et "PDF2.pdf" en protégeant par un mot de passe le fichier de sortie. Pour cela, nous ajoutons l'option "user_pw" à la fin de la commande. Le fait d'indiquer "PROMPT" évite de préciser le mot de passe en clair dans la commande : il sera demandé de le saisir de façon interactive.
Ce tutoriel touche à sa fin ! Nous venons d'apprendre à fusionner des PDF sous Linux à l'aide de l'application PDFtk. Elle propose d'autres fonctionnalités pour manipuler les fichiers PDF, notamment pour extraire les métadonnées, effectuer des rotations de pages, etc.
Si vous disposez d'une machine Linux avec une interface graphique, vous pouvez également utiliser l'outil PDFSam Basic. Il est disponible sous la forme d'un paquet ".deb" et d'une archive portable.
Dans ce tutoriel, nous allons voir comment fusionner des fichiers PDF sous Windows. La fusion de fichiers PDF est utile lorsque vous souhaitez combiner plusieurs documents au format PDF en un seul fichier.
Nous allons évoquer les différentes solutions à notre disposition avant de passer à l'utilisation des applications PDFSam Basic et PDF24.
II. Quel logiciel utiliser pour fusionner des PDF ?
Sur Windows, il existe de nombreuses applications capables de lire, modifier et manipuler des documents PDF. Le problème, c'est que la grande majorité de ces applications réservent leurs fonctions clés pour les versions payantes. Fort heureusement, il y a quelques exceptions.
Voici quelques exemples de solutions offertes :
Adobe Acrobat Reader DC : la version gratuite de cette application ne permet pas de fusionner ou combiner des fichiers PDF. L'option est bien présente, mais lorsque nous cliquons dessus, nous sommes invités à passer sur la version "Pro".
Microsoft Word : l'intégration de fichiers PDF dans un document Word en tant qu'objet PDF est une possibilité, mais ceci a tendance à altérer la mise en page des documents.
PDFSam Basic : la version gratuite intègre plusieurs outils pour manipuler les fichiers PDF, dont la possibilité de combiner plusieurs fichiers.
PDF24 : la boite à outils PDF24 est gratuite et elle intègre beaucoup de fonctions pour modifier et manipuler les documents PDF, y compris une fonction pour combiner des fichiers.
Nous allons voir comment fusionner des documents PDF avec PDFSam Basic et PDF24, deux solutions gratuites pour les utilisateurs de Windows. Que vous soyez sur Windows 10 ou Windows 11, ces applications fonctionneront de la même façon.
Avant de commencer : par précaution, veillez à toujours sauvegarder vos fichiers PDF avant de les modifier, combiner, diviser, etc.
III. Fusionner des PDF avec PDFSam Basic
PDFSam Basic est une boite à outils gratuite et open source pour manipuler des PDF sur Windows. Simple d'utilisation grâce à son interface épurée, PDFSam Basic vous permettra de fusionner des PDF en quelques clics. Personnellement, c'est une application que j'apprécie et que j'utilise depuis des années.
La première étape consiste à le télécharger et à l'installer. La version "Basic" est totalement gratuite, contrairement aux autres versions. Voici un lien pour accéder à la page de téléchargement :
Au moment de l'installation, pensez à décocher l'option "Installez PDFSam Enhanced...." pour installer la version Basic.
Lancez l'application une fois qu'elle est installée. Un ensemble d'outils sont à votre disposition pour fusionner, découper, extraire, etc... pour jouer avec des documents PDF. Ici, nous allons nous intéresser aux outils de fusion, et plus particulièrement l'outil nommé "Fusion". Il va permettre de prendre X documents PDF et de les regrouper en un seul fichier.
La première étape consiste à sélectionner les fichiers PDF à fusionner. L'idée étant de les lister dans l'ordre où ils doivent être fusionnés. Pour gérer l'ordre, il suffit de cliquer sur un fichier puis de cliquer sur les boutons "Monter" et "Descendre".
Certaines options supplémentaires sont disponibles, notamment pour ajouter un pied de page, normaliser les pages (selon une largeur fixe, par exemple), pour générer une table des matières, ou encore pour indiquer s'il faut conserver les signets ou non.
La dernière étape consiste à indiquer le nom et l'emplacement du fichier de sortie, c'est-à-dire du PDF fusionné. Il est également possible de compresser le fichier créé et de choisir la version de PDF. Ensuite, il ne reste plus qu'à cliquer sur "Exécuter".
Voici le document PDF obtenu en sortie :
Il contient bien les deux documents PDF que je souhaitais fusionner ! Le fichier de sortie pèse 58 Ko.
IV. Fusionner des PDF avec PDF24
PDFSam Basic n'est pas la seule application gratuite pour fusionner des PDF sous Windows. Nous pouvons utiliser l'application PDF24 que nous pouvons installer sur Windows afin de bénéficier de toute la suite d'outils PDF24. Ceci évite d'utiliser la version en ligne et donc d'envoyer les fichiers sur les serveurs de PDF24. Grâce à l'application, le traitement est effectué en local.
Commencez par télécharger et installer PDF24 pour Windows :
Lancez l'application "PDF24 Toolbox" une fois l'installation terminée. Dans la liste des outils, cliquez sur "Fusionner PDF". Comme vous pouvez le voir, il y a beaucoup d'autres outils disponibles.
Ensuite, ajoutez les fichiers PDF que vous souhaitez fusionner. Là encore, l'ordre est important, car les fichiers seront fusionnés "de la gauche vers la droite". Avec un glisser-déposer, vous pouvez changer l'ordre. Un affichage en mode liste est également proposé. En comparaison de PDFSam Basic, il y a moins d'options proposées pour la fusion de PDF : nous pouvons seulement ajouter la création de marque-pages.
Quand vous êtes prêt, cliquez sur le bouton "Créer un PDF".
Un fichier PDF correspondant aux documents PDF fusionnés a été généré. Il est possible de l'enregistrer et même de l'envoyer directement par e-mail.
Nous obtenons bien le résultat attendu. Le fichier de sortie pèse 66 Ko.
V. Conclusion
Vous connaissez maintenant plusieurs options pour fusionner des fichiers PDF sous Windows ! Choisissez celle qui vous convient le mieux entre PDFSam Basic et PDF24. Il est à noter que les fichiers sources ne sont pas supprimés par ces applications. Néanmoins, attention, si le fichier de sortie porte le nom d'un fichier source et qu'il est généré au même endroit, il l'écrasera.
Connexion
Visitez le site TP-Link Omada pour en savoir plus :
