À partir d'aujourd'hui, jeudi 6 juin 2024, le portail Orange Cybersecure est accessible à tout le monde ! Son objectif : vous permettre de vérifier facilement et rapidement les liens douteux que vous êtes susceptible de recevoir par e-mail ou SMS.

Avec la solution Orange Cybersecure, les français vont pouvoir vérifier si un lien ("URL") est dangereux ou non. Pour mettre au point cet outil, Orange s'est appuyé sur l'expertise de sa filiale Orange Cyberdefense, spécialisée dans la cybersécurité.

"Sur le portail Cybersecure, toute personne, quel que soit son opérateur, pourra vérifier, gratuitement, par un simple copier/coller, la légitimité d’un site, d’un lien, d’un email ou d’un SMS qui lui semble suspect.", peut-on lire dans le communiqué de presse d'Orange.

Le principe est simple : vous copiez-coller le lien à vérifier, et s'il est déjà connu par la base de données du service, alors la réponse est immédiate. Sinon, cela implique une analyse de la part des experts d'Orange Cyberdefense avant d'avoir une réponse. Ce service sera connecté à une intelligence artificielle capable d'apprendre au fur et à mesure que la base est enrichie par les utilisateurs.

"Comme une application communautaire, plus le moteur est utilisé plus la base de données s’enrichit au bénéfice de tous les français.", précise Orange. Ce service participatif me fait penser au service Waze où les automobilistes peuvent signaler des événements, bien que ce soit dans un tout autre registre.

L'accès à ce service en ligne sera gratuit, bien qu'Orange prévoit une offre payante pour ses clients Orange et Sosh.

Une offre payante pour les clients Orange et Sosh

Le pack Orange Cybersecure est proposé pour ceux qui veulent une solution de protection plus complète. Proposé à 7 euros par mois et sans engagement, cet abonnement intègre la solution de sécurité Orange Cybersecure pour lutter "contre les messages malveillants comme les arnaques sur internet, virus, sites frauduleux, usurpation d’identité etc.", précise Orange qui présente sa solution comme étant plus qu'un simple antivirus.

Un seul abonnement peut être utilisé pour protéger jusqu'à 10 appareils d'un même foyer : tablette, ordinateur, smartphone. Cette offre donne aussi accès à un accompagnement où l'utilisateur peut solliciter l'aide des spécialistes Cyber d'Orange en cas de doute.

"Des spécialistes Cyber qui répondent et les accompagnent 7 jours sur 7 en cas de doute sur la fiabilité d’un site ou d’une application, de piratage de données, de fraude avérée, une aide à l’installation ou toutes autres questions.", peut-on lire.

Après avoir conquis les entreprises, Orange souhaite séduire les particuliers avec sa filiale Orange Cyberdefense. Cette nouvelle offre Cybersecure est lancée en France pour le moment, mais elle devrait être lancée en Europe par la suite, de façon progressive.

Pour tester ce nouveau service, rendez-vous sur cette page :

• Orange Cybersecure - Service en ligne

Comment vérifier si un lien est malveillant avec Orange Cybersecure ?

Comme le montre l'image ci-dessous, il suffit de se rendre sur le portail Orange Cybersecure, de copier-coller le lien à vérifier puis d'appuyer sur le bouton "Vérifier la fiabilité". Après avoir vérifié un captcha, le verdict tombe !

J'ai fait un test avec le lien suivant, associé à un e-mail de phishing aux couleurs du Crédit Mutuel et que j'ai reçu hier midi.

[https://]tracking-clientprofessionel[.]com/S4FD5sf

Voici l'e-mail en question :

Le portail Orange Cybersecure m'indique, qu'en effet, il s'agit bien d'un lien malveillant. À noter également la source "avis fourni par Google", qui laisse entendre que ce lien a déjà été reporté par d'autres utilisateurs.

J'ai fait un autre test avec le texte d'un e-mail ne contenant pas de liens, mais une pièce jointe malveillante, et le portail m'a retourné une erreur.

En complément, le portail donne accès à différents guides et articles pour accompagner les internautes afin de les sensibiliser et les former aux risques de la cybersécurité. Orange semble même également proposer des ateliers en ligne, accessible sur inscription. Par exemple, il y a un atelier nommé "Atelier : Eviter les arnaques en ligne - atelier en ligne".

Qu'en pensez-vous ?

The post Phishing : vérifiez les liens douteux avec le portail Orange Cybersecure first appeared on IT-Connect.

L'Offensive Security a publié la deuxième version de l'année 2024 de sa distribution Kali Linux ! L'occasion de faire le point sur les changements apportés à Kali Linux 2024.2, ainsi que sur les 18 nouveaux outils !

• Kali Linux 2024.1 est disponible ! Quelles sont les nouveautés ?

Le bug de l'an 2038

Le bug de l'an 2038 a été corrigé dans Kali Linux ! Il s'agit d'un problème similaire au bug de l'an 2000 qui affecte les systèmes informatiques qui comptent le temps en secondes depuis le 1er janvier 1970. C'est notamment le cas de différents systèmes d'exploitation et logiciels, dont les systèmes Linux.

Ce bug doit se déclencher le 19 janvier 2038 à 3 heures 14 minutes et 8 secondes, et à ce moment-là, les systèmes affectés par le bug considéreront alors être le 13 décembre 1901 à 20 heures 45 minutes et 52 secondes. Un retour en arrière brutal et problématique, bien entendu.

Ceci est appelé la transition "t64" : "Pour éviter le problème de l'an 2038, la taille du type time_t a dû être modifiée pour être de 64 bits sur les architectures où elle était de 32 bits.", peut-on lire sur le site de Kali Linux.

Les nouveaux outils de Kali Linux 2024.2

Cette nouvelle version est très riche en nouveaux outils, puisqu'il y a eu 18 nouveaux outils ajoutés à la distribution Kali Linux 2024.2.

Voici la liste de ces outils :

• autorecon - Outil de reconnaissance réseau multi-thread, pour énumérer les services.
• coercer - Un script Python pour forcer un serveur Windows à s'authentifier sur une machine arbitraire.
• dploot - Réécriture en Python de SharpDPAPI.
• getsploit - Utilitaire en ligne de commande pour rechercher et télécharger des exploits.
• gowitness - Utilitaire de capture d'écran web utilisant Chrome Headless, écrit en Golang.
• horst - Outil de balayage radio pour le Wi-Fi.
• ligolo-ng - Outil de tunneling/pivoting avancé et utilisant une interface TUN.
• mitm6 - Pwning IPv4 via IPv6 (réponse aux messages DHCPv6).
• netexec - Outil d'exploitation de services réseau aidant à évaluer la sécurité des grands réseaux.
• pspy - Surveiller les processus Linux sans permissions root.
• pyinstaller - Compile les programmes Python en exécutables autonomes.
• pyinstxtractor - Extracteur PyInstaller.
• sharpshooter - Framework de génération de payload.
• sickle - Outil de développement de payload.
• snort - Système de détection d'intrusion réseau.
• sploitscan - Rechercher des informations sur les CVE, à partir de plusieurs bases officielles.
• vopono - Exécuter des applications via des tunnels VPN avec des espaces de noms réseau temporaires.
• waybackpy - Accéder à l'API de la Wayback Machine en utilisant Python.

Enfin, l'équipe de Kali Linux a mis à jour les environnements de bureau Xfce et GNOME. Ceci se traduit par le passage à GNOME 46, ainsi qu'une mise à jour de Xfce particulièrement pour les modes Kali-Undercover et HiDPI.

Pour obtenir des informations supplémentaires, consultez l'annonce officielle sur le site de Kali.

The post Kali Linux 2024.2 : 18 nouveaux outils et correction du bug de l’an 2038 first appeared on IT-Connect.

Les environnements VMware ESXi sont pris pour cible par une nouvelle variante du ransomware TargetCompany, qui vient s'ajouter à la liste des menaces capables de chiffrer les VM des hyperviseurs de VMware. Faisons le point.

Le ransomware TargetCompany, aussi connu sous les noms de Mallox, FARGO et Tohnichi, a été repéré pour la première fois en juin 2021. Dans un premier temps, il a surtout été utilisé pour mener des attaques contre les serveurs de gestion de base de données, que ce soit MySQL, SQL Server ou encore Oracle, en Corée du Sud, en Thaïlande, en Inde et à Taïwan.

Puis, en février 2022, Avast a publié un outil de déchiffrement pour TargetCompany afin d'aider les victimes de ce ransomware à récupérer leurs données gratuitement. Malgré ce coup porté par Avast, le gang de ransomware TargetCompany est rapidement revenu sur le devant de la scène... Notamment en s'attaquant aux serveurs Windows.

Mais, désormais, Trend Micro nous apprend qu'une nouvelle variante de TargetCompany pour Linux cible particulièrement les hyperviseurs VMware ESXi.

VMware ESXi dans le viseur du ransomware TargetCompany

C'est par l'intermédiaire d'un script shell exécuté sur l'hôte compromis que le logiciel malveillant effectue un ensemble de vérifications, pour déterminer sur quel environnement il se situe. Il cherche à déterminer s'il s'exécute sur un serveur VMware ESXi grâce à l'exécution de la commande "uname" à la recherche du mot clé "vmkernel".

"Le groupe de ransomwares TargetCompany emploie désormais une nouvelle variante Linux qui utilise un script shell personnalisé comme moyen de diffusion et d'exécution de la charge utile, une technique que l'on ne retrouvait pas dans les variantes précédentes.", précise Trend Micro dans son rapport.

En complément, il génère un fichier nommé "TargetInfo.txt" qui recense des informations sur la victime telles que le nom d'hôte, l'adresse IP, l'OS du serveur, l'utilisateur utilisé par le malware, etc.... Et ce fichier est envoyé vers le serveur C2 des attaquants.

S'il est exécuté sur un hyperviseur VMware ESXi, le ransomware passe à l'action dans le but de chiffrer les machines virtuelles. TargetCompany chiffre tous les fichiers relatifs aux machines virtuelles : VMDK, VMEM, VSWP, VMX, VMSN, NVRAM. Les fichiers chiffrés héritent de l'extension ".locked".

Enfin, une demande de rançon nommée "HOW TO DECRYPT.txt" est déposée sur le serveur et le malware termine en supprimant ses traces pour rendre plus difficile les futures investigations. "Une fois que le ransomware a exécuté sa routine, le script supprime la charge utile TargetCompany à l'aide de la commande "rm -f x".", précise Trend Micro.

Consultez le rapport de Trend Micro pour obtenir des détails supplémentaires, notamment les indicateurs de compromission et les URL utilisées par les attaquants.

Source

The post Une nouvelle variante Linux du ransomware TargetCompany cible VMware ESXi ! first appeared on IT-Connect.

— Article en partenariat avec Surfshark —

Lorsque l’on parle d’un VPN, c’est principalement avec l’idée de disposer d’un outil qui va protéger vos données d’un point de vue professionnel (protéger votre équipe avec Surfshark). Ou pour son côté « amusement » comme débloquer les catalogues VOD/streaming, protéger sa TV intelligente, etc.

Mais une autre très bonne façon d’utiliser un VPN est de protéger la famille au sein même de votre habitation. Ce que fait plutôt bien Surfshark pour plusieurs raisons. Et la première n’est autre que le fait qu’il s’agit quasi du seul service du genre à proposer la protection d’un nombre illimité de machines et simultané. Donc que vous soyez célibataire ou que vous viviez avec une famille nombreuse c’est pareil, un seul abonnement et tout le monde en bénéficie.

Bon après même si le nombre d’appareils pris en compte peut être illimité … si la protection est foireuse ça n’a pas grand intérêt. Mais là encore Surfshark répond aux attentes. Outre le fait de n’avoir jamais été prit en flag de mentir sur sa politique de non-conservation de vos activités (multiples audits au fil des années), il repose sur la panoplie des meilleurs standards du domaine : chiffrement AES 256, protocole IKEv2/IPsec, support de Wireguard/OpenVPN/L2TP, etc.

Maintenant, comment est-ce qu’un VPN protège concrètement les utilisateurs de votre maison ?

Déjà en modifiant votre adresse IP. Vous savez sans doute déjà qu’une adresse IP est celle qui identifie votre machine sur Internet. Toutes vos actions y sont liées : achat en ligne, message sur un réseau social, etc. Il est donc assez facile de relier votre comportement en ligne à votre appareil.

Surfshark vous permet de modifier cette dernière en changeant de serveur, de manière aléatoire tous les x temps … ou de la garder fixe si besoin. En changeant d’IP, vous donnez aux sites que vous visitez (même à votre fournisseur d’accès via le mode camouflage) une localisation qui est différente de votre vraie position.

Le chiffrement de vos données est un autre aspect de cette protection. Par défaut tout ce que vous faites en ligne sera chiffré avec les meilleurs algorithmes du moment. Si une personne mal intentionnée venait à intercepter votre trafic, il ne pourrait rien en faire. Ce qui est plutôt appréciable, surtout si vous habitez un pays où le gouvernement en place aime jouer au petit curieux.

L’idéal dans ce cas est bien entendu de sécuriser le routeur de la maison, celui par lequel tout passe. Mais simplement installer le VPN sur tous vos appareils fera aussi très bien le taf. Et ce qui est plutôt cool c’est que Surfshark supporte toutes les religions, de Windows à Linux en passant par macOS, Android, iOS, BlackBerry, vos smart TV, navigateurs et mêmes consoles de jeux. Bref il est plus flexible qu’un contorsionniste.

Un point à prendre en compte est de choisir un VPN qui corresponde à votre situation. On pense souvent à des serveurs situés un peu partout dans le monde sans faire attention à sa propre géoloc. Or vous pouvez très bien avoir envie de regarder un contenu réservé à la France … depuis la France. Sans donner votre position. De ce côté Surfshark est blindé avec ses 3200+ serveurs (quasi tous en 10 Gb/s) répartis dans 100+ pays. Pas le plus grand parc de serveurs des VPN, mais le mieux réparti et avec l’un des meilleurs rapport qualité/prix du marché.

Comme vous êtes l’adulte de la maison (hum hum), ce sera à vous d’éduquer vos enfants sur le sujet.  Surtout les plus jeunes (et les plus vieux) qui ne sont pas forcément au courant des risques potentiels dans ce bourg mal famé que sont les Internets. Et avec le pack Surfshark One dont j’ai parlé dernièrement et intégré par défaut depuis peu, il vous permet de disposer en plus d’un antivirus, d’un système d’alerte, de la création d’identité alternative, d’un moteur de recherche privé, d’un surf sans publicités ni traqueurs et un tas d’autres options !

Récemment le site du VPN aux dents de requin a publié un classement mondial de la qualité de vie numérique. Et notre hexagone s’y classe … premier devant la Finlande et le Danemark. Place que l’on doit surtout au prix de nos connexions (merci Free), parce que niveau cybersécu et infrastructure électronique nous sommes bien plus mal placés (autour de la 15e place). Comme quoi il y a encore de la marge.

Et tout cela vous est accessible pour moins de 3.25€/mois TTC (abonnement 2 ans). Satisfait ou remboursé durant 30 jours, donc pas de prise de risques, vous pouvez tester ça au calme et vous faire votre idée. Niveau des modes de paiement il y en a pour tout le monde : de PayPal à la CB, en passant par les solutions comme Google Pay/Amazon Pay et les cryptomonnaies.

N’attendez plus, essayez Surfshark VPN !

L'enseigne de prêt-à-porter française Zadig & Voltaire est victime d'une importante fuite de données : un cybercriminel a publié une base de données avec les données personnelles de plus de 600 000 clients. Faisons le point.

Rappel - Créée en 1997, Zadig & Voltaire est une marque française de prêt-à-porter, aussi bien pour les femmes que pour les hommes.

Ce mercredi 5 juin, au petit matin, un cybercriminel a publié sur un forum de hacking une base de données appartenant à l'enseigne de prêt-à-porter Zadig & Voltaire. Il s'agit de données publiées sur BreachForums, la principale "place de marché" pour l'achat et la revente de données issues de cyberattaques. Preuve que BreachForums est bien de retour après avoir été malmené par les forces de l'ordre ces dernières semaines.

Cette fuite de données contient les données personnelles de 638 726 clients de l'enseigne française. Selon les informations fournies par le cybercriminel à l'origine de la divulgation des données, ces données auraient été volées en novembre 2023. Ceci laisse entendre que la cyberattaque s'est déroulée dans les jours ou semaines précédant le vol de données.

À quoi correspondent ces données personnelles ?

Dans cette base de données, nous retrouvons diverses informations au sujet des clients de Zadig & Voltaire, notamment des noms et prénoms, des adresses e-mails, des numéros de téléphone, des adresses postales, ainsi que des dates de naissance. C'est typiquement le genre d'informations que l'on retrouve dans un fichier client.

Si vous êtes client de Zadig & Voltaire, nous vous recommandons de modifier le mot de passe de votre compte client, par précaution. Méfiez-vous également des e-mails que vous recevez, car une campagne de phishing pourrait être organisée à partir de ces informations.

En 2024, ce n'est pas la première enseigne de prêt-à-porter à subir une cyberattaque associée à une fuite de données. En avril 2024, c'est la marque "Le Slip français" qui a été victime d'un incident similaire. Un peu plus tôt dans l'année, c'était au tour d'une filiale de l'enseigne Benetton.

Source

The post Cyberattaque Zadig & Voltaire : les données personnelles de 600 000 clients publiées sur le Dark Web first appeared on IT-Connect.

Alors qu’il reste quelques jours aux Français pour effectuer leur déclaration d’impôts, la vigilance reste de mise pour éviter de tomber dans le piège des cybercriminels. En effet, durant cette période, le risque de cyberattaque augmente en raison de l’augmentation du trafic en ligne, de la nature sensible des informations échangées et de la pression […]

The post Cybermenaces : se protéger pendant la période de déclaration et d’avis d’impôts first appeared on UnderNews.

Un nouvel ensemble de 361 millions d'adresses e-mails a été ajouté au service en ligne Have I Been Pwned ! De quoi vous permettre de vérifier si vos identifiants sont présents dans cette liste d'informations collectées à partir de canaux Telegram. Faisons le point.

Un chercheur en sécurité anonyme a transféré à Troy Hunt, le créateur du site Have I Been Pwned (HIBP), un ensemble de fichiers représentants 122 Go de données. Cet ensemble de données correspond à plus de 1 700 fichiers provenant de 518 canaux Telegram différents. Il s'agit d'une action de scraping ("moissonnage") effectuée par ce chercheur en sécurité.

Au total, ces fichiers contiennent pas moins de 361 millions d'adresses e-mails uniques, dont 151 millions d'adresses e-mails ajoutées pour la première fois sur le site Have I Been Pwned !

À quoi correspondent ces identifiants ? Sont-ils légitimes ?

Ces identifiants peuvent provenir d'une fuite de données suite à une intrusion sur un système par un cybercriminel, à la collecte d'identifiants effectuée par un malware infostealer, à du credential stuffing, etc... Ce qui est certain, c'est que ces identifiants circulent sur des canaux cybercriminels de Telegram. Les pirates n'hésitent pas à divulguer ces identifiants pour accroître leur popularité.

Les données comprennent des identifiants de connexion regroupés par service (par exemple, Gmail, Yahoo, etc.) ou par pays. Aucun site ou service n'est susceptible d'être épargné, notamment s'il s'agit d'un infostealer qui a exfiltré les mots de passe enregistrés dans un navigateur Web.

Tous les fichiers correspondant à cette fuite de 361 millions d'identifiants ne sont pas structurés de la même façon. Il y a des combinaisons d'adresse e-mail et de mot de passe, tandis que d'autres fichiers intègrent l'URL du service en plus de l'adresse e-mail et du mot de passe ! Certains fichiers contiennent des dizaines de millions de lignes.

Troy Hunt a passé du temps à analyser ces données, notamment pour déterminer si elles sont légitimes, bien qu'il soit impossible de vérifier l'ensemble des identifiants.

Le résultat est clair : de nombreuses adresses e-mails présentes concernées par une fuite sont correctement associées au site web mentionné dans les fichiers de données fournit par le chercheur en sécurité. Autrement dit, les identifiants distribués sur ces canaux Telegram sont légitimes, au moins pour une partie.

Pour en savoir plus, vous pouvez consulter l'article publié par Troy Hunt. Pour vérifier si vous êtes affecté, rendez-vous sur le service de vérification HIBP.

Source

The post 361 millions de comptes volés divulgués sur Telegram ! Êtes-vous concerné ? first appeared on IT-Connect.

Un nouveau site de cybersécurité sera déployé par Orange prochainement. Celui-ci prendra la forme d'une plateforme collaborative permettant aux Français de vérifier si une URL est dangereuse. Le but étant de protéger les utilisateurs contre des menaces comme le phishing ou encore les virus.

L’article Le service Cybersecure d’Orange vous protégerait gratuitement du phishing, où est le piège ? est apparu en premier sur Tom’s Hardware.

L’année 2024 apporte de nouveaux défis pour les entreprises de toutes tailles et les cybermenaces ne cessent d’évoluer. En 2023 OpenText Cybersecurity a observé 824 000 tentatives d’attaques dont 76 % sur des ordinateurs à usage professionnel. Le dernier rapport Threat Report 2024 d’OpenText Cybersecurity met en lumière les principales préoccupations et les recommandations essentielles […]

The post OpenText Cybersecurity dévoile son rapport 2024 sur les menaces émergentes et la résilience cybernétique first appeared on UnderNews.

Kaspersky a publié un nouvel outil gratuit pour analyser les systèmes Linux à la recherche de cybermenaces connues ! Le nom de cet outil : Kaspersky Virus Removal Tool (KVRT). Faisons le point.

Disponible depuis plusieurs années, l'outil Kaspersky Virus Removal Tool était jusqu'alors réservé aux utilisateurs de Windows. L'éditeur Kaspersky a pris la décision de développer une version pour Linux, désormais disponible.

Kaspersky estime que les entreprises ne protègent pas suffisamment leurs machines sous Linux, pensant qu'elles sont immunisées contre les menaces lorsqu'une machine est exécutée avec une distribution Linux. "C'est pourquoi nous avons lancé un produit gratuit dédié qui permet de vérifier les ordinateurs Linux contre les menaces modernes : Kaspersky Virus Removal Tool (KVRT) pour Linux.", peut-on lire sur le site de Kaspersky.

À quoi sert Kaspersky Virus Removal Tool pour Linux ?

Ce nouvel outil ne surveille pas le système en temps réel, mais il est plutôt là pour effectuer une analyse sur une machine à la recherche de menaces déjà présentes. Autrement dit, il sert à effectuer une recherche de logiciels malveillants sur Linux, tout en proposant le nettoyage des menaces détectées. "Il peut détecter à la fois les logiciels malveillants et les adwares, ainsi que les programmes légitimes pouvant être utilisés pour des attaques.", précise Kaspersky.

Pour rechercher les menaces, Kaspersky Virus Removal Tool effectue une analyse en profondeur du système puisqu'il va s'intéresser à tous les fichiers du système, mais pas seulement. Kaspersky apporte des précisions à ce sujet : "Notre application peut analyser la mémoire système, les objets de démarrage, les secteurs d'amorçage et tous les fichiers du système d'exploitation à la recherche de logiciels malveillants connus. Elle analyse les fichiers de tous les formats, y compris ceux archivés."

Comment utiliser Kaspersky Virus Removal Tool sur Linux ?

Cet outil est compatible avec différentes distributions Linux, dont Debian, AlmaLinux, Oracle Linux, Ubuntu, ou encore Red Hat Enterprise Linux. La liste complète des distributions disponibles et des prérequis est disponible sur cette page.

Il doit être téléchargé et exécuté depuis la machine sur laquelle l'analyse doit être effectuée. Kaspersky explique qu'il s'agit d'une application portable, qui ne nécessite pas d'installation. Il est également précisé que la base de l'application n'est pas mise à jour de façon automatique : il convient de télécharger la dernière version, pour détecter les menaces les plus récentes, directement depuis le site de l'éditeur.

Cette application est adaptée aux machines Linux avec ou sans interface graphique : "L'application peut être exécutée via une interface graphique ou via une ligne de commande. Mais vous ne pouvez la lancer que manuellement — il est impossible de configurer une analyse programmée.", peut-on lire.

Enfin, pour bénéficier d'une analyse complète du système, il est recommandé de lancer l'outil à partir du compte "root" ou d'un compte privilégié (via "sudo"). Sinon, l'outil pourrait passer à côté de certaines menaces s'il ne peut pas analyser certaines parties de la machine à cause d'un manque de permissions.

Pour en savoir plus, vous pouvez consulter cette page, tandis que le téléchargement s'effectue à partir de cette page en cliquant sur le lien "Show other platforms".

Qu'en pensez-vous ?

The post Kaspersky lance un outil gratuit pour analyser Linux à la recherche de menaces connues ! first appeared on IT-Connect.

Montrer que les ransomwares ne sont pas invincibles, voilà la devise de l'outil open source RansomLord ! Cet outil de cybersécurité est capable de détecter et de neutraliser les ransomwares avant même que les données ne soient chiffrées ! Comment est-ce possible ? Voici ce qu'il faut savoir !

Développé par John Page alias "hyp3rlinx", RansomLord est un outil ingénieux et innovant qui a pour objectif de venir court-circuiter le processus de chiffrement de nombreux ransomwares, y compris les plus redoutables. Ce nouvel outil anti-ransomware disponible sur GitHub est une nouvelle arme à disposition des entreprises et des particuliers dans la lutte contre les ransomwares ! Lors d'une attaque, le ransomware est neutralisé avant même de pouvoir chiffrer les données grâce au piège tendu par RansomLord.

Pour cela, RansomLord se présente comme une solution proactive pour faire face aux ransomwares. En effet, il va venir interférer avec le ransomware lors du processus de "pre-encryption" lorsque la menace va chercher à charger des bibliothèques (DLL) sur le système Windows. Il crée ses propres versions de DLL, que le ransomware va charger, et il va ainsi pouvoir mettre fin à l'exécution du ransomware grâce à un code spécial intégré dans les DLL de RansomLord. Autrement dit, il utilise la technique de "DLL hijacking", parfois elle-même utilisée par les cybercriminels !

La version 3.1 de RansomLord, publiée il y a quelques jours, est capable de mettre fin au processus de nombreux ransomwares, dont : LockBit, WannaCry, HelloKitty, BlackCat (ALPHV), Royal, ainsi que d'autres moins connus tels que StopCrypt, RisePro, RuRansom, ou encore MoneyMessage.

"RansomLord intercepte désormais les ransomwares testés par 49 groupes de menaces différents et y met fin.", peut-on lire sur le GitHub officiel. Grâce à des mises à jour régulières, l'auteur ajoute la prise en charge de nouveaux ransomwares.

• Télécharger RansomLord

Depuis plusieurs années, les ransomwares représentent une menace croissante pour les entreprises et les particuliers. D'ailleurs, le dernier rapport sur les menaces publié par Red Canary indique que les ransomwares sont la principale menace de ces derniers mois.

Source

The post RansomLord, un outil open source capable de piéger les ransomwares ! first appeared on IT-Connect.

VirtualGHOST, c'est le nom d'un nouvel outil publié par CrowdStrike dont l'objectif de mettre en évidence ce que l'on pourrait appeler des machines virtuelles fantômes, cachées sur les hôtes VMware ESXi. Leur présence fait suite à une intrusion par un attaquant. Faisons le point !

À plusieurs reprises, les équipes de CrowdStrike ont identifié des machines virtuelles suspectes sur des infrastructures VMware. Suspectes, car il s'agit de machines virtuelles cachées, en cours d'exécution, et invisibles à partir de l'interface utilisateur utilisée pour administrer la plateforme VMware.

Autrement dit, la VM créée par les attaquants n'apparaît pas dans l'inventaire de VMware ESXi, ni dans celui du vCenter. Pour démarrer la machine virtuelle de façon discrète, l'attaquant doit opérer à partir de la ligne de commande d'un hyperviseur ESXi compromis. En réponse à cette nouvelle technique émergente, l'entreprise américaine CrowdStrike a développé un outil de détection nommé VirtualGHOST ! C'est d'ailleurs le surnom donné par CrowdStrike à ces fameuses machines virtuelles.

Cet outil, disponible sur GitHub, s'appuie sur un script PowerShell nommé "Detect-VirtualGHOST.ps1" qui compare la liste des machines virtuelles enregistrées dans l'inventaire avec celles qui sont effectivement allumées. Ceci permet d'identifier les machines en cours d'exécution, mais non enregistrée sur l'hôte. Lorsqu'une VM suspecte est détectée, l'outil collecte des informations supplémentaires à son sujet, notamment la configuration réseau.

Ce script s'utilise depuis un poste de travail ou un serveur distant et nécessite la présence du module VMware PowerCLI, ce dernier permettant d'exécuter des commandes "esxcli" et donc de vérifier l'état des machines virtuelles.

Remarque : pour fonctionner, le script Detect-VirtualGHOST.ps1 attend deux informations. Le nom DNS du serveur à analyser ou son adresse IP, ainsi que des identifiants pour s'authentifier sur l'API de management VMware.

Voici un exemple de sortie mettant en évidence la présence d'une VM cachée :

Cet outil a été testé par CrowdStrike sur VMware vCenter 8.0.2, ainsi que plusieurs versions de VMware ESXi (6.5.0, 7.0.3, 8.0.0).

Pour plus de détails, vous pouvez consulter le dépôt GitHub de CrowdStrike :

• GitHub - VirtualGHOST

Compte tenu des nombreuses menaces capables de compromettre les hyperviseurs VMware ESXi, il peut s'avérer judicieux d'exécuter cet outil pour analyser son infrastructure.

Source

The post VirtualGHOST : détectez les machines virtuelles cachées par les attaquants sur VMware ESXi first appeared on IT-Connect.

Le "Red Canary’s 2024 Threat Detection Report" offre une analyse exhaustive des cybermenaces actuelles, détaillant les principales techniques d'attaque et fournissant des recommandations cruciales pour renforcer la cybersécurité des entreprises et des États. Qu'en est-il en 2024 ?

Qu'est-ce que le rapport de Red Canary ?

Le Red Canary’s 2024 Threat Detection Report est un rapport biannuel produit par la société de cybersécurité américaine Red Canary. Il vise à détailler les tendances des menaces pesant sur les entreprises et les États. Ce rapport se base sur plus de 60 000 détections obtenues auprès de plus de 1 000 clients de la société, couvrant des endpoints, des infrastructures cloud, des équipements réseau, des applications SaaS, et plus encore.

Ce rapport de 160 pages détaille les tendances des menaces observées sur le terrain durant la première moitié de l'année 2024.

• Qu'est-ce que cela signifie ?

Grâce à sa présence dans de nombreux systèmes d'information, Red Canary est en mesure de capter un grand nombre d'événements de sécurité. Cela permet de dessiner des tendances sur les principales techniques utilisées par les attaquants, les impacts observés lors des cyberattaques, ainsi que les objectifs visés.

• À quoi peut me servir ce rapport ?

En lisant ce rapport, avec ses détails techniques et ses conclusions, vous pourrez mieux comprendre les techniques utilisées par les attaquants, le profil de leurs victimes et l'évolution de ces différents éléments dans le temps. En connaissant les menaces qui pèsent sur votre entreprise, vous pourrez anticiper et adapter vos projets de cybersécurité actuels et futurs pour mieux vous défendre contre ces menaces.

Les conclusions de ce rapport peuvent, par exemple, servir à améliorer les systèmes de détection d'intrusion de votre SOC, amener à la réalisation d'audit de sécurité sur des composants spécifiquement ciblés par les attaquants cette année ou simplement améliorer les connaissances de vos équipes de défense.

Intéressons-nous maintenant aux différentes conclusions de ce rapport.

Les tendances des cyberattaques en 2024

Red Canary a effectué une analyse des principales tendances rencontrées lors de cyberattaques confirmées et rapports threat intelligence (renseignement sur la menace) au cours de la dernière année.

Sans surprise, la tendance principale des cyberattaques observées durant ces derniers mois fait apparaitre les ransomwares en haut du classement. Ce business visiblement lucratif a la vie dure et continue année après année à impacter lourdement les entreprises qui en sont victimes.

Les attaques sur les accès initiaux, c'est-à-dire visant à obtenir un premier accès au sein du système d'information d'une entreprise pour ensuite implanter un agent dormant et vendre l'accès au plus intéressé, est également un élément qui demeure très présent dans les observations de 2024. Suivi de près par les attaques ciblant le vol d'identifiants, dont l'impact est d'autant plus grand grâce (ou à cause) de l'implémentation du SSO (Single Sign On).

Parmi les autres tendances observées en 2024, on peut également noter :

• L'exploitation de CVE (vulnérabilités publiques) sur des composants non à jour
• Le déploiement de stealer, des malwares spécialisés dans la récolte de données sur le système sur lequel ils sont installés, comme les mots de passe dans les navigateurs ou les coffres-fort de mots de passe. On peut notamment citer les malwares RedLine, Vidar et LummaC2.
• L'utilisation d'outils d'administration à distance légitimes comme Atera ou Remco
• L'utilisation de tokens (jeton d'authentification) API volés sur les infrastructures cloud : les tokens apparaissent de plus en plus comme des alternatives à durée de vie temporaire à la saisie fréquentes des mots de passe, il faut être conscient que le vol de ceux-ci permet d'usurper l'identité du propriétaire.
• L'intelligence artificielle générative, qui fait son apparition depuis quelque temps dans les médias, mais aussi chez les cyberattaquant. Cela particulièrement afin de construire des outils et campagnes de phishing très crédibles, mais aussi pour concevoir de nouveaux malwares rapidement.
• La société observée également qu'un quart des détections réalisées sont en fait dues à des opérations de test "légitimes", tel que du bug bounty, des tests d'intrusion ou des opérations red team.

Enfin, il est par ailleurs intéressant de constater que le secteur d'activité n'est plus vraiment un facteur d'augmentation ou de réduction du risque de cyberattaque. Autrement dit, les attaquants ne cherchent plus à cibler un type d'industrie spécifique ou à en éviter d'autres (comme les écoles et les hôpitaux par le passé). À présent, tout le monde est en risque de devenir la cible d'une cyberattaque.

Les principales menaces observées en 2024

Les observations faites par Red Canary sur la fin de 2023 et début 2024 permettent d'identifier les principaux outils utilisés par les cyberattaquants :

La menace qui se démarque le plus, au-dessus de l'utilisation d'outils classiques d'attaque comment impacket et mimikatz, est CharCoal Stork.

Charcoal Stork est un fournisseur de pay-per-install (PPI) qui utilise le malvertising pour distribuer des installateurs, souvent déguisés en jeux piratés, polices ou fonds d'écran. Initialement, Charcoal Stork utilisait des fichiers ISO avec des charges utiles comprenant une application basée sur NodeJS et des commandes PowerShell pour installer ChromeLoader. En 2023, les charges utiles ont évolué pour inclure des fichiers VBS, MSI et EXE.

SmashJacker, par exemple, installe une version piégée de 7-zip qui installe une extension malveillante sur le navigateur. En août 2023, Charcoal Stork a livré des fichiers EXE menant à des logiciels malveillants plus préoccupants comme VileRAT, un RAT (Remote Administration Tool) Python utilisé par DeathStalker.

Si vous souhaitez en savoir plus, notamment afin de détecter la présence de cet élément malveillant dans votre système d'information. Je vous invite à consulter la page dédiée à Charcoal Stork sur le site web de Red Canary.

• Red Canary - Threat Charcoal Stork

Vous y trouverez des informations permettant d'identifier des éléments signatures (hash, lignes de commande, nom de fichiers) pouvant trahir sa présence.

Les principales techniques (TTP) des attaquants en 2024

La dernière section du document permet de lister les principales techniques d'attaque observées depuis fin 2023/début 2024. Ces techniques sont identifiées selon les TTP du framework d'attaque du MITRE : ATT&CK

Les techniques ciblant les systèmes d'exploitation Windows sont bien sûr en tête de liste, cela est en lien direct avec le fait qu'il s'agit d système le plus utilisé pour les postes utilisateur. On y retrouve donc les TTP liés à l'exécution de commande batch et PowerShell (présent dans 22.1% des cyberattaques observées !) ainsi que WMI (Windows Management Instrumentation).

Il est à noter la montée fulgurante du TTP Cloud Account, qui passe de la 46ᵉ place en 2022 à la 4ᵉ aujourd'hui. Cette technique (T1078.004 - Cloud Accounts) vise à utiliser des identifiants volés d'environnement Cloud pour réaliser un premier accès à une cible, mais aussi de la persistance, de l'élévation de privilège ou de l'évasion de défense.

Conclusion

Le Red Canary’s 2024 Threat Detection Report nous offre une analyse détaillée des tendances actuelles en matière de cybersécurité. Les données recueillies donnent des informations très importantes pour mieux protéger votre système d'information et votre entreprise.

Je vous recommande sa lecture (un peu longue certes, mais très instructive), si vous voulez avoir plus de détails et comprendre en profondeur les principales tendances des menaces en 2024 :

• Red Canary - 2024 Threat Detection Report

The post Quelles tendances des menaces en 2024 ? Réponse avec le rapport Red Canary ! first appeared on IT-Connect.

Des versions piratées de la suite Microsoft Office diffusées via sites de torrents sont utilisées par les cybercriminels pour diffuser plusieurs logiciels malveillants : Cheval de Troie d'accès à distance, mineur de cryptomonnaie, etc... ! Faisons le point.

Une nouvelle campagne malveillante identifiée par le Security Intelligence Center d'AhnLab (ASEC) alerte sur les dangers du téléchargement de logiciels piratés. Malheureusement, ce n'est pas une évidence pour tout le monde et les adeptes de téléchargements illégaux restent très nombreux dans le monde entier. Les cybercriminels l'ont bien compris... Et, ils exploitent des versions piratées de Microsoft Office diffusées sur des sites de torrents pour distribuer un ensemble de malwares.

Les utilisateurs qui téléchargent et installent ces versions piratées de Microsoft Office se retrouvent infectés par divers types de logiciels malveillants, notamment des chevaux de Troie d'accès à distance (RATs), des mineurs de cryptomonnaie, etc.

Un programme d'installation trompeur !

Le programme de la version piratée de Microsoft Office présente une interface bien conçue, et plutôt trompeuse pour les utilisateurs. Nous pourrions même dire qu'elle est plutôt rassurante, car elle permet aux utilisateurs de choisir la version, la langue et la variante (32 ou 64 bits) qu'ils souhaitent installer.

Voici un aperçu :

Cependant, ce n'est que la face visible de ce programme d'installation. En effet, pendant ce temps, en arrière-plan, il lance un malware qui se connecte à un canal Telegram ou Mastodon, à partir duquel il pourra obtenir un lien menant vers Google Drive ou GitHub pour télécharger des logiciels malveillants. Ces services légitimes présentes l'avantage de ne pas alerter les solutions de sécurité.

Des charges utiles dangereuses...

Lors de leurs analyses, les chercheurs Coréens sont parvenus un ensemble de malwares, dont voici la liste :

• Orcus RAT : permet un contrôle à distance complet, incluant la capture des frappes au clavier, l'accès à la webcam de l'ordinateur, la possibilité de prendre des captures d'écran ou encore d'exfiltrer des données.
• XMRig : un mineur de cryptomonnaie utilisant les ressources du système pour miner du Monero. Pour éviter d'être détecté, le minage est arrêté lorsque l'utilisateur sollicite de façon intensive les ressources de la machine.
• 3Proxy : convertit les systèmes infectés en serveurs proxy, permettant aux attaquants de router du trafic malveillant, par l'intermédiaire du port 3306.
• PureCrypter : télécharge et exécute des charges malveillantes supplémentaires à partir de sources externes.
• AntiAV : désactive ou reconfigure les logiciels de sécurité en place sur la machine infectée, de façon à diminuer son niveau de sécurité et à la rendre vulnérable aux autres menaces.

Persistance des logiciels malveillants

Même si l'utilisateur découvre et supprime certains de ces malwares, le module "Updater", exécuté au démarrage du système, les réintroduit. Bien entendu, à l'occasion de la publication de cette étude, les chercheurs d'ASEC mettent en garde les utilisateurs contre les risques de téléchargement de logiciels depuis des sources non officielles et illégales, dans le but d'obtenir des logiciels piratés. Autant que possible, pensez également à vérifier l'intégrité de vos images ISO et autres sources.

Microsoft Office étant un exemple parmi tant d'autres... En effet, des campagnes similaires ont été utilisées pour propager le ransomware STOP.

Source

The post Des versions piratées de Microsoft Office utilisées pour distribuer un ensemble de malwares ! first appeared on IT-Connect.

Reko est une boîte à outils complète qui va vous permettre de décortiquer les binaires et de les traduire en langages de plus haut niveau, que vous soyez sur Windows, Linux ou Mac (c’est codé en .NET).

Ses développeurs ont pensé à tout puisque vous avez le choix entre une interface graphique super intuitive pour les novices, et une interface en ligne de commande pour les pros du terminal qui aiment se la jouer old school.

Reko embarque aussi une bibliothèque qui gère un tas d’architectures processeur (x86, 68k, PowerPC, ARM, MIPS, Z80…), de formats de fichiers binaires (MZ, ELF, AmigaOS Hunk, Classic MacOS…) et de systèmes d’exploitation. Il peut même lancer automatiquement des scripts de décompression écrits en OllyScript.

Génial pour comprendre comment fonctionne un programme et faire un peu de reverse engineering pour se détendre.

A découvrir ici.

Un nouveau coup de filet majeur contre les cybercriminels : les autorités internationales sont parvenues à démanteler des infrastructures associées à plusieurs logiciels malveillants. Nom de l'opération ENDGAME. Voici ce que l'on sait.

Le 30 mai 2024, une vaste opération de démantèlement de plusieurs infrastructures cybercriminelles a été menée avec succès dans le cadre d’une coopération judiciaire internationale baptisée "ENDGAME". Il s'agit d'une opération indépendante de l'opération Cronos menée contre le gang LockBit : preuve que les autorités travaillent ardemment pour lutter contre la cybercriminalité.

Cette opération coordonnée a été menée par des autorités de plusieurs pays, notamment la France, l'Allemagne, les Pays-Bas, le Danemark, le Royaume-Uni et les États-Unis. La coordination globale a été assurée par Europol, qui a d'ailleurs publié un rapport à ce sujet.

En France, cette initiative a été menée par la section J3 de lutte contre la Cybercriminalité du Parquet de Paris en collaboration avec l’Office anti-cybercriminalité (OFAC). Par ailleurs, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a contribué à l'opération ENDGAME en participant à l’identification et à la notification des victimes.

L'opération visait spécifiquement à neutraliser des serveurs rattachés aux infrastructures utilisées par les cybercriminels. Résultat, les forces de l'ordre sont parvenues à saisir une centaine de serveurs et plus de 2 000 noms de domaines ! Les serveurs en question sont répartis dans différents pays : Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine.

"Les opérations menées par les forces de l’ordre se sont déployées sur plusieurs pays et ont mené à l’interpellation de 4 personnes dont 3 par les autorités françaises, à 16 perquisitions.", peut-on lire dans un post LinkedIn publié par le Parquet de Paris.

L'objectif était de cibler les infrastructures utilisées dans le fonctionnement de différents loaders : BumbleBee, IcedID, Smokeloader, Pikabot, Trickbot et SystemBCt. Ces logiciels malveillants sont généralement distribués via des campagnes de phishing. Une fois qu'une machine est infectée, ce code malveillant est utilisé pour télécharger et déployer d'autres malwares, dont des ransomwares.

Le Parquet de Paris précise que "L’administrateur du botnet Pikabot a été interpellé en Ukraine avec le concours des autorités ukrainiennes, l’un des acteurs principaux du dropper « Bumblebee » a été auditionné en Arménie."

Bravo aux forces de l'ordre !

The post Opération Endgame – Une action internationale contre les cybercriminels et les logiciels malveillants first appeared on IT-Connect.

Vous en avez marre d’être surveillé et censuré quand vous parcourez le web ? Vous rêvez d’accéder à tous les contenus que vous souhaitez sans que personne ne vienne fouiner dans vos affaires ? Alors, laissez-moi vous présenter Outline VPN, le logiciel libre et open source qui va transformer votre expérience en ligne !

Cette solution utilise un protocole discret et difficile à détecter, vous permettant ainsi de contourner les restrictions des censeurs. Ainsi, vous pourrez naviguer incognito et accéder à tous vos sites préférés, même ceux habituellement bloqués dans votre cher pays.

Mais ce n’est pas tout puisque Outline vous offre la possibilité de créer votre propre serveur VPN en quelques clics, et de le partager avec vos amis. Ainsi, vous disposez de votre propre réseau privé, où vous pouvez échanger en toute tranquillité loin des regards indiscrets.

Et si jamais votre serveur est repéré et bloqué par ceux qui n’apprécient pas votre amour de la liberté, ne vous inquiétez pas car avec cet outil, vous allez pouvoir le recréer facilement et rapidement. Evidemment, côté sécurité et confidentialité, Outline assure… Le code a été audité par des sociétés indépendantes, telles que Radically Open Security en mars 2018 et décembre 2022, ainsi que Cure53 en décembre 2018, qui ont confirmé que vos données sont protégées et que votre activité en ligne n’est pas enregistrée. Bref, une fois en place, vous pouvez surfer l’esprit tranquille, personne ne viendra fouiner dans votre historique.

Voici un guide étape par étape pour vous lancer :

Il faut savoir avant tout que Outline se compose de deux produits interdépendants qui fonctionnent ensemble pour vous fournir, à vous et votre communauté, un accès sans interruption à Internet.

Etape 1 : L’installation

Téléchargez Outline Manager, l’application en version desktop pour Windows, Linux et macOS, qui vous permettra de configurer votre serveur en quelques clics. Vous pourrez ainsi gérer tous les aspects de votre serveur de manière centralisée et choisir parmi une liste de fournisseurs de services cloud de confiance (Google, Amazon, Digital Ocean…) ou utiliser votre propre infrastructure sous Linux pour le déployer.

Etape 2 : Générez des clés d’accès

Après avoir configuré votre serveur, vous devez générer des clés d’accès uniques directement à partir de l’application Desktop. Vous pourrez alors envoyer des invitations à vos amis et les clés d’accès leur permettront de connecter leurs appareils (et le votre) à votre serveur Outline. Chaque clé est gérée individuellement et peut être limitée en termes de bande passante pour éviter qu’un utilisateur ne consomme toutes les ressources.

Etape 3 : Téléchargez l’appli du client Outline sur PC / Mac et smartphone

Ensuite l’application Outline à partir de l’App Store ou de Google Play Store, et connectez-vous à l’aide de votre clé d’accès unique.

Et bonne nouvelle si vous êtes développeur, le SDK Outline offre une bibliothèque et un ensemble d’outils multiplateformes permettant aux codeurs d’applications d’intégrer les stratégies avancées de mise en réseau d’Outline pour limiter les interférences réseau les plus complexes.

Bref, ça peut servir… A tester en tout cas.

Merci à Lorenper pour l’info sur cet outil !

I. Présentation

La cybersécurité est un enjeu crucial pour les petites et moyennes entreprises (TPE/PME). Comment sécuriser son réseau ? C'est la question que se posent les dirigeants d'entreprises. Nous allons voir comment répondre à cette question grâce à l'utilisation des fonctionnalités de la solution TP-Link Omada.

Nous vous proposons un tour d'horizon des fonctionnalités de sécurité offertes par la solution TP-Link Omada, autour de 3 grands axes, en commençant aujourd'hui par le premier :

• La sécurité du réseau : détectez et bloquez les menaces
• L'authentification réseau et la sécurité du Wi-Fi
• La gestion d'un portail captif et la centralisation des logs

Ceci nous permettra d'évoquer un ensemble de fonctionnalités techniques à configurer pour renforcer la sécurité d'un réseau. Ces mesures viennent s'ajouter aux autres recommandations telles que la sensibilisation des utilisateurs, les sauvegardes régulières, l'application des mises à jour, utiliser des mots de passe robustes, etc.

Pour rappel, la solution TP-Link Omada est entièrement gratuite : 0 licence pour le contrôleur en lui-même, 0 licence pour les périphériques réseau et 0 licence pour les mises à jour logicielles. Autrement dit, il vous suffit d'acheter les appareils de la gamme TP-Link Omada : routeurs, switchs, points d'accès Wi-Fi, etc. Le contrôleur TP-Link Omada peut être un boitier physique ou une machine virtuelle que vous pouvez auto-héberger.

Pour approfondir ce point, consultez notre précédent article (inclus une vidéo) sur le sujet :

• TP-Link Omada SDN : déployez votre propre plateforme Cloud

II. La sécurité du réseau : détectez et bloquez les menaces

En informatique, une menace désigne un danger potentiel en mesure de compromettre la sécurité de l'infrastructure d'une organisation. Ces menaces peuvent prendre différentes formes et être présentes aussi bien en interne qu'en externe. Ceci conduit les entreprises à sécuriser leur accès à Internet, mais également leur réseau local.

La base de la sécurité d'un réseau passe par l'implémentation de règles de filtrage afin de limiter et de contrôler les flux entrants et sortants. Aujourd'hui, face à la diversité des usages et la complexité des menaces, les organisations doivent effectuer du filtrage réseau et du filtrage applicatif pour garder la maitrise de leur réseau. Ces différentes règles, que l'on peut appeler "ACL", vont permettre de déterminer ce que peut faire ou ne pas faire un équipement connecté au réseau.

Quelle est la différence entre le filtrage réseau et le filtrage applicatif ? Le filtrage réseau se concentre sur les ports et les paquets IP, tandis que le filtrage applicatif intervient au niveau des applications et de leurs protocoles spécifiques. Autrement dit, nous ne travaillons pas sur la même couche du modèle OSI. Ceci fait référence à la fonction de pare-feu dont l'implémentation est recommandée par l'ANSSI dans plusieurs de ses guides, y compris dans celui intitulé "La cybersécurité pour les TPE/PME en 13 questions".

Le trafic du réseau ne doit pas seulement être filtré de façon statique. Ce n'est pas suffisant pour assurer la sécurité du réseau. Les flux en transit sur le réseau doivent être analysés pour détecter et bloquer les comportements suspects et malveillants. C'est pour cette raison que nous pouvons recourir à un système de détection d'intrusion (IDS) et un système de prévention d'intrusion (IPS). En effet, l'IDS va analyser les paquets de données à la recherche de schémas anormaux tandis que l'IPS va bloquer les attaques en temps réel.

A. Les fonctions de TP-Link Omada

Avec la solution TP-Link Omada, nous allons pouvoir déployer un ensemble de fonctionnalités pour sécuriser un réseau par le filtrage des flux ainsi que la détection et le blocage des menaces.

• La Deep Packet Inspection (DPI) analyse en profondeur le contenu des paquets pour bloquer des applications et des services indésirables et/ou malveillants.
• Le blocage par DNS Proxy permet de filtrer le trafic DNS malveillant par l'utilisation d'un DNS prévu à cet effet.
• Le filtrage IP, MAC et URL permet de bloquer l’accès à des sites Web, adresses IP ou mots clés spécifiques.
• La création d'ACL (Access Control List) pour restreindre l'accès aux ressources réseau, au niveau du routeur, des switchs et des bornes WiFi.
• La restriction géographique (GeoIP) via les listes de contrôle d’accès (ACL) permet de limiter l’accès en fonction de la localisation géographique.
• Le blocage des attaques par déni de service (DoS).
• La protection contre l'ARP spoofing (ou empoisonnement de cache ARP).
• Etc....

En combinant l'utilisation de ces fonctionnalités, les entreprises peuvent renforcer la sécurité de leur réseau, et ainsi mieux protéger leurs données.

B. Scénario de déploiement

Pour cette démonstration, nous allons mettre en œuvre une configuration dont l'objectif sera de :

• Bloquer les flux entrants en provenance de la Russie et de la Chine, grâce au filtrage géographique.
• Renforcer la sécurité de la navigation Internet grâce à l'utilisation d'un proxy DNS, ce dernier pouvant filtrer les contenus malveillants. Le DNS sécurisé "https://security.cloudflare-dns.com/dns-query" sera utilisé pour bloquer les malwares.
• Bloquer les applications et les services relatifs au P2P, aux tunnels VPN, au partage de fichiers en ligne, et à la prise en main à distance.
• Activer les mécanismes de protection contre les attaques DoS et l'ARP Spoofing.
• Détecter et bloquer les flux malveillants (P2P, User-agents suspects, etc...) grâce à l'IDS/IPS.

C. La vidéo de mise en œuvre

Ci-dessous, la vidéo de mise en œuvre technique de cette configuration avec la solution TP-Link Omada.

• Cliquez ici pour regarder la vidéo sur YouTube

III. Conclusion

L'interface intuitive de TP-Link Omada permet de configurer des fonctionnalités de sécurité simplement, aussi bien sur les réseaux filaires que Wi-Fi. En effet, la plateforme TP-Link Omada permet l'administration des routeurs, des switchs et des points d'accès, que ce soit pour un ou plusieurs sites, ainsi que un ou plusieurs clients lors de l'utilisation du mode MSP.

Visitez le site TP-Link Omada pour en savoir plus :

• Découverte d'Omada sur le site TP-Link

Sachez que des nouveautés sont attendues pour la version 5.15 qui sera disponible cet été :

• Prise en charge du filtrage de contenu, y compris le filtrage DNS et le filtrage d'URL
• Prise en charge de la base de données de signatures d'URL, mise à jour régulière
• Prise en charge du filtrage DNS pour deux catégories (Travail et Domicile)
• Prise en charge de la liste noire et de la liste blanche de filtrage de contenu
• Fonctionnalités de SD-WAN

Rendez-vous prochainement pour la seconde partie de cette série intitulée "L'authentification réseau et la sécurité du Wi-Fi" ! En attendant, vous pouvez commenter cet article pour donner votre avis ou poser vos questions.

Cet article inclut une collaboration commerciale.

The post Sécuriser le réseau des PME avec TP-Link Omada – Partie 1 : détecter et bloquer les menaces first appeared on IT-Connect.

Souvent, les traditionnels audits de cybersécurité ne s’intéressent pas à la sauvegarde. C’est un domaine complexe, tant par la variété des solutions de sauvegarde existantes que par les méthodes que les entreprises appliquent. L’audit de sécurité d’une solution de sauvegarde demande de la méthode et beaucoup d’expertise. À l’heure des nouvelles exigences de conformité et […]

The post Sécurité de la solution de sauvegarde : un audit s’impose first appeared on UnderNews.