FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Identifiez les mots de passe vulnérables dans l’AD avec Specops Password Auditor

11 mai 2021 à 11:30

I. Présentation

Dans cet article, je vous propose de découvrir l'outil Specops Password Auditor, un logiciel gratuit qui va permettre de réaliser un audit des mots de passe au sein de son annuaire Active Directory. Grâce à cet audit, vous serez en mesure d'identifier les utilisateurs qui ont un mot de passe faible et vulnérable. Quand je dis vulnérable, j'entends un mot de passe qui a fait l'objet d'une fuite de données.

Le logiciel va également vous indiquer les comptes sans mots de passe, les comptes où le mot de passe n'expire jamais, les comptes avec des mots de passe identiques, etc... La stratégie de mots de passe déployée sur votre Active Directory sera également évaluée pour voir si elle respecte les bonnes pratiques en matière de sécurité.

Auditer la qualité des mots de passe utilisés par les utilisateurs est important pour une raison simple : les mots de passe représentent un obstacle et agisse comme une défense en matière de sécurité, donc il est indispensable de s'assurer que cette barrière de protection soit à la hauteur de vos attentes. Un compte avec un mot de passe faible est en quelque sorte une proie facile.

Malheureusement, c'est loin d'être une évidence dans les entreprises et bien souvent cette partie est négligée. Grâce à cet audit, vous allez avoir des éléments entre vos mains pour remettre le sujet sur la table auprès de votre direction...

🎥 Disponible en version vidéo :

II. Les attaques sur les mots de passe : brute force et password spraying

Avant d'aller plus loin, il me semble pertinent de vous rappeler les deux attaques les plus courantes lorsqu'il s'agit de deviner les mots de passe : les attaques de type brute force et les attaques de type password spraying. 

A. Mots de passe - Attaque brute force

Les attaques par brute force sont un grand classique et repose sur une méthode très simple : prendre un compte utilisateur comme cible et essayer un maximum de combinaisons différentes. Autrement dit, on essaie un maximum de mots de passe différents en espérant trouver la bonne combinaison et accéder au compte de l'utilisateur.

Pour cette méthode, on s'appuie sur l'utilisation d'un outil adéquat et d'un dictionnaire, c'est-à-dire un fichier qui contient des dizaines de milliers de mots de passe différents (pour ne pas dire plus). Bien souvent, les mots de passe du dictionnaire sont issus directement d'anciennes fuites de données.

Cette attaque porte bien son nom, disons que c'est une méthode un peu brute et pas très discrète. Bien qu'elle soit efficace contre les comptes avec des mots de passe faibles (nous y voilà), cela peut être beaucoup plus compliqué et plus long dès que le mot de passe est plus complexe et aléatoire.

Les systèmes de protection actuels sont capables de détecter et bloquer ces attaques, notamment l'Active Directory grâce à la fameuse stratégie de mots de passe. En fait, si un utilisateur essaie de se connecter, mais qu'il y a 5 tentatives en échecs dans un laps de temps de 1 minute, on peut verrouiller le compte par sécurité.

B. Mots de passe - Attaque password spraying

Une attaque du type password spraying se rapproche d'une attaque brute force sauf qu'il y a la volonté de rester discret. Plutôt que de cibler un seul compte, nous allons en cibler plusieurs, et plutôt que d'utiliser énormément de combinaisons différentes, on va limiter le nombre de combinaisons. L'objectif est simple : rester sous le seuil de détection et éviter que les comptes ciblés soient verrouillés.

En fait, on teste un mot de passe sur un compte, et après on teste ce même mot de passe sur d'autres comptes. Pendant ce temps, le chrono tourne en la faveur de l'attaquant, tout en poursuivant l'attaque. Au bout d'un moment, il y a de fortes chances pour que la porte s'ouvre compte tenu du fait que les mots de passe faibles sont très répandus.

Ces attaques sont plus difficiles à détecter, mais pas impossible. Généralement les tentatives de connexion sont effectuées depuis la même adresse IP : est-ce normal qu'il y ait de nombreuses tentatives de connexion infructueuses depuis la même adresse IP dans les 10 dernières minutes ? Je ne pense pas 😉.

Le décor est planté, passons à la découverte de l'outil du jour : Specops Password Auditor.

III. Les fonctionnalités de Specops Password Auditor

Specops Password Auditor va effectuer une analyse de votre annuaire Active Directory. Pour réaliser cette analyse et en tirer des conclusions, il va regarder les hash des mots de passe et scanner différents attributs des comptes utilisateurs de votre annuaire, notamment pwdLastSet, userAccountControl, et lastLogonTimestamp.

Grâce à cette analyse rapide, Password Auditor va remonter les éléments suivants :

  • Comptes avec des mots de passe vides
  • Comptes avec des mots de passe ayant fait l'objet d'une fuite de données (mots de passe divulgués)
  • Comptes avec des mots de passe identiques
  • Comptes administrateur du domaine
  • Comptes administrateur inactifs
  • Comptes où le mot de passe n'est pas obligatoire
  • Comptes où le mot de passe n'expire jamais
  • Comptes où le mot de passe est configuré pour expirer
  • Comptes avec le mot de passe expiré
  • Liste des politiques de mots de passe
  • Utilisation / affectation des politiques de mots de passe
  • Conformité des politiques de mots de passe

Specops Password Auditor va également comparer les mots de passe de votre annuaire Active Directory avec sa propre base de mots de passe. La base de mots de passe du logiciel fait environ 5 Go, ce qui représente des centaines de millions d'entrées. Cette base est construite à partir des mots de passe qui sont sortis dans différentes fuites de données et à partir des informations du site haveibeenpwned.com.

Note : la version gratuite du logiciel s'appuie sur une base de 800 millions de mots de passe, tandis que le logiciel payant, Specops Password Policy utilise la base complète de 2,3 milliards de mots de passe.

Si les mots de passe de certains utilisateurs ont fait l'objet d'une fuite de données, vous serez au courant. C'est fort probable que ce soit le cas, notamment si le mot de passe de l'utilisateur est le même dans l'AD et pour se connecter sur ses sites de e-commerce préférés.

IV. Télécharger et installer Specops Password Auditor

Pour télécharger le logiciel, il faut se rendre sur le site de Specops Software et cliquer sur le bouton "Free Download". Il suffira ensuite de remplir un formulaire. Voici le lien : Télécharger - Specops Password Auditor

Un lien de télécharger et une licence seront envoyés sur votre adresse e-mail.

L'installation est très basique, il suffit de quelques clics avec l'assistant. Cochez l'option "Start Specops Password Auditor" à la fin pour démarrer le logiciel.

Passons à l'utilisation du logiciel en lui-même.

V. Rechercher les mots de passe faibles dans l'Active Directory

Le logiciel doit tourner à partir d'une session admin du domaine pour qu'il puisse collecter toutes les informations nécessaires et auditer vos mots de passe.

Au lancement du logiciel, il y a plusieurs champs à renseigner, mais en fait les valeurs sont remontées directement. Il n'y a rien à faire si ce n'est cliquer sur "Import License" en bas à gauche pour charger sa licence gratuite. Cliquez sur "Start".

Néanmoins, vous pouvez utiliser un autre contrôleur de domaine que celui proposé si vous préférez, et vous pouvez restreindre l'analyse à une unité d'organisation spécifique en modifiant la valeur de "Scan Root".

L'étape "Breached Passwords" que l'on peut traduire par "Mots de passe divulgués" permet d'indiquer si vous souhaitez que vos mots de passe soient comparés ou non avec la base de Specops. Le but étant d'identifier les mots de passe vulnérables dans votre annuaire, car concerné par une fuite de données.

Si vous désirez utiliser cette fonction, cochez la case "Download latest version..." et indiquez un chemin au niveau du champ "Local folder". En fait, la base de mots de passe du logiciel va être téléchargée sur votre machine. Comme je le disais, cela représente environ 5 Go d'espace disque.

Cliquez sur "Start Scanning".

La première fois, l'analyse est longue, car il faut télécharger la base de mots de passe. Si vous réexécutez l'analyse ultérieurement, ce sera beaucoup plus rapide.

Une fois l'analyse terminée, un résumé s'affiche sous la forme d'un tableau de bord. Pour chaque catégorie, le verdict tombe. La vue est synthétique, ce qui est appréciable. Pour chaque partie de l'analyse, il y a une bulle rouge qui s'affiche pour indiquer le nombre d'utilisateurs concernés par le point en question.

Tableau de bord de Specops Password Auditor après analyse
Tableau de bord de Specops Password Auditor après analyse

En cliquant sur un bloc, on peut obtenir des informations précises notamment la liste des utilisateurs concernés. Par exemple, voici pour les utilisateurs dont le mot de passe est divulgué. Ce qui est pertinent aussi, c'est la partie "Report information" à gauche qui donne des informations sur l'analyse effectuée et des recommandations.

Si l'on regarde le rapport de la section "Expiring Passwords", on peut voir les comptes utilisateurs pour lesquels le mot de passe va expirer prochainement. Il y a un curseur que l'on peut bouger et qui correspond à un nombre de jours restants avant expiration, de quoi anticiper les changements de mots de passe à venir pour vos utilisateurs.

En revenant sur le tableau de bord, on peut générer un rapport en cliquant sur le bouton "Get PDF Report".

Le rapport généré est très professionnel et très propre. Il reprend chacun des points audités avec un descriptif et la liste des comptes concernés. Au début du rapport, il affiche également une note globale sur 100 qui permettra de vous situer rapidement.

Aperçu du rapport PDF généré par Specops Password Auditor
Aperçu du rapport PDF généré par Specops Password Auditor

VI. Specops Password Auditor : le mot de la fin

Exécuter une analyse de son Active Directory avec le logiciel Specops Password Auditor est un bon point de départ lorsque l'on souhaite s'attaquer au sujet des mots de passe et des stratégies de mots de passe. C'est une manière simple d'auditer soi-même la qualité des mots de passe des utilisateurs : le résumé fourni suite à l'analyse vous permettra d'établir une liste d'actions à mener pour améliorer la sécurité de votre SI.

Vous pourriez même être surpris, sur des SI avec beaucoup de comptes, beaucoup d'unités d'organisations, on peut vite passer à côté de quelques comptes qui traînent et que l'on ignore. Il vaut mieux prendre un peu de temps pour réaliser ces audits et identifier les comptes problématiques avant que quelqu'un le fasse à votre place, si vous voyez  ce que je veux dire.

💡 Avec le rapport généré par l'outil, vous avez des éléments concrets pour avancer avec votre responsable ou votre direction, bien que le rapport soit en anglais.

Envie de tester ? Voici le lien : Télécharger - Specops Password Auditor

VII. Pour aller plus loin : Specops Password Policy

En plus de cet outil de scan et d’audit des mots de passe, une autre solution de Specops, Specops Password Policy, permet de facilement filtrer les mots de passe compromis ou divulgués de votre environnement Active Directory qui auraient été détectés, et de renforcer les stratégies de mot de passe par défaut d’Active Directory. Ce logiciel apporte une réponse aux problèmes remontés par le logiciel Specops Password Auditor.

Specops Password Policy a l’avantage de se baser sur une liste complète, constamment mise à jour, de plus de 2,3 milliards de mots de passe divulgués. En fait, à partir du moment où un mot de passe se trouve dans une fuite de données, vos utilisateurs ne pourront plus l'utiliser pour leur compte Active Directory. Ce logiciel va plus loin que le système de politiques de mots de passe natif à l'Active Directory. Par exemple, pour anticiper les changements de mots de passe, vos utilisateurs peuvent être avertis par e-mail juste avant que le mot de passe arrive à expiration.

Contrairement à Password Auditor, ce second logiciel est payant, mais vous pouvez l'essayer. Si cela vous intéresse, voici le lien : Specops Password Policy

The post Identifiez les mots de passe vulnérables dans l’AD avec Specops Password Auditor first appeared on IT-Connect.

Etats-Unis : le principal opérateur de pipelines à l’arrêt à cause d’un ransomware

11 mai 2021 à 08:19

L'entreprise Colonial Pipeline est victime d'un ransomware et ce n'est pas sans conséquence puisqu'il s'agit premier opérateur de pipelines du pays. Son activité est à l'arrêt dans 18 états des États-Unis.

Suite à cette attaque qui cible le système d'information de la société Colonial Pipeline, ce sont 9 000 km de conduits qui sont à l'arrêt par mesure de précautions. Cela représente un réseau qui s'étend du Texas au New Jersey, ce qui fait de Colonial Pipeline le principal opérateur de pipelines du pays. Résultat, un état d'urgence est déclaré 18 états, car ce réseau d'oléoducs transporte 2,5 millions de barils par jour, ce qui représente près de la moitié de la consommation en carburant liquide de la côte Est des USA. Cet état d'urgence autorise le transport par voie routière de tous les dérivés pétroliers en attendant le rétablissement du réseau d'oléoducs.

Le système de contrôle des pipelines ne semble pas touché directement, mais ils sont à l'arrêt par mesure de précaution. En effet, il existe des passerelles entre ce système de contrôle industriel et le SI en lui-même. Ce qui est sûr, c'est que le système d'information est touché directement et les données chiffrées par le ransomware représentent une centaine de giga-octets. Il y a de fortes chances pour qu'une partie de ces données aient été exfiltrées également.

Les experts en sécurité de FireEye Mandiant sont missionnés pour analyser cette attaque dans le but d'en déterminer la nature et les impacts. Le ransomware qui a infecté le système de Colonial Pipeline serait DarkSide. Le réseau de pipelines sera remis en service lorsque le système d'information sera restauré.

Voici un aperçu du réseau de pipelines de Colonial Pipeline :

Source

The post Etats-Unis : le principal opérateur de pipelines à l’arrêt à cause d’un ransomware first appeared on IT-Connect.

Oups… L’Apple AirTag est déjà victime d’un piratage !

10 mai 2021 à 17:08

Finalement, le tracker Apple AirTag n'est pas inviolable : un chercheur en sécurité est parvenu à pirater l'appareil, ce qui lui a permis de le reprogrammer.

Le mois dernier, Apple a dévoilé un produit très attendu : l'AirTag. Il s'agit d'un petit appareil qui vous permet de retrouver tout objet auquel il est attaché. Grâce à l'application Localiser d'Apple et à la technologie Bluetooth, vous pouvez localiser l'AirTag.

Quand on sait à quoi sert cet appareil et comment il fonctionne, on peut imaginer de nombreux usages détournés... Du coup, il fallait s'attendre à ce que les chercheurs en sécurité (mais aussi les pirates) s'intéressent de près à la sécurité de l'Apple AirTag. Résultat, il n'aura pas résisté un mois.

Spécialisé en rétro-ingénierie, un chercheur en sécurité nommé "stacksmashing" s'est penché sur le sujet et il est parvenu à hacker l'AirTag. Résultat il a pu reprogrammer l'AirTag. Il y aura tout de même fallu quelques heures de travail pour y parvenir et il aura briqué deux AirTags, mais ce n'est qu'un détail, car c'est un bel exploit ! 😉

Yesss!!! After hours of trying (and bricking 2 AirTags) I managed to break into the microcontroller of the AirTag! 🥳🥳🥳

/cc @colinoflynn @LennertWo pic.twitter.com/zGALc2S2Ph

— stacksmashing (@ghidraninja) May 8, 2021

Il faut savoir que si vous perdez votre objet (et donc l'AirTag), vous pouvez activer le "Mode Perdu". Si quelqu'un trouve votre objet, il pourra vous aider à le retrouver. En fait, grâce à la technologie NFC, il suffit de poser le smartphone contre l'AirTag attaché à l'objet, et une notification apparaît sur le smartphone. Cette notification renvoie vers le site "found.apple.com" et la page qui s'affiche va indiquer des informations sur l'AirTag et son propriétaire.

Il s'avère que le chercheur est parvenu à remplacer l'adresse "found.apple.com" par une autre valeur : ce qui permet de renvoyer vers n'importe quel site. Suite à la découverte de cette faille de sécurité au sein de l'AirTag, Apple n'a pas encore réagi. Nul doute que cela sera fait dans les prochaines heures ou prochains jours et qu'un correctif sera disponible.

Apple AirTag Hack

Récemment, Apple a activé une nouvelle fonctionnalité basée "Détection d’un AirTag suivant vos déplacements" : dans le cas où un AirTag qui ne nous appartient pas suit vos déplacements, vous recevez une alerte. Potentiellement, cela signifie que quelqu'un vous a glissé un AirTag dans la poche. Si l'on tient compte de la faille de sécurité découverte par stacksmashing, on peut imaginer qu'il s'agisse d'une sorte de AirTag piégé qui a pour objectif de renvoyer vers un site malveillant au moment où vous allez le scanner via NFC.

Source

The post Oups… L’Apple AirTag est déjà victime d’un piratage ! first appeared on IT-Connect.

Bulletin d’actualité du CERT-FR – 04/05/2021

Bulletin d’actualité du 04/05/2021 Nous voici de nouveau ensemble dans notre rendez-vous de fin de semaine pour revenir sur les différents bulletins de sécurité publiés par le CERT-FR ! Durant la période du 26 avril au 2 mai 2021, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France) a …

Microsoft s’engage à ce que les données des européens restent en Europe

7 mai 2021 à 09:04

Microsoft a annoncé une nouvelle initiative baptisée EU Data Boundary pour ses services Cloud. L'objectif est de permettre aux clients européens de stocker l'intégralité de leurs données en Europe d'ici 2022.

Cette nouvelle initiative lancée par Microsoft et annoncée par Brad Smith, le président de Microsoft, s'applique à tous les services Cloud de Microsoft : Microsoft 365, Dynamics 365 et Azure. Microsoft veut rassurer les entreprises  et établissements européens. Les données des clients européens ne doivent pas quitter l'Europe. C'est aussi une manière de se mettre en conformité vis-à-vis de la réglementation européenne de plus en plus intransigeante. Brad Smith rappelle qu'aujourd'hui Microsoft permet déjà à ses clients européens d'être en conformité avec la RGPD. On sait qu'aujourd'hui cela ne suffit plus et que les entreprises américaines doivent aller plus loin.

Aujourd'hui, une grandie partie des services de Microsoft offre la possibilité de sélectionner l'emplacement géographique pour le stockage des données. Dans les mois à venir, la firme de Redmond veut aller plus loin pour éviter les transferts de données en dehors de l'Europe. Néanmoins, les clients pourront toujours bénéficier des améliorations apportées à certains services et qui s'appuient sur des ressources hébergées en dehors de l'Europe.

Pour atteindre cet objectif de centralisation des données en Europe, Microsoft doit travailler d'un point de vue technique. En effet, même si aujourd'hui on peut choisir d'héberger ses données Office 365 sur l'un des deux datacenters français de Microsoft, il y a toujours des données qui remontent vers les États-Unis. Je pense notamment aux données de diagnostics, c'est-à-dire les logs, qui remontent vers les équipes techniques aux États-Unis.

Tout cela part d'une bonne intention et représente surement des investissements lourds. Il faudra voir jusqu'où est capable d'aller Microsoft pour montrer sa bonne foi et rassurer l'Europe et ses envies de Cloud souverain.

Pour creuser le sujet, je vous invite à lire la FAQ de Microsoft au sujet de cette initiative EU Data Boundary.

L'annonce de Microsoft

The post Microsoft s’engage à ce que les données des européens restent en Europe first appeared on IT-Connect.

Yubico élargit sa gamme de produits FIPS 140-2 avec le YubiHSM 2 FIPS

6 mai 2021 à 19:31
Par : UnderNews

Yubico élargit sa gamme de produits FIPS 140-2 avec le YubiHSM 2 FIPS, le plus petit module de sécurité matériel validé FIPS au monde. Venant compléter la nouvelle série YubiKey 5 FIPS de Yubico, le YubiHSM 2 FIPS permet aux organisations hautement réglementées d’adopter une approche globale de la sécurité.

The post Yubico élargit sa gamme de produits FIPS 140-2 avec le YubiHSM 2 FIPS first appeared on UnderNews.

22 % des PC dans le monde fonctionnent encore sous Windows 7, un système d’exploitation obsolète

6 mai 2021 à 19:06
Par : UnderNews

Kaspersky s’est intéressé aux systèmes d’exploitation utilisés dans le monde et a réalisé une étude basée sur les métadonnées anonymisées des OS fournis par les utilisateurs consentants de son réseau Kaspersky Security Network. Au niveau mondial, près d’un quart (22 %) des utilisateurs de PC sont encore équipés de Windows 7, un système d’exploitation qui […]

The post 22 % des PC dans le monde fonctionnent encore sous Windows 7, un système d’exploitation obsolète first appeared on UnderNews.

Qualcomm : une vulnérabilité impacte environ 40% des smartphones

6 mai 2021 à 13:57

Une faille de sécurité importante touche les puces Mobile Station Modem de Qualcomm, ce qui permet à un attaquant de lire vos messages, l'historique de vos appels et d'écouter vos conversations.

Près de 40% des modèles de smartphones utilisent une puce vulnérable à cette faille de sécurité référencée avec le nom CVE-2020-11292. Ce chiffre important se justifie par le fait que la série Qualcomm MSM regroupe de nombreuses puces 2G, 3G, 4G et 5G utilisées par les fabricants de smartphones les plus populaires. Nous pouvons citer par exemple Xiaomi, Samsung, OnePlus, Google ou encore LG (qui s'est retiré du marché des smartphones il y a peu).

D'après les chercheurs en sécurité de chez Check Point, cette vulnérabilité représente un point d'entrée sur les smartphones Android de manière à injecter du code malveillant en toute transparence sur les appareils. Il s'avère que cette faille permettrait également de déverrouiller la carte SIM présente dans l'appareil au moment de l'attaque.

C'est l'interface de la puce Qualcomm MSM qui est vulnérable et comme elle sert d'interface avec la couche logicielle, forcément cela ouvre des portes. Une application malveillante pourrait utiliser cette faiblesse pour passer au travers des systèmes de protection d'Android. Reste à savoir dans quelle condition est exploitable cette faille de sécurité.

➡Rapport de Check Point

CVE-2020-11292 : cette vulnérabilité est-elle corrigée ?

Les chercheurs en sécurité de Check Point ont fait cette découverte il y a plusieurs mois. Plus précisément, ils ont informé Qualcomm de la présence de cette faille critique depuis le 08 Octobre 2020. Depuis décembre 2020, un correctif de sécurité est à disposition des fabricants dans le but qu'il soit intégré à une mise à jour Android de votre appareil. Ce n'est pas la première fois qu'une faille de sécurité importante touche Qualcomm, il y a eu deux cas en 2020, et au moins un en 2019.

Pour se protéger, il faut d'une part mettre à jour son appareil Android dès que possible, et d'autre part ne pas installer n'importe quelles applications sur son smartphone (notamment s'il n'est plus maintenu par le fabricant...). Pour ceux qui ont un smartphone qui n'est plus mis à jour par le fabricant, malheureusement il n'y a pas de solution miracle. La durée du support doit être prise en compte au moment d'acheter un nouveau smartphone, notamment s'il s'agit d'utiliser le smartphone dans le cadre d'un usage professionnel.

Source

The post Qualcomm : une vulnérabilité impacte environ 40% des smartphones first appeared on IT-Connect.

Bitdefender présente sa solution de protection de l’identité numérique et de la réputation en ligne

5 mai 2021 à 10:57
Par : UnderNews

Bitdefender éditeur de solutions de cybersécurité qui protège des millions de particuliers et d’entreprises dans le monde, annonce le lancement en France de Bitdefender Digital Identity Protection, son nouveau service qui permet à ses utilisateurs de prendre le contrôle de leur identité numérique. 

The post Bitdefender présente sa solution de protection de l’identité numérique et de la réputation en ligne first appeared on UnderNews.

Chrome va prendre en charge l’Intel CET pour vous protéger contre les exploits

5 mai 2021 à 08:36

Avec cette nouvelle protection de Chrome, les failles de sécurité seront plus difficiles à exploiter sur les machines Windows 10 équipées de processeurs Intel ou AMD récents.

Récemment, Microsoft a développé une nouvelle protection nommée "Hardware-enforced Stack Protection" qui ajoute une couche de protection renforcée contre les exploits et les malwares sur les appareils compatibles. Cette protection s'appuie elle-même sur la technologie Control-flow Enforcement Technology (Intel CET - technologie de mise en application du contrôle des flux) de chez Intel, et que l'on retrouve aussi chez AMD.

Sous Windows 10, ce mécanisme de sécurité protège les utilisateurs contre des techniques d'exploits avancées telles que Return-Oriented Programming (ROP) et Jump Oriented Programming (JOP). Concrètement, ces techniques permettent aux attaquants de parvenir à exécuter du code arbitraire malveillant sur les machines. Avec "Hardware-enforced Stack Protection", Windows 10 bloque les attaques puisqu'il peut détecter si un flux naturel d'une application a été modifié grâce aux interactions avec la couche bas-niveau et la technologie CET.

Quel est le rapport entre "Hardware-enforced Stack Protection" et Google Chrome ?

En fait, Google Chrome va prendre en charge également la technologie Intel CET. Elle disponible sur les machines équipées d'un processeur Intel de 11ème génération. Chrome n'est pas le premier navigateur basé sur Chromium à prendre en charge l'Intel CET : Microsoft était déjà sur le coup en février et la fonctionnalité était testée dans Edge 90 (Canary) : disponible en version stable désormais. De manière générale, cette fonctionnalité devrait être adoptée par tous les navigateurs basés sur Chromium, je pense, notamment à Brave et Opera.

Mozilla travaille aussi sur le sujet dans le but d'intégrer cette prise en charge à son navigateur Firefox. Je parlais d'Intel jusqu'ici pour la technologie CET mais elle est également supportée sur les processeurs AMD Zen 3 (Ryzen).

Pour savoir si le navigateur (ou un autre processus) utilise cette méthode de protection sur votre machine, ouvrez le gestionnaire des tâches. Au sein de l'onglet "Détails", effectuez un clic droit sur l'en-tête d'une colonne et cliquez sur "Sélectionner des colonnes". Ensuite, dans la liste cochez "Protection des piles appliquée par le matériel". Le gestionnaire des tâches va afficher une nouvelle colonne et elle indiquera si la fonction "Hardware-enforced Stack Protection" est utilisée ou non par chaque processus. Si votre processeur en lui-même ne supporte pas la technologie CET, ce sera forcément pas le cas.

Source

The post Chrome va prendre en charge l’Intel CET pour vous protéger contre les exploits first appeared on IT-Connect.

Contrer les attaques DDoS, un défi toujours plus grand

4 mai 2021 à 17:02
Par : UnderNews

L’année 2020 aura été particulièrement éprouvante pour l’économie mondiale et aura profondément impacté nombre d’entreprises à bien des égards. Dans le contexte sanitaire et économique dramatique que nous traversons, nous aurions pu espérer que les hackers, au nom d’une certaine « éthique », observent une trêve pour ne pas asphyxier davantage des entreprises et organisations tentant de survivre ou d’offrir des services essentiels à la population (notamment dans le domaine de la santé et ou de l’éducation).

The post Contrer les attaques DDoS, un défi toujours plus grand first appeared on UnderNews.

Dell : 5 vulnérabilités découvertes dans le pilote DBUtil, utilisé depuis 2009

4 mai 2021 à 16:38

Un chercheur en sécurité a trouvé un ensemble de 5 failles de sécurité dans le pilote DBUtil qui équipe les machines Dell. Ces failles seraient présentes depuis 2009 donc des millions de machines se retrouvent vulnérables.

Le chercheur en sécurité Kasif Dekel de chez Sentinel Labs est à l'origine de cette découverte. Dell a attribué la note CVSS de 8.8/10 à cet ensemble de failles regroupé derrière une référence CVE unique : CVE-2021-21551. Kasif Dekel quant à lui affirme qu'il y a bien 5 vulnérabilités différentes, même s'il n'y a qu'une seule référence CVE. La majorité de ces failles permet d'effectuer une élévation de privilèges ou un déni de service sur la machine cible.

Le pilote BIOS DBUtil est présent dans de nombreux équipements de chez Dell : les ordinateurs fixes, les ordinateurs portables ainsi que les tablettes. En fait, il sert à mettre à jour le BIOS sur les machines Dell. Les outils habituels de chez Dell l'utilisent, notamment Dell Command Update, Dell Update, ou encore Alienware Update. La version vulnérable du pilote est utilisée depuis 2009, mais malgré tout il n'y a pas de preuves que les failles ont été exploitées par des pirates à l'heure actuelle.

Comment protéger ses machines Dell ? Le pilote dbutil_2_3.sys est vulnérable et Dell a publié un guide pour protéger vos machines. Tout d'abord, en exécutant l'outil "Dell Security Advisory Update" (option recommandée), ou sinon en supprimant le fichier dbutil_2_3.sys qui se situe soit dans "C:\Windows\Temp", soit dans "C:\Users\<username>\AppData\Local\Temp". Ensuite, il faut utiliser les dernières versions des outils Dell pour qu'une version patchée du pilote soit déployée sur les machines.

Les informations officielles sont disponibles sur cette page, avec notamment la liste des machines concernées : Dell - CVE-2021-21551

De son côté, le chercheur prévoit de partager le 1er juin prochain un PoC sous forme d'exploit qui permettra de partager son travail. En attendant, il souhaite laisser du temps aux utilisateurs pour patcher leurs machines. Une vidéo sur la chaîne YouTube de Sentinel Labs montre comment une version vulnérable du pilote DBUtil peut-être exploitée pour effectuer une élévation de privilèges sur la machine cible.

Source

The post Dell : 5 vulnérabilités découvertes dans le pilote DBUtil, utilisé depuis 2009 first appeared on IT-Connect.

Mettez à jour vos iPhone, Mac et iPad : Apple prévient que des failles sont peut-être exploitées

4 mai 2021 à 10:29

Apple diffuse une série de correctifs pour iOS 14.5, mais aussi pour macOS Big Sur et l'Apple Watch, que ses clients devraient installer sans tarder. Des vulnérabilités ont été repérées et seraient déjà utilisées à des fins malveillantes. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

The post Mettez à jour vos iPhone, Mac et iPad : Apple prévient que des failles sont peut-être exploitées appeared first on Cyberguerre.

Microsoft Exchange : attention, la faille CVE-2021-28482 dispose d’un exploit

4 mai 2021 à 08:09

Au sein de son Patch Tuesday d'Avril 2021, Microsoft avait corrigé quatre vulnérabilités Exchange découvertes par la NSA. Il s'avère que l'une d'entre elle dispose désormais de sa propre documentation technique et d'un PoC pour l'exploiter.

Un exploit est disponible sur GitHub pour montrer que la faille référencée sous le nom CVE-2021-28482 est réelle et exploitable. Il s'agit de la faille la moins grave parmi les 4 vulnérabilités découvertes par la NSA car elle nécessite une authentification, mais il ne faut pas la négliger pour autant.

Le chercheur en sécurité Nguyen Jang a publié un PoC écrit en Python sur son GitHub, dans le but de montrer qu'il est possible d'exploiter la faille CVE-2021-28482. Un code validé par Will Dormann, un analyste en vulnérabilité pour le CERT/CC aux États-Unis. Concrètement, un attaquant peut exploiter cette faille en étant authentifié sur un serveur Exchange où les mises à jour d'avril ne sont pas installées.

Exchange CVE-2021-28482

En soi, la faille CVE-2021-28482 n'est pas aussi critique que les vulnérabilités ProxyLogon car elle ne permet pas d'effectuer une attaque massive puisqu'il faut s'authentifier sur le serveur de messagerie. Néanmoins, elle peut tout à fait être exploitée dans le cas d'une attaque ciblée : il suffit à l'attaquant de récupérer le compte d'un utilisateur standard pour passer cette barrière liée à l'authentification.

Rappelons également que Nguyen Jang est déjà à l'origine d'un PoC permettant d'exploiter les failles ProxyLogon.

Cette fois encore, il est indispensable de mettre à jour rapidement vos serveurs Exchange. Les correctifs contre la faille ProxyLogon d'une part, mais aussi les correctifs du Patch Tuesday d'Avril 2021 pour corriger les quatre failles Exchange révélées par la NSA. Il est vrai que depuis quelques mois, il est devenu fréquent que des failles critiques soient révélées au sein de Microsoft Exchange et cela pousse les entreprises à adopter un rythme élevé pour les mises à jour.

Source

The post Microsoft Exchange : attention, la faille CVE-2021-28482 dispose d’un exploit first appeared on IT-Connect.

Cybersécurité – Passer de la conscience du risque à sa maîtrise

3 mai 2021 à 14:18
Par : UnderNews

Le 5e pilier stratégique pour l’amélioration de la cyber-résilience des collectivités ou de toute organisation requière la mise en œuvre d’un plan d’actions et d'amélioration continue.

The post Cybersécurité – Passer de la conscience du risque à sa maîtrise first appeared on UnderNews.

Une faille similaire à Spectre découverte : nos CPUs vont encore souffrir !

3 mai 2021 à 13:52

Mauvaise nouvelle pour commencer la semaine : il s'avère qu'une faille de sécurité similaire à Spectre vient d'être découverte au sein des processeurs Intel et AMD. Une grande partie des ordinateurs à l'échelle mondiale sont vulnérables.

Trois ans après la découverte de Spectre, l'histoire semble se répéter. Des chercheurs en sécurité de l'Université de Virginie et de l'Université de Californie ont découvert une faille de sécurité qui touche les processeurs Intel et AMD. Pour exploiter cette vulnérabilité, il faut s'appuyer sur le cache micro-op implémenté dans une grande partie des processeurs des dix dernières années. En effet, AMD intègre cette instruction depuis 2017 tandis qu'Intel le fait depuis 2011. Concrètement, on parle de quelques milliards de machines...

De nos jours, il est difficile de se passer de ce cache micro-op dans nos processeurs, car il améliore grandement les performances des processeurs. Il sert notamment à mettre en mémoire des instructions simples dans le but de permettre aux processeurs d'être plus efficace et rapide dans l'exécution des tâches concernées.

Il serait préjudiciable de reproduire la situation du passé : les correctifs déployés par les fabricants pour contrer la vulnérabilité Spectre et les attaques associées avaient eu un impact non négligeable sur les performances des CPUs. Bien sûr, un impact négatif avec une perte de performances.

Dans le cas présent, d'après les chercheurs, ce ne sera pas simple de corriger la faille de sécurité. Ce serait même plus difficile qu'avec Spectre. Le chercheur Xida Ren, précise que si un correctif désactive le cache micro-op ou stoppe l'exécution spéculative, cela reviendrait à retirer des innovations importantes dans la plupart des processeurs modernes d'Intel et d'AMD. L'impact sur les performances serait alors très important ! Il faut se rendre à l'évidence : ce n'est tout simplement pas faisable.

Ils précisent également que la faille est difficile à exploiter, mais cela ne veut pas dire qu'il ne faut pas s'en protéger. Certains secteurs y seront plus sensibles que d'autres 😉.

Source

The post Une faille similaire à Spectre découverte : nos CPUs vont encore souffrir ! first appeared on IT-Connect.

Guide ANSSI : focus sur les mécanismes de sécurité des navigateurs

3 mai 2021 à 07:59

L'ANSSI a publié le 28 Avril 2021 un nouveau guide portant sur la sécurité des sites web, intitulé Recommandations pour la mise en œuvre d'un site web: maîtriser les standards de sécurité côté navigateur.

Les recommandations de ce guide concernent la sécurité des contenus présentés par un navigateur web aux utilisateurs. Il existe de nombreux standards du Web qui concernent des mécanismes de sécurité activables par les serveurs web au niveau des navigateurs. En intégrant différents en-têtes (headers) au niveau de leur réponse, les serveurs vont en effet pouvoir demander aux navigateurs de leurs utilisateurs d'activer des mécanismes de protection divers afin de rendre la navigation plus sûre. En faisant le tour de ces différents mécanismes, un développeur ou un administrateur système peut donc protéger ses utilisateurs de certaines attaques, autrement qu'en intervenant directement sur le code source de l'application utilisée.

Il faut tout de même garder en tête que ces mécanismes de sécurité côté navigateur sont là pour limiter l'impact ou les possibilités d'exploitation d'une vulnérabilité, mais constituent rarement un correctif efficace à eux seuls. Ils doivent donc venir renforcer la sécurité d'une application web en utilisant tous les outils possibles au niveau du navigateur de l'utilisateur, et non se substituer à la sécurité de l'application web elle-même.

Dans ce guide est notamment rappelée la contrainte de Same Origin Policy (SOP) et son mécanisme de relâchement Cross Origin Resource Sharing (CORS). Le guide aborde ensuite certaines pratiques de protection contre le Cross Site Scripting (XSS) telles que SubResource Integrity (SRI), puis la communication inter-contextes en général, en détaillant notamment les standards Content Security Policy (CSP), Referrer-Policy, et les pratiques relatives au cloisonnement telles que le choix et le paramétrage des moyens de stockage côté client (ex. : cookies, Web Storage) et des moyens d’isolation des ressources actives (ex. : iframes, Web Workers).

Nous avons d'ailleurs publié très récemment sur IT-Connect un article sur le mécanisme du SRI : Contrôle d’intégrité des ressources web externes, mentionné dans ce guide.

Un dehors des mesures purement techniques, le chapitre 2. Menaces et types d'attaques est intéressant pour les gestionnaires de site web qui souhaitent mieux comprendre l'intérêt de s'occuper de la sécurité de leurs applications. Différents exemples de menaces et objectifs des attaquants y sont donnés (par exemple le vol de données ou l'interruption de service) ainsi que des exemples d'attaques concrètes (XSS, CSRF, SQLi, etc.), utiles pour mieux comprendre la suite du guide. Le chapitre 3. Rappel des règles d'hygiène  fait lui un rapide survol des principes de sécurité qui doivent être intégrés au niveau de l'application web elle-même.

Ce guide contient 63 recommandations qui couvrent un ensemble assez large de mesures, y sont également fournis des exemples de code HTML ou JavaScript permettant de mieux comprendre la mise en place de certaines mesures.

En complément de ce guide, je vous conseille d'étudier l'OWASP Testing Guide, qui vient lui détailler les bonnes pratiques de développement et d'audit d'une application web : OWASP Web Security Testing Guide

Si vous souhaitez consulter ce nouveau guide de l'ANSSI, c'est part ici : Recommandations pour la mise en œuvre d'un site web: maîtriser les standards de sécurité côté navigateur

Bonne lecture 🙂

The post Guide ANSSI : focus sur les mécanismes de sécurité des navigateurs first appeared on IT-Connect.

Sécuriser les terminaux, plus crucial que jamais en 2021

30 avril 2021 à 10:32
Par : UnderNews

Protéger les appareils des télétravailleurs constituera un défi majeur en matière de sécurité l'année prochaine, car la majorité des entreprises estiment que la norme en termes de travail antérieure à la pandémie est révolue.

The post Sécuriser les terminaux, plus crucial que jamais en 2021 first appeared on UnderNews.
❌