I. Présentation

Dans cet article, nous allons découvrir le Mini PC Geekom IT13 dans sa version la plus puissante dotée d'un processeur Intel Core i9 de 13ème génération, de 32 Go de RAM et de 2 To de SSD. D'autres versions de ce modèle sont proposées avec des processeurs Intel Core i5 et Intel Core i7.

Nous allons passer en revue les caractéristiques techniques, le design et la qualité du boitier, ainsi que les possibilités d'évolution. Forcément, cet article va évoquer les performances de ce Mini PC à la configuration très musclée !

Sur le marché des Mini PC, la marque Geekom est incontournable et elle s'est imposée comme un acteur majeur au niveau mondial. Elle a été créée en 2003 et la direction R&D de Geekom est située à Taiwan. En complément, la marque a plusieurs succursales dans différents pays du monde.

• Fiche produit sur le site GEEKOM

II. Caractéristiques du Geekom IT13

Commençons par découvrir les caractéristiques principales de ce modèle :

• Processeur : Intel Core i9-13900H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,40 GHz)
• GPU : Intel Iris Xe
• RAM : 32 Go DDR4-3200, extensible jusqu'à 64 Go
• Stockage : 2 To de SSD NVMe (Gen.4) + 1 emplacement pour SSD SATA au format M.2 (2242 - Jusqu'à 1 To) + 1 emplacement vide pour disque 2.5 pouces (2 To max.)
• Connectique : 3 x ports USB 3.2 Gen 2 + 1 x port USB 2.0 + 2 x ports USB 4 + 1 prise casque Jack 3.5 mm + 1 x slot pour une carte SD + 1 x interface réseau LAN 2.5 GbE + 2 x ports HDMI 2.0 + 1 x port d'alimentation
• Affichage : prise en charge jusqu'à 4 écrans.
• WiFi 6E (AX211), Bluetooth 5.2
• Alimentation : 19V, 6,32A DC - 120W
• Poids : 652 grammes
• Dimensions (L x W x H) : 117 mm x 112 mm x 49,2 mm
• Système d'exploitation : Windows 11 Pro
• Garantie : 3 ans

Comme vous le voyez, la fiche technique est très alléchante ! Entre l'Intel Core i9, l'interface réseau 2.5 GbE, l'USB4 et le WiFi 6E, nous sommes servis ! J'insiste aussi sur la présence d'une garantie constructeur de 3 ans.

Deux autres versions du modèle Geekom IT13 sont disponibles :

• Intel Core i7-13700H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,00 GHz) avec 32 Go de DDR4 + un SSD NVMe de 1 To
• Intel Core i5-13500H (12 Cœurs, 16 Threads, 24 Mo de cache, jusqu'à 4,70 GHz) avec 16 Go de DDR4 + un SSD NVMe de 512 Go

III. Package et design

Il est temps de déballer ce Mini PC pour voir à quoi ils ressemblent. L'emballage est très soigné et la boite nous donne un aperçu plus précis sur la connectique de ce modèle et le positionnement des différents ports. À l'intérieur, le Mini PC est parfaitement protégé par un bloc en mousse rigide. En dessous de lui, nous avons l'ensemble des accessoires.

Au final, voici les éléments inclus par Geekom : un Mini PC IT13, un câble HDMI, une alimentation externe et son câble, une plaque VESA (et les vis) permettant d'accrocher le mini PC à l'arrière d'un écran (support VESA), une notice (qui explique comment ajouter un disque, comment utiliser le support VESA, etc.), ainsi qu'une lettre de remerciement pour l'achat. Un kit complet !

Regardons de plus près ce boitier. Premier constat : les finitions sont excellentes et la qualité de fabrication rassurante. C'est vraiment un beau boitier. Ce boitier n'est pas gris : Geekom a fait le choix d'opter pour un boitier coloris gris-bleu.

Sur la façade, nous retrouvons deux ports USB, dont un port USB 3.2 Gen2 avec PowerDelivery (PD) et un port USB 3.2 Gen2 (sans PD). Ils sont accompagnés par la prise casque et le bouton Power. Sur le côté droit du boitier, nous avons une fente de verrouillage Kensington, tandis que sur le côté gauche, nous avons un slot pour insérer une carte SD.

À l'arrière du boitier, nous avons tout le reste de la connectique, dont les deux ports USB4 au format USB-C avec PowerDelivery. Pour rappel, le débit théorique de l'USB4 est de 40 Gbps. Au total, nous avons à notre disposition 6 ports USB, dont un port USB 2.0 (un intrus ?), ce qui est confortable et rare sur ce type de PC (c'est plus souvent 4).

La connectique est surplombée par l'aération du dissipateur thermique pour permettre l'évacuation de l'air chaud par l'arrière, tandis que l'air pourra rentrer de chaque côté du boitier grâce aux aérations. La technologie de refroidissement baptisée GEEKCOOL se veut particulièrement silencieuse : 43.6 dBA, lorsque le matériel est fortement sollicité.

Sur le dessus du boitier, la marque est inscrite, tandis qu'en dessous, nous avons une étiquette avec diverses informations (modèle, adresse MAC, numéro de série, etc.) et nous constatons la présence de patins antidérapants. Les 4 vis que vous apercevez permettent d'ouvrir le boitier facilement et rapidement. Elles restent « accrochées » au support amovible, ce qui évite de les égarer.

Il est important de préciser que ce boitier est à la fois en métal et en plastique. Les composants sont protégés par une cage métallique, tandis que la coque du boitier est en plastique. Cette illustration montre bien la conception de ce boitier :

Comme je l'évoquais précédemment, le boitier s'ouvre facilement puisqu'il y a seulement 4 vis à retirer et elles sont directement accessibles. C'est l'occasion de jeter un coup d'œil à l'intérieur du boitier et de connaitre le type de SSD et de RAM.

• Un SSD NVMe de marque ACER, avec la référence N5000CN-2TB, d'une capacité de 2 To (pour lequel je ne suis pas parvenu à trouver d'informations supplémentaires).
• Deux barrettes de RAM de marque Wooposit : 16 Go Rx8 - PC4-3200AA-S-11. Soit 32 Go au total. Il est possible de passer sur 64 Go de RAM, mais ceci implique de remplacer les deux barettes déjà présentes car les deux slots sont occupés.

L'ajout d'un disque SATA au format 2.5 pouces s'effectue directement au sein de la cage métallique intégrée à la partie amovible du boitier (partie de gauche sur la première photo ci-dessous). De plus, nous pouvons ajouter un disque SSD SATA M.2 supplémentaire, grâce à l'emplacement disponible entre le SSD NVMe et les barrettes de RAM.

Les composants sont facilement accessibles et identifiables, donc vous n'aurez aucun mal à remplacer la RAM ou la mémoire SSD, que ce soit en cas de panne ou pour passer sur d'autres références.

IV. Évolutivité et performances

A. Mise en route et évolutivité

Mettons en route le mini PC IT13 de chez Geekom ! La première chose à effectuer après avoir branché les périphériques, c'est finir l'installation du système Windows 11 Pro ! Nous retrouvons les étapes et questions habituelles propres au fonctionnement du système Windows 11. Il est tout à fait possible d'utiliser un compte local ou un compte Microsoft, au choix.

À première vue, il s'agit d'une image officielle de Windows 11 Pro qui n'a pas été personnalisée par Geekom. Nous retrouvons uniquement les applications natives ajoutées par Microsoft.

Le mini-PC est livré avec 32 Go de RAM en DDR4, mais une mise à niveau est possible. Le processeur i9 de ce modèle supporte 96 Go de RAM, et Geekom annonce une prise en charge jusqu'à 64 Go. Cela veut dire que nous pouvons doubler la RAM actuellement présente dans le mini PC, à condition de remplacer les deux barrettes de RAM. Si vous souhaitez utiliser ce PC pour de la virtualisation, cela peut s'avérer utile !

Voici des détails techniques obtenus avec le logiciel CPU-Z :

Sur ce mini PC, vous pouvez connecter jusqu'à 4 écrans en exploitant les deux ports HDMI et les deux ports USB4. Sur les deux ports HDMI 2.0, vous pouvez bénéficier d'un affichage 4K @ 60 Hz, tandis qu'on est sur un affichage à 8K @ 30 Hz sur les ports USB4.

Comme je l'évoquais précédemment, ce mini PC peut également accueillir 1 SSD SATA au format M.2 (2242 - Jusqu'à 1 To) et 1 disque 2.5 pouces (2 To max.).

En résumé, l'évolutivité est possible au niveau du stockage et de la RAM, tout en sachant que le processeur est très performant et qu'il y a un port Ethernet en 2.5 Gbit/s qui offre de belles possibilités !

B. Performances

Ce mini PC, avec un boitier très compact, est propulsé par un processeur Intel Core i9 de 13ème génération lancé au premier trimestre 2023. Le modèle i9-13900H a14 cœurs et 20 threads, 24 Mo de cache et sa fréquence maximale en mode Turbo est 5,40 GHz.

Commençons par mesurer les performances du disque SSD NVMe intégré à l'ordinateur.

Les performances de ce disque SSD NVMe sont excellentes ! Un copier-coller de gros fichiers en local (de disque à disque, sur le même volume), est effectué avec une vitesse moyenne de 1.82 Go/s ! En 56 secondes, j'ai pu dupliquer une bibliothèque d'images ISO de 101 Go !

Voici un benchmark du disque effectué avec Crystal Disk Mark :

• CrystalDiskInfo

Voici une analyse CrystalDiskInfo du disque SSD NVMe présent dans ce PC :

• Geekbench

J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur ces pages :

• Geekbench - CPU - GEEKOM IT13
• Geekbench - GPU - GEEKOM IT13

Poursuivons avec un stress CPU.

• Stress CPU

Pendant le stress test du CPU (charge à 100%), le ventilateur s'emballe de façon cyclique, de façon à gérer la température du CPU et du boitier. Le mini PC perd en discrétion à ce moment-là, et la soufflerie est clairement audible. Au ralenti, lorsque la machine est peu sollicitée, les ventilateurs sont vraiment très discrets et ne vous gêneront pas du tout. Il n'y a qu'au tout début du démarrage du PC où la ventilation n'est pas discrète, mais il est probable que ce soit un "auto-test" du matériel à son lancement.

D'après HWMonitor, lorsque le mini PC est allumé sans être sollicité, la température du CPU est de 40°C, dans une pièce où il fait 25 degrés. Pendant le stress test du CPU, la température du CPU monte en flèche jusqu'à 100.0°C (au bout de quelques secondes) puis elle descend jusqu'à 85°C et ensuite, c'est stable tout au long du stress CPU. La machine semble bien gérer le stress CPU, ce qui m'a plutôt rassuré. Geekom semble aussi confiant sur ce point grâce à sa technologie Geekcool.

• Que peut-on faire et ne pas faire avec ce modèle ?

Grâce à son excellent processeur, ce mini PC est super à l'aide pour de la bureautique et le multimédia (tout dépend du niveau d'exigence pour le GPU). Que ce soit pour la lecture de vidéos, le montage vidéo basique, la navigation sur Internet, etc... Il fonctionne parfaitement, tout en étant silencieux. Grâce à ses 32 Go de RAM et son Intel Core i9, il est à l'aise avec le multi-tâches.

Sur un modèle comme celui-ci, dépourvu de GPU dédié, la principale limitation, c'est la puce graphique intégrée. Ici, un iGPU "Intel Iris Xe", tout de même plus performant que son prédécesseur Intel UHD Graphics. Si vous êtes prêts à faire quelques concessions sur les graphismes des jeux-vidéos, en diminuant la qualité et en désactivant certaines options, vous pourrez jouter en Full HD à certains jeux. J'ai testé GTA V et l'expérience est bonne. Le jeu est très fluide, avec la désactivation de certains effets visuels.

Voici un aperçu avec deux copies d'écran :

V. Conclusion

Ce mini PC, très compact et très léger, car il ne pèse que 652 grammes, est une excellente surprise ! À ce jour, le Geekom IT13 dans sa version avec un Core-i9 est probablement l'un des plus puissants des mini PC ! En attendant la prochaine génération !

Son design, son format et son Intel Core i9-13900H sont de gros atouts pour ce modèle ! À cela s'ajoutent une connectique ultra-complète et correspondante aux besoins actuels des utilisateurs les plus exigeants, ce qui en fait un mini PC polyvalent. Cette fiche technique solide fait que ce PC répondra aux besoins de nombreux utilisateurs pendant plusieurs années.

À l'inverse, la partie graphique (iGPU) est en retrait par rapport au reste, sans surprise, mais elle n'est pas mauvaise pour autant. Bien que le port USB 2.0 puisse surprendre, il peut être utile pour connecter un dongle USB sans utiliser un autre port. Enfin, si vous recherchez un appareil ultra-discret, sachez que son ventilateur a tendance à s'emballer par moment, notamment lorsqu'il est fortement sollicité (charge CPU élevée).

Le Geekom IT13 avec le Core i9 est proposé à 849,00 euros. C'est logique, compte tenu du tarif du processeur en lui-même. Une bonne alternative peut être de s'orienter vers la version équipée d'un Core i5.

Offre spéciale sur le Geekom IT13

Profitez de 5% de réduction sur Amazon.fr ou sur la boutique officielle de Geekom, en utilisant les liens et codes ci-dessous.

• Sur Amazon.fr

Saisissez le code promo "icIT13pr20" dans votre panier pour obtenir 5% de réduction. Ce code est valide jusqu'au 26 mai 2024.

Cliquez sur ce lien pour accéder à l'offre.

• Sur Geekom.fr

Saisissez le code promo "8YJ8OMLE" dans votre panier pour obtenir 5% de réduction. Ce code est valide sans limites de temps.

Cliquez sur ce lien pour accéder à l'offre.

The post Test Geekom IT13 – Un mini PC de 650 grammes avec un Intel Core i9-13900H et 32 Go de RAM first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons évoquer un phénomène courant dans la majorité des organisations et qui représente un risque réel pouvant exposer une entreprise à une cyberattaque : le Shadow IT.

Nous commencerons par définir ce qu'est le Shadow IT, avant d'évoquer les risques associés pour une organisation. Puis, la dernière partie de l'article s'intéressera à l'analyse de la surface d'attaque externe d'une organisation pour démontrer son importance vis-à-vis du Shadow IT.

II. Qu'est-ce que le Shadow IT ?

Le Shadow IT appelé aussi Rogue IT, que l'on peut traduire en français par "Informatique fantôme" ou "Informatique parallèle", est un terme faisant référence à l'utilisation de logiciels et applications dans le dos du service informatique. Autrement dit, le service informatique n'est pas au courant que certains utilisateurs font usage de tel service ou telle application. Cela signifie que les processus de validation et d'implémentation ont été esquivés, volontairement ou non, par les utilisateurs.

Le Shadow IT fait également référence aux systèmes oubliés ou non référencés : il peut s'agir d'un PoC mené par le service informatique en lui-même, sous la forme d'un environnement de tests. Celui-ci peut rester actif bien au-delà de la phase d'expérimentation et s'il n'est pas correctement isolé de la production, ou pire encore, s'il est exposé sur Internet, peut représenter un risque.

En réalité, le Shadow IT est devenu un phénomène courant en raison de la prolifération des applications et services, dont certains sont très faciles à utiliser et à appréhender pour les utilisateurs. Les services Cloud, proposé en tant que solution SaaS, sont un bon exemple, pour ne pas dire le meilleur exemple.

Cependant, le Shadow IT est associé à un ensemble de risques, notamment en matière de sécurité, de conformité et de gestion de l'information. C'est ce que nous allons évoquer dans la prochaine partie de l'article.

III. Les risques associés au Shadow IT

• La sécurité

Par définition, les applications déployées sans l'approbation du service informatique ne respecteront pas les normes de sécurité de l'entreprise. Autrement dit, ils ne seront pas correctement configurés, ni même sécurisés, et potentiellement, les données ne seront pas sauvegardées. Au fil du temps, si ces applications ne sont pas suivies, elles peuvent être vulnérables à une ou plusieurs failles de sécurité que les cybercriminels peuvent exploiter. Ceci est d'autant plus vrai et critique s'il s'agit d'un système exposé sur Internet.

• Les données

Au-delà des risques relatifs à l'absence de contrôle de sécurité (configuration, suivi des mises à jour, etc.), le Shadow IT représente un réel risque pour la gestion des données de l'organisation. En effet, les données peuvent être stockées dans des endroits non sécurisés : absence d'authentification (dépôt public), connexion non chiffrée, mauvaise gestion des permissions, etc. Par ailleurs, l'entreprise peut perdre le contrôle des données concernées et ne plus savoir où elles se situent. Tôt ou tard, ceci peut engendrer une fuite de données si un tiers non autorisé parvient à accéder à ces données.

• La conformité et le RGPD

Il existe également un lien étroit entre la notion de conformité et le Shadow IT, notamment vis-à-vis du RGPD. Pour rappel, le RGPD (Règlement Général sur la Protection des Données) est une législation de l'Union européenne qui vise à protéger les données personnelles des citoyens de l'UE. Il exige un suivi strict et précis des données personnelles traitées par les entreprises.

Cela signifie que l'organisation doit avoir connaissance de l'endroit où les données sont stockées et qui y a accès. Des principes contraires à la problématique du Shadow IT puisque les données peuvent être stockées sur des systèmes non approuvés ou peut-être même non conforme au RGPD. En cas de violation de données, l'entreprise peut être tenue responsable et être sanctionnée par une amende. L'aspect conformité peut également être associé à la gestion des licences et aux conditions d'utilisation d'un service ou d'une application.

• En résumé

En résumé, avec le Shadow IT, il n'y a pas que des dommages techniques et cela peut être beaucoup préjudiciable pour l'entreprise. Le Shadow IT peut être à l'origine d'un problème de sécurité (intrusion, fuite de données, etc.) pouvant engendrer une indisponibilité de tout ou partie de l'infrastructure de l'entreprise. Dans ce cas, il y aura un impact financier pour l'organisation et son image de marque sera également entachée.

IV. L'analyse de la surface d'attaque externe

Compte tenu des risques représentés par le Shadow IT, il est crucial pour les entreprises de prendre les dispositions nécessaires pour protéger leurs données. Au-delà de mettre en place des procédures strictes, une organisation peut adopter un outil d'analyse de la surface d'attaque externe (EASM) afin d'obtenir une cartographie précise des assets exposés sur Internet. Ils représentent un risque important et peuvent être utilisés comme vecteur d'attaque initial, au même titre que les e-mails de phishing.

Nous pouvons voir plusieurs avantages à l'utilisation de l'EASM pour lutter contre le Shadow IT :

- Identifications des actifs (assets) non autorisés : l'analyse effectuée par l'outil EASM peut identifier tous les actifs associés à une organisation, qu'ils soient autorisés ou non. Autrement dit, cette analyse sera utile pour découvrir de façon proactive les systèmes, applications et services utilisés sans l'approbation de la direction informatique.

- Suivi continu : le processus de découverte régulier de la solution d'EASM assure une surveillance continue. C'est important pour réduire au maximum le délai entre le moment où l'actif est mis en ligne et le moment où il est détecté. Ainsi, l'organisation, par l'intermédiaire de son équipe technique, peut réagir rapidement pour minimiser les risques.

- Évaluation des risques : chaque actif identifié sera passé en revue et évalué pour déterminer les risques potentiels qui lui sont associés. Ceci permettra d'identifier ses faiblesses, notamment les problèmes de configuration, les vulnérabilités, etc... Comme le ferait un pentester.

En identifiant les vulnérabilités et les risques associés à chaque système et service exposé, l'outil EASM vous aidera à prendre les mesures nécessaires et les bonnes décisions. Dans le cas du Shadow IT, cela peut induire la désactivation du système non autorisé ou la conservation du système sous réserve que sa configuration soit révisée (hardening du système, par exemple).

Précédemment, nous avions présenté la solution EASM Sweepatic de chez Outpost24 :

Sweepatic, une solution pour gérer sa surface d’attaque externe en continu

En plus de l'analyse de la surface d'attaque externe, les organisations peuvent traquer le Shadow IT grâce à :

• La formation des employés pour les informer des risques associés au Shadow IT, mais aussi, pour leur expliquer les processus de validation internes de l'entreprise. Par exemple, la procédure à respecter pour demander l'accès à une application ou un service. Ceci est valable aussi pour le service informatique en lui-même : aucun passe-droit et ils doivent veiller à la bonne application de ces processus.
• La gestion des appareils et des autorisations : les outils de gestion des appareils et des applications mobiles peuvent aider à déployer des applications, mais aussi, des politiques pour accorder et refuser certaines actions. Cela peut aussi permettre de contrôler quels appareils et applications ont accès aux données de l'organisation.
• La surveillance et audit du réseau et des systèmes pour détecter les flux et les événements inhabituels.
• Le dialogue entre le service informatique et les salariés, ainsi que les responsables de service, joue un rôle important, au-delà des solutions techniques. L'origine du Shadow IT peut être lié à un contentieux entre un salarié et le service informatique.

V. Conclusion

Le Shadow IT doit être pris au sérieux. Ne fermez pas les yeux sur cette informatique déjà dans l'ombre par définition. Cherchez plutôt à mettre en lumière les services, les applications et les systèmes utilisés sans l'approbation de l'équipe IT afin de prendre les bonnes décisions. La formation, la sensibilisation et l'écoute pourront aussi permettre de limiter la tentation des utilisateurs.

Cet article contient une communication commerciale.

The post Qu’est-ce que le Shadow IT ? Définition, risques et solutions first appeared on IT-Connect.

Il y a quelques jours, une nouvelle version d'Harden AD a été publiée ! L'occasion d'évoquer les nouveautés intégrées à la version 2.9.8 de cette solution destinée à sécuriser votre infrastructure basée sur l'Active Directory.

Au fait, c'est quoi Harden AD ?

Harden AD est le projet phare de la communauté Harden, qui est représentée par une association loi 1901 (à but non lucratif). Depuis ses premières versions, son objectif reste le même : permettre aux organisations d'améliorer la sécurité de leur système d'information en s'appuyant sur l'Active Directory.

Harden AD est là pour faire gagner du temps aux équipes techniques, en plus de leur fournir une ligne directrice grâce à toutes les règles prédéfinies dans l'outil. Ces règles sont en adéquation avec les recommandations de l'ANSSI et de Microsoft, mais elles sont également basées sur l'expérience des experts Active Directory de la communauté Harden. Autrement dit, cet outil facilite le hardening de l'Active Directory.

Si cet outil est disponible pour tout le monde, c'est parce qu'il y a cette volonté de le rendre accessible à toutes les typologies d'organisation : la sécurité d'un SI n'est pas que l'affaire des grandes organisations, et trop de TPE et PME font l'impasse sur ce sujet par manque de budgets et connaissances. Pourtant, vous le savez, de par sa fonction, l'Active Directory est la pierre angulaire de nombreux systèmes d'information.

Pour en savoir plus, consultez cet article :

• Sécurité Active Directory : comment atteindre un score de 0/100 dans PingCastle ?

Les nouveautés d'Harden AD 2.9.8

Intéressons-nous aux nouveautés introduites à la version 2.9.8 de l'édition communautaire d'Harden AD. Désormais, lors de l'exécution du script PowerShell principal, nommé "HardenAD.ps1", vous avez la possibilité de passer des paramètres ! Trois paramètres sont actuellement pris en charge :

• -EnableTask : ceci vous permet d'activer une ou plusieurs séquences de tâches, sans modifier le fichier XML de configuration. Autrement dit, l'outil peut être exécuté afin d'effectuer la configuration d'un ou plusieurs "modules".
• -DisableTask : sur le même principe que pour le paramètre précédent, mais dans le but de désactiver une ou plusieurs séquences de tâches. Si elle est combinée à l'activation, la désactivation l'emporte.
• -NoConfirmationForRootDomain : évite de valider le nom de domaine.

Par ailleurs, la fonction destinée à gérer le groupe des administrateurs locaux des machines a été révisée afin d'être découpée en trois scripts PowerShell et d'être configurée via des fichiers au format XML. Ceci laisse le choix entre l'utilisation de la configuration prédéfinie dans l'outil et la déclaration d'une configuration sur-mesure.

L'équipe d'Harden AD a également entamé un gros travail d'optimisation et de rationalisation sur le fichier "TasksSequence_HardenAD.xml". Il joue un rôle clé dans le fonctionnement d'Harden AD, car il référence tous les paramètres de configuration et leur valeur. Cette simplification permettra de prendre en main l'outil plus facilement et d'avoir moins de valeur à adapter manuellement.

Enfin, une nouvelle GPO a été ajoutée et une autre GPO existante a été révisée.

• HAD-UNC-Hardened-Path : une nouvelle GPO, liée à l'OU "Domain Controllers", dont l'objectif est d'activer les chemins UNC durcis pour les partages "SYSVOL" et "NETLOGON".
• HAD-LoginRestrictions-{tier} : le paramètre "Deny Network Logon" a été remplacé afin de ne plus refuser les autres comptes Admin de Tier, mais seulement le compte Guest (Invité). L'objectif étant d'apporter un peu de souplesse aux équipes techniques, tout en maintenant un niveau de sécurité pertinent et adapté. Ce paramètre impactait "quotidiennement les actions techniques, telles que l'ajout d'une imprimante sur un ordinateur ou l'application d'un rafraîchissement des stratégies de groupe à partir de la console GPMC", peut-on lire dans le changelog.

Pour en savoir plus sur cette version, et pourquoi pas tester Harden AD, rendez-vous sur le GitHub officiel :

• Accéder au GitHub d'Harden AD

The post Sécurisation de l’Active Directory – Quelles sont les nouveautés d’Harden AD 2.9.8 ? first appeared on IT-Connect.

Mercredi 24 avril 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI : 10.0.15. Au-delà de corriger quelques bugs, cette mise à jour corrige également deux failles de sécurité ! Faisons le point.

Deux vulnérabilités de type "injection SQL" ont été découvertes dans l'application GLPI. Elles sont toutes les deux considérées comme importantes :

• CVE-2024-31456 : injection SQL à partir de la fonction de recherche dans la carte (nécessite d'être authentifié)
• CVE-2024-29889 : prise de contrôle d'un compte via une injection SQL présente dans la fonction de recherche sauvegardée

Une injection SQL peut permettre à un attaquant d'exécuter des requêtes SQL arbitraires dans la base de données de l'application. Cela peut lui permettre de lire, modifier ou supprimer des données dans l'application, et donc, de compromettre l'application.

Les versions 10.0.0 à 10.0.14 de GLPI sont affectés par ces vulnérabilités. Vous pouvez récupérer cette nouvelle version sur le GitHub du projet GLPI, via cette page, et consulter l'article publié sur le site de Teclib pour en savoir plus sur cette nouvelle version.

Les dernières mises à jour de GLPI

Voici un historique des dernières versions mineures les plus récentes de GLPI 10, avec de nombreuses failles de sécurité découvertes et corrigées :

• GLPI 10.0.14 - Sortie le 14 mars 2024 - Cette version corrige un bug gênant introduit par la version 10.0.13
• GLPI 10.0.13 - Sortie le 13 mars 2024 - Cette version corrige 6 failles de sécurité
• GLPI 10.0.12 - Sortie le 1er février 2024 - Cette version corrige 2 failles de sécurité
• GLPI 10.0.11 - Sortie le 11 décembre 2023 - Cette version corrige 3 failles de sécurité
• GLPI 10.0.10 - Sortie le 25 septembre 2023 - Cette version corrige 10 failles de sécurité

Comment effectuer la mise à jour de GLPI ?

Si vous avez besoin d'aide pour mettre à jour GLPI, référez-vous à notre tutoriel via le lien ci-dessous :

• Comment mettre à jour GLPI ?

The post Passez sur GLPI 10.0.15 pour vous protéger de 2 failles de sécurité de type « injection SQL » first appeared on IT-Connect.

IBM a profité de la présentation de ses résultats financiers pour annoncer un rachat important : celui d'HashiCorp pour un montant de 6,4 milliards de dollars. Faisons le point sur cette annonce !

Si vous ne connaissez pas HashiCorp, sachez que c'est une entreprise américaine à l'origine plusieurs produits très populaires, notamment Terraform, Packer, Vagrant, ainsi qu'une solution de gestion des secrets HashiCorp Vault. Les spécialistes et amateurs d'Infrastructure-as-Code ne diront pas le contraire. HashiCorp se félicite de ses résultats : "Nous sommes fiers de compter plus de 450 millions de téléchargements des produits communautaires gratuits de HashiCorp au cours de notre exercice fiscal 2023.", peut-on lire sur le site officiel.

À l'occasion de la présentation des résultats de son 1er trimestre fiscal 2024, le géant IBM a annoncé un accord pour l'acquisition d'HashiCorp pour un montant de 6,4 milliards de dollars. Il est important de préciser que cette acquisition a été validée par les conseils d'administration des deux sociétés. Cette opération reste soumise à la validation des actionnaires et d'autres étapes administratives sont encore à effectuer : l'opération devrait être finalisée d'ici fin 2024.

Concrètement, HashiCorp va devenir une division à part entière, sous IBM Software. Des produits et services continueront d'être développés sous le nom d'HashiCorp, comme c'est le cas actuellement. Mais, alors, qu'est-ce que ça change ?

Pour IBM Software, l'acquisition d'HashiCorp sera un atout stratégique et Red Hat devrait en profiter pour aller encore plus loin dans la gestion automatisée des infrastructures. Cela devrait aussi renforcer ses capacités en matière de Cloud hybride. Red Hat qui est d'ailleurs impliqué dans le développement d'un autre outil très populaire : Ansible.

D'après Arvind Krishna, le CEO d'IBM, avec cette acquisition, IBM espère créer "une plateforme cloud hybride complète conçue pour l'ère de l'IA" en alliant ses forces à celles d'HashiCorp. Il semblerait que l'IA soit l'une des raisons pour lesquelles IBM a pris la décision d'effectuer l'acquisition d'HashiCorp.

Qu'en pensez-vous ?

The post IBM fait l’acquisition d’HashiCorp pour 6,4 milliards de dollars ! first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons découvrir les fonctionnalités gratuites de la CrowdSec Console, qui se présente comme une solution de Threat Intelligence complète et simple d'utilisation accessible avec un tableau de bord en ligne.

Cette solution va, d'une part, nous permettre d'en savoir plus sur la réputation des adresses IP grâce à la Threat Intelligence. D'autre part, elle offre une vue d'ensemble sur les activités malveillantes détectées et bloquées par vos éventuelles instances CrowdSec protégées par cet IDS/IPS. Lisez la suite de cet article pour en savoir plus et effectuer une prise en main complète de cette console !

Avant de commencer, voici nos précédents articles au sujet de CrowdSec :

• Installer CrowdSec sur un pare-feu PfSense pour protéger son réseau
• Comment mettre en place une installation multiserveur de CrowdSec ?
• Comment protéger son serveur Linux des attaques avec CrowdSec ?
• Bloquer les attaques sur son serveur Web (Apache + PHP) avec CrowdSec
• Comment protéger son site WordPress avec CrowdSec ?
• Comment sécuriser un serveur Windows avec CrowdSec ?

• Cliquez ici pour regarder la vidéo sur YouTube

II. Les fonctionnalités gratuites de la console CrowdSec

A. Créer un compte

La première étape consiste à créer un compte CrowdSec Console : vous avez seulement besoin d'une adresse e-mail valide. Pour accéder directement à la page d'inscription, suivez ce lien :

• Créer un compte CrowdSec Console

Après avoir indiqué une adresse e-mail et un mot de passe, cliquez sur "Sign up" afin de recevoir un e-mail avec un lien de validation.

Dès que c'est fait, vous avez accès à la console CrowdSec à partir de votre nouveau compte ! Lors de la première connexion, on vous posera deux questions : le type de votre organisation et le nombre de salariés. Rien de plus.

B. Les fonctionnalités principales

Avant de créer un compte sur la Console CrowdSec, vous souhaitez probablement en savoir plus sur les fonctionnalités offertes par cette console ! Nous allons évoquer les fonctionnalités gratuites et accessibles à tous. Au-delà d'avoir une vue d'ensemble sur vos serveurs où CrowdSec est déployé, ce compte vous donne accès à la Cyber Threat Intelligence de CrowdSec, ainsi qu'à diverses listes d'adresses IP malveillantes que vous pouvez pousser vers vos instances CrowdSec.

Voici un récapitulatif :

• Surveiller les serveurs où CrowdSec est déployé et inscrits à la console

Vous pouvez obtenir l'état et la version du moteur CrowdSec sur le serveur, obtenir la liste des scénarios actifs, ainsi que la liste des bouncers actifs sur ce serveur. Vous avez également accès à différentes métriques telles que le nombre d'alertes.

• Synthèse des alertes sur l'ensemble de vos instances CrowdSec

La Console CrowdSec indique le nombre d'alertes par instance et donne accès à un ensemble de statistiques et graphes. Il est possible de visualiser les informations pour une instance ou plusieurs instances, sur une période plus ou moins longue, grâce à un système de filtres. La version gratuite donne accès aux données sur les 7 derniers jours (et 500 alertes).

Ainsi, vous pouvez en apprendre davantage sur le profil des attaquants : adresses IP, pays d'origine, fournisseurs de service, niveau d'agressivité, type d'attaques, etc. Ceci étant lié à la Threat Intelligence évoquée ci-dessous.

• CrowdSec Threat Intelligence

La Console CrowdSec donne accès aux informations de la Cyber Threat Intelligence (CTI) de CrowdSec, appelée judicieusement CrowdSec Threat Intelligence. Ceci permet d'en savoir beaucoup plus sur les adresses IP malveillantes, grâce aux signaux collectés à partir des serveurs de CrowdSec et des milliers d'instances déployées par la communauté.

Ces informations sont précieuses et elles permettent de répondre à différentes questions. Par exemple : si une adresse IP s'attaque à votre serveur depuis plusieurs heures ou jours, s'agit-il d'une attaque ciblée à l'encontre de mon organisation ou tout simplement une adresse IP agressive à la recherche d'une opportunité ? Il pourrait s'agir d'une adresse IP qui effectue un scan constant d'Internet à la recherche de serveurs exposés et pas suffisamment sécurisés. Dans la CTI, si l'adresse IP est déjà connue, elle sera catégorie et vous pourrez en savoir plus à son sujet.

Il y a deux manières d'accéder à ces informations : effectuer une recherche sur l'adresse IP de votre choix, grâce à une zone de recherche, ou cliquer sur l'adresse IP associée à une alerte sur votre instance CrowdSec.

• Les blocklists d'adresses IP

Quand vous installez CrowdSec, vos instances bénéficient des listes noires d'adresses IP détectées par la communauté CrowdSec. Ceci protège vos serveurs équipés de CrowdSec, mais bien que continuellement mises à jour, ces listes ne sont pas exhaustives. Aucune liste n'est exhaustive de toute façon, d'où l'intérêt de combiner plusieurs sources. C'est là que les blocklists tierces proposées par CrowdSec interviennent en complément de quelques blocklists estampillées "CrowdSec Premium" (réservées aux utilisateurs de la version Enterprise).

Avec la version gratuite, vous pouvez vous abonner à trois blocklists et les affecter à vos instances CrowdSec.

C. Quels sont les plus de la version Enterprise ?

Sans surprise, la version Enterprise fait sauter un ensemble de brides associées à la version gratuite. Nous pouvons citer quelques exemples : elle donne accès à la rétention des données sur 1 an au lieu de 7 jours, autorise la création de plusieurs utilisateurs et organisations, et permet de s'abonner à un nombre illimité de blocklists. De plus, vous avez accès à un support professionnel, en direct, et n'êtes pas limité au serveur Discord de la communauté CrowdSec.

Autre avantage de cette version payante, c'est qu'elle vous permet de gérer les décisions de vos instances à partir de la console CrowdSec. Ainsi, vous pouvez ajouter une adresse IP à la console CrowdSec pour pousser vers vos instances afin qu'elle soit bloquée. À l'inverse, vous pouvez supprimer une décision (c'est-à-dire le ban sur une adresse IP, par exemple), à partir de la console CrowdSec.

Pour comparer les différentes offres de CrowdSec et en savoir plus sur les tarifs, consultez cette page :

• CrowdSec - Pricing

III. Les avantages de connecter ses instances CrowdSec à la console

Dans cette partie de l'article, nous allons déployer CrowdSec sur une machine Windows Server 2022 puis nous allons inscrire cette instance dans la Console CrowdSec pour voir quels bénéfices nous pouvons en tirer.

A. Déployer CrowdSec sur Windows Server 2022

Si vous n'avez jamais déployé CrowdSec, la Console est un bon point de départ, car elle vous guide dans ce déploiement qui s'effectue en trois étapes :

1 - Installer CrowdSec "Security Engine" sur le serveur (composant principal).

2 - Installer le "Bouncer" pour permettre le blocage des adresses IP.

3 - Enregistrer l'instance CrowdSec dans la console.

La console CrowdSec contient différents liens pour vous orienter dans la documentation.

Sur le serveur Windows Server 2022, nous allons installer CrowdSec après l'avoir téléchargé à partir du GitHub officiel. L'installation s'effectue en quelques clics.

• GitHub - CrowdSec - Security Engine pour Windows

Suite à l'installation, la configuration de CrowdSec sera accessible dans le répertoire suivant :

C:\ProgramData\CrowdSec

Ensuite, nous devons installer le bouncer "Windows Firewall", ce qui va permettre de bloquer les adresses IP malveillantes grâce à des règles de refus créées dans le pare-feu Windows Defender. Il a besoin du Runtime .NET en version 6 pour fonctionner.

Nous allons télécharger le fichier "cs_windows_firewall_installer_bundle.exe" dans sa dernière version, pour ensuite effectuer l'installation. Ce fichier, qui contient le mot "bundle", englobe à la fois le bouncer et le Runtime .NET. L'installation s'effectue en quelques clics.

• GitHub - CrowdSec - Bouncer Windows Firewall

Deux nouveaux services sont désormais présents sur la machine Windows :

B. Inscrire l'hôte à la console CrowdSec

Pour enregistrer la nouvelle instance dans la console CrowdSec, nous devons exécuter la commande fournie sur l'interface de la console :

cscli console enroll clv3tfwqb001fjv083qftmaxd

Sachez que vous pouvez compléter cette commande, notamment en précisant le nom sous lequel vous souhaitez effectuer cet enregistrement. Sinon, elle va remonter avec un nom aléatoire, ce qui peut être gênant si vous envisagez d'inscrire plusieurs instances. Néanmoins, sachez que le nom peut être changé à tout moment, comme nous le verrons par la suite.

cscli console enroll clv3tfwqb001fjv083qftmaxd --name "WS-2022-IIS"

Une fois que c'est fait, relancez le service CrowdSec :

Restart-Service CrowdSec

Voici un exemple :

Du côté de la console CrowdSec, nous devons approuver cette demande d'inscription via le bouton "Accept enroll".

Désormais, l'instance CrowdSec déployée sur le serveur Windows Server est inscrite dans la console. Nous pourrions en ajouter d'autres sur le même principe.

Le nom de l'instance n'étant pas très évocateur, nous allons le modifier en choisissant "Edit name or tags" après avoir cliqué sur le widget de l'instance.

Ici, nous allons choisir le nom "WS-2022-IIS" car c'est le nom d'hôte du serveur. Puis, nous pouvons ajouter des tags. Cette fonctionnalité est pratique pour catégoriser vos instances selon différents critères : système d'exploitation, rôle, etc.... Vous pouvez nommer ces tags comme vous le souhaitez. Dans l'exemple ci-dessous, je crée 2 tags : "OS" et "Type".

Il ne reste plus qu'à cliquer sur "Update" pour valider. C'est plus propre, désormais :

C. S'abonner à une blocklist d'adresses IP malveillantes

La prochaine étape va consister à nous abonner à une blocklist supplémentaire afin de bloquer des adresses IP malveillantes connues, avant même qu'elles aient une chance de s'en prendre à notre serveur. Après avoir cliqué sur l'instance, nous cliquer sur "Browse available blocklists" pour accéder à la liste des blocklists.

Ici, nous retrouvons une liste de blocklists, avec une description associée à chacune d'elles. Il y a également des statistiques intéressantes : le nombre total d'adresses IP dans cette blocklist et le nombre actuel d'abonnés, ce qui indique la popularité de cette blocklist.

Nous allons cliquer sur le bouton "Subscribe" au niveau de la blocklist nommée "Firehol cybercrime tracker list". Elle contient des adresses IP malveillantes associées à des serveurs de Command and Control (C2) utilisés par des attaquants.

Le fait de cliquer sur "Subscribe" nous donne accès à différents insights très intéressants au sujet de cette blocklist !

• False positives : la liste est fiable, car il n'y a eu aucun faux positif signalé.
• Already reported IPs : le pourcentage d'adresses IP présentes dans cette blocklist et déjà identifiée par des utilisateurs de CrowdSec.
• Exclusivity : le pourcentage d'exclusivité, c'est-à-dire le pourcentage d'adresses IP présentes uniquement dans cette blocklist. Ici, c'est très élevé, donc nous avons tout intérêt à l'utiliser pour renforcer la protection de notre serveur.
• Top behaviors / Top classifications : le top des attaques effectuées par les adresses IP présentes dans cette liste, et dans quel but.

Ces indicateurs permettent d'évaluer la pertinence d'une blocklist vis-à-vis d'une autre et ajoutent de la transparence à la Console CrowdSec.

Tout en bas de la page, nous allons cliquer sur le bouton "Add Security Engine(s)" puis sélectionner notre instance. Nous devons également choisir un type d'action à appliquer à ces adresses IP : "Ban" permet de bannir les adresses IP de cette blocklist. Une fois que c'est fait, il ne reste plus qu'à valider.

Voilà, notre serveur "WS-2022-IIS" est désormais abonné à cette blocklist ! Au passage, l'image ci-dessous nous permet de voir quels sont les pays les plus ciblés par les adresses IP contenues dans cette liste.

IV. Analyser une adresse IP avec CrowdSec Threat Intelligence

Au quotidien, la Console CrowdSec vous permettra d'avoir un œil sur les attaques et les scans identifiés et bloqués par vos serveurs. La liste des décisions et des alertes est accessible en mode console (via le jeu de commandes "cscli") mais aussi via l'interface de la console.

Dans l'exemple ci-dessous, nous pouvons constater que l'adresse IP "52.186.17.219" a été bannie par CrowdSec, car elle a effectué des actions suspectes sur le service Web de mon serveur, en plus d'un brute force sur le service RDP.

Pour en savoir plus sur cette adresse IP et notamment savoir "A quoi elle correspond" et si elle est connue pour effectuer de nombreuses attaques, il suffit de cliquer dessus. Autrement dit, nous allons pouvoir en apprendre plus sur la réputation de cette adresse IP.

Nous sommes directement redirigés vers la Threat Intelligence de CrowdSec où nous pouvons visualiser un ensemble d'insights associés à cette adresse IP. Ici, l'adresse IP apparaît comme inconnue et nous n'apprenons pas grand-chose à son sujet : c'est normal, j'ai effectué ce scan du service web à partir d'un serveur que je contrôle et cette adresse IP n'est pas utilisée à des fins malveillantes, sauf pour cette démonstration.

Néanmoins, dans un cas réel, cela ne veut pas dire que ce n'est pas une adresse IP dangereuse : si l'adresse IP en question remonte souvent dans les alertes et qu'elle semble cibler votre serveur en particulier, il pourrait s'agir d'une attaque ciblée. Méfiance, donc.

Les choses ont évoluées au bout de plusieurs heures. Après avoir effectué plusieurs tests de scans de port et tentatives de brute force, depuis cette adresse IP et à destination de mon serveur "WS-2022-IIS". Comme le montre l'image ci-dessous, nous pouvons voir que la Threat Intelligence de CrowdSec commence à dresser le profil de cette adresse IP. Par exemple, l'adresse IP est désormais connue pour effectuer des attaques par brute force.

Sans parler des alertes et décisions de notre instance, nous pouvons solliciter la Threat Intelligence de CrowdSec pour obtenir des informations sur une adresse IP. Prenons l'exemple de l'adresse IP suivante : "193.142.146[.]226".

Nous allons cliquer sur "CrowdSec Threat Intelligence" dans le menu, saisir cette adresse IP et cliquer sur le bouton "Search" pour lancer une recherche à son sujet. Dans ce nouvel exemple, nous utilisons l'interface Web de la console CrowdSec, mais il y a également une API et des intégrations avec d'autres solutions (OpenCTI, Splunk SIEM, TheHive, etc.).

Sur le même principe que pour l'exemple précédent, nous obtenons un ensemble d'indicateurs. Sauf qu'ici, il s'agit d'une adresse IP malveillante avec une très mauvaise réputation. Nous avons des informations plus précises et un historique très complet sur les activités malveillantes initiées depuis cette adresse IP.

Nous pouvons constater que cette adresse IP est très active et agressive depuis plusieurs mois. De plus, nous pouvons constater qu'elle est déjà référencée dans la blocklist "Firehol cybercrime tracker list" à laquelle notre serveur est abonné ! C'est une bonne nouvelle, puisque cela veut dire que cette adresse IP est déjà bloquée sur notre serveur grâce au fait qu'il soit abonné à cette liste.

Sachez que même si vous ne déployez pas CrowdSec sur vos serveurs, vous pouvez tout de même créer un compte CrowdSec Console pour solliciter la "CrowdSec Threat Intelligence" afin d'obtenir des renseignements sur une adresse IP. Vous pouvez effectuer 10 requêtes par cycle de 2 heures.

V. Conclusion

Suite à la lecture de cet article, vous avez une vue d'ensemble des principales fonctionnalités offertes par la CrowdSec Console ! Grâce à la Threat Intelligence, elle a une réelle valeur ajoutée dans le suivi des menaces et sur l'activité associée à chaque adresse IP publique. Que vous soyez ou non utilisateur de la solution CrowdSec Security Engine, elle peut vous être utile !

Cet article contient une communication commerciale.

The post Threat Intelligence : protégez-vous des adresses IP malveillantes avec CrowdSec first appeared on IT-Connect.

Apple travaillerait sur le développement de nouveaux processeurs destinés à équiper des serveurs et conçus pour répondre aux besoins du domaine de l'Intelligence Artificielle. Voici ce que l'on sait !

Apple pourrait être un futur concurrent de poids pour NVIDIA sur le marché des serveurs et de l'IA, même s'il y a encore beaucoup de chemins à parcourir. Sur le réseau social chinois Weibo, un leaker surnommé "Phone Chip Expert" a révélé qu'Apple travaille en interne sur le développement de puces destinées à ce marché en pleine expansion et particulièrement juteux pour les entreprises.

Cette première puce d'Apple serait basée sur une gravure en 3 nm de TSMC. Basé à Taïwan, le géant TSMC est la plus importante fonderie de semi-conducteurs et la gravure en 3 nm correspond au procédé le plus avancé à l'heure actuelle. D'ailleurs, Apple profite déjà de ce type de gravure pour ses puces A17 Pro et M3. La gravure en 2 nm est attendue pour 2025, tandis que TSMC envisage de passer à la gravure en 1,6 nm en 2026.

Pour le moment, et pour des raisons de confidentialité et sécurité, Apple effectue les calculs liés à l'IA en local sur ses appareils. La puissance est plus limitée qu'avec l'usage du Cloud, ce qui pourrait freiner Apple à un moment donné. En produisant ses propres puces pour serveurs, Apple pourrait avoir une meilleure maitrise du matériel, et surtout, optimiser le matériel vis-à-vis des besoins de ses logiciels et services.

Ainsi, Apple pourrait s'appuyer sur le Cloud pour ses services liés à l'Intelligence Artificielle, tout en tirant profit de ses propres puces. Toujours d'après "Phone Chip Expert", un début de production en masse est prévu pour le second semestre 2025. D'ici à un ou deux ans, Apple pourrait commencer à déployer ses propres serveurs.

Les informations du leaker "Phone Chip Expert", bien que généralement fiables, sont à prendre avec précautions, car Apple ne s'est pas exprimé officiellement sur le sujet.

Source

The post Apple pourrait développer sa propre puce pour les serveurs et l’IA first appeared on IT-Connect.

Depuis novembre 2023, un groupe de pirates exploite 2 failles de sécurité zero-day présentes dans les firewalls Cisco pour compromettre des infrastructures gouvernementales dans le monde entier. Faisons le point sur cette menace.

Si vous utilisez un firewall Cisco ASA (Adaptive Security Appliance ou Cisco FTD (Firepower Threat Defense), vous devriez lire cette alerte de sécurité avec une attention particulière. Un groupe de pirates, traqués sous le nom UAT4356 par Cisco Talos, et STORM-1849 par Microsoft, a compromis des firewalls vulnérables au début du mois de novembre 2023, dans le cadre d'une campagne de cyberespionnage baptisée "ArcaneDoor".

Dans le cadre de ces attaques, le groupe de pirates a exploité deux vulnérabilités en tant que failles de sécurité zero-day :

• CVE-2024-20353 : un attaquant distant non authentifié peut provoquer un déni de service sur l'appareil.
• CVE-2024-20359 : un attaquant local authentifié peut exécuter un code arbitraire avec les privilèges "root", ce qui implique de compromettre l'appareil au préalable.

Ce n'est qu'en janvier 2024 que Cisco a pris connaissance de la campagne ArcaneDoor. Mais, d'après les chercheurs en sécurité de chez Cisco, les attaquants ont développé et testé des exploits pour ces deux failles zero-day en juillet 2023. Le vecteur d'attaque initial reste inconnu à ce jour.

Sur les appareils Cisco compromis et sur lesquels ils avaient la main, les pirates ont déployé des logiciels malveillants inconnus jusqu'ici. Le premier implant se nomme "Line Dancer" et il permet d'exécuter du code en mémoire pour désactiver la journalisation, activer l'accès distant ou encore exfiltrer les paquets capturés.

Le second implant se nomme "Line Runner" et il s'agit d'une porte dérobée persistante permettant l'exécution de code Lua sur les équipements, tout en étant discret et difficilement détectable.

Dans le rapport de Cisco Talos, nous pouvons lire : "UAT4356 a déployé deux portes dérobées dans le cadre de cette campagne, "Line Runner" et "Line Dancer", qui ont été utilisées collectivement pour mener des actions malveillantes sur la cible, notamment la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et, éventuellement, le déplacement latéral."

Cisco a publié des correctifs de sécurité

Cisco a mis en ligne des correctifs de sécurité pour permettre aux entreprises de se protéger de ces failles de sécurité importantes, déjà exploitées dans le cadre de la campagne de cyberespionnage menée par le groupe UAT4356.

"Cisco recommande vivement à tous ses clients d'effectuer une mise à niveau vers les versions logicielles patchées.", peut-on lire sur le site de Cisco.

En complément de l'installation du correctif de sécurité, Cisco vous recommande de surveiller les journaux de système à la recherche d'une activité suspecte. Il peut s'agir d'un redémarrage non programmé de l'appareil, d'un changement de configuration ou encore de connexions suspectes.

Source

The post Les pirates d’ArcaneDoor ont compromis les firewalls Cisco pour accéder à des réseaux gouvernementaux ! first appeared on IT-Connect.

Pendant 5 ans, des pirates sponsorisés par l'État chinois ont espionné le groupe automobile Volkswagen ! Pendant cette période, ils ont dérobé des milliers de documents confidentiels au sujet des futurs véhicules électriques de la marque, mais pas seulement...

19 000, c'est le nombre de documents qu'est parvenu à dérober un groupe de pirates, entre 2010 et 2015. Cette information a été révélée il y a quelques jours grâce à des journalistes allemands parvenus à obtenir des documents internes évoquant cet espionnage important. Pour être plus précis, le 20 avril 2024, les médias allemands ZDF et Der Spiegel ont publié des articles à ce sujet.

Un groupe de pirates lié à la Chine ?

Même si la Chine n'est pas directement accusée de cet acte de cyberespionnage, tout porte à croire qu'elle en est à l'origine. En effet, il y a plusieurs indices qui vont dans ce sens, notamment la méthodologie employée par les pirates et le fait que les adresses IP utilisées par les pirates soient associées à la Chine. Bien qu'il n'y ait pas de preuve réelle, voici ce que l'on peut lire dans l'article du média ZDF : "Nous avons pu remonter l'adresse IP jusqu'à Pékin, et même jusqu'à l'Armée populaire de libération (APL)."

Par ailleurs, les pirates ont utilisé deux logiciels espions habituellement utilisés par les acteurs étatiques chinois : "China Chopper" et "PlugX". Par exemple, China Chopper est un web shell découvert pour la première fois en 2012 et utilisé pour obtenir la persistance sur un système compromis.

À quoi correspondent les documents volés ?

Au total, les pirates auraient volé environ 19 000 documents. Mais, alors, à quoi correspondent-ils ? Au-delà des informations au sujet des véhicules électriques de Volkswagen, les pirates ont mis la main sur d'autres documents, car ce n'était pas leur cible initiale. Parmi les objectifs identifiés des pirates, il y avait :

• Le développement de moteurs à allumage commandé
• Le développement de boîtes de vitesses
• Les boîtes de vitesses à double embrayage

Par ailleurs, des documents relatifs aux boites de vitesses automatiques, aux travaux effectués sur les piles à combustibles ou encore l'e-Mobilité, ont été dérobés par les cybercriminels.

Cette affaire est clairement de l'espionnage industriel et les documents volés ont pu participer à donner un avantage concurrentiel à la Chine, si elle est bien à l'origine de cette attaque. Ceci est d'autant plus vrai que le groupe Volkswagen comprend également d'autres marques comme Audi, Lamborghini, MAN, Porsche, Skoda et Bentley.

Source

The post Pendant 5 ans, la Chine a espionné le groupe Volkswagen : 19 000 documents ont été volés ! first appeared on IT-Connect.

L'entreprise Hive Systems a mis en ligne la nouvelle version de son étude permettant de connaître le temps nécessaire pour "brute forcer" un mot de passe, c'est-à-dire le casser, le deviner quoi ! Alors vos mots de passe sont-ils en vert ? Réponse dans cet article !

L'algorithme bcrypt et le matériel utilisé pour les tests

Avant d'évoquer les résultats et cette fameuse matrice "Password Table", évoquons la méthodologie utilisée par les équipes de Hive Systems. Jusqu'ici, les tests étaient effectués sur des hashs de mots de passe chiffrés avec l'algorithme MD5 : ce qui n'était pas cohérent et représentatif, car il est obsolète. Mais, si Hive Systems se basait sur cet algorithme, c'est parce qu'il était encore massivement utilisé. Désormais, la "Password Table" indique le temps qu'il faut pour casser un mot de passe chiffré avec bcrypt, et non md5.

"MD5 a régné en maître pendant plusieurs années, mais bcrypt a pris la tête en 2020, 2021, 2023 et, jusqu'à présent, en 2024.", ce qui justifie le fait de basculer de md5 vers bcrypt.

Le matériel utilisé reste le même entre cette édition 2024 et l'édition 2023 : 12 cartes graphiques (GPU) RTX 4090, ce qui représente une puissance très élevée ! Hive Systems estime a fait le choix de ce matériel, car c'est "la meilleure configuration matérielle accessible au grand public." - En complément, des résultats sont donnés pour des configurations beaucoup plus musclées basées sur des GPU A100, notamment utilisées pour l'IA.

Oubliez les mots de passe de 8 caractères

À partir de différentes configurations matérielles, d'une simple RTX 2080 à une configuration monstrueuse de 10 000 GPU A100 (ChatGPT), Hive Systems a essayé de casser des mots de passe de 8 caractères plus ou moins complexes, aussi bien avec le md5 que le bcrypt. Ces résultats prouvent que le bcrypt est plus robuste que le md5, mais il montre aussi les limites des mots de passe de 8 caractères.

Voici le comparatif, avec md5 au-dessus, et bcrypt en dessous :

La matrice Password Table de 2024

Alors, en 2024, combien de temps faut-il pour casser un mot de passe ? Bien entendu, cela dépend de la longueur de ce mot de passe et du type de caractère.

Pour être "dans le vert", selon la matrice d'Hive Systems, le mot de passe doit être d'au moins 13 caractères et utiliser 4 types de caractère (nombres, majuscules, minuscules et symboles) car il faudra 11 milliards d'années pour le casser. Il faudra surement beaucoup moins de temps avec du matériel encore plus performant.

Au-delà des types de caractère, cette matrice met en avant l'importance de la longueur des mots de passe. Un mot de passe de 14 caractères, avec uniquement des lettres minuscules et majuscules, sera cassé en 766 000 années. Pour utiliser seulement ces deux types de caractère et "être dans le vert", comptez 17 caractères minimum : c'est facilement atteignable avec une passphrase.

Voici la fameuse matrice de 2024 :

Vous pouvez accéder à l'étude complète et au téléchargement en haute définition de cette Password Table en visitant cette page.

Une nouvelle fois, ce type d'étude m'encourage à vous recommander l'utilisation de passphrases plutôt que de mots de passe.

• Pourquoi faut-il préférer les passphrases aux mots de passe ?

Que pensez-vous de cette étude ?

The post En 2024, combien de temps faut-il pour casser un mot de passe ? first appeared on IT-Connect.

Le menu Démarrer de Windows 11 va accueillir des publicités pour mettre en avant des applications tierces. Ce changement est imminent, car il vient d'être ajouté par la mise à jour optionnelle d'avril 2024 : KB5036980. Faisons le point.

Après l'installation de la mise à jour KB5036980 sur Windows 11 23H2, le système passe sur la Build 22631.3527. Par ailleurs, si vous installez la même mise à jour sur Windows 11 22H2, le système passera sur la Build 22621.3527.

Le menu Démarrer de Windows 11 ne va pas lister uniquement vos documents et vos applications, il va aussi lister des applications tierces mises en avant par Microsoft. Il s'agit de publicités intégrées directement au menu Démarrer pour promouvoir les applications des entreprises ayant payé Microsoft pour cela. Par exemple, il y aura des publicités pour le navigateur Opera et 1Password Manager.

Peut-on éviter ce changement ?

Si vous n'installez pas la mise à jour KB5036980 sur votre PC, vous ne verrez pas de publicités dans le menu Démarrer de Windows 11. Enfin, pour le moment, car cette mise à jour donne un aperçu des changements à venir le mardi 14 mai 2024. Date à laquelle Microsoft va dévoiler son nouveau Patch Tuesday et publier les nouvelles mises à jour cumulatives mensuelles, qui elles sont obligatoires (et recommandées).

Ce changement était attendu, car Microsoft l'a déjà évoqué, mais il semble être déployé plus tôt que prévu. En effet, Microsoft devait activer l'affichage des publicités sur Windows 11 à partir de la fin du mois de mai (avec une mise à jour optionnelle), afin de les activer pour tout le monde avec la mise à jour cumulative de juin 2024. Microsoft a visiblement pris un mois d'avance sur son planning initial.

Néanmoins, bien que cette fonctionnalité soit activée par défaut, elle peut être désactivée dans les paramètres du système. Il conviendra de désactiver l'option nommée "Afficher des recommandations pour les conseils, les raccourcis, les nouvelles applications, etc." présente dans : Paramètres, Personnalisation, Démarrer.

Source

The post La mise à jour KB5036980 pour Windows 11 active les publicités dans le menu Démarrer ! first appeared on IT-Connect.

Le 23 avril 2024, Microsoft a publié plusieurs "Hotfix Updates" (HU) pour les serveurs de messagerie Microsoft Exchange. Elles permettent de corriger plusieurs problèmes rencontrés par les utilisateurs et ajoutent de nouvelles fonctionnalités. Voici ce qu'il faut savoir.

La firme de Redmond a publié de nouvelles mises à jour Hotfix pour Microsoft Exchange Server. Ils permettent d'ajouter deux fonctionnalités au serveur de messagerie et de sept problèmes connus.

Voici les deux fonctionnalités ajoutées :

• Prise en charge des certificats ECC (Elliptic Curve Cryptography - Cryptographie à Courbe Elliptique) dans Exchange Server 2016 et 2019. Voir cette page de la documentation Microsoft, pour en savoir plus.
• Prise en charge de l'authentification hybride moderne (HMA) pour Outlook Web (OWA) et ECP dans Exchange Server 2019 CU14 (uniquement à partir de cette version). Voir cette page de la documentation Microsoft, pour en savoir plus.

Microsoft a corrigé des bugs reportés par les utilisateurs d'Exchange suite à l'installation des mises à jour de sécurité de Mars 2024. Les bugs listés ci-dessous sont désormais corrigés :

• Les domaines de téléchargement ne fonctionnent pas
• Erreur "We can't open this document" dans OWA
• Erreur de recherche dans le mode cache d'Outlook
• OwaDeepTestProbe et EacBackEndLogonProbe échouent
• L'option "Edit permissions" dans l'ECP ne fonctionne pas
• Outlook n'affiche pas l'icône d'enveloppe non lue
• Le module complémentaire Mes modèles ne fonctionne pas
• Les calendriers publiés pourraient ne pas fonctionner avec une erreur "Ce calendrier n'est pas disponible"

Par ailleurs, Microsoft doit encore un bug connu, comme le précise l'article mis en ligne par l'entreprise américaine : "L'impression du calendrier dans OWA peut ne pas fonctionner si le raccourci clavier CTRL+P est utilisé. Nous corrigerons ce problème dans une prochaine mise à jour.".

Avril 2024 - Les mises à jour Hotfix d'Exchange Server

Voici la liste des mises à jour Hotfix publiées par Microsoft pour les serveurs de messagerie Exchange :

• Exchange Server 2019 CU13 et CU14
• Exchange Server 2016 CU23

Avant d'installer ce Hotfix, vous devez utiliser l'une des Cumulative Update (CU) mentionnée dans la liste ci-dessus. Enfin, il est à noter que ces correctifs et fonctionnalités seront également inclus dans les futures mises à jour cumulatives pour Exchange Server 2019. Cela signifie que si vous n'êtes pas impacté par les bugs listés ci-dessus et que vous n'avez pas besoin des nouvelles fonctionnalités, vous pouvez patienter.

Source

The post Microsoft a publié des correctifs pour Exchange : 7 bugs corrigés et 2 fonctionnalités ajoutées ! first appeared on IT-Connect.

Tarn : la Ville d'Albi est actuellement victime d'une cyberattaque qui est déroulée dans la nuit de dimanche à lundi ! Certains services sont inaccessibles suite à cet incident de sécurité. Voici ce que l'on sait !

La Ville d'Albi a été ciblée par une cyberattaque qui s'est déroulée dans la nuit du dimanche 21 avril au lundi 22 avril 2024. Sur ses réseaux sociaux, notamment sur Facebook, la Ville d'Albi précise : "La Ville d’Albi est victime depuis ce lundi 22 avril 2024 à 6h du matin d’une attaque informatique."

Sans surprise, cette cyberattaque perturbe les activités des services publics de la Ville d'Albi (Mairie, Police municipale, État civil, Urbanisme, etc.), et directement, les Albigeoises et les Albigeois. Le communiqué officiel donne quelques précisions à ce sujet : "Les numéros de téléphone habituels, les mails et les services informatiques du quotidien sont inaccessibles pour une durée indéterminée." - Ce qui n'est pas étonnant, car l'accès à Internet a probablement été désactivé volontairement suite à cette intrusion.

D'après des propos relayés par le site La Dépêche, un agent a évoqué un retour au papier et au stylo, en indiquant que "Tout a été crypté" pour reprendre les termes exacts qu'il a utilisés. S'il y a réellement eu un chiffrement des données, cela signifierait que la Ville d'Albi serait victime d'une attaque par ransomware. Il s'agit là que d'une hypothèse, car aucune information officielle n'a été publiée quant à l'origine de cette attaque.

De son côté, un syndicat a évoqué la paie des agents : s'il y a une perte de données, la paie sera identique au mois dernier et une régularisation sera effectuée plus tard. Un représentant du personnel a indiqué que cette décision avait été prise en accord avec le Trésor public.

En attendant, les équipes techniques doivent identifier l'origine de cette cyberattaque et restaurer les services afin qu'ils soient de nouveau en ligne. D'ailleurs, en réponse à cet incident de sécurité, la Ville d'Albi a sollicité l'aide de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), habituée à gérer ce type d'événement.

Récemment, ce sont la ville de Saint-Nazaire et son agglomération qui ont subi une cyberattaque, ainsi que l'hôpital Simone Veil de Cannes.

The post La Ville d’Albi victime d’une cyberattaque ! first appeared on IT-Connect.

Proton s'intéresse à la surveillance du Dark Web pour détecter les éventuelles fuites de données impliquant les utilisateurs de la solution Proton Mail. Faisons le point sur cette nouveauté !

La solution Proton Mail s'enrichit d'une nouvelle fonctionnalité permettant de protéger encore un peu plus ses utilisateurs grâce à la détection et l'analyse des fuites de données présentes sur le Dark Web.

Si par malheur, votre adresse e-mail Proton Mail est identifiée dans une fuite de données, vous recevrez une alerte dans le Centre de sécurité Proton Mail de votre compte. Celle-ci vous indiquera précisément quelles sont les informations personnelles compromises et la source de la fuite de données.

En complément, des recommandations sur la manière dont les utilisateurs peuvent se protéger seront intégrées. Autrement dit, cela vous permettra d'être réactif et de procéder à un changement immédiat de votre mot de passe sur le service impacté (et les éventuels autres services où vous utilisez le même mot de passe...).

"La détection de fuites d’identifiants vient compléter le chiffrement de bout en bout éprouvé de Proton Mail et avertit les utilisateurs en cas de brèche d'un service tiers pour lequel ils auraient utilisé leur adresse Proton Mail pour s'inscrire.", peut-on lire dans le communiqué de presse officiel. Par exemple, si vous utilisez votre adresse Proton Mail pour vous inscrire sur le service "XYZ" et que ce dernier est victime d'une fuite de données publiée sur le Dark Web, vous en serez informé.

Grâce à cette nouveauté, Proton Mail souhaite protéger ses utilisateurs et leurs données, mais aussi limiter les pertes financières : "En identifiant en informant rapidement les utilisateurs des informations d'identification compromises, Proton peut aider à prévenir les pertes financières résultant du vol d'identité et de la fraude.", peut-on lire.

Précision importante : cette nouvelle fonctionnalité sera accessible à tous les utilisateurs qui ont un abonnement payant à Proton Mail. Si vous utilisez la version gratuite de Proton Mail, vous ne pourrez pas en bénéficier. Pour en savoir plus, vous pouvez consulter cette page du blog de Proton Mail.

Dernièrement, Proton a lancé son application de bureau pour son service Proton Mail et la prise en charge des passkeys a été ajoutée à Proton Pass.

Source : communiqué de presse.

The post Proton Mail va détecter les fuites d’identifiants sur le Dark Web pour alerter ses utilisateurs first appeared on IT-Connect.

Grâce à la boutique en ligne Apple Store et à une option d'achat bien précise, des cybercriminels sont parvenus à s'emparer de plus de 400 000 dollars en 2 ans. Mais, comment ont-ils fait ?

À l'occasion d'une conférence organisée à l'événement Black Hat Asia, Gyuyeon Kim et Hyunho Cho, deux chercheurs de l’Institut de sécurité financière de Corée du Sud, ont dévoilé une vaste opération menée par des cybercriminels. Cette présentation baptisée "Operation PoisonedApple" est le fruit de plusieurs mois d'enquête.

Tout d'abord, les chercheurs ont identifié une vague de piratages ciblant une cinquantaine de centres commerciaux en ligne, notamment au Japon, grâce à l'utilisation d'une technique bien connue : le phishing. Les pages mises en ligne sont des copies des sites officiels et sont utilisés par les cybercriminels pour voler des informations personnelles au sujet des victimes, ainsi que leurs coordonnées bancaires.

"Ces groupes de cybercriminels ont utilisé diverses stratégies d'évasion pour empêcher la détection de leurs pages d'hameçonnage par les administrateurs de sites et les utilisateurs, en utilisant de multiples vulnérabilités et outils.", précise le rapport des chercheurs.

Au fil des mois, les pirates sont parvenus à collecter de nombreux numéros de cartes bancaires. Ils se sont alors demandés comment les utiliser sans attirer l'attention des forces de l'ordre ? C'est là que l'Apple Store entre en jeu.

Utilisation de petites annonces et de l'Apple Store

Pour commencer, les pirates ont publié des annonces en ligne sur un site de vente de matériel d'occasion situé en Corée du Sud. Nous pouvons imaginer que c'est l'équivalent du site « Leboncoin ». Par l'intermédiaire de ces annonces, ils ont proposé des produits Apple à des prix réduits : iPhone, Apple Watch, AirPods, etc. Compte tenu de l'attractivité des offres, de nombreux internautes ont contacté les pirates, sans le savoir, par l'intermédiaire de ces annonces.

Dès qu'un internaute effectuait un achat, les cybercriminels se servaient d'un numéro de carte bancaire volé pour commander le produit en ligne directement sur l'Apple Store. Au moment de passer la commande, les pirates ont pris soin de cocher l’option « Someone-else pickup » pour permettre à un tiers de retirer la commande ! Et là, ce fameux tiers déclaré, c'est l'acheteur qui a utilisé le site de vente de matériel d'occasion !

Finalement, l'argent de la première victime est utilisée pour passer cette commande sur l'Apple Store tandis que les pirates empochent l'argent via le site de petites annonces grâce à la seconde victime. D'ailleurs, elle ne dira rien, car elle va récupérer du matériel flambant neuf à prix réduit, tout en ignorant que la commande a été réglée avec un numéro de cartes volé...

Ce stratagème a permis aux cybercriminels de voler 400 000 dollars en deux ans. D'après les chercheurs en sécurité, les attaques sont toujours en cours et les pirates cherchent de nouvelles cibles. De son côté, Apple, refuse de coopérer en raison de réglementations internes et toujours dans la volonté de protéger la vie privée de ses utilisateurs.

Source

The post 400 000 dollars volés par des pirates en exploitant l’Apple Store first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à gérer le groupe "Administrateurs" local des appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune. Ceci s'avère particulièrement utile pour ajouter un utilisateur ou un groupe Entra ID (Azure AD) en tant qu'administrateur d'un ensemble d'appareils.

Le groupe "Administrateurs" présent sur chaque machine Windows est particulièrement sensible, car tous les membres de ce groupe peuvent administrer l'ordinateur : installation d'applications, modification des paramètres du système, etc... De ce fait, il est important de gérer les membres de ce groupe afin d'en garder la maitrise et la gestion centralisée par une stratégie permet d'avoir une configuration homogène.

• Cliquez ici pour regarder la vidéo sur YouTube

Dans un environnement on-premise basé sur Active Directory et sans Intune, nous pouvons nous appuyer sur les stratégies de groupe (GPO) :

• Gérer le groupe Administrateurs local par GPO

Mais aujourd'hui, c'est bien la gestion à partir de Microsoft Intune et les options disponibles dans Microsoft Entra ID qui vont nous intéresser !

• Comment débuter avec Intune ?

II. La configuration cible

Il me semble important de vous présenter la configuration cible présentée dans ce tutoriel, car les possibilités sont nombreuses ! En effet, vous verrez que vous avez l'opportunité d'ajouter des membres au groupe "Administrateurs" sans toucher aux membres déjà présents, ou à l'inverse de le purger pour ajouter les membres présents dans la stratégie Intune que nous allons créer.

En ce qui me concerne, voici la configuration que je souhaite déployer :

Nous allons créer un groupe de sécurité nommé "Admins_PC" dans Entra afin que tous les membres de ce groupe soient en mesure d'administrer les appareils Windows 10 et Windows 11 de notre parc informatique.

De plus, nous souhaitons supprimer tous les membres présents dans le groupe "Administrateurs", sauf les utilisateurs locaux nommés "adm_itconnect" et "Administrateur" (qui lui est désactivé par une autre stratégie et ne peut pas être retiré aussi simplement de ce groupe). L'utilisateur "adm_itconnect" quant à lui est géré par Windows LAPS.

Vous allez me dire : pourquoi supprimer les membres déjà présents du groupe "Administrateurs" ? Tout simplement, car je souhaite entièrement maîtriser les membres de ce groupe et je ne souhaite pas que le propriétaire de l'appareil, qui est un utilisateur lambda, soit Administrateur local de la machine.

• Configurer Windows LAPS avec Intune

III. Le propriétaire de l'appareil est administrateur local

Lorsqu'un appareil est joint Entra ID par un utilisateur, ce dernier devient automatiquement administrateur local de la machine Windows. La configuration que nous allons effectuer aujourd'hui va permettre de l'exclure ou de le conserver, en fonction des valeurs associées aux paramètres.

Récemment, Microsoft a introduit deux nouveaux paramètres dans la section "Paramètres de l'appareil" accessible via le portail Microsoft Entra puis "Appareils".

• Le rôle Administrateur général est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)

Ce paramètre permet d'indiquer si oui ou non, un Administrateur général du tenant doit être ajouté en tant qu'administrateur local d'un appareil au moment de la jonction à Microsoft Entra ID. Tout dépend de vos besoins et votre façon de gérer votre SI, mais pour des raisons de sécurité et dans l'objectif de cloisonner les rôles, il est préférable qu'un Administrateur général ne soit pas également administrateur des appareils. Cette option offre plus de contrôle, même si ce n'est pas rétroactif pour les appareils déjà inscrits.

• L’utilisateur qui inscrit son appareil est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)

Ce paramètre permet d'indiquer si oui ou non, l'utilisateur à l'origine de l'inscription de l'appareil doit être ajouté en tant qu'administrateur local sur cet appareil, au moment de la jonction à Microsoft Entra ID. Ceci n'est pas rétroactif pour les appareils déjà inscrits, mais au moins, cela vous permet de faire votre choix pour l'avenir.

Voici un aperçu de ces deux paramètres :

IV. Gérer les administrateurs des appareils : deux solutions

Avant de commencer, sachez que les utilisateurs avec le rôle "Administrateur général" pourront administrer les appareils, et que vous pouvez gérer le groupe "Administrateurs" local de deux façons :

• Avec l'attribution du rôle "Administrateur local de l’appareil joint Microsoft Entra" d'Entra

Cette méthode peut s'avérer pratique, mais elle n'est pas flexible : les membres de ce groupe seront administrateurs de tous les appareils.

• Avec une stratégie de sécurité Intune

Cette méthode, que nous allons mettre en place, offre plus de flexibilité, car nous pouvons cibler uniquement un ensemble d'appareils (affectation par groupe) ou tous les appareils.

V. Préparer le groupe de sécurité Entra ID

À partir du portail Microsoft Entra, nous allons créer un groupe de sécurité. Cliquez sur "Tous les groupes" sous "Groupes" puis cliquez sur "Nouveau groupe". Ce groupe de sécurité s'appellera "Admins_PC" et il aura un membre : l'utilisateur qui doit être administrateur local des appareils.

• Accéder au centre d'administration Entra

Validez la création du groupe de sécurité. Nous pouvons passer à la création de la stratégie Intune.

VI. Créer la stratégie Intune

Désormais, nous allons basculer sur le Centre d'administration Microsoft Intune pour créer une nouvelle stratégie.

• Accéder au Centre d'administration Intune

Remarque : si vous avez besoin de gérer le groupe "Administrateurs" local de machines jointes dans Entra ID (Azure AD) mais aussi pour des machines "hybrides", vous devez configurer deux stratégies distinctes. Ceci permettra d'éviter certaines erreurs d'application de la stratégie.

Cliquez sur la gauche sur "Sécurité du point de terminaison" (1), puis sur "Protection de compte" (2) afin de pouvoir "Créer une stratégie" (3). C'est également de cette façon que l'on peut définir une stratégie pour Windows LAPS.

Choisissez la plateforme "Windows 10 et ultérieur", puis sélectionnez le profil "Modifier l'appartenance du groupe de l'utilisateur".

Commencez par ajouter un nom et une description à cette stratégie. Dans cet exemple, la stratégie est nommée "Ajouter le groupe Admins_PC en administrateur local". Passez à l'étape suivante.

L'étape "Paramètres de configuration" va nous permettre de gérer les membres du groupe Administrateurs, mais pas seulement ! En effet, nous pouvons voir qu'Intune offre la possibilité de gérer également d'autres groupes prédéfinis : Utilisateurs, Invités, Utilisateurs du Bureau à distance, etc...

Nous allons simplement sélectionner "Administrateurs" pour répondre à notre besoin.

Ensuite, nous devons configurer d'autres paramètres :

• Action du groupe et de l'utilisateur : quelle stratégie adopter pour gérer le compte administrateur, notamment vis-à-vis des objets déjà membres de ce groupe. Trois choix sont proposés :
  • Ajouter (mettre à jour) : ajouter de nouveaux membres, tout en conservant la liste actuelle des membres (donc on conserve l'existant)
  • Supprimer (mettre à jour) : supprimer les membres spécifiés, tout en conservant les autres membres (utile pour faire du tri)
  • Ajouter (remplacer) : supprimer les membres actuels et ajouter ceux définis dans cette stratégie
• Type de sélection de l'utilisateur :
  • Utilisateurs/groupes : sélectionner des utilisateurs et/ou groupes à partir d'Entra ID
  • Manuel : ajouter des utilisateurs en spécifiant le nom (avec éventuellement le domaine Active Directory en préfixe) ou le SID
• Utilisateurs/groupes sélectionnés : choisir les objets à ajouter en tant que membre du groupe Administrateurs

Nous allons choisir "Ajouter (remplacer)" pour ajouter le groupe "Admins_PC" en tant que nouveau membre du groupe "Administrateurs", tout en supprimant l'existant.

• Microsoft Learn - Manage local groups on Windows devices

Ensuite, nous devons choisir "Manuel" comme "Type de sélection de l'utilisateur" afin de pouvoir spécifier à la fois le groupe "Admins_PC" d'Entra par l'intermédiaire de son SID et les utilisateurs locaux.

Pour récupérer le SID du groupe "Admins_PC", vous pouvez utiliser cet outil en ligne ou ce script PowerShell afin de convertir l'ObjectID en SID. À partir du portail Entra, récupérez la valeur de "ID d'objet" et collez cette valeur sur la page de l'outil afin d'obtenir le SID. Vu que nous sommes en mode manuel, nous sommes contraint d'utiliser cette méthode.

Note : si vous désirez faire un ajout d'un groupe sans écraser l'existant, vous pouvez rester sur "Utilisateurs/groupes" et cliquer sur "Sélectionner des utilisateurs/groupes" pour sélectionner directement le groupe dans Entra ID.

Voici la configuration obtenue. Attention, n'ajoutez pas plusieurs instructions "Ajouter (remplacer)" pour le même groupe local, sinon la seconde règle écrasera la première règle.

Nous pouvons continuer... Jusqu'à l'étape n°4.

Vous devez choisir à quels appareils affecter cette stratégie, en fonction de vos besoins. Sélectionnez un ou plusieurs groupes d'appareils, ou utilisez l'option "Ajouter tous les appareils".

Poursuivez jusqu'à la fin dans le but de créer la stratégie. La stratégie est prête !

VII. Tester la stratégie Intune

La prochaine étape consiste à tester cette stratégie Intune sur un appareil. Voici l'état actuel de la machine Windows 11 utilisée pour faire le test, c'est-à-dire avant application de notre nouvelle stratégie de protection de compte.

Après avoir synchronisé l'appareil, nous pouvons voir qu'il a bien récupéré une stratégie "LocalUsersAndGroups", ce qui est plutôt bon signe.

Pour vérifier la liste des membres du groupe "Administrateurs", il suffit d'accéder à la console "Gestion de l'ordinateur" (comme dans l'exemple ci-dessous).

Ici, nous remarquons plusieurs valeurs, notamment deux comptes locaux : "adm_itconnect" et "Administrateurs". En plus, nous avons un SID qui est présent et la traduction avec le nom n'est pas effectuée. Toutefois, il faut savoir que tout SID que vous voyez dans le groupe "Administrateurs" commençant par "S-1-12-1" correspond à un groupe Entra ID (Azure AD).

Pour faire la correspondance entre ce SID et les groupes dans Entra ID, nous pouvons utiliser ce script PowerShell (ou ce site).

Si nous prenons l'exemple du script, il suffit d'indiquer le SID comme valeur de la variable "$sid" située à la fin du script. Par exemple :

$sid = "S-1-12-1-1988770664-1177204149-432340104-2926107448"

Puis, il faut exécuter la fonction PowerShell pour obtenir le "GUID" (ObjectId) du groupe :

Guid
----
768a3b68-b5b5-462a-88fc-c41938db68ae

Ainsi, dans le portail Entra, nous pouvons voir que cet ID correspond bien au groupe "Admins_PC". Vous pouvez copier-coller l'objectID dans la zone de recherche pour gagner du temps !

Nous pouvons en conclure que la configuration fonctionne ! Tous les utilisateurs membres du groupe "Admins_PC" seront administrateurs des appareils.

VIII. Conclusion

Grâce à ce tutoriel, vous pouvez gérer les membres du groupe "Administrateurs" de vos appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune relativement simple à mettre en place ! Cette stratégie peut être utilisée avec des appareils "Joined", mais aussi en environnement hybride lorsque les appareils sont inscrits en "Hybrid Joined".

Pour aller plus loin, vous pouvez configurer Windows LAPS pour sécuriser le compte Administrateur local :

• Configurer Windows LAPS avec Intune
• Configurer Windows LAPS par GPO

The post Intune – Gérer le groupe « Administrateurs » local des machines Windows first appeared on IT-Connect.

Microsoft a apporté une modification importante sur la version Web de son magasin d'applications Microsoft Store. Désormais, vous pouvez directement télécharger les exécutables des applications sur votre PC Windows 10 ou Windows 11. Faisons le point sur ce changement.

C'est par l'intermédiaire de Rudy Huyn, Principal Architect chez Microsoft, que cette mise à jour de la version web du Microsoft Store a été mise en lumière. Désormais, lorsque vous visitez le Microsoft Store dans sa version web, via le site "apps.microsoft.com", vous pouvez directement télécharger l'exécutable d'une application, ce qui fluidifie l'installation d'applications à partir de la version web.

Jusqu'à présent, pour installer une application depuis la version web, il fallait cliquer sur le bouton "Installer", puis cliquer sur "Ouvrir Microsoft Store", et confirmer l'installation avec le bouton "Installer". La présence de ce second bouton installer étant là pour s'assurer que l'installation est initiée par l'utilisateur, et non par un script potentiellement malveillant. Néanmoins, "les feedbacks des utilisateurs ont indiqué que le processus d'installation comportait trop de clics.", peut-on lire dans le tweet posté sur X (Twitter) par Rudy Huyn.

Télécharger l'exécutable d'une application du Microsoft Store

Depuis plusieurs mois, Microsoft travaille sur un changement pour rendre plus simple et plus direct l'installation d'une application depuis la version web. Désormais, le fait de cliquer sur "Installer" permet d'obtenir un package au format ".exe" qui contient le code de l'application et permet de l'installer une fois le téléchargement effectué. Ainsi, nous passons de 3 clics à 2 clics, sans pour autant négliger l'aspect sécurité, car Microsoft a pris des précautions.

L'autre avantage de cette évolution, c'est qu'elle facilite le téléchargement des packages exécutables des applications publiées sur le Microsoft Store. Ainsi, il représente une source fiable pour télécharger des paquets d'installations de nombreuses applications depuis un seul endroit.

Augmenter le nombre d'installations effectuées à partir du Microsoft Store

Si la firme de Redmond a effectué cette modification, c'est également pour qu'il y ait un meilleur taux de conversion pour qu'il y ait plus d'installations.

Une enquête a été menée sur les 5 derniers mois et voici les résultats observés par Microsoft : "Cette nouvelle méthode d'installation des applications du magasin a entraîné, en moyenne, une augmentation de 12 % des installations et de 54 % du nombre d'applications lancées après l'installation."

Les résultats étant positifs, Microsoft a pris la décision d'étendre la disponibilité de cette nouveauté à tous les utilisateurs de Windows 10 et Windows 11.

Source

The post À partir de la version web du Microsoft Store, vous pouvez télécharger les exécutables d’applications ! first appeared on IT-Connect.

Utilisée par des centaines de milliers de sites WordPress, l'extension Forminator contient une faille de sécurité critique permettant à un attaquant de charger un fichier malveillant sur le serveur où est hébergé le site web. Faisons le point sur cette menace.

L'extension Forminator, développée par WPMU DEV, sert à ajouter des formulaires de différents types à WordPress, dont des formulaires de paiements, ainsi que des quiz et des sondages.

Le CERT du Japon a mis en ligne un bulletin d'alerte au sujet de la faille de sécurité critique CVE-2024-28890 présente dans Forminator et associée à un score CVSS v3 de 9.8 sur 10. "Un attaquant distant peut obtenir des informations sensibles en accédant aux fichiers du serveur, modifier le site qui utilise le plugin et provoquer un déni de service.", peut-on lire.

Par ailleurs, ce n'est pas la seule faille de sécurité évoquée, puisqu'il y en a deux autres avec une sévérité inférieure : la CVE-2024-31077, une injection SQL qui implique d'être administrateur du site WordPress pour être exploitée, et la CVE-2024-31857 (une vulnérabilité de type XSS).

Comment se protéger ?

Pour se protéger de ces trois failles de sécurité, vous devez installer Forminator 1.29.3. Cette version a été publiée le 8 avril 2024. L'extension Forminator compte plus de 500 000 installations actives, et depuis le 8 avril 2024, elle a été téléchargée environ 180 000 fois. Ce qui signifierait que la mise à jour de sécurité n'a pas été déployé sur environ 320 000 sites WordPress et qu'ils sont vulnérables à une attaque.

Pour le moment, rien n'indique qu'elles sont exploitées dans le cadre d'attaques. Néanmoins, cela pourrait évoluer compte tenu de la popularité de cette extension et du nombre de cibles potentielles.

En résumé : si vous utilisez l'extension Forminator sur votre site WordPress, vous devez passer sur la version 1.29.3 le plus rapidement possible pour vous protéger de ces 3 vulnérabilités.

Source

The post Environ 300 000 sites WordPress menacés par une faille de sécurité critique dans Forminator ! first appeared on IT-Connect.

Opération de rebranding dans le monde de la cybercriminalité : le gang de ransomware HelloKitty devient HelloGookie ! À cette occasion, des informations sensibles issues de précédentes piratages ont été publiées, ainsi que des clés de déchiffrement ! Faisons le point.

Le ransomware HelloKitty a été lancé en novembre 2020 et il est connu pour s'introduire dans le réseau d'entreprises dans le but de chiffrer les données et les systèmes, ainsi que voler de données. À l'origine de nombreuses cyberattaques, le ransomware HelloKitty est capable de chiffrer les machines virtuelles des hôtes VMware ESXi.

Désormais, HelloKitty va laisser sa place à HelloGookie ! C'est celui que l'on appelle "Gookee/kapuchin0" et qui prétend être le créateur du ransomware HelloKitty, qui a fait cette annonce il y a quelques jours. Un nouveau « site vitrine » a été mis en ligne pour le ransomware HelloGookie. À l'heure actuelle, ce site ne référence aucune victime. Malheureusement, cela risque d'évoluer...

Des données et des clés de déchiffrement divulguées !

Pour célébrer ce nouveau départ, Gookee a publié quatre clés de déchiffrement qui peuvent être utilisées pour récupérer des fichiers chiffrés lors de précédentes attaques ! Ceci devrait permettre à certaines victimes de déchiffrer leurs données, et ce gratuitement. Un outil de déchiffrement pourrait être publié dans les prochains jours.

Il a également publié des informations internes volées à l'entreprise Cisco, lors d'une attaque en 2022. Mais, ce n'est pas tout, puisqu'il a aussi mis en ligne des données issues du piratage de CD Projekt Red en 2021 : des mots de passe pour accéder au code source de Gwent, Witcher 3 et Red Engine.

À l'époque, cette cyberattaque avait fait beaucoup de bruit : les cybercriminels étaient parvenus à chiffrer les serveurs de l'entreprise CD Projekt Red, un studio de développement polonais à l'origine de plusieurs gros titres, dont Cyberpunk 2077.

Suite à la publication de ces données, un groupe de développeurs s'est penché sur le sujet. Ils sont parvenus à partager des captures d'écran et des vidéos de la version de développement de Witcher 3, après avoir réussi à compiler le jeu à partir du code source divulgué. C'est surtout pour le fun, car ce jeu est disponible depuis plusieurs années.

Source

The post Le ransomware HelloKitty change de nom, et publie des données et des clés de déchiffrement ! first appeared on IT-Connect.