Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Bon plan chez GoDeal24 : Office 2021 Pro à partir de 15€, Windows 11 Pro à partir de 11€

7 mars 2024 à 13:07

Notre partenaire GoDeal24 vient de lancer une nouvelle vente flash spéciale "Microsoft Office" ! A cela s'ajoutent d'autres offres synonymes de tarifs réduits sur les licences Windows 10, Windows 11, mais aussi sur certains logiciels (hors Microsoft).

Si vous aviez manqué les précédentes ventes flash, alors voilà l'occasion de vous rattraper. Sachez que vous pouvez retrouver toutes les offres de cette vente flash spéciale Office sur cette page. Il y a également des offres pour des licences pour 50 ou 100 machines, ce qui est assez rare.

⭐ Microsoft Office pour 1, 2 ou 5 ordinateurs, pour Windows ou Mac

⭐ Windows 10 ou Windows 11 : à vous de choisir !

Voici les offres pour Windows 11 :

Voici les offres pour Windows 10 :

A ce jour, la mise à niveau de Windows 10 vers Windows 11 reste gratuite et Windows 10 est pris en charge par Microsoft jusqu'en octobre 2025.

⭐ Bundles Windows + Office

Vous devez utiliser le code promo "GG62" pour bénéficier de ces tarifs.

⭐ Des licences pour 50 ou 100 PC

⭐ Visio, Project, Visual Studio 2022 et Windows Server

Pour bénéficier des offres ci-dessus, veuillez utiliser le code suivant : GG50.

⭐ Bonus : des logiciels à prix réduits

Plus d'offres sur les logiciels sur cette page !

Au sujet des licences

GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieue la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.

Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 94% d'évaluations 5 étoiles pour GoDeal24.

Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante : [email protected]

The post Bon plan chez GoDeal24 : Office 2021 Pro à partir de 15€, Windows 11 Pro à partir de 11€ first appeared on IT-Connect.

Nouvelles offres chez GoDeal24 : Office 2021 Pro à 26.75€, Windows 11 Pro à 13.55€

28 février 2024 à 17:23

Dans cet article, découvrez la vente flash de l'hiver 2024 proposée par notre partenaire GoDeal24 ! Le tarif des licences Microsoft et de certains logiciels est très intéressant !

Noël et les soldes de janvier sont loin derrière nous, et pourtant, nous avons aujourd'hui l'opportunité d'acheter des licences à prix réduit : Microsoft Office, Windows 10, Windows 11, etc... Les offres sont nombreuses ! Sachez que vous pouvez retrouver toutes les offres de cette vente flash sur cette page.

⭐ Microsoft Office, Visio et Project en tête d'affiche !

Pour profiter des offres ci-dessus, utilisez le code promo "VDL62".

⭐ Windows 10, Windows 11, et même Windows Server 2022 : c'est vous qui choisissez !

Pour profiter des offres ci-dessus, utilisez le code promo "VDL50".

⭐ Bundles Windows + Office

Vous devez utiliser le code promo "VDL62" pour bénéficier de ces tarifs.

⭐ Bonus : des logiciels à prix réduits

Plus d'offres sur les logiciels sur cette page !

Au sujet des licences

GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieue la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.

Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 98% d'évaluations positives.

Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante : [email protected]

The post Nouvelles offres chez GoDeal24 : Office 2021 Pro à 26.75€, Windows 11 Pro à 13.55€ first appeared on IT-Connect.

Microsoft désactive le protocole MSIX sur Windows pour vous protéger de certains malwares

2 janvier 2024 à 09:00

Une nouvelle fois, Microsoft a pris la décision de désactiver l'appel du protocole MSIX dans les applications dans le but de renforcer la sécurité des utilisateurs. En effet, plusieurs groupes de cybercriminels l'exploitent pour distribuer des logiciels malveillants. Faisons le point !

D'après Microsoft, les cybercriminels exploitent fréquemment la faille de sécurité CVE-2021-43890 présente dans l'installeur Windows AppX pour déployer des malwares en passant outre les systèmes de protection de Windows (notamment SmartScreen). Ceci peut passer par la diffusion de publicités malveillantes pour des logiciels populaires, mais également des messages sur Microsoft Teams. Les malwares prennent la forme d'un package d'application au format MSIX, signé et malveillant.

En février 2022, Microsoft avait déjà pris la décision de désactiver l'appel du protocole MSIX, notamment car il était exploité par le malware Emotet qui se propageait sous la forme d'un package MSIX d'Adobe PDF malveillant. On pourrait également citer deux autres malwares qui s'appuient sur cette méthode : Bazarloader et Trickbot.

Un changement opéré le 28 décembre 2023

Le 28 décembre 2023, Microsoft a annoncé avoir désactivé cette fonctionnalité dans l'installeur Windows AppX. Ce qui est étonnant d'un côté, et nous ne savons pas quand et pourquoi Microsoft avait réactivé cette méthode entre février 2022 et décembre 2023.

"Le 28 décembre 2023, Microsoft a mis à jour CVE-2021-43890 afin de désactiver le schéma URI (protocole) de ms-appinstaller par défaut, dans le cadre d'une réponse de sécurité visant à protéger les clients contre les techniques évolutives des attaquants contre les mesures précédentes. Cela signifie que les utilisateurs ne pourront plus installer une application directement à partir d'une page web en utilisant le programme d'installation de paquets MSIX.", peut-on lire sur le site de Microsoft.

Désormais, l'installation devra se faire en deux temps : d'abord, il faudra télécharger le package, puis lancer son installation manuellement. Ceci est important, car cela permettra à la solution de sécurité présente sur la machine d'analyser le package. À ce sujet, Microsoft précise : "Au lieu de cela, les utilisateurs devront d'abord télécharger le paquet MSIX pour l'installer, ce qui garantit que les protections antivirus installées localement fonctionneront."

Comment se protéger ?

Ce changement est intégré à l'application "App Installer" de Microsoft à partir de la version 1.21.3421.0. Il s'agit d'une version datant de plusieurs mois, donc si vous mettez à jour régulièrement vos machines, vous devriez être protégé. Toutefois, cette commande PowerShell vous permettra d'obtenir la version d'App Installer sur votre machine :

(Get-AppxPackage Microsoft.DesktopAppInstaller).Version

Si besoin, vous pouvez mettre à jour l'App Installer via WinGet à l'aide de cette commande :

winget upgrade Microsoft.AppInstaller

Vous avez également la possibilité de configurer un paramètre par stratégie de groupe dans le but de désactiver la fonction d'appel du protocole MSIX. La firme de Redmond précise que le paramètre suivant doit être désactivé :

  • Computer Configuration > Administrative Templates > Windows Components > Desktop App Installer > Enable App Installer ms-appinstaller protocol

Source

The post Microsoft désactive le protocole MSIX sur Windows pour vous protéger de certains malwares first appeared on IT-Connect.

IT-Connect : la rétrospective de 2023 et les objectifs de 2024

2 janvier 2024 à 10:37

Tout d'abord, je vous souhaite une excellente année 2024 au nom de toute l'équipe IT-Connect ! Que cette nouvelle année voit s'accomplir vos rêves et réussir vos projets, aussi bien sur le plan personnel, que professionnel ! Cet article a pour objectif de faire le point sur l'année 2023 et de vous partager mes objectifs, et mes idées, pour 2024.

Quelques statistiques clés sur l'année 2023 !

Même si vous êtes toujours plus nombreux à lire les articles et les vidéos, à les commenter, à les partager, etc... J'aime bien partager avec vous quelques statistiques notamment car les chiffres témoignent de l'évolution de la communauté IT-Connect !

Le site IT-Connect

Année après année, le nombre de visiteurs augmente de manière significative. Je suis le premier surpris, et cela ne fait que m'encourager à continuer ! Voici deux chiffres clés :

  • 6,99 millions de visites, soit +31% par rapport à 2022
  • 10,6 millions de pages vues, soit +41% par rapport à 2022

Pour la première fois, le site a dépassé les 10 millions de pages vues : c'est incroyable ! Que ce soit pour les tutoriels ou les articles liés à l'actualité (+ de 400 articles liés à l'actualité cyber en 2023 !), il y a un réel engouement de la part de la communauté pour le contenu du site ! J'espère que l'année 2024 sera encore meilleure que 2023 !

La chaîne YouTube IT-Connect

À l'heure où j'écris ces lignes, la chaîne YouTube compte un peu plus de 55 600 abonnés : soit 22 000 abonnés en plus sur l'année 2023. En 2023, la chaîne YouTube a cumulé plus de 1,8 million de vues et voici les 5 vidéos les plus regardées (un Top 5 qui évolue peu par rapport à 2022) :

Je prends un réel plaisir à faire ces vidéos et le format semble vous plaire ! Surtout, je sens que c'est un bon complément aux articles mis en ligne sur IT-Connect !

Les objectifs et les projets pour 2024

Une mise à jour légère de l'interface

En 2023, je pensais effectuer une refonte de l'interface du site, mais je ne l'ai pas fait (probablement, car je priorise toujours la création de nouveaux contenus, mais aussi, car le thème actuel continue de plaire).

En 2024, ce n'est pas prévu pour le moment, mais au cours du premier trimestre 2024, l'interface du site IT-Connect aura tout de même droit à une "petite mise à niveau". Bien l'aspect général du site restera le même, quelques éléments seront améliorés : le slider en page d'accueil, quelques éléments graphiques mal positionnés, etc...

De nouveaux sujets seront abordés

IT-Connect va continuer à s'enrichir de tutoriels sur les thématiques habituelles telles que l'Active Directory, les GPO, PowerShell, Windows Server, Linux, etc.... Et j'aimerais enrichir fortement les catégories liées à la cybersécurité, à Microsoft 365 et à Azure !

Ceci va permettre de vous parler d'outils et services pas encore évoqués sur IT-Connect. Si l'on prend l'exemple de Microsoft 365, une série de tutoriels sur Microsoft Intune est en cours de préparation : près de 10 articles sont déjà prêts (ou presque), et il me reste les vidéos à produire ! Par ailleurs, j'aimerais vous proposer du contenu sur Ansible et Terraform, et peut-être d'autres outils DevOps !

Une boutique en ligne

Aujourd'hui, seules quelques personnes ont la chance d'avoir des goodies, un t-shirt ou une veste à l'effigie d'IT-Connect. Pourtant, la communauté IT-Connect, c'est des dizaines de milliers de personnes ! En 2024, j'aimerais vous proposer une boutique en ligne IT-Connect où chacun pourra acheter les goodies de son choix ! Un sondage sera probablement mis en ligne pour vous demander votre avis sur ce sujet ! 🙂

Traduction des articles en d'autres langues

La majorité des visiteurs d'IT-Connect sont situés en France : 91% en 2023, suivi par les États-Unis (5%) et le Royaume-Uni (1,2%). Afin que le contenu soit utile à encore plus de personnes, il faudrait le traduire en plusieurs langues : à minima l'anglais et l'espagnol, dans un premier temps.

Mon objectif est de continuer à écrire en français, car IT-Connect est et restera un site web en français, tout en proposant des versions traduites de certains articles. Pour cela, il faut que je cherche une solution de traduction automatique qui donne de très bons résultats : il ne faut pas que ça ressemble à une vulgaire traduction via Google Traduction....

Les objectifs pour la chaîne YouTube

En 2023, il y a eu 86 nouvelles vidéos mises en ligne sur la chaîne YouTube IT-Connect ! Pour 2024, j'aimerais publier au mois 100 vidéos (soit entre 8 et 9 par mois) tout en gardant la même qualité et en continuant à varier les sujets.

Par ailleurs, j'ignore si c'est réaliste, mais je me suis fixé l'objectif d'atteindre 100 000 abonnés à la fin de l'année 2024 ! Même si, au final, mon objectif principal sera d'être régulier et de proposer du contenu pertinent. Et oui, vous l'aurez compris : il y aura toujours des vidéos, de façon régulière, tout au long de l'année 2024 ! En tout cas, c'est ce que je souhaite !

Rejoignez la communauté IT-Connect

Au-delà du site IT-Connect, vous pouvez rejoindre la communauté IT-Connect sur le serveur Discord : il y a plus de 2 500 membres ! Vous pouvez également vous inscrire à notre newsletter hebdomadaire pour recevoir un récapitulatif de la semaine directement dans votre boite de réception ! Voici deux liens utiles :

N'oubliez pas de nous suivre également sur YouTube, LinkedIn, Facebook, Instagram et X (Twitter) !

Pour conclure

Bien que je sois aux manettes d'IT-Connect et que je sois l'auteur de la majorité des articles : je ne suis pas seul ! J'en profite pour remercier les personnes qui ont partagé des articles sur IT-Connect en 2023 (Mickael, Florian D, Geoffrey, Yohan, Clément, Fares, Hugues, etc...), c'est super important pour diversifier les thèmes abordés, avoir des approches différentes, etc... Nous apprenons tous les uns des autres !

Si vous avez des idées pour la communauté IT-Connect, des suggestions de sujets pour le contenu, etc... N'hésitez pas à commenter cet article ! J'ai encore bien d'autres idées, et tout n'est pas dévoilé dans cet article : c'est important de garder une part de secret ! 🙂 - Sachez que je prends un réel plaisir à écrire tous ces articles ! Merci à toutes et tous pour votre soutien sans failles...!!

Que pensez-vous de cette rétrospective, des objets et des idées pour 2024 ?

The post IT-Connect : la rétrospective de 2023 et les objectifs de 2024 first appeared on IT-Connect.

Exécution de code malveillant : Windows 10 et Windows 11 trompés par cette technique de DLL hijacking !

2 janvier 2024 à 13:58

Des chercheurs en sécurité ont mis en lumière une nouvelle variante de la technique "DLL hijacking" sous Windows 10 et Windows 11. Grâce à cette méthode, il est possible d'exécuter du code malveillant sur la machine tout en outrepassant les mécanismes de sécurité. Voici ce qu'il faut savoir.

Sous Windows, lorsqu'un processus est exécuté et qu'il doit charger une bibliothèque "DLL", il va effectuer la recherche du fichier dont il a besoin dans un ordre bien spécifique. Ceci ouvre la porte à des attaques potentielles via une technique appelée "DLL hijacking". En effet, pour localiser la ressource en question, le processus va d'abord regarder dans le répertoire à partir duquel il est exécuté, puis dans le dossier "C:\Windows\System32", puis dans "C:\Windows\System", et ensuite dans "C:\Windows", avant de s'intéresser éventuellement au répertoire de travail actuel si la ressource n'a pas encore été trouvée.

Les chercheurs en sécurité de Security Joes ont publié un rapport qui évoque une nouvelle variante d'exploitation de cette technique. Dans le cas présent, les fichiers situés dans le dossier "C:\Windows\WinSxS" sont pris pour cible. Le répertoire WinSxS (Windows Component Store) est intégré au système d'exploitation Windows (c'est donc un emplacement de confiance) et il est utilisé pour stocker des données lors de certaines opérations de maintenance (notamment pour les mises à jour).

L'idée des chercheurs en sécurité est la suivante : utiliser un binaire présent dans le dossier WinSxS (et qui a pour habitude de rechercher une DLL bien précise) afin de l'exécuter à partir d'un répertoire contrôlé par l'attaquant. Si ce répertoire contrôlé par l'attaquant contient la DLL recherchée par le binaire, alors il chargera cette version conformément à l'ordre de recherche d'une DLL. Si elle est malveillante, ceci permettra à l'attaquant d'exécuter du code arbitraire sur la machine sans même disposer des privilèges d'administration !

Source : securityjoes.com

"Nous avons réussi à injecter notre DLL personnalisée en la renommant "mscorsvc.dll" et en exécutant la ligne de commande mentionnée ci-dessus depuis notre répertoire actuel, en ciblant spécifiquement le processus "ngentask.exe".", peut-on lire dans le rapport de Security Joes. Ici, il s'agit d'un exemple avec le binaire "ngentask.exe", mais d'autres binaires pourraient être vulnérables à cette technique.

"Surveillez de près toutes les activités effectuées par les binaires résidant dans le dossier WinSxS, en vous concentrant à la fois sur les communications réseau et les opérations sur les fichiers.", recommandent les chercheurs de Security Joes.

Pour finir, voici une vidéo de démonstration :

Source

The post Exécution de code malveillant : Windows 10 et Windows 11 trompés par cette technique de DLL hijacking ! first appeared on IT-Connect.

Plus de sécurité dans Veeam Backup & Replication v12.1, pour lutter contre les cyberattaques !

3 janvier 2024 à 09:27

Depuis le 5 décembre 2023, Veeam Backup & Replication v12.1 est disponible ! Bien qu'il ne s'agisse pas d'une version majeure, cette mouture apporte tout de même des nouveautés très intéressantes en matière de sécurité. Faisons le point !

Au premier trimestre 2023, l'éditeur Veeam avait dévoilé sa nouvelle version majeure de sa solution Backup & Replication en sortant la v12. Une version au sein de laquelle il y a beaucoup de nouveautés, notamment en ce qui concerne la protection contre les cybermenaces. Par exemple, Veeam Backup & Replication v12 permet de se passer de l'authentification NTLM au profit de Kerberos, d'utiliser des comptes de services de type "gMSA" ou encore d'activer l'authentification MFA sur la console de gestion des sauvegardes.

Avec Veeam Backup & Replication v12.1 disponible depuis début décembre 2023, l'éditeur veut aller encore plus loin pour améliorer la cyber résilience des entreprises face aux menaces, notamment les ransomwares. C'est une bonne chose, car les sauvegardes sont très fréquemment ciblées lors des cyberattaques.

L'API Incident de Veeam

Veeam Backup & Replication v12.1 est capable d'envoyer ses journaux (logs) vers un serveur Syslog mais il est également capable d'interagir avec lui à partir d'une application tierce grâce à ce qui est appelé l'API Incident.

Autrement dit, Veeam s'ouvre aux solutions SIEM et c'est une très bonne nouvelle pour l'analyse et la détection des événements malveillants.

Scans pour détecter les malwares

Grâce à la fonctionnalité Inline Scan, Veeam Backup & Replication est capable d'analyser les blocs de données pendant le processus de sauvegarde (au niveau du proxy), dans le but de détecter la présence éventuelle d'un malware.

En tant qu'administrateur, vous pouvez ajuster le niveau de sensibilité de cette fonctionnalité qui s'appuie sur du machine learning. Il convient aussi de surveiller l'activité CPU du proxy Veeam car cette analyse nécessite des ressources supplémentaires.

Par ailleurs, Veeam peut analyser vos sauvegardes à la demande, c'est-à-dire que c'est l'administrateur qui déclenche une analyse. La solution est capable d'effectuer une analyse dans le but de vous indiquer quel est le premier point de sauvegarde clean (le plus récent) pour un serveur spécifique. L'avantage, c'est que cette fonction d'analyse intègre un moteur capable d'interpréter des règles YARA (ce qui est utile pour repérer un malware ou certains fichiers).

Manipulation des backups : four-eyes authorization

Au sein de la solution Veeam Backup & Replication, un administrateur a les droits pour supprimer les sauvegardes : suite à une mauvaise manipulation, des sauvegardes peuvent partir en fumée. Même si certaines sauvegardes sont protégées, notamment lorsqu'elles sont immuables (j'en avais parlé dans cet article), la version 12.1 de la solution Veeam veut aller plus loin avec l'intégration de ce que l'on appelle le "four-eyes authorization". Cela signifie qu'il faut l'approbation de deux administrateurs pour initier la suppression d'une sauvegarde.

Ceci s'applique également pour d'autres opérations sensibles effectuées au sein de la console Veeam (modification sur les rôles ou utilisateurs, suppression d'un repository, etc.).

Mais aussi...

Par ailleurs, sachez qu'une fonction baptisée Threat Center contiendra des indicateurs sur l'état de santé et la résilience de l'infrastructure de sauvegarde. Veeam a également ajouté des points de vérification supplémentaires à son outil d'analyse de la conformité des machines.

Pour en savoir plus sur toutes les nouveautés de cette version, vous pouvez consulter ce document PDF.

Ajouter des fonctionnalités pour mieux protéger les sauvegardes et détecter les comportements suspects, c'est clairement la tendance actuelle sur le marché des solutions de sauvegarde. Sans surprise, Veeam "suit le mouvement" en améliorant sa solution Backup & Replication.

The post Plus de sécurité dans Veeam Backup & Replication v12.1, pour lutter contre les cyberattaques ! first appeared on IT-Connect.

Ce code JavaScript malveillant a permis de voler les identifiants bancaires de 50 000 utilisateurs !

4 janvier 2024 à 07:00

Une campagne malveillante lancée en 2023 a permis aux cybercriminels de voler les identifiants de connexion bancaires de 50 000 utilisateurs répertoriés dans plus de 40 banques différentes. Redoutable, ce malware s'appuie sur un script JavaScript pour dérober également les codes à usage unique des utilisateurs ! Faisons le point !

Les chercheurs en sécurité d'IBM Security Trusteer ont découvert une campagne malveillante redoutable lancée en mars 2023 et qui serait toujours en cours. Le nombre de victimes est important puisque 50 000 clients de plus de 40 banques ont fait les frais de cette technique redoutable. Ceci touche des utilisateurs du monde entier puisque l'on dénombre des victimes en Amérique du Nord, en Amérique du Sud, en Europe et au Japon. Bien que ce ne soit pas confirmé, cette campagne malveillante pourrait être liée au malware DanaBot.

Bien qu'elle a été lancée début 2023, cette campagne malveillante était en préparation depuis 2022 : "Nos données montrent que les acteurs de la menace ont acheté des domaines malveillants en décembre 2022 et ont commencé à exécuter leurs campagnes peu de temps après. Depuis le début de l'année 2023, nous avons observé plusieurs sessions de communication avec ces domaines, qui restent actifs au moment de la publication de ce blog.", peut-on lire dans le rapport mis en ligne le 19 décembre 2023.

Un code JavaScript pour voler les identifiants

Tout commence par l'infection de la machine de l'utilisateur, que ce soit via un e-mail malveillant (phishing) ou une autre méthode. Une fois la machine infectée, il ne reste plus qu'à attendre que l'utilisateur se connecte au site web de sa banque. Quand ce sera le cas, le malware va faire en sorte d'injecter du code JavaScript malveillant sur la page de connexion au site bancaire.

Ce code n'est pas "compatible" avec toutes les banques, car cela dépend du processus de connexion et de la structure de la page. Toutefois, il est redoutable car il est capable de modifier la structure de la page et de l'adapter de manière à guider et piéger l'utilisateur.

Ce fameux code malveillant injecté directement dans la page web est difficile à détecter et il intercepte les informations d'identification de la victime en temps réel, au fur et à mesure qu'elles sont saisies ! Il est également capable de voler les codes de connexion à usage unique utilisés dans le cadre de l'authentification multifacteurs. L'objectif étant de permettre aux cybercriminels de pouvoir se connecter rapidement aux comptes bancaires de l'utilisateur pour lui voler de l'argent !

Ce malware communique avec un serveur C2 distant pour envoyer les données collectées et il est capable de s'auto-supprimer de la page de connexion une fois qu'il a fait son travail. Cela ne s'arrête pas là, car pour dissuader l'utilisateur de tenter de se connecter à son compte bancaire, la page web est modifiée de manière à indiquer que les services bancaires sont indisponibles pendant 12 heures. "Cette tactique vise à décourager la victime de tenter d'accéder à son compte, ce qui permet à l'acteur malveillant de mener des actions ininterrompues.", précise Tal Langus dans son rapport.

Source : securityintelligence.com

Comme le montre le nombre de victimes, cette attaque de type "man-in-the-browser" est particulièrement redoutable ! Méfiez-vous des e-mails que vous recevez et de ce que vous téléchargez sur Internet...

Source

The post Ce code JavaScript malveillant a permis de voler les identifiants bancaires de 50 000 utilisateurs ! first appeared on IT-Connect.

Attaque Terrapin : près de 11 millions de serveurs SSH vulnérables !

4 janvier 2024 à 07:10

Les vulnérabilités associées à l'attaque Terrapin, dévoilée quelques jours avant Noël 2023, affectent les accès SSH de près de 11 millions de serveurs ! Faisons le point sur la situation !

Pour rappel, l'attaque technique d'attaque Terrapin a été mise au point et dévoilée par les chercheurs en sécurité de l'Université de la Ruhr à Bochum (Allemagne). Elle permet d'altérer l'intégrité des connexions SSH en exploitant plusieurs faiblesses présentes dans OpenSSH et associées à trois références CVE : CVE-2023-48795, CVE-2023-46445 et CVE-2023-46446.

Au-delà d'utiliser une version vulnérable d'OpenSSH (c'est-à-dire toutes les versions d'OpenSSH antérieures à la version 9.6), l'attaquant doit se trouver en position de man-in-the-middle (MiTM) par rapport à sa cible, pour que l'attaque puisse être effectuée. Autre condition pour que l'attaque soit possible : la connexion doit être sécurisée avec ChaCha20-Poly1305 ou CBC avec "Encrypt-then-MAC". Si toutes ces conditions sont réunies, l'attaque Terrapin peut permettre d'exécuter du code à distance.

Près de 11 millions de serveurs SSH vulnérables...

Un nouveau post mis en ligne par The Shadowserver Foundation fait état de près de 11 millions de serveurs SSH exposés sur Internet et vulnérables à l'attaque Terrapin ! Chaque serveur correspond à une adresse IP unique. C'est conséquent et cela représente environ 52 % de toutes les adresses IPv4 et IPv6 analysées par le système de monitoring de The Shadowserver Foundation.

Pour répondre à la question "Où se situent les serveurs SSH vulnérables ?", il suffit de regarder de plus près la carte publiée. Voici quelques chiffres clés :

  • États-Unis : 3.3 millions
  • Chine : 1.3 million
  • Allemagne : 1 million
  • Russie : 704 000
  • Singapour : 392 000
  • Japan : 383 000
  • France : 379 000
Serveurs SSH vulnérables attaques Terrapin
Source : dashboard.shadowserver.org

Même si ces serveurs ne sont pas directement exploitables compte tenu des prérequis de l'attaque Terrapin, cela laisse quand même beaucoup de possibilités aux cybercriminels...

En complément de leur rapport, les chercheurs en sécurité ont mis en ligne un outil à disposition des utilisateurs de Linux, Windows et macOS afin d'analyser leur système et vérifier si leur système est vulnérable à l'attaque Terrapin. L'outil est accessible sur ce dépôt GitHub.

Source

The post Attaque Terrapin : près de 11 millions de serveurs SSH vulnérables ! first appeared on IT-Connect.

Starlink lance de nouveaux satellites pour offrir une connexion sur smartphone !

4 janvier 2024 à 08:46

Starlink poursuit son développement avec un nouveau service baptisé "Direct To Cell" ! L'objectif : offrir une connexion aux smartphones directement à partir des satellites Starlink. Voici ce qu'il faut savoir !

En quelques années, Starlink s'est imposé comme le leader de l'Internet par satellites en parvenant à offrir de l'Internet haut débit presque partout sur Terre. Elon Musk, le patron de Starlink, a précisé sur son réseau social X que Direct To Cell allait permettre une connectivité par téléphone mobile partout sur la Terre.

Pour commencer, Starlink va mettre à l'essai ce nouveau service aux États-Unis et l'entreprise américaine vient tout juste d'envoyer 6 nouveaux satellites dans l'espace dédié à "Direct To Cell". En 2024, il sera possible d'envoyer uniquement des SMS au travers de cette solution, et Starlink va l'étendre à d'autres pays du monde. Elon Musk veut prendre son temps.

À partir de 2025, de nouvelles fonctionnalités seront prises en charge par le service Direct To Cell : les appels vocaux ainsi que les données Internet, ce qui permettra d'avoir une expérience complète. En effet, cela signifie que nous pourrons accéder à Internet à partir de notre smartphone grâce à la connexion offerte par les satellites Starlink.

Il est à noter que le réseau mobile Starlink opérera sur le réseau 4G, ce qui ne permettra pas de rivaliser avec les performances des réseaux actuels en 5G. "Bien qu'il s'agisse d'une excellente solution pour les endroits dépourvus de connectivité cellulaire, elle n'est pas vraiment compétitive par rapport aux réseaux cellulaires terrestres existants.", précise Elon Musk.

Ce n'est pas si grave, car la connectivité 4G offre déjà de belles performances... Et cette solution s'annonce très intéressante pour offrir une connectivité mobile sur les territoires mal couverts par les solutions terrestres ! L'arrivée du service Direct To Cell de Starlink va forcément ravir certaines personnes !

Qu'en pensez-vous ?

Source

The post Starlink lance de nouveaux satellites pour offrir une connexion sur smartphone ! first appeared on IT-Connect.

Comment organiser et équiper une salle de réunion ?

4 janvier 2024 à 05:00

Une grande partie des entreprises ont besoin d’un espace de réunion. Que l’on aménage une salle de réunion dans ses propres locaux ou que l’on utilise une salle de réunion dans un espace de coworking, l’aménagement et l’équipement d’un tel espace répond à certains impératifs que nous allons évoquer dans cet article. 

L’importance du mobilier 

Le choix du mobilier doit être en adéquation avec la surface et la capacité d’accueil de la salle, mais aussi avec l’image de l’entreprise. Par exemple, le fait de faire le choix d’une table ronde ou ovale pour ne jamais laisser un collaborateur dans un coin, ou le fait de faire le choix d’une table rectangulaire très design pour mettre en avant la rigueur et la précision du travail dans certains secteurs d’activité. Dans les secteurs d’activité où l’on veut mettre en avant la performance et la modernité, on optera pour du mobilier très design alors que l’on se permettra davantage d’originalité dans les milieux créatifs. La décoration va aussi avoir une influence, notamment au niveau du choix des couleurs qui peuvent véhiculer une image de confiance pour le bleu, de créativité et de dynamisme pour l’orange et le jaune, d’écoresponsabilité pour le vert. Souvent, la décoration de la salle de la réunion doit être le reflet de l’image de l’entreprise en s’accordant notamment à la charte graphique.

Optez pour des équipements high tech

Le choix des équipements high tech doit permettre de rendre les présentations plus intéressantes lors des réunions. Les grandes salles de réunion doivent par exemple être dotées de micros pour faciliter la compréhension et la présentation. Aujourd’hui, pour animer une réunion ou une formation dans un espace collectif, on ne peut plus se contenter d’un simple paperboard, ni même d’un écran classique sur lequel on envoie des supports de présentation. Aujourd’hui, les fabricants d’équipements de bureau high tech proposent des écrans LED tactiles qui permettent d’alterner les présentations en image, en vidéo, de jongler avec le contenu en touchant l’écran et surtout d’avoir la possibilité de se servir d’une fonction de tableau blanc tactile et interactif. Ces écrans permettent aussi d’assurer des réunions en visio et de partager les notes du tableau blanc avec ses interlocuteurs et surtout de partager le tableau blanc. Vous trouverez des modèles d’écrans tactiles interactifs si vous cliquez ici. Bien plus pratiques qu’un vidéoprojecteur, ces écrans sont beaucoup plus faciles à installer et à connecter puisqu’ils sont aussi connectés en WiFi et en Bluetooth. 

Aperçu écran interactif Newline

Optez pour un espace modulable

Aujourd’hui, pour des raisons d’économies et d’écologie, il est indispensable de travailler sur des espaces plus réduits. Cela permet d’une part de moins gaspiller de l’énergie, de réduire le montant de son loyer (quand on loue un espace professionnel) et de faire des économies sur ses factures d’énergie. Les plus créatifs conçoivent des espaces modulables, c’est-à-dire des espaces où l’on peut passer d’un atelier à un showroom, d’un espace de bureaux individuels à une salle de réunion. De plus en plus de fabricants de mobilier surfent sur la tendance pour concevoir du mobilier modulable, encastrable et escamotable à l’usage des professionnels qui disposent d’une petite surface de travail. 

Article sponsorisé.

The post Comment organiser et équiper une salle de réunion ? first appeared on IT-Connect.

Le clavier des PC Windows va accueillir une nouvelle touche pour Copilot !

4 janvier 2024 à 11:23

Microsoft a fait une annonce très importante qui va bien au-delà de la modification du système d'exploitation : une nouvelle touche permettant d'accéder à l'IA Microsoft Copilot va faire son apparition sur les claviers des ordinateurs !

Depuis plusieurs mois, Microsoft Copilot est disponible pour les utilisateurs de Windows 11, mais aussi de Windows 10 (grâce à la mise à jour KB5032278 publiée début décembre). Même si, au passage, les utilisateurs européens n'ont toujours pas accès à cet assistant boosté par de l'intelligence artificielle... Ce qui n'empêche pas Microsoft d'avancer !

Alors qu'il y a déjà un nouveau raccourci clavier permettant d'ouvrir Microsoft Copilot (Win + C), l'entreprise américaine veut aller encore plus loin en ajoutant une nouvelle touche sur nos claviers ! Vous l'aurez compris, il suffira d'appuyer sur cette touche pour accéder à Copilot.

À ce sujet, Microsoft précise : "L’introduction de la touche Copilot marque le premier changement significatif apporté au clavier des PC Windows depuis près de trois décennies. Nous pensons que cela permettra aux gens de participer plus facilement à la transformation de l’IA." - En effet, modifier la disposition d'un clavier ce n'est pas anodin et cela va obliger les utilisateurs à s'adapter...

Où sera située la touche de clavier Copilot ?

Dans une nouvelle vidéo publiée par Microsoft, nous pouvons voir que la touche Copilot se situe entre la touche Alt et les flèches directionnelles. Donc, elle ne sera pas juste à côté de la touche Windows, même si cela pourra varier d'une marque à l'autre et d'un modèle à l'autre. Ce changement sera introduit sur le clavier des ordinateurs commercialisés avec Windows 11.

En plus d'avoir une touche de clavier rien que pour lui, il est important de rappeler que Microsoft Copilot est accessible depuis Windows 10, Windows 11, mais aussi sur Android et iOS avec une application officielle proposée par la firme de Redmond.

De quoi rentrer définitivement dans l'ère des "AI PC"...

Source

The post Le clavier des PC Windows va accueillir une nouvelle touche pour Copilot ! first appeared on IT-Connect.

Le compte X (Twitter) de Mandiant a été piraté et utilisé pour une arnaque à la cryptomonnaie !

5 janvier 2024 à 08:17

Le compte X (Twitter) de l'entreprise Mandiant a été piraté puis détourné par des cybercriminels qui l'ont utilisé pour usurper l'identité du service Phantom permettant d'avoir un portefeuille de cryptomonnaies. Voici ce qu'il s'est passé !

Connue dans le monde entier, Mandiant est une entreprise spécialisée dans la cybersécurité qui appartient à Google et dont le compte Twitter compte plus de 124 000 abonnés ! Le 3 janvier 2024, des pirates sont parvenus à accéder au compte X de Mandiant, probablement en ayant connaissance du mot de passe pour accéder au compte, et ils l'ont ensuite renommé : "@mandiant" est devenu "@phantomsolw".

L'objectif étant de faire la promotion d'un faux site web usurpant l'identité du service Phantom tout en promettant de distribuer gratuitement des jetons $PHNTM dans le cadre d'un airdrop. Ce qui a probablement attiré l'attention des utilisateurs du service et a obligé le compte officiel du service Phantom a rappeler ce qui suit aux utilisateurs via un tweet : "Rappel : Phantom n'a PAS l'intention de lancer un jeton. Tout ce qui dit le contraire est une escroquerie. Soyez prudents !"

Grâce à ce lien et ce faux site web, les cybercriminels n'avaient qu'une seule idée en tête : vider le portefeuille de cryptomonnaie d'un maximum d'utilisateurs de Phantom. Rapidement, Phantom a protégé les utilisateurs de Phantom Wallet en blacklistant le site web utilisé par les cybercriminels afin d'empêcher les interactions avec le domaine en question.

Source : MalwareHunterTeam

Ce qui a poussé les cybercriminels à supprimer leur tweet de distribution de jetons Phantom. À la place, ils se sont amusés à narguer l'équipe de Mandiant avec plusieurs messages : "Désolé, veuillez changer de mot de passe." ou encore "Vérifiez les signets lorsque vous récupérez votre compte."

À l'heure qu'il est, Mandiant a pu récupérer l'accès à son compte X (Twitter) dans le but de le sécuriser et de le restaurer / nettoyer. Désormais, le pseudo "@mandiant" est de retour, mais dans un premier temps le nom "@phantomsolw" a dû être conservé, car Twitter n'autorise pas les changements trop fréquents du nom d'utilisateur.

Source

The post Le compte X (Twitter) de Mandiant a été piraté et utilisé pour une arnaque à la cryptomonnaie ! first appeared on IT-Connect.

Certaines victimes du ransomware Black Basta peuvent récupérer leurs données grâce à cet outil !

6 janvier 2024 à 14:06

Des chercheurs en sécurité ont mis en ligne un outil de déchiffrement pour le ransomware Black Basta ! Il va permettre à certaines victimes de récupérer une partie de leurs données ! Faisons le point.

Black Basta Buster, c'est le nom de l'outil de déchiffrement mis au point par les chercheurs en sécurité de SRLabs. Cet outil précieux exploite une faille de sécurité dans l'algorithme de chiffrement utilisé par le gang de ransomware Black Basta.

Il est à noter que cet outil de déchiffrement fonctionne pour les victimes dont les données ont été chiffrées entre novembre 2022 et décembre 2023. Ce n'est pas anodin, car au cours de cette période, le ransomware Black Basta serait responsable de 153 cyberattaques ! En effet, il s'agit du nombre de victimes n'ayant pas payé la rançon, et qui sont référencées sur le site du gang Black Basta utilisé comme vitrine.

Malheureusement, l'outil Black Basta Buster ne fonctionnera pas pour les nouvelles victimes car les pirates ont fait le nécessaire à la mi-décembre afin de combler cette faiblesse dans leur ransomware.

La page GitHub dédiée à l'outil Black Basta Buster donne des précisions sur son fonctionnement. Ainsi, nous pouvons lire : "Les fichiers d'une taille inférieure à 5000 octets ne peuvent pas être récupérés. Pour les fichiers dont la taille est comprise entre 5 000 octets et 1 Go, une récupération complète est possible. Pour les fichiers d'une taille supérieure à 1 Go, les 5 000 premiers octets seront perdus, mais le reste pourra être récupéré."

À l'usage, cet outil ne peut traiter qu'un seul fichier à la fois. C'est contraignant. Toutefois, il peut s'avérer utile et efficace pour déchiffrer et récupérer des fichiers de disques virtuels correspondants à des machines virtuelles. Ce ransomware est d'ailleurs capable de chiffrer les VM sur les serveurs VMware ESXi.

Cet outil a le mérite d'exister et il pourra rendre service à des entreprises victimes du gang Black Basta, qui est l'un des ransomwares les plus actifs au niveau mondial.

Source

The post Certaines victimes du ransomware Black Basta peuvent récupérer leurs données grâce à cet outil ! first appeared on IT-Connect.

Test AGM H6 – Un smartphone robuste à 250 euros

6 janvier 2024 à 10:00

I. Présentation

L'AGM H6 est un smartphone robuste conçu pour résister aux milieux hostiles et pour avoir une longue durée de vie. D'ailleurs, depuis plus de 10 ans, AGM Mobile propose des modèles de smartphones particulièrement résistants et c'est devenu la spécialité de cette marque !

Que ce soit en tant que particulier ou professionnel, l'achat d'un smartphone dit "incassable" peut s'avérer un choix judicieux notamment si l'on a l'habitude de partir à l'aventure ou simplement si l'on travaille "sur le terrain". De ce fait, nous verrons ce qui différencie le modèle AGM H6 d'un smartphone "classique".

Pour commencer, voici les caractéristiques principales de cet appareil :

  • Écran : taille 6.52 pouces IPS / Résolution HD+ / Taux de rafraichissement 90 Hz
  • CPU : Spreadtrum T606 avec 8 cœurs (2 x A75 @ 1.6GHz + 6 x A55 @ 1.6GHz)
  • RAM : 16 Go
  • Stockage : 256 Go (extensible jusqu'à 512 Go via carte microSD)
  • Batterie : 4 900 mAh (non amovible)
  • Bluetooth 5.0
  • Wi-Fi AC (2,4 GHz et 5 GHz)
  • NFC
  • Dual-SIM (4G)
  • Android 13
  • Épaisseur : 10,75 mm
  • Poids : 240 grammes
  • Prix : 249,99 euros
  • Voir la fiche produit sur le site officiel

La partie caméra sera détaillée dans la suite de cet article ! Sachez que ce smartphone a plusieurs certifications permettant d'attester de sa résistance : IP68, IP69K et MIL-STD-810H (norme militaire). La certification IP69K signifie que l'appareil est résistant au lavage à haute pression Cela plante le décor !

Pour commander ce smartphone sur Amazon.fr, nous vous invitons à utiliser notre lien :

II. Package et design

Le smartphone de chez AGM Mobile est livré dans une boite en carton très sobre au sein de laquelle le smartphone est bien emballé et suffisamment protégé. Il est accompagné par un guide de démarrage rapide, un câble USB-C, un chargeur (dont la prise ne correspond pas à ce que l'on utilise en France), ainsi qu'une planche de stickers à l'effigie de la marque ! Cela signifie qu'il faudra s'équiper de son propre chargeur (ou utiliser un adaptateur).

Quand on voit "smartphone robuste" ou "smartphone durci", on peut s'attendre à avoir une brique dans les mains. Et bien, non. Bien qu'un peu plus épais et un peu plus lourd que les smartphones non durcis, l'esthétique de ce smartphone est soignée et il n'est pas lourd : 240 grammes. L'arrière du smartphone n'est pas lisse, il y a comme un "grip" permettant que le smartphone ne glisse pas lorsque vous l'avez en main.

Sur le côté gauche, le smartphone contient un bouton multifonctions facilement repérable de par sa couleur. C'est également de ce côté que nous pouvons accéder aux emplacements pour cartes SIM et pour la carte mémoire. Sur le côté droit, nous avons un bouton on/off qui permet de réveiller l'appareil et qui intègre le lecteur d'empreintes, accompagné par un bouton assez large pour gérer le volume. Ce smartphone prend en charge également le déverrouillage par reconnaissance faciale.

Sachez que le bouton multifonctions est personnalisable. Vous pouvez affecter une action lors d'un appui simple, d'un appui double et d'un appui long. Ainsi, une même touche peut avoir trois fonctions différentes (activer le flash, ouvrir une application spécifique, prendre un screenshot, etc.).

Grâce à ses différentes certifications et sa conception, ce smartphone se veut résistant aux environnements hostiles ! Il ne craint pas la poussière, ni l'eau, même à forte pression, et il résiste aux chocs (à 1,8 mètre - habituellement, c'est plutôt 1,5 mètre).

Pour cela, le port USB-C et la prise casque sont protégés par des caches afin d'assurer l'étanchéité. À ce sujet, le port USB-C est positionné sur la tranche inférieure du smartphone, tandis que la prise casque est positionnée sur la tranche supérieure. Les bords sont également plus épais et les 4 coins renforcés. Pour la protection de l'écran, sachez que le contour de l'écran est surélevé de 0,4 mm au-dessus de l'écran. Enfin, sachez que le coin supérieur gauche intègre une encoche permettant d'ajouter une dragonne !

Grâce à un ensemble de petits détails, l'AGM H6 sera capable de résister aux situations les plus difficiles pour un smartphone, notamment à l'eau et aux chutes !

III. Qualité des photos

L'AGM H6 est équipé d'un module photo principal avec deux capteurs : un capteur 50 mégapixels accompagné par un capteur macro de 2 mégapixels. À l'avant, la caméra pour les selfies est de 8 mégapixels. AGM Mobile évoque un système Samsung AI Dual Camera.

L'appareil photo est acceptable, disons que nous avons des résultats satisfaisants lorsque la luminosité est bonne même si je trouve que c'est un peu pâle au niveau des couleurs. Lorsque la luminosité est faible, l'appareil photo est clairement en difficulté. Ce n'est pas du tout le point fort de ce modèle, ce qui n'est pas surprenant : n'oublions pas qu'il s'agit d'un modèle à 249,99 euros qui mise avant tout sur son côté robuste !

IV. Autonomie

Livré avec une batterie de 4 900 mAh compatible avec la charge rapide 18 watts, ce smartphone a une autonomie d'environ 24 heures (appels téléphoniques + navigation web), même si tout dépend de ce que l'on fait. Si l'on utilise le smartphone pour lire des vidéos, l'autonomie est d'environ 8 heures (pour passer de 100% à 0%).

V. Performances, affichage et système

Le smartphone AGM H6 est livré avec le système d'exploitation Android 13 ! Bien que l'esthétique de l'interface soit retravaillée par AGM Mobile, la bonne nouvelle, c'est qu'il n'y a pas d'applications superflues. Nous retrouvons uniquement les applications Google ! C'est appréciable.

Dans les paramètres du système, nous retrouvons tous les paramètres habituels d'Android, ainsi qu'un menu dédié pour la gestion du bouton multifonctions. Ma seule inquiétude réside dans le suivi des mises à jour Android, notamment pour les mises à jour de sécurité. Pour le moment, le modèle que j'ai pu tester reste bloqué sur le patch de sécurité d'août 2023.

Au quotidien, l'écran de grande taille est appréciable pour consulter des documents, naviguer sur le web ou regarder des vidéos (même si certains vont préférer les modèles plus compacts). Par contre, lorsque l'on n'est pas face à l'image, celle-ci s'assombrit légèrement (tout dépend de l'angle de vue).

Les performances de l'appareil sont largement suffisantes pour le streaming, mais également pour certains jeux. Je suis parvenu à jouer à Call of Duty Mobile : même si le rendu n'est pas au mieux, le jeu est fluide et l'appareil ne chauffe pas plus que ça !

Note : ce smartphone dispose d'une puce NFC, ce qui signifie que vous pouvez réaliser des paiements sans contact via Google Wallet.

VI. Conclusion

L'AGM H6 n'est pas qu'un simple smartphone robuste, c'est une fusion parfaite entre la résistance et la durabilité d'une part, et un design convivial d'autre part ! Pour un smartphone durci, il y a un réel effort de fait sur le design et l'encombrement, ce qui mérite d'être souligné. Ce modèle est plus fin et plus léger que les autres téléphones robustes du marché ! Cela signifie que l'on peut l'avoir comme téléphone au quotidien sans aucun problème !

Sans chercher à en faire trop, l'AGM H6 est un modèle fiable qui va à l'essentiel plutôt que de privilégier l'extravagance. Ce qui le différencie des smartphones "classiques" que l'on a l'habitude d'utiliser, ce sont ses certifications IP68/IP69K et MIL-STD-810H qui font de lui un modèle prêt à affronter tous types d'environnements, du plus humide au plus poussiéreux.

Il ne se contente pas d'offrir des performances suffisantes pour les tâches quotidiennes comme les appels, les emails et la gestion de documents, mais il va plus loin en prenant en charge sans difficulté le streaming vidéo ainsi que certains jeux mobiles. Le fait qu'il soit compatible double SIM est un avantage pour ceux qui voudront le proposer à leur salarié en tant que smartphone professionnel ! Mais attention, il n'est pas compatible 5G (pas de soucis avec la 4G).

Pour 249,99 euros, vous pouvez vous offrir l'AGM H6 : un smartphone qui s'en sort relativement bien dans tous les domaines, et qui en plus, est très solide.

Pour commander ce smartphone sur Amazon.fr, nous vous invitons à utiliser notre lien :

The post Test AGM H6 – Un smartphone robuste à 250 euros first appeared on IT-Connect.

Piratage Orange Espagne : l’accès à Internet perturbé… à cause d’un compte pas suffisamment sécurisé !

8 janvier 2024 à 06:00

La nouvelle année commence mal chez Orange Espagne : mercredi 3 janvier 2024, le trafic Internet de l'opérateur a été fortement perturbé suite à une attaque informatique ! En cause : un mot de passe beaucoup trop faible dérobé par un infostealer ! Voici ce qu'il faut savoir !

Un pirate informatique surnommé "Snow" est parvenu à compromettre le compte RIPE d'Orange Espagne, ce qui lui a permis de perturber les activités de l'un des principaux opérateurs du pays. Pour ceux, qui, comme moi, ignorent ce qu'est un compte RIPE, voici la définition proposée par Wikipédia : "Le RIPE NCC (Réseaux IP Européens - Network Coordination Centre) est un registre régional d'adresses IP. Il dessert l'Europe et une partie de l'Asie, notamment au Moyen-Orient."

Ainsi, pendant plusieurs heures, l'accès à Internet a été perturbé dans toute l'Espagne puisque le pirate a détourné le trafic BGP de l'opérateur (empêchant une partie du trafic d'aboutir). Pour rappel, le BGP est un protocole de routage utilisé pour Internet, ce qui en fait un protocole très utilisé par les opérateurs.

Le pirate à l'origine de cette cyberattaque a publié sur Twitter plusieurs informations pour en dire plus sur son modus operandi. Nous savons qu'il a utilisé un malware de type "infostealer" pour voler les identifiants d'un salarié d'Orange Espagne. Mais bon, il aurait presque pu s'en passer, car le mot de passe du compte administrateur donnant accès au compte RIPE est particulièrement ridicule : "ripeadmin".

C'est clairement insuffisant, et l'accès à ce compte n'était pas protégé par du MFA. D'ailleurs, dans la foulée, RIPE NCC a publié un message pour rappeler l'importance d'activer le MFA sur les comptes d'accès : "Nous encourageons les titulaires de comptes à mettre à jour leurs mots de passe et à activer l'authentification multifactorielle pour leur compte."

Même si nous ignorons l'impact réel de cette attaque et ses conséquences, Orange Espagne tient à rassurer ses clients : "Nous confirmons qu'en aucun cas les données de nos clients n'ont été compromises, seule la navigation de certains services a été affectée.", peut-on lire sur X.

Source

The post Piratage Orange Espagne : l’accès à Internet perturbé… à cause d’un compte pas suffisamment sécurisé ! first appeared on IT-Connect.

Retour en prison pour l’admin de BreachForums car il n’a pas respecté les règles de sa liberté provisoire !

8 janvier 2024 à 09:09

Nouvelle arrestation pour celui que l'on surnomme Pompompurin et qui est l'administrateur du célèbre forum de hacking BreachForums ! Pourquoi ? Et bien parce qu'a n'a pas respecté les règles associées à sa liberté provisoire en utilisant un ordinateur non surveillé et une connexion VPN.

Le 15 mars 2023, Conor Fitzpatrick a été arrêté pour la première fois par le FBI, et il avait affirmé qu'il était bien connu sous le nom de Pompompurin, c'est-à-dire l'administrateur du forum BreachForums. Il avait lancé le site BreachForums en réponse à la fermeture du forum RaidForums, un an plus tôt.

En tant qu'administrateur de BreachForum, il jouait un rôle clé dans les transactions puisqu'il s'assurait que l'acheteur de données piratées allait bien obtenir le jeu de données promis par le vendeur. Autrement dit, il s'assurait qu'il ne s'agissait pas d'une fausse petite annonce...

De ce fait, Pompomurin était un membre important présent depuis plusieurs années sur la scène cybercriminelle...Pourtant, il avait été libéré seulement un jour après son arrestation en payant une caution de 300 000 dollars, et à condition de respecter diverses règles. Par exemple, il avait l'interdiction de se connecter à BreachForums ou d'avoir des contacts avec des membres de ce forum.

Par la suite, le tribunal a fait ajouter de nouvelles conditions supplémentaires qu'il doit respecter afin de continuer à bénéficier de cette liberté provisoire. Dans ce document officiel, nous pouvons trouver les différentes règles.

Conor Fitzpatrick a le droit d'utiliser un ordinateur ou d'accéder à Internet uniquement si l'appareil est équipé d'un logiciel de surveillance installé par les autorités américaines. "Le logiciel peut restreindre et/ou enregistrer toute activité sur l'ordinateur, y compris la saisie de frappes, d'informations sur les applications, de l'historique de l'utilisation d'Internet, de la correspondance par courrier électronique et des conversations par chat.", précise le document. Sur Internet, il y a certaines catégories de site qu'il n'a pas le droit de visiter. Par ailleurs, il a l'interdiction de chercher à masquer son identité, notamment en utilisant un VPN, le réseau Tor ou encore des proxys.

Toutefois, Conor Fitzpatrick a joué avec le feu et il s'est brulé : il a été arrêté le 2 janvier 2024 pour avoir violé les conditions de sa liberté provisoire. Désormais, Fitzpatrick est placé en détention et il y restera jusqu'à ce qu'il soit présenté à un tribunal du district oriental de Virginie.

Source

The post Retour en prison pour l’admin de BreachForums car il n’a pas respecté les règles de sa liberté provisoire ! first appeared on IT-Connect.

Active Directory : comment et pourquoi désactiver les protocoles LLMNR et NetBIOS ?

8 janvier 2024 à 17:30

I. Présentation

Dans ce tutoriel, nous allons partir à la découverte du protocole LLMNR, ainsi que du protocole NetBIOS ! Utilisé en environnement Windows pour effectuer de la résolution de noms, LLMNR est un protocole vulnérable à différentes attaques qu'il est préférable de ne pas utiliser et de désactiver.

Après une présentation du protocole LLMNR et de son fonctionnement, nous verrons quels sont les risques liés à son utilisation avant de voir comment le désactiver dans un environnement Active Directory. Nous verrons également comment désactiver le protocole NetBIOS.

II. Qu'est-ce que le protocole LLMNR ?

Le protocole LLMNR pour Local Link Multicast Name Resolution, est un protocole utilisé en environnement Windows pour effectuer de la résolution de noms localement, c'est-à-dire via l'émission d'un paquet sur le réseau local. LLMNR est le successeur de NBT-NS (NetBIOS) et il a été introduit dans Windows Vista pour la première fois.

Vous allez me dire : "LLMNR n'est pas utile puisque l'on utilise le DNS ?". C'est vrai, mais aujourd'hui LLMNR est toujours activé par défaut sur Windows donc il est susceptible d'être utilisé. Sachez que cela se produira dans le cas où la résolution DNS échoue. Ce qui est bien plus fréquent qu'on ne le croit sur un système d'information, une simple typo dans le nom d'un serveur suffit à générer l'émission de plusieurs requêtes LLMNR sur le réseau. Aussi, les noms requêtés peuvent provenir d'erreur dans la configuration, d'ancien nom de domaine qui ne sont plus utilisés, d'un poste qui change de réseau fréquemment, etc.

Sachez également que dans un environnement en "workgroup", le protocole LLMNR est utilisé pour effectuer la découverte du réseau.

Lorsque nous tentons de résoudre un nom à partir d'une machine Windows, le système d'exploitation va effectuer la vérification dans cet ordre (comme indiqué dans la documentation Microsoft) :

1 - Le nom d'hôte demandé est-il celui de la machine locale ?

2 - Le nom d'hôte demandé est-il indiqué dans le fichier hosts de la machine (C:\Windows\System32\drivers\etc\hosts)

3 - Le nom d'hôte demandé est-il présent dans le cache DNS de la machine ? Ceci revient à consulter le cache local avec la commande PowerShell "Get-DnsClientCache" ou la commande "ipconfig /displaydns".

4 - Le nom d'hôte demandé reste introuvable, donc Windows va solliciter le serveur DNS configuré sur l'interface réseau active de la machine.

5 - En dernier recours, si aucune réponse n'est obtenue, Windows va émettre deux requêtes sur le réseau : une requête NBT-NS en broadcast et une requête LLMNR en multicast afin de tenter d'obtenir une réponse. Nous pouvons dire que LLMNR repose sur le principe du voisinage réseau.

6 - Aucune réponse : échec de la recherche

Vous l'aurez compris : la recherche s'arrête à partir du moment où le nom a pu être résolu par Windows. Ainsi, si le nom d'hôte demandé est identifié dans le fichier hosts, alors Windows ne sollicitera pas son cache DNS, ni même le serveur DNS configurés sur la carte réseau, et il n'utilisera pas non plus le protocole LLMNR.

Remarque : le protocole LLMNR fonctionne en UDP sur le port 5355.

III. Qu'est-ce que le protocole NetBIOS ?

Au même titre que LLMNR, le protocole NetBIOS over TCP/IP, appelé également NBT-NS, est utilisé pour effectuer de la recherche de ressources sur un réseau local.

Contrairement au LLMNR qui diffuse une requête multicast, le NetBIOS diffuse une requête de broadcast lorsqu'il effectue une recherche. Autre différence : NetBIOS fonctionne uniquement en IPv4, alors que LLMNR fonctionne aussi bien en IPv4 qu'en IPv6.

Remarque : le protocole NetBIOS s'appuie sur plusieurs ports pour fonctionner (ports 137/UDP, 138/UDP et 139/TCP).

IV. Quels sont les risques associés à LLMNR et NetBIOS ?

A. Poisoning et MiTM

Le protocole LLMNR (ainsi que le NetBIOS) est vulnérable à des attaques de type poisoning et man-in-the-middle (MiTM).

Si une machine Windows tente de résoudre un nom d'hôte, elle va chercher à obtenir une réponse en sollicitant les services de résolutions de noms dans l'ordre évoqué précédemment dans cet article. Si ce processus arrive jusqu'à la fin, Windows va émettre un paquet LLMNR en multicast sur le réseau pour tenter d'obtenir une réponse... C'est là qu'un attaquant peut intervenir en se faisant passer pour l'hôte recherché par le client Windows.

En effet, si un attaquant répond à une requête LLMNR, il peut envoyer une fausse information à la machine Windows. Celle-ci ne sera pas capable de déterminer si la réponse est légitime ou non, ni même à quoi correspond l'hôte de destination, car il n'y a aucune authentification. Ainsi, la machine Windows sera susceptible de tenter une authentification auprès du serveur contrôlé par l'attaquant.

Grâce à cela, l'attaquant peut récupérer des identifiants, que ce soit le hash Net-NTLM, des identifiants HTTP, etc... En fonction du type de service. S'il s'agit d'un hash Net-NTLM, il sera possible de le réutiliser ou de le casser à l'aide d'un outil tel que hashcat ou John The Ripper.

Si l'authentification Windows utilisée repose sur NTLMv2 (donc un challenge-réponse), les échanges récupérés seront plus difficiles à casser pour récupérer le mot de passe utilisateur. Il reste possible d'effectuer une attaque dite SMB-relay, qui consiste pour l'attaquant à jouer les intermédiaires entre le client empoisonné et le serveur légitime, afin d'usurper la session SMB d'un utilisateur sans connaitre son mot de passe.

B. LLMNR poisoning avec Responder

Si vous souhaitez mettre en pratique ce type d'attaque, vous pouvez utiliser l'outil Python Responder. Il présente l'avantage de prendre en charge différents types de services pour "piéger" la machine Windows (SMB, HTTP, HTTPS, LDAP, etc.), aussi bien en IPv4 qu'en IPv6. Nous pouvons l'utiliser facilement puisqu'il est intégré à Kali Linux.

Imaginons une machine sous Windows Server (ou Windows), à partir de laquelle nous souhaitons accéder à un serveur de fichiers nommé "srv-fichier". Et une seconde machine, sous Kali Linux, avec l'outil Responder. Toutes les machines sont connectées sur le même réseau.

Tout d'abord, nous allons préparer la machine de l'attaquant. L'outil Responder contient de nombreuses options, mais nous allons simplement l'exécuter avec les options par défaut et le mettre en écoute sur l'interface "eth0" de la machine Kali Linux :

sudo responder -I eth0
Attaque LLMNR avec Responder

A partir de ce moment-là, Responder est en attente... Il est à l'écoute du trafic réseau, notamment des requêtes LLMNR et NBT-NS.

Depuis le serveur Windows, nous allons accéder au serveur "srv-fichier" via le protocole SMB donc nous allons utiliser un chemin UNC : "\\<nom du serveur>\". Nous allons volontairement effectuer une erreur de saisie dans le nom (ce qui dans la vie réelle, peut arriver !) :

\\srv-fichiers\
Tentative de connexion serveur de fichiers LLMNR

Ainsi, le serveur DNS ne pourra pas nous rediriger vers notre serveur de fichiers, car il ne connait pas "srv-fichiers". Notre machine Windows Server va donc solliciter le réseau local pour "localiser" cet hôte... C'est là que Responder intervient !

En temps normal, nous aurions obtenu une erreur puisque Windows ne parvient pas à localiser notre serveur... Mais là, une fenêtre "Entrer les informations d'identification réseau" s'affiche afin que l'on puisse saisir nos identifiants dans le but de nous authentifier auprès du serveur "srv-fichiers". Tant qu'à faire, nous allons indiquer le compte Administrateur du domaine Active Directory auquel appartient notre serveur...

LLMNR poisoning - Saisi des identifiants

Sauf que nous ne sommes pas en train de nous authentifier auprès du serveur de fichiers, mais auprès de Responder ! Il a répondu à la requête LLMNR émise par l'hôte la machine Windows Server au moment où l'on cherchait à résoudre le nom "srv-fichiers". Notre client Windows Server a été empoisonné par Responder !

Ainsi, Responder est parvenu à collecter le nom d'utilisateur et le hash NTLMv2 du mot de passe saisi dans la fenêtre "Entrer les informations d'identification réseau". Une information sensible que l'on peut réutiliser via la technique Pass-the-hash ou que l'on pourrait essayer de "craquer" pour obtenir le mot de passe en clair...

Capture hash NTLM avec Responder - LLMNR

Ceci est une démonstration très simple basée sur un accès SMB, mais elle met en évidence les faiblesses des protocoles LLMNR / NetBIOS ! Une erreur de saisie, un peu de naïveté, et on laisse fuiter des identifiants...! Dans un scénario man-in-the-middle, ceci serait possible, y compris avec un nom légitime de serveur.

Pour finir sur cette partie, sachez qu'il est possible d'utiliser Responder en mode "passif" grâce à l'option -A. Alors, il va simplement journaliser les paquets qu'il aurait pu exploiter (LLMNR/NBT-NS) sans tenter d'empoisonnement. C'est notamment utile si vous souhaitez avoir un diagnostic rapide concernant l'utilisation de ces protocoles sur votre réseau, sans tenter d'attaque. À noter qu'une analyse Wireshark avec un filtre LLMNR fera également l'affaire pour un diagnostic.

V. Active Directory : comment désactiver le protocole LLMNR ?

Dans un environnement Active Directory, les protocoles LLMNR et NetBIOS ne sont pas nécessaires pour assurer un fonctionnement normal. Ainsi, nous allons pouvoir les désactiver !

Toutefois, ne déployez pas massivement ce changement : effectuez des tests et déployez progressivement cette modification. Pourquoi ? Et bien, certains périphériques, notamment des imprimantes, peuvent avoir besoin du LLMNR (ou du NetBIOS) pour fonctionner.

Pour désactiver l'utilisation du LLMNR, vous devez créer une nouvelle stratégie de groupe afin de configurer un paramètre.

Ce fameux paramètre se situe à l'emplacement suivant :

  • Configuration ordinateur > Modèles d'administration > Réseau > Client DNS

A cet endroit, vous pourrez localiser un paramètre nommé "Désactiver la résolution de noms multidiffusion" (ou "Turn off multicast name resolution" en anglais).

GPO - Désactiver LLMNR

Vous devez configurer le paramètre sur "Activé" pour désactiver la résolution de noms basée sur LLMNR.

GPO - Désactiver la résolution de noms multidiffusion

La GPO est prête ! Un seul et unique paramètre de GPO est suffisant pour désactiver LLMNR sur les machines Windows. Il suffit de lier la GPO de manière à l'appliquer aux machines de votre environnement Active Directory.

VI. Active Directory : comment désactiver le protocole NetBIOS ?

Pour désactiver le protocole NetBIOS, nous pouvons procéder de différentes façons : voici trois méthodes que vous pouvez utiliser.

A. Désactiver manuellement le NetBIOS

Sous Windows, l'activation/désactivation du NetBIOS s'effectue interface réseau par interface réseau. Autrement dit, NetBIOS peut être activé sur une interface réseau et désactivé sur autre interface réseau.

Pour désactiver manuellement le NetBIOS sur une interface réseau, ouvrez le "Panneau de configuration", cliquez sur "Centre Réseau et partage" puis sur le nom de la carte (par exemple "Ethernet0") afin de cliquer sur "Propriétés". Ensuite, sélectionnez "Protocole Internet version 4 (TCP/IPv4)" et cliquez sur "Propriétés".

Vous allez obtenir la fenêtre présentée ci-dessous. Il vous suffira de :

1 - Cliquer sur le bouton "Avancé..."

2 - Cliquer sur l'onglet "WINS"

3 - Cocher l'option "Désactiver NetBIOS sur TCP/IP" au lieu de "Par défaut"

Désactiver NetBIOS sur Windows 11

Validez, le tour est joué ! Cette action doit être répétée sur chaque interface réseau (et sur chaque machine) !

B. Désactiver le NetBIOS par GPO

Pour désactiver le NetBIOS explicitement sur chaque interface réseau de Windows, nous allons devoir configurer le Registre Windows. Si l'on regarde de plus près le Registre Windows, nous pouvons voir que sous :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\

Il y a une clé de Registre par interface réseau présente sur la machine. À chaque fois, chaque clé de Registre contient une valeur nommée "NetbiosOptions" qui indique si le NetBIOS est activé ou désactivé. En fait, c'est le reflet de l'option que nous avons configurée précédemment (méthode manuelle).

Windows - Registre - NetbiosOptions

Nous remarquons également que chaque clé est nommée sous la forme "Tcpip_{ID}" et ces valeurs seront différentes d'une machine à une autre. Mais, finalement, ce n'est pas un problème, car une seule et unique commande PowerShell va nous permettre de désactiver NetBIOS sur toutes les interfaces de la machine en configurant l'option "NetbiosOptions" dans le Registre :

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\tcpip_*' -Name NetbiosOptions -Value 2 -Verbose

Le fait d'ajouter le paramètre "-Verbose" permet d'en savoir plus sur les actions effectuées par la commande. Ceci est utile pour vérifier que PowerShell modifie bien l'option de chaque interface réseau présente dans le Registre (sous "Interfaces").

COMMENTAIRES : Opération « Définir la propriété » en cours sur la cible « Élément : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{04d8a5a6-b0cc-47ac-9db9-66e7d949eee3} Propriété : NetbiosOptions ».

COMMENTAIRES : Opération « Définir la propriété » en cours sur la cible « Élément : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{56acc37a-293b-4036-8ed6-074387cd226d} Propriété : NetbiosOptions ».

COMMENTAIRES : Opération « Définir la propriété » en cours sur la cible « Élément : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{6aa63069-e2a1-43d8-bd3c-01586317d391} Propriété : NetbiosOptions ».

Pour désactiver NetBIOS par GPO, nous devons exécuter cette commande sur les machines à l'aide d'un script PowerShell !

L'objectif étant de créer une GPO qui va exécuter un script au démarrage de l'ordinateur. Ouvrez la console de gestion des stratégies de groupe pour créer une nouvelle GPO... et laissez-vous guider.

1 - Parcourez les paramètres de GPO de cette façon :

  • Configuration ordinateur > Paramètres Windows > Scripts (démarrage/arrêt)

2 - Double-cliquez sur "Démarrage"

3 - Cliquez sur l'onglet "Script PowerShell"

4 - Cliquez sur le bouton "Ajouter"

5 - Cliquez sur le bouton "Parcourir"

6 - Sélectionnez le script PowerShell et validez (vous pouvez le copier-coller à cet emplacement s'il n'est pas encore là, mais l'essentiel étant de bien veiller à utiliser un chemin réseau)

Désactiver NetBIOS par GPO

Voilà, la GPO est prête ! Vous pouvez l'appliquer sur les mêmes machines que la GPO pour LLMNR.

C. Désactiver le NetBIOS via le DHCP (option 001)

En tant que complément ou alternative à la méthode par GPO, nous pouvons compter sur notre serveur DHCP pour désactiver le NetBIOS ! En effet, l'option 001 disponible sur les serveurs DHCP sous Windows Server permet d'activer ou désactiver le NetBIOS sur l'interface réseau qui va récupérer l'adresse IP.

Lorsque cette option n'est pas configurée, le NetBIOS est actif sur l'interface réseau : c'est le comportement par défaut. Nous pouvons le vérifier facilement avec cette commande :

ipconfig /all

Dans la sortie de cette commande, nous pouvons lire : "NetBIOS sur Tcpip : activé".

Désormais, sur le serveur DHCP, nous allons configurer une nouvelle option d'étendue pour désactiver le NetBIOS.

1 - A partir de la console DHCP, accédez à votre étendue et cliquez sur "Options d'étendue". Effectuez un clic droit et choisissez "Configurer les options...".

2 - Cliquez sur l'onglet "Avancé" présent dans la fenêtre "Options étendue".

3 - Pour l'option "Classe de fournisseur", choisissez "Options Microsoft Windows 2000".

4 - Cochez l'option "001 Option Microsoft de désactivation du NetBIOS" pour la configurer sur cette étendue

5 - Attribuez la valeur "0x2" à cette option pour désactiver le NetBIOS.

Note : vous pouvez définir cette option au niveau des options du serveur DHCP pour que toutes vos étendues héritent de la configuration de cette option.

Ainsi, lorsqu'une machine va renouveler son bail DHCP en sollicitant notre serveur DHCP, elle va désactiver le NetBIOS. Pour rappel, vous pouvez libérer un bail DHCP et demander une nouvelle configuration réseau avec ces deux commandes :

ipconfig /release
ipconfig /renew

L'exemple ci-dessous montre bien que le NetBIOS est désactivé, contrairement à l'état de l'interface avant de configurer l'option dans le DHCP.

Cette méthode est pratique et facile à mettre en œuvre si vous utilisez un serveur DHCP sous Windows Server. Par contre, elle a une limite : elle ne s'applique qu'aux clients DHCP. Autrement dit, ceci n'aura aucun effet sur les serveurs ou les machines avec une configuration réseau statique.

VII. Conclusion

LLMNR et NetBIOS sont des protocoles, qui en principe, sont là pour faciliter la vie de tout le monde, mais en réalité, ils représentent un danger. En environnement Active Directory, LLMNR et NetBIOS ne sont pas utiles et doivent être désactivés. À l'inverse, au sein d'un environnement workgroup (groupe de travail), ceci est différent, car il n'y a pas de serveur DNS local donc votre machine Windows peut avoir besoin de ces protocoles pour communiquer, via des noms, avec les autres appareils connectés au réseau local.

Du côté de Microsoft, des changements sont en cours de préparation pour désactiver par défaut certains protocoles, dont le NetBIOS. Plus globalement, l'entreprise américaine veut durcir la configuration de base de Windows 11 en limitant ou désactivant (par défaut) certains protocoles et composants.

Dans un prochain article, nous parlerons d'un autre protocole : mDNS. Lui aussi, c'est un protocole utilisé par Windows (mais aussi d'autres systèmes) pour effectuer de la résolution de noms lorsque la résolution DNS n'est pas disponible ou qu'elle échoue. Ainsi, désactiver LLMNR et NBT-NS ne suffit pas...

En attendant, intéressez-vous aux protocoles LLMNR et NetBIOS présentés dans l'article du jour ! Par ailleurs, pensez à vous débarrasser d'autres protocoles comme SMBv1 ou encore NTLM.

The post Active Directory : comment et pourquoi désactiver les protocoles LLMNR et NetBIOS ? first appeared on IT-Connect.

MFA : l’application Authy pour Windows, Linux et macOS va être arrêtée !

9 janvier 2024 à 06:00

Twilio a fait une annonce importante pour les utilisateurs d'Authy : les applications desktop pour Windows, Linux et macOS vont être stoppés en août 2024. Il ne restera plus que l'application mobile Authy. Voici ce qu'il faut savoir !

Depuis plusieurs années, l'entreprise américaine Twilio propose une application baptisée Authy, dont l'objectif est de vous permettre de gérer vos codes d'authentification à usage unique utilisés dans le cadre du MFA/2FA. Autrement dit, il s'agit d'une alternative à d'autres applications telles que FreeOTP, Microsoft Authenticator, ou encore Google Authenticator.

Jusqu'ici, Authy était disponible à la fois sur mobile et sur ordinateur par l'intermédiaire d'applications officielles. Authy est une application populaire avec des fonctions très intéressantes ! Par exemple, nous pouvons citer la possibilité de générer un code à usage unique en étant hors ligne, de synchroniser nos comptes entre plusieurs appareils, ou encore de sauvegarder sa configuration dans le Cloud (sauvegarde chiffrée).

Les choses vont changer. Twilio a pris la décision d'arrêter toutes les applications desktop d'Authy à compter d'août 2024. En effet, Twilio souhaite concentrer ses efforts là où la demande est plus forte : il est vrai que les applications de ce type sont principalement utilisées sur mobile. "Nous avons pris la décision difficile de mettre fin aux applications de bureau Twilio Authy afin de rationaliser nos activités et d'offrir plus de valeur aux solutions existantes pour lesquelles nous constatons une demande croissante.", peut-on lire sur une page de support d'Authy. Actuellement, la société Twilio traverse une zone de turbulences...

Dès à présent, Twilio vous encourage à laisser tomber l'application desktop pour passer sur la version mobile d'Authy, que ce soit sur iOS ou Android. Pour faciliter la transition de l'ordinateur vers le mobile, sachez que vous pouvez utiliser la fonction de sauvegarde afin de synchroniser vos comptes vers votre mobile.

Si vous ne pouvez pas utiliser une application mobile pour générer vos codes TOTP, sachez qu'il existe toujours d'autres solutions... Par exemple, l'application gratuite KeePassXC est capable d'assumer ce rôle.

Source

The post MFA : l’application Authy pour Windows, Linux et macOS va être arrêtée ! first appeared on IT-Connect.

Arnaque en ligne : les comptes X (Twitter) de Netgear et Hyundai piratés et détournés !

9 janvier 2024 à 07:43

Des cybercriminels sont parvenus à pirater deux comptes X (Twitter) avec de nombreux followers : celui du fabricant de matériel informatique Netgear, et celui du géant de l'automobile Hyundai pour la zone MEA. Voici ce que l'on sait.

Il y a quelques jours, le compte X (Twitter) de l'entreprise Mandiant, filiale de Google spécialisée dans la cybersécurité, a été compromis et utilisé par des pirates pour usurper l'identité de Phantom, un service permettant d'avoir un portefeuille de cryptomonnaies. Désormais, ce sont les comptes de Netgear et Hyundai qui ont été compromis : à eux deux, ils cumulent environ 160 000 followers, ce qui n'est pas anodin.

Cette fois-ci, les pirates ont renommé le compte de Hyundai MEA (Middle East & Africa) dans le but d'usurper l'identité d'Overworld, un jeu vidéo multiplateforme qui appartient à la société Binance Labs, elle-même affiliée à Binance, une plateforme mondialement connue dans le domaine des cryptomonnaies.

Le compte de Netgear a été détourné pour usurper l'identité de BRC App. Ensuite, les pirates l'ont utilisé pour répondre à certains tweets, notamment pour rediriger les victimes vers un site web malveillant. Pour cela, une promesse est faite : les 1 000 premiers inscrits sur BRC App recevront 100 000 dollars. Dans le cas où l'utilisateur se fait berner, son portefeuille de cryptomonnaie est vidé et son contenu tombe entre les mains des cybercriminels ! Il est à noter que le compte de Netgear serait compromis depuis au moins le 6 janvier 2024.

Nous pouvons constater que les cybercriminels s'intéressent de plus en plus à la compromission des comptes X (Twitter). Ils s'intéressent aux comptes avec de nombreux abonnés, mais aussi à ceux qui ont un badge de certification, ce qui permet de tromper plus facilement les utilisateurs. Bien souvent, le mode opératoire est le même : compromettre le compte, usurper l'identité d'un service lié au secteur des cryptomonnaies, et diffuser un lien malveillant dans le but de voler les actifs des victimes !

Source

The post Arnaque en ligne : les comptes X (Twitter) de Netgear et Hyundai piratés et détournés ! first appeared on IT-Connect.

❌
❌