Dans ce tutoriel, nous allons voir comment fusionner des fichiers PDF sous Windows. La fusion de fichiers PDF est utile lorsque vous souhaitez combiner plusieurs documents au format PDF en un seul fichier.
Nous allons évoquer les différentes solutions à notre disposition avant de passer à l'utilisation des applications PDFSam Basic et PDF24.
II. Quel logiciel utiliser pour fusionner des PDF ?
Sur Windows, il existe de nombreuses applications capables de lire, modifier et manipuler des documents PDF. Le problème, c'est que la grande majorité de ces applications réservent leurs fonctions clés pour les versions payantes. Fort heureusement, il y a quelques exceptions.
Voici quelques exemples de solutions offertes :
Adobe Acrobat Reader DC : la version gratuite de cette application ne permet pas de fusionner ou combiner des fichiers PDF. L'option est bien présente, mais lorsque nous cliquons dessus, nous sommes invités à passer sur la version "Pro".
Microsoft Word : l'intégration de fichiers PDF dans un document Word en tant qu'objet PDF est une possibilité, mais ceci a tendance à altérer la mise en page des documents.
PDFSam Basic : la version gratuite intègre plusieurs outils pour manipuler les fichiers PDF, dont la possibilité de combiner plusieurs fichiers.
PDF24 : la boite à outils PDF24 est gratuite et elle intègre beaucoup de fonctions pour modifier et manipuler les documents PDF, y compris une fonction pour combiner des fichiers.
Nous allons voir comment fusionner des documents PDF avec PDFSam Basic et PDF24, deux solutions gratuites pour les utilisateurs de Windows. Que vous soyez sur Windows 10 ou Windows 11, ces applications fonctionneront de la même façon.
Avant de commencer : par précaution, veillez à toujours sauvegarder vos fichiers PDF avant de les modifier, combiner, diviser, etc.
III. Fusionner des PDF avec PDFSam Basic
PDFSam Basic est une boite à outils gratuite et open source pour manipuler des PDF sur Windows. Simple d'utilisation grâce à son interface épurée, PDFSam Basic vous permettra de fusionner des PDF en quelques clics. Personnellement, c'est une application que j'apprécie et que j'utilise depuis des années.
La première étape consiste à le télécharger et à l'installer. La version "Basic" est totalement gratuite, contrairement aux autres versions. Voici un lien pour accéder à la page de téléchargement :
Au moment de l'installation, pensez à décocher l'option "Installez PDFSam Enhanced...." pour installer la version Basic.
Lancez l'application une fois qu'elle est installée. Un ensemble d'outils sont à votre disposition pour fusionner, découper, extraire, etc... pour jouer avec des documents PDF. Ici, nous allons nous intéresser aux outils de fusion, et plus particulièrement l'outil nommé "Fusion". Il va permettre de prendre X documents PDF et de les regrouper en un seul fichier.
La première étape consiste à sélectionner les fichiers PDF à fusionner. L'idée étant de les lister dans l'ordre où ils doivent être fusionnés. Pour gérer l'ordre, il suffit de cliquer sur un fichier puis de cliquer sur les boutons "Monter" et "Descendre".
Certaines options supplémentaires sont disponibles, notamment pour ajouter un pied de page, normaliser les pages (selon une largeur fixe, par exemple), pour générer une table des matières, ou encore pour indiquer s'il faut conserver les signets ou non.
La dernière étape consiste à indiquer le nom et l'emplacement du fichier de sortie, c'est-à-dire du PDF fusionné. Il est également possible de compresser le fichier créé et de choisir la version de PDF. Ensuite, il ne reste plus qu'à cliquer sur "Exécuter".
Voici le document PDF obtenu en sortie :
Il contient bien les deux documents PDF que je souhaitais fusionner ! Le fichier de sortie pèse 58 Ko.
IV. Fusionner des PDF avec PDF24
PDFSam Basic n'est pas la seule application gratuite pour fusionner des PDF sous Windows. Nous pouvons utiliser l'application PDF24 que nous pouvons installer sur Windows afin de bénéficier de toute la suite d'outils PDF24. Ceci évite d'utiliser la version en ligne et donc d'envoyer les fichiers sur les serveurs de PDF24. Grâce à l'application, le traitement est effectué en local.
Commencez par télécharger et installer PDF24 pour Windows :
Lancez l'application "PDF24 Toolbox" une fois l'installation terminée. Dans la liste des outils, cliquez sur "Fusionner PDF". Comme vous pouvez le voir, il y a beaucoup d'autres outils disponibles.
Ensuite, ajoutez les fichiers PDF que vous souhaitez fusionner. Là encore, l'ordre est important, car les fichiers seront fusionnés "de la gauche vers la droite". Avec un glisser-déposer, vous pouvez changer l'ordre. Un affichage en mode liste est également proposé. En comparaison de PDFSam Basic, il y a moins d'options proposées pour la fusion de PDF : nous pouvons seulement ajouter la création de marque-pages.
Quand vous êtes prêt, cliquez sur le bouton "Créer un PDF".
Un fichier PDF correspondant aux documents PDF fusionnés a été généré. Il est possible de l'enregistrer et même de l'envoyer directement par e-mail.
Nous obtenons bien le résultat attendu. Le fichier de sortie pèse 66 Ko.
V. Conclusion
Vous connaissez maintenant plusieurs options pour fusionner des fichiers PDF sous Windows ! Choisissez celle qui vous convient le mieux entre PDFSam Basic et PDF24. Il est à noter que les fichiers sources ne sont pas supprimés par ces applications. Néanmoins, attention, si le fichier de sortie porte le nom d'un fichier source et qu'il est généré au même endroit, il l'écrasera.
Au sein de Windows 11 24H2, Microsoft va faire du ménage puisque deux applications seront définitivement supprimées : WordPad et Cortana. Faisons le point.
Alors que Windows 11 24H2 commence à pointer le bout de son nez par l'intermédiaire d'une préversion disponible pour les membres du programme Windows Insiders, nous apprenons que Microsoft a prévu de supprimer deux applications : WordPad et Cortana.
Ce n'est pas une réellement une surprise, car Microsoft a déjà fait part de son intention de supprimer WordPad, un logiciel de traitement de texte historique présent dans Windows depuis 1995. Il s'agit d'une application basique pouvant être utilisée pour créer des documents, mais aussi pour ouvrir les fichiers .rtf, .docx, .odt et .txt, ce qui en fait aussi une liseuse pour les documents Microsoft Word.
Il en va de même pour Cortana, l'assistant vocal de Microsoft qui n'est jamais parvenu à s'imposer et qui se doit de laisser sa place à Microsoft Copilot. L'application Tips, intégrée à Windows et permettant d'obtenir des conseils, sera aussi supprimée.
Jusqu'ici, nous ne savions pas quand ces applications seront supprimées de Windows 11, mais maintenant, c'est plus clair. En effet, Microsoft a donné des précisions par l'intermédiaire de l'équipe du programme Windows Insider : "Veuillez noter que Cortana, Tips et WordPad sont supprimés après la mise à niveau vers Windows 11, version 24H2. Ces applications sont obsolètes."
Il y a quelques jours, la firme de Redmond a également fait part de son intention de supprimer Visual Basic Script (VBScript) de Windows 11. Néanmoins, Microsoft a conscience que ce changement est impactant pour de nombreuses organisations : ce sera effectué par étape, et sur plusieurs années. Dès Windows 11 24H2, il sera possible de supprimer VBScript en quelques scripts, car ce sera une fonctionnalité facultative (à la demande) de Windows.
Un nouveau ransomware baptisé ShrinkLocker présente la particularité de s'appuyer sur BitLocker, un composant intégré par défaut à Windows, pour chiffrer les données d'un ordinateur. Faisons le point sur cette menace.
Le ransomware ShrinkLocker s'appuie sur BitLocker pour chiffrer les données et les disques des machines Windows compromises, après avoir effectué des modifications sur le disque afin de créer son propre volume d'amorçage. Il a été utilisé pour cibler des organisations dans le secteur du médical, des industries ainsi qu'une entité gouvernementale.
Les chercheurs en sécurité de Kaspersky ont mis en ligne un rapport détaillé au sujet du ransomware ShrinkLocker, que vous pouvez retrouver sur cette page.
ShrinkLocker s'appuie sur VBScript, WMI et diskpart
Il est intéressant de noter que ShrinkLocker est écrit en VBScript (Visual Basic Scripting), un langage qui est en fin de vie et que Microsoft va supprimer de Windows d'ici quelques années. Mais, en attendant, VBScript est parfaitement utilisable sur Windows, même s'il devrait pouvoir être désinstallé facilement à partir de Windows 11 24H2.
Par ailleurs, pour détecter la version de Windows exécutée sur la machine ciblée, le ransomware ShrinkLocker s'appuie WMI afin de solliciter la classe "Win32_OperatingSystem", bien connue des administrateurs systèmes. Ceci permet au ransomware d'effectuer quelques vérifications, notamment de s'assurer que le domaine de la machine correspond bien à la cible et que l'OS est plus récent que Windows Vista.
Si la cible répond à différents critères, l'attaque se poursuit grâce à l'utilisation de l'outil diskpart intégré à Windows. Il est utilisé pour réduire de 100 Mo toutes les partitions qui ne sont pas des partitions de démarrage. L'espace non alloué est utilisé pour créer de nouveaux volumes primaires sur le disque de la machine.
Enfin, le Registre Windows est modifié pour configurer le système afin de désactiver les connexions Bureau à distance et pour activer BitLocker sans utiliser de puce TPM. Les clés de Registre "EnableBDEWithNoTPM" et "fDenyTSConnections" sont évoquées.
Une machine piégée avec BitLocker
Le ransomware ShrinkLocker fait en sorte d'activer et de configurer BitLocker de façon à ce que la victime ne puisse plus lancer sa machine. Nous pourrions presque dire que la machine a été sabotée par l'intermédiaire de BitLocker.
La clé BitLocker générée est transmise aux cybercriminels, tandis qu'à la fin de l'opération, ShrinkLocker force le système à s'éteindre pour appliquer toutes les modifications. Ainsi, l'utilisateur se retrouve avec une machine avec des disques verrouillés et sans aucune option de récupération BitLocker...
"Après avoir supprimé les protecteurs BitLocker et configuré le chiffrement du disque, le script suit les étapes suivantes pour effacer ses traces.", précise Kaspersky. En effet, le ransomware effectue différentes actions de nettoyage sur la machine, telle que la suppression du journal "Microsoft-Windows-PowerShell/Operational".
Il pourrait s'agir d'attaques dont l'objectif est de détruire les données puisque le ransomware ne laisse aucune note de rançon. La seule information fournie est une adresse e-mail indiquée en tant que label sur la nouvelle partition créée par le logiciel malveillant.
Les mises à jour de sécurité s'enchaînent pour Google Chrome : une nouvelle version a été publiée pour corriger une faille de sécurité zero-day. C'est la 8ème faille zero-day corrigée dans Google Chrome depuis le début de l'année 2024. Faisons le point.
Rien qu'au mois de mai 2024, Google a corrigé 4 failles de sécurité zero-day dans son navigateur Google Chrome. Nous avions évoqué certaines de ces vulnérabilités dans nos précédents articles :
Évoquons celle que Google vient de corriger par l'intermédiaire de nouvelles mises à jour.
Associée à la référence CVE-2024-5274, cette vulnérabilité signalée à Google par Clément Lecigne et Brendon Tiszka est présente dans le moteur JavaScript V8 de Google Chrome. Il est très fréquent que des failles de sécurité soient découvertes dans ce composant du navigateur de Google. Cette fois-ci, il s'agit d'une faiblesse de type "type confusion".
Dans le bulletin de sécurité de Google, voici ce que l'on peut lire au sujet de cette vulnérabilité déjà connue publiquement : "Google sait qu'il existe un programme d'exploitation pour CVE-2024-5274 dans la nature." - Comme à chaque fois, et dans le but de protéger ses utilisateurs, Google n'a pas donné de détails techniques supplémentaires.
Comment se protéger de la CVE-2024-5274 ?
Les utilisateurs de Google Chrome sur Windows, macOS et Linux sont affectés par cette vulnérabilité importante. Google a publié la version 125.0.6422.112 pour Linux et les versions 125.0.6422.112/.113 pour Mac et Windows. Cette mise à jour ne corrige pas d'autres vulnérabilités.
Pour effectuer la mise à jour du navigateur Google Chrome sur votre machine : rendez-vous dans le menu avec les trois points verticaux, puis sous "Aide", cliquez sur "À propos de Google Chrome". Le navigateur effectuera une recherche de mise à jour automatiquement.
GitLab a corrigé une faille de sécurité importante dans l'éditeur de code Web IDE présent dans GitLab Community Edition (CE) et Enterprise Edition (EE). Faisons le point sur cette menace.
La faille de sécurité 1-click "CVE-2024-4835" corrigée par les développeurs de GitLab pourrait permettre à un attaquant de voler des informations sensibles, et donc, de prendre le contrôle du compte d'un utilisateur.
"Prise de contrôle d'un compte en un clic via XSS en utilisant l'éditeur de code VS (Web IDE)", c'est ainsi qu'est décrite cette vulnérabilité sur le site de GitLab.
Pour atteindre son objectif et tirer profit de cette faiblesse de type XSS, l'attaquant doit attirer l'utilisateur pris pour cible vers une page malveillante. "En tirant parti de cette vulnérabilité, un attaquant peut créer une page malveillante pour exfiltrer des informations sensibles de l'utilisateur.", peut-on lire dans le bulletin de sécurité de GitLab.
La compromission d'un compte GitLab peut s'avérer très intéressant pour les attaquants afin d'accéder à du code source, voler des informations sensibles (secrets, clés d'API, etc.), et même, mettre en œuvre une attaque de la chaine d'approvisionnement (supply chain attack).
La CVE-2024-4835 n'est pas la seule vulnérabilité corrigée par GitLab dans les nouvelles versions de ses applications. Au total, ce sont pas moins de 7 failles de sécurité qui ont été corrigées, mais celle évoquée dans cet article est la plus dangereuse.
Comment se protéger ?
Pour vous protéger de ces vulnérabilités, vous devez installer l'une des versions publiées par GitLab, à savoir les versions 17.0.1, 16.11.3 et 16.10.6 de GitLab Community Edition (CE) et GitLab Enterprise Edition (EE). Autrement dit, les versions 15.11 avant 16.10.6, 16.11 avant 16.11.3, et 17.0 avant 17.0.1 sont affectées.
"Ces versions contiennent d'importantes corrections de bogues et de sécurité, et nous recommandons fortement que toutes les installations de GitLab soient mises à jour vers l'une de ces versions immédiatement. GitLab.com utilise déjà la version corrigée.", peut-on lire sur le site officiel.
En début d'année 2024, la faille de sécurité critique CVE-2023-7028a également été corrigée dans GitLab.
Microsoft a publié une nouvelle mise à jour hors bande à destination des utilisateurs de Windows Server 2019 pour permettre l'installation de la mise à jour de mai 2024 (KB5037765) sans erreur. Faisons le point.
Il y a une semaine, nous avions publié un article au sujet de cette erreur 0x800f0982 rencontrée par les utilisateurs de Windows Server 2019. Voici le lien :
L'installation de la mise à jour de mai 2024 sur Windows Server 2019 ne se déroule pas comme prévu, car elle génère une erreur et refuse de s'installer. Suite à de nombreux signalements, Microsoft a rapidement reconnu l'existence de ce problème, comme le montre ce message publié sur son site : "L'installation peut échouer avec un code d'erreur 0x800f0982. Ce problème est plus susceptible d'affecter les appareils qui n'ont pas le pack linguistique anglais (États-Unis)." - Ceci affecte effectivement les installations de Windows Server en français, en allemand et en espagnol, et peut-être même en d'autres langues.
Pour corriger ce problème et vous débarrasser de l'erreur 0x800f0982, Microsoft vous propose d'installer une mise à jour hors bande sur votre serveur : la KB5039705 publiée le jeudi 23 mai 2024.
Voici les indications de la firme de Redmond au sujet de cette mise à jour : "Cette mise à jour résout un problème connu lié au pack linguistique anglais (États-Unis). Si votre appareil ne l'a pas, l'installation de KB5037765 peut échouer. Le code d'erreur est 0x800f0982. Mais ce problème peut affecter les appareils qui disposent de ce pack linguistique."
L'installation de la mise à jour KB5039705
Vous devez installer la mise à jour KB5039705 et redémarrer votre serveur. La mise à jour KB5037765 ne sera plus proposée, car elle est remplacée par la nouvelle mise à jour.
Microsoft a mis à disposition cette mise à jour dans le Catalogue Microsoft Update, ainsi que pour WSUS, et directement dans Windows Update. Autrement dit, elle devrait être proposée sur les serveurs Windows Server 2019 via une recherche de mise à jour.
Si vous testez ce correctif, n'hésitez pas à nous faire un retour en commentaire.
Microsoft a mis en ligne une nouvelle version de sa suite d'outils PowerToys : 0.81.0. Elle apporte un nouvel outil baptisé "Advanced Paste" qui révolutionne l'utilisation du copier-coller sur Windows. Voici pourquoi.
L'outil Advanced Paste vient s'ajouter à la longue liste d'outils présents dans la suite PowerToys et disponible gratuitement pour tous les utilisateurs de Windows 11 et Windows 10. Il ajoute des fonctionnalités avancées au presse-papiers de Windows afin de le faire rentrer dans une autre dimension, grâce à l'IA. Encore et toujours des nouveautés basées sur l'IA, me direz-vous.
Qu'est-ce qui change avec Advanced Paste, que l'on peut traduire par le "Collage avancé" ? Et bien, cet outil est capable de convertir le contenu du presse-papiers dans un nouveau format, selon vos besoins. "PowerToys Advanced Paste est un outil amélioré par l’IA qui vous permet de coller intelligemment le texte de votre presse-papiers dans n’importe quel format souhaité.", peut-on lire dans la documentation de Microsoft.
Le menu contextuel intègre trois intéressantes : coller en tant que texte brut, coller en tant que JSON et coller en tant que Markdown. Appréciable pour formater automatiquement le texte copié dans le presse-papiers.
Au-delà de cette capacité de conversion, cet outil peut être utilisé pour résumer ou traduire le texte présent dans le presse-papiers. De plus, il est capable de réécrire le contenu en l'adaptant dans un autre style d'écriture, par exemple. Malheureusement, ces fonctionnalités avancées basées sur prompt pour solliciter l'IA sont payantes : vous devez disposer d'un abonnement pour indiquer vos clés d'API de chez OpenAI (ChatGPT) dans les paramètres de PowerToys (ceci va consommer vos jetons). D'ailleurs, c'est surprenant que ce ne soit pas plutôt associé à un abonnement Microsoft Copilot.
Si une clé d'API est utilisée alors qu'il n'y a pas d'abonnement, une erreur est retournée :
Pour télécharger les PowerToys, rendez-vous sur le Microsoft Store ou passez par le GitHub officiel :
Ce jeudi 23 mai 2024, Bing a été en panne pendant plusieurs heures. Un incident qui a eu également un impact sur d'autres services, dont d'autres moteurs de recherche ! Faisons le point sur cette panne !
Jeudi 23 mai 2024, aux alentours de 09:00, heure française, une panne a été largement détectée et signalée sur Bing.com, le moteur de recherche de Microsoft. La panne semble avoir affecté majoritairement les utilisateurs d'Asie et d'Europe. Il suffit de se rendre sur le site DownDetector pour constater qu'il y a eu des signalements de dysfonctionnement pour Bing, tout au long de la journée :
Cette panne a impacté le moteur de recherche Bing, ainsi que les services qui lui sont liés, et il y en a beaucoup. Du côté de Microsoft, nous pouvons citer l'IA Copilot que ce soit en mode Web ou sur mobile, et même à partir de Windows 10 ou Windows 11 directement.
Cette panne a également eu un impact sur le bon fonctionnement de ChatGPT, le chatbot d'OpenAI. En effet, ChatGPT s'appuie sur Bing pour effectuer les recherches sur Internet. La page de statut d'OpenAI indique : "De 07:10 à 15:50 (heure française), nous avons connu une panne partielle affectant les capacités de navigation web de ChatGPT en raison de l'indisponibilité de Bing. Le problème est maintenant résolu et tous les services fonctionnent normalement."
Une panne impactante pour DuckDuckGo, Qwant et Ecosia
Cette panne du moteur de recherche de Microsoft a également un impact sur... d'autres moteurs de recherche ! En effet, DuckDuckGo, Qwant et Ecosia sont dépendants de Bing, et donc finalement, ne sont pas si indépendants que cela.
Pour fonctionner, ces moteurs de recherche s'appuient sur une API donnant accès aux algorithmes de Bing. Certes, ce sont des alternatives à Google, mais elles s'appuient sur les technologies de Microsoft. Un bel effet domino dans le cas d'une panne.
Microsoft s'est exprimé sur cette panne.
We're investigating an issue where users may be unable to access the Microsoft Copilot service. We're working to isolate the cause of the issue. More information can be found in the admin center under CP795190.
— Microsoft 365 Status (@MSFT365Status) May 23, 2024
À 18:00, ce jeudi 23 mai, des perturbations étaient toujours visibles par certains utilisateurs : "Nous élargissons nos efforts d'atténuation à la suite de signes de rétablissement partiel pour http://copilot.microsoft.com et d'autres fonctionnalités. Nous suivons de près l'évolution de la situation afin de déterminer si d'autres actions sont nécessaires pour résoudre le problème. Plus de détails peuvent être trouvés dans le centre d'administration sous CP795190.", peut-on lire sur le compte X de Microsoft 365 Status.
Dans ce tutoriel, nous allons voir comment calculer le hash d'un fichier avec PowerShell ! Depuis PowerShell 4.0, le cmdlet nommé "Get-FileHash" est présent et il permet de calculer le hash d'un ou de plusieurs fichiers selon plusieurs algorithmes.
PowerShell 4.0 est disponible nativement depuis Windows 8.1 et Windows Server 2012 R2, ce qui en fait une version très largement répandue aujourd'hui.
Le hash d'un fichier est souvent utilisé pour vérifier l'intégrité du fichier. Les algorithmes de hachage couramment utilisés comprennent MD5, SHA-1, SHA-256, etc. Chacun de ces algorithmes produit un hash de longueur différente.
Par exemple, si vous téléchargez un fichier à partir d'Internet, vous pouvez comparer le hash du fichier téléchargé avec le hash fourni par le site web pour vous assurer que le fichier n'a pas été altéré pendant le téléchargement. Si les deux valeurs sont égales, vous pouvez affirmer que le fichier est authentique (vis-à-vis de la version d'origine). Ceci peut s'avérer utile aussi pour de l'échange de données.
Vous pouvez calculer le hash des différents types de fichiers : images ISO, packages d'installation d'applications (EXE, MSI, etc.), et tout autre fichier selon vos besoins.
Concernant les algorithmes, voici ceux disponibles avec Windows PowerShell 5.1 :
MAC Triple DES
MD5
RIPEMD160
SHA1
SHA256
SHA384
SHA512
Attention, avec PowerShell 7, le nombre d'algorithmes pris en charge est différent et plus limité : MD5, SHA1, SHA256, SHA384 et SHA512. Dans les deux cas, SHA256 est la valeur par défaut du paramètre "-Algorithm".
Ouvrez une console pour essayer la commande. Par exemple, pour calculer le hash SHA1 du fichier "it-connect.txt" situé dans "C:\files\" :
Cela donnera un résultat de ce type où l'on voit le hash :
Que faire de cette information ? La valeur du hash retournée ici peut être comparée avec la valeur de hash fournie sur le site depuis lequel vous avez téléchargé le fichier. Sinon, vous pouvez aussi calculer le hash et au moment de transmettre le fichier à quelqu'un, vous lui fournissez aussi le hash. Ceci lui permettra de vérifier l'authenticité du fichier reçu.
Vous pouvez aussi calculer le hash d'un ensemble de fichiers. Voici un exemple :
Ci-dessous, le résultat en image. Le résultat est identique à chaque fois, car il s'agit d'un même fichier dupliqué : d'ailleurs le hash identique permet de l'affirmer.
III. Conclusion
Vous êtes désormais en mesure de calculer un hash facilement sous Windows, avec une commande simplissime mais à connaître : Get-FileHash.
Windows 11 24H2 se rapproche à grands pas : Microsoft a mis en ligne une préversion accessible aux membres de son programme Windows Insider. Voici ce qu'il faut savoir !
C'est l'heure des derniers préparatifs et des derniers tests pour Windows 11 24H2, la future version majeure de Windows 11 prévue pour le second semestre 2024. "Aujourd'hui, nous mettons la mise à jour annuelle des fonctionnalités de Windows 11, version 24H2 (Build 26100.712), à la disposition des clients dans le canal de prévisualisation des versions afin qu'ils puissent la tester avant qu'elle ne soit disponible plus tard dans l'année.", précise Microsoft.
Microsoft a prévu des nouveautés importantes pour Windows 11 24H2, ce qui devrait en faire une mise à jour significative, à la différence de Windows 11 23H2 qui ne contenait pas de grands changements.
Voici quelques-unes des nouveautés prévues pour Windows 11 24H2 :
Prise en charge du HDR pour les fonds d'écran Windows
Microsoft continuera à donner des informations sur les nouveautés dans un futur proche. Nul doute qu'il y aura également des nouveautés liées à l'intelligence artificielle et notamment Copilot. D'ailleurs, en début de semaine, Microsoft a dévoilé son programme "PC Copilot+" ainsi que la fonctionnalité Recall pour Windows 11, qui sera l'une des nouveautés à venir.
Pour tester Windows 11 24H2 dès à présent, vous devez rejoindre le programme Windows Insider à partir de votre compte Microsoft. Vous devez sélectionner le canal "Release Preview" pour accéder à "Windows 11, version 24H2 (Build 26100.712)" et pouvoir tester la troisième version majeure de Windows 11.
"Les clients commerciaux inscrits au programme Windows Insider for Business peuvent commencer à valider Windows 11, version 24H2 sur les PC de leur entreprise.", précise Microsoft.
Microsoft compte bien supprimer VBScript de Windows ! L'entreprise américaine a publié sa feuille de route et donnée des informations sur les prochaines étapes. Faisons le point.
Introduit en 1996 par Microsoft, le langage de script VBScript associé aux fichiers avec l'extension ".vbs", a été très utilisé pour automatiser des tâches sur Windows. Mais, désormais, il y a mieux que VBScript, notamment le langage PowerShell qui est plus moderne et plus puissant. Les changements que s'apprêtent à opérer Microsoft pourront également affecter ceux qui utilisent le VBA dans les applications Microsoft Office.
Dans un nouvel article publié sur son site, Microsoft parle de la dépréciation de VBScript en redonnant sa définition de ce terme : "La dépréciation est une étape du cycle de vie d'un produit au cours de laquelle une caractéristique ou une fonctionnalité ne fait plus l'objet d'un développement actif et peut être supprimée dans les prochaines versions d'un produit ou d'un service en ligne. Il s'agit d'un processus progressif qui peut s'étaler sur quelques mois ou quelques années."
Pour Microsoft, VBScript doit être supprimé de Windows, mais ceci va prendre plusieurs années d'après la feuille de route publiée par l'entreprise américaine. D'ailleurs, nous ne savons pas encore quand VBScript sera définitivement supprimé de Windows, car il n'y a pas de date pour cette ultime étape.
Pour le moment, voici ce qui est prévu :
Second semestre 2024 : dans Windows 11 version 24H2, VBScript sera intégré sous la forme d'une fonctionnalité à la demande (fonctionnalité facultative) qui sera activée par défaut. Ceci signifie que VBScript sera toujours là et toujours préinstallé, mais qu'il sera possible de le désinstaller facilement.
Vers 2027 : le début de la phase 2 où VBScript sera toujours une fonctionnalité à la demande, mais désinstallé par défaut.
La phase 3 sera la suppression de VBScript de Windows, mais Microsoft n'a pas communiqué de date.
En résumé :
Source : Microsoft
La firme de Redmond encourage ses utilisateurs à migrer de VBScript vers JavaScript et/ou PowerShell, en fonction des scénarios. Le fait que l'on puisse supprimer VBScript dans un avenir proche, c'est une bonne chose pour renforcer la sécurité des machines.
Dans cet article, nous allons apprendre à utiliser l'outil ADTimeline proposé par l'ANSSI. Nous pouvons utiliser pour identifier les actions malveillantes effectuées au sein de l'Active Directory et effectuer un suivi des menaces.
Dans la première partie de cet article, nous allons évoquer les deux grandes méthodes pour accéder à la traçabilité des changements effectués dans l'Active Directory, puis nous verrons comment utiliser l'outil ADTimeline. Ceci nous amènera à utiliser Splunk pour effectuer l'analyse des données collectées par cet outil.
II. Traçabilité des changements effectués dans l'Active Directory
A. Les journaux d'audit
Il y a plusieurs façons d'effectuer la traçabilité des changements opérés dans l'Active Directory. La bonne pratique consiste à configurer la stratégie d'audit des contrôleurs de domaine Active Directory afin de générer des événements de sécurité pertinent et de les collecter dans un SIEM ou un puits de logs, afin de les centraliser, de les sauvegarder et de les analyser plus facilement (corrélation entre les événements). Ces journaux peuvent aussi être analysés par des applications tierces spécialisées dans la surveillance de l'Active Directory.
Les journaux d'audit sont visibles via le journal "Sécurité" que nous pouvons consulter par l'intermédiaire de l'Observateur d'événements de Windows.
Malheureusement, cette configuration recommandée est encore trop peu souvent mis en place dans les organisations. Dans ce cas, comment faire ?
B. Les métadonnées de réplication
Il y a une autre source sur laquelle nous pouvons nous appuyer pour tenter de retracer l'historique des changements apportés à l'Active Directory : les métadonnées de réplication.
Bien que ce ne soit pas aussi complet que le journal "Sécurité" de Windows, c'est une source d'informations précieuses comme nous le verrons dans la suite de cet article. Surtout, elles le sauront d'autant plus si les journaux d'audit ne sont pas actifs ou qu'ils ont été supprimés par un attaquant.
Remarque : les métadonnées de réplication seront générées sur un contrôleur de domaine Active Directory, même s'il s'agit d'un environnement avec un seul contrôleur de domaine.
À chaque fois qu'un objet de l'Active Directory est modifié, ceci modifie un ou plusieurs attributs, et engendre la création d'informations de réplication pour résumer l'opération effectuée.
msDS-ReplAttributeMetaData pour les attributs non liés, ce qui permet d'avoir des informations sur la dernière modification de chacun des attributs. À chaque fois, plusieurs propriétés seront précisées, notamment "pszAttributeName" pour le nom de l'attribut modifié et "ftimeLastOriginatingChange" pour la date de la dernière modification de l'attribut.
À partir des cmdlets PowerShell permettant d'interroger l'Active Directory, notamment "Get-ADUser" et "Get-ADGroup", cet attribut peut être consulté. Voici un exemple pour obtenir les métadonnées de réplication associées à l'utilisateur "tech.t2" :
msDS-ReplValueMetaData pour les attributs liés, dont la valeur dépend d'un calcul effectué à partir d'un autre attribut.
Par ailleurs, ces informations peuvent être consultées à l'aide de l'outil "repadmin" ou du cmdlet PowerShell nommé "Get-ADReplicationAttributeMetadata". L'exemple ci-dessous permet d'obtenir les métadonnées de réplication pour l'objet "CN=Technicien T2,OU=Utilisateurs,OU=T2,OU=Tiering,OU=IT,DC=it-connect,DC=local" (utilisateur nommé "Technicien T2"), à partir du DC nommé "SRV-ADDS-01.it-connect.local", en sélectionnant uniquement l'événement le plus récent.
Remarque : un attribut non lié correspond à un attribut dont la valeur est spécifique à l'objet (l'e-mail, le nom, etc...) alors qu'un attribut lié stocke une information qui met en relation deux objets (la liste des groupes dont est membre un utilisateur, par exemple).
III. Qu'est-ce que l'outil ADTimeline ?
ADTimeline est un outil de suivi des modifications apportées à l'Active Directory. Il peut être utilisé par les administrateurs systèmes, mais également les professionnels de la cybersécurité dans le cadre d'une investigation numérique ou d'une réponse à incident. Il permet de faciliter les opérations de threat hunting (recherche de menaces).
En effet, l'outil ADTimeline a été développé par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) dans le but de générer la chronologie des modifications apportées à Active Directory à partir des métadonnées de réplication. Autrement dit, il ne dépend pas directement du journal "Sécurité" de Windows puisque sa source de données est différente.
Cet outil gratuit est développé en PowerShell et il est disponible sur GitHub. Je vous invite à récupérer l'archive ZIP de ce projet si vous souhaitez l'utiliser.
ADTimeline a été présenté pour la première fois à l'occasion de l'événement CoRI&IN 2019 (Conférence sur la réponse aux incidents et l’investigation numérique). Vous pouvez retrouver les slides de cette présentation sur cette page.
IV. Exécuter un audit avec ADTimeline
Désormais, nous allons commencer à manipuler ADTimeline : la première étape consiste à effectuer une analyse de l'Active Directory pour générer des fichiers d'audit.
ADTimeline peut analyser un Active Directory en ligne, ainsi qu'une base Active Directory hors ligne à partir du fichier "ntds.dit". Ici, nous allons analyser le domaine Active Directory "it-connect.local" qui contient 2 contrôleurs de domaine : "SRV-ADDS-01" et "SRV-ADDS-02".
Pour cela, téléchargez le ZIP du projet à partir du GitHub et décompressez-le sur votre serveur. Il convient d'être "Administrateur du domaine" pour effectuer l'analyse. À partir d'une console PowerShell, exécutez simplement la commande suivante (des paramètres sont disponibles pour cibler un DC spécifique, par exemple) :
.\ADTimeline.ps1
Patientez pendant l'analyse. ADTimeline va analyser les métadonnées de réplications de vos objets et générer un rapport.
Suite à l'analyse, ADTimeline va générer un ensemble de fichiers. Voici ce qui est précisé sur le GitHub officiel à ce sujet :
timeline_%DOMAINFQDN%.csv : la chronologie générée avec les métadonnées de réplication AD des objets récupérés.
logfile_%DOMAINFQDN%.log : fichier journal du script. Vous y trouverez également diverses informations sur le domaine.
ADobjects_%DOMAINFQDN%.xml : objets d'intérêt récupérés via LDAP.
gcADobjects_%DOMAINFQDN%.xml : objets d'intérêt récupérés via le catalogue global.
Pour ma part, j'ai obtenu les fichiers suivants :
Que fait-on de ces fichiers ? Ne vous attendez pas à trouver un rapport HTML ou un document prêt à l'emploi. Pour analyser ces données, nous allons devoir utiliser Splunk.
V. Analyser les données d'ADTimeline avec Splunk
La seconde étape consiste à exploiter les fichiers générés par ADTimeline avec la solution Splunk. Nous pouvons utiliser la version gratuite. Bien qu'elle soit limitée, elle conviendra pour l'utilisation d'ADTimeline.
A. Installer Splunk sur Windows Server
Splunk peut être installé sur Windows Server, sur Linux, mais aussi par l'intermédiaire d'un conteneur Docker. Pour cette démonstration, il sera installé sur un serveur Windows Server 2022 : l'exécutable permet de l'installer en quelques clics.
Vous pouvez télécharger Splunk en utilisant le lien ci-dessous. Ceci implique de créer un compte sur le site de Splunk. "Après l'installation, vous disposerez d'une licence d'essai pour l'entreprise pendant 60 jours. Vous pouvez passer à la licence gratuite à tout moment avant la fin de la période d'essai.", précise le site officiel de Splunk.
Pour effectuer l'installation, suivez l'assistant... La seule chose à effectuer, c'est de définir un nom d'utilisateur et un mot de passe pour le compte "Administrateur" de la plateforme.
Ensuite, vous pouvez vous connecter à l'interface Web de Splunk avec un navigateur et vous authentifier avec votre compte.
http://127.0.0.1:8000/
http://<Adresse IP du serveur>:8000/
Pour plus d'informations sur la version gratuite, consultez ce lien :
L'ANSSI a créé une application "ADTimeline" pour Splunk afin de permettre l'analyse des données à partir de cette plateforme. A partir de votre compte Splunk, vous pouvez télécharger cette archive sur la Splunkbase :
Pour installer l'application, suivez cette procédure :
1 - Cliquez sur "Apps" dans le menu puis sur "Manage Apps".
2 - Cliquez sur "Install App From File" en haut à droite.
3 - Cliquez sur le bouton "Choose File" pour sélectionner le fichier "adtimeline_12.tgz" et validez.
Patientez un instant pendant l'installation de l'application. Ceci va créer une nouvelle entrée dans le menu "Apps" :
Inutile de cliquer dessus pour le moment, car nous devons commencer par importer des données.
C. Importer les données dans Splunk
Nous allons devoir importer les données dans Splunk, c'est-à-dire les fichiers générés par ADTimeline (sauf le fichier "logfile"). Pour ma part, je dois importer les deux fichiers suivants :
A partir de la page d'accueil de Splunk, cliquez sur le bouton "Add data".
Puis, chargez un premier fichier, par exemple, le fichier "timeline_<domaine>.csv". Il faut charger un fichier à la fois.
À l'étape "Set Source Type", choisissez le type de source "adtimeline" pour ce fichier. Attention, le type de source à sélectionner dépend du fichier choisi à l'étape précédente.
timeline_%DOMAINFQDN%.csv = adtimeline
ADobjects_%DOMAINFQDN%.xml = adobjects
gcADobjects_%DOMAINFQDN%.xml = gcobjects
À l'étape "Input Settings", sélectionnez "Constant value" et indiquez le nom de votre domaine.
Poursuivez jusqu'à la fin...
Répétez l'opération pour importer chaque fichier généré par ADTimeline.
D. Le tableau de bord ADTimeline
Il est temps de cliquer sur "ADTimeline" dans le menu "Apps" de Splunk pour explorer les données ! Plusieurs onglets sont accessibles :
Search : exécuter des requêtes sur le jeu de données importé en s'appuyant sur le langage SPL (Search Processing Language) développé par Splunk.
Getting started : documentation de l'outil ADTimeline, similaire à celle du GitHub.
AD General Information : des informations sur votre infrastructure Active Directory et les comptes sensibles.
AD Threat Hunting : des événements relatifs à vos objets Active Directory, de façon chronologique, ainsi que des métriques clés pour permettre d'identifier et de suivre les menaces (threat hunting).
Désormais, nous allons regarder d'un peu plus près les différents onglets, notamment ceux nommés "AD General Information" et "AD Threat hunting".
E. ADTimeline : AD General Information
Cet onglet donne accès à deux sous-sections : "Active Directory Infrastructure" et "Sensitive Accounts".
Active Directory Infrastructure
Cette section va permettre d'obtenir des informations sur le niveau fonctionnel du domaine et de la forêt, la liste des contrôleurs de domaine Active Directory, la répartition des rôles FSMO, l'état de certaines fonctionnalités d'ADDS (corbeille, LAPS, silo d'authentification, groupe Protected Users, Service Connection Points, etc.), et il va aussi indiquer s'il y a un serveur de messagerie Exchange, un ADCS ou un ADFS.
Sensitive Accounts
Cette section, comme son nom l'indique, va permettre d'obtenir la liste des comptes sensibles, à commencer par les comptes "Administrateurs". Il s'intéresse aussi à tous les comptes où l'attribut "adminCount" est égal à "1", tout en retraçant l'historique de modifications de ces comptes.
Mais ce n'est pas tout, l'outil va permettre de remonter les comptes sensibles vulnérables à l'attaque ASREPRoast. Il met aussi en évidence le ratio entre les comptes sensibles et les comptes non sensibles vulnérables à ASREPRoast. Ici, j'ai volontairement configuré un compte de mon annuaire Active Directory pour qu'il soit détecté par ADTimeline :
Pour en savoir plus sur l'attaque ASREPRoast, vous pouvez lire notre article complet sur le sujet :
Désormais, nous allons basculer sur les différentes sections sous "AD Threat Hunting", toujours à partir de Splunk.
Investigate timeframe
La section "Investigate timeframe" liste toutes les modifications effectuées dans l'annuaire Active Directory, de façon chronologique, en s'appuyant sur les métadonnées de réplications. Il est possible d'appliquer des filtres pour cibler une période précise.
Par exemple, sur l'image ci-dessous, nous constatons qu'il y a eu un verrouillage sur le compte "Admin T0" et une modification de l'attribut "msD-SupportedEncryptionTypes" sur le compte "Technicien T2", ce qui a aussi eu un impact sur l'attribut "UserAccountControl". Nous savons également quel DC a été sollicité pour effectuer l'opération.
Ce qui est puissant et pratique, c'est le fait de pouvoir cliquer sur les éléments des graphes. Par exemple, si nous cliquons sur "UserAccountControl", nous pouvons obtenir des informations sur tous les comptes où cet attribut a été altéré, avec une vue chronologique. Autrement dit, ceci permet de visualiser toutes les occurences d'un événement.
Cette section remonte également d'autres informations, dont des statistiques telles que la répartition par ObjectClass pour les modifications des objets, ainsi qu'une timeline avec le nombre de modifications par jour.
Track suspicious activity
Pour effectuer un suivi des actions suspectes, rendez-vous dans l'entrée "Track suspicious activity" où ADTimeline va regrouper tous les événements importants pouvant être le signe d'une activité suspecte. Voici quelques indicateurs visibles sur cette page :
- Historique de verrouillage des comptes, par jour : s'il y a un pic avec de nombreux comptes verrouillés sur une même journée, c'est suspect !
- Modifications sur les ACL (permissions)
- Comptes ajoutés et retirés des groupes
- Modifications suspectes de l'attribut SIDHistory
- Modifications sur les GPO pour altérer la stratégie d'audit (ce qui va impacter le journal "Sécurité")
- Détection d'une attaque de type DCShadow
- Etc...
Je vous encourage à consulter la documentation d'ADTimeline pour avoir la liste complète. À chaque fois, vous remarquerez la présence de liens pour renvoyer vers les TTP correspondantes dans le framework MITRE ATT&CK.
En complément, l'entrée "Track suspicious activity" du menu sert à obtenir des informations sur les événements suspects relatifs à un serveur Exchange.
VI. Conclusion
ADTimeline est un outil très utile et facile à utiliser puisque la collecte des informations est simple, tout comme l'installation de Splunk et l'intégration des données. Néanmoins, l'analyse des résultats n'est pas à la portée de tout le monde. En effet, il faut avoir une bonne connaissance de l'Active Directory, notamment des attributs, ainsi que des attaques fréquentes, pour être capable d'identifier et de retracer une activité malveillante.
Quick Assist, l'outil de contrôle à distance intégré à Windows, est exploité par les cybercriminels dans le cadre d'une campagne malveillante visant à déployer le ransomware Black Basta. Faisons le point.
Quick Assist, ou en français "Assistance rapide", est une fonctionnalité présente dans Windows 10 et Windows 11 permettant d'offrir un contrôle à distance à son ordinateur. Ceci peut être utile pour une intervention de support informatique, par exemple.
Depuis la mi-avril, les cybercriminels du groupe Storm-1811, un gang financé par le gang de ransomware Black Basta, ont lancé une campagne d'attaques par ingénierie sociale.
"Les cybercriminels abusent des fonctions d'assistance rapide pour mener des attaques d'ingénierie sociale en se faisant passer, par exemple, pour un contact de confiance comme le support technique de Microsoft ou un professionnel de l'informatique de l'entreprise de l'utilisateur cible afin d'obtenir un accès initial à un appareil cible.", peut-on lire sur le site de Microsoft.
Un mode opératoire élaboré sur fond de phishing vocal
Tout commence par l'identification des utilisateurs qui seront pris pour cible par l'intermédiaire de leur adresse e-mail. Les pirates vont inscrire ces adresses e-mails sur des listes d'abonnements afin que les utilisateurs reçoivent beaucoup de spams. Ensuite, les pirates vont contacter l'utilisateur en prétextant vouloir corriger ce problème de réception de nombreux spams.
C'est à partir de là qu'une prise de contact pourra être établie par l'intermédiaire d'un appel téléphonique. Pour piéger l'utilisateur, le pirate se fait passer pour un technicien de l'entreprise ou une personne du support de Microsoft.
Grâce à Quick Assist, ils obtiennent un accès distant à la machine et vont pouvoir demander à prendre le contrôle à distance, dans le but de résoudre ce fameux "problème" de spams.
"L'utilisateur cible n'a qu'à appuyer sur CTRL + Windows + Q et à saisir le code de sécurité fourni par le cybercriminel", précise Microsoft. En effet, ce raccourci lance immédiatement Quick Assist sur la machine. Mais, leur objectif est bel et bien de déployer un logiciel malveillant sur la machine. Un très bel exemple de phishing vocal.
Sur la machine compromise, plusieurs outils sont déployés, notamment ScreenConnect pour avoir la main à distance sur la machine (sans surveillance), Cobalt Strike, ainsi que QakBot, un Cheval de Troie bancaire très utile pour déployer d'autres logiciels malveillants. La dernière étape consiste à déployer le ransomware Black Basta sur le réseau de l'entreprise.
Microsoft vous recommande de désinstaller ou bloquer Quick Assist sur vos appareils si vous n'utilisez pas cette fonctionnalité. Bien entendu, il est également important de sensibiliser les utilisateurs et de les informer.
Geekom propose aux lecteurs d'IT-Connect deux codes promotions pour deux modèles de PC : le GEEKOM IT12 et le GEEKOM IT13. Grâce à ces codes promos, bénéficiez de 20% de réduction immédiate ! Faisons le point sur ces offres !
Chez Geekom, la série de mini PC "IT" correspond à des modèles avec un processeur Intel conçu pour être polyvalents et performants, car ils peuvent correspondre aux besoins des particuliers et des professionnels. L'avantage : ces boitiers permettent d'intégrer certaines cartes graphiques dédiées en comparaison des mini PC ultra-compacts.
20% de remise sur le Geekom IT13
Le Geekom Mini IT13 est équipé d'un processeur Intel Core i7-13900H (13 ème génération - 14 coeurs - 20 threads), de 32 Go de RAM (DDR4) et de 1 To de SSD NVMe. La RAM peut être augmentée jusqu'à 64 Go. Le stockage est évolutif également, car il y a deux emplacements disponibles : 1 emplacement pour SSD SATA au format M.2 (2242 - Jusqu'à 1 To) et 1 emplacement pour disque 2.5 pouces (2 To max.)
Par ailleurs, il est équipé du Wi-Fi 6E, du Bluetooth 5.2, et d'un port Ethernet RJ45 en 2.5 Gbit/s, ainsi que de nombreux ports USB et USB-C dont 2 ports USB4. Grâce à cette connectique, à laquelle s'ajoute 2 ports HDMI 2.0, ce modèle peut prendre en charge jusqu'à 4 écrans. Il est livré avec le système d'exploitation Windows 11 Pro, que vous pouvez remplacer bien entendu.
Voici un aperçu de ce boitier dont les dimensions sont les suivantes (L x W x H) : 117 mm x 112 mm x 49,2 mm.
L'offre spéciale : avec le code "ITPRIT3" obtenez 20 % de réduction immédiate ! Le prix passe de 699.00 € à 559.20 € ! Il est expédié directement depuis l'Europe (Allemagne) et la livraison est effectuée en quelques jours. Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.
IT-Connect a eu l'occasion de tester le Geekom IT13 dans sa version avec un Intel Core i9. Voici le lien vers l'article :
Le Geekom Mini IT12, c'est le modèle de la précédente génération. Lui aussi est équipé d'un processeur Intel Core i7 mais c'est un modèle de 12ème génération : Intel Core i7-12650H (10 cœurs - 16 threads). Pour le reste, il y a beaucoup de points communs avec l'autre modèle, notamment les 32 Go de RAM (DDR4), le stockage de 1 To avec un SSD NVMe. La RAM peut être augmentée jusqu'à 64 Go.
Il s'agit aussi de la même structure de boitier, donc il y a deux emplacements disponibles pour faire évoluer le stockage : 1 emplacement pour SSD SATA au format M.2 (2242 - Jusqu'à 1 To) et 1 emplacement pour disque 2.5 pouces (2 To max.). Il est également équipé du Wi-Fi 6E, du Bluetooth 5.2, d'un port Ethernet RJ45 en 2.5 Gbit/s, de ports USB et USB-C dont 2 ports USB4, ainsi 2 ports HDMI 2.0. Il est livré avec le système d'exploitation Windows 11 Pro.
Voici un aperçu de ce boitier dont les dimensions sont les suivantes (L x W x H) : 117 mm x 112 mm x 49,2 mm.
L'offre spéciale : avec le code "DB20off" obtenez 20 % de réduction immédiate ! Le prix passe de 629.00 € à 503.20 € ! Il est expédié directement depuis l'Europe (Allemagne) et la livraison est effectuée en quelques jours. Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.
GitHub a déployé des mises à jour de sécurité pour corriger une faille de sécurité critique présente dans sa solution GitHub Enterprise Server et pouvant être utilisée par un attaquant pour contourner l'authentification. Faisons le point.
Associée à la référence CVE-2024-4985 et à un score CVSS maximal de 10 sur 10, cette faille de sécurité peut être exploitée par un attaquant pour accéder à l'instance GitHub Enterprise Server, sans être authentifié au préalable. Contrairement à la plateforme GitHub, la solution GitHub Enterprise Server est destinée à être auto-hébergée par les organisations soucieuses de vouloir gérer leur code avec Git sur leur propre serveur.
Au sein de la note de publication de la nouvelle version de GitHub Enterprise Server, voici ce que l'on peut lire : "Sur les instances qui utilisent l'authentification unique SAML (SSO) avec la fonction optionnelle d'assertions chiffrées, un attaquant pourrait falsifier une réponse SAML pour provisionner et/ou obtenir l'accès à un utilisateur avec des privilèges d'administrateur.".
L'exploitation de cette vulnérabilité pourrait permettre à un attaquant d'accéder aux différents projets et codes sources présents sur le serveur compromis.
Il est important de préciser que GitHub indique que la fonctionnalité des assertions chiffrées n'est pas activée par défaut. De plus, cette vulnérabilité n'affecte pas les instances GHES où l'authentification unique SAML (SSO) n'est pas utilisée, ainsi que celles qui utilisent l'authentification SAML SSO mais sans assertions chiffrées.
Cette fonctionnalité est décrite sur cette page : "Vous pouvez améliorer la sécurité de votre instance GitHub Enterprise Server avec l’authentification unique SAML en chiffrant les messages envoyés par votre fournisseur d’identité (IdP) SAML."
Comment se protéger ?
Cette faille de sécurité affecte toutes les versions de GitHub Enterprise Server antérieures à la version 3.13.0. Le 20 mai 2024, GitHub a publié de nouvelles versions pour corriger cette vulnérabilité : 3.12.4, 3.11.10, 3.10.12, et 3.9.15.
Si vous utilisez une version vulnérable de GitHub Enterprise Server, il est recommandé d'effectuer la mise à jour de l'application dès que possible pour vous protéger de cette menace potentielle. Ceci est d'autant plus un important qu'un exploit PoC semble disponible sur GitHub, sur cette page.
Un nouveau bulletin de sécurité publié par Veeam averti les utilisateurs de la présence d'une vulnérabilité critique dans Veeam Backup Enterprise Manager (VBEM). Faisons le point sur cette menace potentielle.
Commençons par quelques mots sur Veeam Backup Enterprise Manager. Il s'agit d'une console Web de gestion et reporting pour la célèbre solution Veeam Backup & Replication de l'éditeur. L'avantage, c'est qu'elle permet de gérer plusieurs instances Veeam à partir d'une console unique. Non activé par défaut, cette solution n'est pas utilisée par toutes les organisations où Veeam est déployé, ce qu'il est important de préciser vis-à-vis de la vulnérabilité présentée dans cet article.
La faille de sécurité CVE-2024-29849
Associée à un score CVSS de 9.8 sur 10, la CVE-2024-29849 est une faille de sécurité critique permettant d'outrepasser l'authentification à VBEM. Ainsi, un attaquant peut se connecter à l'application sans même avoir connaissance des identifiants.
"Cette vulnérabilité dans Veeam Backup Enterprise Manager permet à un attaquant non authentifié de se connecter à l'interface web de Veeam Backup Enterprise Manager en tant que n'importe quel utilisateur.", précise Veeam.
Pour vous protéger de cette vulnérabilité, vous devez passer sur la nouvelle version de VBEM publiée par Veem, à savoir la version 12.1.2.172 publiée le 21 mai 2024 (voir cette page). Si vous ne pouvez pas patcher, sachez qu'en attendant, vous pouvez arrêter et désactiver les services suivants : VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) et VeeamRESTSvc (Veeam RESTful API).
Enfin, si VBEM est installé et que vous ne l'utilisez pas, il est préférable de le désinstaller complètement afin d'éliminer ce vecteur d'attaque potentiel. Dans ce cas, vous pouvez consulter cette page de la documentation.
D'autres vulnérabilités corrigées
La CVE-2024-29849 n'est pas la seule faille de sécurité corrigée par Veeam à l'occasion de la sortie de la version 12.1.2.172 de VBEM. Bien que ce soit la seule vulnérabilité critique, il y en a 3 autres qui ont été corrigées :
CVE-2024-29850 : cette vulnérabilité permet la prise de contrôle d'un compte via relais NTLM. Une faille de sécurité non négligeable également, et associée à un score CVSS de 8.8 sur 10.
CVE-2024-29851 : cette vulnérabilité permet à un attaquant avec des privilèges élevés de voler le hash NTLM du compte de service utilisé par VBEM, si ce n'est pas le compte Système.
CVE-2024-29852 : cette vulnérabilité permet à un attaquant avec des privilèges élevés de lire les journaux des sauvegardes.
Par ailleurs, Veeam a corrigé une faille de sécurité dans son application Veeam Agent for Windows.
Dans cet article, nous allons évoquer l'outil open source LaZagne dont l'objectif est de collecter les identifiants et mots de passe mémorisés sur un ordinateur local, en allant lire les informations stockées dans différentes applications.
LaZagne est un outil de sécurité offensive qui peut être utilisé dans le cadre d'une mission de test d'intrusion (pentest), lors de la phase de post-exploitation, ou sur son propre ordinateur personnel pour effectuer de la collecte d'identifiants (si vous avez oublié un identifiant et un mot de passe enregistré, par exemple). Vous l'aurez surement compris, compte tenu de ses fonctionnalités, il peut être utilisé également à des fins malveillantes.
L'objectif de cet article de sensibilisation est de mettre en lumière les risques associés à la mémorisation des identifiants au sein d'applications diverses et variées et qui ne sont pas des gestionnaires de mots de passe. Aujourd'hui, de nombreuses applications sont capables de mémoriser les noms d'utilisateur et les mots de passe pour nous faire gagner du temps.
En tant qu'administrateur système et réseau, technicien, DevOps, développeur ou simple utilisateur, vous pourriez être tenté d'enregistrer vos identifiants dans des applications telles que WinSCP, FileZilla, OpenVPN, etc... et même dans les navigateurs Web. Pourtant, elles ne sont pas conçues dans ce but et ne protègent pas suffisamment vos mots de passe. Espérons que l'outil LaZagne vous dissuade de le faire.
WinSCP - Option pour enregistrer le mot de passe
Attention - Disclaimer : si vous décidez d'utiliser cet outil, vous en prenez l'entière responsabilité. IT-Connect et l'ensemble de ses auteurs ne seront pas responsables des actions que vous effectuerez. Soyez vigilant à exploiter cet outil uniquement si vous y êtes autorisé. Pour rappel : Code pénal : Chapitre III : Des atteintes aux systèmes de traitement automatisé de données.
II. Les fonctionnalités de LaZagne
LaZagne est un outil open source codé en Python concocté par Alessandro Zanni, compatible avec Windows et Linux, mais aussi macOS, même si son champ d'action est plus limité. Dans cet article, LaZagne est pris comme exemple, car cet outil de sécurité est capable de collecter des identifiants, au même titre qu'un logiciel malveillant de type "infostealer" pourrait le faire sur votre machine. Néanmoins, LaZagne ne va pas exfiltrer les identifiants collectés vers un serveur contrôlé par un attaquant et il n'effectue pas de collecte de cookies.
Pour cette démonstration, une machine sous Windows 11 23H2 est utilisée. Il y a plusieurs applications installées sur cette machine, dont WinSCP et FileZilla au sein desquelles il y a plusieurs connexions enregistrées. À chaque fois, le mot de passe a été enregistré dans l'application (pour gagner du temps au quotidien, vous comprenez...). De plus, quelques mots de passe sont enregistrés dans le navigateur Microsoft Edge.
A. Télécharger l'outil
Pour Windows, il y a une version au format EXE de LaZagne, ce qui évite de devoir installer Python indépendamment. Pour télécharger cette version, rendez-vous sur le GitHub officiel :
Avant cela, sachez que le filtre SmartScreen et Microsoft Defender ne vont pas apprécier du tout ce téléchargement. Le premier essaiera de vous dissuader, tandis que le second va tout simplement bloquer le fichier, car il est considéré comme un virus ("Trojan"). C'est normal, compte tenu des fonctionnalités de l'outil. Mais, grâce à une intervention manuelle, vous pourrez débloquer l'exécutable dans Defender.
B. Exécuter une recherche d'identifiants
Nous devons ouvrir une console PowerShell ou une invite de commande afin d'exécuter l'outil. Il n'est pas nécessaire de l'installer, c'est un exécutable portable ! Sans les droits Administrateur, l'outil pourra collecter des identifiants, mais il sera plus limité (pour les mots de passe Wi-Fi, par exemple, il faut une élévation de privilèges).
Si l'outil est placé dans le répertoire "C:\tools", voici la commande à exécuter (en se positionnant en amont dans ce répertoire au niveau du shell) pour effectuer une recherche globale sur la machine locale :
PS C:\tools> .\LaZagne.exe all
Remarque : ici, le test est effectué avec un utilisateur nommé "Administrateur" mais avec une console PowerShell ouverte sans élévation de privilèges.
Quelques secondes plus tard, LaZagne nous retourne ce qu'il a trouvé. Ici, nous pouvons voir qu'il a collecté des identifiants dans FileZilla et WinSCP parce qu'il s'agit d'informations mémorisées dans les applications.
Pour WinSCP, cela correspond bien aux deux entrées présentes dans l'application. Le mot de passe n'est pas visible et accessible en clair à partir de l'interface graphique de l'application WinSCP, ce qui est plutôt trompeur au final.
Cela ne s'arrête pas là, car LaZagne est parvenu à collecter les identifiants mémorisés dans Microsoft Edge ! À l'inverse, il n'est pas parvenu à collecter le mot de passe enregistré dans le "Gestionnaire d'identification" de Windows.
Sachez qu'il existe un ensemble d'options pour personnaliser l'exécution de LaZagne. Voici un exemple pour générer deux fichiers de sortie avec les résultats (option "-oA"), dans le répertoire "C:\temp". Il y aura un premier fichier au format texte et un second fichier au format JSON. Utilisez l'option "-oN" pour un fichier texte seulement et l'option "-oJ" pour un fichier JSON uniquement.
.\LaZagne.exe all -oA -output C:\temp\
Ce fichier contient les informations visibles dans la console :
Vous pouvez également effectuer une recherche ciblée sur une catégorie précise d'applications.
Toutes les applications de la catégorie "sysadmin" :
.\LaZagne.exe sysadmin
Toutes les applications de la catégorie "navigateurs Web" :
.\LaZagne.exe browser
Pour obtenir la liste complète des possibilités, vous pouvez consulter l'aide :
.\LaZagne.exe --help
Finalement, tous les identifiants collectés par LaZagne sont bien ceux enregistrés dans de diverses applications installées sur cette machine de test.
IV. Que faut-il en tirer ?
L'utilisation de LaZagne met en lumière l'importance de ne pas enregistrer les mots de passe dans les navigateurs et dans d'autres applications que nous sommes susceptibles d'utiliser au quotidien. Pourtant, parfois, cela peut être tentant de le faire, car c'est plus pratique, et les applications peuvent nous le proposer.Malheureusement, la fuite des identifiants de connexion SSH d'un serveur peut être préjudiciable et lourd de conséquences pour une organisation.
Les identifiants doivent être stockés dans un gestionnaire de mots de passe digne de ce nom et ne pas être éparpillé en mémoire dans d'autres applications. Par ailleurs, c'est l'occasion de rappeler l'importance d'activer l'authentification multifacteurs (MFA) à chaque fois que cela est possible pour se protéger contre la fuite d'identifiants (à ne pas confondre avec le vol de cookies de sessions).
Voici quelques-uns de nos articles sur le sujet des gestionnaires de mots de passe :
Comme nous venons de le voir, LaZagne est un outil puissant et redoutable qui peut rendre bien des services aux professionnels de la cybersécurité dans le cadre d'une mission de pentest. Il est apprécié par la communauté et comptabilise plus de 9 000 Stars sur GitHub : maintenant, vous comprenez mieux pourquoi.
Windows sur ARM, cela n'a jamais été une grande réussite, à cause de problèmes de compatibilités, mais Microsoft semble bien décider à réussir cette transition grâce à Prism. Voici ce que l'on sait.
Lors de son événement Windows 11 AI, Microsoft a annoncé sa nouvelle catégorie dePC Copilot+, la fonction Recall pour Windows 11ainsi que de nouveaux laptops dont un nouveau Surface Laptop équipé d'une puce Snapdragon X Elite. Une puce très prometteuse sur le papier, mais basée sur ARM : une architecture pas très bien gérée par Windows jusqu'ici.
Grâce à Windows 11 et à des avancées technologiques, Microsoft pourrait avoir trouvé la solution, et cette solution, elle s'appelle Prism. Voyez en Prism pour Windows 11, l'équivalent de Rosetta 2 pour macOS et plus particulièrement les Mac équipés d'une puce Apple Silicon.
Aujourd'hui, la majorité des applications sont conçues pour l'architecture x86 utilisée par les processeurs de chez Intel et AMD. Alors, lorsqu'on utilise une machine avec une puce basée sur de l'ARM, cela devient vite un casse-tête. C'est là que Prism intervient : cette couche de traduction logicielle va assurer la compatibilité entre les applications et le matériel. Ceci ne requiert aucun effort supplémentaire de la part des développeurs, sur le même principe que Rosetta 2 pour macOS.
Source : TheVerge
D'après Microsoft, un gain de performances compris entre 10 et 20% est attendu pour l'exécution des applications sur les machines équipées d'une puce ARM, même s'il y a une couche de traduction logicielle. Microsoft prévoit d'intégrer Prism à Windows 11 24H2.
L'idéal étant d'utiliser des applications natives conçues pour une architecture ARM. Ainsi, l'utilisation de Prism doit être provisoire, mais elle va rendre bien des services aux utilisateurs et aux développeurs, tout en sachant que certaines applications ne seront surement jamais adaptées. Malgré tout, certains logiciels sont déjà disponibles en version ARM, notamment Google Chrome et Dropbox.
Des chercheurs en sécurité ont effectué un gros travail de recherche de vulnérabilités sur le système QTS utilisé par les NAS QNAP. Ils sont parvenus à identifier 15 failles de sécurité, plus ou moins sérieuse ! Faisons le point !
Les chercheurs en sécurité de WatchTowr Labs ont mis en ligne un rapport au sujet de 15 vulnérabilités qu'ils ont découvertes dans le système QTS de QNAP. Enfin, il ne s'agit pas du seul système analysé puisqu'ils ont également analysé les versions QTS Hero et QuTS Cloud.
Pour le moment, 11 vulnérabilités ne sont toujours pas corrigées, et certaines sont encore sous embargo, alors que QNAP a été averti entre le 8 décembre 2023 et le 8 janvier 2024. Voici la liste des CVE patchées par QNAP : CVE-2023-50361, CVE-2023-50362, CVE-2023-50363 et CVE-2023-50364.
La faille de sécurité CVE-2024-27130
L'une de ces failles de sécurité, associée à la référence CVE-2024-27130, mérite une attention particulière. Cette vulnérabilité de type "stack buffer overflow" présente dans la fonction "No_Support_ACL" du fichier "share.cgi" permet à un attaquant d'exécuter du code à distance sur le NAS QNAP. Néanmoins, l'exploitation n'est pas simple, car l'attaquant doit pouvoir se connecter au NAS QNAP, avec un compte lambda, de façon à manipuler la fonction de partage de fichiers.
À ce jour, cette faille de sécurité est connue publiquement et elle n'a pas été corrigée par QNAP alors qu'elle a été reportée au fabricant de NAS le 3 janvier 2024 : une belle faille de sécurité zero-day.
À chaque fois, QNAP a demandé un délai supplémentaire à WatchTowr Labs. Mais, désormais, le temps presse... Les chercheurs en sécurité de WatchTowr Labs quant à eux, ont mis en ligne un exploit PoC pour cette même vulnérabilité : il est disponible sur ce GitHub. Tous les détails techniques sont fournis pour indiquer comment l'exploiter, bien qu'elle ne soit pas corrigée.
En exploitant cette faille, les chercheurs de WatchTowr Labs sont parvenus à créer un compte nommé "watchtowr" sur le NAS et à l'ajouter au fichier "sudoers" pour lui permettre d'élever ses privilèges sur le NAS.
Désormais, le correctif de QNAP est attendu, que ce soit pour cette vulnérabilité ou toutes les autres non corrigées pour le moment.
Connexion
