À partir de janvier 2025 et dans le but de lutter contre l'envoi de spams, Microsoft va mettre en place une nouvelle restriction sur Exchange Online : une limite de 2 000 destinataires externes par jour. Faisons le point sur ce changement à venir.
Vous n'allez plus pouvoir abuser des ressources d'Exchange Online puisque dans un nouvel article, Microsoft a dévoilé les plans de sa nouvelle limite "External Recipient Rate" (ERR) : "Aujourd'hui, nous annonçons qu'à partir de janvier 2025, Exchange Online commencera à appliquer une limite de 2 000 destinataires externes en 24 heures.", peut -on lire.
Il s'agit d'une sous-limite de la limite globale, visant à limiter le nombre de destinataires externes à votre organisation. Voici ce qu'explique Microsoft dans son article : "Exchange Online applique une limite de taux de réception de 10 000 destinataires. La limite de 2 000 ERR deviendra une sous-limite dans cette limite de 10 000 destinataires."
Cette limite de 10 000 destinataires est indiquée dans la documentation de Microsoft. Elle est identique pour tous les abonnements Microsoft 365 (Business Basic, Business Standard, Business Premium, E3, E5, etc.).
La feuille de route de Microsoft
Pour déployer ce changement, Microsoft a prévu deux grandes étapes :
Étape n°1 : À partir du 1er janvier 2025, la limite s'appliquera aux boîtes aux lettres Exchange Online, sur tous les nouveaux tenants.
Étape n°2 - Entre juillet et décembre 2025, Microsoft va commencer à appliquer la limite aux boîtes aux lettres Exchange Online, sur les tenants existants
Autrement dit, si vous utilisez déjà Microsoft 365, vous serez affecté par ce changement entre juillet et décembre 2025.
Si vous avez besoin d'envoyer en masse des e-mails et que cette limitation est un problème pour votre organisation, vous devez vous orienter vers le service Azure Communication Services for Email qui est adapté à cet usage.
Microsoft n'est pas la première entreprise à prendre de nouvelles mesures sur les e-mails sortants : Google l'a fait un peu plus tôt cette année avec une limite à 5 000 e-mails par jour, à partir d'un même compte Gmail.
Nexperia, un important fabricant de semi-conducteurs néerlandais, a été victime d'une cyberattaque par ransomware lors de laquelle les pirates sont parvenus à exfiltrer des données de l'entreprise. Voici ce que l'on sait sur cet incident de sécurité !
Établie aux Pays-Bas, l'entreprise Nexperia est un fabricant de semi-conducteurs présents dans le monde avec 15 000 employés répartis en Europe, aux États-Unis et en Asie. L'entreprise Nexperia fabrique et expédie plus de 100 milliards de produits par an, et elle réalise un chiffre d'affaires annuel de plus de 2,1 milliards de dollars.
Vendredi 12 avril 2024, un communiqué de presse a été publié par Nexperia afin de confirmer publiquement qu'un groupe de cybercriminels était parvenu à s'introduire sur certains serveurs. Cette intrusion a eu lieu en mars 2024 et dès qu'elle a été détectée, les équipes de Nexperia sont intervenues : "Nous avons rapidement pris des mesures et déconnecté les systèmes concernés de l'internet afin de contenir l'incident et de mettre en œuvre des mesures d'atténuation importantes."
En parallèle, Nexperia a ouvert une enquête dans le but d'identifier la nature et les conséquences exactes de l'incident. Les investigations sont menées en collaboration avec une équipe de spécialistes de chez FoxIT, sollicités en réponse à cet incident.
1 To de données dans la nature ?
Le 10 avril 2024, le site d'extorsion "Dunghill Leak" a annoncé le vol de 1 To de données confidentielles sur les serveurs de Nexperia. Si la rançon n'est pas payée par le fabricant néerlandais, Dunghill menace de publier les données (ou de les revendre à un tiers malveillant) suivantes :
371 Go de données sur la conception et les produits, y compris le contrôle de qualité, les accords de confidentialité, les secrets commerciaux, les spécifications techniques, les schémas confidentiels et les instructions de production.
246 Go de données d'ingénierie, dont des documents correspondants à des études internes et des technologies de fabrication.
96 Go de données commerciales et de marketing, y compris des analyses de prix.
41,5 Go de données liées aux ressources humaines, aux données personnelles des employés, avec notamment des copies de passeports de salariés.
109 Go de données de clients et d'utilisateurs, parmi lesquelles des marques comme SpaceX, IBM, Apple et Huawei.
121,1 Go de fichiers et de données diverses, dont des fichiers relatifs aux e-mails.
En guise de preuves, une partie des données a été divulguée par Dunghill : des images de composants électroniques scannés au microscope, des passeports d'employés et des accords de non-divulgation. Pour le moment, Nexperia ne s'est pas exprimé au sujet de ces documents.
En environnement Active Directory, les stratégies de groupe jouent un rôle dans l'administration et la sécurisation des postes de travail et des serveurs. Néanmoins, au fil des années, elles sont susceptibles de s'accumuler et l'équipe IT peut finir par perdre le contrôle sur leurs GPO et ne plus avoir une bonne visibilité sur le rôle de chacune d'elle... Au point, de se retrouver avec des GPO en double, des GPO vides, des GPO avec des permissions incorrectes, ou tout simplement des GPO mal configurées. D'ailleurs, tôt ou tard, ceci pourrait être à l'origine d'un problème avec l'une de vos stratégies de groupe...
Nous pouvons dire que l'administration des GPO est un véritable défi, surtout quand elles sont nombreuses et gérées par plusieurs personnes. Dans ce tutoriel, nous allons découvrir l'outil GPOZaurr, qui pourra vous venir en aide puisque ce module PowerShell va analyser l'intégralité de vos GPO et vous générer un joli rapport que vous pourrez ensuite analyser.
Il sera d'une aide précieuse à celles et ceux qui ont la volonté de faire du tri dans leurs GPO, mais également si vous cherchez à investiguer sur un problème de stratégies de groupe. Nous pourrions même dire que GPOZaurr permet de faire un audit des GPO. En complément, vous pouvez lire cet article :
Lorsque nous allons exécuter un audit avec GPOZaurr, l'outil va vérifier près d'une vingtaine de points de configuration et anomalies potentielles. Par exemple :
Détection des GPO "cassées", c'est-à-dire des GPO qui sont présentes dans l'Active Directory mais qui ne sont plus dans SYSVOL, ou inversement. Ceci crée des GPO orphelines qui ne fonctionneront pas.
Détection des liens de GPO "cassés, c'est-à-dire que la GPO a été supprimée, mais qu'une ou plusieurs liaisons n'ont pas été correctement supprimés.
Détection des problèmes et des incohérences sur les permissions de GPO.
Détection des GPO dupliquées.
Détection des GPO vides.
Détection des GPO avec une section désactivée alors qu'il y a des paramètres configurés
Détection des mots de passe dans les GPO.
Inventorier tous les fichiers présents dans le SYSVOL, ce qui permettra de faciliter la détection de fichiers inutiles et/ou malveillants.
Inventorier toutes les unités d'organisation dont l'héritage est bloqué et vérifier le nombre d'utilisateurs ou d'ordinateurs concernés.
Catégorisation des GPO, en fonction des paramètres configurés.
Vérification des autorisations sur le partage NetLogon.
Détection de fichiers ADM (legacy) dans le SYSVOL.
Il fournira aussi un rapport complet sur l'ensemble de vos GPOs permettant d'identifier les GPO vides, non liées, appliquées, désactivées, sans filtrage de sécurité, etc...
Vous pouvez retrouver le projet GPOZaurr sur GitHub :
Tout d'abord, ouvrez une console PowerShell sur votre machine et installez le module GPOZaurr :
Install-Module -Name GPOZaurr
Vous devez savoir que GPOZaurr va également installer les modules PSWriteHTML, ADEssentials, PSSharedGoods, PSWriteColor, car ce sont des prérequis à son fonctionnement. D'ailleurs, c'est le même développeur principal derrière ces différents modules, et vous connaissez peut-être déjà l'excellent module PSWriteHTML.
Si l'installation ne passe pas avec la commande ci-dessus, réessayez avec celle-ci :
Par ailleurs, GPOZaurr nécessite l'installation des outils RSAT pour l'Active Directory et la console de "Gestion des stratégies de groupe" pour être en mesure d'effectuer l'analyse de votre environnement. Ces consoles sont présentes sur les serveurs contrôleurs de domaine Active Directory et peuvent être installées sur un serveur ou poste de travail d'administration.
IV. Générer un rapport avec GPOZaurr
Une fois que GPOZaurr est installé, vous pouvez l'exécuter via le cmdlet "Invoke-GPOZaurr" pour qu'il effectue une analyse de vos GPO.
Remarque : vous devez l'exécuter avec un compte Administrateur pour que l'ensemble des points puissent être vérifiés. A partir d'un compte utilisateur standard, certaines informations pourront être récupérées, mais l'analyse sera partielle.
Invoke-GPOZaurr
Sans aucun paramètre, GPOZaurr va effectuer une analyse complète des stratégies de groupe de votre domaine Active Directory. Ainsi, sur un domaine avec plusieurs milliers de GPO, l'analyse peut durer plusieurs heures. Sur mon Lab, où il y a un peu moins de 100 GPO, l'analyse est relativement rapide puisqu'elle nécessite environ 2 minutes.
Si vous souhaitez effectuer une analyse uniquement sur certaines catégories ou certaines anomalies, sachez que ce cmdlet intègre un paramètre nommé "-Type" qui vous permettra de spécifier le périmètre de l'analyse.
Invoke-GPOZaurr -Type <Nom du rapport>
# Exemple n°1 :
Invoke-GPOZaurr -Type GPOBroken
# Exemple n°2 :
Invoke-GPOZaurr -Type GPOBroken,GPOPermissions
Voici la liste des valeurs disponibles :
Par ailleurs, le paramètre "-FilePath" vous offre la possibilité de nommer le rapport comme vous le souhaitez et de le stocker dans le répertoire de votre choix. Sinon, par défaut, ce sera dans le répertoire temporaire de l'utilisateur utilisé pour lancer l'analyse. L'exemple ci-dessous vous permettra d'intégrer la date et l'heure dans le nom du rapport.
Le rapport s'ouvrir sur votre machine dès lors que l'analyse est terminée. La partie supérieure du rapport contient un ensemble d'onglets, ce qui permet de naviguer dans les différentes catégories. Chaque onglet contient une zone qui décrit ce qui a été analysé, un graphique, ainsi qu'un tableau récapitulatif avec le statut de vos GPO.
Chaque sous-rapport peut être exporté au format Excel, CSV ou PDF. De plus, vous pouvez effectuer des recherches sur chaque colonne d'un tableau afin de filtrer les résultats rapidement.
Pour avoir une vue d'ensemble de vos GPO, cliquez sur l'onglet "Group Policy Summary". Il offre un aperçu global sur l'ensemble de vos GPO avec quelques indicateurs clés (oui/non) : GPO vide, GPO activée, GPO optimisée, GPO avec un problème, GPO liée, etc.
En complément, si vous basculez sur l'onglet "Group Policy Content", vous pourrez constater que GPOZaurr a organisé vos GPO par catégorie. Par exemple, la catégorie "Audit" permet de voir toutes les GPO qui permettent de configurer des paramètres de stratégies d'audit.
Chaque onglet contient des informations intéressantes et qui pourront s'avérer plus ou moins utiles et pertinentes selon le contexte dans lequel vous utilisez GPOZaurr. Si vous passez sur l'onglet "SYSVOL (NetLogon) Files List", vous pourrez visualiser l'ensemble des fichiers détectés dans le partage SYSVOL. Ce sera aussi l'occasion de voir si ces fichiers sont liés à une GPO, ou pas.
GPOZaurr est également capable de corriger les problèmes à votre place, grâce à un processus étape par étape où l'outil vous fournit les commandes PowerShell à exécuter pour faire le nécessaire. À chaque fois que vous changez d'onglet, les étapes de remédiation sont adaptées en fonction du contexte. Néanmoins, je vous recommande de corriger les problèmes vous-même et d'utiliser GPOZaurr uniquement pour vous faciliter le travail d'analyse. Même rien ne vous empêche de vous inspirer de la solution proposée, mais l'objectif étant de limiter les effets indésirables...
VI. Conclusion
J'ai découvert GPOZaurr récemment, et c'est bien dommage.... Il aurait pu me rendre bien des services pour investiguer sur des problèmes de GPO, générer un rapport complet sur les GPO pour un audit ou encore pour effectuer du tri dans les GPO. J'espère que cet article vous donnera envie de l'utiliser et de l'ajouter à votre boite à outils !
En complément de cet article, vous pouvez lire celui rédigé par l'auteur de ce module (en anglais) :
Votre PC est sous Windows et vous utilisez l'application Telegram pour ce système d'exploitation ? Alors, sachez que Telegram a effectué une modification pour vous protéger d'une nouvelle faille de sécurité zero-day.
Telegram a corrigé une faille de sécurité zero-day pour protéger les utilisateurs de son application bureau pour Windows. En l'exploitant, un attaquant peut contourner les mécanismes de protection et exécuter des scripts Python sur la machine cible. In fine, ceci permettrait d'exécuter du code à distance sur la machine de l'utilisateur qui utilise une version vulnérable de l'application Telegram, même si cela implique une interaction de la part de l'utilisateur.
Une démonstration de l'exploitation de cette vulnérabilité a été publiée sur le réseau social X. Telegram a d'abord indiqué qu'il s'agissait d'un canular. Mais, le lendemain, un exploit PoC a été publié sur le forum de piratage XSS pour montrer qu'il était possible d'exécuter des scripts Python ayant l'extension ".pyzw" sur Windows,par l'intermédiaire de l'application Telegram. Ainsi, un attaquant pourrait utiliser l'icône d'une vidéo pour inciter l'utilisateur à cliquer sur un lien dans le but d'exécuter le script malveillant.
En principe, l'application Telegram devrait déclencher un avertissement pour "bloquer" l'exécution de ce type de fichiers, mais là ce n'est pas le cas. Précisons également que Python doit être installé sur l'ordinateur de l'utilisateur pour que le script soit exécuté, ce qui fait une condition supplémentaire.
Finalement, Telegram a reconnu l'existence de cette vulnérabilité et a pris la décision de la corriger. Toutefois, le correctif a été implémenté du côté des serveurs Telegram, donc les utilisateurs n'ont rien à faire : il n'y a aucune mise à jour installer. "Un correctif côté serveur a été appliqué pour s'assurer que ce problème ne se reproduise plus, de sorte que toutes les versions de Telegram Desktop (y compris les plus anciennes) n'ont plus ce problème.", a précisé Telegram.
En fait, Telegram s'appuie sur une liste d'extensions correspondante à tous les fichiers "à risques" et potentiellement malveillants. Celle-ci permet d'indiquer à l'application Telegram quand elle doit afficher l'avertissement de sécurité.
Dimanche 14 avril 2024, Palo Alto Networks a tenu sa promesse en mettant en ligne des premiers correctifs pour corriger la nouvelle faille de sécurité critique (CVE-2024-3400) découverte dans le système PAN-OS de ses firewalls. D'autres correctifs sont attendus dans les prochains jours. Faisons le point.
Rappel sur la CVE-2024-3400
Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.
Désormais, des correctifs sont disponibles pour certaines versions de PAN-OS. Sinon, sans ce correctif, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".
Il est important de rappeler également qu'il y a des tentatives d'exploitation de cette faille de sécurité depuis le 26 mars 2024. Les pirates l'utilisent pour déployer une porte dérobée sur le firewall Palo Alto, et ensuite, essaient de pivoter vers le réseau interne de l'entreprise.
Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez nos articles sur cette alerte de sécurité :
Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Désormais, l'éditeur a mis en ligne des correctifs de sécurité et il a mis à jour son bulletin de sécurité.
Pour le moment, trois correctifs de sécurité sont disponibles :
PAN-OS 10.2.9-h1
PAN-OS 11.0.4-h1
PAN-OS 11.1.2-h3
Dans les prochains jours, d'autres correctifs sont attendus. Voici un tableau récapitulatif :
Version
Date de publication du correctif
10.2.8-h3
15/04/2024
10.2.7-h8
15/04/2024
10.2.6-h3
15/04/2024
10.2.5-h6
16/04/2024
10.2.4-h16
19/04/2024
10.2.3-h13
17/04/2024
10.2.1-h2
17/04/2024
10.2.2-h5
18/04/2024
10.2.0-h3
18/04/2024
11.0.3-h10
15/04/2024
11.0.2-h4
16/04/2024
11.0.1-h4
17/04/2024
11.0.0-h3
18/04/2024
11.1.1-h1
16/04/2024
11.1.0-h3
17/04/2024
Par ailleurs, rappelons deux choses :
L'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.
Cette vulnérabilité affecte uniquement le système PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.
Si vous avez besoin d'aide pour installer la mise à jour, référez-vous à la documentation officielle de Palo Alto, notamment cette page.
Les dernières nouvelles au sujet de la CVE-2024-3400 ne sont pas bonnes : depuis le 26 mars 2024, un groupe de pirates exploite cette faille de sécurité zero-day présente dans le système PAN-OS des firewalls Palo Alto pour déployer une porte dérobée et s'introduire dans le réseau interne des organisations dont le matériel a été compromis.
Rappel sur la CVE-2024-3400
Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.
Un correctif est attendu pour ce dimanche 14 avril, mais à l'heure où ces lignes sont écrites, le correctif n'a pas encore été publié par Palo Alto Networks. En attendant, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".
Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez cet article publié vendredi dernier sur notre site :
Une première tentative d'exploitation le 26 mars 2024
Dans son bulletin de sécurité, Palo Alto évoque le fait que cette vulnérabilité a déjà été exploitée par les cybercriminels, sans donner plus de précisions : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité".
Néanmoins, si nous regardons ce rapport publié par la société Volexity, à l'origine de la découverte de cette vulnérabilité critique, nous apprenons qu'elle a été exploitée pour la première fois en mars 2024 : "La première preuve de tentative d'exploitation observée par Volexity jusqu'à présent remonte au 26 mars 2024, lorsque les attaquants ont semblé vérifier que l'exploitation fonctionnait correctement." - Le jour suivant, une autre tentative a été repérée par Volexity, puis, les pirates ont attendu le 10 avril 2024 pour déployer un payload.
L'acteur malveillant à l'origine de cette tentative d'exploitation est suivi par Veloxity sous le nom de UTA0218, et d'après eux, il est fort probable que ce soit un groupe de pirates sponsorisés par un État.
"Volexity estime qu'il est très probable que UTA0218 soit un acteur de menace soutenu par un État, compte tenu des ressources nécessaires pour développer et exploiter une vulnérabilité de cette nature, du type de victimes ciblées par cet acteur et des capacités affichées pour installer la porte dérobée Python et accéder aux réseaux des victimes", peut-on lire.
Une porte dérobée déployée, mais pas uniquement...
L'implant principal, appelé "Upstyle", correspond à une porte dérobée installée par l'intermédiaire d'un script Python associé à un fichier de configuration ("/usr/lib/python3.6/site-packages/system.pth"). Une fois que cette backdoor est déployée, les pirates peuvent l'exploiter pour exécuter des commandes sur le firewall compromis.
Comme le montre le schéma ci-dessous, les pirates transmettent les commandes à exécuter par l'intermédiaire de requêtes HTTP et ils génèrent volontairement une erreur. Ceci permet d'inscrire la requête, et donc la commande, dans le journal des erreurs du serveur Web du pare-feu. La porte dérobée va ensuite lire ce fichier journal et décoder la commande (base64) afin de l'exécuter.
Source : Volexity
En complément de la porte dérobée, d'autres payloads sont déployés sur le firewall : un reverse shell, un outil de suppression des logs, un outil pour exporter la configuration de PAN-OS ou encore l'outil de tunneling GOST.
Dans une attaque observée par Volexity, les pirates informatiques sont parvenus à pivoter vers le réseau interne et à voler différentes informations, parmi lesquelles la base de données Active Directory ("ntds.dit"), des journaux d'événements Windows, ou encore des données de navigateurs tels que Google Chrome et Microsoft Edge (identifiants et cookies).
Mon firewall Palo Alto a-t-il été compromis ?
Voilà une question que certains d'entre vous doivent se poser. Elle est légitime puisque cela fait plusieurs jours que cette vulnérabilité est exploitée par les cybercriminels et qu'il y a déjà eu plusieurs victimes.
Voici ce que nous dit Volexity :
"Il existe deux méthodes principales pour identifier la compromission d'un pare-feu concerné. La première méthode consiste à surveiller le trafic et l'activité du réseau émanant des dispositifs de pare-feu Palo Alto Networks. Volexity travaille toujours à la coordination avec Palo Alto Networks concernant la seconde méthode et ne la décrit donc pas pour l'instant.".
Au niveau des flux réseau, voici ce que vous devez vérifier dans les journaux :
- Vérifier si le pare-feu a effectué des requêtes "wget" vers Internet pour effectuer le téléchargement de ressources. En effet, les pirates utilisent cette commande pour récupérer des fichiers malveillants depuis leur serveur. Il s'agit de requête directe vers des adresses IP, notamment "172.233.228[.]93".
- Vérifier s'il y a eu des tentatives de connexions SMB et/ou RDP vers plusieurs systèmes de votre environnement, depuis l'appliance Palo Alto.
- Vérifier s'il y a eu des requêtes HTTP vers "worldtimeapi[.]org/api/timezone/etc/utc" à partir du pare-feu.
Nous vous tiendrons informés lorsque les correctifs seront mis en ligne.
Imaginez un instant : vous êtes installé confortablement dans votre canapé, accompagné par deux coussins très confortables, un de chaque côté pour poser vos coudes, et un plateau pour accueillir votre ensemble clavier-souris préféré, voire même un ordinateur portable. C'est la promesse des produits de chez Nerdytec, et plus particulièrement du Couchmaster CYCON² !
Un produit à la fois innovant et étonnant qui va vous permettre de vous installer très confortablement dans votre canapé, que ce soit pour travailler, naviguer sur le Web, ou encore passer des heures à jouer sur votre TV, sans galérer avec votre matériel sur les genoux ou posé sur un support peu adapté.
Voici à quoi ressemble le Couchmaster CYCON² de chez Nerdytec :
Le Couchmaster CYCON² est ce que l'on pourrait appeler un plateau pour le gaming ou un support ergonomique pour jouer ou travailler depuis son canapé, et la marque allemande Nerdytec en a fait sa spécialité. Tous les produits sont imaginés en Allemagne, dans les locaux de Nerdytec, et le modèle que nous vous présentons aujourd'hui, c'est l'un des best-sellers de la marque !
Voici quelques caractéristiques à son sujet :
6 ports USB 3.0 (2 externes & 4 internes), y compris un port de chargement rapide externe
Gestion optimisée des câbles
Grille de ventilation : non
Poches latérales pratiques pour différents accessoires (et votre snack)
Distance intérieure maximale des coussins : 75 cm
Dimensions des coussins (L x l x H) : 60 x 20 x 16 cm
Dimensions du support (L x l x H) : 82 x 33 x 3 cm
Lorsque j'ai reçu le colis, il n'était pas en parfait état et il semblait avoir souffert pendant le transport, mais heureusement, ce fut sans conséquence pour le matériel. À l'intérieur du carton, les coussins sont dans un plastique tandis qu'une seconde boite cartonnée contient le plateau et l'ensemble des accessoires.
À l'intérieur du carton, nous avons un guide avec les instructions d'installation, deux coussins latéraux, un plateau Nerdytec avec un hub USB 3.0 intégré, un tapis de souris gaming, un petit sac pour ranger votre souris, de la bande auto-grippante, un bloc d'alimentation et son câble, ainsi qu'un câble de connexion hub de 0,8 mètre et un câble d'extension USB 3.0 de 5 mètres. Autant vous dire qu'il y a tout ce qu'il faut pour s'installer confortablement !
Chaque coussin jouera le rôle d'un accoudoir, un peu comme ceux que l'on retrouve sur les canapés : à la fois ferme et confortable, car l'idée est bien de pouvoir poser son coude et une partie de l'avant-bras de chaque côté.
Chaque coussin est déhoussable, ce qui signifie que vous pouvez laver les housses en machine à 30 degrés. C'est un point positif.
Le plateau du Couchmaster inspire confiance et la qualité de fabrication est très bonne. Le design est tout de même travaillé, et chaque zone où vous allez poser votre poignée, le plastique laisse sa place à une texture plus agréable. Le tapis de souris gaming fournit avec le Couchmaster pourra être collé sur le plateau, soit à droite, soit à gauche, grâce au scotch double-face intégré au package. Sachez que ce plateau n'a pas d'éclairage ou d'éléments lumineux, ce qui sera peut-être perçu comme un point négatif pour certains.
Au centre, sur la partie supérieur du plateau, nous avons accès à deux ports USB-A pour connecter ce que l'on souhaite. Bien entendu, ces ports USB sont reliés à votre PC par l'intermédiaire du Hub USB intégré au Couchmaster.
Pour bien comprendre comment cela fonctionne, il convient de retourner le Couchmaster. Il y a deux compartiments accessibles de façon indépendante où l'on va retrouver différents ports USB, ainsi que le connecteur pour l'alimentation. En fait, pour faciliter la gestion des câbles et d'avoir plusieurs câbles qui trainent au sol dans votre salon, sachez que Nerdytec propose un système basé sur un seul câble spécialement conçu pour le Couchmaster CYCON² dans le but d'établir la connexion entre le PC et le Couchmaster en lui-même, tout en fournissant une alimentation électrique supplémentaire. Par ailleurs, ce câble est en deux parties donc vous pouvez facilement le déconnecter du Couchmaster sans avoir à ouvrir un compartiment.
Pour vous faire une idée plus précise des dimensions des coussins et du plateau, ainsi que l'espace maximal entre les deux coussins, voici un schéma proposé par la marque :
III. Utilisation au quotidien
Me voici en place avec mon ordinateur, installé confortablement sur le canapé, grâce aux coussins et au plateau du Couchmaster. Les coussins sont très confortables et agréables, et grâce à eux, cela devient facile de travailler (ou jouer) depuis son canapé, car nous sommes bien installés. Les coudes sont maintenus par les coussins, ce qui permet de se mettre à l'aise que ce soit pour utiliser un ordinateur portable ou un kit clavier et souris. Nous pouvons rester dans cette position plusieurs heures, sans ressentir de gêne.
Sans utiliser d'ordinateur fixe, j'ai tout de même fait quelques tests avec le système de gestion de câbles. Il me semble adapté à de nombreuses configurations et types de câbles, avec tout de même un point d'attention : je n'ai pas pu tester directement, mais compte tenu de la taille des trous pour faire passer les câbles, je pense qu'ils ne sont pas assez grands si vous avez un accessoire avec un câble ayant un noyau de ferrite.
En ce qui concerne l'ergonomie, en complément de mon ressenti et de mon avis, voici l'analyse fournie sur le site officiel de Nerdytec : "D'un point de vue ergonomique, le Couchmaster® CYCON² est particulièrement recommandé. Le physiothérapeute Roland Kellerbach de Cologne-Dellbrück s'exprime en ces termes : "Du point de vue de la santé, je peux dire que le Couchmaster offre la meilleure possibilité ergonomique d'utiliser le PC/l'ordinateur portable depuis le canapé. Grâce aux larges coussins, la musculature des épaules et de la nuque est soulagée pendant l'utilisation, ce qui prévient efficacement les tensions"."
Le seul bémol, mais ça, Nerdytec ne peut pas y faire grand-chose, c'est l'encombrement pour stocker les coussins et le plateau, ainsi que le temps de mise en place avec l'installation des deux coussins, du plateau, puis de l'ordinateur portable ou du clavier et de la souris. Mais, une fois que l'on est installé, on se dit que ça en vaut vraiment la peine ! En revanche, pour les câbles, l'installation est à effectuer une seule fois, donc nous ne perdons pas de temps avec ça à chaque fois.
IV. Conclusion
Si vous aimez jouer ou travailler depuis votre canapé, mais que vous ne parvenez pas à vous installer confortablement, ne cherchez plus : investissez dans un Couchmaster Cycon 2 (ou un autre modèle, selon votre configuration). Peut-être que pour certains d'entre vous, ce sera l'occasion de franchir le pas... C'est un produit vraiment cool et confortable à utiliser.
Le tarif de la version Couchmaster Cycon 2 montrée dans cet article : 179.99 €. Vous pouvez retrouver ce produit sur Amazon.fr via notre lien d'affilié :
De plus, sachez que le Couchmaster Cycon 2 est disponible en plusieurs éditions et coloris : CYPUNK (pour les fans de Cyberpunk), Fusion Grey, Titan Black Edition (version de luxe avec des éléments en titane et des coussins en cuir nappa véritable) et Black Edition.
Alerte chez Palo Alto Networks : une faille de sécurité zero-day, non patchée à l'heure actuelle, a déjà été exploitée dans le cadre de plusieurs cyberattaques ! Voici ce que l'on sait !
Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique associée à un score CVSS de 10 sur 10 ! Elle a été découverte par les chercheurs en sécurité de Volexity et elle est désormais associée à la référence CVE-2024-3400. Il s'avère que cette vulnérabilité de type "injection de commande" a été découverte dans la fonction GlobalProtect du système PAN-OS.
Dans la pratique, un attaquant, situé à distance, peut exploiter cette vulnérabilité pour exécuter des commandes sur le firewall, sans aucune interaction de la part d'un utilisateur, et sans disposer de privilèges spéciaux. Il est question ici d'exécuter des commandes en tant qu'administrateur.
À l'heure actuelle, cette faille de sécurité a déjà été exploitée : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité", peut-on lire dans le bulletin de sécurité mis en ligne par l'éditeur de solutions de sécurité.
Quelles sont les versions de PAN-OS affectées ?
Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Ceci affecte uniquement PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.
Voici le tableau récapitulatif publié par Palo Alto :
Il est important de préciser que l'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.
Comment se protéger de la CVE-2024-3400 ?
Pour le moment, aucun correctif n'est disponible ! Les correctifs, pour les différentes versions affectées, sont en cours de développement et sont attendus pour le dimanche 14 avril 2024, au plus tard.
Voici les versions qui seront publiées :
PAN-OS 10.2.9-h1
PAN-OS 11.0.4-h1
PAN-OS 11.1.2-h3
En attendant, et avant de partir en week-end, il est impératif de désactiver la télémétrie sur votre firewall, en suivant cette documentation officielle. Ceci empêche l'exploitation de la vulnérabilité.
Sachez que si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation.
Dans ce tutoriel, nous allons exploiter PowerShell pour créer un journal personnalisé et des événements personnalisés dans l'Observateur d'événements de Windows ou Windows Server, à l'aide de deux cmdlets : New-EventLog et Write-EventLog. En complément, nous verrons comment utiliser la classe .NET "EventLog" pour créer des entrées avancées.
Sur Windows, le système d'exploitation, les composants et les applications peuvent générer des événements qui sont inscrits dans les différents journaux centralisés dans l'Observateur d'événements. Ces journaux sont une mine d'informations pour les administrateurs systèmes, mais aussi pour les équipes en charge de la sécurité : une action suspecte peut être consignée dans un événement, qui représentera alors une trace intéressante.
L'intérêt ensuite est de collecter ces événements dans un puits de logs ou un SIEM afin de les analyser et de détecter les comportements suspects ou les anomalies sur une infrastructure.
Grâce à la commande Write-EventLog ou à l'utilisation de la classe EventLog, nous pouvons alimenter les journaux de Windows avec des événements personnalisés qui, eux aussi, pourront être exploités par une solution telle qu'un SIEM. Autrement dit, votre script PowerShell pourra créer des événements contenant les informations de votre choix.
Remarque : avant de pouvoir utiliser Write-EventLog, cette action était possible sous Windows grâce à l'utilisation de l'utilitaire en ligne de commande EVENTCREATE.exe.
II. Utiliser le cmdlet New-EventLog
Au sein de l'Observateur d'événements, vous pouvez créer un journal personnalisé, associé au nom de votre choix, à condition que celui-ci ne soit pas déjà utilisé. Cette étape est facultative, car nous pouvons créer des enregistrements dans certains journaux natifs, notamment dans le journal "Applications" de Windows.
Néanmoins, le fait de créer un journal personnalisé et d'y inscrire par la suite nos propres événements, permet "d'isoler" nos événements personnalisés. Ceci peut vouloir dire également qu'il faudra adapter la configuration de votre outil de collecte de log pour qu'il prenne en charge ce nouveau journal.
La commande suivante permet de créer un journal nommé "PowerShell-Demo", qui accepte deux sources : "Script-1" et "Script-2". Vous pouvez en ajouter autant que vous le souhaitez, et, vous pouvez ajouter des sources supplémentaires à un journal existant. Ceci est indispensable, car chaque événement de journal doit être associé à une source.
Ce journal sera immédiatement visible dans l'Observateur d'événements sous "Journaux des applications et des services".
D'ailleurs, pour ajouter une source supplémentaire, il suffit d'exécuter une nouvelle fois New-EventLog en indiquant le nom du journal et le nom de la source supplémentaire à ajouter. Voici un exemple pour ajouter la source "Script-3" :
Désormais, nous allons voir comment écrire un nouvel événement dans le journal d'événements que nous venons de créer. Nous pourrions aussi l'ajouter dans un autre journal (attention, certains sont protégés), tout se joue au niveau du paramètre "-LogName" de la commande Write-EventLog puisqu'il permet de préciser le journal cible.
Comme pour les autres cmdlets PowerShell, vous pouvez spécifier le nom du cmdlet suivi de chaque paramètre et de sa valeur, mais dans le cas présent, l'écriture proposée ci-dessous permet d'avoir une meilleure lisibilité.
$Event = @{
LogName = "PowerShell-Demo"
Source = "Script-1"
EntryType = "Error"
EventId = 10000
Message = "Cette alerte a été généré depuis PowerShell"
}
Write-EventLog @Event
Ce bout de code va créer un événement de type "Erreur" dans notre journal, associé à la source "Script-1" et l'ID "10000". Il contiendra le message "Cette alerte a été généré depuis PowerShell", comme vous pouvez le voir sur l'image ci-dessous. Essayez d'utiliser des ID différents pour vos types d'événements, et évitez aussi d'utiliser des ID déjà utilisé par Windows.
À la place du type "Error" permettant de générer une erreur, vous pouvez utiliser les valeurs suivantes : Warning, Informational, SuccessAudit, et FailureAudit. Sachez que cette commande prend en charge le paramètre "-ComputerName", ce qui permet de créer un événement dans le journal d'un ordinateur distant.
Pour consulter ce journal personnalisé, ou un autre journal, vous pouvez utiliser le cmdlet PowerShell "Get-EventLog". Bien que ce cmdlet soit très pratique, il ne permet pas d'accéder à tous les journaux, donc sachez qu'il existe aussi un second cmdlet prévu pour consulter les journaux : "Get-WinEvent".
Voici la commande à utiliser pour récupérer les logs de notre journal :
Get-EventLog -LogName "PowerShell-Demo"
Pour approfondir l'utilisation de ces cmdlets, vous pouvez consulter ces pages :
Pour aller plus loin dans l'écriture d'événements dans un journal Windows, il convient d'exploiter la classe EventLog directement depuis PowerShell. Celle-ci va nous permettre d'ajouter des données mieux structurées dans notre événement, notamment dans la section "EventData" visible à partir de la vue XML. C'est utile pour stocker plusieurs informations tout en permettant de récupérer de façon indépendante chaque information.
Voici un exemple :
Nous avons mis en pratique cette méthode dans ce tutoriel :
Ceci complexifie l'inscription d'un nouvel événement, car nous devons créer nos propres objets et nous passer de l'utilisation de Write-EventLog. Un premier objet "System.Diagnostics.EventInstance" permettra d'indiquer le numéro d'ID et le type d'événements, tandis qu'un second objet "System.Diagnostics.EventLog" permettra de préciser les données de l'événement.
Néanmoins, pour que l'utilisation reste simple, nous vous proposons d'utiliser cette fonction :
function Write-EventLogV2 {
<#
.SYNOPSIS
Crée un évènement dans l'observateur d'évènement
.DESCRIPTION
La fonction utilise la CmdLet WriteEvent pour créer un évènement à partir des paramètres d'entrée.
.PARAMETER dataUser
Nom utilisateur qui sera inscrit dans le contenu de l'évènement à créer
.PARAMETER dataDescription
Contenu de la description qui sera inscrite dans le contenu de l'évènement à créer
.PARAMETER ID
Event ID de l'évènement à créer
.PARAMETER evtLog
Journal de l'évènement à créer
.PARAMETER evtSource
Source de l'évènement à créer
.EXAMPLE
New-EventLog -dataUser "John" -dataDescription "new description"
.OUTPUTS
None
#>
param(
[Parameter(Mandatory=$true)]$dataUser,
$dataDescription="",
$ID=10000,
$evtLog="PowerShell-Demo",
$evtSource="Script-2"
)
# Charge la source d'événement dans le journal si elle n'est pas déjà chargée.
# Cette opération échouera si la source d'événement est déjà affectée à un autre journal.
if ([System.Diagnostics.EventLog]::SourceExists($evtSource) -eq $false) {
[System.Diagnostics.EventLog]::CreateEventSource($evtSource, $evtLog)
}
# Construire l'événement et l'enregistrer
$evtID = New-Object System.Diagnostics.EventInstance($ID,1)
$evtObject = New-Object System.Diagnostics.EventLog
$evtObject.Log = $evtLog
$evtObject.Source = $evtSource
$evtObject.WriteEvent($evtID, @($dataUser,"Description : $dataDescription"))
}
En entrée, cette fonction accepte deux messages ($dataUser et $dataDescription - vous pouvez renommer ces paramètres dont le nom a été choisi vis-à-vis du script d'origine), un numéro d'ID (par défaut, ce sera 10000), le nom d'un journal d'événement (par défaut, ce sera "PowerShell-Demo") ainsi qu'une source (par défaut, ce sera "Script-2").
De plus, par défaut, cette fonction génère des événements de type "Information". Si vous souhaitez changer le type d'événement, vous devez ajuster la valeur présente sur cette ligne :
En effet, la première valeur correspond à l'ID souhaité, ici associé à la variable $ID, tandis que la seconde valeur correspond au type d'événement. Le 1 correspond au type "Information".
Ce qui permettra de générer des événements similaires à celui-ci :
Si besoin, vous pouvez ajouter d'autres valeurs dans la seconde partie de "$evtObject.WriteEvent" pour avoir des lignes "<Data>" supplémentaires.
V. Conclusion
En suivant ce tutoriel, vous devriez être en mesure de créer vos propres événements personnalisés dans les journaux Windows, que ce soit dans un journal existant ou dans votre propre journal à l'aide de PowerShell ! Libre à vous d'utiliser ces cmdlets ou cette fonction dans vos scripts, et de les adapter à vos besoins ! En tout cas, ceci ouvre des possibilités très intéressantes !
Des chercheurs en sécurité soupçonnent les cybercriminels d'avoir utilisé l'IA générative dans le cadre d'une attaque pour générer un script PowerShell. Il a été utilisé pour distribuer un malware infostealer. Faisons le point !
En mars 2024, les chercheurs en sécurité de chez Proofpoint ont identifié une campagne malveillante ciblant des dizaines d'organisations allemandes et associées au groupe de pirates suivi sous le nom de TA547, et connu également sous le nom de Scully Spider. Il s'agirait d'un groupe actif depuis 2017 et appartenant à la catégorie des "initial access broker" (courtier d'accès initial).
"Outre les campagnes menées en Allemagne, d'autres organisations ont été ciblées récemment en Espagne, en Suisse, en Autriche et aux États-Unis.", peut-on lire dans le rapport de Proofpoint.
Lors de cette campagne, les pirates ont tenté d'usurper l'identité de la marque allemande Metro en envoyant des e-mails malveillants avec une facture, au format ZIP, en pièce jointe. Pour échapper aux analyses de sécurité, ce fichier ZIP est protégé par le mot de passe "MAR26". Il contient un fichier de raccourci malveillant (.LNK) qui, lorsqu'il est exécuté, déclenche l'exécution d'un script distant via PowerShell.
L'objectif final est d'infecter la machine avec le logiciel malveillant "Rhadamanthys", de type infostealer. Ce malware a pour objectif de voler des données sur chaque machine infectée, notamment des identifiants et des cookies.
Un script PowerShell généré avec une IA ?
Les chercheurs en sécurité ont procédé à l'analyse du script PowerShell utilisé par les cybercriminels. Et, ils ont été surpris de constater que chaque ligne de code était précédée par un commentaire, très bien rédigé, comme ceux intégrés par l'IA lorsqu'on lui demande de l'aide pour un bout de code.
Voici un extrait du script PowerShell en question :
Source : Proofpoint
Les chercheurs affirment que c'est une caractéristique typique d'un code PowerShell généré avec l'aide d'une IA générative, que ce soit ChatGPT, Gemini ou Microsoft Copilot. Bien que ce ne soit pas certain à 100%, il y a de fortes chances pour que les cybercriminels aient utilisé l'IA pour écrire ou réécrire le code.
Cela signifierait que dans le cadre de cette campagne malveillante, les pirates du groupe TA547 ont recouru à l'IA. Bien entendu, cela n'est qu'un exemple parmi d'autres et dans le cas présent, l'IA pouvait difficilement se douter qu'il s'agissait d'un code PowerShell utilisé à des fins malveillantes.
Le serveur Web des contrôleurs BMC (Baseboard Management Controller) utilisés par plusieurs fabricants de serveurs, dont Lenovo et Intel, est impacté par une faille de sécurité patchée il y a environ 6 ans ! Voici ce qu'il faut savoir sur cette menace potentielle.
Le Baseboard Management Controller (BMC) est un microcontrôleur intégré sur la carte mère de certains serveurs dont l'objectif est de faciliter la gestion à distance et la surveillance à distance du serveur. Ceci implique l'utilisation d'un serveur Web afin de publier l'interface de gestion. Dans le cas présent, Lighttpd est implémenté en tant que serveur Web.
Lors d'un scan récent sur des interfaces BMC, les chercheurs en sécurité de chez Binarly ont découvert que la version de Lighttpd utilisée contient une faille de sécurité. En l'exploitant, un attaquant pourrait exfiltrer les adresses de la mémoire des processus, ce qui faciliterait le contournement de certaines fonctions de sécurité comme l'ASLR (Address Space Layout Randomization).
Il s'avère qu'elle a été corrigée en août 2018, de façon relativement discrète, par les mainteneurs du projet Lighttpd, et cette faille de sécurité n'a même pas été associée à une référence CVE ! Il y a eu un manque de transparence de la part de l'équipe de Lighttpd.
De ce fait, les développeurs d'AMI MegaRAC BMC n'ont pas vu le correctif et ne l'ont pas intégré à leur produit... Résultat, nous avons encore un bel exemple d'un problème de sécurité qui affecte la chaine d'approvisionnement puisque cela impact les vendeurs de serveurs et leurs clients.
Voici un schéma très explicite intégré dans le rapport de Binarly :
Source : Binarly
Intel, Lenovo et Supermicro impactés !
Plusieurs fabricants et références de serveurs sont concernés par ce problème de sécurité, notamment Intel, Lenovo et Supermicro. Voici des précisions apportées par Binarly (avec des ID internes associés à ces problèmes de sécurité) :
BRLY-2024-002 : Vulnérabilité spécifique dans la version 1.4.45 de Lighttpd utilisée dans la version 01.04.0030 (la plus récente) du micrologiciel de la série M70KLP d'Intel, impactant certains modèles de serveurs Intel.
BRLY-2024-003 : Vulnérabilité spécifique dans Lighttpd version 1.4.35 dans le firmware Lenovo BMC version 2.88.58 (la plus récente) utilisé dans les modèles de serveurs Lenovo HX3710, HX3710-F, et HX2710-E.
BRLY-2024-004 : Vulnérabilité générale dans les versions du serveur web Lighttpd antérieures à 1.4.51, permettant la lecture de données sensibles depuis la mémoire du processus du serveur.
Certains systèmes Intel et Lenovo ont été commercialisés récemment et devraient bénéficier d'un correctif. Néanmoins, ce ne sera pas le cas pour tous les serveurs, car certains modèles ne sont plus pris en charge. Par exemple, l'Intel Server System M70KLP a été lancé au premier trimestre 2021 et abandonné en février 2024 (ce qui est très court, en fait !).
Malheureusement, d'après Binarly, il y a une quantité importante d'interfaces BMC vulnérables et accessibles sur Internet, qui correspondent à du matériel en fin de vie et qui resteront vulnérables...
Dans cet article, nous allons découvrir la plateforme de communication 3CX, capable de répondre à vos besoins en matière d'appels téléphoniques, de visioconférences, de messagerie instantanée et même de Live Chat depuis votre site Internet.
La société 3CX a été créée en 2005, à l'époque où la VoIP était une solution émergente, et désormais 3CX se présente comme un leader mondial dans les domaines des solutions de communication pour les entreprises. La solution européenne 3CX compte plus de 350 000 clients dans 190 pays, parmi lesquels Air France, Somfy, Mercedes-Benz, Coca-Cola ou encore le ClubMed.
3CX propose différentes offres pour répondre aux besoins des entreprises de toutes les tailles : que vous soyez indépendant, représentant d'une startup de quelques salariés, gérant d'une PME ou d'une entreprise internationale, il y a une offre adaptée à votre situation. D'ailleurs, aujourd'hui, nous allons évoquer les fonctionnalités et l'utilisation de la version gratuite de 3CX. La version 20, disponible depuis quelques semaines, est présentée dans cet article.
Tout ce que vous allez voir aujourd'hui, vous pouvez le tester et l'utiliser vous aussi, sans débourser un centime ! Comme vous pourrez le constater, la solution est très simple à déployer et elle présente l'avantage d'être accessible depuis différents types de terminaux (PC, smartphone, tablette, etc.).
L'offre "3CX FREE" est entièrement gratuite, sans limite de temps, et sa principale limite, c'est le nombre d'utilisateurs : 10 utilisateurs, au maximum. Si vous avez besoin de plus d'utilisateurs, vous devez passer sur un forfait payant. Honnêtement, les tarifs pratiqués sont raisonnables puisqu'il s'agit d'une facturation par système, et non par utilisateur.
La version gratuite de 3CX est proposée en tant que solution SaaS, c'est-à-dire directement dans le Cloud. Vous n'avez rien à installer. Pour autant, sachez qu'il existe une version de 3CX que vous pouvez héberger vous-même, sur votre propre serveur.
Voici un aperçu des différentes offres et des tarifs, à titre purement indicatif. Consultez cette page pour avoir plus d'informations.
Nous allons évoquer les fonctionnalités dont vous pouvez gratuitement bénéficier, et qui sont visibles sur l'image ci-dessus. Au-delà de prendre en charge les appels téléphoniques, la visioconférence, et la messagerie instantanée (chat), 3CX présente l'avantage de pouvoir s'intégrer à d'autres solutions : WhatsApp mais aussi directement sur votre site web avec un Live Chat pour WordPress (ou un autre CMS).
La solution 3CX peut être utilisée à partir d'un navigateur web, mais également via des applications officielles, que ce soit sur Windows, Android ou iOS. Ce qui est important de préciser, et qui apporte un gros plus à l'usage, c'est que vous pouvez facilement passer d'un appareil à un autre, mais aussi transférer les appels, les sessions de Live Chat très facilement entre vos utilisateurs.
Ci-dessous, les fonctionnalités principales disponibles avec l'offre gratuite :
Appels en interne
Visioconférence (audio, caméra, partage d'écran, partage de PDF, assistance à distance, tableau blanc, etc.) - Jusqu'à 25 participants
Messagerie instantanée
Live Chat avec intégration site web et WhatsApp (et Facebook Messenger également, dans la version payante)
Cette liste étant complétée par :
10 utilisateurs, soit 10 numéros internes
1 groupe d'appels
1 trunk SIP (pour les communications externes)
Annuaire téléphonique centralisé
Parquer un appel pour le récupérer depuis un autre appareil
Transfert d'appels et de session Live Chat
Historique des appels
Je tiens à préciser que la solution 3CX n'intègre pas le coût de vos communications. Vous devez connecter le trunk SIP de votre choix (c'est-à-dire associer votre abonnement opérateur) afin de pouvoir téléphoner vers n'importe quel numéro, et envoyer des SMS/MMS.
La solution de communication omnicanal de 3CX met un sérieux coup de vieux au PABX (autocommutateur) que l'on rencontre encore dans certaines entreprises...
Pour essayer 3CX et créer votre environnement gratuit dès maintenant, vous pouvez utiliser le lien ci-dessous ou accéder au site 3cx.fr et cliquer sur le bouton "Essayer" dans le menu. Ensuite, vous pouvez utiliser votre e-mail ou directement votre compte Google.
Vous recevrez un e-mail avec un code de vérification vous permettant de finaliser la création du compte.
Vous devrez alors compléter certaines informations, comme votre nom, votre prénom, etc... comme le montre l'image ci-dessous.
Puis, vous devez choisir quelle version de 3CX vous souhaitez utiliser. Ici, ce sera la version gratuite donc "3CX FREE". Ceci ne vous empêche pas de passer sur une version payante par la suite.
Une fois que la création de l'environnement est terminée, 3CX vous indique l'URL de connexion à votre instance ! Il y a également une autre information très importante, c'est le numéro d'extension ainsi que la plage d'extension pour les futurs utilisateurs. En fait, ceci correspond aux numéros internes que vous pouvez utiliser pour vous appeler entre utilisateurs d'une même organisation.
Le fait de cliquer sur "Connexion" permet d'accéder directement à la page de connexion où vous pourrez vous authentifier avec votre compte. D'ailleurs, ce compte est administrateur de la plateforme.
Voilà, bienvenue sur l'interface d'administration de 3CX ! Celle-ci regroupe plusieurs sections : équipe, chat, réunion, appels, panneau, contacts, messagerie vocale et paramètres (de votre compte). En complément, un bouton "Admin" est accessible dans le bas de la liste et il est visible uniquement pour les utilisateurs qui ont les droits.
Dans la suite de cet article, nous allons explorer plus en détails l'interface.
III. Utilisation de 3CX
A. Créer un nouvel utilisateur
3CX est une solution de communication, donc pour en tirer profit et exploiter tout son potentiel, nous devons créer au moins un second utilisateur. La console d'administration permet de créer un nouvel utilisateur manuellement, ou d'importer une liste à partir d'un fichier CSV.
Nous devons compléter la fiche de l'utilisateur avec son nom, son prénom, son e-mail, etc... Et lui associer un numéro d'extension (si celui proposé par 3CX ne convient pas). Cet utilisateur aura aussi un rôle qui définit son niveau de permission (Utilisateur ; Réceptionniste ; Administrateur du département ; Manager ; Propriétaire). Par ailleurs, la version 20 de 3CX ajoute la prise en charge du 2FA : c'est une bonne nouvelle, car lors de la première connexion, l'utilisateur devra configurer le 2FA.
Par ailleurs, chaque compte utilisateur est associé à un ensemble de paramètres pour la messagerie vocale,3CX Talk (liens directs pour le chat / une réunion avec cet utilisateur) ou encore les stratégies de transfert d'appels en fonction du statut de l'utilisateur.
Désormais, l'instance 3CX a deux utilisateurs. Ils peuvent communiquer par chat, faire une réunion, et même s'appeler par l'intermédiaire de l'application mobile 3CX ou du navigateur web. Néanmoins, le nouvel utilisateur doit encore finaliser la création de son compte.
L'utilisateur, quant à lui, a reçu un e-mail avec les informations sur son compte.
Il doit finaliser l'inscription en cliquant sur le bouton "Définissez un mot de passe".
Puis, après avoir défini le mot de passe, l'utilisateur doit configurer l'authentification à deux facteurs à partir d'une application comme Microsoft Authentification, FreeOTP, etc.
Voilà, les deux comptes utilisateurs sont prêts !
B. Les appels audio, les appels vidéos et le chat
Pour communiquer avec la solution 3CX, chaque utilisateur a accès à des applications mobiles pour Android et iOS, ainsi qu'une application Windows (PWA) et la possibilité d'utiliser la version Web depuis n'importe quel ordinateur. Sans oublier la possibilité de pouvoir utiliser un téléphone IP physique. Comme avec d'autres solutions, vous pouvez tout à fait passer d'un appareil à un autre.
L'application mobile peut être configurée facilement grâce à un QR code que chaque utilisateur pourra retrouver dans les paramètres de son compte.
L'application mobile donne accès au répertoire des contacts, à la possibilité de composer un numéro, ainsi qu'au chat et à la messagerie vocale. Le statut de chaque utilisateur est également visible, ce qui est pratique pour savoir si un collègue est disponible ou occupé avant de songer à l'appeler.
Ci-dessous, l'utilisateur Guy envoi le message "Bonjour" à Florian.
L'utilisateur "Florian", connecté à la version Web de 3CX, reçoit immédiatement une notification :
Le fait de cliquer sur "Répondre" permet d'être redirigé vers la fenêtre de chat où la conversation peut être engagée.
À partir de l'application mobile 3CX, l'utilisateur Guy peut aussi passer des appels audio ou vidéo. Il est également possible de transférer un appel, soit à l'aveugle ou supervisé et définir un statut.
L'utilisateur Florian peut prendre l'appel directement à partir de son navigateur Web puisqu'il reçoit une notification et qu'une sonnerie est émise pour le notifier de l'appel entrant. Il peut accepter l'appel, le refuser, ou renvoyer l'utilisateur vers la messagerie vocale.
Comme évoqué précédemment, vous pouvez aussi créer une nouvelle réunion en visio. Il peut s'agir d'une réunion avec des utilisateurs 3CX, mais aussi des invités externes. Nous retrouvons les fonctions habituelles, comme la possibilité de flouter l'arrière-plan, de partager un lien vers la réunion, de partager l'écran, de chater, d'enregistrer la réunion ou encore de partager un document. Même si cette fonctionnalité reste en retrait vis-à-vis de Microsoft Teams, c'est complet et surtout ce sont des fonctions gratuites.
C. La gestion des heures de bureau
L'interface d'administration de 3CX intègre une gestion complète des heures de bureau, des heures de pause, et des jours fériés. C'est l'occasion d'indiquer les heures d'ouverture et de fermeture de votre société, ce qui est important dans le processus de gestion des communications, notamment les appels.
La fonction "Jours fériés du bureau" s'avère très utile pour déclarer toutes les fermetures exceptionnelles, que ce soit pour un jour férié ou pour une autre raison.
Ces horaires et ces jours fériés vont directement influencer d'autres fonctionnalités de 3CX et déterminer comment les appels seront traités (renvois, transferts, messagerie vocale, etc.). Ceci va aussi jouer sur le statut des utilisateurs : le statut "Absent" pourra être associé à un utilisateur, de façon automatique, en dehors des heures de bureau. Il y a aussi un impact sur la fonctionnalité Live Chat que nous allons découvrir maintenant.
D. Le Live Chat avec WordPress
Nous allons maintenant explorer une autre fonctionnalité de 3CX : l'intégration du LiveChat avec WordPress. Elle est bien différente des fonctionnalités évoquées jusqu'ici, car elle va permettre de faciliter la communication avec vos clients par l'intermédiaire de votre site web. Que ce soit un site vitrine ou un site d'e-commerce, le Live Chat va permettre de mettre en place un moyen de communication plus moderne et plus direct pour échanger avec vos clients et/ou prospects.
Ici, un site de démonstration sous WordPress sera utilisé. La première étape consiste à installer l'extension officielle "3CX Free Live Chat" sur notre site WordPress. L'application est maintenue par 3CX directement.
Une fois que l'extension est installée, nous devons basculer sur le portail 3CX pour récupérer le lien vers notre Live Chat 3CX.
Voici les étapes à réaliser :
1- Cliquer sur "Admin" dans le menu latéral.
2 - Cliquer sur "Voix & Chat".
3 - Copier le lien sous "Information" car il va falloir l'ajouter sur le site WordPress.
4 - Cliquer sur les trois points verticaux puis sur "Modifier le lien Web".
Ici, nous devons effectuer deux actions. La première, c'est indiquer le nom du domaine du site WordPress, ou éventuellement l'adresse IP s'il s'agit d'un test en local comme dans cette démonstration. La seconde, c'est cliquer sur le lien "Configurez les heures de bureau du département ici".
En effet, ceci nous permet de configurer le fuseau horaire, ainsi que les horaires de bureau et les horaires de pause pour l'ensemble du département "IT-Connect" de l'organisation. Nous arrivons sur la page présentée précédemment, et celle-ci joue un rôle important avec le Live Chat, car sa disponibilité sera calée sur les horaires définis sur cette page.
Ensuite, il convient de rebasculer sur WordPress avec de paramétrer l'extension 3CX Live Chat. Nous devons ajouter l'URL précédemment copiée dans le champ de saisie correspondant à l'option "URL du 3CX Talk", comme sur l'exemple ci-dessous. Pour que le Live Chat soit accessible sur l'intégralité du site, il convient de cocher aussi l'option "Activer sur toutes les pages". Sinon, nous pouvons sélectionner une ou plusieurs pages.
Désormais, lorsqu'un internaute navigue sur le site WordPress, il peut contacter le support ou le service client via le Live Chat ! Par défaut, cet échange par chat se fait de façon anonyme, c'est-à-dire que 3CX ne collecte pas le nom ni même l'adresse e-mail de l'utilisateur. Ceci est personnalisable dans les options de la fonctionnalité.
Les messages envoyés par l'internaute sont visibles à partir de la version Web de 3CX ou à partir des applications.
La session de chat avec l'internaute en Live Chat vient s'ajouter en tant que conversations. Ce qui est très pratique, c'est qu'il est possible de transférer la session de Live Chat à un autre utilisateur. Dans l'exemple ci-dessous, Florian a transféré la session à Guy.
De son côté, Guy reçoit une notification et il peut prendre le relai sur la discussion :
Pour l'internaute, tout est transparent. Voici un aperçu :
Nous pouvons modifier les paramètres pour demander à l'internaute de préciser son nom et son adresse e-mail. Ainsi, un formulaire est présenté à l'utilisateur avant qu'il puisse commencer à communiquer via le Live Chat :
Désormais, cet utilisateur est identifié par son nom et nous pouvons même l'ajouter en tant que contact. Sachez également que l'adresse e-mail peut être récupérée, ce qui permet de recontacter l'utilisateur par e-mail.
IV. Conclusion
La version gratuite de 3CX conviendra sans aucun doute aux petites organisations (TPE/PME) et aux startups, car elle regroupe un ensemble de fonctionnalités utile et pratique pour faciliter la communication entre les utilisateurs. Le Live Chat, parfaitement intégré à la solution 3CX, est un gros plus pour cette solution. Même si ce n'est pas inclus dans la démonstration, vous pouvez tout à fait appeler des utilisateurs externes, que ce soit sur téléphone fixe ou mobile, après avoir connecté votre trunk SIP à votre instance 3CX.
Par la suite, si les besoins de l'organisation sont plus importants, elle pourra basculer sur une offre payante pour accueillir plus d'utilisateurs et bénéficier de fonctionnalités supplémentaires. Ceci est facilité par le fait que les tarifs de la solution sont raisonnables.
Enfin, j'insiste sur le fait que la solution 3CX est très facile à déployer et simple à configurer. Il n'est pas nécessaire d'être expert en téléphonie pour utiliser 3CX.
Cet article contient une communication commerciale.
Dans quelques jours, Microsoft va participer à l'Open Source Summit 2024, mais pourquoi ? Bien que cela puisse surprendre, sachez qu'au final, c'est plutôt évident et cohérent.
L'Open Source Summit North America est un événement organisé par la Fondation Linux et l'édition 2024 se déroulera du 16 au 18 avril prochain, à Seattle, aux États-Unis. Microsoft va participer à cet événement mondial, tout en étant un sponsor "Platinum", au même titre que Docker et Red Hat. D'ailleurs, au passage, AWS et Google sont des sponsors "Diamond" de cet événement.
Bien que Microsoft soit toujours associé à une étiquette d'"éditeur de solutions propriétaires", notamment parce que son système d'exploitation Windows est un OS propriétaire, la position de l'entreprise américaine a évoluée depuis environ 10 ans. Depuis 2014 et l'arrivée en Satya Nadella en tant que Directeur général, pour être plus précis. Si Microsoft a commencé à adopter l'open source dans ses activités principales et à participer à différents projets, c'est grâce à lui.
Microsoft est impliqué dans de nombreux projets Open Source
À l'occasion de sa participation à l'Open Source Summit, Microsoft discutera de ses contributions à la communauté open source. Aujourd'hui, Microsoft se félicite de participer au développement de Linux, à des langages de programmation tels que PHP, Python et Node.js, mais aussi à PostgreSQL ou encore à ses propres solutions open source comme .NET Core, Visual Studio Code et TypeScript.
"En outre, l'open source est au cœur de notre stratégie produit et constitue un élément fondamental de notre culture. Aujourd'hui, plus de 60 000 employés de Microsoft utilisent GitHub et nous gérons plus de 14 000 dépôts publics couvrant tout, des meilleures pratiques et de l'ensemble de nos systèmes de documentation aux projets innovants tels que PowerTools et PowerShell.", peut-on lire sur le site de Microsoft.
La firme de Redmond partagera également ses meilleures pratiques pour l'utilisation des technologies open source et les tendances émergentes dans ce domaine. D'ailleurs, en interne, Microsoft a eu équipe en charge de veiller sur la bonne utilisation des logiciels libres : "Le Microsoft Open Source Programs Office (OSPO) veille à ce que nous utilisions correctement les logiciels libres, à ce que nous fournissions des solutions sécurisées à nos clients et à ce que nous participions de manière authentique aux communautés de logiciels libres."
Pour Microsoft, l'intérêt est aussi d'assurer une compatibilité et une prise en charge avec ses solutions telles que Microsoft Intune ou encore le Cloud Azure au sein duquel les organisations peuvent exécuter des machines virtuelles sous Linux. "Microsoft prend en charge les principales distributions Linux et collabore étroitement avec Red Hat, SUSE, Canonical et l'ensemble de la communauté Linux.", précise Microsoft.
Chrome Enterprise Premium, c'est le nom de la nouvelle version du navigateur Chrome destinée aux entreprises ! Elle est payante et elle permet de bénéficier de fonctionnalités de sécurité supplémentaires !
Google a effectué du changement dans son offre destinée aux entreprises, en introduisant la première version payante de son navigateur Google Chrome. Ainsi, Chrome Enterprise reste gratuit et devient Chrome Enterprise Core, tandis que Chrome Enterprise Premium est payant : 6 dollars par mois et par utilisateur.
Cette nouvelle version vise à renforcer la sécurité des appareils directement au niveau du navigateur. Une application stratégique "où se déroulent presque toutes les activités et interactions de grande valeur au sein de l'entreprise", précise Google. Cette version améliorée de Chrome Enterprise Core offre des fonctionnalités de sécurité avancées supplémentaires :
- Les contrôles d'entreprise permettent d'appliquer les règles, de gérer les mises à jour et les extensions logicielles afin de les aligner sur les règles de l'entreprise, et de prendre en charge les protocoles RDP, SCP, SSH et autres protocoles TCP.
- Les informations et les rapports de sécurité prennent en charge les rapports d'événements, les rapports sur les périphériques et les capacités d'analyse pour une visibilité à l'échelle de l'entreprise, et peuvent s'intégrer à d'autres solutions de sécurité de Google, ainsi que des solutions tierces.
- Les contrôles d'accès contextuels peuvent être étendus aux applications web, aider à appliquer l'accès continu Zero Trust aux applications SaaS et web grâce au contrôle d'accès conditionnel, et atténuer les risques d'exfiltration de données pour les applications approuvées et non approuvées.
- La protection contre les menaces et les données assure l'inspection du contenu et la prévention de la perte de données, la lutte contre les logiciels malveillants et le phishing grâce à l'IA, le filtrage dynamique des URL et à la catégorisation des sites.
Chrome Enterprise Core vs Chrome Enterprise Premium
Ce tableau comparatif montre bien les différences entre la version gratuite et la version payante de Chrome Enterprise :
Google est convaincu que cette nouvelle version permettra de renforcer la sécurité des appareils d'une organisation et d'améliorer la détection des menaces. La firme de Mountain View a introduit le témoignage de la société Roche à ce sujet : "Une fois la solution activée, nous avons pu identifier et stopper une tentative d'exfiltration d'une grande quantité d'informations d'entreprise en quelques heures."
Qu'en pensez-vous ? Seriez-vous prêts à partir sur une version payante de Google Chrome ?
Des chercheurs en sécurité ont découvert une vulnérabilité qu'ils considèrent comme le "premier exploit natif Spectre v2" qui affecte les systèmes Linux fonctionnant avec de nombreux processeurs Intel récents ! En exploitant cette vulnérabilité, un attaquant pourrait lire des données sensibles dans la mémoire. Voici ce qu'il faut savoir !
La vulnérabilité Spectre et l'exécution spéculative
Avant tout, commençons par quelques mots sur la vulnérabilité Spectre en elle-même, ainsi que sur l'exécution spéculative.
Découverte au sein des processeurs Intel et AMD il y a plusieurs années, Spectre et sa copine Meltdown sont parmi les vulnérabilités les plus populaires. Ces termes font aussi référence à des techniques d'attaques visant à exploiter les failles de sécurité en question. Spectre affecte de nombreux processeurs dotés de l'exécution spéculative et corriger cette faille de sécurité matérielle n'est pas simple, car cela affecte, de façon importante, les performances du CPU.
L'exécution spéculative vise à améliorer les performances de la machine grâce au processeur qui va chercher à deviner la prochaine instruction à exécuter. La puissance des processeurs modernes permet de prédire plusieurs chemins qu'un programme peut emprunter et les exécuter simultanément. Cela ne fonctionne pas toujours, mais quand c'est le cas, cela booste les performances. Malgré tout, cela représente un risque, car le cache du CPU peut contenir des traces avec des données sensibles (mots de passe, informations personnelles, code logiciel, etc.), et celles-ci sont potentiellement accessibles par un attaquant lorsqu'une vulnérabilité est découverte.
Il y a deux méthodes d'attaques nommées Branch Target Injection (BTI) et Branch History Injection (BHI).
L'exploitation de Spectre V2 sur Linux
Récemment, une équipe de chercheurs du groupe VUSec de VU Amsterdam a fait la découverte de Spectre V2, une nouvelle variante de l'attaque Spectre originale, associée à la référence CVE-2024-2201. Vous pouvez retrouver leur rapport sur cette page.
Le CERT/CC a mis en ligne un bulletin de sécurité à ce sujet, dans lequel nous pouvons lire ceci : "Un attaquant non authentifié peut exploiter cette vulnérabilité pour faire fuir la mémoire privilégiée du CPU en sautant spéculativement vers un gadget choisi.", c'est-à-dire un chemin de code.
Dans le cas présent, le nouvel exploit, appelé Native Branch History Injection (en référence à l'attaque BHI), peut être utilisé pour faire fuir la mémoire arbitraire du noyau Linux à une vitesse de 3,5 kB/sec en contournant les mesures d'atténuation existantes de Spectre v2/BHI.
Pour se protéger, le CERT/CC recommande d'appliquer les dernières mises à jour publiées par les éditeurs et précise ceci : "Les recherches actuelles montrent que les techniques d'atténuation existantes, à savoir la désactivation de l'eBPF privilégié et l'activation de l'IBT, sont insuffisantes pour empêcher l'exploitation de BHI contre le noyau/l'hyperviseur."
De son côté, Intel a mis à jour ses recommandations d'atténuation pour Spectre v2 et propose désormais de désactiver la fonctionnalité "Extended Berkeley Packet Filter" non privilégiée (eBPF), d'activer les fonctionnalités "Enhanced Indirect Branch Restricted Speculation" (eIBRS) et "Supervisor Mode Execution Protection" (SMEP).
Voici une vidéo de démonstration d'exploitation de cette vulnérabilité :
Qui est affecté par la vulnérabilité Spectre V2 ?
Le noyau Linux étant affecté, cette vulnérabilité va forcément impacter de nombreuses distributions. L'équipe de développement du noyau Linux mène actuellement des travaux pour trouver une solution. Mais, en fait, l'impact dépend aussi du matériel, car la vulnérabilité Spectre V2 affecte les processeurs Intel, et non les processeurs AMD.
D'un point de vue du système d'exploitation, si nous visitons le site de Debian, nous pouvons voir que les différentes versions sont vulnérables (Sid, Bookworm, Bullseye, Buster, etc.). SUSE Linux est également impactée, comme le mentionne cette page. Du côté de Red Hat Linux Enterprise, on affirme que l'eBPF non privilégié est désactivé par défaut, de sorte que le problème n'est pas exploitable dans les configurations standard.
Une liste publiée sur la page du CERT/CC permet d'accéder facilement aux liens des différents éditeurs et d'effectuer le suivi dans les prochains jours.
Finalement, cette nouvelle découverte souligne la difficulté de trouver un équilibre entre l'optimisation des performances et la sécurité, puisque ceci pourrait contraindre les utilisateurs à se passer de certaines fonctionnalités relatives au CPU.
Loire-Atlantique : la ville de Saint-Nazaire et son agglomération sont actuellement victimes d'une cyberattaque qui s'est déroulée dans la nuit du 9 au 10 avril 2024. Voici ce que l'on sait.
À cause d'une cyberattaque qui s'est déroulée dans la nuit du 9 au 10 avril 2024, les services de la Ville de Saint-Nazaire et de son agglomération sont paralysés : les agents sont injoignables, que ce soit par e-mail, ou par téléphone, depuis ce mercredi matin. De plus, les serveurs sont inaccessibles, tous les partages de fichiers et les applications métiers. Le site Internet de la ville, probablement hébergé ailleurs, reste accessible et un communiqué de presse a été publié.
Cette cyberattaque qualifiée d'attaque de "grande ampleur" impacte Saint-Nazaire, mais aussi les communes de Montoir-de-Bretagne, Donges, La Chapelle-des-Marais et Pornichet, puisqu'elles partagent les mêmes serveurs informatiques. De plus, la Sonadev et l’ADDRN (Agence pour le développement durable de la région nazairienne) sont également touchées par cette cyberattaque.
Depuis ce matin, les services informatiques sont sur le pont pour analyser l'ampleur de cette cyberattaque et rétablir les services impactés : "Les agents de la direction des systèmes d’information sont toutes et tous mobilisés pour rétablir au plus vite les outils de travail et le réseau sécurisé", peut-on lire.
Pour le moment, aucune information n'a été publiée quant à l'origine de cette attaque et nous ne savons pas non plus s'il s'agit d'un ransomware. Si vous disposez d'informations supplémentaires, n'hésitez pas à commenter cet article ou à me contacter.
BatBadBut, c'est le nom d'une nouvelle faille de sécurité critique découverte dans la bibliothèque Rust ! Elle pourrait être exploitée par un attaquant pour exécuter des commandes sur les machines sous Windows ! Faisons le point.
Cette vulnérabilité associée à la référence CVE-2024-24576 est considérée comme critique : son score CVSS est de 10 sur 10, ce qui représente le niveau de sévérité maximal.
Pour autant, cette faille de sécurité peut être exploitée uniquement dans des scénarios spécifiques : "La bibliothèque standard Rust n'échappait pas correctement les arguments lors de l'invocation de fichiers batch (avec les extensions bat et cmd) sous Windows à l'aide de l'API Command", peut-on lire dans le bulletin de sécurité publié sur le site de Rust, le 9 avril 2024. Ceci explique que la vulnérabilité soit exploitable uniquement sur Windows.
Pour exploiter cette vulnérabilité, l'attaquant doit contrôler les arguments transmis au processus créé au moment de l'invocation du fichier batch pour exécuter les commandes shell arbitraires, en contournant le mécanisme d'échappement (escaping).
Le chercheur en sécurité RyotaK de chez Flatt Security a fait la découverte de cette vulnérabilité présente dans toutes les versions de Rust avant la version 1.77.2. Si vous utilisez Rust, vous devez donc effectuer la mise à jour vers 1.77.2 car cette version corrige cette faille de sécurité (voir cette page).
Rust ne serait pas le seul langage affecté par BatBadBut
RyotaK a surnommé cette vulnérabilité BatBadBut, et d'après lui, Rust n'est pas le seul langage de programmation affecté : tout dépend de comment est géré la fonction CreateProcess de Windows.
"CreateProcess() crée implicitement cmd.exe lors de l'exécution de fichiers batch (.bat, .cmd, etc.), même si l'application ne les a pas spécifiés dans la ligne de commande. Le problème est que cmd.exe a des règles de parsing compliquées pour les arguments de la commande, et que les exécutions des langages de programmation ne parviennent pas à échapper correctement les arguments de la commande.", précise-t-il dans un rapport publié sur le site de Flatt Security.
Pour le moment, tous les langages de programmation affectés n'ont pas résolu le problème, et il y a un travail à réaliser également du côté développement pour mieux gérer l'échappement.
Voici un tableau récapitulatif publié par RyotaK :
Si vous êtes développeur, le rapport de RyotaK pourra vous apporter des détails techniques intéressants, notamment pour améliorer votre code afin de gérer ce problème de sécurité.
Mardi 9 avril 2024, Microsoft a publié la mise à jour KB5036893 pour les machines sous Windows 11 23H2 ! Elle apporte 29 modifications et permet aussi d'activer les nouveautés "Moment 5" pour l'ensemble des utilisateurs ! Faisons le point.
Depuis le 1er mars 2024, la mise à jour de fonctionnalités Moment 5 de Windows 11 est disponible. Pourtant, elle n'était pas distribuée à tous les utilisateurs, car il s'agissait d'une mise à jour optionnelle. Désormais, la nouvelle mise à jour KB5036893 va activer ces nouvelles fonctionnalités pour tout le monde. Pour en savoir plus sur les nouveautés qu'elle contient, vous pouvez lire notre article sur le sujet.
Mis à part cela, voici certains changements opérés par Microsoft :
Nouveauté : cette mise à jour modifie l'expérience de la zone de recherche Windows pour les utilisateurs de l'Espace économique Européen. Ceci doit être un changement en lien avec le Digital Markets Act, et pourrait vous permettre de choisir une alternative à Bing pour les recherches Web (à confirmer).
Nouveauté : cette mise à jour affecte Windows Hello for Business. Les administrateurs peuvent maintenant utiliser la gestion des appareils mobiles (MDM) pour désactiver l'invite qui apparaît lorsque les utilisateurs se connectent à une machine Entra-joined.
Nouveauté : cette mise à jour améliore l'hôte de la session Bureau à distance. Vous pouvez désormais configurer sa politique de "redirection du presse-papiers" pour qu'elle fonctionne dans un seul sens, de l'ordinateur local vers l'ordinateur distant. Vous pouvez également inverser cet ordre.
Correctif : cette mise à jour résout un problème qui empêche certaines applications et fonctionnalités d'être disponibles. Ce problème survient après la mise à niveau vers Windows 11.
Correctif : cette mise à jour résout un problème qui affecte les ressources réseau. Vous ne pouvez pas y accéder à partir d'une session "Bureau à distance". Cela se produit lorsque vous activez la fonction "Remote Credential Guard" et que la machine tourne sous Windows 11, version 22H2 ou supérieure.
Correctif : cette mise à jour résout un problème affectant certains NPU qui ne s'affichent pas dans le Gestionnaire des tâches de Windows.
Correctif : cette mise à jour résout un problème qui affecte le service de stratégie de groupe. Il échoue lorsque vous utilisez LGPO.exe pour appliquer une stratégie d'audit au système.
Pour consulter la liste de tous les changements, vous pouvez consulter cette page du site Microsoft.
À l'occasion de son Patch Tuesday d'Avril 2024, Microsoft a corrigé 150 failles de sécurité dans plusieurs produits et services, ainsi que deux failles zero-day dans Windows. Pour approfondir le sujet, voici nos articles :
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
Ce mardi 9 avril 2024, Microsoft a publié la mise à jour KB5036892 pour Windows 10 21H2 et Windows 10 22H2 dans le but d'apporter 23 changements et plusieurs nouveautés ! Faisons le point !
Au-delà d'intégrer des correctifs de sécurité, cette nouvelle mise à jour cumulative obligatoire pour Windows 10 apporte différents changements. Voici ceux mis en avant par Microsoft :
Nouveauté : cette mise à jour ajoute Windows Spotlight au fond d'écran, dans le but d'utiliser de nouvelles images récupérées sur Bing en tant que fond d'écran. Cette fonctionnalité peut être activée dans les paramètres de fond d'écran du système.
Nouveauté : cette mise à jour ajoute plus de contenu à votre écran de verrouillage. En plus de la météo, des informations sur les sports, la circulation et les finances s'afficheront. Cette fonctionnalité peut être activée dans les paramètres d'écran de verrouillage du système.
Nouveauté : cette mise à jour modifie l'expérience de la zone de recherche Windows pour les utilisateurs de l'Espace économique Européen. Ceci doit être un changement en lien avec le Digital Markets Act, et pourrait vous permettre de choisir une alternative à Bing pour les recherches Web (à confirmer).
Nouveauté : cette mise à jour affecte Windows Hello for Business. Les administrateurs peuvent maintenant utiliser la gestion des appareils mobiles (MDM) pour désactiver l'invite qui apparaît lorsque les utilisateurs se connectent à une machine Entra-joined.
Correctif : cette mise à jour résout un problème qui affecte le clavier tactile. Il arrive qu'il ne s'ouvre pas.
Il est à noter qu'après l'installation de cette mise à jour, Windows 10 va vous inviter à passer à Windows 11, à condition que votre appareil soit éligible pour la mise à niveau. Ce message s'affichera au moment de la connexion à une session.
Pour en savoir plus sur tous les bugs corrigés, consultez la page dédiée à la mise à jour KB5035941 publiée le 26 mars 2024. Il s'agit de la mise à jour optionnelle donnant un aperçu des changements apportés par Microsoft avec la nouvelle mise à jour KB5036892 et, elle fait office de "journal des modifications".
À l'occasion de son Patch Tuesday d'Avril 2024, Microsoft a corrigé 150 failles de sécurité dans plusieurs produits et services, ainsi que deux failles zero-day dans Windows. Pour approfondir le sujet, voici nos articles :
Les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.
Pour rappel, le support de Windows 10 21H2 Enterprise, Windows 10 Enterprise multi-session et Windows 10 Education prendra fin en juin prochain :
Connexion
