Microsoft a déployé une nouvelle mise à jour hors bande à destination des utilisateurs de Windows 10 pour les inviter à passer sur Windows 11, grâce à l'assistant Out of Box Experience.

Lors de la première mise en route d'un ordinateur sous Windows ou de l'installation du système d'exploitation, l'assistant Out of Box Experience (OOBE) s'affiche à l'écran dans le but de permettre la personnalisation du système. Pour rappel, pendant le processus Out of Box Experience (OOBE) initial, Windows propose aux utilisateurs de choisir la disposition du clavier, de définir un compte, de configurer le réseau, les options de confidentialité, etc... Et cela s'applique aux différentes versions de Windows, que ce soit du Windows 10 ou du Windows 11.

Sauf qu'il va y avoir du nouveau pour les utilisateurs de Windows 10 ! Désormais, Microsoft veut aller plus loin afin de vous proposer de passer à Windows 11 en affichant cet assistant grâce à une mise à jour de l'OOBE.

Pour que cette mise à niveau soit proposée, il faut que votre ordinateur soit compatible avec Windows 11 et que vous exécutiez l'une des versions suivantes de Windows 10 (Famille ou Professionnel) : 2004, 20H2, 21H1, 21H2 ou la dernière version 22H2. Il faut aussi installer une mise à jour (KB) spécifique. Microsoft le précise clairement sur son site : "Le 30 novembre 2022, une mise à jour hors bande a été publiée pour améliorer l’expérience Out Of Box (OOBE) de Windows 10, version 2004, 20H2, 21H1, 21H2 et 22H2. Il offre aux appareils éligibles la possibilité de passer à Windows 11 dans le cadre du processus OOBE. Cette mise à jour sera disponible uniquement lorsqu’une mise à jour OOBE est installée."

Ici, Microsoft fait référence à la mise à jour hors bande KB5020683 et cela signifie que cette proposition de passer à Windows 11 s'affichera sur l'écran des utilisateurs à partir du moment où la mise à jour est installée ! Autrement dit, cela ne s'affichera pas uniquement lors d'une installation ou réinstallation, mais bien suite à l'installation de cette mise à jour.

La firme de Redmond essaie différentes techniques pour inciter les utilisateurs à passer sur Windows 11 ! Toutefois, Windows 10 ne sera plus supporté à partir du 14 octobre 2025, ce qui laisse encore un peu moins de trois ans pour en profiter en toute sécurité.

Source

L'article KB5020683 : Microsoft veut que les utilisateurs de Windows 10 passent à Windows 11 ! est disponible sur IT-Connect : IT-Connect.

Suite à la liquidation judiciaire de Camaïeu, une vente aux enchères est organisée ce mercredi. Lors de cette vente, les acquéreurs pourront acquérir des noms de domaine, le nom de l'enseigne, etc... Ainsi que le fichier des clients actifs avec 3,8 millions d'entrées. Enfin, ça, c'était avant l'intervention de la CNIL.

Lorsque la publicité pour cette vente aux enchères est sortie, de nombreuses personnes se sont interrogées sur le côté légal de cette vente du fait qu'elle contienne le fichier clients de Camaïeu. Sur l'annonce, c'est clairement précisé "Fichier clients (environ 3,8 millions de clients actifs) - Détail du portefeuille sur demande". Même si l'on ne sait pas exactement quelles sont les informations contenues, on peut imaginer qu'il y a le nom, le prénom, l'adresse postale et l'adresse e-mail et/ou le numéro de téléphone pour chaque client.

Suite à cette annonce, la CNIL est intervenue indirectement, en publiant sur son site un article qui rappelle les règles pour la vente de fichiers clients. Un article qui commence par la phrase suivante : "La vente d’un fichier clients n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations précises.". En effet, ce fichier clients doit contenir uniquement les données des clients actifs et qui ne se sont pas opposés à la transmission de leurs données. Si ce consentement n'a pas été donné au moment de l'inscription, difficile de l'obtenir par la suite.

Comme le précise le site Le Monde, Patrick Deguines, le commissaire-priseur en charge de cette vente, a pris la décision de ne pas mettre en vente le fichier clients afin de ne pas prendre de risques : "Compte tenu des contraintes liées au respect de la législation RGPD, en accord avec les organes de la procédure judiciaire, nous avons été contraints de renoncer à la mise aux enchères de ce lot". C'est probablement grâce à la CNIL que cette décision a été prise et certains acquéreurs s'étaient déjà positionnés pour faire l'acquisition de ce fichier clients.

L'article Grâce à la CNIL, le fichier clients de Camaïeu ne sera pas vendu aux enchères est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à passer d'une machine sous Windows Server 2022 Standard Evaluation à Windows Server 2022 Standard ou Datacenter. Autrement dit, on va activer une version d'évaluation de Windows Server de manière à ce qu'elle devienne une version activée et valide, prête pour la production.

Sur son site, Microsoft met à disposition de tout le monde des images ISO d'évaluation de Windows Server 2022, Windows Server 2019, Windows Server 2016, etc... Ce qui est très pratique pour tester le système d'exploitation pendant 180 jours. Toutefois, une fois que la version d'évaluation est expirée, le serveur s'éteint automatiquement au bout d'une heure d'exécution. Pas pratique.

Dans ce cas, et si vous détenez une licence, vous pouvez activer la version d'évaluation de manière à la convertir dans une autre édition de Windows Server.

• Microsoft Evaluation Center
• Tutoriel - Etendre la durée de la version d'évaluation

II. Activer Windows Server 2022 Evaluation

Dans les paramètres de la machine, on voit bien l'édition actuelle : Windows Server 2022 Standard Evaluation. Pour cet exemple, j'utilise Windows Server 2022, mais cette procédure s'applique aussi aux autres versions de Windows.

Ouvrez une console en tant qu'administrateur et exécutez la commande ci-dessous en indiquant votre clé de licence pour l'option "/ProductKey".

Dism.exe /Online /Set-Edition:ServerStandard /ProductKey:AAAAA-BBBBB-CCCCC-DDDDD-EEEEE /AcceptEula

Dans cet exemple, on choisit de passer sur une version Standard, mais si vous souhaitez passer sur une version Datacenter, utilisez cette syntaxe :

Dism.exe /Online /Set-Edition:ServerDatacenter /ProductKey:AAAAA-BBBBB-CCCCC-DDDDD-EEEEE /AcceptEula

Parfois, la commande DISM retourne une erreur à la fin, mais ce n'est pas toujours problématique. À la fin de l'exécution de la commande, je vous recommande de redémarrer votre machine si ce n'est pas proposé directement par Dism.

Suite au redémarrage, le système est activé, et en plus, on voit dans les paramètres du système que c'est bien spécifié "Windows Server 2022 Standard". La mention "Evaluation" a disparu !

Pour aller jusqu'au bout de notre idée initiale, on peut vérifier avec Dism quelle est l'édition de Windows Server actuellement utilisée sur la machine locale avec cette commande :

Dism.exe /Online /Get-CurrentEdition

Celle-ci retourne :

Édition actuelle : ServerStandard

Voilà, c'est tout bon ! Désormais, votre serveur tourne sur Windows Server 2022 Standard !

L'article Passer de Windows Server 2022 Evaluation à Standard ou Datacenter est disponible sur IT-Connect : IT-Connect.

The vSphere 8 release includes many new features that are exposed in the new vCenter Server 8 and ESXi 8 releases. With the release of vSphere 8, many organizations will look at upgrading to the latest VMware vSphere.

The post New features in VMware vSphere 8 first appeared on 4sysops.

Tous les utilisateurs affectionnent les raccourcis clavier qui permettent d’accéder à des commandes et fonctions plus rapidement qu’en dégainant la souris. Les combinaisons de touches se révèlent bien pratiques et prouvent le plus souvent votre expertise dans les outils informatiques. Et justement, votre expertise dans votre domaine nécessite parfois des raccourcis clavier auxquels les...

Source

Une vulnérabilité critique affecte toutes les versions de FreeBSD et plus particulièrement la fonction de gestion du ping ! En exploitant cette faille de sécurité, un attaquant pourrait exécuter du code à distance.

L'équipe du projet FreeBSD a mis en ligne un nouveau bulletin de sécurité au sujet de la vulnérabilité CVE-2022-23093 qui affecte toutes les versions supportées de FreeBSD. Dernièrement, de nouvelles versions de FreeBSD sont sorties pour corriger cette vulnérabilité qui est liée directement à la gestion du ping sur le système FreeBSD.

En effet, sur un système FreeBSD, les paquets ICMP reçus sur une machine dans le cadre d'un ping sont traités par la fonction pr_pack(). Cette fonction reçoit les paquets en provenance du réseau, et reconstruit les en-têtes IP et ICMP à partir des informations reçues. Toutefois, l'équipe de FreeBSD précise : "La fonction pr_pack() copie les en-têtes IP et ICMP reçus dans une mémoire tampon pour un traitement ultérieur. Ce faisant, elle ne tient pas compte de la présence éventuelle d'options IP à la suite de l'en-tête IP dans le paquet (soit dans la réponse, soit dans le paquet d'origine). Lorsque des options IP sont présentes, la fonction pr_pack() génère un dépassement de la mémoire tampon de 40 octets."

Exploitable à distance puisqu'elle s'appuie sur des flux réseaux, cette vulnérabilité peut permettre à l'attaquant d'exécuter des commandes sur la machine distante au travers de la commande ping. Le programme ping peut également planter. Toutefois, ce qui est rassurant, c'est que la commande ping s'exécute en mode sandbox dans toutes les versions de FreeBSD donc les interactions avec le reste du système sont très limitées.

Certaines distributions basées sur FreeBSD devraient publier un correctif dans les prochains jours si ce n'est pas déjà fait ! Par exemple, le pare-feu OPNsense basé sur FreeBSD a déjà le droit à sa mise à jour de sécurité grâce à la version OPNsense 22.7.9 publiée le 1er décembre 2022.

À vos mises à jour !

Source

L'article Une faille critique dans le ping met en péril les utilisateurs de FreeBSD est disponible sur IT-Connect : IT-Connect.

Google a mis en ligne une nouvelle version de son navigateur Chrome pour Windows, Mac et Linux dans le but de corriger une nouvelle faille de sécurité zero-day déjà exploitée dans le cadre d'attaques ! Il s'agit de la 9ème faille de sécurité zero-day corrigée dans Google Chrome depuis le début de l'année 2022.

Google a mis en ligne un nouveau bulletin de sécurité afin d'évoquer cette nouvelle vulnérabilité associée à la référence CVE-2022-4262 et une sévérité élevée. Ainsi, Google a mis en ligne de nouvelles versions de Chrome : la version 108.0.5359.94 pour Mac et Linux sert à corriger cette faille, tandis que sur Windows, il faut utiliser la version 108.0.5359.94 ou la version 108.0.5359.95.

La découverte de cette faille de sécurité est à mettre au crédit de Clement Lecigne de l'équipe Google Threat Analysis Group. Il s'agit d'une vulnérabilité de type "Type Confusion" qui se situe dans le moteur JavaScript V8 de Google Chrome. Les cybercriminels pourraient exploiter cette vulnérabilité pour exécuter du code arbitraire au travers du navigateur, même si généralement ce type de faille permet plutôt de faire planter le navigateur Chrome.

Dès maintenant, vous devez mettre à jour votre navigateur Chrome en ouvrant le menu, puis en cliquant sur "À propos de Google Chrome" sous "Aide". Fin novembre, Google a déjà corrigé la faille de sécurité zero-day CVE-2022-4135 au sein de son navigateur. Au même titre que les mises à jour du système d'exploitation, le suivi des mises à jour du navigateur est un vrai sujet pour les entreprises et les particuliers.

Source

L'article Google met à jour Chrome pour corriger une nouvelle faille zero-day (CVE-2022-4262) est disponible sur IT-Connect : IT-Connect.

Un nouveau centre hospitalier a subi une attaque informatique ! Cette fois-ci, c'est dans les Yvelines que ça se passe puisqu'il s'agit de l'hôpital André-Mignot du centre hospitalier de Versailles ! Faisons le point sur la situation.

Ce samedi 3 décembre 2022, à 21 heures, l'hôpital André-Mignot a subi une cyberattaque déjà revendiquée par le groupe LockBit 3.0 ! Cette attaque n'est pas sans rappeler celle qui a ciblé le Centre Hospitalier Sud Francilien de Corbeil-Essonnes en août dernier puisque ce sont les mêmes cybercriminels.

Suite à cette cyberattaque, on constate les problèmes habituels : l'hôpital doit fonctionner en mode dégradé puisque le plan blanc a été déclenché, ce qui implique que certaines opérations sont déprogrammées, tandis que le système informatique est totalement hors service pour le moment. Globalement, les employés essaient d'assurer l'accueil des patients comme ils peuvent, mais il s'agit d'un service limité.

D'après le ministre de la Santé, François Braun, qui s'est rendu sur place, l'hôpital a procédé au transfert de six patients vers d'autres hôpitaux de la région à cause de cette attaque informatique. En complément, il a précisé à la chaîne BFM TV : "Les urgences accueillent les patients, le Samu réoriente les patients vers d’autres services le temps qu’on puisse faire un diagnostic plus précis". Cette attaque a impacté les services ambulatoires et les services de court séjour, tandis que le SAMU quant à lui, n'est pas impacté par cette attaque informatique ce qui lui permet de prendre le relais sur les urgences.

Cette attaque par ransomware est associée à une demande de rançon, mais pour le moment, il n'y a pas eu de communication officielle sur le montant demandé. À voir quelles sont les informations publiées par les pirates informatiques dans les prochaines heures ou les prochains jours. On se souvient que lors de l'attaque du centre hospitalier de Corbeil-Essonnes, les pirates avaient réclamé la somme de 10 millions de dollars.

Bon courage aux équipes de l'hôpital André-Mignot

Source

L'article Le Centre Hospitalier de Versailles victime d’une attaque par ransomware ! est disponible sur IT-Connect : IT-Connect.

Xavier nous propose une vidéo pour prendre un peu de recul sur votre job, votre parcours et vos envies :

Je partage les thématiques, en ajoutant un bémol. Votre carrière dépend fortement de la structure dans laquelle vous êtes. Certaines vont vous offrir des opportunités d'évolution (technique ou personnelle, aka soft skills) et d'autres seront toxiques.

C'est facile à dire mais il ne faut pas s'attarder dans une structure qui ne vous offre aucun avenir si c'est en votre évolution que vous croyez. Au même titre qu'il faut être transparent avec votre employeur si vous n'avez pas envie d'évoluer vers du management. Cela ne veut pas dire que votre évolution est terminée, il y a énormément de façons d'évoluer, la hiérarchie en est une comme une autre.

Dans tous les cas je vous conseille d'être transparent, c'est beaucoup plus simple. Attention toutefois à bien choisir les mots car leur poids peut engendrer des conséquences. Exprimer ce que l'on veut est tout aussi important qu'exprimer ce que l'on ne veut pas. Il suffira d'y mettre des formes pour ne pas que ce soit binaire, il y a toujours des nuances de gris entre le noir et le blanc. Cela évite de fermer définitivement la porte dans des situations qui peuvent bouger... sur lesquelles vous vous seriez engagés ou désengagés.

Si vous essayez d'être moteur et porteur d'amélioration dans votre entreprise et que le message est mal reçu il y a 2 options : soit vous n'avez pas contacté les bon interlocuteurs pour leur présenter vos idées (la présentation se travaille), soit cette entreprise ne vous apportera pas ce que vous cherchez et vos journées seront répétitives . Il sera difficile de s'épanouir dans une telle structure.

Cela ne sont que mes conseils, une piste de réflexion, à vous de vous en emparer pour transposer ces réflexions dans votre entreprise. On mets ici des mots sur des ressentis, des particularités de personnalité et chacun verra midi à sa porte

Bon dimanche et merci à Xavier pour la réflexion !

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 04/12/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Pourquoi vous levez-vous le matin ? (+ ma réflexion) provient de : on Blogmotion.

If you to want to upload an on-premises Hyper-V VM to the cloud to create a custom Azure image containing all your business applications in a preconfigured state, this post will help you.

The post Create a custom Azure image first appeared on 4sysops.

I. Présentation

Aujourd’hui, nous allons apprendre à utiliser une fonctionnalité très pratique de Wireshark disponible depuis la version 3.0 : le déchiffrement des flux chiffrés HTTPS sans certificat. Cette fonctionnalité va permettre d’afficher les flux chiffrés en clair, notamment les flux :

• Web
• DoH : Dns Over Https
• Quic

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
• Téléchargement - Wireshark

II.  Comment décrypter les flux TLS sans certificat ?

A. Explication

Avec Wireshark, il existe deux méthodes pour déchiffrer les flux :

• Avoir le certificat en sa possession
• Enregistrer les clés de sessions TLS

Avec le nouveau protocole de sécurité TLS 1.3 ou algorithme de chiffrement ECDHE, même en ayant le certificat nous ne pouvons pas déchiffrer les flux : cela peut poser problème pour une analyse de performances ou dans le cadre d'une analyse liée à un incident de cybersécurité.

Ce qui est d'autant plus vrai avec la mise en place du protocole de transport Quic sur Internet ! Contrairement à TCP qui fournit les informations en clair, Quic chiffre l’ensemble des en-têtes donc même pour suivre l’ordonnancement des paquets, nous sommes obligés de voir les flux en clair. Pour résoudre cette problématique, nous allons mettre en œuvre l’enregistrement de clés de sessions TLS clients et serveurs.

N.B : la fonctionnalité d’enregistrement des clés TLS fonctionne uniquement sur des captures réseau en direct.

B. Enregistrer les clés de sessions TLS

L’enregistrement des clés de sessions TLS peut s’effectuer sur Linux, Mac et Windows. Dans ce tutoriel, nous allons appliquer la procédure pour Windows, avec une machine sous Windows 11 dans mon cas (ceci fonctionne aussi sur Windows 7 et Windows 10). Si vous souhaitez l’implémenter pour Mac et Linux, vous pouvez aller sur le site de Wireshark consulter cette page.

Sur Windows, il y a deux étapes pour enregistrer les clés de sessions TLS :

• Créer une variable environnement utilisateur
• Créer un fichier texte pour enregistrer les clés de sessions clients et serveurs

III. Mise en place de l’enregistrement des clés de sessions TLS

A. Création d’un fichier txt pour enregistrer les clés de sessions TLS

Vous allez créer un fichier txt pour enregistrer les clés de sessions TLS.

Mon fichier s’appellera sslkeys.txt que je vais enregistrer dans mon disque DATA. A vous d'adapter selon votre environnement.

B. Modification des variables d’environnement utilisateurs

Aller dans les paramètres de Windows. Une fois la page ouverte cliquer sur « Système », « Informations système » puis « Paramètres avancés du système »

Une nouvelle fenêtre s’ouvre, cliquer suz « Variables d’environnement… ».

Nous arrivons sur les Variables d’environnement de votre ordinateur, la partie qui va nous intéresser, c'est la section des variables d’environnements utilisateur. Cliquez sur « Nouvelle… »

Donnez le nom suivant à la variable : SSLKEYLOGFILE

Indiquez l’emplacement de votre fichier en cliquant sur « Parcourir le fichier… ». Dès que vous avez terminé votre configuration, cliquez sur « OK ».

La nouvelle variable d’environnement apparaît, pour l’appliquer, cliquez sur « OK ».

C. Valider le bon fonctionnement

Pour valider l’enregistrement des clés de sessions TLS, il suffit d’aller sur internet et de regarder si le fichier txt créé précédemment se remplit. Ouvrez votre fichier txt, vous devriez voir les lignes suivantes créer.

D. Que signifient les lignes dans ce fichier ?

Dans ce fichier, les lignes utilisent des préfixes différents. Voici des informations pour vous aider à les interpréter :

• CLIENT_HANDSHAKE_TRAFFIC_SECRET : la clé secrète de la poignée de main du client codé en hexadécimal.
• SERVER_HANDSHAKE_TRAFFIC_SECRET : la clé secrète de la poignée de main du serveur codé en hexadécimal.
• CLIENT_TRAFFIC_SECRET_0 : le premier code du trafic applicatif du client codé en hexadécimal.
• SERVER_TRAFFIC_SECRET_0 : le premier code du trafic applicatif du serveur codé en hexadécimal.
• EXPORTER_SECRET : le secret de l’exportation en hexadécimal

Voici la source qui explique l’ensemble des valeurs.

IV. Configuration de Wireshark

Maintenant que nous avons validé l’enregistrement des clés de sessions TLS, il reste à configurer Wireshark, pour voir les flux en clair.

Pour cela, lancez Wireshark et allez sur « Editer » puis « Préférences… ».

Ensuite, déroulez le menu à gauche jusqu'à trouver « protocols ».

Cherchez le protocole « TLS ».

On arrive à la page de configuration du protocole TLS. Pour lier votre fichier txt de clés sessions TLS, il suffit de renseigner la localisation de votre fichier en cliquant sur « Parcourir… » au niveau de « (Pre)-Master-Secret log filename ». Ici :

Vous devez arriver à ce résultat et ensuite cliquez sur « OK ».

V. Validation de la configuration Wireshark

Lancez une trace réseau avec Wireshark... vous devriez voir des flux http sur le port TCP ou UDP sur le port 443. Ainsi, les flux HTTPS sont visibles en clair dans Wireshark grâce à la configuration que nous venons de mettre en place ! Cela s'applique aussi aux flux transportés par le protocole QUIC.

VI. Conclusion

Cet article sur Wireshark et la fonctionnalité de déchiffrement les flux TLS est terminé ! Avec cette fonctionnalité, vous pourrez déchiffrer vos flux des applications SAAS de votre entreprise à titre d’exemple, donc vous serez en mesure de voir les requêtes et réponses applicatives.

Le prochain article sera sur l’importation de clés sessions TLS dans un fichier de capture.

L'article Wireshark – Comment déchiffrer les flux TLS comme le HTTPS ? est disponible sur IT-Connect : IT-Connect.

Ces chiffres sont fous : le FBI et la CISA ont révélé que le gang du ransomware Cuba est parvenu à empocher 60 millions de dollars en 2022 grâce au paiement des rançons, après avoir compromis plus de 100 entreprises à travers le monde !

En quelques mois, le groupe Ransomware Cuba est devenu l'une des principales menaces, à l'échelle mondiale. Le FBI et la CISA ont mis en ligne un nouveau bulletin d'alerte, qui évoque les dizaines d'organisations critiques et d'entreprises américaines touchées par ce ransomware. D'ailleurs, le FBI estime que depuis décembre 2021 : "le nombre d'entités américaines compromises par le ransomware Cuba a doublé, les rançons demandées et payées étant en augmentation". Autrement dit, il y a de plus en plus de rançons payées et le montant est de plus en plus élevé : ce qui n'est pas illogique, car si les victimes paient, les pirates peuvent voir un intérêt à augmenter le tarif de la rançon pour empocher un maximum d'argent.

D'après les estimations de l'agence américaine FBI, les cybercriminels du Ransomware Cuba ont compromis plus de 100 entreprises dans le monde jusqu'en août 2022 ! Au total, ils ont pu récolter 60 millions de dollars grâce aux rançons sur un total demandé de 145 millions de dollars. C'est presque 50% de la somme maximale.

Généralement, le ransomware Cuba est déployé sur une infrastructure par l'intermédiaire de la menace Hancitor, ce dernier étant là pour exécuter des logiciels malveillants de différents types sur des infrastructures (attaques sur des serveurs Exchange, serveurs RDP ouverts sur Internet, campagnes de phishing, etc.). Sans surprise, le ransomware Cuba est le dernier maillon de la chaîne et il est là pour chiffrer les données.

Pour déclencher le ransomware Cuba sur une infrastructure compromise, les cybercriminels utilisent des outils Windows comme PowerShell et PsExec, dans le but de pouvoir agir à distance. Une fois que les fichiers sont chiffrés, ils héritent de l'extension ".cuba". La suite, vous la connaissez.

Le FBI, comme l'ANSSI en France, n'encourage pas le paiement des rançons puisqu'il n'est pas certain que cela empêche les fuites de données, les attaques futures, ni même de récupérer l'intégralité de ses données.

Source

L'article Ransomware Cuba : plus de 100 entreprises compromises et 60 millions de dollars de gain ! est disponible sur IT-Connect : IT-Connect.

Les chercheurs en sécurité de chez Zimperium ont mis en ligne un rapport au sujet d'un logiciel malveillant pour Android, actif depuis 2018, et qui aurait fait 300 000 victimes à travers le monde grâce à des applications malveillantes.

Surnommé Schoolyard Bully, ce logiciel malveillant se cache au sein d'applications éducatives pour les appareils Android. Dès que la victime installe une application qui contient ce malware, celui-ci entre en action dans le but de dérober des identifiants et des informations au sujet de votre compte Facebook, notamment l'adresse e-mail et le mot de passe.

Pour récupérer ces informations, le malware ouvre une page de connexion Facebook légitime dans l'application (via WebView) afin de récupérer la saisie clavier et grâce à un code JavaScript malveillant, il parvient à extraire les données. Les chercheurs en sécurité de chez Zimperium expliquent que la méthode "evaluateJavascript" est utilisée et que "le code JavaScript extrait la valeur des éléments avec 'ids m_login_email' et 'm_login_password', qui sont des espaces réservés pour le numéro de téléphone, l'adresse électronique et le mot de passe."

Toujours d'après eux, les applications qui distribuent Schoolyard Bully ne sont plus présentes sur le Google Play Store mais elles l'ont été à une époque. Toutefois, elles sont toujours distribuées via des magasins d'applications alternatifs. Il y aurait au moins 37 applications malveillantes associées à cette campagne qui dure depuis plusieurs années.

Cette campagne lancée en 2018 semble toujours active aujourd'hui. À ce jour, Zimperium estime que Schoolyard Bully est parvenu à faire au moins 300 000 victimes réparties dans 71 pays à travers le monde, y compris en France, avec tout de même un fort impact au Vietnam. Il s'agit d'une estimation et les chiffres réels pourraient être plus importants.

Pour le moment, les chercheurs en sécurité de chez Zimperium ne sont pas parvenus à identifier le groupe de cybercriminels à l'origine de cette campagne. Il ne s'agirait pas du groupe FlyTrap, connu aussi pour voler des identifiants Facebook au Vietnam.

Source

L'article Vol de comptes Facebook : ce malware a déjà fait plus de 300 000 victimes est disponible sur IT-Connect : IT-Connect.

Vous serez d’accord pour dire qu’il est important de savoir si les touches Verr. Num., Verr. Maj. et Arrêt défil. sont activées ou non ! Combien d’erreurs ont été commises à cause de ces fameuses touches… Lorsque votre clavier possède des témoins lumineux, vous n’avez pas besoin de vous poser la question, vous savez tout de suite si une de ces trois touches est activée ou non.

Source

I. Présentation

Qui n'a jamais galéré pour envoyer un e-mail à partir d'une application, d'une imprimante ou même d'un script ? Cette problématique doit parler à beaucoup d'entre vous...! Dans ce tutoriel, je vais vous présenter la solution Amazon Simple Email Service appelé Amazon SES et disponible au travers du Cloud AWS d'Amazon. Ce service sert à envoyer des e-mails transactionnels, des e-mails marketing ou des notifications, de façon très simple.

Ce service du Cloud AWS est accessible gratuitement, dans la limite de 200 e-mails par jour, ce qui peut suffire à répondre à de nombreux besoins pour les PME. Pour aller plus loin, il est possible d'éliminer cette bride en payant. L'objectif de cette limite est de lutter contre les spammeurs, car pour passer en mode débridé, ou plutôt en mode production, il faut faire une demande au support AWS. Cela évite que le service parte en vrille. Au niveau des coûts, c'est très faible puisque l'on est sur 0,10 dollars/1 000 e-mails (sans pièces jointes - voir ici).

Avant de commencer, vous devez créer un compte gratuit sur Amazon AWS en utilisant ce lien ou en accédant au site d'AWS par un autre biais.

J'en profite pour remercier @Merwan, fidèle lecteur d'IT-Connect, pour m'avoir suggéré cette idée d'article !

II. Amazon SES : approuver un domaine

Pour utiliser Amazon SES vous avez deux options : approuver un domaine complet ou approuver une seule ou plusieurs adresses e-mails (ce qui sera plus rapide, mais plus bridé). Dans cet exemple, nous allons voir comment approuver le domaine "it-connect.tech" afin de pouvoir envoyer des e-mails via ce domaine au travers d'Amazon SES.

Note : pour valider une adresse e-mail unique, il suffit d'indiquer l'adresse e-mail et de cliquer sur lien qui sera envoyé par Amazon SES.

Via le portail AWS, recherchez "SES" et cliquez sur "Amazon Simple Email Service".

Ensuite, cliquez sur "Create Identity", mais veillez à choisir la région souhaitée en haut à droite (la région en France, par exemple).

Pour l'Identity Type, choisissez "Domain" pour approuver un domaine complet. Indiquez le nom du domaine, ici "it-connect.tech". L'option "Use a custom MAIL FROM domain" permet d'utiliser un sous-domaine de votre propre domaine pour envoyer les e-mails plutôt que d'avoir une adresse MAIL FROM correspondante à un sous-domaine d'AWS. Elle n'est pas cochée dans cet exemple.

Descendez dans la page... et cliquez sur le bouton "Create Identity". La partie DKIM sera préconfigurée automatiquement, car la création des enregistrements DKIM va permettre de vérifier le domaine.

À gauche, cliquez sur "Verified identifies" et sélectionnez le domaine dans la liste (si vous n'êtes pas directement redirigé vers la page du domaine après la création). On peut voir que "DKIM configuration" est sur l'état "Pending". C'est normal, car nous devons créer les enregistrements DNS de type CNAME affichés sur la page.

Ici, vous devez modifier la zone DNS du domaine que vous souhaitez approuver de manière à créer les 3 enregistrements requis par Amazon SES. La méthode dépend de l'endroit où vous avez acheté votre domaine : OVHcloud, Ionos, Gandi, etc... Une fois que c'est fait, n'hésitez pas à rafraîchir la page Amazon SES de temps en temps, jusqu'à ce que l'état passe sur "Sucessful" comme ceci :

Désormais, le domaine "it-connect.tech" est vérifié, ce qui signifie que l'on va pouvoir l'utiliser au travers d'Amazon SES.

III. Amazon SES : créer des identifiants SMTP

Pour utiliser Amazon SES, il faut s'authentifier via SMTP. De ce fait, nous devons créer des identifiants SMTP. Cliquez sur "SMTP Settings" à gauche puis sur "Create SMTP credentials". J'en profite pour attirer votre attention sur les informations fournies sur cette page : le serveur SMTP, les numéros de port acceptés et le fait que le chiffrement est requis. Ces informations devront être utilisées pour envoyer des e-mails.

Il faut créer un utilisateur IAM qui sera associé à des identifiants SMTP. Donnez-lui un nom ou laissez le nom proposé par AWS. Poursuivez.

Ensuite, cliquez sur la flèche pour afficher les identifiants. AWS génère un nom d'utilisateur et un mot de passe, que vous devez garder au chaud. Il faudra utiliser ces identifiants par la suite au moment d'envoyer les e-mails.

Voilà, la configuration est terminée : nous pouvons tester Amazon SES !

IV. Envoyer un e-mail via Amazon SES

Pour tester, on peut utiliser une application, la ligne de commande Linux ou encore une commande PowerShell. Voici un exemple avec la commande PowerShell Send-MailMessage où l'on précise le serveur SMTP "email-smtp.eu-west-3.amazonaws.com", le numéro de port 587 et le fait d'utiliser une connexion sécurisée (-UseSSL). Sans oublier les identifiants qui seront précisés au niveau du paramètre -Credential et récupéré via Get-Credential.

Send-MailMessage -From "[email protected]" -To "[email protected]" -Subject "Test Amazon SES" -Body "Ceci est un test Amazon SES" -SmtpServer "email-smtp.eu-west-3.amazonaws.com" -Port 587 -UseSsl -Credential (Get-Credential)

Suite à l'exécution de cette commande, l'e-mail est bien arrivé dans ma boite de réception :

V. Amazon SES et le mode sandbox

Si l'on regarde le tableau de bord d'Amazon SES, on constate un message d'avertissement "Your Amazon SES account is in the sandbox in EU (Paris)". C'est à cause de ce mode sandbox, là pour lutter contre la fraude, qu'Amazon SES est bridé à 200 e-mails par période 24 heures. Il y a une autre bride associée au mode sandbox : vous pouvez envoyer des e-mails uniquement aux adresses e-mails vérifiées, ce qui évite d'arroser vers n'importe qui sans avoir un compte vérifié.

Remarque : selon les régions, cette restriction n'est pas présente, notamment aux US.

Pour utiliser Amazon SES en mode production et faire sauter ces deux restrictions, vous devez cliquer sur le bouton "Request production access". Ensuite, vous devez compléter un formulaire pour indiquer dans quel but vous comptez exploiter ce service (e-mails marketing ou e-mail transactionnel). Une fois que le support aura approuvé votre requête, vous allez bénéficier du mode production.

VI. Conclusion

Amazon SES est une solution très intéressante pour envoyer des e-mails à partir d'un domaine vérifié sans se prendre la tête ! Il est possible d'aller plus loin en demandant une adresse IP dédiée, en créant des modèles d'e-mails, etc... Et vous avez aussi le tableau de bord qui donne des statistiques basiques, mais appréciables pour voir le nom d'e-mail envoyé par jour, ainsi qu'éventuellement les e-mails rejetés.

L'article Envoyez des e-mails facilement avec Amazon SES (AWS) est disponible sur IT-Connect : IT-Connect.

The new FSLogix version, which was released in October, introduces a long-awaited feature: VHDX compaction. FSLogix is a standalone product acquired in late 2017 by Microsoft for profile management and application masking features. It is primarily used in virtual desktop or RDSH solutions to provide users with a persistent experience in nonpersistent environments.

The post FSLogix VHDX compaction: Resize virtual disks first appeared on 4sysops.

Micode a pu rencontrer Octave Klaba pour revenir sur le succès OVH et son histoire. Octave parle de la philosophie et du cap de l'entreprise avec cette notion de business en 3 dimensions :

La position d'Octave vis à vis de la concurrence est plutôt constructive et lucide. Notamment vis à vis du monde politique qui nous entoure sur la question du cloud souverain.

Octave pourrait effectivement passer pour un techos bien entouré et conseillé mais on se rend compte que c'est bien lui qui dicte le cap de l'entreprise. L'expansion d'OVH à l'étrange ne doit rien au hasard et il est vrai aujourd'hui que OVH est un incontournable européen.

Malheureusement au fil des années j'ai pu constater que la qualité du support OVH n'était plus à la hauteur. Pour l'hébergement d'un site web de nombreuses personnes partent chez O2switch, Scaleway, Hostinger et j'en passe.

Votre serviteur, lui, est toujours chez YulPa

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 01/12/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [vidéo] Interview d’Octave Klava par Micode provient de : on Blogmotion.

Les ennuis s'enchaînent pour le gestionnaire de mots de passe LastPass : des cybercriminels ont pu accéder à des informations stockées dans un espace Cloud utilisé par LastPass, en utilisant des identifiants volés lors du précédent incident de sécurité qui remonte au mois d'août dernier.

Au sein de ce nouveau communiqué de presse, LastPass affirme : "Nous avons récemment détecté une activité inhabituelle au sein d'un service de stockage Cloud, qui est actuellement partagé par LastPass et son affilié, GoTo." - Suite à la détection de cette activité malveillante, LastPass a commencé à mener des investigations, en collaboration avec l'entreprise Mandiant, spécialisée dans la cybersécurité.

Sur l'espace de stockage compromis, il y a des données de clients auxquels ont pu accéder les cybercriminels : "Nous avons déterminé qu'un tiers non autorisé, utilisant les informations obtenues lors de l'incident d'août 2022, a pu accéder à certaines informations de nos clients.". Effectivement, on se souvient qu'en août dernier, LastPass avait déjà subit une cyberattaque qui avait conduite à la fuite de codes sources et d'informations techniques sensibles. C'est lors de cette attaque, que les pirates ont pu récupérer les identifiants utilisés pour cette nouvelle offensive.

LastPass tient à rassurer ses clients en affirmant que les cybercriminels n'ont pas pu compromettre leurs mots de passe puisqu'ils "restent chiffrés en toute sécurité grâce à l'architecture Zero Knowledge de LastPass". D'ailleurs, dans la page descriptive de ce modèle, LastPass précise : "LastPass n’envoie et ne stocke pas le mot de passe maître. Nous pensons que si LastPass ne peut pas accéder à vos données, il en va de même pour les pirates."

Toutefois, pour le moment, on ne sait pas à quoi correspondent ces données pour le moment. Il faut attendre que LastPass poursuive ses investigations afin d'en apprendre plus sur les conséquences de cette attaque.

Cela commence à faire beaucoup pour LastPass... Même si le CEO, Karim Toubba, essaie toujours de rassurer ses clients : "Dans le cadre de nos efforts, nous continuons à déployer des mesures de sécurité et des capacités de surveillance renforcées dans l'ensemble de notre infrastructure pour aider à détecter et à empêcher toute nouvelle activité des cybercriminels."

Source

L'article Nouvelle fuite de données chez LastPass : les pirates ont pu accéder aux données des clients est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer le service Autodiscover d'Exchange, correspondant au service de découverte automatique si l'on fait la traduction littéraire. Avant cela, nous verrons quel est l'intérêt de ce service indispensable ou presque.

Cet article s'inscrit dans une suite d'articles au sujet de l'installation et la configuration de Microsoft Exchange Server 2019 :

• Installation de Microsoft Exchange Server 2019
• Désactiver les accès externes au Centre d’administration Exchange
• Microsoft Exchange Server 2019 : comment ajouter un nouveau domaine ?
• Microsoft Exchange Server 2019 : comprendre et configurer les enregistrements DNS

II. C'est quoi l'Autodiscover ?

Le mécanisme Autodiscover d'Exchange permet de faciliter la détection des paramètres de configuration pour se connecter à une boîte aux lettres hébergée sur un serveur de messagerie Exchange. Autrement dit, lorsqu'un utilisateur va ouvrir Outlook pour la première fois, ce dernier va solliciter le service de découverte automatique pour configurer votre boîte aux lettres sans qu'il soit nécessaire de renseigner les informations sur le serveur (serveur de courrier entrant, serveur de courrier sortant, numéros de ports, etc.).

Cette fonctionnalité incontournable est présente sur les serveurs de messagerie Exchange depuis Exchange Server 2007. L'Autodiscover est utilisable sur différents types d'appareils, que ce soit sur un ordinateur, un smartphone ou une tablette.

III. Configurer l'Autodiscover

Lorsque l'on a configuré les enregistrements DNS (article précédent), on a créé les enregistrements en respectant le modèle suivant :

Type d'enregistrement	Nom DNS	Valeur	Priorité
A	mail.domaine.fr	Votre IP publique	-
CNAME	autodiscover.domaine.fr	mail.domaine.fr	-
MX	@	mail.domaine.fr	10

Au final, avec l'ensemble des enregistrements, cela donnait ce résultat :

Si l'on regarde cette liste, on constate la présence d'un enregistrement pour l'adresse "autodiscover.floiranburnel.fr" : ce n'est pas anodin. Cet enregistrement est nécessaire au bon fonctionnement de la découverte automatique, et le fait d'utiliser un enregistrement sous la forme "autodiscover.domaine.fr" permet de respecter les bonnes pratiques.

Au final, le point de terminaison de l'Autodiscover est un fichier XML qui devrait être accessible à l'adresse suivante :

https://autodiscover.domaine.fr/Autodiscover/Autodiscover.xml

Toutefois, au-delà de la création de l'enregistrement DNS, une configuration supplémentaire s'impose...

À l'aide d'Exchange Management Shell, exécutez la commande Get-ClientAccessService comme ci-dessous pour visualiser les différentes adresses Autodiscover déclarées au sein de notre serveur de messagerie Exchange.

Get-ClientAccessService | Format-List Identity, AutoDiscoverServiceInternalUri, AutoDiscoverSiteScope

La commande ci-dessus fonctionne avec Exchange Server 2016 et Exchange Server 2019. Sur les versions plus anciennes, utilisez celle-ci :

Get-ClientAccessServer | Format-List Identity, AutoDiscoverServiceInternalUri, AutoDiscoverSiteScope

L'adresse retournée par cette commande n'est pas celle à laquelle on pouvait s'attendre puisqu'elle utilise le nom du serveur sur le domaine local. Dans un environnement avec plusieurs serveurs Exchange ou plusieurs sites, plusieurs lignes peuvent être retournées par cette commande.

Désormais, avec la commande Set-ClientAccessService, on va modifier cette URL de manière à utiliser l'enregistrement DNS "autodiscover.florianburnel.fr" qui est un nom DNS qui peut être résolu en interne et en externe (avec deux adresses IP différentes, conformément à la configuration mise en place précédemment). On précise le serveur via le paramètre -Identity. Cela donne :

Set-ClientAccessService -Identity "AZ-EXCHANGE" -AutoDiscoverServiceInternalUri "https://autodiscover.florianburnel.fr/Autodiscover/Autodiscover.xml"

À partir de là, si l'on rappelle la première commande, on peut voir que l'adresse est bien modifiée :

Puisqu'il s'agit d'une URL, il faut considérer que c'est lié au serveur Web IIS. De ce fait, à partir d'une console PowerShell ouverte en tant qu'admin, exécutez cette commande pour redémarrer IIS :

iisreset /restart

Attempting stop...
Internet services successfully stopped
Attempting start...
Internet services successfully restarted

Voilà, la configuration est terminée.

IV. Vérifier et tester la configuration Autodiscover

Pour vérifier et tester la configuration que l'on vient de mettre en place, nous avons plusieurs méthodes :

• Le client de messagerie Outlook
  • Méthode que nous allons voir dans cet article, qui permet de tester directement à partir d'un poste client en conditions réelles
• Le site testconnectivity.microsoft.com via les serveurs de Connectivité Outlook
  • Disponible sur cette page, mais qui retourne une erreur si le certificat n'est pas reconnu (ce qui est le cas, si vous suivez cette série d'articles)

• PowerShell avec la commande Test-OutlookWebServices
  • Commande du module ExchangePowerShell, disponible via l'Exchange Management Shell, mais qui implique de configurer le serveur (BackConnectionHostNames) vu qu'on interroge le serveur via la boucle locale - Sinon l'erreur "System.Net.WebException: The remote server returned an error: (401) Unauthorized." est retournée. Peu pratique.

Regardons de plus près la méthode avec Outlook...

Lorsque vous allez ouvrir Outlook, il va essayer de se configurer tout seul comme un grand grâce à l'Autodiscover (il va rechercher un compte de messagerie correspondant à la session Windows puisque l'adresse e-mail est renseignée dans le profil Active Directory). Puisque l'on a part encore vu la configuration du certificat, il y a une alerte de sécurité relative au certificat qui apparaît à l'écran (il faudra cliquer sur "Oui"), comme ceci :

Au final, le compte a été ajouté automatiquement : c'est très pratique ! En toute logique, l'Autodiscover fonctionne et il est correctement configuré.

Pour le vérifier ou éventuellement faire du troubleshooting en cas de problème, on peut Sur l'icône Outlook disponible en bas à droite, effectuez un "CTRL + clic droit" pour que l'entrée "Tester la configuration automatique du courrier" soit visible dans le menu contextuel. Cliquez dessus.

La fenêtre ci-dessous va apparaître. Elle va reprendre automatiquement votre adresse de courrier. Il n'est pas nécessaire de mettre le mot de passe pour tester la connectivité. Décochez toutes les cases sauf "Utiliser la découverte automatique" et cliquez sur "Tester". Basculez sur l'onglet "Journal", et là, vous devez visualiser le statut "Réussite". C'est le signe que l'Autodiscover fonctionne bien !

V. Conclusion

Suite à la lecture de cet article, vous êtes en mesure de configurer l'Autodiscover sur votre serveur Microsoft Exchange Server ! Une question ? Un problème ? Vous pouvez poster un commentaire sur cet article ou venir en discuter sur le serveur Discord de la communauté IT-Connect !

L'article Microsoft Exchange Server 2019 – Découverte et configuration de l’Autodiscover est disponible sur IT-Connect : IT-Connect.