Depuis novembre 2023, un groupe de pirates exploite 2 failles de sécurité zero-day présentes dans les firewalls Cisco pour compromettre des infrastructures gouvernementales dans le monde entier. Faisons le point sur cette menace.
Si vous utilisez un firewall Cisco ASA (Adaptive Security Appliance ou Cisco FTD (Firepower Threat Defense), vous devriez lire cette alerte de sécurité avec une attention particulière. Un groupe de pirates, traqués sous le nom UAT4356 par Cisco Talos, et STORM-1849 par Microsoft, a compromis des firewalls vulnérables au début du mois de novembre 2023, dans le cadre d'une campagne de cyberespionnage baptisée "ArcaneDoor".
Dans le cadre de ces attaques, le groupe de pirates a exploité deux vulnérabilités en tant que failles de sécurité zero-day :
CVE-2024-20353 : un attaquant distant non authentifié peut provoquer un déni de service sur l'appareil.
CVE-2024-20359: un attaquant local authentifié peut exécuter un code arbitraire avec les privilèges "root", ce qui implique de compromettre l'appareil au préalable.
Ce n'est qu'en janvier 2024 que Cisco a pris connaissance de la campagne ArcaneDoor. Mais, d'après les chercheurs en sécurité de chez Cisco, les attaquants ont développé et testé des exploits pour ces deux failles zero-day en juillet 2023. Le vecteur d'attaque initial reste inconnu à ce jour.
Sur les appareils Cisco compromis et sur lesquels ils avaient la main, les pirates ont déployé des logiciels malveillants inconnus jusqu'ici. Le premier implant se nomme "Line Dancer" et il permet d'exécuter du code en mémoire pour désactiver la journalisation, activer l'accès distant ou encore exfiltrer les paquets capturés.
Le second implant se nomme "Line Runner" et il s'agit d'une porte dérobée persistante permettant l'exécution de code Lua sur les équipements, tout en étant discret et difficilement détectable.
Dans le rapport de Cisco Talos, nous pouvons lire : "UAT4356 a déployé deux portes dérobées dans le cadre de cette campagne, "Line Runner" et "Line Dancer", qui ont été utilisées collectivement pour mener des actions malveillantes sur la cible, notamment la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et, éventuellement, le déplacement latéral."
Cisco a publié des correctifs de sécurité
Cisco a mis en ligne des correctifs de sécurité pour permettre aux entreprises de se protéger de ces failles de sécurité importantes, déjà exploitées dans le cadre de la campagne de cyberespionnage menée par le groupe UAT4356.
"Cisco recommande vivement à tous ses clients d'effectuer une mise à niveau vers les versions logicielles patchées.", peut-on lire sur le site de Cisco.
En complément de l'installation du correctif de sécurité, Cisco vous recommande de surveiller les journaux de système à la recherche d'une activité suspecte. Il peut s'agir d'un redémarrage non programmé de l'appareil, d'un changement de configuration ou encore de connexions suspectes.
Pendant 5 ans, des pirates sponsorisés par l'État chinois ont espionné le groupe automobile Volkswagen ! Pendant cette période, ils ont dérobé des milliers de documents confidentiels au sujet des futurs véhicules électriques de la marque, mais pas seulement...
19 000, c'est le nombre de documents qu'est parvenu à dérober un groupe de pirates, entre 2010 et 2015. Cette information a été révélée il y a quelques jours grâce à des journalistes allemands parvenus à obtenir des documents internes évoquant cet espionnage important. Pour être plus précis, le 20 avril 2024, les médias allemands ZDF et Der Spiegel ont publié des articles à ce sujet.
Un groupe de pirates lié à la Chine ?
Même si la Chine n'est pas directement accusée de cet acte de cyberespionnage, tout porte à croire qu'elle en est à l'origine. En effet, il y a plusieurs indices qui vont dans ce sens, notamment la méthodologie employée par les pirates et le fait que les adresses IP utilisées par les pirates soient associées à la Chine. Bien qu'il n'y ait pas de preuve réelle, voici ce que l'on peut lire dans l'article du média ZDF : "Nous avons pu remonter l'adresse IP jusqu'à Pékin, et même jusqu'à l'Armée populaire de libération (APL)."
Par ailleurs, les pirates ont utilisé deux logiciels espions habituellement utilisés par les acteurs étatiques chinois : "China Chopper" et "PlugX". Par exemple, China Chopper est un web shell découvert pour la première fois en 2012 et utilisé pour obtenir la persistance sur un système compromis.
À quoi correspondent les documents volés ?
Au total, les pirates auraient volé environ 19 000 documents. Mais, alors, à quoi correspondent-ils ? Au-delà des informations au sujet des véhicules électriques de Volkswagen, les pirates ont mis la main sur d'autres documents, car ce n'était pas leur cible initiale. Parmi les objectifs identifiés des pirates, il y avait :
Le développement de moteurs à allumage commandé
Le développement de boîtes de vitesses
Les boîtes de vitesses à double embrayage
Par ailleurs, des documents relatifs aux boites de vitesses automatiques, aux travaux effectués sur les piles à combustibles ou encore l'e-Mobilité, ont été dérobés par les cybercriminels.
Cette affaire est clairement de l'espionnage industriel et les documents volés ont pu participer à donner un avantage concurrentiel à la Chine, si elle est bien à l'origine de cette attaque. Ceci est d'autant plus vrai que le groupe Volkswagen comprend également d'autres marques comme Audi, Lamborghini, MAN, Porsche, Skoda et Bentley.
Si vous aimez le matos vous allez être servi. Zebra Zone nous emmène visiter un car régie de AMP Visual TV, un prestataire de tournages télévisés multi-caméras :
Et on peut le dire, c'est du lourd ! On ne parle pas ici de quelques techniciens mais d'une véritable société au cœur des retransmissions TV qui arrivent jusqu'à votre écran.
Pour ceux qui en veulent encore :
Enfin, si vous aimé le contenu de Stéphane (Deus Ex Silicium) alors vous aimerez sûrement cette analyse de caméra pro :
Je ne sais pas vous, mais j'adore ce genre de contenu. La qualité des images de Zebra Zone est tellement chouette, on en prends plein les mirettes !
The instructions in this post outline how to execute arbitrary code with administrator privileges on the Windows logon screen before the user signs in.
Je vous propose dans cet article un writeup du Sherlocks Litter proposé par Hack The Box. Cette investigation nous permettra notamment de manipuler Wireshark pour explorer un cas de protocol tunneling via le DNS : une technique utilisée pour faire communiquer discrètement un système compromis avec le serveur de contrôle distant d'un attaquant.
Les Sherlocks sont des challenges d'investigation numérique/forensic mis à disposition par la plateforme Hack The Box. Dans cet article, nous allons détailler la démarche qui permet de résoudre le Sherlocks Litter, de difficulté "Facile". Cet article sera notamment l'occasion de comprendre comment peut se dérouler concrètement une cyberattaque, et quels sont les modes opératoires des attaquants et des analystes en cybersécurité.
Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque le Sherlocks en question sera indiqué comme "Retired".
Technologies abordées
Windows, DNS, protocol tunneling
Outils utilisés
Wireshark, python
Retrouvez tous nos articles Hack The Box via ce lien :
Dans le cadre de l'investigation, un contexte et une archive sont mis à disposition :
D'après les éléments de contexte qui nous sont fournis, l'hôte ciblé semble être utilisé pour tout et n'importe quoi et par n'importe qui. Cela ne va certainement pas nous aider à comprendre ce qui est légitime de ce qui ne l'est pas. Également, nous apprenons que des données de l'entreprise y ont été volées.
Nous commençons donc par ouvrir l'archive à sur notre Kali Purple fraîchement installée. À l'intérieur, un fichier Wireshark, un célèbre outil d'analyse réseau :
III. Investigation numérique : le cas Litter
A. Tâche n°1: Identifier le protocole utilisé
Énoncé - Task 1 : At a glance, what protocol seems to be suspect in this attack?
La première tâche consiste à identifier le protocole qui semble avoir été utilisé pour la réalisation de l'attaque. Wireshark nous permet d'avoir des statistiques intéressantes concernant la volumétrie des protocoles au sein d'un même fichier ".pcap" :
Si l'on cherche les protocoles les plus utilisés, 4 candidats sont intéressants : les protocoles UDP "QUIC IETF" et "DNS", ainsi que les protocoles TCP "TLS" et "HTTP".
Après quelques recherches, je comprends que QUIC IETF est censé être un "nouveau" protocole de transport (comme UDP ou TCP) : QUIC: A UDP-Based Multiplexed and Secure Transport. Intéressant, mais un peu trop obscure pour un challenge "facile". Il semble également complexe d'investiguer sur des échanges chiffrés TLS. Ce qui nous oriente sur deux candidats : HTTP ou DNS.
Si l'on effectue un filtre sur le protocole HTTP avec la fonctionnalité "Conversations" de Wireshark, nous pouvons très rapidement isoler les hôtes avec lesquels des échanges HTTP ont eu lieu :
On peut noter que l'adresse IP avec laquelle le serveur compromis a le plus discuté est "13.107.4.50". Les autres échanges comportent trop peu de paquets pour nous intéresser. Renseignons-nous sur cette adresse IP à l'aide de la commande "whois" :
Notre hôte compromis à interrogé un point d'entrée "/msdownload/" sur une adresse IP appartenant à Microsoft. De toute évidence, il s'agit d'échanges en rapport avec les mises à jour Windows.
Attention : dans la réalité, les attaquants peuvent héberger ou utiliser des services Microsoft/Cloud pour leurs actions malveillantes, ils profitent alors du crédit et de la confiance accordés à ces services/IP/plateformes par les blues team et les solutions de sécurité. Je pense notamment à l'hébergement de service C&C (Command and Control) par Azure ou l'utilisation de machines Azure compromises comme intermédiaires.
Il ne nous reste donc plus que le protocole DNS comme candidat !
B. Tâche n°2 : Identifier l'IP suspecte
Énoncé - Task 2 : There seems to be a lot of traffic between our host and another, what is the IP address of the suspect host?
Maintenant que nous savons quel protocole a principalement été utilisé (DNS), et bien que ce dernier nous paraisse inoffensif au premier abord, tentons d'identifier quelle est l'adresse IP suspecte. Nous pouvons ici à nouveau utiliser la fonctionnalité "Conversations" de Wireshark après avoir effectué un filtre sur le protocole DNS :
Nous pouvons clairement voir que l'une des adresses IP a beaucoup plus discuté que les autres au travers le protocole DNS. Il est d'ailleurs suspect en soi qu'un tel volume de paquet DNS ait été échangé, il s'agit d'un protocole d'ordinaire plutôt "léger" dans la mesure où seuls quelques éléments textes sont échangés.
L'adresse IP "192.168.157.145" est donc celle de notre suspect.
C. Tâche n°3 : une commande via DNS ?
Énoncé - Task 3 : What is the first command the attacker sends to the client?
Il est maintenant temps de s'intéresser au contenu de ces échanges DNS. Commençons par isoler les paquets en appliquant un filtre sur ce protocole et l'IP suspecte :
DNS && (ip.addr==192.168.157.144 && ip.addr==192.168.157.145)
Ces échanges paraissent pour le moins inhabituels. Les noms DNS sont la plupart du temps intelligibles, et ils ne sont jamais aussi long. Ici, ils semblent être constitués uniquement des alphabets suivants avec aucun mot intelligible à part "microsofto365.com" :
1-9
a-f
Voilà qui nous rappelle quelque chose : de l'hexadécimal. Je récupère au hasard une requête TXT et copie le contenu de la requête via la fonction Copy Value de WIreshark (pensez à bien faire un clic droit sur le champ exact à copier dans le paquet ciblé) :
Je tente ensuite de décoder l'hexadécimal à l'aide de l'outil en ligne "CyberChef".
Cyberchef se présente comme "The Cyber Swiss Army Knife", c'est un outil très pratique proposé par le GCHQ (services de renseignement britannique) qui permet d'encoder/décoder ou chiffrer/déchiffrer des données au sein d'une application web intuitive. Cela permet de tenter rapidement tout un tas de format de conversions, d'encodage/decodage ou d'algorithme de chiffrement sur des données sans saisir la moindre ligne de commande : https://gchq.github.io/CyberChef/
Si vous souhaite l'utiliser dans un contexte professionnel, je vous recommande son installation sur un de vos serveurs déconnectés d'internet pour l’investigation : https://github.com/gchq/CyberChef
La conversion "hexadecimal -> ASCII" nous donne donc un bout de texte intelligible !
L'attaquant est parvenu à utiliser le protocole DNS en tant que protocole d’encapsulation en vue d'envoyer des commandes au serveur compromis, puis de recevoir en retour le résultat. Cette technique est connue sous le nom de DNS protocol Tunneling et est référencée sur le site du MITRE : T1071.004 - Application Layer Protocol: DNS
Un C2, C&C, ou centre de commandement et de contrôle (en anglais, Command and Control), est un élément crucial dans le contexte des cyberattaques. C'est une infrastructure utilisée par les cybercriminels pour gérer et contrôler des systèmes compromis à distance. Les attaquants utilisent de nombreuses infrastructures, techniques et protocoles pour que les agents déployés sur les systèmes compromis des entreprises communiquent avec leur C2, le MITRE ATT&CK en référence un certain nombre : TA0011 - Command and Control
Il est à noter que, contrairement à ce que l'on pourrait penser, le nom de domaine microsofto365.com n'appartient pas à Microsoft, dans la réalité, personne ne possède ce nom de domaine :
Pour comprendre l'intégralité de l'échange, il faut donc isoler le nom DNS exact dans les requêtes et les réponses des paquets déjà isolés, supprimer les éléments parasites (les "." et le "microsofto365.com"), concaténer le tout puis effectuer une conversation hexadécimal vers ASCII, je ne pense pas parvenir à faire cela avec Wireshark, je suis donc passé par le script Python suivant :
#!/usr/bin/python3
import argparse
from scapy.all import rdpcap, DNSQR, DNSRR
def main(args) -> None:
f = ""
last = ""
for p in rdpcap(args.file):
if p.haslayer(DNSQR) and not p.haslayer(DNSRR) :
if "microsofto365" in p[DNSQR].qname.decode('utf-8'):
qry = p[DNSQR].qname.decode('utf-8').replace(args.domain,"").strip().split(".")
qryStr = ''.join(qry)[4:]
if len(qryStr) > 1:
decoded_string = bytes.fromhex(qryStr).decode('utf-8', errors='replace')
if (len(decoded_string) > 20) and last != decoded_string:
f += decoded_string
last = decoded_string
print(f)
if __name__ == '__main__':
# create the top-level parser
parser = argparse.ArgumentParser(prog='PROG')
parser.add_argument("-f", '--file', help='.pcap filepath', required=True)
parser.add_argument("-d", '--domain', help='top domain to remove (eg. attacker.com)', required=True)
args = parser.parse_args()
main(args)
J'ai notamment utilisé "scapy" pour isoler les échanges DNS concernant le nom de domaine "microsofto365.com". Des recherches sur le décodage des échanges "dnscat2" m'ont également renseigné sur le besoin de retirer les 4 premiers octets de chaque échange DNS (Analysis on Popular DNS Tunneling Tools), qui correspond à un marqueur spécifique permettant le suivi des sessions "DNScat" : inutile dans le cadre d'une conversion en texte donc. Suite à l'exécution du script :
Le résultat n'est pas parfait, mais nous pouvons tout de même comprendre les échanges et exécution de commande qui on eut lieu. On obtient notamment la première commande exécutée par l'attaquant suite au déploiement de sa backdoor : whoami.
D. Tâche n°4 : dnscat2
Énoncé - Task 4 : What is the version of the DNS tunneling tool the attacker is using?
Maintenant que nous sommes parvenus à avoir l'échange client-serveur presque en clair, il nous est plus facile de comprendre les opérations réalisées par l'attaquant. Nous pouvons notamment identifier la version de dnscat utilisée dans le nom du binaire déposé par l'attaquant :
Nous savons donc que l'attaquant à utiliser "dnscat2" en version 0.07.
E. Tâche n°5 : un attaquant presque discret
Énoncé - Task 5 : The attackers attempts to rename the tool they accidentally left on the clients host. What do they name it to?
L'attaquant aurait tenté de renommer son outil une fois déposé sur le système compromis, nous pouvons de nouveau facilement repérer ses tentatives dans les échanges client-serveur "dnscat2" décodés :
L'attaquant a renommé son binaire "dnscat2" en "win_installer.exe".
Le fait de changer le nom d'un outil malveillant avant de le déposer sur un système surveillé par une solution de sécurité (antivirus, EPP, EDR, etc.) correspond au TTP T1036.005 - Masquerading: Match Legitimate Name or Location. Cela vise à contourner les règles de détections basées sur des mots ou des noms caractéristiques d'outils malveillants ou les analyses manuelles. Les attaquants optent souvent pour des noms communs et connus pour tenter de contourner ses règles, par exemple, en renommant leur malware "firefox.exe", "teams.exe", etc. EPP/EDR et humains peuvent facilement se faire berner par ce genre d'opérations.
Il est à noter que changer le nom du binaire après son dépôt sur le système est moins utile en termes de discrétion. En effet, une bonne partie des solutions de sécurité vont analyser celui-ciet lever une alerte dès sa création sur le système et pas seulement lors de son exécution.
Cependant, ce type de renommage peut être utile dans le cadre d'une persistance. En effet, un administrateur effectuant une analyse manuelle des processus en cours d'exécution ne prêtera pas attention à un processus win_installer.exe en cours d'exécution, alors qu'un processus "dns2cat.exe" l'interrogera un peu plus, le poussant à investiguer.
F. Tâche n°6 : Enumeration utilisateur
Énoncé - Task 6 : The attacker attempts to enumerate the users cloud storage. How many files do they locate in their cloud storage directory?
Il semblerait que l'attaquant ait tenté d'énumérer les fichiers Cloud depuis le système compromis. En effet, nous pouvons voir cette tentative :
Seulement le dossier "OneDrive" parcouru par l'attaquant ne contenait aucun fichier.
G. Tâches n°7 et 8 : fuite d'informations sensibles
Énoncé - Task 7 :What is the full location of the PII file that was stolen?
Énoncé - Task 8 :Exactly how many customer PII records were stolen?
Ces deux tâches peuvent être traitées en même temps. Il s'agit de retrouver le nom et le contenu du fichier sensible ayant été dérobé par l'attaquant. Il nous suffit de suivre le flux des échanges clients-serveur décodés jusqu'à trouver ceci :
Nous voyons que l'attaquant a consulté le fichier "C:\users\test\documents\client data optimisation\user details.csv" et que celui-ci contient des informations personnelles :
Ce fichier contient 721 lignes (le premier objet ayant l'identifiant 0), c'est donc le nombre de clients uniques contenu dans le fichier dérobé.
IV. Résumé de l'attaque
Au cours de cette investigation, nous avons découvert que suite une compromission du système "desktop-umncbe7" par un vecteur non connu, l'attaquant a déposé un binaire sur le système, puis a utilisé le protocole DNS pour établir une communication directe entre son C2 et le système compromis. L'attaquant a effectué une brève recherche de fichiers sensibles sur le système et a récupéré les informations personnelles de 721 clients, incluant noms, prénoms, mails, adresses, numéros de téléphone, date de naissance, etc.
Pour aller jusqu'au bout de la démarche, voici les TTP (Tactics, Techniques and Procedures) utilisés :
Affichage et exfiltration du fichier "user details.csv" contenant les informations personnelles
V. Notions abordées
Nous allons à présent mettre en avant les principales notions et les apprentissages de cet exercice, aussi bien pour l'attaquant que pour les défenseurs ou l'analyste. Il ne s'agit pas d'un point de vue complet, n'hésitez pas à améliorer ce contenu en donnant votre avis dans les commentaires :).
A. Côté analyste
Côté analyste, connaitre les outils et les méthodes des attaquants pour être discret et passer sous les radars est important. Ici, il est facile pour un analyste de passer à côté des flux DNS. La connaissance et le suivi actif des mises à jour des TTP du MITRE ATT&CK permet aux analystes de rester à jour sur les outils et techniques utilisés par les attaquants.
Il est à noter qu'en conditions réelles, le protocole DNS serait totalement noyé (en volume) par les autres protocoles, ce qui rendrait d'autant plus difficile cette investigation. Il serait peut-être intéressant de disposer d'un outil qui oriente les recherches de l'analyste, au moins sur les techniques connues et fréquemment utilisées et lors d'une analyse de formats connus et standardisés comme les fichiers PCAP. Une des fonctions de cet outil pourrait, par exemple, répondre à la question "est-ce qu'il existe des requêtes DNS portant sur des noms très long ?".
Nous avons également vu que la maitrise de Wireshark est importante et permet de gagner du temps sur les analyses de flux réseau. Notamment via les fonctions de statistique et les filtres.
Disposer d'une boite à outils pour se faciliter la vie est également important et c'est ce qu'apporte, entre autres, l'expérience et la formation. L'outil cyberchef est ici un incontournable, comme les outils capables d'identifier et d'extraire des informations concernant les noms de domaine. Il en va de même pour les méthodologies d'analyse. Je suis, par exemple, passé à côté du fait que le domaine microsofto365.com n'est pas un domaine officiel de Microsoft pendant toute l'analyse, car je n'ai pas fait la requête "whois" concernant ce nom de domaine immédiatement. Cela aurait pu m'induire en erreur (miser sur l'utilisation d'instances Cloud par l'attaquant par exemple).
B. Côté défense
Côté défense, il peut déjà être recommandé d'investiguer de façon plus approfondie sur les raisons de la compromission, élément qui est hors du périmètre de cette analyse.
Également, la mise en place de règles de détections basées sur un volume anormalement élevé de requête DNS ou la taille de noms de domaine peut être recommandé. Il faut savoir qu'un nom DNS a une taille maximale de 255 caractères :
Cependant, dans la réalité, il est très rare de croiser des noms de domaine dépassant 50 ou 60 caractères. J'ai d'ailleurs déjà croisé des solutions de sécurité basées sur l'analyse des flux réseau émettant une alerte de sécurité lorsqu'une requête ou réponse DNS concernant un nom de domaine trop long était identifiée.
La mise en place d'une solution de sécurité capable de détecter les outils malveillants que pourrait déposer un attaquant est également à recommander. Il est, par exemple, aisé de trouver des règles de détection SIGMA (utilisées par les EDR et IDS, entre autres) concernant le binaire ou les commandes PowerShell dnscat2 : Detection.fyi - Dnscat Execution
Il est difficile de proposer des améliorations concernant le nom de domaine utilisé par l'attaquant. Impossible de prévoir toutes les permutations DNS non enregistrées concernant Google, Microsoft ou autres Cloud provider. Si l'entreprise souhaite surveiller ses propres noms de domaine et être informé de l'enregistrement d'un nom de domaine ressemblant au sien par un attaquant, différents outils peuvent être utilisés :
Ici, nous sommes parvenus à décoder les échanges encapsulés dans le protocole DNS, car ceux-ci étaient simplement encodés en hexadécimal. Il faut savoir que dnscat2, l'outil utilisé par l'attaquant, possède une fonction permettant de chiffrer les échanges à l'aide d'une clé fixe avant transmission via le réseau. Il est alors plus complexe pour l'analyste de retrouver le contenu des échanges avec le C2.
Également, il pourrait être intéressant pour l'attaquant de renommer ses binaires malveillants avant dépôt sur le système, cela pour éviter qu'un éventuel antivirus, EPP ou EDR n'émette une alerte basée sur un terme surveillé dans les noms des fichiers ou des commandes.
V. Conclusion
J'espère que cet article vous a plu ! Au-delà de la résolution du challenge, il est toujours intéressant de savoir tirer parti de ces exercices pour s'améliorer et en extraire le maximum d'apprentissage. N'hésitez pas à utiliser les commentaires et le Discord pour partager votre avis !
Enfin, si vous voulez accéder à des cours et des modules dédiés aux techniques offensives ou défensives et améliorer vos compétences en cybersécurité, je vous oriente vers Hack The Box Academy, utilisez ce lien d'inscription (je gagnerai quelques points ) : Tester Hack the Box Academy
L'entreprise Hive Systems a mis en ligne la nouvelle version de son étude permettant de connaître le temps nécessaire pour "brute forcer" un mot de passe, c'est-à-dire le casser, le deviner quoi ! Alors vos mots de passe sont-ils en vert ? Réponse dans cet article !
L'algorithme bcrypt et le matériel utilisé pour les tests
Avant d'évoquer les résultats et cette fameuse matrice "Password Table", évoquons la méthodologie utilisée par les équipes de Hive Systems. Jusqu'ici, les tests étaient effectués sur des hashs de mots de passe chiffrés avec l'algorithme MD5 : ce qui n'était pas cohérent et représentatif, car il est obsolète. Mais, si Hive Systems se basait sur cet algorithme, c'est parce qu'il était encore massivement utilisé. Désormais, la "Password Table" indique le temps qu'il faut pour casser un mot de passe chiffré avec bcrypt, et non md5.
"MD5 a régné en maître pendant plusieurs années, mais bcrypt a pris la tête en 2020, 2021, 2023 et, jusqu'à présent, en 2024.", ce qui justifie le fait de basculer de md5 vers bcrypt.
Le matériel utilisé reste le même entre cette édition 2024 et l'édition 2023 : 12 cartes graphiques (GPU) RTX 4090, ce qui représente une puissance très élevée ! Hive Systems estime a fait le choix de ce matériel, car c'est "la meilleure configuration matérielle accessible au grand public." - En complément, des résultats sont donnés pour des configurations beaucoup plus musclées basées sur des GPU A100, notamment utilisées pour l'IA.
Oubliez les mots de passe de 8 caractères
À partir de différentes configurations matérielles, d'une simple RTX 2080 à une configuration monstrueuse de 10 000 GPU A100 (ChatGPT), Hive Systems a essayé de casser des mots de passe de 8 caractères plus ou moins complexes, aussi bien avec le md5 que le bcrypt. Ces résultats prouvent que le bcrypt est plus robuste que le md5, mais il montre aussi les limites des mots de passe de 8 caractères.
Voici le comparatif, avec md5 au-dessus, et bcrypt en dessous :
Source : Hive Systems
La matrice Password Table de 2024
Alors, en 2024, combien de temps faut-il pour casser un mot de passe ? Bien entendu, cela dépend de la longueur de ce mot de passe et du type de caractère.
Pour être "dans le vert", selon la matrice d'Hive Systems, le mot de passe doit être d'au moins 13 caractères et utiliser 4 types de caractère (nombres, majuscules, minuscules et symboles) car il faudra 11 milliards d'années pour le casser. Il faudra surement beaucoup moins de temps avec du matériel encore plus performant.
Au-delà des types de caractère, cette matrice met en avant l'importance de la longueur des mots de passe. Un mot de passe de 14 caractères, avec uniquement des lettres minuscules et majuscules, sera cassé en 766 000 années. Pour utiliser seulement ces deux types de caractère et "être dans le vert", comptez 17 caractères minimum : c'est facilement atteignable avec une passphrase.
Voici la fameuse matrice de 2024 :
Vous pouvez accéder à l'étude complète et au téléchargement en haute définition de cette Password Table en visitant cette page.
Une nouvelle fois, ce type d'étude m'encourage à vous recommander l'utilisation de passphrases plutôt que de mots de passe.
Le menu Démarrer de Windows 11 va accueillir des publicités pour mettre en avant des applications tierces. Ce changement est imminent, car il vient d'être ajouté par la mise à jour optionnelle d'avril 2024 : KB5036980. Faisons le point.
Après l'installation de la mise à jour KB5036980 sur Windows 11 23H2, le système passe sur la Build 22631.3527. Par ailleurs, si vous installez la même mise à jour sur Windows 11 22H2, le système passera sur la Build 22621.3527.
Le menu Démarrer de Windows 11 ne va pas lister uniquement vos documents et vos applications, il va aussi lister des applications tierces mises en avant par Microsoft. Il s'agit de publicités intégrées directement au menu Démarrer pour promouvoir les applications des entreprises ayant payé Microsoft pour cela. Par exemple, il y aura des publicités pour le navigateur Opera et 1Password Manager.
Source : WindowsLatest
Peut-on éviter ce changement ?
Si vous n'installez pas la mise à jour KB5036980 sur votre PC, vous ne verrez pas de publicités dans le menu Démarrer de Windows 11. Enfin, pour le moment, car cette mise à jour donne un aperçu des changements à venir le mardi 14 mai 2024. Date à laquelle Microsoft va dévoiler son nouveau Patch Tuesday et publier les nouvelles mises à jour cumulatives mensuelles, qui elles sont obligatoires (et recommandées).
Ce changement était attendu, car Microsoft l'a déjà évoqué, mais il semble être déployé plus tôt que prévu. En effet, Microsoft devait activer l'affichage des publicités sur Windows 11 à partir de la fin du mois de mai (avec une mise à jour optionnelle), afin de les activer pour tout le monde avec la mise à jour cumulative de juin 2024. Microsoft a visiblement pris un mois d'avance sur son planning initial.
Néanmoins, bien que cette fonctionnalité soit activée par défaut, elle peut être désactivée dans les paramètres du système. Il conviendra de désactiver l'option nommée "Afficher des recommandations pour les conseils, les raccourcis, les nouvelles applications, etc." présente dans : Paramètres, Personnalisation, Démarrer.
Le 23 avril 2024, Microsoft a publié plusieurs "Hotfix Updates" (HU) pour les serveurs de messagerie Microsoft Exchange. Elles permettent de corriger plusieurs problèmes rencontrés par les utilisateurs et ajoutent de nouvelles fonctionnalités. Voici ce qu'il faut savoir.
La firme de Redmond a publié de nouvelles mises à jour Hotfix pour Microsoft Exchange Server. Ils permettent d'ajouter deux fonctionnalités au serveur de messagerie et de sept problèmes connus.
Voici les deux fonctionnalités ajoutées :
Prise en charge des certificats ECC (Elliptic Curve Cryptography - Cryptographie à Courbe Elliptique) dans Exchange Server 2016 et 2019. Voir cette page de la documentation Microsoft, pour en savoir plus.
Prise en charge de l'authentification hybride moderne (HMA) pour Outlook Web (OWA) et ECP dans Exchange Server 2019 CU14 (uniquement à partir de cette version). Voir cette page de la documentation Microsoft, pour en savoir plus.
Microsoft a corrigé des bugs reportés par les utilisateurs d'Exchange suite à l'installation des mises à jour de sécurité de Mars 2024. Les bugs listés ci-dessous sont désormais corrigés :
Les calendriers publiés pourraient ne pas fonctionner avec une erreur "Ce calendrier n'est pas disponible"
Par ailleurs, Microsoft doit encore un bug connu, comme le précise l'article mis en ligne par l'entreprise américaine : "L'impression du calendrier dans OWA peut ne pas fonctionner si le raccourci clavier CTRL+P est utilisé. Nous corrigerons ce problème dans une prochaine mise à jour.".
Avril 2024 - Les mises à jour Hotfix d'Exchange Server
Voici la liste des mises à jour Hotfix publiées par Microsoft pour les serveurs de messagerie Exchange :
Avant d'installer ce Hotfix, vous devez utiliser l'une des Cumulative Update (CU) mentionnée dans la liste ci-dessus. Enfin, il est à noter que ces correctifs et fonctionnalités seront également inclus dans les futures mises à jour cumulatives pour Exchange Server 2019. Cela signifie que si vous n'êtes pas impacté par les bugs listés ci-dessus et que vous n'avez pas besoin des nouvelles fonctionnalités, vous pouvez patienter.
Lorsque vous installez un nouveau disque dur ou SSD, ou du jour au lendemain, il peut arrivé qu’un disque apparaisse comme non initialisé dans la gestion de disque de Windows. Ce dernier est donc inutilisable puisque les lettres de lecteurs ne sont pas non plus disponibles dans l‘Explorateur de fichiers. Un disque peut apparaître comme non initialisé dans Windows pour plusieurs raisons que ce soit logiciel ou matériel.
Dans ce tutoriel complet, je vous donne ces raisons mais surtout les solutions pour résoudre un disque dur/SSD non initialisé ou inconnu dans Windows.
Pourquoi le disque ou SSD est non initialisé ou inconnu dans Windows
Les raisons de ce problème sont logiciels ou matériels. Essentiellement, voici les principales sources :
Problèmes de connexion : Des problèmes de connexion physique, tels que des câbles mal branchés ou des ports endommagés, peuvent empêcher Windows de reconnaître le disque
Corruption du système de fichiers ou de la table de partition : Des erreurs dans le système de fichiers ou des dommages à la table de partition peuvent entraîner l’impossibilité pour Windows de reconnaître correctement le disque et de l’initialiser
Défaillance matérielle : Un disque dur endommagé ou défectueux peut ne pas être correctement détecté par Windows. Des problèmes tels que des secteurs défectueux ou des pannes matérielles peuvent entraîner le non-initialisation du disque
Pour déterminer la cause exacte du problème, il est souvent nécessaire d’effectuer des diagnostics supplémentaires, tels que l’inspection physique du disque, l’utilisation d’outils de diagnostic du disque dur, ou l’examen des journaux système pour détecter d’éventuelles erreurs. Une fois la cause identifiée, vous pouvez prendre des mesures pour résoudre le problème, que ce soit en initialisant le disque, en réparant le système de fichiers, en remplaçant des composants défectueux, ou en utilisant d’autres méthodes appropriées en fonction de la situation spécifique. Suivez les instructions du de ce guide complet pour trouver la solution.
Résoudre un disque dur/SSD non initialisé ou inconnu dans Windows
Vérifier les problèmes de connexion
Avant de rechercher d’autres causes, vérifiez s’il n’y a pas de problème de connexion entre le disque dur et votre ordinateur. Pour commencer, débranchez et rebranchez le disque dur sur votre ordinateur portable afin d’éliminer tout problème de connexion temporaire.
En outre, assurez-vous que le câble de connexion du disque dur est intact et qu’aucune partie n’est visiblement endommagée. Nettoyez également les deux extrémités du câble avec un chiffon pour vous assurer qu’aucune poussière ou débris n’est coincé à l’intérieur, ce qui empêcherait le disque de s’initialiser.
Si aucun des problèmes temporaires susmentionnés ne semble être à l’origine de la panne, recherchez d’éventuels problèmes de port.
Prenez en compte aussi les problèmes suivants dans le cas d’un disque externe :
Un port USB défectueux peut également empêcher votre système de détecter le disque dur, ce qui entraîne le problème en question. Il est donc impératif de s’assurer que le port USB fonctionne correctement. Pour le vérifier, il suffit de changer de port, c’est-à-dire de brancher le disque externe sur un port différent de celui sur lequel il était branché auparavant
Un câble défectueux ou vous n’utilisez pas le câble d’origine
Le boîtier USB est endommagé
Analyser et résoudre les problèmes de disque dur/SSD
S’il n’y a pas de problème de connexion et que votre port USB fonctionne correctement, vous devez analyser et résoudre les problèmes de système de fichiers de votre disque dur. Windows propose un utilitaire appelé CHKDSK, qui évalue la structure du système de fichiers, traite les problèmes de liens entre les noms de fichiers et recherche les mauvais clusters, entre autres opérations. En général, l’exécution de cet utilitaire permet de résoudre les problèmes de disque dur.
Avant d’exécuter l’analyse, ouvrez l’explorateur de fichiers et recherchez la lettre du lecteur marquée comme disque inconnu, non initialisé. Une fois cette étape franchie, procédez comme suit :
Dans la recherche Windows, saisissez “cmd”, cliquez avec le bouton droit de la souris sur l’application Invite de commande et sélectionnez Exécuter en tant qu’administrateur.
Tapez la commande suivante dans l’Invite de commandes et appuyez sur Entrée:
Chkdsk <lettre lecteur>: /r /f
Mettre à jour les pilotes du lecteur de disque
Des pilotes obsolètes peuvent également perturber le fonctionnement normal de votre lecteur de disque, rendant impossible son initialisation. Pour vous assurer que ce n’est pas la cause du problème, vous devez mettre à jour les pilotes du lecteur de disque. Voici la marche à suivre :
Cliquez avec le bouton droit de la souris sur le bouton Démarrer de Windows et ouvrez le Gestionnaire de périphériques.
Développez la catégorie Lecteurs de disque.
Cliquez avec le bouton droit de la souris sur le lecteur souhaité et cliquez sur Mettre à jour le pilote
Vérifier la santé de votre disque avec CrystalDiskInfo
Pour s’assurer que votre disque dur ou SSD ne rencontre pas une défaillance matérielle, vous pouvez vérifier son état avec le logiciel gratuit CrystalDiskInfo :
Téléchargez CrystalDiskInfo en suivant ce tutoriel :
Correct : tout va bien, votre disque dur ou SSD fonctionne correctement
Prudence : votre périphérique de stockage commence à rencontrer des problèmes de fonctionnement. Il faudra très certainement le remplacer dans les prochaines semaines
Mauvais : votre disque dur ou SSD est en panne, il faut le remplacer
Formater le disque et créer une nouvelle partition
Si le disque qui ne s’initialise pas est vide ou ne contient pas de données essentielles, vous devez le formater. Vous pouvez ensuite créer une nouvelle partition en convertissant son format en GPT et en attribuant le nouveau volume. Il s’agit de la méthode la plus recommandée pour résoudre ce problème et elle a fait ses preuves auprès de nombreux utilisateurs. Pour ce faire, procédez comme suit :
Tapez ensuite la commande suivante et appuyez sur Entrée. Vous verrez alors combien de disques vous avez sur votre appareil
list disk
Selon le disque qui vous pose problème, tapez “disk 0” ou “disk 1” pour sélectionner et travailler avec ce dernier. Puis appuyez sur Entrée
Une fois le disque sélectionné, utilisez la commande suivanteet appuyez sur Entréepour le formater
clean
Convertissez le disque au format GPT avec la commande suivante :
convert gpt
Pour créer une nouvelle partition sur un disque formaté, utilisez la commande suivante et appuyez sur Entrée
create partition primary
Ensuite, passez la commande suivante et appuyez sur Entréepour formater le volume
format quick fs=ntfs
Enfin, on termine par attribuer une lettre de lecteur. Remplacez la lettre de lecteur dans la commune suivante et appuyez sur Entrée
assign=<lettre de lecteur>
Si le disque externe présentant l’erreur en question contient des données essentielles, vous ne devez pas le formater, car vous perdrez des données de cette manière. Avant d’opter pour cette solution, gardez cela à l’esprit.
En dernière solution, vous pouvez tenter d’initialiser le disque depuis GParted. Il s’agit d’un outil de partitionnement de disque open source disponible depuis un Live USB.
Puis cliquez sur la coche verte pour effectuer les modifications de disque
Confirmez les modifications
Si tout va bien, Gparted va créer la partition de disque
Là aussi si des erreurs s’affichent, cela peut être révélateur d’un problème matériel sur le support de stockage. Malheureusement dans ce cas, vous allez devoir le remplacer.
Tarn: la Ville d'Albi est actuellement victime d'une cyberattaque qui est déroulée dans la nuit de dimanche à lundi ! Certains services sont inaccessibles suite à cet incident de sécurité. Voici ce que l'on sait !
La Ville d'Albi a été ciblée par une cyberattaque qui s'est déroulée dans la nuit du dimanche 21 avril au lundi 22 avril 2024. Sur ses réseaux sociaux, notamment sur Facebook, la Ville d'Albi précise : "La Ville d’Albi est victime depuis ce lundi 22 avril 2024 à 6h du matin d’une attaque informatique."
Sans surprise, cette cyberattaque perturbe les activités des services publics de la Ville d'Albi (Mairie, Police municipale, État civil, Urbanisme, etc.), et directement, les Albigeoises et les Albigeois. Le communiqué officiel donne quelques précisions à ce sujet : "Les numéros de téléphone habituels, les mails et les services informatiques du quotidien sont inaccessibles pour une durée indéterminée." - Ce qui n'est pas étonnant, car l'accès à Internet a probablement été désactivé volontairement suite à cette intrusion.
D'après des propos relayés par le site La Dépêche, un agent a évoqué un retour au papier et au stylo, en indiquant que "Tout a été crypté" pour reprendre les termes exacts qu'il a utilisés. S'il y a réellement eu un chiffrement des données, cela signifierait que la Ville d'Albi serait victime d'une attaque par ransomware. Il s'agit là que d'une hypothèse, car aucune information officielle n'a été publiée quant à l'origine de cette attaque.
De son côté, un syndicat a évoqué la paie des agents : s'il y a une perte de données, la paie sera identique au mois dernier et une régularisation sera effectuée plus tard. Un représentant du personnel a indiqué que cette décision avait été prise en accord avec le Trésor public.
En attendant, les équipes techniques doivent identifier l'origine de cette cyberattaque et restaurer les services afin qu'ils soient de nouveau en ligne. D'ailleurs, en réponse à cet incident de sécurité, la Ville d'Albi a sollicité l'aide de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), habituée à gérer ce type d'événement.
Proton s'intéresse à la surveillance du Dark Web pour détecter les éventuelles fuites de données impliquant les utilisateurs de la solution Proton Mail. Faisons le point sur cette nouveauté !
La solution Proton Mail s'enrichit d'une nouvelle fonctionnalité permettant de protéger encore un peu plus ses utilisateurs grâce à la détection et l'analyse des fuites de données présentes sur le Dark Web.
Si par malheur, votre adresse e-mail Proton Mail est identifiée dans une fuite de données, vous recevrez une alerte dans le Centre de sécurité Proton Mail de votre compte. Celle-ci vous indiquera précisément quelles sont les informations personnelles compromises et la source de la fuite de données.
En complément, des recommandations sur la manière dont les utilisateurs peuvent se protéger seront intégrées. Autrement dit, cela vous permettra d'être réactif et de procéder à un changement immédiat de votre mot de passe sur le service impacté (et les éventuels autres services où vous utilisez le même mot de passe...).
"La détection de fuites d’identifiants vient compléter le chiffrement de bout en bout éprouvé de Proton Mail et avertit les utilisateurs en cas de brèche d'un service tiers pour lequel ils auraient utilisé leur adresse Proton Mail pour s'inscrire.", peut-on lire dans le communiqué de presse officiel. Par exemple, si vous utilisez votre adresse Proton Mail pour vous inscrire sur le service "XYZ" et que ce dernier est victime d'une fuite de données publiée sur le Dark Web, vous en serez informé.
Grâce à cette nouveauté, Proton Mail souhaite protéger ses utilisateurs et leurs données, mais aussi limiter les pertes financières : "En identifiant en informant rapidement les utilisateurs des informations d'identification compromises, Proton peut aider à prévenir les pertes financières résultant du vol d'identité et de la fraude.", peut-on lire.
Précision importante : cette nouvelle fonctionnalité sera accessible à tous les utilisateurs qui ont un abonnement payant à Proton Mail. Si vous utilisez la version gratuite de Proton Mail, vous ne pourrez pas en bénéficier. Pour en savoir plus, vous pouvez consulter cette page du blog de Proton Mail.
In a previous post, I covered Podman Desktop, an alternative to Docker Desktop. Today, I will look into Podman 5.0, the latest iteration of Red Hat's free open-source container engine. The new release brings significant enhancements, including revamped container engine code for Windows and macOS, native Apple Hypervisor support, and streamlined image building for Podman farms. Let's explore the new Podman 5.0 features and improvements.
Grâce à la boutique en ligne Apple Store et à une option d'achat bien précise, des cybercriminels sont parvenus à s'emparer de plus de 400 000 dollars en 2 ans. Mais, comment ont-ils fait ?
À l'occasion d'une conférence organisée à l'événement Black Hat Asia, Gyuyeon Kim et Hyunho Cho, deux chercheurs de l’Institut de sécurité financière de Corée du Sud, ont dévoilé une vaste opération menée par des cybercriminels. Cette présentation baptisée "Operation PoisonedApple" est le fruit de plusieurs mois d'enquête.
Tout d'abord, les chercheurs ont identifié une vague de piratages ciblant une cinquantaine de centres commerciaux en ligne, notamment au Japon, grâce à l'utilisation d'une technique bien connue : le phishing. Les pages mises en ligne sont des copies des sites officiels et sont utilisés par les cybercriminels pour voler des informations personnelles au sujet des victimes, ainsi que leurs coordonnées bancaires.
"Ces groupes de cybercriminels ont utilisé diverses stratégies d'évasion pour empêcher la détection de leurs pages d'hameçonnage par les administrateurs de sites et les utilisateurs, en utilisant de multiples vulnérabilités et outils.", précise le rapport des chercheurs.
Au fil des mois, les pirates sont parvenus à collecter de nombreux numéros de cartes bancaires. Ils se sont alors demandés comment les utiliser sans attirer l'attention des forces de l'ordre ? C'est là que l'Apple Store entre en jeu.
Utilisation de petites annonces et de l'Apple Store
Pour commencer, les pirates ont publié des annonces en ligne sur un site de vente de matériel d'occasion situé en Corée du Sud. Nous pouvons imaginer que c'est l'équivalent du site « Leboncoin ». Par l'intermédiaire de ces annonces, ils ont proposé des produits Apple à des prix réduits : iPhone, Apple Watch, AirPods, etc. Compte tenu de l'attractivité des offres, de nombreux internautes ont contacté les pirates, sans le savoir, par l'intermédiaire de ces annonces.
Dès qu'un internaute effectuait un achat, les cybercriminels se servaient d'un numéro de carte bancaire volé pour commander le produit en ligne directement sur l'Apple Store. Au moment de passer la commande, les pirates ont pris soin de cocher l’option « Someone-else pickup » pour permettre à un tiers de retirer la commande ! Et là, ce fameux tiers déclaré, c'est l'acheteur qui a utilisé le site de vente de matériel d'occasion !
Finalement, l'argent de la première victime est utilisée pour passer cette commande sur l'Apple Store tandis que les pirates empochent l'argent via le site de petites annonces grâce à la seconde victime. D'ailleurs, elle ne dira rien, car elle va récupérer du matériel flambant neuf à prix réduit, tout en ignorant que la commande a été réglée avec un numéro de cartes volé...
Ce stratagème a permis aux cybercriminels de voler 400 000 dollars en deux ans. D'après les chercheurs en sécurité, les attaques sont toujours en cours et les pirates cherchent de nouvelles cibles. De son côté, Apple, refuse de coopérer en raison de réglementations internes et toujours dans la volonté de protéger la vie privée de ses utilisateurs.
Dans ce tutoriel, nous allons apprendre à gérer le groupe "Administrateurs" local des appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune. Ceci s'avère particulièrement utile pour ajouter un utilisateur ou un groupe Entra ID (Azure AD) en tant qu'administrateur d'un ensemble d'appareils.
Le groupe "Administrateurs" présent sur chaque machine Windows est particulièrement sensible, car tous les membres de ce groupe peuvent administrer l'ordinateur : installation d'applications, modification des paramètres du système, etc... De ce fait, il est important de gérer les membres de ce groupe afin d'en garder la maitrise et la gestion centralisée par une stratégie permet d'avoir une configuration homogène.
Il me semble important de vous présenter la configuration cible présentée dans ce tutoriel, car les possibilités sont nombreuses ! En effet, vous verrez que vous avez l'opportunité d'ajouter des membres au groupe "Administrateurs" sans toucher aux membres déjà présents, ou à l'inverse de le purger pour ajouter les membres présents dans la stratégie Intune que nous allons créer.
En ce qui me concerne, voici la configuration que je souhaite déployer :
Nous allons créer un groupe de sécurité nommé "Admins_PC" dans Entra afin que tous les membres de ce groupe soient en mesure d'administrer les appareils Windows 10 et Windows 11 de notre parc informatique.
De plus, nous souhaitons supprimer tous les membres présents dans le groupe "Administrateurs", sauf les utilisateurs locaux nommés "adm_itconnect" et "Administrateur" (qui lui est désactivé par une autre stratégie et ne peut pas être retiré aussi simplement de ce groupe). L'utilisateur "adm_itconnect" quant à lui est géré par Windows LAPS.
Vous allez me dire : pourquoi supprimer les membres déjà présents du groupe "Administrateurs" ? Tout simplement, car je souhaite entièrement maîtriser les membres de ce groupe et je ne souhaite pas que le propriétaire de l'appareil, qui est un utilisateur lambda, soit Administrateur local de la machine.
III. Le propriétaire de l'appareil est administrateur local
Lorsqu'un appareil est joint Entra ID par un utilisateur, ce dernier devient automatiquement administrateur local de la machine Windows. La configuration que nous allons effectuer aujourd'hui va permettre de l'exclure ou de le conserver, en fonction des valeurs associées aux paramètres.
Récemment, Microsoft a introduit deux nouveaux paramètres dans la section "Paramètres de l'appareil" accessible via le portail Microsoft Entra puis "Appareils".
Le rôle Administrateur général est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, un Administrateur général du tenant doit être ajouté en tant qu'administrateur local d'un appareil au moment de la jonction à Microsoft Entra ID. Tout dépend de vos besoins et votre façon de gérer votre SI, mais pour des raisons de sécurité et dans l'objectif de cloisonner les rôles, il est préférable qu'un Administrateur général ne soit pas également administrateur des appareils. Cette option offre plus de contrôle, même si ce n'est pas rétroactif pour les appareils déjà inscrits.
L’utilisateur qui inscrit son appareil est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, l'utilisateur à l'origine de l'inscription de l'appareil doit être ajouté en tant qu'administrateur local sur cet appareil, au moment de la jonction à Microsoft Entra ID. Ceci n'est pas rétroactif pour les appareils déjà inscrits, mais au moins, cela vous permet de faire votre choix pour l'avenir.
Voici un aperçu de ces deux paramètres :
IV. Gérer les administrateurs des appareils : deux solutions
Avant de commencer, sachez que les utilisateurs avec le rôle "Administrateur général" pourront administrer les appareils, et que vous pouvez gérer le groupe "Administrateurs" local de deux façons :
Avec l'attribution du rôle "Administrateur local de l’appareil joint Microsoft Entra" d'Entra
Cette méthode peut s'avérer pratique, mais elle n'est pas flexible : les membres de ce groupe seront administrateurs de tous les appareils.
Avec une stratégie de sécurité Intune
Cette méthode, que nous allons mettre en place, offre plus de flexibilité, car nous pouvons cibler uniquement un ensemble d'appareils (affectation par groupe) ou tous les appareils.
V. Préparer le groupe de sécurité Entra ID
À partir du portail Microsoft Entra, nous allons créer un groupe de sécurité. Cliquez sur "Tous les groupes" sous "Groupes" puis cliquez sur "Nouveau groupe". Ce groupe de sécurité s'appellera "Admins_PC" et il aura un membre : l'utilisateur qui doit être administrateur local des appareils.
Remarque : si vous avez besoin de gérer le groupe "Administrateurs" local de machines jointes dans Entra ID (Azure AD) mais aussi pour des machines "hybrides", vous devez configurer deux stratégies distinctes. Ceci permettra d'éviter certaines erreurs d'application de la stratégie.
Cliquez sur la gauche sur "Sécurité du point de terminaison" (1), puis sur "Protection de compte" (2) afin de pouvoir "Créer une stratégie" (3). C'est également de cette façon que l'on peut définir une stratégie pour Windows LAPS.
Choisissez la plateforme "Windows 10 et ultérieur", puis sélectionnez le profil "Modifier l'appartenance du groupe de l'utilisateur".
Commencez par ajouter un nom et une description à cette stratégie. Dans cet exemple, la stratégie est nommée "Ajouter le groupe Admins_PC en administrateur local". Passez à l'étape suivante.
L'étape "Paramètres de configuration" va nous permettre de gérer les membres du groupe Administrateurs, mais pas seulement ! En effet, nous pouvons voir qu'Intune offre la possibilité de gérer également d'autres groupes prédéfinis : Utilisateurs, Invités, Utilisateurs du Bureau à distance, etc...
Nous allons simplement sélectionner "Administrateurs" pour répondre à notre besoin.
Ensuite, nous devons configurer d'autres paramètres :
Action du groupe et de l'utilisateur : quelle stratégie adopter pour gérer le compte administrateur, notamment vis-à-vis des objets déjà membres de ce groupe. Trois choix sont proposés :
Ajouter (mettre à jour) : ajouter de nouveaux membres, tout en conservant la liste actuelle des membres (donc on conserve l'existant)
Supprimer (mettre à jour) : supprimer les membres spécifiés, tout en conservant les autres membres (utile pour faire du tri)
Ajouter (remplacer) : supprimer les membres actuels et ajouter ceux définis dans cette stratégie
Type de sélection de l'utilisateur :
Utilisateurs/groupes : sélectionner des utilisateurs et/ou groupes à partir d'Entra ID
Manuel : ajouter des utilisateurs en spécifiant le nom (avec éventuellement le domaine Active Directory en préfixe) ou le SID
Utilisateurs/groupes sélectionnés : choisir les objets à ajouter en tant que membre du groupe Administrateurs
Nous allons choisir "Ajouter (remplacer)" pour ajouter le groupe "Admins_PC" en tant que nouveau membre du groupe "Administrateurs", tout en supprimant l'existant.
Ensuite, nous devons choisir "Manuel" comme "Type de sélection de l'utilisateur" afin de pouvoir spécifier à la fois le groupe "Admins_PC" d'Entra par l'intermédiaire de son SID et les utilisateurs locaux.
Pour récupérer le SID du groupe "Admins_PC", vous pouvez utiliser cet outil en ligne ou ce script PowerShell afin de convertir l'ObjectID en SID. À partir du portail Entra, récupérez la valeur de "ID d'objet" et collez cette valeur sur la page de l'outil afin d'obtenir le SID. Vu que nous sommes en mode manuel, nous sommes contraint d'utiliser cette méthode.
Note : si vous désirez faire un ajout d'un groupe sans écraser l'existant, vous pouvez rester sur "Utilisateurs/groupes" et cliquer sur "Sélectionner des utilisateurs/groupes" pour sélectionner directement le groupe dans Entra ID.
Voici la configuration obtenue. Attention, n'ajoutez pas plusieurs instructions "Ajouter (remplacer)" pour le même groupe local, sinon la seconde règle écrasera la première règle.
Nous pouvons continuer... Jusqu'à l'étape n°4.
Vous devez choisir à quels appareils affecter cette stratégie, en fonction de vos besoins. Sélectionnez un ou plusieurs groupes d'appareils, ou utilisez l'option "Ajouter tous les appareils".
Poursuivez jusqu'à la fin dans le but de créer la stratégie. La stratégie est prête !
VII. Tester la stratégie Intune
La prochaine étape consiste à tester cette stratégie Intune sur un appareil. Voici l'état actuel de la machine Windows 11 utilisée pour faire le test, c'est-à-dire avant application de notre nouvelle stratégie de protection de compte.
Après avoir synchronisé l'appareil, nous pouvons voir qu'il a bien récupéré une stratégie "LocalUsersAndGroups", ce qui est plutôt bon signe.
Pour vérifier la liste des membres du groupe "Administrateurs", il suffit d'accéder à la console "Gestion de l'ordinateur" (comme dans l'exemple ci-dessous).
Ici, nous remarquons plusieurs valeurs, notamment deux comptes locaux : "adm_itconnect" et "Administrateurs". En plus, nous avons un SID qui est présent et la traduction avec le nom n'est pas effectuée. Toutefois, il faut savoir que tout SID que vous voyez dans le groupe "Administrateurs" commençant par "S-1-12-1" correspond à un groupe Entra ID (Azure AD).
Pour faire la correspondance entre ce SID et les groupes dans Entra ID, nous pouvons utiliser ce script PowerShell (ou ce site).
Si nous prenons l'exemple du script, il suffit d'indiquer le SID comme valeur de la variable "$sid" située à la fin du script. Par exemple :
Puis, il faut exécuter la fonction PowerShell pour obtenir le "GUID" (ObjectId) du groupe :
Guid
----
768a3b68-b5b5-462a-88fc-c41938db68ae
Ainsi, dans le portail Entra, nous pouvons voir que cet ID correspond bien au groupe "Admins_PC". Vous pouvez copier-coller l'objectID dans la zone de recherche pour gagner du temps !
Nous pouvons en conclure que la configuration fonctionne ! Tous les utilisateurs membres du groupe "Admins_PC" seront administrateurs des appareils.
VIII. Conclusion
Grâce à ce tutoriel, vous pouvez gérer les membres du groupe "Administrateurs" de vos appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune relativement simple à mettre en place ! Cette stratégie peut être utilisée avec des appareils "Joined", mais aussi en environnement hybride lorsque les appareils sont inscrits en "Hybrid Joined".
Pour aller plus loin, vous pouvez configurer Windows LAPS pour sécuriser le compte Administrateur local :
Lorsque votre PC en Windows 11 ne fonctionne pas correctement, la première chose que la plupart d’entre nous font ou sont sur le point de faire est de réinstaller le système d’exploitation. C’est ce que font la plupart des utilisateurs normaux, et cela permet de résoudre le problème, la plupart du temps. Vous avez peut-être vu différentes façons de réparer, réinitialiser ou réinstaller Windows 11, comme l’utilisation de l’option Réinitialiser ce PC, l’utilisation de l’outil de création de médias pour créer un disque de démarrage ou une clé USB pour formater le PC, etc. Mais il existe une autre méthode beaucoup plus simple, qui ne nécessite pas de disposer d’une clé USB ou d’un disque, ni de passer par des étapes avancées pour remettre votre PC en état de marche. Vous pouvez utiliser la fonction “Résoudre les problèmes à l’aide de Windows Update” disponible récemment dans Windows 11.
Dans ce tutoriel, je vous montre comment utiliser cet outil pour pour réparer les composants et les fichiers systèmes.
Réparer les composants et les fichiers système de Windows 11 avec Windows Update
Notez que cette option nécessite une connexion Internet active puisque Windows 11 tentera de télécharger les fichiers à réparer depuis le serveur de Microsoft.
Faites un clic droit sur le menu Démarrer puis Paramètres. Pour aller plus vite, vous pouvez aussi utiliser le raccourci clavier + I. Sinon d’autres méthodes dans le tutoriel suivant : Comment ouvrir les paramètres de Windows 11
Allez dans Système à gauche
Puis à droite, cliquez sur Récupération
Ensuite dans la partie “Résoudre les problèmes à l’aide de Windows Update“, cliquez à droite sur Réinitialiser maintenant
Sur la fenêtre bleu, cliquez sur OK
Cela va ouvrir Windows Update qui va télécharger “Windows 11 (version de réparation)“. Patientez
Puis une installation s’effectue, là aussi, il faut patienter
Une fois la première phase d’installation terminée, cliquez sur Redémarrer
Des mises à jour s’installent puis le PC redémarre
L’installation des mises à jour se poursuit
Une fois terminée, identifiez-vous normalement en saisissant votre code confidentiel ou mot de passe
L’ouverture du bureau va prendre plus de temps que d’habitude
Windows 11 est réinstallé proprement et les composants, fichiers système sont corrigés.
The remediation of CVE-2023-24932, discovered in May 2023, is taking longer than Microsoft's initial timeline. This flaw allows attackers to bypass Secure Boot and disable security features like BitLocker. The April 2024 update introduces a new fix that admins should thoroughly test because it has significant ramifications and will be automatically activated in October.
Microsoft a apporté une modification importante sur la version Web de son magasin d'applications Microsoft Store. Désormais, vous pouvez directement télécharger les exécutables des applications sur votre PC Windows 10 ou Windows 11. Faisons le point sur ce changement.
C'est par l'intermédiaire de Rudy Huyn, Principal Architect chez Microsoft, que cette mise à jour de la version web du Microsoft Store a été mise en lumière. Désormais, lorsque vous visitez le Microsoft Store dans sa version web, via le site "apps.microsoft.com", vous pouvez directement télécharger l'exécutable d'une application, ce qui fluidifie l'installation d'applications à partir de la version web.
Jusqu'à présent, pour installer une application depuis la version web, il fallait cliquer sur le bouton "Installer", puis cliquer sur "Ouvrir Microsoft Store", et confirmer l'installation avec le bouton "Installer". La présence de ce second bouton installer étant là pour s'assurer que l'installation est initiée par l'utilisateur, et non par un script potentiellement malveillant. Néanmoins, "les feedbacks des utilisateurs ont indiqué que le processus d'installation comportait trop de clics.", peut-on lire dans le tweet posté sur X (Twitter) par Rudy Huyn.
Télécharger l'exécutable d'une application du Microsoft Store
Depuis plusieurs mois, Microsoft travaille sur un changement pour rendre plus simple et plus direct l'installation d'une application depuis la version web. Désormais, le fait de cliquer sur "Installer" permet d'obtenir un package au format ".exe" qui contient le code de l'application et permet de l'installer une fois le téléchargement effectué. Ainsi, nous passons de 3 clics à 2 clics, sans pour autant négliger l'aspect sécurité, car Microsoft a pris des précautions.
L'autre avantage de cette évolution, c'est qu'elle facilite le téléchargement des packages exécutables des applications publiées sur le Microsoft Store. Ainsi, il représente une source fiable pour télécharger des paquets d'installations de nombreuses applications depuis un seul endroit.
Augmenter le nombre d'installations effectuées à partir du Microsoft Store
Si la firme de Redmond a effectué cette modification, c'est également pour qu'il y ait un meilleur taux de conversion pour qu'il y ait plus d'installations.
Une enquête a été menée sur les 5 derniers mois et voici les résultats observés par Microsoft : "Cette nouvelle méthode d'installation des applications du magasin a entraîné, en moyenne, une augmentation de 12 % des installations et de 54 % du nombre d'applications lancées après l'installation."
Les résultats étant positifs, Microsoft a pris la décision d'étendre la disponibilité de cette nouveauté à tous les utilisateurs de Windows 10 et Windows 11.
Uninstalr est un moyen rapide, léger, gratuit et précis de désinstaller des logiciels sous Windows. Il offre de multiples fonctionnalités :
Désinstallation par lots de plusieurs applications en même temps
Supporte la désinstallation sans surveillance des applications
Analyse approfondie des données créées sur le système par les applications installées.
Prise en charge de la surveillance des nouvelles installations de logiciels
Permet de corriger les données incorrectes de la liste des applications installées de Windows. Par exemple, les applications installées affichent une quantité d’espace utilisée erronée
Détecte également les applications portables et les restes de logiciels précédemment désinstallés. Affiche toutes les données ajoutées à votre système par les logiciels installés, fichier par fichier Affiche toutes les données qu’il supprimera avant de lancer la désinstallation Trier, filtrer et rechercher dans la liste des logiciels installés
Peut réparer l’installation d’une application, si vous avez supprimé des clés du registre Windows
Si vous cherchez une alternative à Revo Uninstaller, ce dernier peut répondre à vos besoins. Dans ce tutoriel, je vous montre comment utiliser Uninstalr.
Installer Uninstalr et premier démarrage
Téléchargez l’utilitaire depuis ce lien :
Uninstalr
Lancez le logiciel et laissez l’analyse des applications installées s’effectuer
Appuyez sur F10 ou cliquez en haut à gauche sur le bouton pour ouvrir le menu > Paramètres
Puis dans “Langue de l’interface utilisateur“, sélectionnez “Français“
Cliquez sur “Enregistrer les paramètres“
Voici une présentation de l’interface utilisateur du logiciel.
Comment désinstaller les applications avec Uninstalr
La fonction principale de Uninstalr est sa capacité d’installer une ou plusieurs application(s) sans laisser aucune tracfe et résidu. Voici comment faire :
Enregistrez les travaux en cours
Depuis la liste sélectionnez le ou les logiciel(s) à désinstaller
Cliquez en bas sur “Désinstaller“
N’oubliez pas que vous pouvez filtrer ou trier la liste des applications installées ou encore faire une recherche.
Le logiciel vous affiche la liste des éléments du système qui seront supprimés
Cliquez sur “Démarrer la désinstallation“
Confirmez la modification du système en cliquant sur “Yes“
La désinstallation des programmes s’opèrent, patientez
Cliquez sur OK sur le message indiquant que l’ordinateur doit redémarrer
L’ordinateur redémarre, identifiez sur Windows
Des fenêtres d’invites de commandes (cmd) peuvent s’ouvrir, laissez les effectuer les opérations
Comment monitorer l’installation d’une application
Une fonction très utile est la possibilité de monitorer les modifications du système effectuées par l’installation d’une application. Cela permet une désinstallation beaucoup plus propre car le logiciel sera en mesure de supprimer l’intégralité des éléments du système. En autre, vous pouvez visualiser ces modifications. Si vous avez un doute sur la légitimité d’une application, cela peut montrer des modifications malveillantes du système.
Voici comment l’utiliser :
Cliquez sur “Moniteur“
Vous arrivez sur la fenêtre suivante où Uninstalr écoute le système pour enregistrer toutes modifications
Lancez l’installation du logiciel
Uninstalr peut détecter le nom de l’application en cours d’installation et l’afficher
Terminez l’installation de l’application normalement
Vous pouvez alors cliquez sur le bouton “Montrer” pour visualiser les modifications du système effectuée
Cliquez sur “Fermer“
Réparer l’installation d’une application
Comme Uninstalr connaît les éléments modifiés dans le système, il peut aussi rétablir des clés du registre de Windows qui ont été modifiés. Cela peut vous permettre de réparer une application installée. Pour l’utiliser :
Cliquez sur le bouton “Réparer“
La liste des écarts entre les applications installées et le système s’affiche
Si la liste est longue, en bas vous pouvez sauter vers les modifications d’une application précise
Cliquez en bas sur le bouton “Réparer” pour rétablir l’intégralité des éléments de la base de registre
Utilisée par des centaines de milliers de sites WordPress, l'extension Forminator contient une faille de sécurité critique permettant à un attaquant de charger un fichier malveillant sur le serveur où est hébergé le site web. Faisons le point sur cette menace.
L'extension Forminator, développée par WPMU DEV, sert à ajouter des formulaires de différents types à WordPress, dont des formulaires de paiements, ainsi que des quiz et des sondages.
Le CERT du Japon a mis en ligne un bulletin d'alerte au sujet de la faille de sécurité critique CVE-2024-28890 présente dans Forminator et associée à un score CVSS v3 de 9.8 sur 10. "Un attaquant distant peut obtenir des informations sensibles en accédant aux fichiers du serveur, modifier le site qui utilise le plugin et provoquer un déni de service.", peut-on lire.
Par ailleurs, ce n'est pas la seule faille de sécurité évoquée, puisqu'il y en a deux autres avec une sévérité inférieure : la CVE-2024-31077, une injection SQL qui implique d'être administrateur du site WordPress pour être exploitée, et la CVE-2024-31857 (une vulnérabilité de type XSS).
Comment se protéger ?
Pour se protéger de ces trois failles de sécurité, vous devez installer Forminator 1.29.3. Cette version a été publiée le 8 avril 2024. L'extension Forminator compte plus de 500 000 installations actives, et depuis le 8 avril 2024, elle a été téléchargée environ 180 000 fois. Ce qui signifierait que la mise à jour de sécurité n'a pas été déployé sur environ 320 000 sites WordPress et qu'ils sont vulnérables à une attaque.
Pour le moment, rien n'indique qu'elles sont exploitées dans le cadre d'attaques. Néanmoins, cela pourrait évoluer compte tenu de la popularité de cette extension et du nombre de cibles potentielles.
En résumé : si vous utilisez l'extension Forminator sur votre site WordPress, vous devez passer sur la version 1.29.3 le plus rapidement possible pour vous protéger de ces 3 vulnérabilités.
Connexion
