Tracking web : un peu de contexte

Aujourd'hui, le tracking web joue un rôle fondamental pour les entreprises cherchant à optimiser leurs ressources de manière efficiente. En analysant et en comprenant minutieusement le comportement des utilisateurs en ligne, le tracking web offre aux entreprises des informations précieuses pour allouer judicieusement leurs ressources. Dès lors, il permet de cibler les investissements marketing, de renforcer les stratégies d'acquisition et d'améliorer l'expérience utilisateur, offrant ainsi un avantage concurrentiel significatif.

Dans la suite de l’article, nous vous expliquons à quoi correspond précisément le tracking web ainsi que pourquoi et comment le mettre en place.

Qu’est-ce que le tracking web ?

Le tracking web fait référence à la partie collecte de données du web analytics. Ce dernier est une pratique visant à suivre et à comprendre le comportement des visiteurs sur un site web ainsi que les performances des stratégies d’acquisition. Cela implique la collecte, l'analyse et l'interprétation des données générées par un site. Son objectif principal est d'évaluer la performance des sources d'acquisition et d'améliorer les résultats en comprenant le comportement des utilisateurs.

Le tracking web (tracking client-side ou tracking server-side) est la composante de la collecte de données du web analytics. Il désigne la méthode spécifique utilisée pour collecter des informations sur le comportement des utilisateurs en ligne. Ce processus implique l’élaboration d’un plan de taggage et l'utilisation de diverses technologies telles que les cookies, les balises pixels et les scripts pour enregistrer les actions des utilisateurs sur un site web. Ainsi, le tracking web permet de recueillir des données détaillées sur les interactions des utilisateurs telles que les mouvements de souris, les clics et les interactions avec les éléments de la page.

Ce tracking peut être mis en place pour des outils d'analyse web, mais également pour des plateformes publicitaires telles que Google Ads, Meta Ads, etc. Les données collectées grâce au tracking web peuvent être de nature quantitative (taux, nombre d'utilisateurs, etc.) ou qualitative (appareils utilisés, source de trafic, etc.).

Pourquoi mettre en place un tracking web ?

Les deux objectifs principaux du tracking web sont de comprendre les performances des efforts d'acquisition marketing et d'appréhender le comportement des utilisateurs sur un site. Cela se traduit par l'analyse des résultats des campagnes marketing, incluant le trafic, les taux de conversion, les chiffres d'affaires, le ROAS, etc. Cette analyse peut être effectuée dans le temps ou en comparant différentes campagnes, annonces, etc.

La mise en place du tracking web doit permettre de comprendre qui sont les profils de visiteurs les plus actifs en termes de trafic et de conversions, ainsi que ceux qui quittent rapidement le site. Il est également important de déterminer la provenance des visiteurs afin de cibler efficacement les canaux les plus performants et allouer judicieusement les ressources.

Finalement, le tracking web offre une vue détaillée et précise des performances sur site des entreprises, permettant ainsi d'ajuster les stratégies pour optimiser les résultats et l'expérience utilisateur.

Comment mettre un en place un tracking web ?

Le tracking web implique plusieurs étapes essentielles pour assurer une collecte de données précise et utile.

Étape 1 : Réaliser un plan de mesure

En premier lieu, il peut être intéressant de réaliser un plan de mesure. Ce dernier permet de réaliser un cadrage détaillé du tracking web. Ce plan rassemble ainsi les informations cruciales pour orienter la collecte de données de manière efficace (liste des KPI et dimensions associées, informations sur la gestion du consentement, etc).

Étape 2 : Réaliser un plan de taggage

L'étape suivante consiste en la réalisation d’un plan de taggage dans lequel sont définis précisément les éléments qui doivent être traqués (actions utilisateurs). Il fournit des instructions sur la manière dont le tracking doit être réalisé. Ce document aligne toutes les parties prenantes autour d'une stratégie commune de collecte de données, tout en guidant les développeurs chargés de l'implémentation. Le plan de taggage, également connu sous le nom de plan de tracking, est donc d’une importance capitale dans les projets de tracking web. C’est pourquoi il doit nécessairement être créé avant l’implémentation du tracking.

Étape 3 : Déployer le plan de taggage

Le déploiement du plan de taggage se fait généralement par le biais d'un développeur qui implémente un code permettant l'envoi des données dans le dataLayer. Une vérification rigoureuse est ensuite nécessaire pour s'assurer que les données remontent correctement dans le dataLayer.

Étape 4 : Configurer les outils du tracking web

La configuration des outils de collecte de données, tels que Google Analytics 4 (GA4), Google Tag Manager (GTM), ou des plateformes de gestion de consentement (CMP), constitue une autre étape cruciale. Cela implique la création de variables, balises, déclencheurs dans GTM, ainsi que la mise en place des flux de données, la création de métriques personnalisées, etc., dans GA4. Une vérification rigoureuse est ensuite nécessaire pour s'assurer du bon fonctionnement et de la précision des données collectées par ces outils.

Cette étape consiste à configurer les différents outils utilisés pour la collecte, à savoir :

• La CMP envisagée (Axeptio, Didomi, OneTrust, etc) ;
• Le TMS envisagé (Google Tag Manager, Commanders Act, etc) - Création des variables, des déclencheurs, des balises, etc ;
• L’outils web analytics envisagé (par exemple : Google Analytics 4) - Création de la propriété, activation ou non des signaux Google, création des conversions, création des dimensions personnalisées, connexion à BigQuery, connexion à Google Ads, connexion à Google Search Console, etc (+ 20).

Étape 5 (optionnelle) : Mettre en place des dashboards analytics

Enfin, bien que cela sorte de la sphère du tracking web, pour compléter ce dernier, il est possible de mettre en place des dashboards analytics. Il s’agit d’une autre étape du web analytics, dans la continuité du tracking web. Les dashboards offrent une visualisation claire et interprétable des données collectées, permettant aux entreprises de mieux comprendre et exploiter les informations. La mise en place de dashboard analytics va au-delà du simple suivi web : elle transforme les données en visualisations pertinentes pour une analyse approfondie de l'acquisition marketing et du comportement des utilisateurs sur un site web.

Quel est le rôle d’une CMP dans un tracking web ?

Chaque jour, des millions d'utilisateurs parcourent le web, laissant derrière eux une traînée numérique d'informations personnelles. Dans cette ère de données omniprésentes, la gestion du consentement devient une pièce maîtresse pour les entreprises souhaitant rester en conformité avec des lois telles que le RGPD, la Loi 25, et le CCPA. 

Les Consent Management Platforms (CMP) sont les boucliers permettant aux entreprises de naviguer plus sereinement à travers ces réglementations évolutives.

Une CMP est un outil permettant de gérer le consentement donné par les utilisateurs du site web concerné. Cette solution permet aux entreprises de collecter, stocker et gérer le consentement de leurs utilisateurs de façon claire, transparente et en restant en conformité avec la législation en vigueur dans les différentes zones géographiques. En effet, la législation n’est pas la même en fonction du pays dans lequel se trouve l’utilisateur.

Article sponsorisé.

The post Tracking web : définition et méthode first appeared on IT-Connect.

Au cours des trois derniers mois, les cybercriminels derrière le botnet CatDDoS ont utilisé plus de 80 failles de sécurité différentes pour compromettre des appareils ! Ce botnet est ensuite utilisé pour effectuer des attaques DDoS. Faisons le point.

• Qu'est-ce qu'une attaque DDoS ?

Le botnet CatDDoS, apparu pour la première fois en août 2023 et qui est considéré comme une variante du botnet Mirai, a été observé par l'équipe de chercheurs QiAnXin XLab. Il s'avère que le botnet a été utilisé pour cibler jusqu'à 300 appareils par jour et que pour la compromission de ces derniers, il s'appuie sur pas moins de 80 vulnérabilités différentes. Certaines n'ont pas encore été identifiées et il pourrait s'agir de zero-day, d'après le rapport publié par QiAnXin XLab.

Certaines vulnérabilités sont récentes, tandis que d'autres ont été découvertes il y a plusieurs années. Parmi les produits pris pour cible, nous pouvons citer : Apache Log4j, Apache ActiveMQ, Cacti, Jenkins, les routeurs Linksys, Netgear, TP-Link et D-Link, les NAS Seagate, les contrôleurs de gestion Wi-Fi Ruckus, des équipements de chez Zyxel ou encore différents modèles de caméras notamment chez Avtech. Il y a une réelle diversité dans cette liste.

Toujours d'après ce rapport, la France fait partie des pays les plus impactés par les attaques DDoS orchestrées par CatDDoS : "Nous pouvons constater que les cibles des gangs liés à CatDDoS sont réparties dans le monde entier, en particulier aux États-Unis, en France, en Allemagne, au Brésil et en Chine." - Il peut s'agir de fournisseurs de services Cloud, d'industries, d'administrations publiques ainsi que d'organisations dans différents domaines comme la recherche scientifique, la construction, ou encore l'éducation.

Les chercheurs expliquent également que d'autres botnets sont similaires à CatDDoS et qu'ils partagent certains éléments. On pourrait presque dire qu'il y a un modèle de fonctionnement et de code qui est partagé entre plusieurs botnets.

Nous pourrions qualifier le botnet CatDDoS de botnet polymorphe, car il est capable d'effectuer des attaques DDoS en utilisant UDP, TCP et d'autres méthodes. Il n'est pas à exclure qu'il exploite la nouvelle technique baptisée DNSBomb.

Source

The post Le botnet CatDDoS exploite plus de 80 vulnérabilités pour compromettre des appareils ! first appeared on IT-Connect.

DNSBomb, c'est le nom d'une nouvelle technique d'attaque révélée récemment et associée à la vulnérabilité CVE-2024-33655. Cette technique repose sur l'utilisation du DNS pour effectuer des attaques DoS avec un facteur d'amplification de x20 000. Voici ce qu'il faut savoir.

• Qu'est-ce qu'une attaque DDoS ?

Qualifiée d'attaque Pulsing Denial-of-Service (PDoS), cette technique d'attaque baptisée DNSBomb correspond à la vulnérabilité CVE-2024-33655. Elle a été découverte par des chercheurs de l'université de Tsinghua (Chine) et vise à manipuler le trafic DNS. En effet, sa mise en œuvre repose sur l'exploitation des requêtes et des réponses du système DNS.

"DNSBomb exploite plusieurs mécanismes DNS largement mis en œuvre pour accumuler les requêtes DNS envoyées à faible débit, amplifier les requêtes en réponses de grande taille et concentrer toutes les réponses DNS en une courte salve d'impulsions périodiques de grand volume afin de submerger simultanément les systèmes cibles.", peut-on lire sur le site dédié à cette technique. L'objectif étant d'accumuler les réponses DNS pour les libérer simultanément vers une cible : ce qui fait l'effet d'une bombe.

Voici un schéma pour illustrer l'attaque DNSBomb :

Cette technique pourrait être beaucoup plus efficace que les autres déjà connues. Les chercheurs de l'université de Tsinghua ont effectué différents tests qui permettent d'affirmer que le facteur d'amplification de la bande passante peut être multiplié par 20 000. "Des expériences à petite échelle montrent que l'amplitude maximale des impulsions peut approcher 8,7 Gb/s et que le facteur d'amplification de la bande passante peut être multiplié par 20 000.", peut-on lire. Largement suffisant pour faire tomber la cible et notamment des infrastructures critiques.

Quels sont les services vulnérables ?

Il y a deux types de services particulièrement vulnérables à l'attaque DNSBomb : les services DNS et les services CDN (réseau de diffusion de contenu). Nous pensons notamment à des services comme ceux de Cloudflare et Akamai. Voici les conclusions des chercheurs de l'université de Tsinghua suite aux différents tests effectués :

"Grâce à une évaluation approfondie de 10 logiciels DNS grand public, de 46 services DNS publics et d'environ 1,8 million de résolveurs DNS ouverts, nous démontrons que tous les résolveurs DNS peuvent être exploités pour mener des attaques DNSBomb plus pratiques et plus puissantes que les attaques DoS à impulsions précédentes."

Pour limiter ou réduire l'impact de DNSBomb sur un serveur DNS, il convient d'adapter sa configuration pour implémenter des limites, notamment le nombre de requêtes maximales par client. Si vous utilisez Bind9, vous pouvez consulter cet article mis en ligne pour vous guider.

Source

The post DNSBomb : cette nouvelle attaque DoS basée sur le DNS fait l’effet d’une bombe sur le service cible first appeared on IT-Connect.

Un exploit PoC a été publié pour une faille de sécurité critique présente dans la solution de SIEM de chez Fortinet, c'est-à-dire FortiSIEM : quels sont les risques ? Faisons le point dans cet article.

Découverte par Zach Hanley de chez Horizon3, cette vulnérabilité associée à la référence CVE-2024-23108 a une sévérité maximale, soit un score CVSS de 10 sur 10. En exploitant cette faille de sécurité présente dans FortiSIEM, un attaquant non authentifié et situé à distance peut exécuter du code en tant que root sur le système. Dans son bulletin de sécurité, Fortinet précise que l'exécution de commandes s'effectue via des requêtes spéciales à destination de l'API de FortiSIEM.

La faille de sécurité CVE-2024-23108 est en fait liée à deux autres vulnérabilités : la CVE-2024-23109, corrigée le 8 février 2024, ainsi que la CVE-2023-34992 corrigée en octobre 2023. Dans un premier temps, Fortinet a nié l'existence des deux nouvelles CVE en affirmant qu'il s'agissait en fait de doublons de la faille de sécurité CVE-2023-34992. Pourtant, il s'agit bel et bien de variantes plus récentes permettant l'exploitation de la vulnérabilité avec des requêtes différentes.

Horizon3 a publié un rapport technique complet ainsi qu'un exploit PoC sur GitHub. Il permet d'exécuter des commandes en tant que root sur toutes les appliances FortiSIEM exposées à Internet et non patchées. La disponibilité de cet exploit PoC pourrait pousser les cybercriminels à exploiter cette faiblesse dans FortiSIEM.

Qui est affecté ? Comment se protéger ?

Différentes versions de FortiSIEM sont affectées par ces vulnérabilités. Voici la liste :

• Versions comprises entre 7.1.0 et 7.1.1
• Versions comprises entre 7.0.0 et 7.0.2
• Versions comprises entre 6.7.0 et 6.7.8
• Versions comprises entre 6.6.0 et 6.6.3
• Versions comprises entre 6.5.0 et 6.5.2
• Versions comprises entre 6.4.0 et 6.4.2

Pour se protéger, il convient de mettre à jour FortiSIEM vers la version 7.1.3, 7.0.3, 6.7.9 ou ultérieure. À l'heure actuelle, il existe des versions plus récentes, mais ceci vous permet de savoir quelle est la version minimale à utiliser.

Pour rappel, en mars dernier, Horizon3 avait publié un exploit PoC pour la faille de sécurité critique CVE-2023-48788 présente dans Fortinet EMS (Enterprise Management Server). Désormais, elle est activement exploitée dans des attaques...

Source

The post Patchez FortiSIEM de Fortinet : un exploit a été publié pour cette faille de sécurité critique ! first appeared on IT-Connect.

Une faille de sécurité critique a été corrigée dans le firmware du routeur TP-Link Archer C5400X. En l'exploitant, un attaquant non authentifié peut compromettre l'équipement à distance. Faisons le point sur cette menace.

Le C5400X est un routeur Wi-Fi populaire appartenant à la gamme Archer de chez TP-Link. Il s'agit d'un modèle dans l'esprit gaming, avec un module Wi-Fi tri-bandes et des fonctionnalités avancées pour les jeux. Le problème, c'est qu'il est affecté par une faille de sécurité critique.

Cette vulnérabilité, associée à la référence CVE-2024-5035, hérite d'un score CVSSv4 de 10 sur 10, soit le score maximal. Et pour cause, les chercheurs en sécurité de chez OneKey ont fait la découverte de cette vulnérabilité pouvant permettre à un attaquant d'exécuter des commandes à distance sur le routeur, et ce, sans authentification.

"En exploitant avec succès cette faille, un attaquant distant non authentifié peut exécuter des commandes arbitraires sur l'appareil avec des privilèges élevés.", peut-on lire dans le rapport. Pour être plus précis, et toujours d'après le rapport de OneKey, l'élément en cause est le binaire "rftest" qui expose un service réseau vulnérable à l'injection de commandes sur les ports TCP 8888, 8889 et 8890.

Le routeur étant un équipement exposé sur Internet, cette faille de sécurité représente un risque élevé pour les utilisateurs. Néanmoins, voici ce que précisent les chercheurs en sécurité : "On ne sait pas si le binaire est toujours lancé et s'il est toujours exposé sur les interfaces LAN/WAN."

Comment se protéger ?

Pour éviter de prendre des risques, il est préférable de se protéger de cette faille de sécurité CVE-2024-5035. Le 25 mai 2024, TP-Link a mis en ligne un nouveau firmware intitulé "Archer C5400X(EU)_V1_1.1.7 Build 20240510" sur son site, dans le but de corriger cette vulnérabilité.

En fait, tous les routeurs Archer C5400X avec un firmware en version "1_1.1.6" ou antérieure sont potentiellement vulnérables. Si vous utilisez ce routeur, la mise à jour est plus que recommandée. Pour le moment, rien n'indique que cette faille de sécurité soit exploitée dans le cadre d'attaques.

Source

The post Routeur TP-Link Archer C5400X : protégez-vous de la faille de sécurité critique CVE-2024-5035 ! first appeared on IT-Connect.

Check Point a publié une alerte de sécurité pour avertir ses utilisateurs qu'une campagne de cyberattaques ciblait les accès VPN sur les firewalls Check Point, via la fonction de Remote Access. Faisons le point sur cette menace.

De part leur fonction, les accès VPN mis à disposition des organisations pour les salariés sont exposés sur Internet. Ceci en fait une cible de choix pour les cybercriminels, car ils peuvent l'utiliser comme porte d'entrée pour s'introduire sur le réseau des entreprises. Dans le cas de Check Point, c'est la fonction Remote Access intégrée à tous les firewalls Check Point qui est prise pour cible.

En effet, cette nouvelle campagne d'attaques révélée par Check Point ciblent directement les firewalls de la marque, mais pas uniquement. L'objectif des attaquants : parvenir à s'authentifier à l'aide de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.

"Le 24 mai 2024, nous avons identifié un petit nombre de tentatives de connexion à l'aide d'anciens comptes locaux VPN reposant sur une méthode d'authentification par mot de passe uniquement non recommandée.", peut-on lire sur le site de Check Point.

D'ailleurs, Check Point a surveillé de près les activités sur ses équipements après avoir constaté des compromissions d'accès VPN sur des firewalls Check Point mais aussi d'autres marques : "Nous avons récemment assisté à la compromission de solutions VPN, y compris de divers fournisseurs de cybersécurité.", précise le communiqué. Nous pensons notamment à Fortinet ainsi qu'aux accès VPN Cisco.

Dans le cas présent, les pirates ne semblent pas exploiter une vulnérabilité dans le système des firewalls Check Point. Ici, c'est plutôt l'erreur de configuration qui est recherchée.

Comment se protéger ?

Pour se protéger, il est recommandé de désactiver les comptes locaux inutilisés. Pour les comptes qui doivent rester actifs, Check Point recommande de renforcer leur sécurité : "Si vous disposez de comptes locaux que vous souhaitez utiliser et qui ne sont authentifiés que par mot de passe, ajoutez une autre couche d'authentification (comme des certificats) pour renforcer la sécurité informatique de votre environnement."

Par ailleurs, Check Point a publié un Hotfix à installer sur le firewall pour bloquer l'utilisation de comptes avec authentification par mot de passe sur les accès VPN Remote Access. Cette méthode est détaillée sur cette page dédiée aux recommandations.

Source

The post Les pirates ciblent les VPN Check Point pour compromettre les réseaux d’entreprises ! first appeared on IT-Connect.

Microsoft a ajouté une nouvelle fonctionnalité importante à son application Outlook Lite pour les smartphones Android : la prise en charge des SMS, directement dans l'application. Faisons le point sur cette annonce.

Sur Android, il y a deux applications Outlook : il y a l'application principale nommée "Microsoft Outlook", ainsi qu'une application secondaire, beaucoup plus légère, car elle ne pèse que 5 Mo, nommée "Microsoft Outlook Lite". Elle est avant tout destinée aux smartphones avec peu de ressources. Elle a été lancée en août 2022.

Par l'intermédiaire d'un nouvel article, Microsoft a fait l'annonce d'une nouveauté pour les utilisateurs d'Outlook Lite sur Android : "Avec SMS sur Outlook Lite, vous pouvez profiter de la commodité et de la sécurité de l'envoi et de la réception de messages SMS à partir de votre application Outlook Lite. Les SMS sont intégrés à votre courrier électronique, votre calendrier et vos contacts, ce qui vous permet de rester en contact avec vos interlocuteurs dans une seule application."

Autrement dit, avec Outlook Lite, vous pouvez envoyer et recevoir des e-mails et des SMS sur Android, grâce à cette expérience unifiée. Microsoft travaille depuis avril 2023 sur le développement de cette fonctionnalité, qui est désormais accessible à tous les utilisateurs : "Aujourd'hui, nous sommes ravis de proposer les SMS sur Outlook Lite aux utilisateurs du monde entier.", peut-on lire.

Cette nouveauté prend place dans l'application grâce à un bouton tout simplement nommé "SMS", comme le montre l'image ci-dessous. Elle est disponible dans la dernière version d'Outlook Lite disponible sur Google Play Store.

Enfin, l'entreprise américaine a évoqué quelques nouveautés à venir et en cours de développement pour Outlook Lite. Voici ce que l'on peut lire :

• Intégration plus étroite avec le courrier électronique, le calendrier et les contacts
• Sauvegarde des messages dans le Cloud
• Amélioration des fonctionnalités liées à la sécurité

Qu'en pensez-vous ? Utilisez-vous la version Lite d'Outlook ?

Source : Microsoft

The post Microsoft ajoute la prise en charge des SMS à l’application Outlook Lite pour Android first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons évoquer l'installation et la configuration de Sysmon sur Windows par l'intermédiaire d'une stratégie de groupe (GPO), en environnement Active Directory. Ceci va nous permettre d'automatiser le déploiement de Sysmon et de gérer sa configuration de façon centralisée.

Outil gratuit présent dans la suite SysInternals de Microsoft, Sysmon est un outil très intéressant pour enrichir les journaux Windows et tracer les activités suspectes sur un poste de travail ou un serveur.

Pour en savoir plus sur son fonctionnement et son utilisation, consultez notre précédent article :

• Tutoriel - Installation et configuration de Sysmon sur Windows

II. Méthodologie de déploiement

A. Sysmon et le fichier de configuration XML

Pour appliquer une nouvelle configuration à Sysmon, nous devons utiliser un fichier de configuration au format XML. Ce fichier de configuration contient un ensemble de règles permettant d'indiquer à Sysmon quelles sont les actions qu'il doit surveiller et journaliser. Ce fichier permet aussi de gérer les exceptions, de façon à éviter les faux positifs.

Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données. Cela signifie qu'il n'y a aucune dépendance de Sysmon vis-à-vis de son fichier de configuration.

Notre premier réflexe pourrait-être d'héberger le fichier de configuration XML sur un partage puis de faire en sorte qu'il soit lu par nos "agents" Sysmon déployés sur les machines Windows. Effectivement, cela pourrait fonctionner. Le problème, c'est que ce fichier de configuration pourrait être accessible par un potentiel attaquant. Il pourrait prendre connaissance de notre configuration Sysmon, ce qui lui permettrait de savoir comment agir pour ne pas être détecté et il pourrait essayer de la contourner.

Comment faire alors ?

A. Injecter la configuration Sysmon dans le Registre

La réponse se trouve dans cette phrase de l'article : "Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données." - Nous allons directement injecter la configuration dans le Registre ! Ceci va nécessiter quelques manipulations, mais l'avantage, c'est que la configuration sera difficilement accessible, lisible et interprétable par un attaquant.

Sachez que cette méthode, qui est celle que nous allons déployer, est également recommandée par l'ANSSI dans son guide "Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory".

Nous allons devoir procéder de la façon suivante :

1 - Créer une stratégie de groupe pour installer Sysmon, sans configuration personnalisée.

2 - Créer une configuration personnalisée à partir d'une machine de référence.

3 - Exporter la configuration Sysmon, à partir du Registre.

4 - Créer une stratégie de groupe pour injecter les valeurs de Registre sur les machines où Sysmon doit être configuré.

Désormais, nous allons voir comment mettre en œuvre cette méthode fondée sur 4 grandes étapes.

Si malgré tout, vous souhaitez utiliser un fichier XML pour gérer votre configuration Sysmon, je vous recommande de masquer le partage sur lequel le fichier est hébergé et de brider les droits autant que possible. Autorisez seulement les objets ordinateurs où Sysmon est déployé à venir lire la configuration.

III. GPO - Déploiement de Sysmon sur Windows

Intéressons-nous à l'installation de Sysmon sur Windows. Nous allons partir du principe que seule la version 64 bits est utilisée et notre script PowerShell va permettre déployer cette version. Une fois que le script sera prêt, il sera exécuté au travers d'une stratégie de groupe.

A. Script PowerShell pour installer Sysmon

Pour rappel, lorsque Sysmon est installé sur une machine, il crée différentes clés de Registre dont celles-ci (une seule selon la version) :

Sysmon - 32 bits
HKLM\SYSTEM\CurrentControlSet\Services\sysmon
Sysmon - 64 bits
HKLM\SYSTEM\CurrentControlSet\Services\sysmon64

Nous allons utiliser un script PowerShell pour réaliser l'installation de Sysmon64. Si l'application est déjà installée, le script ne cherchera pas à la réinstaller. Dans le script ci-dessous, vous devez adapter la valeur de la variable "$SysmonShare" car elle contient le chemin vers l'exécutable de Sysmon. Vous pouvez stocker cet exécutable dans le partage "SYSVOL" de votre domaine Active Directory ou dans un autre partage correctement configuré.

# Partage - Chemin réseau vers l'exécutable de SYSMON
$SysmonShare = "\\it-connect.local\SYSVOL\it-connect.local\scripts\Sysmon64.exe"

# Avant de poursuivre, on vérifie que le chemin vers l'exécutable est correct
if(Test-Path -Path $SysmonShare -PathType Leaf)
{
    # Chemin vers la clé de Registre de Sysmon (version 64 bits)
    $SysmonRegKey = "HKLM:\SYSTEM\CurrentControlSet\Services\Sysmon64"

    # Chemin vers le fichier exécutable de Sysmon64 via lecture du Registre
    $SysmonRegImagePath = (Get-ItemProperty -Path $SysmonRegKey -Name ImagePath -ErrorAction SilentlyContinue).ImagePath

    # Si $SysmonRegImagePath n'est pas nul, c'est que Sysmon est installé
    if ($SysmonRegImagePath)
    {
        Write-Output "Sysmon64 est déjà installé sur cette machine"

    }
    # Sinon, Sysmon doit être installé à partir de l'exécutable présent dans le partage
    else
    {
       Write-Output "Sysmon64 va être installé sur cette machine"
       & $SysmonShare -i -accepteula
    }
}

Si vous avez besoin d'un script PowerShell plus complet, vous pouvez utiliser celui de l'ANSSI accessible via le lien ci-dessous. Ce script est capable de gérer les versions 32 bits et 64 bits, mais aussi la mise à jour de Sysmon, ainsi que les configurations particulières basées sur un pilote Sysmon renommé (ce qui influence le nom de la clé de Registre liée au service).

• GitHub - ANSSI - Script de déploiement de Sysmon

Plutôt que d'utiliser un script PowerShell, nous pourrions utiliser un script Batch. En revanche, il n'existe pas de paquet MSI pour Sysmon.

B. Exécuter le script dans une GPO

Désormais, nous allons exécuter ce script PowerShell à l'aide d'une stratégie de groupe que l'on va créer avec la console "Gestion de stratégie de groupe". Dans cet exemple, la GPO est nommée "Installer Sysmon (PS1)" et elle est liée à l'OU "Serveurs" de l'annuaire Active Directory.

Modifiez la GPO et suivez la procédure suivante :

1 - Accédez à : Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage / arrêt).

2 - Double-cliquez sur "Démarrage".

3 - Cliquez sur "Afficher les fichiers" pour accéder au répertoire des scripts de la GPO et collez le fichier PS1 à cet emplacement. Vous pouvez aussi stocker le script à la racine du SYSVOL.

4 - Cliquez sur "Ajouter" puis sur "Parcourir".

5 - Sélectionnez le script, ici, il s'appelle simplement "Sysmon.ps1".

6 - Cliquez sur "OK" à deux reprises.

Pour information, voici où est stocké le script sur mon environnement de démo :

Voilà, la GPO pour installer Sysmon est prête !

Il ne reste plus qu'à tester son bon fonctionnement sur une machine. Pour rappel, Sysmon sera déployé dans sa configuration par défaut, c'est-à-dire sans aucune règle personnalisée. Sur une machine où Sysmon a été installée, vous pouvez voir le service "Sysmon64", comme ceci :

Remarque : si vous utilisez un script PowerShell pour déployer Sysmon, il est recommandé de le signer à l'aide d'un certificat de signature de code. À ce sujet, vous pouvez lire les deux articles suivants :

• PowerShell - Signer un script avec un certificat (ADCS)
• PowerShell - Signer un script avec un certificat auto-signé

IV. Configuration centralisée de Sysmon

A. Créer un modèle de configuration de Sysmon

Vous allez devoir définir un modèle de configuration Sysmon correspondant à vos besoins et aux spécificités de votre infrastructure. Vous pouvez utiliser comme base la configuration Sysmon de SwiftOnSecurity déjà évoquée dans notre précédent tutoriel sur Sysmon.

Dans cet exemple, c'est ce fichier que nous allons utiliser. Voici le lien :

• Github - SwiftOnSecurity - sysmonconfig-export.xml

Vous devez utiliser une machine sur laquelle Sysmon est installé afin de mettre à jour la configuration. Je vous rappelle que l'objectif est d'utiliser cette machine comme "machine de référence" pour la configuration de Sysmon. Le fichier XML de Sysmon doit être présent uniquement sur cette machine.

Voici la commande à exécuter pour mettre à jour la configuration de Sysmon à partir d'un fichier XML :

.\Sysmon64.exe -c sysmonconfig-export.xml

Remarque : en modifiant les paramètres, vous pouvez aussi installer Sysmon et lui associer directement cette configuration.

La prise en compte de cette configuration est immédiate. Désormais, nous allons devoir l'exporter à partir des valeurs présentes dans le Registre Windows.

B. Exporter la configuration Sysmon à partir du Registre

La configuration Sysmon est stockée dans la clé de Registre correspondante au pilote Sysmon : "SysmonDrv" (nom par défaut). Ceci correspond à cet emplacement du Registre :

Nous allons devoir exporter les données des valeurs de Registre suivantes :

• DnsLookup
• HashingAlgorithm
• Options
• Rules

La configuration de notre fichier XML est stockée dans "Rules" mais nous devons également prendre en compte les autres valeurs. Certaines valeurs étant en binaire, il n'est pas possible d'exporter les données dans un format interprétable par l'éditeur de GPO à partir de "regedit.exe".

Nous avons deux options :

• Utiliser PowerShell pour lire les données et exporter les données de chaque valeur dans un fichier texte. Ensuite, nous pourrons copier-coller le contenu de chaque fichier texte dans notre GPO.
• Utiliser l'Assistant Registre de la console de Gestion des stratégies de groupe pour aller lire les données dans le Registre directement et les ajouter à la GPO. C'est sans aucun doute la façon la plus simple, mais cela implique d'avoir les outils RSAT sur le serveur de référence ou de pouvoir s'y connecter à distance via la console de Gestion des stratégies de groupe (connexion RPC).

Dans la suite de ce tutoriel, nous allons appliquer la méthode via l'Assistant Registre, mais voici des instructions pour effectuer la manipulation via PowerShell.

La commande ci-dessous permet d'exporter les données de la valeur "Rules" dans le fichier texte "C:\TEMP\Export_Sysmon_Rules.txt". Nous utilisons la méthode "ToString" associée au format "X2" pour que les données soient converties au format hexadécimal. Ce format est pris en charge par l'éditeur de GPO, ce qui nous permettra de préciser les valeurs dans un format accepté.

((Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\sysmonDrv\Parameters").Rules | ForEach-Object { $_.ToString("X2") }) -join '' > "C:\TEMP\Export_Sysmon_Rules.txt"

Ce qui donnera un fichier similaire à celui-ci :

L'opération doit être répétée pour chaque valeur du Registre.

Pour vous aider, voici un bout de code pour générer un fichier texte pour chaque valeur. Vous pouvez changer la valeur de la variable "$SysmonSvcOutput" pour modifier le chemin du dossier de sortie.

$SysmonSvcOutput = "C:\TEMP"
$SysmonSvcReg = "HKLM:\SYSTEM\CurrentControlSet\Services\SysmonDrv\Parameters"
$SysmonSvcRegValueBinary = @("DnsLookup","Rules")
$SysmonSvcRegValueDword = @("HashingAlgorithm","Options")

foreach($value in $SysmonSvcRegValueBinary){

    ((Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\sysmonDrv\Parameters").$value | ForEach-Object { $_.ToString("X2") }) -join '' > "$SysmonSvcOutput\Sysmon_Export_$value.txt"
}


foreach($value in $SysmonSvcRegValueDword){

    (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\sysmonDrv\Parameters").$value > "$SysmonSvcOutput\Sysmon_Export_$value.txt"
}

Désormais, nous allons voir comment ajouter ces informations à une GPO.

C. Configurer Sysmon par GPO

Pour configurer Sysmon, nous allons créer une nouvelle GPO. Pour ma part, elle s'appelle "Configurer Sysmon (GPP)".

1 - Modifiez la GPO et accédez à l'emplacement suivant : Configuration ordinateur > Préférences > Paramètres Windows > Registre.

2 - Effectuez un clic droit puis sous "Nouveau", choisissez "Assistant Registre". Attention, si vous avez exporté les données via PowerShell, choisissez "Élément Registre" et configurez chaque valeur de Registre.

Un assistant s'exécute. Si votre machine de référence correspond à la machine locale, choisissez "Ordinateur local", sinon prenez la seconde option et recherchez votre machine.

Ensuite, parcourez l'arborescence du Registre jusqu'à pouvoir cocher les 4 valeurs que nous souhaitons importer. Cliquez sur "Terminer".

Voilà, les valeurs et les données associées sont immédiatement importées dans la GPO. Pratique.

Voici le résultat obtenu :

Si vous avez besoin de différencier Sysmon 32 bits et Sysmon 64, utilisez une règle de "Ciblage au niveau de l'élément" sur chaque règle de la GPO. Cette règle devra aller vérifier la présence de la clé de Registre "Sysmon" ou "Sysmon64" pour déterminer la version de l'application.

De plus, sachez que le schéma du fichier XML de Sysmon peut évoluer au fil des versions, donc nous devons en tenir compte. Sinon, la configuration peut devenir "illisible" par l'outil. C'est pour cette raison que nous allons ajouter une condition de ciblage sur chaque règle de la GPO. Pour connaître la version de Sysmon, il suffit de regarder dans les propriétés de l'exécutable Sysmon. Ici, il s'agit de la version "15.14.0.0".

Ensuite, nous allons créer une condition de cette façon :

1 - Modifiez une première valeur dans la GPO, cliquez sur "Commun", puis cochez "Ciblage au niveau de l'élément" et cliquez sur le bouton "Ciblage".

2 - Cliquez sur "Nouvel élément" et choisissez "Correspondance fichier".

3 - Choisissez le type de correspondance nommé "Faire correspondre la version de fichier".

4 - Indiquez le chemin d'accès en version 64 bits (si vous gérez les deux versions, vous devez créer plusieurs conditions et utiliser l'opérateur "OU").

%WinDir%\Sysmon64.exe

5 - Indiquez votre version comme valeur maximale, en indiquant la valeur complète (y compris les zéros). Choisissez l'opérateur "<=" à la place de "<" sinon la règle ne s'appliquera pas. Si besoin, nous pourrions aussi ajuster la version minimale (valeur de gauche).

Validez et répétez l'opération pour les autres règles de la GPO.

V. Tester la configuration

Désormais, il ne reste plus qu'à tester la GPO sur une machine ciblée par celle-ci. Voici l'état d'une machine sur laquelle Sysmon a été installé par GPO mais qui n'a pas appliqué de fichier de configuration. Nous voyons que la valeur "Rules" n'est même pas présente.

Après application de la GPO, les valeurs de Registre sont bien actualisées et nous pouvons le confirmer en regardant le Registre :

Il faut savoir qu'il n'y a pas besoin de redémarrer le service Sysmon. Il va détecter de lui-même la modification de la configuration (valeur "Rules") et l'appliquer immédiatement.

Nous venons de déployer une configuration de Sysmon par GPO sans l'exposer dans un fichier XML ! Ainsi, notre configuration est protégée des regards indiscrets.

VI. Conclusion

En suivant ce tutoriel sur Sysmon, vous devriez être en mesure de l'installer et de le configurer de façon automatique sur vos machines Windows ! La prochaine étape consistera à collecter ses événements dans le but de pouvoir les analyser.

The post Cybersécurité : installer et configurer Sysmon sur Windows avec une GPO first appeared on IT-Connect.

I. Présentation

Comment fusionner des PDF sous Linux ? Ce tutoriel répond à cette question à l'aide de l'utilisation de l'outil en ligne de commande PDFtk alias le PDF Toolkit.

Avec la dématérialisation, les fichiers PDF sont de plus en plus nombreux sur nos machines. Dans certains cas, il peut être intéressant de fusionner certains documents PDF en un seul fichier, pour mieux les trier ou tout simplement pour envoyer tout en une seule pièce jointe dans un message électronique. Sachez qu’il existe un moyen très simple de fusionner plusieurs PDF sous Linux en utilisant l’application « PDFtk ».

PDFtk est un outil en ligne de commande très utile pour manipuler des fichiers PDF sous Linux. Il vous permet d’effectuer diverses opérations sur les fichiers PDF, telles que la fusion, la division, la rotation, l’extraction de pages, la modification des métadonnées et bien plus encore. Lorsque l'on parle de fusion de PDF, on parle aussi de "concaténation de PDF" ou du fait de "combiner des PDF".

Nous allons voir dans ce tutoriel son installation et son utilisation au travers différents exemples pour fusionner deux fichiers PDF.

• Comment fusionner des PDF sous Windows ?

Version originale de l'article : 21 mars 2013.

II. Installation du paquet PDFtk

Après avoir vérifié avoir accès à internet sur votre machine, mettez à jour la liste des paquets et installez le paquet « pdftk » comme ceci :

sudo apt-get update
sudo apt-get install pdftk

L'installation de PDFTK est relativement rapide, bien que dépendante de la vitesse de votre connexion Internet.

III. Fusionner des PDF avec PDFtk

Maintenant, nous pouvons manipuler nos PDF puisque l’installation est terminée. Pour ma part, je vais fusionner 2 PDF nommés « PDF1.pdf » et « PDF2.pdf ». Chaque PDF contient 3 pages. La procédure est la même peu importe le nombre de pages.

Nous verrons plusieurs exemples afin que vous puissiez utiliser plus aisément cette fonctionnalité de pdftk après avoir terminé la lecture ce tutoriel. De manière générale, la syntaxe d’une commande de pdftk est la suivante :

pdftk <fichiers_sources> <opérande> output <fichier_destination>

L’opérande correspond à l’action qu’on souhaite effectuer, dans le cas d’une fusion de PDF l’opérande est « cat ». L’ordre des fichiers sources est important puisque pdftk prendra les fichiers dans l’ordre que vous les indiquez.

A. Fusionner deux fichiers PDF en un seul

Afin de fusionner deux fichiers PDF en un seul fichier PDF nommé « PDF1-2.pdf », la commande sera la suivante :

pdftk PDF1.pdf PDF2.pdf cat output PDF1-2.pdf

Le contenu du fichier "PDF1.pdf" sera ajouté en premier, et celui du fichier "PDF2.pdf" viendra à la suite. J'insiste sur le fait que l'ordre est important.

Note : Placez-vous dans le répertoire où sont stockés les PDF auparavant ou indiquez le chemin complet vers chaque fichier dans la commande.

B. Fusionner tous les PDF d’un répertoire en un seul

Pour fusionner tous les PDF situés dans le répertoire « /home/flo/pdf » vers un fichier « PDF-ALL-FLO.pdf » on utilisera ceci :

pdftk /home/flo/pdf/*.pdf cat output PDF-ALL-FLO.pdf

C. Fusionner la page 1 d’un PDF avec la page 3 d’un autre PDF

Nous allons voir un exemple un peu plus compliqué dans le sens où nous n'allons pas fusionner deux fichiers PDF complets. En effet, nous allons combiner uniquement la page 1 du "PDF1.pdf" et la page 3 du "PDF2.pdf" vers un fichier nommé « PDF-11-23.pdf ».

Pour cela, nous allons utiliser la méthode des alias où une lettre correspondra en fait à un nom de fichier PDF, par exemple : A=PDF1.pdf et B=PDF2.pdf. Un alias ne peut être constitué que d’une seule lettre. Ensuite, après l’opérande « cat » nous allons préciser les pages que nous souhaitons fusionner de cette façon :

<nom_alias><numero_page>

Ce qui donnera pour la page 1 du PDF1.pdf dont l’alias est « A » :

A1

La commande à saisir pour la fusion sera donc la suivante :

pdftk A=PDF1.pdf B=PDF2.pdf cat A1 B3 output PDF-11-23.pdf

Nous obtenons bien le résultat attendu :

Si l’on aurait souhaité fusionner les pages 2 et 3 du PDF2.pdf (alias B), on peut indiquer une plage de pages comme ceci :

B2-3

D. Protéger par un mot de passe le fichier PDF fusionné

Nous allons fusionner les fichiers PDF "PDF1.pdf" et "PDF2.pdf" en protégeant par un mot de passe le fichier de sortie. Pour cela, nous ajoutons l'option "user_pw" à la fin de la commande. Le fait d'indiquer "PROMPT" évite de préciser le mot de passe en clair dans la commande : il sera demandé de le saisir de façon interactive.

pdftk PDF1.pdf PDF2.pdf cat output PDF1-2Pwd.pdf user_pw PROMPT

Voici un exemple :

IV. Conclusion

Ce tutoriel touche à sa fin ! Nous venons d'apprendre à fusionner des PDF sous Linux à l'aide de l'application PDFtk. Elle propose d'autres fonctionnalités pour manipuler les fichiers PDF, notamment pour extraire les métadonnées, effectuer des rotations de pages, etc.

Si vous disposez d'une machine Linux avec une interface graphique, vous pouvez également utiliser l'outil PDFSam Basic. Il est disponible sous la forme d'un paquet ".deb" et d'une archive portable.

• Documentation officielle - PDFtk

The post Linux : comment fusionner des fichiers PDF avec PDFtk ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment fusionner des fichiers PDF sous Windows. La fusion de fichiers PDF est utile lorsque vous souhaitez combiner plusieurs documents au format PDF en un seul fichier.

Nous allons évoquer les différentes solutions à notre disposition avant de passer à l'utilisation des applications PDFSam Basic et PDF24.

• Comment résumer un PDF grâce à l'IA avec UPDF ?

II. Quel logiciel utiliser pour fusionner des PDF ?

Sur Windows, il existe de nombreuses applications capables de lire, modifier et manipuler des documents PDF. Le problème, c'est que la grande majorité de ces applications réservent leurs fonctions clés pour les versions payantes. Fort heureusement, il y a quelques exceptions.

Voici quelques exemples de solutions offertes :

• Adobe Acrobat Reader DC : la version gratuite de cette application ne permet pas de fusionner ou combiner des fichiers PDF. L'option est bien présente, mais lorsque nous cliquons dessus, nous sommes invités à passer sur la version "Pro".
• Microsoft Word : l'intégration de fichiers PDF dans un document Word en tant qu'objet PDF est une possibilité, mais ceci a tendance à altérer la mise en page des documents.
• PDFSam Basic : la version gratuite intègre plusieurs outils pour manipuler les fichiers PDF, dont la possibilité de combiner plusieurs fichiers.
• PDF24 : la boite à outils PDF24 est gratuite et elle intègre beaucoup de fonctions pour modifier et manipuler les documents PDF, y compris une fonction pour combiner des fichiers.

Nous allons voir comment fusionner des documents PDF avec PDFSam Basic et PDF24, deux solutions gratuites pour les utilisateurs de Windows. Que vous soyez sur Windows 10 ou Windows 11, ces applications fonctionneront de la même façon.

Avant de commencer : par précaution, veillez à toujours sauvegarder vos fichiers PDF avant de les modifier, combiner, diviser, etc.

III. Fusionner des PDF avec PDFSam Basic

PDFSam Basic est une boite à outils gratuite et open source pour manipuler des PDF sur Windows. Simple d'utilisation grâce à son interface épurée, PDFSam Basic vous permettra de fusionner des PDF en quelques clics. Personnellement, c'est une application que j'apprécie et que j'utilise depuis des années.

La première étape consiste à le télécharger et à l'installer. La version "Basic" est totalement gratuite, contrairement aux autres versions. Voici un lien pour accéder à la page de téléchargement :

• Télécharger PDFSam Basic

Au moment de l'installation, pensez à décocher l'option "Installez PDFSam Enhanced...." pour installer la version Basic.

Lancez l'application une fois qu'elle est installée. Un ensemble d'outils sont à votre disposition pour fusionner, découper, extraire, etc... pour jouer avec des documents PDF. Ici, nous allons nous intéresser aux outils de fusion, et plus particulièrement l'outil nommé "Fusion". Il va permettre de prendre X documents PDF et de les regrouper en un seul fichier.

La première étape consiste à sélectionner les fichiers PDF à fusionner. L'idée étant de les lister dans l'ordre où ils doivent être fusionnés. Pour gérer l'ordre, il suffit de cliquer sur un fichier puis de cliquer sur les boutons "Monter" et "Descendre".

Certaines options supplémentaires sont disponibles, notamment pour ajouter un pied de page, normaliser les pages (selon une largeur fixe, par exemple), pour générer une table des matières, ou encore pour indiquer s'il faut conserver les signets ou non.

La dernière étape consiste à indiquer le nom et l'emplacement du fichier de sortie, c'est-à-dire du PDF fusionné. Il est également possible de compresser le fichier créé et de choisir la version de PDF. Ensuite, il ne reste plus qu'à cliquer sur "Exécuter".

Voici le document PDF obtenu en sortie :

Il contient bien les deux documents PDF que je souhaitais fusionner ! Le fichier de sortie pèse 58 Ko.

IV. Fusionner des PDF avec PDF24

PDFSam Basic n'est pas la seule application gratuite pour fusionner des PDF sous Windows. Nous pouvons utiliser l'application PDF24 que nous pouvons installer sur Windows afin de bénéficier de toute la suite d'outils PDF24. Ceci évite d'utiliser la version en ligne et donc d'envoyer les fichiers sur les serveurs de PDF24. Grâce à l'application, le traitement est effectué en local.

Commencez par télécharger et installer PDF24 pour Windows :

• Télécharger PDF24

Lancez l'application "PDF24 Toolbox" une fois l'installation terminée. Dans la liste des outils, cliquez sur "Fusionner PDF". Comme vous pouvez le voir, il y a beaucoup d'autres outils disponibles.

Ensuite, ajoutez les fichiers PDF que vous souhaitez fusionner. Là encore, l'ordre est important, car les fichiers seront fusionnés "de la gauche vers la droite". Avec un glisser-déposer, vous pouvez changer l'ordre. Un affichage en mode liste est également proposé. En comparaison de PDFSam Basic, il y a moins d'options proposées pour la fusion de PDF : nous pouvons seulement ajouter la création de marque-pages.

Quand vous êtes prêt, cliquez sur le bouton "Créer un PDF".

Un fichier PDF correspondant aux documents PDF fusionnés a été généré. Il est possible de l'enregistrer et même de l'envoyer directement par e-mail.

Nous obtenons bien le résultat attendu. Le fichier de sortie pèse 66 Ko.

V. Conclusion

Vous connaissez maintenant plusieurs options pour fusionner des fichiers PDF sous Windows ! Choisissez celle qui vous convient le mieux entre PDFSam Basic et PDF24. Il est à noter que les fichiers sources ne sont pas supprimés par ces applications. Néanmoins, attention, si le fichier de sortie porte le nom d'un fichier source et qu'il est généré au même endroit, il l'écrasera.

The post Comment fusionner des PDF sous Windows ? first appeared on IT-Connect.

Au sein de Windows 11 24H2, Microsoft va faire du ménage puisque deux applications seront définitivement supprimées : WordPad et Cortana. Faisons le point.

Alors que Windows 11 24H2 commence à pointer le bout de son nez par l'intermédiaire d'une préversion disponible pour les membres du programme Windows Insiders, nous apprenons que Microsoft a prévu de supprimer deux applications : WordPad et Cortana.

• La préversion de Windows 11 24H2 est disponible !

Ce n'est pas une réellement une surprise, car Microsoft a déjà fait part de son intention de supprimer WordPad, un logiciel de traitement de texte historique présent dans Windows depuis 1995. Il s'agit d'une application basique pouvant être utilisée pour créer des documents, mais aussi pour ouvrir les fichiers .rtf, .docx, .odt et .txt, ce qui en fait aussi une liseuse pour les documents Microsoft Word.

Il en va de même pour Cortana, l'assistant vocal de Microsoft qui n'est jamais parvenu à s'imposer et qui se doit de laisser sa place à Microsoft Copilot. L'application Tips, intégrée à Windows et permettant d'obtenir des conseils, sera aussi supprimée.

Jusqu'ici, nous ne savions pas quand ces applications seront supprimées de Windows 11, mais maintenant, c'est plus clair. En effet, Microsoft a donné des précisions par l'intermédiaire de l'équipe du programme Windows Insider : "Veuillez noter que Cortana, Tips et WordPad sont supprimés après la mise à niveau vers Windows 11, version 24H2. Ces applications sont obsolètes."

Il y a quelques jours, la firme de Redmond a également fait part de son intention de supprimer Visual Basic Script (VBScript) de Windows 11. Néanmoins, Microsoft a conscience que ce changement est impactant pour de nombreuses organisations : ce sera effectué par étape, et sur plusieurs années. Dès Windows 11 24H2, il sera possible de supprimer VBScript en quelques scripts, car ce sera une fonctionnalité facultative (à la demande) de Windows.

Que pensez-vous de ces changements ?

Source

The post Les applications WordPad et Cortana seront supprimées dans Windows 11 24H2 first appeared on IT-Connect.

Un nouveau ransomware baptisé ShrinkLocker présente la particularité de s'appuyer sur BitLocker, un composant intégré par défaut à Windows, pour chiffrer les données d'un ordinateur. Faisons le point sur cette menace.

Le ransomware ShrinkLocker s'appuie sur BitLocker pour chiffrer les données et les disques des machines Windows compromises, après avoir effectué des modifications sur le disque afin de créer son propre volume d'amorçage. Il a été utilisé pour cibler des organisations dans le secteur du médical, des industries ainsi qu'une entité gouvernementale.

Les chercheurs en sécurité de Kaspersky ont mis en ligne un rapport détaillé au sujet du ransomware ShrinkLocker, que vous pouvez retrouver sur cette page.

• Comment configurer BitLocker sur Windows 11 ?
• Comment configurer BitLocker avec Intune ?

ShrinkLocker s'appuie sur VBScript, WMI et diskpart

Il est intéressant de noter que ShrinkLocker est écrit en VBScript (Visual Basic Scripting), un langage qui est en fin de vie et que Microsoft va supprimer de Windows d'ici quelques années. Mais, en attendant, VBScript est parfaitement utilisable sur Windows, même s'il devrait pouvoir être désinstallé facilement à partir de Windows 11 24H2.

• VBScript sera supprimé de Windows : voici la feuille de route de Microsoft

Par ailleurs, pour détecter la version de Windows exécutée sur la machine ciblée, le ransomware ShrinkLocker s'appuie WMI afin de solliciter la classe "Win32_OperatingSystem", bien connue des administrateurs systèmes. Ceci permet au ransomware d'effectuer quelques vérifications, notamment de s'assurer que le domaine de la machine correspond bien à la cible et que l'OS est plus récent que Windows Vista.

Si la cible répond à différents critères, l'attaque se poursuit grâce à l'utilisation de l'outil diskpart intégré à Windows. Il est utilisé pour réduire de 100 Mo toutes les partitions qui ne sont pas des partitions de démarrage. L'espace non alloué est utilisé pour créer de nouveaux volumes primaires sur le disque de la machine.

Enfin, le Registre Windows est modifié pour configurer le système afin de désactiver les connexions Bureau à distance et pour activer BitLocker sans utiliser de puce TPM. Les clés de Registre "EnableBDEWithNoTPM" et "fDenyTSConnections" sont évoquées.

Une machine piégée avec BitLocker

Le ransomware ShrinkLocker fait en sorte d'activer et de configurer BitLocker de façon à ce que la victime ne puisse plus lancer sa machine. Nous pourrions presque dire que la machine a été sabotée par l'intermédiaire de BitLocker.

La clé BitLocker générée est transmise aux cybercriminels, tandis qu'à la fin de l'opération, ShrinkLocker force le système à s'éteindre pour appliquer toutes les modifications. Ainsi, l'utilisateur se retrouve avec une machine avec des disques verrouillés et sans aucune option de récupération BitLocker...

"Après avoir supprimé les protecteurs BitLocker et configuré le chiffrement du disque, le script suit les étapes suivantes pour effacer ses traces.", précise Kaspersky. En effet, le ransomware effectue différentes actions de nettoyage sur la machine, telle que la suppression du journal "Microsoft-Windows-PowerShell/Operational".

Il pourrait s'agir d'attaques dont l'objectif est de détruire les données puisque le ransomware ne laisse aucune note de rançon. La seule information fournie est une adresse e-mail indiquée en tant que label sur la nouvelle partition créée par le logiciel malveillant.

Source

The post Le ransomware ShrinkLocker utilise BitLocker pour chiffrer les machines Windows first appeared on IT-Connect.

Les mises à jour de sécurité s'enchaînent pour Google Chrome : une nouvelle version a été publiée pour corriger une faille de sécurité zero-day. C'est la 8ème faille zero-day corrigée dans Google Chrome depuis le début de l'année 2024. Faisons le point.

Rien qu'au mois de mai 2024, Google a corrigé 4 failles de sécurité zero-day dans son navigateur Google Chrome. Nous avions évoqué certaines de ces vulnérabilités dans nos précédents articles :

• CVE-2024-4947 – Une troisième faille zero-day corrigée dans Google Chrome en une semaine !
• CVE-2024-4671 – La cinquième faille zero-day de 2024 corrigée dans Google Chrome !

Évoquons celle que Google vient de corriger par l'intermédiaire de nouvelles mises à jour.

Associée à la référence CVE-2024-5274, cette vulnérabilité signalée à Google par Clément Lecigne et Brendon Tiszka est présente dans le moteur JavaScript V8 de Google Chrome. Il est très fréquent que des failles de sécurité soient découvertes dans ce composant du navigateur de Google. Cette fois-ci, il s'agit d'une faiblesse de type "type confusion".

Dans le bulletin de sécurité de Google, voici ce que l'on peut lire au sujet de cette vulnérabilité déjà connue publiquement : "Google sait qu'il existe un programme d'exploitation pour CVE-2024-5274 dans la nature." - Comme à chaque fois, et dans le but de protéger ses utilisateurs, Google n'a pas donné de détails techniques supplémentaires.

Comment se protéger de la CVE-2024-5274 ?

Les utilisateurs de Google Chrome sur Windows, macOS et Linux sont affectés par cette vulnérabilité importante. Google a publié la version 125.0.6422.112 pour Linux et les versions 125.0.6422.112/.113 pour Mac et Windows. Cette mise à jour ne corrige pas d'autres vulnérabilités.

Pour effectuer la mise à jour du navigateur Google Chrome sur votre machine : rendez-vous dans le menu avec les trois points verticaux, puis sous "Aide", cliquez sur "À propos de Google Chrome". Le navigateur effectuera une recherche de mise à jour automatiquement.

À vos mises à jour !

The post CVE-2024-5274 – La 8ème faille zero-day de 2024 corrigée dans Google Chrome first appeared on IT-Connect.

GitLab a corrigé une faille de sécurité importante dans l'éditeur de code Web IDE présent dans GitLab Community Edition (CE) et Enterprise Edition (EE). Faisons le point sur cette menace.

La faille de sécurité 1-click "CVE-2024-4835" corrigée par les développeurs de GitLab pourrait permettre à un attaquant de voler des informations sensibles, et donc, de prendre le contrôle du compte d'un utilisateur.

"Prise de contrôle d'un compte en un clic via XSS en utilisant l'éditeur de code VS (Web IDE)", c'est ainsi qu'est décrite cette vulnérabilité sur le site de GitLab.

Pour atteindre son objectif et tirer profit de cette faiblesse de type XSS, l'attaquant doit attirer l'utilisateur pris pour cible vers une page malveillante. "En tirant parti de cette vulnérabilité, un attaquant peut créer une page malveillante pour exfiltrer des informations sensibles de l'utilisateur.", peut-on lire dans le bulletin de sécurité de GitLab.

La compromission d'un compte GitLab peut s'avérer très intéressant pour les attaquants afin d'accéder à du code source, voler des informations sensibles (secrets, clés d'API, etc.), et même, mettre en œuvre une attaque de la chaine d'approvisionnement (supply chain attack).

La CVE-2024-4835 n'est pas la seule vulnérabilité corrigée par GitLab dans les nouvelles versions de ses applications. Au total, ce sont pas moins de 7 failles de sécurité qui ont été corrigées, mais celle évoquée dans cet article est la plus dangereuse.

Comment se protéger ?

Pour vous protéger de ces vulnérabilités, vous devez installer l'une des versions publiées par GitLab, à savoir les versions 17.0.1, 16.11.3 et 16.10.6 de GitLab Community Edition (CE) et GitLab Enterprise Edition (EE). Autrement dit, les versions 15.11 avant 16.10.6, 16.11 avant 16.11.3, et 17.0 avant 17.0.1 sont affectées.

"Ces versions contiennent d'importantes corrections de bogues et de sécurité, et nous recommandons fortement que toutes les installations de GitLab soient mises à jour vers l'une de ces versions immédiatement. GitLab.com utilise déjà la version corrigée.", peut-on lire sur le site officiel.

En début d'année 2024, la faille de sécurité critique CVE-2023-7028 a également été corrigée dans GitLab.

Source

The post Cette faille de sécurité dans GitLab permet aux pirates de prendre le contrôle des comptes utilisateurs first appeared on IT-Connect.

Microsoft a publié une nouvelle mise à jour hors bande à destination des utilisateurs de Windows Server 2019 pour permettre l'installation de la mise à jour de mai 2024 (KB5037765) sans erreur. Faisons le point.

Il y a une semaine, nous avions publié un article au sujet de cette erreur 0x800f0982 rencontrée par les utilisateurs de Windows Server 2019. Voici le lien :

• KB5037765 - Sur Windows Server 2019, la mise à jour de mai 2024 ne s'installe pas : erreur 0x800f0982 !

L'installation de la mise à jour de mai 2024 sur Windows Server 2019 ne se déroule pas comme prévu, car elle génère une erreur et refuse de s'installer. Suite à de nombreux signalements, Microsoft a rapidement reconnu l'existence de ce problème, comme le montre ce message publié sur son site : "L'installation peut échouer avec un code d'erreur 0x800f0982. Ce problème est plus susceptible d'affecter les appareils qui n'ont pas le pack linguistique anglais (États-Unis)." - Ceci affecte effectivement les installations de Windows Server en français, en allemand et en espagnol, et peut-être même en d'autres langues.

Pour corriger ce problème et vous débarrasser de l'erreur 0x800f0982, Microsoft vous propose d'installer une mise à jour hors bande sur votre serveur : la KB5039705 publiée le jeudi 23 mai 2024.

Voici les indications de la firme de Redmond au sujet de cette mise à jour : "Cette mise à jour résout un problème connu lié au pack linguistique anglais (États-Unis). Si votre appareil ne l'a pas, l'installation de KB5037765 peut échouer. Le code d'erreur est 0x800f0982. Mais ce problème peut affecter les appareils qui disposent de ce pack linguistique."

L'installation de la mise à jour KB5039705

Vous devez installer la mise à jour KB5039705 et redémarrer votre serveur. La mise à jour KB5037765 ne sera plus proposée, car elle est remplacée par la nouvelle mise à jour.

Microsoft a mis à disposition cette mise à jour dans le Catalogue Microsoft Update, ainsi que pour WSUS, et directement dans Windows Update. Autrement dit, elle devrait être proposée sur les serveurs Windows Server 2019 via une recherche de mise à jour.

Si vous testez ce correctif, n'hésitez pas à nous faire un retour en commentaire.

Source

The post Windows Server 2019 : une mise à jour hors bande pour corriger l’erreur de la mise à jour de mai 2024 first appeared on IT-Connect.

Microsoft a mis en ligne une nouvelle version de sa suite d'outils PowerToys : 0.81.0. Elle apporte un nouvel outil baptisé "Advanced Paste" qui révolutionne l'utilisation du copier-coller sur Windows. Voici pourquoi.

• Améliorer la productivité des utilisateurs avec les PowerToys

L'outil Advanced Paste vient s'ajouter à la longue liste d'outils présents dans la suite PowerToys et disponible gratuitement pour tous les utilisateurs de Windows 11 et Windows 10. Il ajoute des fonctionnalités avancées au presse-papiers de Windows afin de le faire rentrer dans une autre dimension, grâce à l'IA. Encore et toujours des nouveautés basées sur l'IA, me direz-vous.

Qu'est-ce qui change avec Advanced Paste, que l'on peut traduire par le "Collage avancé" ? Et bien, cet outil est capable de convertir le contenu du presse-papiers dans un nouveau format, selon vos besoins. "PowerToys Advanced Paste est un outil amélioré par l’IA qui vous permet de coller intelligemment le texte de votre presse-papiers dans n’importe quel format souhaité.", peut-on lire dans la documentation de Microsoft.

Le menu contextuel intègre trois intéressantes : coller en tant que texte brut, coller en tant que JSON et coller en tant que Markdown. Appréciable pour formater automatiquement le texte copié dans le presse-papiers.

Au-delà de cette capacité de conversion, cet outil peut être utilisé pour résumer ou traduire le texte présent dans le presse-papiers. De plus, il est capable de réécrire le contenu en l'adaptant dans un autre style d'écriture, par exemple. Malheureusement, ces fonctionnalités avancées basées sur prompt pour solliciter l'IA sont payantes : vous devez disposer d'un abonnement pour indiquer vos clés d'API de chez OpenAI (ChatGPT) dans les paramètres de PowerToys (ceci va consommer vos jetons). D'ailleurs, c'est surprenant que ce ne soit pas plutôt associé à un abonnement Microsoft Copilot.

Si une clé d'API est utilisée alors qu'il n'y a pas d'abonnement, une erreur est retournée :

Pour télécharger les PowerToys, rendez-vous sur le Microsoft Store ou passez par le GitHub officiel :

• GitHub - PowerToys

The post Les PowerToys révolutionnent le copier-coller sous Windows avec l’outil Advanced Paste first appeared on IT-Connect.

Ce jeudi 23 mai 2024, Bing a été en panne pendant plusieurs heures. Un incident qui a eu également un impact sur d'autres services, dont d'autres moteurs de recherche ! Faisons le point sur cette panne !

Jeudi 23 mai 2024, aux alentours de 09:00, heure française, une panne a été largement détectée et signalée sur Bing.com, le moteur de recherche de Microsoft. La panne semble avoir affecté majoritairement les utilisateurs d'Asie et d'Europe. Il suffit de se rendre sur le site DownDetector pour constater qu'il y a eu des signalements de dysfonctionnement pour Bing, tout au long de la journée :

Cette panne a impacté le moteur de recherche Bing, ainsi que les services qui lui sont liés, et il y en a beaucoup. Du côté de Microsoft, nous pouvons citer l'IA Copilot que ce soit en mode Web ou sur mobile, et même à partir de Windows 10 ou Windows 11 directement.

Cette panne a également eu un impact sur le bon fonctionnement de ChatGPT, le chatbot d'OpenAI. En effet, ChatGPT s'appuie sur Bing pour effectuer les recherches sur Internet. La page de statut d'OpenAI indique : "De 07:10 à 15:50 (heure française), nous avons connu une panne partielle affectant les capacités de navigation web de ChatGPT en raison de l'indisponibilité de Bing. Le problème est maintenant résolu et tous les services fonctionnent normalement."

Une panne impactante pour DuckDuckGo, Qwant et Ecosia

Cette panne du moteur de recherche de Microsoft a également un impact sur... d'autres moteurs de recherche ! En effet, DuckDuckGo, Qwant et Ecosia sont dépendants de Bing, et donc finalement, ne sont pas si indépendants que cela.

Pour fonctionner, ces moteurs de recherche s'appuient sur une API donnant accès aux algorithmes de Bing. Certes, ce sont des alternatives à Google, mais elles s'appuient sur les technologies de Microsoft. Un bel effet domino dans le cas d'une panne.

Microsoft s'est exprimé sur cette panne.

We're investigating an issue where users may be unable to access the Microsoft Copilot service. We're working to isolate the cause of the issue. More information can be found in the admin center under CP795190.

— Microsoft 365 Status (@MSFT365Status) May 23, 2024

À 18:00, ce jeudi 23 mai, des perturbations étaient toujours visibles par certains utilisateurs : "Nous élargissons nos efforts d'atténuation à la suite de signes de rétablissement partiel pour http://copilot.microsoft.com et d'autres fonctionnalités. Nous suivons de près l'évolution de la situation afin de déterminer si d'autres actions sont nécessaires pour résoudre le problème. Plus de détails peuvent être trouvés dans le centre d'administration sous CP795190.", peut-on lire sur le compte X de Microsoft 365 Status.

Source

The post Une panne mondiale de Bing impacte Copilot, ChatGPT, DuckDuckGo mais aussi Qwant ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment calculer le hash d'un fichier avec PowerShell ! Depuis PowerShell 4.0, le cmdlet nommé "Get-FileHash" est présent et il permet de calculer le hash d'un ou de plusieurs fichiers selon plusieurs algorithmes.

PowerShell 4.0 est disponible nativement depuis Windows 8.1 et Windows Server 2012 R2, ce qui en fait une version très largement répandue aujourd'hui.

Le hash d'un fichier est souvent utilisé pour vérifier l'intégrité du fichier. Les algorithmes de hachage couramment utilisés comprennent MD5, SHA-1, SHA-256, etc. Chacun de ces algorithmes produit un hash de longueur différente.

Par exemple, si vous téléchargez un fichier à partir d'Internet, vous pouvez comparer le hash du fichier téléchargé avec le hash fourni par le site web pour vous assurer que le fichier n'a pas été altéré pendant le téléchargement. Si les deux valeurs sont égales, vous pouvez affirmer que le fichier est authentique (vis-à-vis de la version d'origine). Ceci peut s'avérer utile aussi pour de l'échange de données.

Vous pouvez calculer le hash des différents types de fichiers : images ISO, packages d'installation d'applications (EXE, MSI, etc.), et tout autre fichier selon vos besoins.

• Cours - Débuter avec le langage PowerShell

Version originale de l'article : 11 décembre 2013.

II. Utilisation de Get-FileHash

Intéressons-nous au cmdlet évoqué en introduction de cet article.

Voici la syntaxe à utiliser :

Get-FileHash -Algorithm <Nom-algorithme> -Path <Chemin-vers-fichier>

Concernant les algorithmes, voici ceux disponibles avec Windows PowerShell 5.1 :

• MAC Triple DES
• MD5
• RIPEMD160
• SHA1
• SHA256
• SHA384
• SHA512

Attention, avec PowerShell 7, le nombre d'algorithmes pris en charge est différent et plus limité : MD5, SHA1, SHA256, SHA384 et SHA512. Dans les deux cas, SHA256 est la valeur par défaut du paramètre "-Algorithm".

Ouvrez une console pour essayer la commande. Par exemple, pour calculer le hash SHA1 du fichier "it-connect.txt" situé dans "C:\files\" :

Get-FileHash -Algorithm SHA1 -Path "C:\files\it-connect.txt"

Cela donnera un résultat de ce type où l'on voit le hash :

Que faire de cette information ? La valeur du hash retournée ici peut être comparée avec la valeur de hash fournie sur le site depuis lequel vous avez téléchargé le fichier. Sinon, vous pouvez aussi calculer le hash et au moment de transmettre le fichier à quelqu'un, vous lui fournissez aussi le hash. Ceci lui permettra de vérifier l'authenticité du fichier reçu.

Vous pouvez aussi calculer le hash d'un ensemble de fichiers. Voici un exemple :

Get-FileHash -Algorithm SHA256 -Path *.* | Format-List Path,Hash

Ci-dessous, le résultat en image. Le résultat est identique à chaque fois, car il s'agit d'un même fichier dupliqué : d'ailleurs le hash identique permet de l'affirmer.

III. Conclusion

Vous êtes désormais en mesure de calculer un hash facilement sous Windows, avec une commande simplissime mais à connaître : Get-FileHash.

• Microsoft Learn - Get-FileHash

The post PowerShell : comment calculer le hash d’un fichier ? first appeared on IT-Connect.

Windows 11 24H2 se rapproche à grands pas : Microsoft a mis en ligne une préversion accessible aux membres de son programme Windows Insider. Voici ce qu'il faut savoir !

C'est l'heure des derniers préparatifs et des derniers tests pour Windows 11 24H2, la future version majeure de Windows 11 prévue pour le second semestre 2024. "Aujourd'hui, nous mettons la mise à jour annuelle des fonctionnalités de Windows 11, version 24H2 (Build 26100.712), à la disposition des clients dans le canal de prévisualisation des versions afin qu'ils puissent la tester avant qu'elle ne soit disponible plus tard dans l'année.", précise Microsoft.

Microsoft a prévu des nouveautés importantes pour Windows 11 24H2, ce qui devrait en faire une mise à jour significative, à la différence de Windows 11 23H2 qui ne contenait pas de grands changements.

Voici quelques-unes des nouveautés prévues pour Windows 11 24H2 :

• Prise en charge du HDR pour les fonds d'écran Windows
• Intégration de Rust au noyau Windows
• Prise en charge du Wi-Fi 7
• Intégration de Sudo for Windows
• Intégration d'un nouveau mode Économiseur d'énergie
• Création d'archives 7-Zip et TAR nativement

Microsoft continuera à donner des informations sur les nouveautés dans un futur proche. Nul doute qu'il y aura également des nouveautés liées à l'intelligence artificielle et notamment Copilot. D'ailleurs, en début de semaine, Microsoft a dévoilé son programme "PC Copilot+" ainsi que la fonctionnalité Recall pour Windows 11, qui sera l'une des nouveautés à venir.

Pour tester Windows 11 24H2 dès à présent, vous devez rejoindre le programme Windows Insider à partir de votre compte Microsoft. Vous devez sélectionner le canal "Release Preview" pour accéder à "Windows 11, version 24H2 (Build 26100.712)" et pouvoir tester la troisième version majeure de Windows 11.

"Les clients commerciaux inscrits au programme Windows Insider for Business peuvent commencer à valider Windows 11, version 24H2 sur les PC de leur entreprise.", précise Microsoft.

Voici deux liens utiles :

• Accéder au programme Windows Insider
• Annonce officielle sur la préversion de Windows 11 24H2

Qu'en pensez-vous ?

The post La préversion de Windows 11 24H2 est disponible ! first appeared on IT-Connect.