FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
☐ ☆ ✇ IT-Connect

KB5020683 : Microsoft veut que les utilisateurs de Windows 10 passent à Windows 11 !

Par : Florian Burnel

Microsoft a déployé une nouvelle mise à jour hors bande à destination des utilisateurs de Windows 10 pour les inviter à passer sur Windows 11, grâce à l'assistant Out of Box Experience.

Lors de la première mise en route d'un ordinateur sous Windows ou de l'installation du système d'exploitation, l'assistant Out of Box Experience (OOBE) s'affiche à l'écran dans le but de permettre la personnalisation du système. Pour rappel, pendant le processus Out of Box Experience (OOBE) initial, Windows propose aux utilisateurs de choisir la disposition du clavier, de définir un compte, de configurer le réseau, les options de confidentialité, etc... Et cela s'applique aux différentes versions de Windows, que ce soit du Windows 10 ou du Windows 11.

Sauf qu'il va y avoir du nouveau pour les utilisateurs de Windows 10 ! Désormais, Microsoft veut aller plus loin afin de vous proposer de passer à Windows 11 en affichant cet assistant grâce à une mise à jour de l'OOBE.

Pour que cette mise à niveau soit proposée, il faut que votre ordinateur soit compatible avec Windows 11 et que vous exécutiez l'une des versions suivantes de Windows 10 (Famille ou Professionnel) : 2004, 20H2, 21H1, 21H2 ou la dernière version 22H2. Il faut aussi installer une mise à jour (KB) spécifique. Microsoft le précise clairement sur son site : "Le 30 novembre 2022, une mise à jour hors bande a été publiée pour améliorer l’expérience Out Of Box (OOBE) de Windows 10, version 2004, 20H2, 21H1, 21H2 et 22H2. Il offre aux appareils éligibles la possibilité de passer à Windows 11 dans le cadre du processus OOBE. Cette mise à jour sera disponible uniquement lorsqu’une mise à jour OOBE est installée."

Ici, Microsoft fait référence à la mise à jour hors bande KB5020683 et cela signifie que cette proposition de passer à Windows 11 s'affichera sur l'écran des utilisateurs à partir du moment où la mise à jour est installée ! Autrement dit, cela ne s'affichera pas uniquement lors d'une installation ou réinstallation, mais bien suite à l'installation de cette mise à jour.

La firme de Redmond essaie différentes techniques pour inciter les utilisateurs à passer sur Windows 11 ! Toutefois, Windows 10 ne sera plus supporté à partir du 14 octobre 2025, ce qui laisse encore un peu moins de trois ans pour en profiter en toute sécurité.

Source

L'article KB5020683 : Microsoft veut que les utilisateurs de Windows 10 passent à Windows 11 ! est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Grâce à la CNIL, le fichier clients de Camaïeu ne sera pas vendu aux enchères

Par : Florian Burnel

Suite à la liquidation judiciaire de Camaïeu, une vente aux enchères est organisée ce mercredi. Lors de cette vente, les acquéreurs pourront acquérir des noms de domaine, le nom de l'enseigne, etc... Ainsi que le fichier des clients actifs avec 3,8 millions d'entrées. Enfin, ça, c'était avant l'intervention de la CNIL.

Lorsque la publicité pour cette vente aux enchères est sortie, de nombreuses personnes se sont interrogées sur le côté légal de cette vente du fait qu'elle contienne le fichier clients de Camaïeu. Sur l'annonce, c'est clairement précisé "Fichier clients (environ 3,8 millions de clients actifs) - Détail du portefeuille sur demande". Même si l'on ne sait pas exactement quelles sont les informations contenues, on peut imaginer qu'il y a le nom, le prénom, l'adresse postale et l'adresse e-mail et/ou le numéro de téléphone pour chaque client.

Annonce vente aux enchères Camaieu

Suite à cette annonce, la CNIL est intervenue indirectement, en publiant sur son site un article qui rappelle les règles pour la vente de fichiers clients. Un article qui commence par la phrase suivante : "La vente d’un fichier clients n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations précises.". En effet, ce fichier clients doit contenir uniquement les données des clients actifs et qui ne se sont pas opposés à la transmission de leurs données. Si ce consentement n'a pas été donné au moment de l'inscription, difficile de l'obtenir par la suite.

Comme le précise le site Le Monde, Patrick Deguines, le commissaire-priseur en charge de cette vente, a pris la décision de ne pas mettre en vente le fichier clients afin de ne pas prendre de risques : "Compte tenu des contraintes liées au respect de la législation RGPD, en accord avec les organes de la procédure judiciaire, nous avons été contraints de renoncer à la mise aux enchères de ce lot". C'est probablement grâce à la CNIL que cette décision a été prise et certains acquéreurs s'étaient déjà positionnés pour faire l'acquisition de ce fichier clients.

L'article Grâce à la CNIL, le fichier clients de Camaïeu ne sera pas vendu aux enchères est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Passer de Windows Server 2022 Evaluation à Standard ou Datacenter

Par : Florian Burnel

I. Présentation

Dans ce tutoriel, nous allons apprendre à passer d'une machine sous Windows Server 2022 Standard Evaluation à Windows Server 2022 Standard ou Datacenter. Autrement dit, on va activer une version d'évaluation de Windows Server de manière à ce qu'elle devienne une version activée et valide, prête pour la production.

Sur son site, Microsoft met à disposition de tout le monde des images ISO d'évaluation de Windows Server 2022, Windows Server 2019, Windows Server 2016, etc... Ce qui est très pratique pour tester le système d'exploitation pendant 180 jours. Toutefois, une fois que la version d'évaluation est expirée, le serveur s'éteint automatiquement au bout d'une heure d'exécution. Pas pratique.

Dans ce cas, et si vous détenez une licence, vous pouvez activer la version d'évaluation de manière à la convertir dans une autre édition de Windows Server.

Windows Server 2022 Evaluation vers Standard

II. Activer Windows Server 2022 Evaluation

Dans les paramètres de la machine, on voit bien l'édition actuelle : Windows Server 2022 Standard Evaluation. Pour cet exemple, j'utilise Windows Server 2022, mais cette procédure s'applique aussi aux autres versions de Windows.

Windows Server 2022 Standard Evaluation

Ouvrez une console en tant qu'administrateur et exécutez la commande ci-dessous en indiquant votre clé de licence pour l'option "/ProductKey".

Dism.exe /Online /Set-Edition:ServerStandard /ProductKey:AAAAA-BBBBB-CCCCC-DDDDD-EEEEE /AcceptEula

Dans cet exemple, on choisit de passer sur une version Standard, mais si vous souhaitez passer sur une version Datacenter, utilisez cette syntaxe :

Dism.exe /Online /Set-Edition:ServerDatacenter /ProductKey:AAAAA-BBBBB-CCCCC-DDDDD-EEEEE /AcceptEula

Parfois, la commande DISM retourne une erreur à la fin, mais ce n'est pas toujours problématique. À la fin de l'exécution de la commande, je vous recommande de redémarrer votre machine si ce n'est pas proposé directement par Dism.

DISM - Windows Server 2022 Evaluation vers Standard

Suite au redémarrage, le système est activé, et en plus, on voit dans les paramètres du système que c'est bien spécifié "Windows Server 2022 Standard". La mention "Evaluation" a disparu !

Activation Windows Server 2022 Evaluation

Pour aller jusqu'au bout de notre idée initiale, on peut vérifier avec Dism quelle est l'édition de Windows Server actuellement utilisée sur la machine locale avec cette commande :

Dism.exe /Online /Get-CurrentEdition

Celle-ci retourne :

Édition actuelle : ServerStandard

Voilà, c'est tout bon ! Désormais, votre serveur tourne sur Windows Server 2022 Standard !

L'article Passer de Windows Server 2022 Evaluation à Standard ou Datacenter est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Une faille critique dans le ping met en péril les utilisateurs de FreeBSD

Par : Florian Burnel

Une vulnérabilité critique affecte toutes les versions de FreeBSD et plus particulièrement la fonction de gestion du ping ! En exploitant cette faille de sécurité, un attaquant pourrait exécuter du code à distance.

L'équipe du projet FreeBSD a mis en ligne un nouveau bulletin de sécurité au sujet de la vulnérabilité CVE-2022-23093 qui affecte toutes les versions supportées de FreeBSD. Dernièrement, de nouvelles versions de FreeBSD sont sorties pour corriger cette vulnérabilité qui est liée directement à la gestion du ping sur le système FreeBSD.

En effet, sur un système FreeBSD, les paquets ICMP reçus sur une machine dans le cadre d'un ping sont traités par la fonction pr_pack(). Cette fonction reçoit les paquets en provenance du réseau, et reconstruit les en-têtes IP et ICMP à partir des informations reçues. Toutefois, l'équipe de FreeBSD précise : "La fonction pr_pack() copie les en-têtes IP et ICMP reçus dans une mémoire tampon pour un traitement ultérieur. Ce faisant, elle ne tient pas compte de la présence éventuelle d'options IP à la suite de l'en-tête IP dans le paquet (soit dans la réponse, soit dans le paquet d'origine). Lorsque des options IP sont présentes, la fonction pr_pack() génère un dépassement de la mémoire tampon de 40 octets."

Exploitable à distance puisqu'elle s'appuie sur des flux réseaux, cette vulnérabilité peut permettre à l'attaquant d'exécuter des commandes sur la machine distante au travers de la commande ping. Le programme ping peut également planter. Toutefois, ce qui est rassurant, c'est que la commande ping s'exécute en mode sandbox dans toutes les versions de FreeBSD donc les interactions avec le reste du système sont très limitées.

Certaines distributions basées sur FreeBSD devraient publier un correctif dans les prochains jours si ce n'est pas déjà fait ! Par exemple, le pare-feu OPNsense basé sur FreeBSD a déjà le droit à sa mise à jour de sécurité grâce à la version OPNsense 22.7.9 publiée le 1er décembre 2022.

À vos mises à jour !

Source

L'article Une faille critique dans le ping met en péril les utilisateurs de FreeBSD est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Google met à jour Chrome pour corriger une nouvelle faille zero-day (CVE-2022-4262)

Par : Florian Burnel

Google a mis en ligne une nouvelle version de son navigateur Chrome pour Windows, Mac et Linux dans le but de corriger une nouvelle faille de sécurité zero-day déjà exploitée dans le cadre d'attaques ! Il s'agit de la 9ème faille de sécurité zero-day corrigée dans Google Chrome depuis le début de l'année 2022.

Google a mis en ligne un nouveau bulletin de sécurité afin d'évoquer cette nouvelle vulnérabilité associée à la référence CVE-2022-4262 et une sévérité élevée. Ainsi, Google a mis en ligne de nouvelles versions de Chrome : la version 108.0.5359.94 pour Mac et Linux sert à corriger cette faille, tandis que sur Windows, il faut utiliser la version 108.0.5359.94 ou la version 108.0.5359.95.

La découverte de cette faille de sécurité est à mettre au crédit de Clement Lecigne de l'équipe Google Threat Analysis Group. Il s'agit d'une vulnérabilité de type "Type Confusion" qui se situe dans le moteur JavaScript V8 de Google Chrome. Les cybercriminels pourraient exploiter cette vulnérabilité pour exécuter du code arbitraire au travers du navigateur, même si généralement ce type de faille permet plutôt de faire planter le navigateur Chrome.

Dès maintenant, vous devez mettre à jour votre navigateur Chrome en ouvrant le menu, puis en cliquant sur "À propos de Google Chrome" sous "Aide". Fin novembre, Google a déjà corrigé la faille de sécurité zero-day CVE-2022-4135 au sein de son navigateur. Au même titre que les mises à jour du système d'exploitation, le suivi des mises à jour du navigateur est un vrai sujet pour les entreprises et les particuliers.

Source

L'article Google met à jour Chrome pour corriger une nouvelle faille zero-day (CVE-2022-4262) est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Le Centre Hospitalier de Versailles victime d’une attaque par ransomware !

Par : Florian Burnel

Un nouveau centre hospitalier a subi une attaque informatique ! Cette fois-ci, c'est dans les Yvelines que ça se passe puisqu'il s'agit de l'hôpital André-Mignot du centre hospitalier de Versailles ! Faisons le point sur la situation.

Ce samedi 3 décembre 2022, à 21 heures, l'hôpital André-Mignot a subi une cyberattaque déjà revendiquée par le groupe LockBit 3.0 ! Cette attaque n'est pas sans rappeler celle qui a ciblé le Centre Hospitalier Sud Francilien de Corbeil-Essonnes en août dernier puisque ce sont les mêmes cybercriminels.

Suite à cette cyberattaque, on constate les problèmes habituels : l'hôpital doit fonctionner en mode dégradé puisque le plan blanc a été déclenché, ce qui implique que certaines opérations sont déprogrammées, tandis que le système informatique est totalement hors service pour le moment. Globalement, les employés essaient d'assurer l'accueil des patients comme ils peuvent, mais il s'agit d'un service limité.

D'après le ministre de la Santé, François Braun, qui s'est rendu sur place, l'hôpital a procédé au transfert de six patients vers d'autres hôpitaux de la région à cause de cette attaque informatique. En complément, il a précisé à la chaîne BFM TV : "Les urgences accueillent les patients, le Samu réoriente les patients vers d’autres services le temps qu’on puisse faire un diagnostic plus précis". Cette attaque a impacté les services ambulatoires et les services de court séjour, tandis que le SAMU quant à lui, n'est pas impacté par cette attaque informatique ce qui lui permet de prendre le relais sur les urgences.

Cette attaque par ransomware est associée à une demande de rançon, mais pour le moment, il n'y a pas eu de communication officielle sur le montant demandé. À voir quelles sont les informations publiées par les pirates informatiques dans les prochaines heures ou les prochains jours. On se souvient que lors de l'attaque du centre hospitalier de Corbeil-Essonnes, les pirates avaient réclamé la somme de 10 millions de dollars.

Bon courage aux équipes de l'hôpital André-Mignot

Source

L'article Le Centre Hospitalier de Versailles victime d’une attaque par ransomware ! est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Wireshark – Comment déchiffrer les flux TLS comme le HTTPS ?

Par : Yohan

I. Présentation

Aujourd’hui, nous allons apprendre à utiliser une fonctionnalité très pratique de Wireshark disponible depuis la version 3.0 : le déchiffrement des flux chiffrés HTTPS sans certificat. Cette fonctionnalité va permettre d’afficher les flux chiffrés en clair, notamment les flux :

  • Web
  • DoH : Dns Over Https
  • Quic

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

II.  Comment décrypter les flux TLS sans certificat ?

A. Explication

Avec Wireshark, il existe deux méthodes pour déchiffrer les flux :

  • Avoir le certificat en sa possession
  • Enregistrer les clés de sessions TLS

Avec le nouveau protocole de sécurité TLS 1.3 ou algorithme de chiffrement ECDHE, même en ayant le certificat nous ne pouvons pas déchiffrer les flux : cela peut poser problème pour une analyse de performances ou dans le cadre d'une analyse liée à un incident de cybersécurité.

Ce qui est d'autant plus vrai avec la mise en place du protocole de transport Quic sur Internet ! Contrairement à TCP qui fournit les informations en clair, Quic chiffre l’ensemble des en-têtes donc même pour suivre l’ordonnancement des paquets, nous sommes obligés de voir les flux en clair. Pour résoudre cette problématique, nous allons mettre en œuvre l’enregistrement de clés de sessions TLS clients et serveurs.

N.B : la fonctionnalité d’enregistrement des clés TLS fonctionne uniquement sur des captures réseau en direct.

B. Enregistrer les clés de sessions TLS

L’enregistrement des clés de sessions TLS peut s’effectuer sur Linux, Mac et Windows. Dans ce tutoriel, nous allons appliquer la procédure pour Windows, avec une machine sous Windows 11 dans mon cas (ceci fonctionne aussi sur Windows 7 et Windows 10). Si vous souhaitez l’implémenter pour Mac et Linux, vous pouvez aller sur le site de Wireshark consulter cette page.

Sur Windows, il y a deux étapes pour enregistrer les clés de sessions TLS :

  • Créer une variable environnement utilisateur
  • Créer un fichier texte pour enregistrer les clés de sessions clients et serveurs

III. Mise en place de l’enregistrement des clés de sessions TLS

A. Création d’un fichier txt pour enregistrer les clés de sessions TLS

Vous allez créer un fichier txt pour enregistrer les clés de sessions TLS.

Mon fichier s’appellera sslkeys.txt que je vais enregistrer dans mon disque DATA. A vous d'adapter selon votre environnement.

B. Modification des variables d’environnement utilisateurs

Aller dans les paramètres de Windows. Une fois la page ouverte cliquer sur « Système », « Informations système » puis « Paramètres avancés du système »

Une nouvelle fenêtre s’ouvre, cliquer suz « Variables d’environnement… ».

Nous arrivons sur les Variables d’environnement de votre ordinateur, la partie qui va nous intéresser, c'est la section des variables d’environnements utilisateur. Cliquez sur « Nouvelle… »

Donnez le nom suivant à la variable : SSLKEYLOGFILE

Indiquez l’emplacement de votre fichier en cliquant sur « Parcourir le fichier… ». Dès que vous avez terminé votre configuration, cliquez sur « OK ».

La nouvelle variable d’environnement apparaît, pour l’appliquer, cliquez sur « OK ».

C. Valider le bon fonctionnement

Pour valider l’enregistrement des clés de sessions TLS, il suffit d’aller sur internet et de regarder si le fichier txt créé précédemment se remplit. Ouvrez votre fichier txt, vous devriez voir les lignes suivantes créer.

D. Que signifient les lignes dans ce fichier ?

Dans ce fichier, les lignes utilisent des préfixes différents. Voici des informations pour vous aider à les interpréter :

  • CLIENT_HANDSHAKE_TRAFFIC_SECRET : la clé secrète de la poignée de main du client codé en hexadécimal.
  • SERVER_HANDSHAKE_TRAFFIC_SECRET : la clé secrète de la poignée de main du serveur codé en hexadécimal.
  • CLIENT_TRAFFIC_SECRET_0 : le premier code du trafic applicatif du client codé en hexadécimal.
  • SERVER_TRAFFIC_SECRET_0 : le premier code du trafic applicatif du serveur codé en hexadécimal.
  • EXPORTER_SECRET : le secret de l’exportation en hexadécimal

Voici la source qui explique l’ensemble des valeurs.

IV. Configuration de Wireshark

Maintenant que nous avons validé l’enregistrement des clés de sessions TLS, il reste à configurer Wireshark, pour voir les flux en clair.

Pour cela, lancez Wireshark et allez sur « Editer » puis « Préférences… ».

Ensuite, déroulez le menu à gauche jusqu'à trouver « protocols ».

Cherchez le protocole « TLS ».

On arrive à la page de configuration du protocole TLS. Pour lier votre fichier txt de clés sessions TLS, il suffit de renseigner la localisation de votre fichier en cliquant sur « Parcourir… » au niveau de « (Pre)-Master-Secret log filename ». Ici :

Vous devez arriver à ce résultat et ensuite cliquez sur « OK ».

V. Validation de la configuration Wireshark

Lancez une trace réseau avec Wireshark... vous devriez voir des flux http sur le port TCP ou UDP sur le port 443. Ainsi, les flux HTTPS sont visibles en clair dans Wireshark grâce à la configuration que nous venons de mettre en place ! Cela s'applique aussi aux flux transportés par le protocole QUIC.

VI. Conclusion

Cet article sur Wireshark et la fonctionnalité de déchiffrement les flux TLS est terminé ! Avec cette fonctionnalité, vous pourrez déchiffrer vos flux des applications SAAS de votre entreprise à titre d’exemple, donc vous serez en mesure de voir les requêtes et réponses applicatives.

Le prochain article sera sur l’importation de clés sessions TLS dans un fichier de capture.

L'article Wireshark – Comment déchiffrer les flux TLS comme le HTTPS ? est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Ransomware Cuba : plus de 100 entreprises compromises et 60 millions de dollars de gain !

Par : Florian Burnel

Ces chiffres sont fous : le FBI et la CISA ont révélé que le gang du ransomware Cuba est parvenu à empocher 60 millions de dollars en 2022 grâce au paiement des rançons, après avoir compromis plus de 100 entreprises à travers le monde !

En quelques mois, le groupe Ransomware Cuba est devenu l'une des principales menaces, à l'échelle mondiale. Le FBI et la CISA ont mis en ligne un nouveau bulletin d'alerte, qui évoque les dizaines d'organisations critiques et d'entreprises américaines touchées par ce ransomware. D'ailleurs, le FBI estime que depuis décembre 2021 : "le nombre d'entités américaines compromises par le ransomware Cuba a doublé, les rançons demandées et payées étant en augmentation". Autrement dit, il y a de plus en plus de rançons payées et le montant est de plus en plus élevé : ce qui n'est pas illogique, car si les victimes paient, les pirates peuvent voir un intérêt à augmenter le tarif de la rançon pour empocher un maximum d'argent.

D'après les estimations de l'agence américaine FBI, les cybercriminels du Ransomware Cuba ont compromis plus de 100 entreprises dans le monde jusqu'en août 2022 ! Au total, ils ont pu récolter 60 millions de dollars grâce aux rançons sur un total demandé de 145 millions de dollars. C'est presque 50% de la somme maximale.

Généralement, le ransomware Cuba est déployé sur une infrastructure par l'intermédiaire de la menace Hancitor, ce dernier étant là pour exécuter des logiciels malveillants de différents types sur des infrastructures (attaques sur des serveurs Exchange, serveurs RDP ouverts sur Internet, campagnes de phishing, etc.). Sans surprise, le ransomware Cuba est le dernier maillon de la chaîne et il est là pour chiffrer les données.

Pour déclencher le ransomware Cuba sur une infrastructure compromise, les cybercriminels utilisent des outils Windows comme PowerShell et PsExec, dans le but de pouvoir agir à distance. Une fois que les fichiers sont chiffrés, ils héritent de l'extension ".cuba". La suite, vous la connaissez.

Le FBI, comme l'ANSSI en France, n'encourage pas le paiement des rançons puisqu'il n'est pas certain que cela empêche les fuites de données, les attaques futures, ni même de récupérer l'intégralité de ses données.

Source

L'article Ransomware Cuba : plus de 100 entreprises compromises et 60 millions de dollars de gain ! est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Vol de comptes Facebook : ce malware a déjà fait plus de 300 000 victimes

Par : Florian Burnel

Les chercheurs en sécurité de chez Zimperium ont mis en ligne un rapport au sujet d'un logiciel malveillant pour Android, actif depuis 2018, et qui aurait fait 300 000 victimes à travers le monde grâce à des applications malveillantes.

Surnommé Schoolyard Bully, ce logiciel malveillant se cache au sein d'applications éducatives pour les appareils Android. Dès que la victime installe une application qui contient ce malware, celui-ci entre en action dans le but de dérober des identifiants et des informations au sujet de votre compte Facebook, notamment l'adresse e-mail et le mot de passe.

Pour récupérer ces informations, le malware ouvre une page de connexion Facebook légitime dans l'application (via WebView) afin de récupérer la saisie clavier et grâce à un code JavaScript malveillant, il parvient à extraire les données. Les chercheurs en sécurité de chez Zimperium expliquent que la méthode "evaluateJavascript" est utilisée et que "le code JavaScript extrait la valeur des éléments avec 'ids m_login_email' et 'm_login_password', qui sont des espaces réservés pour le numéro de téléphone, l'adresse électronique et le mot de passe."

Toujours d'après eux, les applications qui distribuent Schoolyard Bully ne sont plus présentes sur le Google Play Store mais elles l'ont été à une époque. Toutefois, elles sont toujours distribuées via des magasins d'applications alternatifs. Il y aurait au moins 37 applications malveillantes associées à cette campagne qui dure depuis plusieurs années.

Cette campagne lancée en 2018 semble toujours active aujourd'hui. À ce jour, Zimperium estime que Schoolyard Bully est parvenu à faire au moins 300 000 victimes réparties dans 71 pays à travers le monde, y compris en France, avec tout de même un fort impact au Vietnam. Il s'agit d'une estimation et les chiffres réels pourraient être plus importants.

Pour le moment, les chercheurs en sécurité de chez Zimperium ne sont pas parvenus à identifier le groupe de cybercriminels à l'origine de cette campagne. Il ne s'agirait pas du groupe FlyTrap, connu aussi pour voler des identifiants Facebook au Vietnam.

Source

L'article Vol de comptes Facebook : ce malware a déjà fait plus de 300 000 victimes est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Envoyez des e-mails facilement avec Amazon SES (AWS)

Par : Florian Burnel

I. Présentation

Qui n'a jamais galéré pour envoyer un e-mail à partir d'une application, d'une imprimante ou même d'un script ? Cette problématique doit parler à beaucoup d'entre vous...! Dans ce tutoriel, je vais vous présenter la solution Amazon Simple Email Service appelé Amazon SES et disponible au travers du Cloud AWS d'Amazon. Ce service sert à envoyer des e-mails transactionnels, des e-mails marketing ou des notifications, de façon très simple.

Ce service du Cloud AWS est accessible gratuitement, dans la limite de 200 e-mails par jour, ce qui peut suffire à répondre à de nombreux besoins pour les PME. Pour aller plus loin, il est possible d'éliminer cette bride en payant. L'objectif de cette limite est de lutter contre les spammeurs, car pour passer en mode débridé, ou plutôt en mode production, il faut faire une demande au support AWS. Cela évite que le service parte en vrille. Au niveau des coûts, c'est très faible puisque l'on est sur 0,10 dollars/1 000 e-mails (sans pièces jointes - voir ici).

Avant de commencer, vous devez créer un compte gratuit sur Amazon AWS en utilisant ce lien ou en accédant au site d'AWS par un autre biais.

J'en profite pour remercier @Merwan, fidèle lecteur d'IT-Connect, pour m'avoir suggéré cette idée d'article !

II. Amazon SES : approuver un domaine

Pour utiliser Amazon SES vous avez deux options : approuver un domaine complet ou approuver une seule ou plusieurs adresses e-mails (ce qui sera plus rapide, mais plus bridé). Dans cet exemple, nous allons voir comment approuver le domaine "it-connect.tech" afin de pouvoir envoyer des e-mails via ce domaine au travers d'Amazon SES.

Note : pour valider une adresse e-mail unique, il suffit d'indiquer l'adresse e-mail et de cliquer sur lien qui sera envoyé par Amazon SES.

Via le portail AWS, recherchez "SES" et cliquez sur "Amazon Simple Email Service".

Tuto Amazon Simple Email Service

Ensuite, cliquez sur "Create Identity", mais veillez à choisir la région souhaitée en haut à droite (la région en France, par exemple).

Amazon SES - Créer une identité

Pour l'Identity Type, choisissez "Domain" pour approuver un domaine complet. Indiquez le nom du domaine, ici "it-connect.tech". L'option "Use a custom MAIL FROM domain" permet d'utiliser un sous-domaine de votre propre domaine pour envoyer les e-mails plutôt que d'avoir une adresse MAIL FROM correspondante à un sous-domaine d'AWS. Elle n'est pas cochée dans cet exemple.

Amazon SES - Approuver un domaine

Descendez dans la page... et cliquez sur le bouton "Create Identity". La partie DKIM sera préconfigurée automatiquement, car la création des enregistrements DKIM va permettre de vérifier le domaine.

Amazon SES - Approuver un domaine (suite)

À gauche, cliquez sur "Verified identifies" et sélectionnez le domaine dans la liste (si vous n'êtes pas directement redirigé vers la page du domaine après la création). On peut voir que "DKIM configuration" est sur l'état "Pending". C'est normal, car nous devons créer les enregistrements DNS de type CNAME affichés sur la page.

Amazon SES - Domaine - DKIM

Ici, vous devez modifier la zone DNS du domaine que vous souhaitez approuver de manière à créer les 3 enregistrements requis par Amazon SES. La méthode dépend de l'endroit où vous avez acheté votre domaine : OVHcloud, Ionos, Gandi, etc... Une fois que c'est fait, n'hésitez pas à rafraîchir la page Amazon SES de temps en temps, jusqu'à ce que l'état passe sur "Sucessful" comme ceci :

Amazon SES - DKIM OK

Désormais, le domaine "it-connect.tech" est vérifié, ce qui signifie que l'on va pouvoir l'utiliser au travers d'Amazon SES.

Amazon SES - Domaine vérifié

III. Amazon SES : créer des identifiants SMTP

Pour utiliser Amazon SES, il faut s'authentifier via SMTP. De ce fait, nous devons créer des identifiants SMTP. Cliquez sur "SMTP Settings" à gauche puis sur "Create SMTP credentials". J'en profite pour attirer votre attention sur les informations fournies sur cette page : le serveur SMTP, les numéros de port acceptés et le fait que le chiffrement est requis. Ces informations devront être utilisées pour envoyer des e-mails.

Amazon SES - Créer des identifiants SMTP

Il faut créer un utilisateur IAM qui sera associé à des identifiants SMTP. Donnez-lui un nom ou laissez le nom proposé par AWS. Poursuivez.

Amazon SES - SMTP - Utilisateur IAM

Ensuite, cliquez sur la flèche pour afficher les identifiants. AWS génère un nom d'utilisateur et un mot de passe, que vous devez garder au chaud. Il faudra utiliser ces identifiants par la suite au moment d'envoyer les e-mails.

Amazon SES - Identifiants SMTP

Voilà, la configuration est terminée : nous pouvons tester Amazon SES !

IV. Envoyer un e-mail via Amazon SES

Pour tester, on peut utiliser une application, la ligne de commande Linux ou encore une commande PowerShell. Voici un exemple avec la commande PowerShell Send-MailMessage où l'on précise le serveur SMTP "email-smtp.eu-west-3.amazonaws.com", le numéro de port 587 et le fait d'utiliser une connexion sécurisée (-UseSSL). Sans oublier les identifiants qui seront précisés au niveau du paramètre -Credential et récupéré via Get-Credential.

Send-MailMessage -From "[email protected]" -To "[email protected]" -Subject "Test Amazon SES" -Body "Ceci est un test Amazon SES" -SmtpServer "email-smtp.eu-west-3.amazonaws.com" -Port 587 -UseSsl -Credential (Get-Credential)

Suite à l'exécution de cette commande, l'e-mail est bien arrivé dans ma boite de réception :

Amazon SES - Tester email

V. Amazon SES et le mode sandbox

Si l'on regarde le tableau de bord d'Amazon SES, on constate un message d'avertissement "Your Amazon SES account is in the sandbox in EU (Paris)". C'est à cause de ce mode sandbox, là pour lutter contre la fraude, qu'Amazon SES est bridé à 200 e-mails par période 24 heures. Il y a une autre bride associée au mode sandbox : vous pouvez envoyer des e-mails uniquement aux adresses e-mails vérifiées, ce qui évite d'arroser vers n'importe qui sans avoir un compte vérifié.

Remarque : selon les régions, cette restriction n'est pas présente, notamment aux US.

Amazon SES - Sandbox

Pour utiliser Amazon SES en mode production et faire sauter ces deux restrictions, vous devez cliquer sur le bouton "Request production access". Ensuite, vous devez compléter un formulaire pour indiquer dans quel but vous comptez exploiter ce service (e-mails marketing ou e-mail transactionnel). Une fois que le support aura approuvé votre requête, vous allez bénéficier du mode production.

VI. Conclusion

Amazon SES est une solution très intéressante pour envoyer des e-mails à partir d'un domaine vérifié sans se prendre la tête ! Il est possible d'aller plus loin en demandant une adresse IP dédiée, en créant des modèles d'e-mails, etc... Et vous avez aussi le tableau de bord qui donne des statistiques basiques, mais appréciables pour voir le nom d'e-mail envoyé par jour, ainsi qu'éventuellement les e-mails rejetés.

Amazon SES - Tableau de bord

L'article Envoyez des e-mails facilement avec Amazon SES (AWS) est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Nouvelle fuite de données chez LastPass : les pirates ont pu accéder aux données des clients

Par : Florian Burnel

Les ennuis s'enchaînent pour le gestionnaire de mots de passe LastPass : des cybercriminels ont pu accéder à des informations stockées dans un espace Cloud utilisé par LastPass, en utilisant des identifiants volés lors du précédent incident de sécurité qui remonte au mois d'août dernier.

Au sein de ce nouveau communiqué de presse, LastPass affirme : "Nous avons récemment détecté une activité inhabituelle au sein d'un service de stockage Cloud, qui est actuellement partagé par LastPass et son affilié, GoTo." - Suite à la détection de cette activité malveillante, LastPass a commencé à mener des investigations, en collaboration avec l'entreprise Mandiant, spécialisée dans la cybersécurité.

Sur l'espace de stockage compromis, il y a des données de clients auxquels ont pu accéder les cybercriminels : "Nous avons déterminé qu'un tiers non autorisé, utilisant les informations obtenues lors de l'incident d'août 2022, a pu accéder à certaines informations de nos clients.". Effectivement, on se souvient qu'en août dernier, LastPass avait déjà subit une cyberattaque qui avait conduite à la fuite de codes sources et d'informations techniques sensibles. C'est lors de cette attaque, que les pirates ont pu récupérer les identifiants utilisés pour cette nouvelle offensive.

LastPass tient à rassurer ses clients en affirmant que les cybercriminels n'ont pas pu compromettre leurs mots de passe puisqu'ils "restent chiffrés en toute sécurité grâce à l'architecture Zero Knowledge de LastPass". D'ailleurs, dans la page descriptive de ce modèle, LastPass précise : "LastPass n’envoie et ne stocke pas le mot de passe maître. Nous pensons que si LastPass ne peut pas accéder à vos données, il en va de même pour les pirates."

Toutefois, pour le moment, on ne sait pas à quoi correspondent ces données pour le moment. Il faut attendre que LastPass poursuive ses investigations afin d'en apprendre plus sur les conséquences de cette attaque.

Cela commence à faire beaucoup pour LastPass... Même si le CEO, Karim Toubba, essaie toujours de rassurer ses clients : "Dans le cadre de nos efforts, nous continuons à déployer des mesures de sécurité et des capacités de surveillance renforcées dans l'ensemble de notre infrastructure pour aider à détecter et à empêcher toute nouvelle activité des cybercriminels."

Source

L'article Nouvelle fuite de données chez LastPass : les pirates ont pu accéder aux données des clients est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Microsoft Exchange Server 2019 – Découverte et configuration de l’Autodiscover

Par : Florian Burnel

I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer le service Autodiscover d'Exchange, correspondant au service de découverte automatique si l'on fait la traduction littéraire. Avant cela, nous verrons quel est l'intérêt de ce service indispensable ou presque.

Cet article s'inscrit dans une suite d'articles au sujet de l'installation et la configuration de Microsoft Exchange Server 2019 :

II. C'est quoi l'Autodiscover ?

Le mécanisme Autodiscover d'Exchange permet de faciliter la détection des paramètres de configuration pour se connecter à une boîte aux lettres hébergée sur un serveur de messagerie Exchange. Autrement dit, lorsqu'un utilisateur va ouvrir Outlook pour la première fois, ce dernier va solliciter le service de découverte automatique pour configurer votre boîte aux lettres sans qu'il soit nécessaire de renseigner les informations sur le serveur (serveur de courrier entrant, serveur de courrier sortant, numéros de ports, etc.).

Cette fonctionnalité incontournable est présente sur les serveurs de messagerie Exchange depuis Exchange Server 2007. L'Autodiscover est utilisable sur différents types d'appareils, que ce soit sur un ordinateur, un smartphone ou une tablette.

III. Configurer l'Autodiscover

Lorsque l'on a configuré les enregistrements DNS (article précédent), on a créé les enregistrements en respectant le modèle suivant :

Type d'enregistrement Nom DNS Valeur Priorité
A mail.domaine.fr Votre IP publique -
CNAME autodiscover.domaine.fr mail.domaine.fr -
MX @ mail.domaine.fr 10

Au final, avec l'ensemble des enregistrements, cela donnait ce résultat :

Exchange - Exemple zone DNS publique

Si l'on regarde cette liste, on constate la présence d'un enregistrement pour l'adresse "autodiscover.floiranburnel.fr" : ce n'est pas anodin. Cet enregistrement est nécessaire au bon fonctionnement de la découverte automatique, et le fait d'utiliser un enregistrement sous la forme "autodiscover.domaine.fr" permet de respecter les bonnes pratiques.

Au final, le point de terminaison de l'Autodiscover est un fichier XML qui devrait être accessible à l'adresse suivante :

https://autodiscover.domaine.fr/Autodiscover/Autodiscover.xml

Toutefois, au-delà de la création de l'enregistrement DNS, une configuration supplémentaire s'impose...

À l'aide d'Exchange Management Shell, exécutez la commande Get-ClientAccessService comme ci-dessous pour visualiser les différentes adresses Autodiscover déclarées au sein de notre serveur de messagerie Exchange.

Get-ClientAccessService | Format-List Identity, AutoDiscoverServiceInternalUri, AutoDiscoverSiteScope

La commande ci-dessus fonctionne avec Exchange Server 2016 et Exchange Server 2019. Sur les versions plus anciennes, utilisez celle-ci :

Get-ClientAccessServer | Format-List Identity, AutoDiscoverServiceInternalUri, AutoDiscoverSiteScope

L'adresse retournée par cette commande n'est pas celle à laquelle on pouvait s'attendre puisqu'elle utilise le nom du serveur sur le domaine local. Dans un environnement avec plusieurs serveurs Exchange ou plusieurs sites, plusieurs lignes peuvent être retournées par cette commande.

Exchange - Get-ClientAccessService - Autodiscover

Désormais, avec la commande Set-ClientAccessService, on va modifier cette URL de manière à utiliser l'enregistrement DNS "autodiscover.florianburnel.fr" qui est un nom DNS qui peut être résolu en interne et en externe (avec deux adresses IP différentes, conformément à la configuration mise en place précédemment). On précise le serveur via le paramètre -Identity. Cela donne :

Set-ClientAccessService -Identity "AZ-EXCHANGE" -AutoDiscoverServiceInternalUri "https://autodiscover.florianburnel.fr/Autodiscover/Autodiscover.xml"

À partir de là, si l'on rappelle la première commande, on peut voir que l'adresse est bien modifiée :

Exchange - Set-ClientAccessService - Autodiscover

Puisqu'il s'agit d'une URL, il faut considérer que c'est lié au serveur Web IIS. De ce fait, à partir d'une console PowerShell ouverte en tant qu'admin, exécutez cette commande pour redémarrer IIS :

iisreset /restart
Attempting stop...
Internet services successfully stopped
Attempting start...
Internet services successfully restarted

Voilà, la configuration est terminée.

IV. Vérifier et tester la configuration Autodiscover

Pour vérifier et tester la configuration que l'on vient de mettre en place, nous avons plusieurs méthodes :

  • Le client de messagerie Outlook
    • Méthode que nous allons voir dans cet article, qui permet de tester directement à partir d'un poste client en conditions réelles
  • Le site testconnectivity.microsoft.com via les serveurs de Connectivité Outlook
    • Disponible sur cette page, mais qui retourne une erreur si le certificat n'est pas reconnu (ce qui est le cas, si vous suivez cette série d'articles)

Exchange - Autodiscover - Connexion Outlook - Etape 3

  • PowerShell avec la commande Test-OutlookWebServices
    • Commande du module ExchangePowerShell, disponible via l'Exchange Management Shell, mais qui implique de configurer le serveur (BackConnectionHostNames) vu qu'on interroge le serveur via la boucle locale - Sinon l'erreur "System.Net.WebException: The remote server returned an error: (401) Unauthorized." est retournée. Peu pratique.

Regardons de plus près la méthode avec Outlook...

Lorsque vous allez ouvrir Outlook, il va essayer de se configurer tout seul comme un grand grâce à l'Autodiscover (il va rechercher un compte de messagerie correspondant à la session Windows puisque l'adresse e-mail est renseignée dans le profil Active Directory). Puisque l'on a part encore vu la configuration du certificat, il y a une alerte de sécurité relative au certificat qui apparaît à l'écran (il faudra cliquer sur "Oui"), comme ceci :

Au final, le compte a été ajouté automatiquement : c'est très pratique ! En toute logique, l'Autodiscover fonctionne et il est correctement configuré.

Pour le vérifier ou éventuellement faire du troubleshooting en cas de problème, on peut Sur l'icône Outlook disponible en bas à droite, effectuez un "CTRL + clic droit" pour que l'entrée "Tester la configuration automatique du courrier" soit visible dans le menu contextuel. Cliquez dessus.

La fenêtre ci-dessous va apparaître. Elle va reprendre automatiquement votre adresse de courrier. Il n'est pas nécessaire de mettre le mot de passe pour tester la connectivité. Décochez toutes les cases sauf "Utiliser la découverte automatique" et cliquez sur "Tester". Basculez sur l'onglet "Journal", et là, vous devez visualiser le statut "Réussite". C'est le signe que l'Autodiscover fonctionne bien !

V. Conclusion

Suite à la lecture de cet article, vous êtes en mesure de configurer l'Autodiscover sur votre serveur Microsoft Exchange Server ! Une question ? Un problème ? Vous pouvez poster un commentaire sur cet article ou venir en discuter sur le serveur Discord de la communauté IT-Connect !

L'article Microsoft Exchange Server 2019 – Découverte et configuration de l’Autodiscover est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Invisible Challenge : les cybercriminels utilisent TikTok pour pirater les utilisateurs !

Par : Florian Burnel

Des pirates informatiques s'appuient sur le réseau social TikTok pour inciter les utilisateurs à télécharger et installer un malware en surfant sur la vague d'un défi très populaire nommé "Invisible Challenge". Et, il faut l'avouer, c'est bien pensé. Explications.

Pour bien comprendre la stratégie mise en place par les pirates, il faut tout d'abord s'intéresser au défi TikTok "Invisible Challenge". L'idée est simple : il s'agit d'un filtre dont l'objectif est de supprimer le corps de la personne devant la caméra par une couleur opaque, afin de devenir transparent en quelque sorte. Forcément, certaines personnes ont eu l'idée de se mettre nue devant la caméra, et grâce au filtre, le corps n'est pas visible sur la vidéo finale.

Quel dommage ! Mais, des personnes ont la solution pour vous ! Un logiciel capable de supprimer le filtre pour que vous puissiez voir le corps des personnes ! Sauf que ces personnes, ce sont des cybercriminels qui ont un objectif : vous faire télécharger et installer un logiciel malveillant dans le but de voler vos mots de passe, informations de cartes de crédit enregistrées dans le navigateur Web, votre compte Discord voire même des données contenues sur votre appareil.

La société Checkmarx s'est intéressée de près à la technique employée par les pirates. Tout d'abord, il faut savoir qu'ils font la promotion de cette application malveillante directement au travers de vidéos TikTok. En effet, c'est probablement le meilleur endroit pour le faire...

TikTok Unfilter - Arnaque - Novembre 2022
Source : Checkmarx

Les personnes qui mordent à l'hameçon sont redirigées vers un serveur Discord nommé "Space Unfilter". Une fois sur le Discord, la future victime reçoit un lien de téléchargement vers GitHub afin de télécharger et installer l'application, qui est en fait le malware. Il s'agit d'un package Python malveillant, ainsi que d'un fichier "Lisez-moi" qui renvoie vers une vidéo sur YouTube pour expliquer à l'utilisateur comment s'utilise l'outil de suppression du filtre.

Preuve que cette méthode fonctionne, le serveur Discord, désormais fermé, contenait 32 000 membres et le dépôt GitHub était visible au sein des projets tendance ! Initialement nommé "TikTok Unfilter", ce projet s'appelle désormais "Nitro Generator" et pour la partie Discord, il y a un fort à parier qu'un nouveau serveur a été mis en ligne.

Source

L'article Invisible Challenge : les cybercriminels utilisent TikTok pour pirater les utilisateurs ! est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Stellar Repair for Exchange : récupérer des données dans une base Exchange corrompue

Par : Florian Burnel

I. Présentation

Dans cet article, nous allons découvrir Stellar Repair for Exchange, un outil qui peut vous "sauver la vie" lorsque vous devez récupérer des données au sein d'une base de données Exchange corrompue. Malheureusement, ce type d'incident peut se produire suite à un incident logiciel ou matériel, comme un défaut sur l'espace de stockage qui héberge la base de données Exchange.

La solution proposée par Stellar permet d'aller plus loin que l'utilitaire natif livré avec Exchange : EseUtil. Cet utilitaire, bien qu'il soit utile pour réparer une base de données corrompue ou effectuer diverses opérations de maintenance sur les bases de données Exchange, n'est pas toujours efficace.

Note : pour rappel, les bases de données Exchange sont au format EDB (Exchange DataBase).

Le logiciel Stellar Repair for Exchange est payant (à partir de 399 euros) et il prend en charge l'ensemble des versions d'Exchange, de la version 5.5 à Exchange Server 2019. Voici les fonctionnalités principales de ce logiciel dont l'objectif est de permettre la restauration de données contenues dans une base Exchange corrompue :

  • Récupérer des messages, des contacts, des calendriers, des tâches et des notes
  • Prendre en charge la récupération de fichiers EDB volumineux
  • Exporter les boîtes aux lettres restaurées vers un serveur Exchange ou Office 365 (Exchange Online)
  • Sauvegarder les fichiers en tant que fichier PST, MSG, EML, RTF, HTML et PDF

Vous pouvez le télécharger pour l'essayer à partir du lien suivant :

L'éditeur Stellar propose des outils de récupération de données pour les particuliers et les entreprises, avec un ensemble d'outils adaptés aux serveurs de messagerie Microsoft Exchange Server. Dans un article précédent, je vous ai déjà parlé du logiciel "Stellar Converter for EDB".

II. Installation de Stellar Repair for Exchange

Le logiciel de Stellar travaille sur une base de données Exchange démontée et hors ligne. Cela signifie que le logiciel peut être installé sur le serveur Exchange ou sur une autre machine, à condition que le fichier EDB soit accessible. Dans cet exemple, j'installe le software sur un serveur Exchange Server 2019.

Pour rappel, à partir du Centre d'administration Exchange, vous pouvez démonter une base de données via : Serveurs > Bases de données > Sélectionner la base de données > Démonter.

Exchange - Démonter une base de données

Après avoir téléchargé l'installeur, il faut lancer l'installation. La première bonne nouvelle, c'est que la langue française est disponible. Pour l'installation, il suffit de quelques clics, en laissant les options par défaut.

Installation de Stellar Repair for Exchange

C'est tout pour l'installation !

III. Utilisation de Stellar Repair for Exchange

Après l'installation, lorsque vous ouvrez l'application, vous êtes invité à choisir l'emplacement du fichier EDB à analyser. Si vous ne savez pas où est stocké ce fichier, cliquez sur "Rechercher" pour que l'application effectue une recherche à votre place.

Stellar Repair for Exchange - Etape 1

L'étape suivante consiste à choisir un mode d'analyse. Soit une analyse rapide, soit une analyse complète. Il vaut mieux essayer le mode rapide pour commencer, et s'orienter vers l'analyse complète si la première méthode ne donne pas de résultats satisfaisants. Sur une même base, il est possible de faire autant d'analyses que nécessaire.

Stellar Repair for Exchange - Etape 2

Une fois l'analyse terminée, les données récupérées sont visibles dans l'interface du logiciel. Pour les personnes habituées à manipuler la suite Microsoft Office et plus particulièrement Outlook, l'application est facile à prendre en main. Sur la gauche, la liste des boîtes aux lettres récupérées est visible, tandis qu'en bas, on peut naviguer entre le courrier, le courrier, les contacts, les tâches, etc... Comme on le fait dans Outlook.

Lorsque l'on s'intéresse aux boîtes aux lettres, l'outil offre la possibilité à l'administrateur de visualiser les boîtes aux lettres activées ou désactivées, les boîtes aux lettres partagées, ainsi que les boîtes aux lettres du système et les dossiers publics.

Stellar Repair for Exchange - Etape 3

Lorsque l'on navigue dans les données au travers de l'application Stellar, on est en phase de prévisualisation des données. La prévisualisation des données est disponible pour chaque section (contacts, e-mails, calendriers, etc.) et pour chaque compte identifié dans la base de données.

Stellar Repair for Exchange - Calendrier

L'application "Stellar Repair for Exchange" est capable d'exporter les données pour un seul compte ou pour un ensemble de comptes.

Stellar Repair for Exchange - Sauvegarder les données

Pour exporter les données récupérées au sein de la base de données corrompue, vous avez le choix entre plusieurs destinations :

  • Un serveur Exchange en ligne
  • Un environnement Office 365
  • Un fichier au format PST
  • Un dossier de messagerie "Public" (Exchange ou Office 365)
  • Un fichier MSG, EML, RTF, PDF ou HTML (pour les boîtes aux lettres)

Stellar Repair for Exchange - Choix de la destination

 

Si l'on prend l'exemple d'un serveur Exchange ou d'Office 365 comme destination, il sera nécessaire de déclarer un compte de messagerie (configuré dans Outlook) avec des droits d'administrateur Exchange sur la machine où l'application Stellar est installée pour que la récupération des données soit possible. Ensuite, il faut s'authentifier comme le montre la copie d'écran ci-dessous.

Une fois l'authentification réussie, il faudra effectuer la correspondance entre les boîtes aux lettres de la base corrompue et celles de la base en ligne. Ainsi, le logiciel sera capable de restaurer les éléments au bon endroit. C'est obligatoire d'effectuer cette correspondance (en mode automatique ou manuel) et l'application est capable de créer une boîte aux lettres si elle n'existe pas (vous définissez le nom complet, l'adresse e-mail, le mot de passe, ainsi que la database cible). Cette étape est appelée "Cartographier les boîtes aux lettres".

Lors de cette étape, l'administrateur peut aussi configurer la priorité des différentes boîtes aux lettres. Ainsi, les boîtes aux lettres critiques peuvent être traitées en priorité. Malgré tout, la restauration des données n'est pas effectuée boîte aux lettres par boîte aux lettres : l'application est capable de traiter plusieurs boîtes aux lettres en parallèle (cela est visible en temps réel lorsque l'on visualise la progression de la tâche). Voici un exemple :

Stellar Repair for Exchange - Cartographie

L'option "Appliquer les filtres" est intéressante également, car elle permet d'exclure certains messages, tels que les e-mails indésirables et les e-mails supprimés, ainsi que certains expéditeurs, dans le but de gagner du temps lors de la récupération des données.

Quand tout est configuré, l'opération doit être lancée en cliquant sur le bouton "Exporter" en bas à droite. Une fois l'opération terminée, l'application indique un compte-rendu afin de préciser à l'administrateur s'il y a eu des problèmes avec certaines boîtes aux lettres.

Il ne reste plus qu'à vérifier les données sur la base en production, et réessayer de relancer sur les éléments en cas d'erreurs. Il faut aussi garder à l'esprit qu'il y a un mode qui permet d'effectuer une recherche plus approfondie sur la base.

IV. Conclusion

Stellar Repair for Exchange est une application aboutie et simple à utiliser. En pratique, elle est efficace et grâce aux différentes options, on peut configurer finement la tâche de restauration de données. Même si l'on aimerait ne jamais avoir recours à cette application, lorsqu'un incident se produit, elle peut clairement vous sauver la mise d'autant plus si l'utilitaire EseUtil se montre inefficace dans la réparation d'une base Exchange.

Je n'irais pas jusqu'à dire qu'il est possible d'utiliser cette application pour migrer d'Exchange on-premise à Office 365, mais le fait que le logiciel prenne en charge diverses destinations pour la restauration des données, ouvre des possibilités. Même si l'application est relativement simple à utiliser, sachez qu'il existe une documentation officielle, accessible en ligne et en français (voir cette page) qui est là pour vous accompagner également.

Si vous avez déjà utilisé ce logiciel et que vous souhaitez faire un retour d'expérience, n'hésitez pas à poster un commentaire sur cet article !

L'article Stellar Repair for Exchange : récupérer des données dans une base Exchange corrompue est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

La sauvegarde automatique sous Cisco avec la commande archive

Par : Belkacem EL KHRISSI

I. Présentation

Dans ce tutoriel, nous allons voir comment sauvegarder automatiquement la configuration d'un équipement Cisco, en configurant le système IOS.

Dès lors que nous enregistrons la configuration d'un équipement, qui est en fait un copier du fichier « running-config » vers le fichier « startup-config », le fichier de configuration devient persistant. C’est-à-dire qu’en cas de redémarrage de l’équipement, il démarrera dessus.

Pour rendre la configuration persistante, nous utilisons la commande « copy running-config startup-config » ou encore « write-memory » souvent abrégée en « wr », ce qui aura pour effet d’enregistrer la configuration dans la NVRAM. La configuration qui sera alors enregistrée écrase la précédente, sans que nous puissions avoir un retour arrière possible en cas de problème. Dans ce cas, il peut être judicieux de faire des sauvegardes des versions de configuration.

II. Sauvegarde dans la mémoire flash

Nous pouvons enregistrer des sauvegardes dans la mémoire flash, qui est en fait une archive et non une sauvegarde. Pour ce faire, il faudra utiliser la commande « archive » en « mode configuration ».

SW1#configure terminal
SW1(config)#archive

Ensuite, nous devons indiquer l’endroit où nous voulons stocker l’archive.

En exécutant la commande « path ? », nous listerons les stockages possibles.

Sauvegarde Cisco - Commande path

Ici, le stockage qui hébergera la sauvegarde sera flash0 et je donnerai le nom de « sauvegarde » à mon fichier de sauvegarde.

SW1(config-archive)#path flash0:sauvegarde

Nous indiquerons ensuite que nous sauvegarderons à chaque enregistrement, c’est-à-dire à chaque exécution de la commande « write memory » ou « copy running-config startup-config ». La commande a exécuter sera alors « write-memory » :

SW1(config-archive)#write-memory

En parallèle à cela, nous indiquerons également que nous souhaitons faire une sauvegarde toutes les 24 heures. Pour ce faire, nous nous appuierons sur la commande « time-period », où on exprime cette période en minute.

SW1(config-archive)#time-period 1440

De cette façon, la sauvegarde se fera lors d’une modification apportée au fichier « startup-config » et toutes les 24 heures. Enregistrerons cette configuration, ce qui donnera lieu à une sauvegarde.

SW1(config-archive)#write-memory

Depuis le mode utilisateur, nous pouvons lister les sauvegardes disponibles.

Sauvegarde Cisco - Commande archive - Image 2

Comme nous pouvons le voir dans cette capture d’écran, la sauvegarde la plus récente est indiquée.

Pour tester que notre configuration fonctionne, nous allons modifier notre configuration en ajoutant une bannière.

Sur les équipements Cisco, nous avons plusieurs types de bannière :

  • Bannière MOTD (Message Of The Day) : la bannière "message du jour" est présentée à tous ceux qui se connectent à l’équipement.
  • Bannière de connexion : celle-ci est affichée juste avant l'invite d'authentification.
  • Bannière Exec : elle est affichée avant que l'utilisateur ne voie l'invite d'exécution.
  • Bannière entrante : utilisée pour les utilisateurs qui se connecte via le telnet inverse.

Ici, nous indiquerons un message du jour :

SW1(config)#banner motd p

La lettre p peut être modifiée par n’importe quel caractère. En effet, ici vous indiquez le caractère que vous souhaitez utiliser pour indiquer la fin de votre message. Une fois que le message a été écrit, il faudra le terminer par le caractère indiqué après « motd », comme le montre l’illustration ci-dessous.

Nous pouvons enregistrer cette nouvelle configuration.

SW1(config)#do copy running-config startup-config

Cela aura aussi comme conséquent de créer une 3ème archive qui n’intégrera pas la bannière.

Si je sors du mode utilisateur :

SW1(config)#end
SW1(config)#exit

On voit la bannière s’afficher.

Si nous souhaitons faire un retour arrière, il nous faudra indiquer l’archive qui correspond à la configuration que nous souhaitons réimporter dans le fichier « running-config ».

Rappelons-nous que le contenu de l’archive est placé dans la running-config et par conséquent il n’est pas persistant. Si nous souhaitons la conserver, il faudra enregistrer les modifications dans la startup-config.

Nous avons donc une nouvelle archive qui s’est créée !

III. Sauvegarde sur un serveur TFTP

Le TFTP (Trivial File Transfer Protocol) est comme son nom l’indique un protocole permettant de transférer des fichiers comme pourrait le faire le FTP. Le protocole TFTP est moins polyvalent que le protocole TFTP, en effet ce dernier ne pourra qu’écrire et lire des fichiers.

Pour les environnements Windows, il existe un utilitaire qui fera exécuter un serveur TFTP sur la machine sur lequel il est installé. Cet utilitaire est proposé gratuitement par « Solarwinds » à l’adresse suivante : Solarwinds - Free TFTP Server. Ici, le serveur TFTP mis en place a l'adresse IP "192.168.0.2". Il est possible de mettre en place un serveur TFTP sous Linux également.

Nous pouvons utiliser la même méthode que nous avons utilisée avec l’archivage sur la mémoire flash pour automatiser la création de notre archive. Il faudra juste modifier l’endroit où nous stockerons nos fichiers de configuration.

SW1(config)#archive
SW1(config-archive)#path tftp://192.168.0.2/$h.txt
SW1(config-archive)#write memory
SW1(config-archive)#time-period 1440

Remarque : $h est une variable d’environnement qui stocke le nom de l’équipement. On peut aussi utiliser la variable $t pour avoir la date et l'heure.

Nous pourrions également sauvegarder manuellement nos fichiers de configuration avec la commande « copy ».

SW1#copy startup-config tftp:

Il faudra indiquer l’adresse IP de la machine qui héberge le serveur TFTP puis confirmer du fichier.

Sur la machine qui héberge l’utilitaire TFTP server de « Solarwinds », nous voyons bien nos fichiers de configuration.

Sauvegarde Cisco - Commande archive - TFTP

IV. Restauration d’une configuration sauvegardée

À tout moment, nous pouvons restaurer une sauvegarde stockée sur le serveur TFTP. La restauration du fichier de configuration s’effectuera avec la commande copy. Voici comment restaurer la sauvegarde nommée "sw1-cnfg" :

SW1#copy tftp:\\192.168.0.2\sw1-cnfg running-config

V. Conclusion

Nous venons de voir comment sauvegarder la configuration d'un équipement Cisco en local, mais également sur un serveur TFTP. Enfin, nous avons vu comment restaurer une sauvegarde à partir du serveur TFTP.

L'article La sauvegarde automatique sous Cisco avec la commande archive est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Une vulnérabilité chez Acer permet de désactiver le Secure Boot

Par : Florian Burnel

Le fabricant Acer a mis en ligne un correctif de sécurité pour ses firmwares dans le but de combler une vulnérabilité critique qu'un attaquant pourrait exploiter pour désactiver le Secure Boot sur une machine.

Associée à la référence CVE-2022-4020, cette vulnérabilité "peut permettre de modifier les paramètres de Secure Boot en créant des variables NVRAM" d'après Acer. Elle affecte un nombre assez limité de modèles puisqu'il est question de 5 modèles différents de chez Acer dont voici la liste : Aspire A315-22, A115-21, et A315-22G, ainsi que Extensa EX215-21 et EX215-21G.

En désactivant le Secure Boot sur la machine, on perd un mécanisme de sécurité important qui entre en jeu au démarrage de la machine afin d'éviter que des logiciels malveillants soient chargés. Autrement dit, il a pour objectif de s'assurer qu'il n'y a que les logiciels de confiance qui sont chargés lors du boot du système.

L'exploitation de cette vulnérabilité associé au déploiement d'une charge malveillante peut avoir des conséquences non négligeables sur la machine compromise. L'attaquant peut ainsi déployer et exécuter une charge utile en bénéficiant des privilèges du système.

Si vous utilisez l'un des modèles cités dans cet article, vous devez vous rendre sur le site d'Acer afin de télécharger les mises à jour du BIOS. Car oui, Acer a déjà mis en ligne les correctifs qui vont bien.

Enfin, cette découverte est à mettre au crédit de Martin Smolár, chercheur en sécurité chez ESET, qui a également trouvé dernièrement des vulnérabilités au sein du firmware de machines LENOVO. Un habitué dont le travail profite aux différents fabricants.

Source

L'article Une vulnérabilité chez Acer permet de désactiver le Secure Boot est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Inscrivez-vous à l’événement Windows Server Summit 2022

Par : Florian Burnel

Le mardi 6 décembre se déroulera l'événement annuel Windows Server Summit ! Pour cette quatrième édition, Microsoft vous propose de profiter de sessions de démos sur l'univers de Windows Server 2022 et d'Azure !

Microsoft a fait l'annonce de cet événement virtuel se déroulera entièrement en ligne, et il est prévu pour le mardi 6 décembre à 18h00 (heure française). Vous pouvez vous inscrire gratuitement à partir de ce lien, en complétant le formulaire d'inscription.

Il s'agit d'un événement assez court puisque sa durée est de 90 minutes, mais il devrait être riche en information technique : Microsoft évoque des sessions techniques de niveau 200. L'objectif étant de mettre en avant Windows Server 2022 mais également des services de gestion d'infrastructure rattachés au Cloud Azure.

Pour être plus précis sur le programme de l'événement, voici les détails fournis par la firme de Redmond :

  • Conseils pour sécuriser et gérer votre infrastructure avec Azure Arc, Windows Admin Center et Azure Automanage
  • Comment optimiser vos serveurs Windows, notamment en les modernisant avec les nouvelles versions, en revoyant vos paramètres de sécurité et en améliorant les partages de fichiers.
  • Comment intégrer les fonctionnalités d'Azure dans votre environnement sur site ?
  • Les nouvelles fonctionnalités de Windows Server 2022 (et un aperçu de ce qui est à venir)
  • Des mises à jour sur les programmes, les offres et les certifications pour vous aider à commencer la modernisation.

N'hésitez pas à vous inscrire à cet événement ! 🙂

L'article Inscrivez-vous à l’événement Windows Server Summit 2022 est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Windows 11 : comment afficher une notification système lorsque la caméra est activée ?

Par : Florian Burnel

I. Présentation

Dans ce tutoriel, nous allons configurer Windows 11 de manière à activer une notification système lorsque la caméra est activée ou désactivée. Même si la majorité des ordinateurs portables et des webcams intègrent une LED pour indiquer si l'appareil est actif ou non, Microsoft a introduit cette notification système pour les appareils non équipés d'un indicateur physique. Néanmoins, il est possible d'activer cet indicateur sur l'ensemble des ordinateurs : ce qui permet à tout le monde d'avoir cette information sur l'écran directement (voir aperçu en fin d'article).

Ainsi, à chaque fois que la caméra est lancée par l'utilisateur ou qu'une application accède à la caméra, une notification apparaîtra à l'écran en indiquant "Caméra activée". D'ailleurs, dans les paramètres de Windows 11, vous pouvez visualiser les dernières applications qui ont accédé à votre caméra. Cette liste intègre le nom de l'application, la date et l'heure.

Windows 11 - Activité récente de la caméra

Voyons comment activer cette nouvelle notification système.

II. Procédure

Sur votre machine, ouvrez l'éditeur de Registre en appuyant sur les touches "Windows + R" afin de faire apparaître la zone "Exécuter". Saisissez "regedit" et validez. Attention, veillez à modifier le Registre avec précaution, car une mauvaise manipulation peut avoir des conséquences sur la stabilité du système.

1 - Dans la zone supérieure de l'éditeur de Registre, indiquez ce chemin

Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OEM\Device\Capture

2 - Assurez-vous d'être positionné sur "Capture"

3 - Double-cliquez sur la valeur "NoPhysicalCameraLED"

4 - Actuellement, la valeur est à "0" : modifiez pour indiquer "1" à la place

5 - Cliquez sur "OK" pour valider

Windows 11 - NoPhysicalCameraLED

Il ne vous reste plus qu'à redémarrer votre machine Windows et le changement sera effectif après redémarrage du système !

Ainsi, lorsque la caméra est utilisée par une application, par exemple l'application "Caméra" de Windows, la notification "Caméra activée" apparaît à l'écran. Si l'on ferme l'application, la caméra n'est plus utilisée donc c'est la notification "Caméra désactivée" qui s'affiche.

Windows 11 - Notification caméra activée

Si vous souhaitez cet indicateur en complément de la LED présente sur votre appareil, n'hésitez pas à modifier cette clé de Registre !

L'article Windows 11 : comment afficher une notification système lorsque la caméra est activée ? est disponible sur IT-Connect : IT-Connect.
☐ ☆ ✇ IT-Connect

Désormais, les produits de chez Huawei, Hikvision, ZTE et Dahua sont bannis aux États-Unis !

Par : Florian Burnel

La Commission Fédérale des Communications des Etats-Unis a pris une décision importante : il est désormais interdit d'importer des produits réseaux et télécoms chinois sur le territoire américain ! Une décision qui était déjà dans les tuyaux depuis plusieurs mois...

Suite à la signature de Jessica Rosenworcel, présidente de la Federal Communications Commission (FCC), c'est désormais acté : les produits télécoms et réseaux chinois, y compris dans le domaine de la vidéosurveillance, sont bannis aux Etats-Unis. D'après les informations publiées, cette décision s'applique aux produits de chez Huawei, ZTE, Hytera, Hikvision et Dahua Technology (ainsi que leurs filiales et sociétés affiliées) car ils représentent des risques inacceptables pour la sécurité nationale.

Au sein du communiqué officiel, on peut lire : "La Commission Fédérale des Communications a adopté de nouvelles règles interdisant l'importation ou la vente aux États-Unis d'équipements de communication considérés comme présentant un risque inacceptable pour la sécurité nationale." - Cette interdiction ne s'applique pas seulement aux produits destinés aux entreprises. En effet, les produits à usage personnel, que ce soit une simple caméra ou un routeur WiFi, sont également interdits à partir du moment où il s'agit des marques citées précédemment, ou d'une autre marque affiliée (telle qu'une marque blanche, par exemple).

Depuis plusieurs années, les relations sont tendues entre les Etats-Unis et les fournisseurs de matériel chinois, en commençant par Huawei. Les Etats-Unis accusent Huawei d'intégrer des portes dérobées à ses équipements dans le but de pouvoir réaliser des actions de cyberespionnage permettant de remonter des informations confidentielles au gouvernement chinois.

D'ailleurs, d'autres pays dans le monde ont déjà pris la décision de bannir les produits de télécommunications de Huawei, notamment les antennes 5G. Le site BleepingComputer cite les pays suivants : Australie, Nouvelle-Zélande, Inde,  Japon, Canada, Roumanie et Royaume-Uni.

Reste à savoir comment vont réagir les entreprises affectées par cette nouvelle... Et vous, qu'en pensez-vous ?

Source

L'article Désormais, les produits de chez Huawei, Hikvision, ZTE et Dahua sont bannis aux États-Unis ! est disponible sur IT-Connect : IT-Connect.
❌