Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Phishing : Darcula cible Android et l’iPhone par l’intermédiaire de Google Messages et iMessage

Darcula, c'est le nom d'une nouvelle plateforme de type "Phishing-as-a-Service" (PhaaS) qui permet d'usurper l'identité de différentes marques et organisations à partir de 20 000 domaines dans le but de voler les identifiants des utilisateurs sur mobile, aussi bien sur Android que sur iPhone. Faisons le point sur cette menace.

Alors que la plateforme Tycoon 2FA cible les utilisateurs de Microsoft 365 et Gmail sur ordinateur, Darcula quant à lui s'intéresse plutôt aux utilisateurs de smartphones Android et d'iPhone. Pour cela, des messages malveillants sont envoyés aux utilisateurs directement sur Google Messages (via le protocole RCS) et iMessage. Nous notons l'abandon du SMS traditionnel au profit du protocole RCS et d'iMessage, ce qui permet aux cybercriminels d'envoyer des messages protégés par le chiffrement de bout en bout, contrairement aux SMS. Ainsi, il n'est pas possible d'analyser le contenu du message pour le bloquer avant qu'il n'atteigne l'appareil de l'utilisateur.

Darcula : 200 modèles prêts à l'emploi

Le kit Darcula peut être utilisé par les cybercriminels pour usurper l'identité de services de livraison, mais aussi de services financiers, gouvernementaux, fiscaux, de sociétés de télécommunications, ou encore des compagnies aériennes. Au total, les abonnés ont accès à 200 modèles de messages et de pages malveillantes pour usurper l'identité des marques. Le contenu s'adapte également en fonction de la langue locale de l'utilisateur pris pour cible.

"La plateforme Darcula prétend prendre en charge environ 200 modèles d'hameçonnage, couvrant un large éventail de marques basées dans plus de 100 pays différents.", peut-on lire dans un rapport mis en ligne par Netcraft.

Source : Netcraft

Les cybercriminels n'ont qu'à choisir une marque et un script de configuration s'occupe d'effectuer la configuration dans un conteneur Docker. D'ailleurs, la plateforme Darcula utilise le registre de conteneurs Harbor pour héberger l'image Docker.

L'utilisation du protocole RCS et de iMessage

L'utilisation du protocole RCS et d'iMessage pour émettre les messages malveillants obligent les pirates à contourner certaines restrictions. Il y a notamment des restrictions pour l'envoi en masse de messages. Du côté d'Apple, c'est interdit, ce qui conduit les cybercriminels à utiliser plusieurs comptes Apple ID différents et des fermes d'iPhone pour envoyer les messages. Chez Google, une restriction a été récemment mise en place pour empêcher les appareils rootés d'envoyer ou de recevoir des messages RCS.

En complément, iMessage intègre une protection un peu plus contraignante pour les cybercriminels : l'utilisateur peut cliquer sur un lien présent dans un iMessage uniquement s'il a déjà communiqué avec l'expéditeur du message en question. Pour cela, le message indique clairement à l'utilisateur qu'il doit répondre au message par un "Y" ou un "1" afin de pouvoir accéder au lien.

Darcula - Phishing iMessage exemple
Source : Darcula

Darcula, une plateforme en pleine croissance

"Au total, Netcraft a détecté plus de 20 000 domaines liés à la cybercriminalité, répartis sur 11 000 adresses IP, qui ciblent plus de 100 marques.". De nombreux domaines en ".com" et ".top" sont utilisés par les cybercriminels et un tiers des hôtes sont protégés par les services de Cloudflare.

Par ailleurs, le document de Netcraft précise également 120 domaines supplémentaires sont créés chaque jour dans le but d'héberger des pages de phishing. Preuve que cette plateforme de PhaaS est en pleine croissance. À chaque fois, l'objectif des pirates est le même : voler les données confidentielles et/ou bancaires des utilisateurs, en fonction du template utilisé.

Même si nous tous plus ou moins habitués à recevoir ces messages suspects, restons vigilants...

Source

The post Phishing : Darcula cible Android et l’iPhone par l’intermédiaire de Google Messages et iMessage first appeared on IT-Connect.

Mettez à jour Google Chrome pour vous protéger de 7 vulnérabilités, dont 2 zero-day

Mardi 26 mars 2024, Google a publié une nouvelle version de son navigateur Chrome dans le but de corriger 7 vulnérabilités, dont 2 failles de sécurité zero-day découvertes lors du Pwn2Own 2024 de Vancouver. Faisons le point sur cette mise à jour !

Les utilisateurs de Google Chrome sur Windows Mac et Linux vont pouvoir passer par la case maintenance : l'entreprise américaine a mis en ligne plusieurs versions pour protéger ses utilisateurs. Tout d'abord, nous allons évoquer les deux failles de sécurité zero-day découvertes et exploitées lors du Pwn2Own 2024, une compétition de hacking.

La première vulnérabilité, associée à la référence CVE-2024-2886, a été découverte par Seunghyun Lee (@0x10n) de KAIST Hacking Lab, le 21 mars 2024. Il s'agit d'une faiblesse de type "use after free" présente dans WebCodecs.

La seconde vulnérabilité, associée à la référence CVE-2024-2887, a été découverte par Manfred Paul de l'équipe Trend Micro Zero Day Initiative. Il s'agit d'une faiblesse de type "type confusion" présente dans le composant WebAssembly. Ces deux vulnérabilités sont considérées comme importantes.

Par ailleurs, d'autres vulnérabilités ont été reportées directement à Google, notamment la faille de sécurité critique CVE-2024-2883, découverte par Cassidy Kim le 3 mars 2024. Il s'agit d'une vulnérabilité de type "use after free" dans ANGLE.

Pour vous protéger, vous devez mettre à jour Google Chrome pour passer sur les versions 123.0.6312.86/.87 pour Windows et Mac, ainsi que la version 123.0.6312.86 pour Linux. Les versions antérieures sont vulnérables. Vous pouvez obtenir plus d'informations dans le bulletin de sécurité de Google.

Pour rappel, suite aux vulnérabilités découvertes à l'occasion de cette compétition de hacking, la Fondation Mozilla a mis en ligne une nouvelle version pour son navigateur afin de combler deux failles de sécurité zero-day : Firefox 124.0.1. Enfin, sachez que Manfred Paul est le grand gagnant de cette édition du Pwn2Own Vancouver 2024 grâce à plusieurs vulnérabilités découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge.

The post Mettez à jour Google Chrome pour vous protéger de 7 vulnérabilités, dont 2 zero-day first appeared on IT-Connect.

GLPI : comment configurer l’authentification LDAP via l’Active Directory ?

I. Présentation

Dans ce tutoriel, nous allons avoir comment configurer l'authentification LDAP de GLPI pour pouvoir se connecter à l'application GLPI à partir des comptes utilisateurs présents dans un annuaire Active Directory. Ainsi, un utilisateur pourra accéder à GLPI à l'aide de son nom d'utilisateur et son mot de passe habituel (puisque ce seront les informations de son compte dans l'Active Directory).

GLPI propose nativement un modèle d'authentification LDAP, ce qui lui permet de s'appuyer sur un annuaire de comptes externe, comme l'Active Directory de Microsoft. Il faut savoir que les comptes utilisateurs de l'Active Directory seront importés dans la base de données de GLPI, grâce à un processus de synchronisation. Lorsqu'un utilisateur Active Directory se connecte pour la première fois, son compte est créé dans GLPI. Avant cela, il n'est pas visible, sauf si vous décidez d'effectuer un "import en masse" des comptes AD dans GLPI.

Par ailleurs, en complément de ce tutoriel, voici le lien vers la documentation officielle :

II. Configuration cible

Avant de passer à la configuration, voici quelques informations sur l'environnement utilisé.

Pour cette démonstration, le domaine Active Directory "it-connect.local" sera utilisé et le contrôleur de domaine SRV-ADDS-02 sera utilisé. Ce serveur dispose de l'adresse IP "10.10.100.11" et la connexion sera effectuée en LDAP, sur le port par défaut (389).

- Le compte utilisateur qui sera utilisé comme "connecteur" pour permettre à GLPI de se connecter à l'Active Directory se nomme "Sync_GLPI". Il est stocké dans l'unité d'organisation "Connecteurs" de l'annuaire (voir image ci-dessous). Il s'agit d'un compte utilisateur standard, sans aucun droit particulier sur l'annuaire Active Directory. Faites-moi plaisir : n'utilisez pas de compte Administrateur.

- Tous les utilisateurs qui doivent pouvoir se connecter à GLPI à l'aide de leur compte Active Directory sont stockés dans l'unité d'organisation "Personnel" visible ci-dessous. Elle correspond à ce que l'on appelle la "Base DN" vis-à-vis du connecteur LDAP de GLPI. Les autres utilisateurs ne pourront pas se connecter. En fait, ce n'est pas utile de mettre la racine du domaine comme base DN : essayez de restreindre autant que possible pour limiter la découverte de l'annuaire Active Directory au strict nécessaire.

- Les utilisateurs de l'Active Directory pourront se connecter à GLPI à l'aide de leur identifiant correspondant à l'attribut "UserPrincipalName" (mis en évidence, en jaune, sur l'image ci-dessous). Cet identifiant, sous la forme "identifiant + nom de domaine", leur permettra se connecter à GLPI avec un identifiant qui correspond à leur e-mail. L'alternative consisterait à utiliser l'attribut "SamAccountName" (soit l'identifiant sous la forme "DOMAINE\identifiant").

GLPI - Arborescence Active Directory

Voilà, maintenant, nous allons pouvoir dérouler la configuration !

II. Installer l'extension LDAP de PHP

L'extension LDAP de PHP doit être installée sur votre serveur pour que GLPI soit capable de communiquer avec votre serveur contrôleur de domaine Active Directory (ou tout autre annuaire LDAP).

Connectez-vous à votre serveur GLPI et exécutez les deux commandes suivantes pour mettre à jour le cache des paquets et procéder à l'installation de l'extension.

sudo apt-get update
sudo apt-get install php-ldap

Cette extension sera installée et activée dans la foulée. Vous n'avez pas besoin de relancer le serveur.

III. Ajouter un annuaire LDAP dans GLPI

Désormais, nous allons ajouter notre annuaire Active Directory à GLPI. Connectez-vous à GLPI avec un compte administrateur, puis dans le menu "Configuration", cliquez sur "Authentification".

GLPI - Configuration - Authentification

Au centre de l'écran, cliquez sur "Annuaire LDAP".

GLPI - Authentification - Annuaire LDAP

Puis, cliquez sur le bouton "Ajouter".

GLPI - Ajouter un nouvel annuaire LDAP

Un formulaire s'affiche à l'écran. Comment le renseigner ? À quoi correspondent tous ces champs ? C'est que nous allons voir ensemble.

  • Nom : le nom de cet annuaire LDAP, vous pouvez utiliser un nom convivial, ce n'est pas obligatoirement le nom du domaine, ni le nom du serveur.
  • Serveur par défaut : faut-il s'appuyer sur ce serveur par défaut pour l'authentification LDAP ? Il ne peut y avoir qu'un seul serveur LDAP défini par défaut.
  • Actif : nous allons indiquer "Oui", sinon ce sera déclaré, mais non utilisé.
  • Serveur : adresse IP du contrôleur de domaine à interroger. Avec le nom DNS, cela ne semble pas fonctionner (malheureusement).
  • Port : 389, qui est le port par défaut du protocole LDAP. Si vous utilisez TLS, il faudra le préciser à postériori, dans l'onglet "Informations avancées", du nouveau serveur LDAP.
  • Filtre de connexion : requête LDAP pour rechercher les objets dans l'annuaire Active Directory. Généralement, nous faisons en sorte de récupérer les objets utilisateurs ("objectClass=user") en prenant uniquement les utilisateurs actifs (via un filtre sur l'attribut UserAccountControl).
  • BaseDN : où faut-il se positionner dans l'annuaire pour rechercher les utilisateurs ? Ce n'est pas nécessaire la racine du domaine, tout dépend comment est organisé votre annuaire et où se situent les utilisateurs qui doivent pouvoir se connecter. Il faut indiquer le DistinguishedName de l'OU.
  • Utiliser bind : à positionner sur "Oui" pour du LDAP classique (sans TLS)
  • DN du compte : le nom du compte à utiliser pour se connecter à l'Active Directory. En principe, vous ne pouvez pas utiliser de connexion anonyme ! Ici, il ne faut pas indiquer uniquement le nom du compte, mais la valeur de son attribut DistinguishedName.
  • Mot de passe du compte : le mot de passe du compte renseigné ci-dessus
  • Champ de l'identifiant : dans l'Active Directory, quel attribut doit être utilisé comme identifiant de connexion pour le futur compte GLPI ? Généralement, UserPrincipalName ou SamAccountName, selon vos besoins.
  • Champ de synchronisation : GLPI a besoin d'un champ sur lequel s'appuyer pour synchroniser les objets. Ici, nous allons utiliser l'objectGuid de façon à avoir une valeur unique pour chaque utilisateur. Ainsi, si un utilisateur est modifié dans l'Active Directory, GLPI pourra se repérer grâce à cet attribut qui lui n'évoluera pas (sauf si le compte est supprimé puis recréé dans l'AD).
GLPI - Formulaire configuration annuaire LDAP

Ci-dessous, la configuration utilisée pour cette démonstration et qui correspond à la "configuration cible" évoquée précédemment.

  • Nom : Active Directory - it-connect.local
  • Serveur par défaut : Oui
  • Actif : Oui
  • Serveur : 10.10.100.11
  • Port : 389
  • Filtre de connexion : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
  • BaseDN : OU=Personnel,DC=it-connect,DC=local
  • Utiliser bind : Oui
  • DN du compte : CN=Sync_GLPI,OU=Connecteurs,OU=Tiering,OU=IT,DC=it-connect,DC=local
  • Mot de passe du compte : Mot de passe du compte "Sync_GLPI"
  • Champ de l'identifiant : userprincipalname
  • Champ de synchronisation : objectguid

Quand votre configuration est prête, cliquez sur "Ajouter".

GLPI - Configurer Active Directory

Dans la foulée, GLPI va effectuer un test de connexion LDAP et vous indiquer s'il est parvenu, ou non, à se connecter à votre annuaire. Si ce n'est pas le cas (comme moi, la première fois), cliquez sur le nom de votre annuaire, vérifiez la configuration, puis retournez dans "Tester" sur la gauche afin de lancer un nouveau test. Pour ma part, le problème venait du champ "Serveur" : j'avais mis le nom DNS du serveur à la place de l'adresse IP, mais cela ne fonctionnait pas. Pourtant, mon serveur GLPI parvient bien à résoudre le nom DNS.

GLPI - Tester authentification LDAP

Par ailleurs, vous pouvez explorer les différents onglets : Utilisateurs, Groupes, Réplicats, etc... Pour affiner la configuration. L'onglet "Utilisateurs" est intéressant pour configurer le mappage entre les champs d'une fiche utilisateur dans GLPI et les attributs d'un compte dans l'Active Directory. Quant à l'onglet "Réplicats", vous pouvez l'utiliser pour déclarer un ou plusieurs contrôleurs de domaine "de secours" à contacter si le serveur principal n'est plus joignable.

IV. Tester la connexion Active Directory

Si GLPI valide la connexion à votre annuaire Active Directory, vous pouvez tenter de vous authentifier à l'application avec un compte utilisateur. Pour ma part, c'est l'utilisateur Guy Mauve qui va servir de cobaye. Son login GLPI sera donc "[email protected]" puisque je m'appuie sur l'attribut UserPrincipalName. Pour le mot de passe, je dois indiquer celui de son compte Active Directory.

Remarque : la source d'authentification doit être l'Active Directory.

Connexion à GLPI avec un compte Active Directory

Voilà, l'authentification fonctionne ! L'utilisateur a pu se connecter avec son compte Active Directory et il hérite du rôle "Self-service".

GLPI - Exemple - Connexion avec un utilisateur AD

Dans le même temps, à partir du compte admin de GLPI, je peux remarquer la présence d'un nouveau compte utilisateur dont l'identifiant est "[email protected]" ! GLPI a également récupéré le nom, le prénom et l'adresse e-mail à partir de différents attributs de l'objet LDAP.

Synchronisation GLPI et utilisateur Active Directory

V. Forcer une synchronisation Active Directory

A partir de GLPI, vous pouvez forcer une synchronisation LDAP de façon à mettre à jour les comptes dans GLPI "liés" à des comptes Active Directory, mais aussi pour importer en masse tous les comptes des utilisateurs Active Directory. Ceci vous évite d'attendre la première connexion et vous permet de préparer le compte : attribution du bon rôle, etc.

Cliquez sur "Administration" dans le menu, puis "Utilisateurs". Ici, vous avez accès au bouton "Liaison annuaire LDAP".

Vous avez ensuite le choix entre deux actions différentes, selon vos besoins.

Si vous cliquez sur "Importation de nouveaux utilisateurs", vous pourrez importer en masse les comptes dans l'Active Directory. Il vous suffit de lancer une recherche, de sélectionner les comptes à importer et de lancer l'import grâce au bouton "Actions".

Importer des comptes AD dans GLPI.jpg

Remarque : vous pouvez aussi importer des groupes Active Directory. Pour cela, suivez la même procédure, mais en allant dans "Groupes" sous "Administration".

VI. Conclusion

En suivant ce tutoriel, vous devriez être en mesure d'importer les comptes utilisateurs d'un annuaire Active Directory dans GLPI, pour faciliter la connexion de vos utilisateurs. Sachez que si un utilisateur change son mot de passe dans l'Active Directory, ce n'est pas un problème : GLPI vérifie les informations lors de la connexion.

The post GLPI : comment configurer l’authentification LDAP via l’Active Directory ? first appeared on IT-Connect.

En 72 heures, le botnet TheMoon a compromis 6 000 routeurs ASUS

Une nouvelle variante du botnet "TheMoon" a été repéré dans 88 pays différents sur des milliers de routeurs, notamment de la marque ASUS, et des appareils IoT. Faisons le point sur cette menace.

Les chercheurs en sécurité de Black Lotus Labs ont surveillé de près la dernière campagne de TheMoon, qui s'est déroulée en mars 2024, et les chiffres sont élevés : en 72 heures, ce botnet est parvenu à compromettre 6 000 routeurs ASUS. Plus globalement, voici ce que précise le rapport au sujet de l'activité de TheMoon : "Alors que Lumen a déjà documenté cette famille de logiciels malveillants, notre dernier suivi a montré que TheMoon semble permettre la croissance de Faceless à un rythme de près de 7 000 nouveaux utilisateurs par semaine."

En effet, les appareils compromis par le botnet TheMoon sont ensuite exploités par le service proxy "Faceless" auquel il est lié. Ce service s'appuie sur les appareils infectés pour les utiliser comme proxy afin de masquer le trafic généré par les cybercriminels. Ainsi, ceci permet aux cybercriminels, notamment ceux des groupes IcedID et SolarMarker, de masquer leurs activités malveillantes.

TheMoon n'est pas une nouvelle menace puisqu'il a été repéré pour la première fois en 2014. À cette époque, il ciblait particulièrement les équipements LinkSys. Lors de la première semaine de mars, il y a eu une importante vague d'attaques à destination des routeurs ASUS.

Les routeurs ASUS, une cible privilégiée

Les chercheurs de Black Lotus Labs ne précisent pas comment les routeurs ASUS ont pu être compromis, mais il s'agirait de modèles qui ne sont plus pris en charge par le fabricant. Il est fort probable que des failles de sécurité connues et non corrigées soient exploitées par le botnet, ou que la technique du brute force soit utilisée : ces routeurs sont susceptibles d'être mal configurés et le compte admin par défaut pourrait fonctionner dans certains cas...

Lorsqu'un appareil est compromis, le logiciel malveillant part à la recherche d'un shell avec lequel il est compatible : "/bin/bash," "/bin/ash," ou "/bin/sh". Si c'est le cas, le chargeur télécharge, déchiffre et exécute un payload nommé ".nttpd" sur l'appareil. Ensuite, des règles de filtrage sont créées via iptables pour bloquer les flux entrants sur les ports 8080 et 80 en TCP, sauf pour des plages d'adresses IP spécifiques. Ceci permet aux attaquants d'être les seuls à pouvoir exploiter cet appareil à distance, notamment via le service de proxy. Enfin, TheMoon établit une connexion aux serveurs C2 pilotés par les attaquants et il est en attente de recevoir des instructions.

Si vous constatez des problèmes de stabilité, de performances ou des paramètres qui ont changé sur votre routeur ou un appareil IoT, il se pourrait que vous soyez victime de ce botnet, notamment si vous utilisez un routeur ASUS.

Source

The post En 72 heures, le botnet TheMoon a compromis 6 000 routeurs ASUS first appeared on IT-Connect.

Digital Markets Act : une croissance de 402% pour Opera sur iPhone

Grâce à l'entrée en vigueur du Digital Markets Act, Opera affiche une énorme croissance de 402% sur iPhone, en France ! Il s'agit d'une alternative à Safari qui semble séduire les utilisateurs de smartphones Apple.

Le 6 mars 2024, le Digital Markets Act (DMA) est entré en vigueur et les géants de la tech ont dû s'y préparer : que ce soit Google, Amazon, Microsoft ou encore Apple. D'ailleurs, sur les smartphones sous Android et iOS, Google et Apple doivent permettre à l'utilisateur de choisir facilement un navigateur tiers. Autrement dit, si nous prenons le cas de l'iPhone, Apple ne doit pas imposer Safari. Sur Android, il s'agit d'avoir le choix d'utiliser autre chose que Google Chrome. L'objectif étant d'offrir aux utilisateurs une certaine liberté, et surtout, de pouvoir faire ses choix de façon simple.

Bien que de nombreux utilisateurs d'iPhone aient pris la décision de poursuivre l'aventure avec Safari, d'autres, quant à eux, ont choisi d'utiliser un autre navigateur. En effet, il y a du choix : Brave, Mozilla Firefox, ou encore Opera. Au total, il y a une petite dizaine d'alternatives proposées.

Au mois de mars, le grand gagnant, c'est Opera : il affiche une croissance de 402% sur iOS, rien qu'en France. Chez nos voisins européens, il y a également une belle évolution pour Opera : +143% en Espagne, +68% en Pologne et +56% en Allemagne. Sur Android, Opera a également progressé : "Opera pour Android a également connu une croissance significative, en particulier en France, où le nombre de nouveaux utilisateurs a augmenté de 54 % le jour où le Ballot Screen a commencé à être introduit.", peut-on lire dans l'article de presse d'Opera.

De façon globale, sur desktop et mobile, Opera reste moins utilisé que certains navigateurs comme Google Chrome, Microsoft Edge et Safari, c'est un sérieux coup de pouce pour ce navigateur qui se démarque par certaines fonctionnalités intéressantes pour la confidentialité en ligne.

D'ailleurs, dans son article de presse, Opera en profite pour rappeler certaines de ces fonctionnalités disponibles sur mobiles : "Opera pour Android et Opera pour iOS sont des navigateurs puissants qui offrent une expérience rapide, sécurisée et centrée sur l'utilisateur. Tous deux proposent des fonctions de confidentialité avancées, telles qu'un VPN gratuit et sans connexion, ainsi qu'un bloqueur de publicités, un bloqueur de traqueurs et un bloqueur de fenêtres pop-up et de cookies intégrés."

Par ailleurs, certains utilisateurs ont pris la décision de s'orienter vers d'autres navigateurs. Du côté de Brave, le nombre d'installations quotidiennes est passé de 8 000 à 11 000 à partir du 9 mars 2024.

Source

The post Digital Markets Act : une croissance de 402% pour Opera sur iPhone first appeared on IT-Connect.

Sur Windows Server, Microsoft Edge 123 ne fonctionne plus ! Que se passe-t-il ?

Vous utilisez Microsoft Edge sur Windows Server et il se ferme au bout de quelques secondes ? Sachez que vous n'êtes pas le seul et que ce problème serait lié à la version 123 du navigateur Edge. Faisons le point sur ce problème.

La Build 123.0.2420.53 de Microsoft Edge semble donner du fil à retordre aux administrateurs systèmes qui exploitent ce navigateur sur Windows Server. En effet, cette version ne semble pas fonctionner correctement : une page blanche s'ouvre au démarrage, puis quelques secondes plus tard, le navigateur se ferme tout seul. Ceci peut s'avérer très problématique sur certains serveurs, notamment les hôtes de sessions Bureau à distance (RDS) où les utilisateurs se connectent directement !

Ce problème fait suite à l'installation de la version 123.0.2420.53 sur Windows Server. Une version disponible depuis quelques jours sur Windows et Windows Server puisqu'elle a introduit le canal Stable de Microsoft Edge le 23 mars 2024.

Comment résoudre ce problème ?

Actuellement, la solution consiste à revenir en arrière, c'est-à-dire sur une version antérieure de Microsoft Edge. D'ailleurs, sur le forum de Microsoft une ligne de commande a été fournie par un utilisateur pour expliquer comment revenir en arrière à partir du package MSI d'une précédente version d'Edge grâce à l'utilisation du paramètre "ALLOWDOWNGRADE=1" :

msiexec /I Microsoft Edge_122.0.2365.106_Machine_X64_msi_en-US.msi ALLOWDOWNGRADE=1

Vous pouvez télécharger la version de Microsoft Edge de votre choix à partir de cette page. Sur la page du forum Microsoft, l'agent qui a répondu confirme que d'autres utilisateurs ont rencontré ce problème ! D'ailleurs, ces dernières heures, Microsoft a retiré cette mise à jour de son catalogue et elle n'est plus distribuée via WSUS : preuve qu'il y a un réel problème avec celle ! En attendant, si elle est déjà passée sur vos serveurs, vous risquez de rencontrer ce problème !

Et vous, rencontrez-vous ce bug sur Windows Server ?

PS : merci à Fabien Guérout de chez Délibérata (un ancien collègue !) de m'avoir signalé ce dysfonctionnement et confirmé que le downgrade vers une version antérieure permettait de corriger ce problème !

The post Sur Windows Server, Microsoft Edge 123 ne fonctionne plus ! Que se passe-t-il ? first appeared on IT-Connect.

Le kit de phishing Tycoon 2FA contourne le MFA et cible les comptes Microsoft 365 et Gmail !

Tycoon 2FA, c'est le nom d'une plateforme de Phishing-as-a-Service (Phaas) utilisée par les cybercriminels pour cibler les utilisateurs de Gmail (Google) et de Microsoft 365, tout en outrepassant l'authentification à deux facteurs. Voici ce qu'il faut savoir sur ce kit redoutable !

En octobre 2023, les analyses de Sekoia ont fait la découverte de Tycoon 2FA pour la première fois. Néanmoins, les pirates du groupe Saad Tycoon en font la promotion sur un canal Telegram privé depuis août 2023.

Comme le soulignent les équipes de Sekoia dans un nouveau rapport, ce kit de phishing prêt à l'emploi est en pleine évolution et une nouvelle version a été publiée en 2024 : plus efficace et plus furtive, notamment l'ajout de capacités de détection et de blocage des bots. Actuellement, Tycoon 2FA exploite 1 100 domaines et a été utilisé pour mettre au point des milliers d'attaques de phishing.

Afin de pouvoir contourner l'authentification multifacteur et voler les informations d'identification des utilisateurs, Tycoon 2FA doit intercepter les données de la victime et les transmettre au service légitime. Pour atteindre cet objectif, la plateforme Tycoon 2FA intègre un reverse proxy qui va se positionner entre l'ordinateur de la victime et le service sur lequel elle va se connecter.

Un processus bien rôdé, en 7 étapes

Ainsi, actuellement en mars 2024, une attaque Tycoon 2FA se déroule en 7 étapes distinctes :

  • Étape 0 : les attaquants diffusent des liens malveillants par l'intermédiaire d'une campagne de phishing (e-mails malveillants) ou des QR codes piégés, dans le but d'amener la victime vers la page falsifiée.
  • Étape 1 : lorsqu'un utilisateur clique sur l'URL contenue dans l'e-mail, ou qu'il scanne le QR code, il est redirigé vers une page intégrant un défi Turnstile de Cloudflare afin de filtrer le trafic indésirable.
  • Étape 2 : cette étape n'est pas visible pour l'utilisateur, car elle exécute un code JavaScript en arrière-plan et redirige ensuite l'utilisateur vers une autre page en fonction de la présence d'une adresse électronique.
  • Étape 3 : cette étape est également invisible pour l'utilisateur qui sera redirigé automatiquement vers une autre page contrôlée par les cybercriminels.
  • Étape 4 : l'utilisateur se retrouve face à une fausse page de connexion Microsoft qui est utilisée par les attaquants pour voler les informations d'identification. WebSockets est utilisé pour l'exfiltration des données.
  • Étape 5 : c'est à ce moment-là que, si nécessaire, Tycoon 2FA va utiliser du code JavaScript pour proposer un défi 2FA à l'utilisateur, en relayant et en prenant en charge plusieurs méthodes (Notification sur Microsoft Authenticator, code à usage unique via une application, SMS ou par appel téléphonique). Il interceptera les informations de validation émises par l'utilisateur pour compléter le challenge MFA.
  • Étape 6 : fin du processus, l'utilisateur est redirigé vers une page déterminée par les cybercriminels. Le site de Microsoft, dans certains cas.

Au sujet de l'étape n°5, Sekoia précise : "À l'aide de serveurs proxy commerciaux, les pages d'hameçonnage Tycoon 2FA transmettent les données de l'utilisateur, notamment l'adresse électronique, le mot de passe et le code 2FA, à l'API d'authentification légitime de Microsoft. La réponse au trafic de l'API Microsoft renvoie les pages et les informations appropriées à l'utilisateur." - Ce qui montre l'efficacité de Tycoon 2FA et prouve que c'est un kit prêt à l'emploi très évolué.

Source : Sekoia

Les affiliés de Tycoon 2FA ont accès à un véritable tableau de bord d'administration au sein duquel ils peuvent visualiser les identifiants collectés avec l'identifiant, le mot de passe, l'état du MFA, ainsi que la possibilité d'obtenir des cookies d'authentification prêts à l'emploi.

Un ensemble de domaines malveillants est associé à l'utilisation du kit Tycoon 2FA. Vous pouvez retrouver la liste sur le GitHub de Sekoia, sur cette page.

Tycoon 2FA, une plateforme massivement utilisée par les pirates

Sekoia a pu analyser le portefeuille de cryptomonnaie utilisé par le groupe de cybercriminels à l'origine du kit Tycoon 2FA. Depuis août 2023, il y a eu 700 transactions entrantes d'une valeur moyenne de 366 dollars, soit plus de 256 000 dollars. Les analystes indiquent également que 530 transactions ont dépassé 120 dollars, ce qui correspond au tarif pour accéder à la plateforme PhaaS pendant 10 jours.

"En supposant que le portefeuille est principalement utilisé pour les opérations PhaaS de Tycoon 2FA depuis août 2023, le montant total des transactions suggère que plusieurs centaines de kits Tycoon 2FA ont été vendus 'as a service' sur une période de six mois.", peut-on lire.

Source

The post Le kit de phishing Tycoon 2FA contourne le MFA et cible les comptes Microsoft 365 et Gmail ! first appeared on IT-Connect.

Sécurité de l’Active Directory : comprendre et se protéger de l’attaque ASREPRoast

I. Présentation

Dans cet article, nous allons comprendre, exploiter et corriger une vulnérabilité fréquente sur les environnements Active Directory : ASREPRoast.

Ce nom ne vous dit peut-être rien, mais il s'agit d'un défaut de configuration fréquent dans l'Active Directory. L'attaque ASREPRoast permet à un attaquant situé sur un réseau d'entreprise possédant un domaine de compromettre rapidement un compte utilisateur, et ainsi de passer d'un mode opératoire boite noire (attaque sans identifiants valides, juste une connexion au réseau) à un mode boite grise (attaque depuis un compte valide sur le domaine). Le passage d'un mode boite noire à boite grise change en général la donne de façon très importante lors d'une cyberattaque, car l'accès authentifié au domaine permet d'en extraire beaucoup d'informations.

L'objectif de cet article est de vous expliquer en détail cette vulnérabilité. Nous allons notamment voir comment elle peut être introduite sur un Active Directory, comment un attaquant peut l'exploiter et comment un défenseur peut l'identifier et la corriger.

C'est parti !

II. Qu'est-ce que l'attaque ASREPRoast ?

A. Dans les grandes lignes

Commençons par essayer de comprendre le nom de l'attaque. "ASREP" fait référence au message "KRB-AS-REP" du service Kerberos lors d'une authentification (réponse à un message KRB-AS-REQ, une requête d'authentification Kerberos). "Roast" renvoi simplement au mot "rôtir" ou "cuisiner" car l'on devra ensuite travailler un peu sur la donnée obtenue pour pouvoir l'utiliser.

Au sein d'un domaine, l'authentification Kerberos est assurée par le composant Key Distribution Center (KDC) des contrôleurs de domaine. Lorsqu'un utilisateur souhaite accéder à un service ou à une ressource réseau, il doit d'abord obtenir un Ticket Granting Ticket (TGT) auprès du KDC. Pour cela, l'utilisateur envoie une requête de type "KRB-AS-REQ" (Kerberos Authentication Service Request) au KDC, elle contient notamment des informations d'identification de l'utilisateur et une clé liée à son mot de passe.

Le KDC vérifie alors les informations d'identification fournies par l'utilisateur. Si celles-ci sont correctes et que l'utilisateur existe dans le domaine, le KDC lui délivre un TGT. Ce TGT est ensuite utilisé par l'utilisateur pour obtenir des tickets de session (TGS) auprès des services du domaine, lui permettant d'accéder à ceux-ci sans avoir à fournir à nouveau ses informations d'identification. Ce processus s'appelle pre-authentification.

Schéma d'une authentification Kerberos et de l'émission d'un TGT.
Schéma d'une authentification Kerberos et de l'émission d'un TGT.

Cependant, il existe une configuration spécifique représentée par un attribut sur les comptes utilisateurs appelé "Do not require Kerberos preauthentication". Cet attribut autorise l'envoi d'un TGT pour un compte sans que le demandeur n'ait prouvé son identité au préalable.

Schéma de l'émission d'un TGT pour un utilisteur ayant l'attribut "Do not require Kerberos preauthentication".
Schéma de l'émission d'un TGT pour un utilisteur ayant l'attribut "Do not require Kerberos preauthentication".

En conséquence, n'importe qui sur le réseau peut obtenir un TGT représentant ce compte utilisateur et tenter d'usurper son identité. Il est important de noter que le TGT obtenu ne peut être utilisé que si la personne qui le détient connaît le mot de passe du compte associé. Cependant, en cas d'utilisation d'un mot de passe faible, le contenu du TGT peut être utilisé pour retrouver le mot de passe du compte utilisateur.

Le TGT ne contient pas directement le mot de passe de l'utilisateur. Mais, il contient des informations chiffrées grâce au secret de l'utilisateur, qui sont utilisés pour prouver l'identité de l'utilisateur lorsqu'il demande des tickets de session ultérieurs. Ainsi, des "traces" du mot de passe s'y trouve, ce qui permet de tenter de casser le TGT pour retrouver le mot de passe en clair.

Cette attaque est très connue des attaquants, si bien qu'elle dispose de son propre TTP (Tactics, Technics and Procedures) dans le framework MITRE ATT&CK : T1558.004- Steal or Forge Kerberos Tickets: AS-REP Roasting.

B. Dans le détail

Regardons à présent dans le détail ce qu'il se passe lors d'une authentification via Kerberos. Pour cela, j'ai effectué une capture réseau des échanges dans différents cas de figures.

  • AS-REQ pour un login inexistant

Lorsqu'un utilisateur souhaite s'authentifier auprès du service Kerberos, le client envoi dans un premier temps un message de demande d'authentification ("KRB-AS-REQ"), voici à quoi il ressemble sur une capture réseau (cliquez sur l'image pour zoomer) :

"AS-REQ" suivi d'une erreur "ERR_C_PRINCIPAL_UNKNOWN".
"AS-REQ" suivi d'une erreur "ERR_C_PRINCIPAL_UNKNOWN".

Dans le cas d'une demande d'authentification avec un login incorrect, c'est-à-dire qui n'existe pas dans l'Active Directory, le service Kerberos renvoi un message de type "KRB-ERROR : C-PRINCIPAL-UNKNOWN" en réponse à l'AS-REQ" du client. Le message est clair : l'utilisateur "MMARTIN1" n'existe pas dans l'Active Directory.

  • AS-REQ pour un login existant avec pré-authentification

Si le login est correct, le service renvoi une réponse de type "KRB-ERROR : PREAUTH REQUIRED". Cette réponse du service Kerberos indique que pour obtenir un TGT pour cet utilisateur, il faut au préalable s'authentifier, ce qui est plutôt une bonne nouvelle d'un point de vue sécurité. Rappelons que les TGT sont des tickets qui permettent de demander des TGS (Ticket Granting Service) pour accéder à un service au nom de l'utilisateur présenté dans le ticket. Il est donc préférable de prouver son identité (s'authentifier) au préalable.

À noter que cette différence de comportement dans la réponse du service ("PRINCIPAL_UNKNOWN "ou "PREAUTH REQUIRED") permet une énumération des utilisateurs basée sur un dictionnaire. Sans même connaitre le mot de passe associé à un compte, on peut savoir s'il existe dans l'annuaire, car le service Kerberos nous indiquera clairement cette information dans sa réponse.

Voici à quoi rassemble une réponse "PREAUTH_REQUIRED". Suite à cette réponse, notre client s'authentifie envoyant un message "AS-REQ", encore ? (cliquez sur l'image pour zoomer) :

Réponse "ERR_PREAUTH_REQUIRED" indiquant que le compte utilisateur existe dans l'annuaire.
Réponse "ERR_PREAUTH_REQUIRED" indiquant que le compte utilisateur existe dans l'annuaire.

Ce second message "AS-REQ" contient cependant un nouvel item, il s'agit d'une donnée chiffrée à l'aide d'une clé liée au mot de passe utilisateur. Si le service Kerberos parvient à déchiffrer ce message avec le mot de passe de l'utilisateur (qu'il possède de son côté grâce à l'annuaire et sa base NTDS.DIT) alors, il aura la preuve qu'il s'agit du bon mot de passe, et donc du vrai utilisateur. Tout cela sans que le mot de passe n'ait transité en clair sur le réseau. Pour plus de détails, sachez que la donnée chiffrée est un timestamp : c'est-à-dire la date et l'heure actuelle dans un format précis (notez le "pA-ENC-TIMESTAMP" dans la seconde AS-REQ).

Enfin, si les identifiants sont corrects, le service envoi un message de réponse "AS-REP" contenant notamment un TGT, qui permet de demander ensuite des TGS (cliquez sur l'image pour zoomer) à différents services :

Transmission d'un TGT par le service Keberos suite à une authentification réussie.
Transmission d'un TGT par le service Keberos suite à une authentification réussie.

Voilà à quoi ressemble une authentification "classique" via Kerberos en vue d'obtenir un TGT.

  • AS-REQ pour un login existant sans pré-authentification

Cependant, Microsoft a ajouté un attribut aux objets utilisateur qui permet d'autoriser le service Kerberos à fournir un TGT à quiconque le demande, sans authentification : l'attribut "Do not require Kerberos preauthentication". Dans ce cas, un attaquant peut demander un TGT pour un tel compte sans avoir besoin de fournir de preuve d'identité valide. Voilà alors ce qu'il se passe (cliquez sur l'image pour zoomer) :

Obtention d'un TGT sans authentification préalable pour un utilisateur ayant l'attribut "No preauthentication required".
Obtention d'un TGT sans authentification préalable pour un utilisateur ayant l'attribut "No preauthentication required".

Une "AS-REQ", demandant un TGT pour l'utilisateur "RDUBOIS", puis une "AS-REP" du KDC délivrant TGT, le tout sans preuve d'identité (authentification). N'importe qui peut donc usurper l'identité de l'utilisateur "RDUBOIS" en demandant un TGT à son nom, puis utiliser ce TGT pour demander des TGS aux services du domaine et y accéder.

Pour être plus précis, rappelons que le TGT obtenu dans les messages "AS-REP" est chiffré et ne peut être utilisé sans connaître le mot de passe du compte utilisateur. Cependant, étant donné qu'il est chiffré avec un dérivé du mot de passe utilisateur, l'attaquant pourra tenter de casser ce mot de passe en Offline (localement, sans interactions supplémentaires avec le KDC ou le domaine), pour retrouver le mot de passe de l'utilisateur.

En résumé, quand cet attribut est présent sur un compte utilisateur, n'importe qui peut obtenir une donnée (le TGT) qui utilise un dérivé du mot de passe du compte utilisateur, et donc tenter de retrouver le mot de passe en clair. Même en étant confiant sur l'algorithme de chiffrement et la robustesse du mot de passe utilisé, reconnaissons qu'il est plutôt périlleux de fournir ce genre d'informations à un simple visiteur non authentifié sur notre système d'information.

J'espère que cette vue en détail des échanges Kerberos vous aura permis de mieux comprendre le fonctionnement de l'attaque ASREPRoast.

C. Pourquoi cet attribut ?

Certaines applications ne prennent pas en charge la pré-authentification Kerberos, il est ainsi courant de trouver des utilisateurs avec la pré-authentification Kerberos désactivée, permettant ainsi aux attaquants de demander des TGT pour ces utilisateurs. C'est la raison principale de l'existence de ce paramètre d'après la documentation Microsoft. La pré-authentification Kerberos peut également être désactivée pour d'autres raisons liées à des besoins spécifiques de sécurité ou de compatibilité avec d'autres systèmes.

Dans la réalité, il n'est pas rare de trouver de tels comptes, notamment sur des systèmes d'information qui ont un certain historique...

III. Configuration d'un Lab vulnérable

Attention, dans ce chapitre, nous allons configurer de manière volontaire un Lab vulnérable pour vous exposer le but et le fonctionnement de l'attaque.

NE PAS REPRODUIRE SUR UN ENVIRONNEMENT DE PRODUCTION.

Dans mon Lab de démonstration, j'ouvre la console "Utilisateurs et ordinateurs Active Directory", puis je sélectionne un de mes utilisateurs, ici l'utilisateur "RDUBOIS". Il faut ensuite faire un clic droit "Propriétés" sur cet objet et se rendre dans "Compte" :

Configuration de l'attribut "Do not require Kerberos preauthentication" sur un compte utilisateur.
Configuration de l'attribut "Do not require Kerberos preauthentication" sur un compte utilisateur.

Dans les "Options de compte", il faut trouver et cocher "La pré-authentification Kerberos n'est pas nécessaire" comme sur l'image ci-dessus.

Si vous vous souvenez des explications précédentes, l'attaque ASREPROAST est d'autant plus dangereuse si le mot de passe utilisé est faible, pour avoir un cas d'école, nous allons paramétrer le mot de passe de l'utilisateur "RDUBOIS" à "#1p@ssword" (ce n'est pas un mot de passe faible ? Vous allez voir que si 🙂 ). Il faut à nouveau faire un clic droit sur l'objet puis "Réinitialiser le mot de passe" :

Paramétrage d'un mot de passe faible sur le compte utilisateur.
Paramétrage d'un mot de passe faible sur le compte utilisateur.

Voilà, notre Lab d'entrainement est prêt !

IV. Point de vue de l'attaquant

Soyez vigilant à n'exploiter ou même tenter de découvrir cette vulnérabilité que si vous y êtes autorisé. Pour rappel : Code pénal : Chapitre III : Des atteintes aux systèmes de traitement automatisé de données

A. Trouver une liste de noms

Vous l'aurez compris, pour effectuer une attaque ASREPRoast, il faut un login utilisateur à tester, voire plusieurs. Dans un premier temps, l'attaquant doit donc se constituer une liste de login (dictionnaire) qu'il soumettra ensuite au service Kerberos.

  • Dans le cas où l'attaquant n'est pas authentifié sur le domaine (boite noire) :

Si l'attaquant n'a pas de compte sur l'Active Directory, il peut utiliser différentes méthodes pour récupérer des logins valides. L'OSINT (Open Source Intelligence) est une méthode assez commune puisqu'avec quelques requêtes Google ou recherches Linkedin, on peut assez facilement retrouver une liste de personnes travaillant dans une entreprise. La recherche dans des fuites de données, basée sur le nom de l'entreprise ou l'adresse mail, est aussi fréquente.

Depuis l'intérieur du réseau (toujours sans compte valide sur le domaine), il existe un grand nombre de techniques également. Les imprimantes sont mon moyen favori, souvent mal protégées avec des interfaces d'administration exposées et verbeuses, elles stockent des carnets d'adresses qui exposent souvent des logins utilisateur. Les applications web internes, services SNMP, SMB et RPC mal configurés (authentification anonyme) ou même l'interception réseau sont également très efficaces.

Également, il est possible pour l'attaquant d'utiliser des dictionnaires pré-conçus utilisant des couples prénom-noms communs, voir des noms de comptes techniques comme "svc-ldap", "backup", "formation", "accueil", etc. Les dictionnaires que j'utilise souvent sont publics et fonctionnent en général très bien, bien qu'utilisant majoritairement des noms anglophones : https://github.com/insidetrust/statistically-likely-usernames.

Avec toutes ces méthodes, il est souvent très facile de se constituer une liste bien fournie de logins utilisateur potentiels. Il faut enfin savoir les formater grâce à la nomenclature actuelle de l'Active Directory ciblé : est-ce "marc.martin", marc_martin, "m.martin", "mmartin" ? etc.

  • Dans le cas où l'attaquant est authentifié sur le domaine (boite grise) :

Si l'attaquant possède déjà un compte sur le domaine, rien de plus facile. Une simple requête LDAP permettra de récupérer la totalité des logins utilisateur de l'annuaire, il aura alors une liste exhaustive des comptes à cibler, augmentant ses chances d'en trouver un avec l'attribut "Do not require Kerberos preauthentication".

Depuis Linux, une requête "ldapsearch" fera l'affaire :

ldapsearch -v -x -D "[email protected]" -W -b "DC=it-connect,DC=tech"  -H "ldap://ad01.it-connect.tech" "(&(objectClass=user))" sAMAccountName |grep "sAMAccountName:" |cut -d " " -f 2 > /tmp/userlist

J'utilise ici la commande "ldapsearch" pour récupérer les attributs "sAMAccountName" des utilisateurs du domaine, puis la commande "grep" pour isoler les lignes qui m'intéressent et enfin "cut" pour isoler uniquement le login de l'utilisateur. Si vous peinez à comprendre cette commande, n'hésitez pas à la décomposer dans votre environnement et à exécuter les commandes une à une. Le tout est enregistré dans le fichier "/tmp/userlist". Voici un exemple du résultat attendu :

Extraction des utilisateurs de l'Active Directory avec un compte valide sur le domaine via "ldapsearch".
Extraction des utilisateurs de l'Active Directory avec un compte valide sur le domaine via "ldapsearch".

Je me retrouve donc avec une liste de 1000 logins utilisateur valides dans le fichier "/tmp/userlist".

L'outil BloodHound va également récupérer la liste des utilisateurs pour les stocker dans un fichier JSON, qui pourra facilement être parcouru pour en extraire les logins. Je vous oriente sur mon cours sur BloodHound si vous souhaitez en savoir plus : Identifiez les faiblesses de votre Active Directory avec Bloodhound

Une fois cette liste, hypothétique, partielle ou complète à disposition, l'attaquant va pouvoir interroger sur le service Kerberos du domaine afin de voir si :

  • L'utilisateur existe dans l'annuaire;
  • Il dispose de l'attribut "Do not require Kerberos preauthentication".

B. Exploiter ASREPRoast depuis Linux

Depuis Linux, une multitude d'outils offensifs existent pour effectuer cette attaque. Je vais ici vous présenter les outils les plus classiques : "impacket" et "netexec".

Impacket est une bibliothèque Python utilisée pour interagir avec des protocoles de réseau tels que SMB, LDAP et Kerberos. Elle offre des outils pour la manipulation de paquets réseau, la création de serveurs et de clients pour ces protocoles, ainsi que des fonctionnalités avancées pour l'analyse et l'exploitation de vulnérabilités. Impacket est très largement utilisé pour les opérations offensives et de nombreux outils utilisent cette librairie.

En plus d'être une librairie très puissante, les créateurs d'Impacket fournissent des scripts qui l'utilisent afin d'automatiser certaines opérations et attaques, comme ASREPRoast. Je ne peux pas détailler ici la procédure d'installation de "Impacket" et de ses "examples scripts", je vous renvoie pour cela à la documentation officielle : Github - Impacket.

  • ASREPRoast en boite noire

Nous allons notamment utiliser le script "impacket-GetNPUsers" ("NP" pour "NoPreauth"). Dans le cas où nous sommes en boite noire, nous avons au préalable construit notre dictionnaire à partir de différentes sources. Nous pouvons utiliser ce dictionnaire pour réaliser une attaque ASREPRoast. Ici,"192.168.56.102" est l'adresse IP de mon contrôleur de domaine, qui héberge le service Kerberos (KDC)) :

impacket-GetNPUsers -usersfile /tmp/userlist -request -format hashcat -outputfile /tmp/IMPACKET_asreproast_blackbox.txt -dc-ip 192.168.56.102 'it-connect.tech/'

L'outil netexec (NXC), également très présent dans les opérations offensives, peut aussi être utilisé :

netexec ldap 192.168.56.102 -u /tmp/userlist -p '' -d it-connect.tech --asreproast /tmp/NXC-asreproast_blackbox.out
  • ASREPRoast en boite grise

Si l'on dispose d'un accès authentifié au domaine, encore mieux, "impacket-GetNPUsers" peut automatiser à la fois la récupération des utilisateurs dans la base LDAP, et l'envoi d'un "AS-REQ" en leur nom pour voir s'ils sont vulnérables à l'ASREPRoast :

impacket-GetNPUsers -request -format hashcat -outputfile ASREProastables.txt -dc-ip 192.168.56.102 'it-connect.tech/mmartin:MyPassword1!'  -outputfile /tmp/IMPACKET_asreproast_greybox.txt

Même principe pour "netexec", il suffira de spécifier l'utilisateur ("-u") et son mot de passe de ("-p") pour s'authentifier auprès du service LDAP afin de récupérer la liste des utilisateurs :

netexec ldap 192.168.56.102 -u mmartin -p 'MyPassword1!' --asreproast /tmp/NXC-asreproast_greybox.txt

Voici le résultat attendu pour "impacket-GetNPUsers" et "netexec" :

Utilisation de "impacket-gtNPUsers" et "netexec" pour la réalisation d'une attaque ASREPRoast.
Utilisation de "impacket-gtNPUsers" et "netexec" pour la réalisation d'une attaque ASREPRoast authentifiée.

On voit donc que plusieurs logins sont tentés sur le service Kerberos et que, pour certains, un hash au format "$krb5asrep$23$" est obtenu. Il s'agit d'une donnée extraite du TGT obtenu pour chaque utilisateur vulnérable, spécialement formaté pour être interprété par des outils de cassage de mot de passe.

Maintenant que nous avons ces hashs, nous pouvons tenter de les casser, par exemple, à l'aide de "JohnTheRipper" ou "hashcat" et de listes de mots de passe communs comme le dictionnaire de mot de passe "rockyou.txt" :

hashcat -m 18200 -a 0 ASREProastables.txt rockyou.txt
john --wordlist=rockyou.txt ASREProastables.txt

Ce cassage s'effectue totalement en local, sans interactions avec l'Active Directory ou le service Kerberos. Ainsi, aucune détection n'est possible. Également, l'utilisateur a ici tout son temps et la rapidité de l'opération dépendra de la robustesse du mot de passe et des ressources de calcul qu'il a à disposition. Si des mots de passe faibles ont été utilisés par les comptes utilisateurs vulnérables, ils seront retrouvés par ces outils :

Cassage du hash "krb5asrep" extrait du TGT de l'utilisateur obtenu via ASREPRoast.
Cassage du hash "krb5asrep" extrait du TGT de l'utilisateur obtenu via ASREPRoast.

Si les mots de passe sont très robustes, alors il faudra déployer des moyens considérables pour les casser. Ici, le mot de passe semble plutôt correct avec 3 alphabets et une longueur de 10 caractères, mais il se trouve dans le dictionnaire public et très connu "rockyou.txt". Nous venons de retrouver le mot de passe d'un utilisateur de l'Active Directory par l'intermédiaire d'un TGT signé grâce à un dérivé de son mot de passe par le service Kerberos.

C. Exploiter ASREPRoast depuis Windows

Sous Windows, l'outil le plus classique pour effectuer cette attaque est "Rubeus.exe", écrit en C#. Le plus simple est de l'exécuter sur une machine intégrée au domaine ou via un "runas.exe" :

.\Rubeus.exe asreproast /format:hashcat /outfile:hashes.asreproast

Voici le résultat attendu :

Utilisation de "Rubeus.exe" pour la réalisation d'une attaque ASREPRoast.
Utilisation de "Rubeus.exe" pour la réalisation d'une attaque ASREPRoast.

Comme pour les outils Linux, le fichier "hashes.asreproast" contiendra les hashs contenus dans les TGT récupérés et pourra être passé à "hashcat" ou "JohnTheRipper" pour cassage.

V. Point de vue du défenseur

A. Lister les comptes utilisateurs avec preauth-notreq

Nous allons maintenant adopter le point de vue du défenseur ou blue team qui souhaite savoir si des utilisateurs vulnérables à ASREPROAST sont présents sur son domaine.

Lorsque nous sommes sur notre propre domaine et contrôleur de domaine, le plus simple est d'utiliser le module PowerShell "ActiveDirectory" qui permet de communiquer avec ADSI (Active Directory Services Interface). Nous pouvons notamment cibler l'attribut "useraccountcontrol" pour extraire les utilisateurs disposant de l'attribut "Do not require Kerberos preauthentication", exemple :

Get-ADUser -Filter 'useraccountcontrol -band 4194304' -Properties useraccountcontrol | Format-Table name, DistinguisedName, Enabled

Voici le résultat attendu :

Nous avons la même liste utilisateur qu'obtenue via notre requête "ldapsearch" bien entendu, avec un filtre sur ceux qui ont déjà l'attribut "Do not require Kerberos authentication", mais nous utilisons ici des outils légitimes et plus accessibles pour les administrateurs système. J'ai notamment ajouté le "DN" et l'attribut "Enabled" en sortie de la commande (via le "Format-Table" ou "ft").

B. Corriger les comptes vulnérables

Une fois cette liste à disposition, il convient tout d'abord de déterminer :

  • Pourquoi ils sont/ont été utilisés, pour quels besoins, services et systèmes ?
  • Est-ce ce qu'ils sont toujours utilisés aujourd'hui ? (date de dernière authentification, dernier changement de mot de passe, journaux d'évènements)
  • Est-ce que l'attribut "Do not require Kerberos authentication" est vraiment utile et répond à un besoin fonctionnel ?

Une fois que ces questions ont toutes une réponse claire pour chaque compte, la décision de désactiver cet attribut peut être prise.

  • Corriger ASREPRoast via l'interface graphique

Depuis la console "Utilisateurs et ordinateurs Active Directory", effectuez un clic droit sur le compte utilisateur concerné, puis "Propriétés. Il faut ensuite se rendre dans "Compte" et localiser l'option suivante :

Désactivation de l'attribut "Do not require Kerberos preauthentication" sur l'Active Directory.
Désactivation de l'attribut "Do not require Kerberos preauthentication" sur l'Active Directory.

Une fois décochée, nous pouvons appliquer nos changements. La modification prend effet immédiatement.

  • Corriger ASPREPRoast via Powershell

Il est aussi possible de modifier la valeur de cet attribut en PowerShell via ADSI. Le cmdlet "Set-ADAccountControl" est fournie par le module PowerShell "ActiveDirectory" :

PS C:\> Set-ADAccountControl -Identity rdubois -DoesNotRequirePreAuth $false

À nouveau, la modification est prise en compte immédiatement.

  • Mesure complémentaire en cas de besoin fonctionnel

Si l'attribut "Do not require Kerberos preauthentication" est nécessaire et répond à un besoin identifié et justifié, alors il convient de mettre un mot de passe très, très robuste à ce compte. L'idée est que même si un TGT est récupéré, l'attaquant ne puisse pas casser le hash qu'il contient en vue de récupérer le mot de passe en clair de l'utilisateur. Optez donc pour un mot de passe à plus de 30 caractères.

Dans l'idéal, il est également nécessaire de prévoir un renouvellement périodique de ces mots de passe afin de réduire leur exposition dans le temps. Si l'attaquant dispose de tout le temps disponible devant lui pour casser le hash contenu dans le TGT, alors il finira peut-être par y arriver (peut-être au bout de plusieurs années). Mais si le mot de passe du compte est changé tous les six mois, il n'aura potentiellement pas le temps de l'exploiter une fois qu'il l'aura cassé. Il s'agit d'une mesure de sécurité supplémentaire.

  • Limiter la propagation suite à une compromission

Il convient également de s'assurer que le compte qui dispose légitimement de l'attribut "Dot not require Kerberos preauthentication" possède des droits limités sur le domaine et le système d'information. La revue des ACL, appartenances aux groupes et l'application du principe de moindre privilège (configuration fine et minimaliste des droits pour répondre uniquement aux fonctions métiers) permettra de limiter au maximum les actions possibles de l'attaquant en cas de compromission du compte.

  • Changement de mot de passe

Enfin, il est à noter que si le compte a eu jusque-là cet attribut, n'importe quel utilisateur de votre domaine a peut être déjà récupéré un TGT et obtenu son mot de passe, ou est en train de tenter de le casser. Ces mesures de correction doivent donc s'accompagner d'un changement de mot de passe afin qu'un attaquant exploitant ou ayant exploité cette faiblesse ne puisse pas réutiliser le mot de passe compromis pour ce compte, ce qui sera possible même si l'attribut en question a été décoché.

C. Détecter une attaque ASREPRoast

Du point de vue du défenseur, nous allons également nous intéresser aux possibilités de détection d'une attaque ASREPRoast passée ou en cours sur le système d'information.

  • Détection via les journaux d'évènements

L'exploitation de l'ASREPRoast génère, comme toute interaction avec l'Active Directory, des évènements. Cependant, il n'est pas aisé de les distinguer clairement des activités légitimes et quotidiennes des utilisateurs du domaine. Il faut savoir que lorsqu'un "AS-REQ" est effectué sur un compte non vulnérable à l'ASREPRoast (et donc, échoue), aucun évènement de sécurité n'est généré. Seule l'émission d'un ticket Kerberos génère un évènement avec l'eventID 4768.

L'event ID 4768 est enregistré sur le contrôleur de domaine chaque fois qu'un TGT est émis. Il indique que le KDC a reçu une demande de TGT (AS-REQ) et qu'il a émis un TGT en réponse. L'évènement journalisé contient alors quelques détails intéressants sur la demande.

https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4768

Cet évènement apparait donc si :

  • La requête est émise avec une authentification valide, auquel cas un TGT est émis en réponse à l'"AS-REQ".
  • La requête porte sur un utilisateur ayant l'attribut "Do not require Kerberos authentication", auquel cas pas besoin d'authentification, le TGT est tout de même émis en réponse à l'"AS-REQ".

Voici l'évènement tel qu'il apparaitra dans l'observateur d'évènement lors d'une demande de TGT classique, avec authentification (utilisation ici de "impacket-getTGT") :

EventID 4768 suite à une demande et émission de TGT classique, avec authentification.
EventID 4768 suite à une demande et émission de TGT classique, avec authentification.

On voit clairement qu'un TGT a été demandé et émis pour l'utilisateur "IT-CONNECT\mmartin" par le client "192.168.56.104". Nous allons également garder dans un coin de notre mémoire les informations relatives au "Type de pré-authentification" et "Type de chiffrement du ticket". Je réalise maintenant la même opération à destination du compte "IT-CONNECT\rdubois" et avec un outil offensif qui va directement demander un TGT sans authentification préalable (utilisation de "netexec") :

EventID 4768 suite à une demande et émission de TGT à la suite d'une attaque ASREPROast via "netexec"
EventID 4768 suite à une demande et émission de TGT à la suite d'une attaque ASREPROast via "netexec".

Les informations journalisées sont globalement les mêmes lors d'une demande et émission d'un TGT sur un compte ne nécessitant pas la pré-authentification. Cependant, on peut noter deux exceptions (à noter que le résultat est le même lors d'une exploitation avec "impacket-getNPUsers") :

  • Le "Type de chiffrement du ticket" est passé à "0x17" au lieu de "0x12".
  • Le "Type de pré-authentification" est passé à "0" au lieu de "2".

L'utilisation d'un chiffrement à "0x17" (RC4-HMAC) est un comportement typique des outils d'attaque qui downgrade (abaissent) le niveau de chiffrement utilisé pour le chiffrement du TGT afin de rendre le cassage de son contenu plus aisé. Par défaut, le niveau de chiffrement "0x12" entraine l'utilisation du AES256-CTS-HMAC-SHA1-96 (Source : 4768(S, F): A Kerberos authentication ticket (TGT) was requested). Voilà un premier élément caractéristique d'une attaque ASREPRoast avec des méthodes et outils classiques.

Egalement, la documentation Microsoft est limpide concernant les valeurs du "Type de pré-authentification" :

La demande de TGT avec une valeur "0" à "Type de pré-authentification" est donc également un signal intéressant à surveiller. Pour finir sur cette détection, je vous propose une requête KQL (pour ELK) qui permet d'identifier les événements de demande/émission d'un TGT avec un chiffrement faible (RC4) ou sans pré-authentification :

event.code:4768 AND (winlog.event_data.TicketEncryptionType: 0x17 OR winlog.event_data.PreAuthType: 0)

Pour détailler un peu la requête. Il s'agit d'un filtre sur les évènements Windows ayant un évènement ID 4768 et qui ont, soit un "TicketEncryptionType" à "0x17" (RC4), soit un "PreAuthType" à "0". Voici le résultat sur l'ELK de mon lab (avec moins d'activité qu'un vrai SI, bien sûr) :

Visualisation dans ELK des évèenemtn caractértistique d'une attaque ASREPRoast

Pas de doute, il y a eu une activité suspecte sur mon SI entre 17h45 et 18h15, des TGT sans pre-authentification et avec un algorithme de chiffrement faible ont été demandés.

Surveiller les modifications des attributs utilisateurs

Pour aller plus loin, vous pouvez également chercher et surveiller les event ID 4738 (A user account was changed) et 5136 (A directory service object was modified) qui apparaissent lorsqu'un attribut utilisateur est modifié :

Journalisation de la modification d'un attribut utilisateur via l'eventID 4738.
Journalisation de la modification d'un attribut utilisateur via l'eventID 4738.

Plutôt que la compromission, vous visualiserez alors tous les évènements d'activation/désactivation de l'attribut concerné sur des comptes utilisateurs, ce qui permettra de retrouver le moment où la vulnérabilité a été introduite sur le compte concerné. Là aussi, il faudra aller plus loin pour réellement identifier le nom de l'attribut modifié et s'assurer de n'obtenir que les alertes relatives à l'attribut "Do not require Kerberos preauthentication". Egalement, voici un exemple de requête filtre KQL pour cet évènement :

event.code:4738 AND winlog.event_data.UserAccountControl:*2096*

Voici l'aperçu d'un tel évènement dans la console ElasticSearch :

Visualisation de l'eventID 4738 relatif à l'ajout de l'attribut "Do not requiere kebreroas pre-authentication" dans ElasticSearch.
Visualisation de l'eventID 4738 relatif à l'ajout de l'attribut "Do not requiere kebreroas pre-authentication" dans ElasticSearch.
  • Utilisation d'un honey account

Si vous maitrisez correctement la sécurité de votre système d'information, notamment avec un SIEM et un SOC (Security Operation Center) efficaces, alors vous pouvez envisager la mise en place d'un honey account, ou "compte pot de miel". L'idée est de créer un compte utilisateur volontairement vulnérable à ASREPRoast afin que sa compromission génère un évènement de sécurité activement surveillé par la blue team.

Pour cela, il faut notamment être sûr que ce compte ne sera jamais utilisé de façon légitime par un utilisateur ou un service du SI. Ainsi, si une demande de TGT pour ce compte spécifique apparait dans les journaux d'évènement, ce sera forcément dû à une attaque ASREPRoast en cours.

Attention : La création et la gestion d'un compte pot de miel nécessitent une attention particulière. Il faut s'assurer que les politiques de sécurité et les procédures de surveillance sont bien établies pour garantir que le compte reste contrôlé et qu'il ne devienne pas une vulnérabilité supplémentaire. Il faut notamment s'assurer que l'honey account ait un mot de passe très robuste afin que le hash contenu dans son TGT ne soit jamais cassé, ce qui permettrait à l'attaquant d'obtenir un compte valide sur le domaine.

VI. Conclusion

J'espère que cet article vous a plu et que vous avez maintenant une meilleure idée des risques liés à cette attaque et de la façon de s'en protéger. J'ai essayé de faire en sorte qu'il soit complet en abordant le point de vue des attaquants comme des défenseurs.

N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !

The post Sécurité de l’Active Directory : comprendre et se protéger de l’attaque ASREPRoast first appeared on IT-Connect.

Phishing : plus de 100 organisations en Europe et aux États-Unis impactées par StrelaStealer

Une centaine d'organisations situées aux États-Unis et en Europe ont été victime d'une nouvelle campagne malveillante visant à déployer le malware StrelaStealer ! Voici ce qu'il faut savoir sur cette menace.

L'Unit42 de Palo Alto Networks a publié un rapport au sujet de la menace StrelaStealer, un logiciel malveillant repéré pour la première fois en novembre 2022. Après avoir infecté une machine, son objectif est de voler les informations d'identification des comptes de messagerie dans les applications Outlook et Thunderbird.

Alors qu'à la base ce malware ciblait principalement les utilisateurs hispanophones, il s'avère que les cybercriminels ont fait évoluer leur plan : désormais l'Europe et les États-Unis sont pris pour cible. Pour cela, les pirates n'hésitent pas à traduire en plusieurs langues les fichiers utilisés par ce malware, ce qui le rend polyglotte et lui permet de s'adapter à la cible.

Comme beaucoup d'autres logiciels malveillants, StrelaStealer est distribué par l'intermédiaire de phishing. Depuis la fin du mois de janvier, l'Unit42 a détecté une forte hausse de l'activité avec un important volume d'e-mails malveillants envoyés par jour. L'Unit42 évoque jusqu'à 500 organisations ciblées par jour et il y a eu des victimes : "Récemment, nos chercheurs ont identifié une vague de campagnes StrelaStealer à grande échelle touchant plus de 100 organisations dans l'UE et aux États-Unis.", peut-on lire dans le rapport. Dans la grande majorité des cas, ce sont les organisations du secteur des nouvelles technologies qui ont été les plus visées.

Source : Unit42

La chaine d'infection de StrelaStealer

Les pirates ont fait évoluer la chaine d'infection du malware StrelaStealer. Désormais, l'e-mail malveillant contient une pièce jointe au format ZIP qui a pour objectif de déposer des fichiers JScript sur la machine de la victime. Dans le cas où ces scripts sont exécutés, ils déposent un fichier batch et un fichier encodé en base64, qui donne lieu à une DLL qui sera exécutée via rundll32.exe afin de déployer le payload StrelaStealer.

Le schéma ci-dessous, issu du rapport d'Unit42 permet de comparer l'ancienne et la nouvelle chaine d'infection.

Source : Unit42

Si le logiciel malveillant est déployé, il vole les identifiants mémorisés dans Outlook et Thunderbird et ces informations sont immédiatement envoyées aux attaquants par l'intermédiaire d'un serveur C2.

Une fois de plus, méfiance avec les e-mails...

Source

The post Phishing : plus de 100 organisations en Europe et aux États-Unis impactées par StrelaStealer first appeared on IT-Connect.

Avec la Surface Pro 10 et le Surface Laptop 6, Microsoft rentre dans l’ère des PC IA

Microsoft a dévoilé ses premiers PC boostés à l'IA et dont le clavier intègre une nouvelle touche dédiée à Copilot : la Surface Pro 10 et le Surface Laptop 6. Faisons le point sur ces nouveautés !

Les premiers ordinateurs de Microsoft équipés d'une touche Copilot sur le clavier et équipés d'une unité de traitement neuronal (NPU) ont été dévoilés ! Ces nouveaux appareils de Microsoft entrent dans ce que l'on appelle l'ère des PC IA. En effet, selon les configurations, la Surface Pro 10 et le Surface Laptop 6 pourront bénéficier d'un processeur Intel Core Ultra 5 ou Intel Core Ultra 7, ainsi qu'un NPU Intel AI Boost.

D'après Microsoft : "Du point de vue des performances, le Surface Laptop 6 est deux fois plus rapide que le Laptop 5, et le Surface Pro 10 est jusqu'à 53 % plus rapide que le Pro 9." - Le NPU Intel AI Boost devrait permettre à la machine d'être plus efficace pour traiter les tâchées liées à l'IA, ce qui devrait optimiser l'autonomie générale de la batterie. L'entreprise américaine annonce jusqu'à 19 heures d'autonomie pour ces deux modèles, soit 4 heures de plus pour la Surface Pro 10 et 2 heures de plus pour le Laptop 6.

Microsoft Surface Laptop 6 - Clavier Copilot
Microsoft Surface Laptop 6, avec la touche de clavier Copilot

Microsoft abandonne sa configuration basée sur 128 Go de stockage flash pour proposer au minimum 256 Go, et jusqu'à 1 To pour la version la plus complète. Pour la mémoire vive, vous avez le choix entre 8 Go, 16 Go, 32 Go et même 64 Go de RAM pour la première fois. Par ailleurs, au niveau de la connectivité, ces deux appareils auront le droit au Wi-Fi 6E (802.11ax) et au Bluetooth 5.3.

Pour faciliter la lecture des clés de sécurité, la Surface Pro 10 bénéficie d'une puce NFC, ce qui est une nouveauté vis-à-vis des générations précédentes. Du côté du Surface Laptop 6, un lecteur de carte à puce est intégré à certaines versions, et uniquement aux États-Unis et au Canada, d'après le site de Microsoft.

Par ailleurs, ce nouveau modèle de Surface Pro bénéficie d'un nouveau revêtement antireflet qui devrait améliorer la visibilité de l'écran, ainsi que d'une caméra ultra-large (champ de vision de 114 degrés) de 10,5 mégapixels et d'une résolution de 1440p. De son côté, le Laptop 6 bénéficie d'une nouvelle caméra pour passer de 720p à 1080p.

Prix et disponibilité

Pour le moment, la Surface Pro 10 et le Surface Laptop 6 sont disponibles uniquement pour les entreprises. Il s'agit d'appareils estampillés "for business", même s'il n'est pas à exclure que le grand public puisse en bénéficier par la suite. Les précommandes sont ouvertes et les premières livraisons sont prévues pour le 10 avril 2024.

Ces deux appareils sont disponibles à partir de 1 399 euros TTC. Un tarif variable selon la configuration choisie : processeur, RAM, stockage, etc. À ce prix-là, vous avez le droit à une Surface Pro 10 avec un processeur Intel Ultra 5 135U, 8 Go de RAM et de 256 Go de SSD. A cela, il faudra ajouter le tarif du clavier Surface Pro (à partir de 159.99 € TTC).

Pour en savoir plus :

Source

The post Avec la Surface Pro 10 et le Surface Laptop 6, Microsoft rentre dans l’ère des PC IA first appeared on IT-Connect.

La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée !

GoFetch, c'est le nom d'une attaque qui exploite une faille de sécurité importante découverte dans les puces Apple M1, M2 et M3 utilisées par les générations les plus récentes de Mac. La particularité de cette vulnérabilité : elle ne peut pas être corrigée, à moins d'impacter très fortement les performances des puces fabriquées par Apple. Faisons le point !

Une équipe de chercheurs du MIT Computer Science & Artificial Intelligence Laboratory (CSAIL) a mis au point une technique d'attaque baptisée GoFetch, qui exploite une faille de sécurité matérielle présente dans les puces Apple Silicon. Cette attaque de type "side-channel" cible une fonction d'optimisation matérielle appelée Data Memory-dependent Prefetcher (DMP).

Le DMP est une fonction intégrée dans les puces Apple et qui a pour objectif d'aider le processeur à deviner les données dont il pourrait avoir besoin ensuite afin d'optimiser les performances (principe du prefetch). Dans le cas présent, l'attaque permet de tromper la fonction DMP afin qu'elle révèle des informations sensibles stockées en mémoire.

En effet, en exploitant GoFetch, un attaquant pourrait extraire des clés cryptographiques stockées sur un Mac (OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber et Dilithium) dans le but de contourner les opérations de chiffrement effectuées directement par la puce Apple Silicon. Il serait possible de compromettre les clés utilisées par divers algorithmes de chiffrement. In fine, ceci facilite l'accès aux données stockées sur le Mac.

Pour mener à bien cette attaque, l'attaquant doit convaincre la victime d'exécuter un malware (par l'intermédiaire d'un e-mail malveillant, par exemple). Le malware doit être exécuté en parallèle de l'application prise pour cible, et ce, pendant un certain temps afin de pouvoir voler la clé.

Comment se protéger de la faille GoFetch ?

GoFetch fait référence à une faille de sécurité matérielle dans l'architecture même des puces Apple, donc en raison de sa nature, il ne sera pas possible de corriger directement la vulnérabilité. L'intégration d'un correctif ou d'une mesure d'atténuation va passer par la couche logicielle.

Le problème, c'est que la mise en œuvre d'un quelconque correctif va très fortement dégrader les performances des puces Apple, en particulier les deux premières générations : Apple M1 et M2. D'ailleurs, au passage, cette histoire n'est pas sans rappeler les failles de sécurité Meltdown et Spectre qui touchaient de nombreux processeurs Intel et AMD et dont la correction impactait également les performances du processeur.

Pour en savoir plus, vous pouvez consulter le site officiel de GoFetch. Sur ce site, il est d'ailleurs précisé qu'un code PoC sera mis en ligne prochainement... Apple ne s'est pas encore exprimé au sujet de GoFetch. Affaire à suivre...

The post La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée ! first appeared on IT-Connect.

Microsoft prépare une interface graphique pour gérer les distributions Linux sous Windows (WSL)

Vous utilisez Linux sur Windows à l'aide de la fonctionnalité Windows Subsystem for Linux ? Sachez que Microsoft devrait vous permettre de gérer vos distributions Linux à partir de l'interface graphique. Faisons le point sur cette nouveauté à venir.

Les utilisateurs de Windows 10 et Windows 11 peuvent utiliser Linux depuis leur système d'exploitation principal à l'aide de la fonctionnalité Windows Subsystem for Linux, dont la version 2 s'appuie sur Hyper-V pour permettre l'utilisation d'un véritable noyau Linux. Ceci permet aux utilisateurs de pouvoir utiliser Ubuntu, Debian, etc... Directement depuis Windows.

Voici d'ailleurs quelques tutoriels sur le sujet :

Actuellement, la configuration et la gestion de Windows Subsystem for Linux s'effectue à partir de la ligne de commande, via l'exécutable "wsl.exe". Par exemple, la commande ci-dessous sert à obtenir la liste des distributions Linux actuellement installées.

wsl --list

À en croire une suggestion pour WSL apparue sur le GitHub de Microsoft, les développeurs souhaiteraient ajouter à Windows une interface graphique permettant de gérer les distributions Linux installées dans le cadre de la fonction WSL. Sur GitHub, l'entreprise américaine a demandé des idées sur l'utilisation de Dev Home pour gérer toutes les distributions Linux installées.

Une copie d'écran a même été ajoutée. Sur cette image, nous pouvons voir plusieurs options, dont la possibilité de lancer, démarrer, d'ajouter ou de désinstaller une distribution Linux, mais aussi de déplacer la distribution Linux vers un autre emplacement. Autres informations intéressantes : la quantité de RAM et de CPU consommée par Windows Subsystem for Linux. Par ailleurs, ceci devrait permettre de lancer une distribution Linux en tant que l'utilisateur de son choix ("as a specific user").

Interface graphique WSL pour Windows

Cette nouveauté permettrait aux utilisateurs d'avoir plus facilement une vue d'ensemble sur les distributions Linux installées, et ceci pourrait aussi faciliter leur gestion. De quoi rendre WSL plus accessible ? Probablement. En tout cas, cette nouvelle interface pourrait être intégrée directement à l'application Dev Home destinée aux développeurs... Quoi qu'il en soit, cette interface graphique manque actuellement à WSL...

Source

The post Microsoft prépare une interface graphique pour gérer les distributions Linux sous Windows (WSL) first appeared on IT-Connect.

Intune – Comment configurer le pare-feu Windows ?

I. Présentation

Dans ce tutoriel, nous allons à configurer et gérer l'état du pare-feu Windows Defender à l'aide d'une stratégie de sécurité Microsoft Intune.

Cette stratégie sera utile pour forcer l'activation du pare-feu sur les appareils Windows 10 et Windows 11 afin de s'assurer que "ce bouclier réseau" soit bien opérationnel. Nous pourrons également utiliser cette stratégie pour configurer les paramètres généraux du pare-feu, notamment pour ajuster la taille des fichiers journaux de Windows Defender.

La configuration déployée avec notre stratégie vise à :

  • Activer le pare-feu Windows Defender sur tous les profils (privé, public, domaine)
  • Autoriser les flux sortants par défaut
  • Bloquer les flux entrants par défaut
  • Définir la taille du journal du pare-feu à 16 384 Ko (pour avoir plus de matière en cas de besoin de ce journal pour une analyse)
  • Configurer les paramètres d'audit

Remarque : la fonctionnalité de pare-feu de Microsoft Intune permet de gérer les règles du pare-feu système de Windows et macOS.

En complément de cet article, voici deux liens utiles pour la gestion du pare-feu Windows Defender via Intune :

Ainsi que ces tutoriels :

II. Créer la stratégie de pare-feu

Avant de commencer, sachez que pour configurer le pare-feu Windows Defender via Intune, il y a deux types de stratégies : les stratégies pour configurer les paramètres globaux du pare-feu (ce que nous allons voir aujourd'hui) et les stratégies pour gérer les règles de pare-feu (ce que nous verrons dans un prochain article).

Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :

Quand vous y êtes :

1 - Cliquez sur "Sécurité du point de terminaison" à gauche

2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité

3 - Cliquez sur le bouton "Créer une stratégie"

4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune

5 - Sélectionnez le profil "Pare-feu Microsoft Defender" car celui nommé "Règles de pare-feu Microsoft Defender" est utile pour la gestion des règles, comme son nom l'indique. Cliquez sur "Créer".

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 01

Commencez par nommer cette stratégie et éventuellement indiquer une description. Dans cet exemple, la stratégie s'appelle "Activer le pare-feu Windows".

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 02

Ensuite, passez à la section "Paramètres de configuration". Celle-ci se découpe en trois parties :

  • Pare-feu
  • Gestionnaire de listes réseau
  • Audit
Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 03

Cliquez sur "Pare-feu". Un ensemble de paramètres va s'afficher. Concrètement, il faut prendre le temps de les vérifier et interpréter un par un... Pour activer le pare-feu sur les trois profils de Windows Defender, il y a trois paramètres à activer, ainsi qu'à chaque fois deux sous-paramètres pour gérer les flux entrants et sortants.

Par exemple, pour le profil de domaine, ce sont les paramètres suivants :

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 04

A cela s'ajoute la configuration du paramètre "Taille de fichier maximale du journal" à positionner sur "16 384 Ko". Cette valeur n'est pas choisie au hasard, c'est celle qui est recommandée dans un guide CIS Benchmark.

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 05

Puis, si vous souhaitez générer des journaux d'audit lorsqu'il y a une connexion acceptée ou rejetée, configurez ces deux paramètres :

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 06

Configurez l'étape "Balises d'étendue" si nécessaire, sinon passez directement à l'étape "Affectations". C'est ici que vous devez définir à quel(s) groupe(s) vous souhaitez appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 07

Suivez l'assistant jusqu'à la création de la stratégie.

A la fin, celle-ci apparaît bien dans Intune :

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 08

Désormais, nous allons tester cette stratégie sur un appareil Windows 11.

III. Tester sur un appareil Windows

Une fois la stratégie appliquée sur la machine Windows (soit après une synchronisation Intune), les paramètres de Windows Defender sont bien ceux définis dans la stratégie.

Dans les paramètres "Sécurité Windows", nous pouvons visualiser l'état du pare-feu : celui-ci est désormais activé et le paramètre est grisé. C'est particulièrement utile, car sur l'un de mes appareils, qui était dans un état "non conforme" vis-à-vis de la politique de conformité qui l'affecte, car il avait le pare-feu désactivé, tout est rentré dans l'ordre désormais ! Nous aborderons le sujet des politiques de conformité dans un prochain article.

Pare-feu Windows activé par Intune

Remarque : à partir du Panneau de configuration classique, il est toujours possible de désactiver le pare-feu, mais ceci n'a aucun impact. Le pare-feu ne se désactive pas, rassurez-vous.

Par ailleurs, si nous ouvrons les paramètres de configurations avancés du pare-feu Windows Defender, que nous cliquons sur "Propriétés du pare-feu Windows Defender" (1), nous pouvons voir que les connexions entrantes et sortantes (2) sont gérées comme nous l'avons définis dans la stratégie.

Paramètres du pare-feu Windows configuré par stratégie Intune

Notre stratégie de pare-feu Windows Defender est opérationnelle !

IV. Conclusion

Très rapide à mettre en place, cette stratégie de pare-feu Windows Defender permet de s'assurer que le pare-feu du système Windows est actif et configuré de façon homogène sur un ensemble d'appareils Windows.

Pour finir, sachez que vous pouvez obtenir la liste de tous les appareils Windows où le pare-feu est désactivé à partir de cette section de l'interface Intune :

Intune - Appareils Windows avec le pare-feu désactivé

The post Intune – Comment configurer le pare-feu Windows ? first appeared on IT-Connect.

Intune – Comment créer une règle de pare-feu Windows Defender ?

I. Présentation

Dans ce tutoriel, nous allons apprendre à créer une règle de pare-feu Windows Defender à l'aide d'une stratégie de sécurité Intune. Cette stratégie à destination des appareils Windows va permettre de déployer une ou plusieurs règles de pare-feu afin d'avoir des règles homogènes et d'autoriser les flux dont nous avons besoin.

En entreprise, et bien que ce soit à utiliser avec parcimonie, il est fréquent d'avoir besoin de créer des règles de pare-feu pour autoriser un ou plusieurs flux entrants sur les machines. Par exemple, pour autoriser les connexions RDP (Bureau à distance), l'administration à distance PowerShell via WinRM, etc... Veillez à limiter les autorisations accordées à ces règles : limiter à un sous-réseau source est une bonne idée.

Dans cet exemple, nous allons simplement créer une règle de pare-feu pour autoriser les connexions entrantes sur le port 3389 (RDP) à partir du sous-réseau 192.168.145.0/24.

En complément de cet article, voici deux liens utiles pour la gestion du pare-feu Windows Defender via Intune :

Ainsi que ces tutoriels :

II. Créer une règle de pare-feu Windows avec Intune

Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :

Quand vous y êtes :

1 - Cliquez sur "Sécurité du point de terminaison" à gauche

2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité

3 - Cliquez sur le bouton "Créer une stratégie"

4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune

5 - Sélectionnez le profil "Règles de pare-feu Microsoft Defender" qui est dédié à la création de règles de pare-feu. Le profil "Pare-feu Microsoft Defender" sert à configurer les paramètres généraux (état du pare-feu, audit, taille des journaux, etc.). Cliquez sur "Créer".

Intune - Créer règle pare-feu Windows Defender - 01

Commencez par nommer cette stratégie, par exemple "Autoriser la connexion RDP depuis réseau local". Passez à l'étape suivante.

Ici, vous devez définir l'ensemble des règles à déployer sur les appareils Windows. Nous allons surtout nous intéresser à la colonne "Propriétés de la règle". Nous pouvons personnaliser chaque règle en cliquant sur le bouton "Modifier la règle". Le bouton "Ajouter" quant à lui sert à ajouter une règle supplémentaire à la liste.

Globalement, nous retrouvons les mêmes paramètres que la configuration de règles en local sur une machine ou à partir d'une GPO, mais c'est présenté totalement différemment (et ce n'est pas forcément super pratique, en fait...).

Nous allons commencer par configurer ces trois paramètres :

  • Activé : activé (oui c'est bizarre, mais c'est écrit de cette façon)
  • Nom : le nom de la règle tel qu'il sera visible dans les paramètres de Windows
  • Types d'interface : Tout, pour appliquer la règle à toutes les interfaces de Windows (sinon on peut faire une sélection uniquement pour le LAN, pour le sans-fil, etc.)

Un peu plus bas, configurez également ces paramètres :

  • Direction : la règle s'applique au trafic entrant, car nous souhaitons que nos appareils acceptent les connexions RDP entrantes.
  • Plages de ports locaux : 3389, pour autoriser les flux entrants sur le port 3389. Vous pouvez définir plusieurs ports, ou des plages de ports (port de début - port de fin), selon vos besoins.
  • Plages d'adresses distantes : 192.168.145.0/24, pour indiquer qu'il n'y a que les machines connectées sur ce segment réseau qui pourront se connecter en RDP. Là encore, nous pouvons définir plusieurs valeurs.
  • Action : autoriser, pour que ce flux soit autorisé, car par défaut nous refusons tous les flux (en principe !).

Cliquez sur "Enregistrer" pour valider cette règle. Sachez qu'elle pourra être modifiée à tout moment.

Configurez l'étape "Balises d'étendue" si besoin, sinon passez.

A l'étape "Affectations", sélectionnez le ou les groupes sur lesquels appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".

Poursuivez jusqu'à la fin et créez la stratégie...

En résumé, voici le contenu de la règle définie dans la stratégie :

Passons aux tests sur un appareil Windows 11 !

III. Tester la stratégie

Après avoir synchronisé la machine Windows 11 membre du groupe "PC_Corporate", celle-ci a bien récupérée la règle de pare-feu. A partir de la console "Pare-feu Windows Defender avec fonctions avancées de sécurité", nous pouvons retrouver notre règle sous la partie "Analyse" puis "Pare-feu". La règle présente ici est bien effective : les règles dans cette partie sont celles "en production". Par contre, ce qui est perturbant, c'est que la règle ne soit pas visible également dans "Règles de trafic entrant" (ou "Règles de trafic sortant", selon la configuration).

Pour accéder à cette console sous Windows 11 : Sécurité Windows > Pare-feu et protection du réseau > Paramètres avancés.

Règle de pare-feu Windows créée avec Intune

À partir d'une machine connectée au réseau 192.168.145.0/24, je suis parvenu à me connecter à cet appareil Windows 11 ! Ceci nécessite d'activer les connexions Bureau à distance sur cet appareil

Si votre règle n'apparaît nulle part, vérifiez les journaux Windows. Regardez plus particulièrement le journal "Admin" mis en évidence sur l'image ci-dessous. Si la règle est mal configurée, avec une valeur mal formatée, par exemple, ce sera mis en évidence. Dans cet exemple, j'ai eu une erreur surprenante sur le numéro de port, car le paramètre était correctement configuré : j'ai supprimé la valeur, je l'ai saisie de nouveau, et c'est passé.

Erreur firewall règle créée avec Intune pour Windows

IV. Conclusion

En suivant ce tutoriel, vous êtes en mesure de gérer les règles de pare-feu de vos appareils Windows 10 et Windows 11 à partir de stratégies Intune !

The post Intune – Comment créer une règle de pare-feu Windows Defender ? first appeared on IT-Connect.

Reboot Windows Server avec la mise à jour de mars 2024 : voici les correctifs de Microsoft !

Depuis plusieurs jours, le sujet affole les administrateurs systèmes : la mise à jour de mars 2024 pour Windows Server fait planter les contrôleurs de domaine à cause d'une fuite mémoire liée au processus LSASS. Microsoft vient à la rescousse de ses utilisateurs grâce à un correctif qui corrige le problème ! Voici ce qu'il faut savoir !

Rappel : les serveurs se figent et redémarrent suite à l'installation de la mise à jour de mars 2024 pour Windows Server (Windows Server 2022, Windows Server 2019, Windows Server 2016 et Windows Server 2012 R2). Ce problème a été constaté sur les contrôleurs de domaine Active Directory. Assez rapidement, Microsoft a confirmé l'existence de ce problème étant à l'origine d'une fuite de mémoire extrême pouvant faire planter le processus LSASS. L'entreprise américaine a également confirmé que les mises à jour publiées le 12 mars 2024 à l'occasion du Patch Tuesday étaient à l'origine de ce dysfonctionnement.

Le vendredi 22 mars 2024, Microsoft a publié de nouvelles mises à jour en urgence pour venir en aide aux administrateurs systèmes et aux organisations impactées. En effet, jusqu'ici, la seule "solution" était de ne pas installer la mise à jour cumulative, ou de la désinstaller afin de revenir en arrière.

La liste des correctifs de Microsoft

Voici la liste des correctifs proposés par Microsoft :

Au sein de l'article de support qui accompagne chaque mise à jour, Microsoft précise : "La fuite de mémoire se produit lorsque les DC Active Directory sur site et dans le Cloud traitent les demandes d'authentification Kerberos. Cette fuite importante peut entraîner une utilisation excessive de la mémoire. De ce fait, LSASS peut cesser de répondre, et les DCs redémarreront lorsque vous ne vous y attendez pas."

Vous devez installer cette mise à jour sur les contrôleurs de domaine Active Directory concernés par le bug lié à la mise à jour de mars 2024. Il n'est pas nécessaire d'installer la mise à jour de mars 2024, puis celle-ci ensuite, puisqu'il s'agit d'une mise à jour cumulative : installez directement celle-ci, dans tous les cas, et Windows Server installera uniquement ce dont il a besoin.

Comment télécharger la mise à jour ?

Pour télécharger le package d'installation de cette mise à jour hors bande, rendez-vous sur le Catalogue Microsoft Update. En cliquant sur ce lien, vous devez retrouver toutes les mises à jour, sinon effectuez une recherche directement sur le numéro de KB. Pour vérifier la présence du correctif pour Windows Server 2019, vous pouvez rechercher "Update Windows Server 2019" et regarder la date du correctif le plus récent.

Microsoft que cette mise à jour n'est pas disponible avec WSUS, ni avec Windows Update, donc vous devez impérativement utiliser le Catalogue Microsoft Update (ce qui ne vous empêche pas de l'ajouter ensuite à votre WSUS).

Merci aux différentes personnes qui m'ont signalé l'existence de ce correctif.

The post Reboot Windows Server avec la mise à jour de mars 2024 : voici les correctifs de Microsoft ! first appeared on IT-Connect.

Dans Firefox 124.0.1, Mozilla a corrigé deux failles de sécurité zero-day !

Quelques jours après avoir dévoilé Firefox 124.0, la fondation Mozilla a mis en ligne la version 124.0.1 de Firefox dans le but de patcher deux failles de sécurité zero-day ! Voici ce qu'il faut savoir sur ces vulnérabilités.

Le mardi 19 mars 2024, la fondation Mozilla a publié la version 124.0 de son navigateur Firefox, dans le but de corriger 12 failles de sécurité, dont cinq vulnérabilités importantes et une vulnérabilité critique. D'ailleurs, cette faille de sécurité critique, associée à la référence CVE-2024-2615, pourrait permettre à un attaquant d'exécuter du code arbitraire sur la machine de l'utilisateur.

Puis, le vendredi 22 mars 2024, Mozilla a mis en ligne une nouvelle version de son navigateur Firefox : 124.0.1. Cette fois-ci, l'objectif est de corriger deux failles de sécurité zero-day découvertes et exploitées un jour plus tôt lors de la compétition de hacking Pwn2Own Vancouver 2024.

D'ailleurs, à l'occasion de cette compétition de hacking, les participants sont parvenus à découvrir 29 failles de sécurité dans différents produits. En ce qui concerne les vulnérabilités dans Firefox, elles ont été découvertes par Manfred Paul (récompensé à auteur de 100 000 dollars) pour avoir exploité une faille de type "out-of-bounds write" (CVE-2024-29943) permettant d'exécuter du code à distance et d'échapper à la sandbox de Mozilla Firefox en exploitant une faiblesse dans une fonction du navigateur (CVE-2024-29944). Manfred Paul est membre de la Trend Micro Zero Day Initiative.

Dans son bulletin de sécurité, Mozilla a apporté quelques détails supplémentaires sur ces vulnérabilités qui affectent les versions desktop de son navigateur Firefox. Pour le moment, elles ne sont pas exploitées par les cybercriminels.

Pour vous protéger, vous devez passer sur Firefox 124.0.1 ou Firefox ESR 115.9.1, en fonction de la version que vous utilisez. Enfin, nous pouvons saluer la réactivité des équipes de Mozilla pour la correction de ces deux failles de sécurité, ainsi que Manfred Paul, grand gagnant de cette édition avec 25 points Master of Pwn. Grâce aux vulnérabilités qu'il a découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge, il a pu empocher 202 500 dollars de gain en cash.

Source

The post Dans Firefox 124.0.1, Mozilla a corrigé deux failles de sécurité zero-day ! first appeared on IT-Connect.

Proton ajoute la prise en charge des Passkeys à son gestionnaire de mots de passe Proton Pass

En ce moment, l'entreprise suisse Proton enchaine les annonces : le gestionnaire de mots de passe Proton Pass prend désormais en charge les Passkeys sur tous les appareils. Faisons le point sur cette annonce !

La méthode d'authentification basée sur une passkey continue de se démocratiser et d'être adoptée par les différents éditeurs de la tech. Pour rappel, le fait d'utiliser une passkey permet de s'authentifier sans mot de passe puisque cette méthode s'appuie sur des clés générées en local sur l'appareil et l'authentification s'effectue à l'aide d'un code PIN, du capteur d'empreinte biométrique ou de la reconnaissance faciale. De plus en plus de services et sites web supportent l'authentification via une passkey.

Dès maintenant, les utilisateurs de Proton Pass, le gestionnaire de mots de passe de chez Proton développé à partir du langage Rust, peuvent profiter de la prise en charge des Passkeys sur toutes les plateformes supportées par ce service, et pour tous les utilisateurs. Autrement dit, cette fonctionnalité est disponible pour tous les utilisateurs, gratuits et payants.

"C’est une première sur le marché des gestionnaires de mots de passe, établissant une nouvelle norme en matière d'accessibilité et de sécurité.", précise Proton dans son communiqué de presse, afin d'insister sur le fait que cette nouveauté est gratuite.

Proton Pass prend en charge les Passkeys de la même façon que les mots de passe, c'est-à-dire qu'ils peuvent être partagés directement et exportés vers un autre service. "Cette flexibilité fait partie de notre engagement à maintenir la commodité et l’interopérabilité", peut-on lire.

Proton Pass - Passkey

Cette nouveauté profite également aux utilisateurs de Proton Pass for Business. Grâce à la nouvelle fonctionnalité de partage et de collaboration via les Passkeys, cette technologie complémente les méthodes d'authentification en place, telles que les mots de passe classiques et les codes 2FA.

Voici les dernières annonces de Proton :

Retrouvez l'annonce officielle sur le blog de Proton.

The post Proton ajoute la prise en charge des Passkeys à son gestionnaire de mots de passe Proton Pass first appeared on IT-Connect.

Test HONOR Pad 9 : une tablette 12 pouces efficace, mais à l’autonomie limitée

I. Présentation

Honor est de retour sur le marché des tablettes tactiles puisque le modèle Honor Pad 9 a fait son apparition sur le marché français en mars 2024 ! Elle succède, en quelque sorte,au modèle Honor Pad 8 disponible depuis un peu plus d'un an et demi. Dans cet article, nous allons découvrir ensemble cette tablette milieu de gamme et je vous donnerai mes impressions !

Commençons par évoquer les caractéristiques techniques de cette tablette qui est équipée d'un grand écran de 12,1 pouces :

  • Écran : 12,1 pouces, résolution 2,5K (2560 x 1600) avec un taux de rafraichissement de 120 Hz, écran LCD IPS
  • Processeur : Qualcomm Snapdragon 6 Gen 1 avec 8 cœurs (4 x Cortex-A78 2,2 GHz + 4 x Cortex-A55 1,8 GHz)
  • RAM : 8 Go
  • Stockage interne : 256 Go
  • Audio stéréo avec 8 haut-parleurs HONOR Histen, Hi-Res
  • Module photo avant : un capteur de 8 mpx
  • Module photo arrière : un capteur de 13 mpx
  • Connectivité : Bluetooth 5.1, Wi-Fi 802.11a/b/g/n/ac
  • Connectivité mobile 4G / 5G : non
  • Batterie de 8 300 mAh compatible avec la charge rapide 35W
  • Système d'exploitation : MagicOS 7.2 (Android 13)
  • Poids : 555 grammes
  • Épaisseur : 6,96 mm
  • Prix : 349,90 euros
  • Voir la fiche produit sur le site officiel

🎁 Découvrez une offre spéciale à l'occasion du lancement de la tablette :

En utilisant notre lien Amazon et le code promo "PAD9FROFF", vous pouvez obtenir 9,90 euros de remise sur la tablette Honor Pad 9 (jusqu'au 24 mars 2023). Si vous êtes membre Amazon Prime, vous pouvez bénéficier d'une remise supplémentaire permettant d'avoir la tablette à 290 € au lieu de 349,90 €.

Si vous appréciez les produits de chez Honor, voici nos précédents tests de smartphone de cette marque :

II. Package et design

La tablette est livrée dans une boite au design soigné, et permettant d'avoir un aperçu sur le design du produit. À l'intérieur de la boite, Honor a glissé la tablette, un câble USB-C et un guide de démarrage rapide. Comme pour les smartphones, faisons une croix sur le chargeur mural, même si l'on m'a fourni un chargeur non officiel, dans le cadre de ce test.

Le grand écran de 12,1 pouces est appréciable et nous constatons une nette différence avec une tablette 10 pouces. Des bordures noires entourent l'écran et elles sont assez fines puisque Honor annonce un ratio châssis / écran de 88%. Ceci signifie que l'écran occupe de 88% de la surface. La caméra frontale est positionnée au centre de l'écran, sur la partie supérieure, lorsque la tablette est posée à l'horizontale (en mode "paysage"). D'ailleurs, c'est à l'extrémité gauche de la tranche supérieure que nous retrouvons l'ensemble des boutons : un gros bouton pour gérer le volume et un bouton Power.

La tablette bénéficie d'un châssis intégralement en métal, avec des angles arrondis. Il ajoute de l'élégance à l'appareil et présente l'avantage d'être très peu sensible aux traces de doigts. À l'arrière, nous retrouvons, au centre, le module photo principal de forme circulaire. Il est décrit de la façon suivante par Honor : "Le design de l'appareil photo central arrière tire son inspiration de la lune montante sur la mer endormie et scintillante." - Même s'il n'est pas discret et assez imposant, il ne contient qu'un seul capteur.

L'Honor Pad 9 contient le strict minimum au niveau de la connectique : un port USB-C. Ceci signifie qu'il n'est pas possible d'étendre la mémoire avec une carte microSD (mais l'espace de stockage interne est tout de même généreux : 256 Go), ni même de connecter un casque avec une prise Jack, car il n'y en a pas. Il conviendra de se tourner vers la connectivité Bluetooth pour connecter des accessoires externes. Par ailleurs, même si ce n'est pas systématique sur les tablettes, sachez qu'elle est livrée sans stylet.

Note : le clavier Bluetooth Honor Pad 9 Smart Bluetooth Keyboard est adapté à cette tablette. Consultez ce lien pour en savoir plus.

Je me dois d'insister sur la présence de 8 haut-parleurs répartis à droite, à gauche et sur la tranche inférieure de la tablette. Il est clair que cela permet d'avoir une bonne immersion lorsque l'on regarde une vidéo, ou pour avoir un son sympa lorsque l'on écoute de la musique. Pour les micros, sachez qu'il y en a 2 sur la tranche supérieure de la tablette, à proximité des boutons.

Nous avons fait le tour de la tablette et nous pouvons également noter l'absence d'un lecteur biométrique. Cependant, le déverrouillage de la tablette pourra être effectué à l'aide de la reconnaissance faciale. Enfin, bien qu'elle soit grande, cette tablette n'est pas lourde : 555 grammes, ce qui permet de pouvoir la transporter et la maintenir facilement.

III. Performances, système, etc.

Le Snapdragon 6 Gen 1 épaulé par 8 Go de RAM, et le système MagicOS 7.2 basé sur Android 13 permettent-ils à cette tablette de répondre à tous les besoins du quotidien ? Voici mon ressenti.

Précision : la tablette Honor Pad 9 est équipée de 8 Go de mémoire vive (RAM), mais celle-ci peut monter jusqu'à 16 Go grâce à la technologie HONOR RAM Turbo. Lorsque la tablette sollicite cette fonctionnalité, l'espace de stockage est utilisé pour avoir de la mémoire vive supplémentaire.

L'interface est soignée et agréable à utiliser. Nous pouvons utiliser deux systèmes de navigation : par geste ou avec trois touches de navigation (positionnée dans le bas de l'écran). Avec ses icônes d'applications et ses dossiers arrondis, ainsi que par les couleurs choisies, cette interface me fait penser un peu à iOS... Mais nous sommes bien sur une tablette Android !

Test Honor Pad 9 - Tablette 12 pouces

Cette tablette est livrée avec un système basé sur Android 13, ce qui est tout de même regrettable sur un produit lancé en 2024, car Android 14 est disponible depuis octobre 2023. Espérons qu'une mise à jour soit prévue par la suite...

Le système est livré avec un ensemble d'applications préinstallées, et elles sont assez nombreuses. Voici la liste : Netflix, Facebook, Booking.com, TikTok, Trip.com, WPS Office. À cela s'ajoute toute la panoplie d'applications et services Google, ainsi que des applications développées par Honor. Par exemple, il y a l'App Market d'Honor qui est un magasin d'applications dans le même esprit que le Play Store de Google.

Avec cette tablette, vous pouvez utiliser toutes les applications courantes sans aucune difficulté, la puce graphique Adreno 710 intégrée au SoC est satisfaisante et il n'y a pas de ralentissement particulier à l'usage. Néanmoins, attention à la gestion de la 3D dans certains jeux où la tablette peut montrer ses limites même si vous pourrez jouer à la plupart des jeux.

Pour exploiter pleinement le grand écran, il y a le mode multi-fenêtres qui est pratique puisqu'il permet de lancer plusieurs applications simultanément sur la tablette : idéal pour les adeptes du multi-tâches, mais pas seulement...

Enfin, je n'en avais pas encore parlé, mais la qualité d'affichage est satisfaisante et la bonne luminosité est un point positif à mettre en évidence. Ceci est d'autant plus vrai que l'écran est sensible aux reflets (cela aura tendance à mettre en évidence les traces de doigts...). N'oublions pas qu'il ne s'agit pas d'un écran OLED.

Si vous utilisez un smartphone Honor, sachez que vous pouvez profiter d'Honor Connect pour que le smartphone et la tablette puissent interagir ensemble. Pour en savoir plus, consultez cette page du site officiel Honor.

IV. Autonomie de la tablette

Sur tous les appareils mobiles, l'autonomie est un critère important. Malheureusement, c'est précisément sur ce point où cette tablette Honor Pad 9 m'a déçue, car pour le reste, la copie est plus que satisfaisante !

Rappelons qu'Honor a pris la décision d'intégrer une batterie d'une capacité de 8 300 mAh : c'est assez faible, en comparaison d'autres modèles, surtout que là, il est question d'alimenter un écran de 12,1 pouces !

J'ai effectué la mise en pratique suivante : lecture de vidéos YouTube en continu (en haute qualité 4K), avec le volume réglé à 50%, la luminosité environ à 60% (en intérieur). Résultat, le smartphone a une autonomie de 7 heures et 15 minutes (temps pour passer de 100% à 0%, sans interruption). De son côté, Honor évoque une autonomie de 11 heures lors de la lecture de vidéo en local (ce qui est différent, car dans mon test, la vidéo est streamée via Wi-Fi).

Cela signifie qu'avec cette tablette, vous pouvez tenir une petite journée, mais pas plus. C'est un point important à prendre en considération, en fonction de votre besoin et vos usages.

Avis tablette HONOR Pad 9

Bon, la bonne nouvelle malgré tout, c'est que la tablette se recharge rapidement : comptez environ 1 h 45 pour recharger la tablette complètement si vous utilisez un chargeur compatible 35 Watts. En 30 minutes, vous pourrez récupérer approximativement un tiers de la batterie, ce qui permettra de repartir assez rapidement pour plusieurs heures d'utilisations.

V. Qualité des photos

Prenons le temps d'évoquer la qualité des photos, notamment celles réalisées avec le capteur photo principal de 13 mégapixels, situé au dos de la tablette. Il s'agit d'un capteur grand-angle (f/2). Dans les meilleures conditions, c'est-à-dire en extérieur, en pleine journée, la tablette est capable de prendre des photos convenables, mais les couleurs sont un peu fades. Et surtout, si vous prenez en photo une personne ou un animal en mouvement, c'est la photo floue assurée...

À cela s'ajoute un lissage prononcé sur certaines photos, mais pour une tablette dont ce n'est pas du tout la fonction première, c'est acceptable. De nuit, un bruit s'ajoute sur l'image, ce qui impacte la qualité globale de la photo (sans surprise).

L'application caméra intègre plusieurs modes de prise de vue (photo, vidéo, portrait, scanner le document, etc.), ainsi que des filtres IA, ce qui est tendance ! Voici un également un aperçu des paramètres, tout en sachant que pour les vidéos, la fréquence d'images maximale est de 30 fps et la résolution maximale 4K. Vous pouvez aussi utiliser HONOR Lens pour l'identification des QR codes et des objets.

VI. Conclusion

Le grand écran avec un affichage de bonne qualité, la présence de 8 haut-parleurs, ainsi que l'élégance du châssis métal et la qualité de fabrication qui lui donne une allure de tablette premium, sont les points fort de cette tablette. Mais il ne faut pas oublier les performances satisfaisantes et une interface fluide qui est agréable à utiliser, et elle conviendra parfaitement à ceux qui connaissent l'interface MagicOS sur smartphone. Au quotidien, cette tablette est réellement agréable à utiliser et, j'insiste, mais l'écran de 12 pouces offre un réel confort visuel, y compris pour afficher plusieurs applications à l'écran.

À l'inverse, l'autonomie m'a déçue et je m'attendais à mieux sur ce point ! La connectique est également un peu légère, j'aurais apprécié l'ajout d'une prise Jack et d'un stylet pour l'écran tactile pour compléter l'ensemble. Enfin, la puissance sera trop juste pour certains jeux donc ce n'est pas une tablette pour gamer exigeant !

Objectivement, cette tablette proposée à 349,90 euros offre un très bon rapport qualité/prix !

🎁 Découvrez une offre spéciale à l'occasion du lancement de la tablette :

En utilisant notre lien Amazon et le code promo "PAD9FROFF", vous pouvez obtenir 9,90 euros de remise sur la tablette Honor Pad 9 (jusqu'au 24 mars 2023). Si vous êtes membre Amazon Prime, vous pouvez bénéficier d'une remise supplémentaire permettant d'avoir la tablette à 290 € au lieu de 349,90 €.

The post Test HONOR Pad 9 : une tablette 12 pouces efficace, mais à l’autonomie limitée first appeared on IT-Connect.

Comment créer un modèle Windows Server 2025 avec Imager ?

I. Présentation

Dans ce tutoriel, nous allons créer une machine Windows Server 2025 qui sera une machine de référence, à l'aide de l'outil Imager de VMware. Cette machine virtuelle pourra être clonée et/ou utiliser avec des solutions comme VMware Workstation ou VMware Horizon.

Dans les faits, Imager va monter l’image ISO de Windows et créer un média autonome avec une image install.wim qui sera découpée en image "swm", tout en intégrant les fichiers de réponse nécessaires ainsi qu'un script PowerShell, pour automatiser la création des partitions et l’application de l’image sur le disque dur.

II. Les prérequis

Comme prérequis, nous avons besoins de plusieurs logiciels :

Pour le programme Imager, c’est un ancien VMware Flings qui aujourd’hui, depuis le rachat de VMware par Broadcom, n’est pas disponible sur le nouveau site VMware Flings. Cependant, le site, il faut en faire la demande par mail pour l'obtenir.

Si vous êtes impatient, vous pouvez aller sur le site archive.org et là, nous allons retrouver l’intégralité de l’ancien site disponible.

Récupérez le fichier Imager-x86-2.1.0.303.msi et procédez à l'installation.

III. Imager

Imager est une solution gratuite qui va nous permettre d’automatiser la création des machines virtuelles, essentiellement pour les machines Windows. Si tout s’est bien passé, vous devriez retrouver l’icône d’Imager.

A. Son fonctionnement

Pour résumer, Imager va réaliser certaines étapes :

  • Analyser l'image Windows sélectionnée
  • Récupération des sources depuis le site de VMware, VMware WorkspaceOne Hub, VMware tools
  • Création d’un environnement Windows PE avec un fichier de réponse "autounattened.xml".
  • Création d’une machine virtuelle dans VMware Worsktation en arrière-plan, avec les exécutables vmrun.exe et vmware-kvm.exe.

B. La pratique

Imager nécessite des droits administrateurs pour créer la machine virtuelle. Le premier écran d’Imager nous permet de créer notre première VM.

  • Cliquez sur "New" pour dérouler les 7 étapes de configuration.

Vous arrivez sur l’écran qui va vous permettre de déterminer les sources que vous allez utiliser lors de la création de la machine.

  • Cliquez sur "BROWSE", et sélectionnez l’image ISO que vous souhaitez utiliser. Attention : que des images Windows bien sûr 😉, et des images WIM autonome ou au format ISO.
  • Sélectionnez la version que vous souhaitez installer dans notre cas "Windows Server Standard (Destkop Expérience)".

Puis cliquez sur "NEXT".

Imager nous propose un scénario d’exécution modulaire avec les étapes suivantes :

  • Create VM : personnalisation du nom de la machine virtuelle, identifiants et mot de passe de l’utilisateur.
  • Install OS : Installation du système d’exploitation sélectionné précédemment 
  • Update OS : récupération des mises à jour depuis Windows Update
  • Provision software : ajout de packages avec l’extension ppkg.
  • Optimize : optimisation de l’image dans l’objectif de l’intégrer avec VMware Horizon et de l’utiliser comme modèle, la suppression des effets graphiques de Windows, la définition d’un fond d’écran simple.
  • Sysprep : suppression des identifications et des personnalisations liées à la machine virtuelles, SID, nom de machine. Ici, les pilotes sont conservés mais normalement ce n’est pas le cas, c'est un paramètre à rajouter dans le fichier de réponse XML.

Si vous le souhaitez, vous pouvez arrêter le processus de création à une des étapes ci-dessus. En cliquant sur les étapes associées.

Dans notre cas, nous souhaitons exécuter l’ensemble des six étapes. Cliquez sur "Next".

  • Nous devons configurer les paramètres de notre VM Windows Server 2025
    • VM Name :  correspond au nom de la machine virtuelle, ici Windows Server 2025
    • Processors : détermine le nombre de processeurs pour la VM
    • Cores per socket : détermine le nombre de cœurs par processeurs
    • Storage controller : détermine la configuration du stockage, le choix recommandé est VMware Paravirtual SCSI.
    • Network adapter : correspond au type de carte réseau, une carte du type Intel, limité à 1 Gbps, ou du VMXNET3 (10Gbps)

Remarque : Par défaut, VMware Workstation crée les machines Virtuelles dans le répertoire "Virtual Machines" dans le profil utilisateurs. Dans le même esprit, Imager crée un répertoire "Imager" dans le répertoire "Virtual Machines".

Dans la partie "Operating System", nous allons définir les paramètres pour notre compte utilisateur. Le nom du compte Administrateur de la machine ainsi que son mot de passe. À cette étape, il est possible de décider la mise à jour de notre système d’exploitation. Dans notre cas, ici, pas de mise à jour pour notre VM.

La phase "Software" nous permet de provisionner des packages au format ppkg. Ces packages sont créés avec l’application "Windows Imaging and Configuration Designer". C'est un logiciel disponible dans l’image ISO des outils de déploiement de Windows ADK.

Dans notre cas, pas de programme additionnel.

Pour la phase "Optimize", nous pouvons améliorer et/ou configurer notre Machine Windows avec différents profils.

  •  Pas d’optimisation : le système d’exploitation n’est pas modifié

Optimisation avec un profil par défaut pour des machines virtuelles conçues pour VMware Horizon. L’outil utilisé est VMware Windows OS Optimization Tool qui est disponible sur le site de VMware à l’adresse suivante.

Enfin, il est possible de faire son propre profil avec "VMware Windows OS Optimization Tool".

Dans notre cas, pas d’optimisation.

La phase de Sysprep, nous permet d’enlever la personnalisation présente dans notre image Windows : SID, compte utilisateurs et pilotes associés à la machine. Dans ce cas, les pilotes sont conservés. Sachez que vous avez la possibilité de conserver le compte administrateur créé lors de l’installation.

Imager nous donne la possibilité à travers un fichier de réponse de créer des comptes locaux, de joindre la machine à un domaine Active Directory, mais aussi de sélectionner les paramètres de régionaux ou encore d’afficher la Licence EULA.

Maintenant, nous avons terminé la configuration de notre modèle, il vous suffit de cliquer sur "BUILD IMAGE". Le processus prend entre 15 et 30 minutes en fonction des options sélectionnées : les mises à jour avec Windows Update et l'Optimisation sont des phases qui augmentent le temps de création.

Remarque : en fonction de l’Image ISO que vous utilisez, vous allez devoir juste interagir une fois avec le processus. Pourquoi, et bien tout simplement, car vous n’utilisez pas une Image Windows en volume, et donc le système vous demande de renseigner une clé de Windows : alors comment faire ?

Durant la phase "Install OS", qui se déroule assez rapidement, Windows Server, dans notre cas, requiert une image d'installation. Donc, nous devrons simplement ouvrir la VM qui a été créée par Imager.

Naviguez dans le répertoire "Imager\Windows Server 2025" sur votre PC.

Comment déterminer si notre VM est en fonctionnement ? Et bien pour cela c’est assez facile, vous devez avoir un fichier avec un nom qui a le format d’un GUID et avec l’extension .VMEM, ainsi que la présence d’un dossier en .lck.

Double-cliquez sur le fichier VMX de Windows Server 2025, et normalement VMware Workstation ouvrira la machine virtuelle automatiquement.

Et là, vous pouvez passer l’étape, en cliquant sur "Do this later".

Avec de la patience, Imager finit la création de l’image.

Dernière modification, comme cet outil vous permet de créer des images pour VMware Workstation et l’écosystème VMware vSphere et Horizon, certaines options ne sont pas activées. Par exemple, le copier-coller depuis votre machine hôte, ou encore le drag-and-drop. Pour cela, il faut éditer les paramètres de votre VM et activez les options adéquates.

Imager vous permet d’exporter votre VM au format OVF ! Maintenant, vous allez pouvoir effectuer des clones liés dans VMware Workstation ou des clones complets pour vos environnements de laboratoires.

IV. Utiliser notre modèle avec VMware Workstation

Dès à présent, ouvrez VMware Workstation sur votre PC. Puis, ouvrez le fichier correspondant à votre machine virtuelle avec l’extension .vmx. Dans mon cas, il s'agit du fichier "Windows Server 2025.vmx".

Créez un snapshot avec comme nom "Initial" par exemple.

Suite à cette action, vous devriez être en mesure d’avoir cette configuration si vous cliquez sur l’icône de gestion des snapshots :

Nous allons à présent configurer notre machine virtuelle pour être utilisée comme modèle pour créer des clones.

Modifiez les paramètres de votre VM et accédez à l’onglet "Option". Ici, sélectionnez "Advanced" et cochez l’option "Enable Template Mode".

Votre machine est prête pour être clonée !

A. Clones liés ou full ?

VMware Workstation nous offre la possibilité de réaliser des clones de nos machines virtuelles. Cependant, en fonction de notre contexte, il y a des avantages, mais également quelques inconvénients.

Une petite comparaison s’impose entre les deux types de clones :

  • Le full clone revient à faire une copie intégrale de la machine que l’on clone. Cela fonctionne très bien, mais le principal inconvénient, c'est la place occupée par le clone. Un petit exemple pour l’illustrer : je souhaite faire un laboratoire Active Directory avec deux contrôleurs de domaine et un serveur membre. L’espace utilisé sera le suivant, ma VM créée seule pèse 7,5 Go, soit 40 Go d’espace une fois configuré pour l'ensemble du lab. De plus, le temps de création du clone sera plus longue.
  • Les clones liés nous permettent de créer une machine différentielle, et ainsi seulement les différences seront inscrites dans la nouvelle VM clonée sans jamais modifier la machine parente. Nous avons un gain d’espace non négligeable, reprenons le même Laboratoire Active Directory : nous allons avoir comme espace utilisé seulement 14 Go. Le temps de création des VM liées est quasiment instantané. Mais, dans ce cas, il faut admettre une relative perte de performance car toutes les machines se partage le même disque parent. De ce fait, les entrées et sorties sont donc très importantes, mais optez pour un bon SSD et le tour est joué !

B. Comment créer un clone ?

Dans l’interface de VMware Workstation :

  • Cliquez droit sur l’onglet de votre VM
  • Sélectionnez "Manage"
  • Sélectionnez "Clone"
  • Cliquez sur "Next"
  • Vous retrouvez le snapshot précédemment créé avec son nom, par exemple "Initial".
  • Cliquez sur "Next"
  • Choisissez votre option entre "Linked Clone" (clone lié) et "Full Clone".
  • Cliquez sur "Next"
  • Rentrez un nom pour votre nouveau clone
  • Cliquez sur "Next"

Dans la nouvelle machine, vous pouvez retrouver les informations du clone fraichement créé !

Mais, aucune information sur l’option que j’ai choisie 😂 ! Alors, on regarde dans les fichiers !

Un indice : ce n’est pas lourd pour une nouvelle VM Windows Server 2025, mais elle n’a encore jamais démarré. Une fois le premier démarrage effectué, sa taille a augmentée.

Mais, cela reste néanmoins moins gourmand que 7,5 Go pour une installation de Windows Server 2025, grâce à notre clone basé sur une notre modèle Imager.

Il ne vous reste plus qu'à profiter de ce modèle créé avec Imager grâce aux clones de VMware Workstation !

The post Comment créer un modèle Windows Server 2025 avec Imager ? first appeared on IT-Connect.

❌