I. Présentation

Dans ce tutoriel, nous allons voir comment utiliser le framework open source Gophish pour créer une campagne de phishing (hameçonnage) dans le but d'évaluer le niveau de vigilance des utilisateurs.

Grâce à Gophish, vous allez pouvoir créer différentes campagnes de phishing et les diffuser auprès de vos utilisateurs, dans le but de les sensibiliser, de les entraîner, afin qu'il soit capable d'adopter les bons réflexes lorsqu'ils se retrouvent face à un e-mail douteux.

Visiter le site officiel de Gophish

Voici les fonctionnalités principales de Gophish :

• Création d'utilisateurs et de groupes d'utilisateurs (cibles)
• Création de template pour les e-mails de vos campagnes
• Création de landing page pour vos campagnes (exemple : un formulaire de connexion)
• Envoyer des campagnes de phishing avec suivi des e-mails (e-mail envoyé, e-mail ouvert, clic sur le lien, données récoltées via le formulaire) pour chaque utilisateur
• Reporting sur les campagnes
• API pour interroger Gophish à distance et récupérer des informations

Voici à quoi ressemble le tableau de bord de Gophish, accessible à partir d'un navigateur :

Bien sûr, un tel outil peut être détourné pour créer des campagnes malveillantes, mais ce n'est clairement pas l'objectif de cet article.

De nombreuses attaques informatiques débutent par un e-mail malveillant et un utilisateur piégé ! Je vous encourage à utiliser Gophish (ou un autre outil) pour sensibiliser et entraîner vos utilisateurs ! Rien de mieux que la pratique pour vérifier s'ils ont bien compris la session de formation visant à les sensibiliser.

Remarque : via Office 365 / Microsoft 365, Microsoft propose une fonctionnalité qui permet de réaliser des campagnes de phishing pour sensibiliser vos utilisateurs. Cela nécessite d'utiliser des licences Microsoft 365 E5.

II. Rappel : c'est quoi le phishing ?

Le phishing, ou hameçonnage en français, est une technique utilisée dans le cadre d'attaques informatiques pour inciter l'utilisateur à communiquer des informations personnelles (nom d'utilisateur, mot de passe, numéro de carte bancaire, etc.) à partir d'un e-mail, d'un SMS, etc... Qui va rediriger l'utilisateur sur une page Web malveillante.

Par exemple, le pirate informatique va créer une copie de la page de connexion sur Facebook et il va inclure un lien vers cette copie dans l'e-mail qu'il va envoyer aux utilisateurs ciblés. Si l'utilisateur clique sur le lien, accède à la page et saisit ses informations de connexion, le pirate va récupérer les informations saisies par l'utilisateur. Il peut alors usurper l'identité de l'utilisateur et se connecter à son compte Facebook, mais cela fonctionne pour tout autre compte (Google, impôts, banque, etc.).

III. Installation de Gophish

L'outil Gophish est disponible gratuitement sur Github et il existe des binaires pour Windows, Linux et macOS. Sinon, vous pouvez aussi le compiler vous-même ou utiliser un container Docker pour le tester rapidement.

• Télécharger les binaires Gophish
• Documentation - Installation de Gophish

Pour ma part, je vais utiliser le binaire pour Windows. On obtient un ZIP qu'il suffit de décompresser. Ensuite, il faut exécuter "gophish.exe".

Note : le serveur qui héberge Gophish doit être accessible par les machines de vos utilisateurs pour que la page Web puisse s'afficher lorsqu'ils vont cliquer sur le lien contenu dans l'e-mail.

Par défaut, Gophish s'appuie sur une base de données SQLite, mais il est possible de configurer un serveur MySQL. Le fichier de configuration se nomme "config.json" et il est situé au même endroit que l'exécutable.

Au premier démarrage, il y a quelques informations intéressantes à relever :

• Le compte par défaut se nomme "admin" et le mot de passe généré aléatoirement est communiqué dans la console (il faudra le changer à la première connexion)
• L'interface de Gophish pour afficher les pages web de vos campagnes est accessible sur le port 80/HTTP
• L'interface d'administration de Gophish est accessible en HTTPS sur le port 3333

Laissez Gophish tourner et connectez-vous sur l'interface d'administration.

IV. Configuration de Gophish

Pour se connecter depuis la machine locale, il suffit d'accéder à l'adresse "https://127.0.0.1:3333" à partir d'un navigateur. Connectez-vous avec le compte admin et modifiez le mot de passe.

Dans cet exemple, mon objectif est de créer une campagne de phishing en reprenant un e-mail d'Instagram qui renvoie vers une page Web avec un formulaire.

Avant de pouvoir envoyer notre première campagne de phishing, il va falloir préparer un certain nombre d'éléments : c'est ce que nous allons faire, étape par étape. Suivez le guide !

A. Création des utilisateurs et des groupes

Nous devons commencer par créer nos utilisateurs et nos groupes. On peut imaginer qu'un groupe correspond aux utilisateurs d'un service ou d'un site. Lorsqu'une campagne de phishing sera envoyée, il faudra cibler un ou plusieurs groupes.

Cliquez sur "Users & Groups" puis sur "New Group".

Nommez votre groupe en renseignant le champ "Name" et ensuite vous avez deux options :

• Créez vos utilisateurs un par un, en remplissant le formulaire et en cliquant sur "Add". Cela peut vite être chronophage...
• Créez vos utilisateurs à l'aide d'un fichier CSV que vous pouvez importer avec le bouton "Bulk Import Users". Cela me plaît un peu plus et de toute façon on ne peut pas établir de connexion avec un annuaire externe.

On va s'intéresser un peu plus à la deuxième option : l'import CSV. Je ne suis pas trop du genre à faire des saisies en boucle pendant des heures...

D'après le template fourni par Gophish, on doit fournir un fichier CSV avec 4 colonnes et la virgule comme séparateur :

"First Name","Last Name","Email","Position"

Je ne sais pas vous, mais j'ai envie de faire une extraction des comptes de l'Active Directory pour importer les comptes dans Gophish. On va dire que "First Name" correspond à l'attribut "givenName", "Last Name" à l'attribut "sn", "Email" à l'attribut "mail" et "Position" à l'attribut "Title" des objets utilisateurs.

Pour ce premier groupe, je vais récupérer les utilisateurs de l'OU "OU=Personnel,DC=it-connect,DC=local" et exporter le résultat vers un fichier CSV ("C:\UsersGophish.csv").

En PowerShell, cela me donne la commande suivante (et tant qu'à faire avec les bons noms de colonnes souhaités par Gophish). Adaptez le paramètre -SearchBase et éventuellement le chemin de sortie du CSV.

Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=it-connect,DC=local" -Properties mail,givenName,sn,title | Select-Object @{n='First Name';e={$_.givenName}},@{n='Last Name';e={$_.sn}},@{n='Email';e={$_.mail}},@{n='Position';e={$_.Title}} | Export-CSV -Path "C:\UsersGophish.csv" -Delimiter "," -NoTypeInformation

J'obtiens un joli CSV que je n'ai plus qu'à importer.

Note : vous pouvez aussi jeter un œil au script GoLDAP qui sert à importer les utilisateurs d'un annuaire LDAP vers Gophish.

Les utilisateurs, c'est réglé ! Passons à la suite.

B. Créer l'e-mail pour la campagne de phishing

Seconde étape : la création du modèle d'e-mail que l'on va envoyer aux utilisateurs dans le cadre de cette campagne de phishing.

Cliquez à gauche sur "Email Templates" puis sur le bouton "New Template".

Pour créer le modèle, vous pouvez partir de zéro ou importer le code HTML d'un e-mail existant (ce qui est intéressant pour gagner du temps) grâce au bouton "Import Email". Pour cet exemple, j'ai repris un modèle que j'ai trouvé ici et que j'ai traduit en français.

Dans tous les cas, je vous recommande d'utiliser l'éditeur HTML afin de pouvoir modifier les balises. Lorsque vous cliquez sur le bouton "Source", vous pouvez basculer entre l'affichage du code et la prévisualisation de votre e-mail. Le bouton le plus à droite permet de prévisualiser l'e-mail dans un nouvel onglet.

Pour accéder à tous les boutons de l'éditeur de texte, notamment pour insérer des liens, il faut cliquer sur le bouton "Source". Vous pouvez aussi insérer des balises où la valeur sera dynamique, notamment pour reprendre le prénom ou le nom de l'utilisateur : avec un "Bonjour Florian", vous avez plus de chance de piéger l'utilisateur qu'avec un simple "Bonjour". À vous de juger le niveau de difficulté que vous souhaitez pour ce premier essai.

Pour renvoyer vers la landing page qui contient le formulaire, il faut ajouter un lien à l'e-mail. Sur ce lien, il faut indiquer l'URL "{{.URL}}" qui sera remplacée par Gophish par la bonne valeur.

Mon e-mail est prêt, voici un aperçu :

C. Créer la landing page pour récupérer les identifiants

Troisième étape : création de la landing page qui sera une page piégée puisque si l'utilisateur complète le formulaire, nous allons le savoir ! S'il clique sur le lien, nous allons le savoir aussi !

Cliquez sur "Landing Pages" sur la gauche du menu puis sur "New Page".

Donnez un petit nom à votre template et ensuite il faut passer à la construction.

Vous pouvez partir de zéro comme pour l'e-mail ou importer un site à partir d'une URL et du bouton "Import Site". Alors, vous pouvez importer la page d'un site existant, mais il faudra adapter le code source : le formulaire que vous allez récupérer ne sera peut-être pas conforme aux attentes de Gophish (notamment les noms des champs du formulaire). C'est la partie la plus délicate (si vous cherchez à copier Instagram, par exemple), mais si vous reprenez un portail de votre entreprise pour cette campagne, ça devrait aller.

Pour ma part, j'ai créé une page très basique pour cette démo.

Si vous souhaitez récupérer les informations saisies par les utilisateurs, cochez les cases "Capture Submitted Data" et "Capture Passwords" pour le mot de passe (même si vis-à-vis du RGPD, je pense qu'il vaut mieux éviter l'option "Capture Passwords"). Il est précisé que le mot de passe sera stocké en clair, mais finalement on peut se passer de la récupération du mot de passe. Sauf si vous souhaitez engueuler l'utilisateur s'il utilise un mot de passe faible (pour ne pas dire autre chose) en plus de s'être fait piéger.

Voici le code source de ma superbe page :

<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body>
<form action="" method="post" name="form"><label>Nom d&#39;utilisateur:</label> <input type="text" /><br />
<label>Mot de passe:</label> <input name="password" type="password" /><br />
<input id="login" type="submit" value="Se connecter" />&nbsp;</form>
</body>
</html>

Si vous arrivez à piéger un utilisateur avec ça, je suis inquiet pour vous. Enregistrez... La page est prête !

D. Configurer le serveur SMTP

Avant de lancer la campagne, il nous reste une dernière étape : la configuration du serveur de messagerie (SMTP). Vous vous en doutez, il va servir à envoyer les e-mails de nos campagnes de phishing.

Sur la gauche, cliquez sur "Sending Profiles" puis sur "New Profile".

Ensuite, vous devez nommer votre profil et renseigner les informations en complétant le formulaire.

Voici quelques indications :

• From : adresse e-mail utilisée pour envoyer les e-mails, c'est-à-dire l'expéditeur. Si vous effectuez une campagne de sensibilisation axée sur Instagram, il peut être intéressant d'utiliser un nom de domaine trompeur et semblable à "@instagram.com". S'il n'a rien à voir, ce sera plus facile pour les utilisateurs de voir qu'il s'agit d'un piège : mais ce sera aussi l'occasion de voir s'ils ont bien compris qu'il fallait vérifier l'e-mail de l'expéditeur (même si ce n'est pas suffisant).
• Host : serveur SMTP à utiliser pour envoyer les e-mails, suivi du port (séparé par ":")
• Username : compte utilisateur pour s'authentifier sur le serveur SMTP
• Password : le mot de passe de ce compte

Pour valider que ça fonctionne, cliquez sur "Send Test Email". Si c'est bon, vous pouvez continuer.

Note : vous pouvez créer plusieurs profils, car en fonction de la campagne, vous n'allez peut-être pas utiliser la même adresse d'expéditeur.

E. Lancer la campagne de phishing

Tout est prêt ! Nous allons pouvoir créer notre première campagne de phishing et tester nos utilisateurs !

Cliquez sur le menu "Campaigns" puis sur "New Campaign".

Pour créer cette campagne nommée "Instagram n°1", on va réutiliser les éléments créés précédemment : "Email Template", "Landing Page" et "Sending Profile".

Concernant, les autres options :

• URL : indiquez le nom de domaine ou l'adresse IP (là aussi, essayez de faire en sorte de tromper vos utilisateurs pour les évaluer correctement) où les utilisateurs pourront contacter votre serveur Gophish.
• Launch Date : date à laquelle envoyer la campagne, par défaut c'est immédiatement. Si vous spécifiez aussi une date pour le champ "Send Emails By", Gophish enverra les e-mails à un moment donné entre la date de début ("Launch Date") et la date de fin ("Send Emails By"). Ainsi, tous les utilisateurs ciblés ne vont pas recevoir l'e-mail en même temps.
• Groups : sélectionnez un ou plusieurs groupes d'utilisateurs que vous souhaitez cibler avec cette campagne.

Quand tous les champs sont complétés, cliquez sur "Launch Campaign" pour démarrer la campagne ! Le tableau de bord de la campagne va s'afficher et la section "Details" vous indique la "progression" pour chaque utilisateur.

F. Consulter les résultats de la campagne de phishing

En tant qu'utilisateur ciblé par la campagne de phishing, j'ai reçu l'e-mail ci-dessous, avec le fameux "Bonjour Florian". On peut voir que le lien renvoie vers mon serveur Gophish (et l'adresse IP spécifiée dans la campagne).

Je décide de cliquer sur le lien : j'arrive bien sur la landing page. Je suis confiant, je vais me connecter comme indiqué dans l'e-mail....

Dans le même temps, sur l'interface de Gophish, on peut voir qu'il y a un utilisateur qui a ouvert l'e-mail, cliqué sur le lien et envoyé des données.

Note : la section "Email Reported" indique le nombre d'utilisateurs qui ont signalé cet e-mail pour dire qu'il était malveillant. Un utilisateur qui a signalé l'e-mail frauduleux au service informatique doit être récompensé ! - Pour configurer cette fonction, rendez-vous dans "Account Settings" puis "Reporting Settings" : configurez la boîte e-mail qui sert à vos utilisateurs à remonter les incidents de sécurité au service informatique.

En complément, la "Campaign Timeline" nous donne un aperçu des événements dans le temps, avec le nom d'utilisateur et l'action effectuée. C'est plutôt bien fait !

Au niveau de la section "Details", je peux voir que l'utilisateur "Florian Burnel" a envoyé des données via le formulaire ! Je peux même obtenir le détail des actions avec la date et l'heure, c'est très précis !

En affichant tous les détails, je peux également visualiser le mot de passe envoyé par le formulaire de ma landing page : "JeTeDonneMonMotDePasse". Finalement, je crois qu'il m'a démasqué et qu'il s'en amuse !

En complément, le bouton "Complete" permet de terminer une campagne et de l'archiver (les résultats restent accessibles). Enfin, vous pouvez exporter un rapport au format CSV en cliquant sur "Export CSV".

Cette démo de Gophish est terminée ! Maintenant, c'est à vous de jouer ! Pensez à former les utilisateurs puis à les tester avec Gophish. Dans la foulée de la campagne, effectuez une seconde session de sensibilisation auprès des utilisateurs qui se font piéger. Sans oublier une piqûre de rappel pour tout le monde, de temps en temps.

The post Comment créer une campagne de phishing avec Gophish ? first appeared on IT-Connect.

TPM (Trusted Platform Module) est une puce intégrée à la carte mère de votre ordinateur qui permet de sécuriser votre appareil.

Ainsi, Windows 10 utilise largement le module de plateforme sécurisée (TPM) et l'intègre profondément dans le système Windows pour ses améliorations de sécurité telles que Device Guard et Windows Hello for Business.
Enfin on peut l'utiliser pour chiffrer son disque avec BitLocker et éviter de devoir saisir un mot de passe complexe à chaque démarrage.

Dans Windows 11, TPM fait partie de la configuration minimale requise.

Dans cet article, vous allez voir comment activer et désactiver TPM depuis Windows 11 ou Windows 10.
Vous pouvez aussi être amener à vider TPM avant de vendre votre PC.
Enfin comment vérifier si TPM est actif.

Comment vérifier si TPM est activé dans Windows 10 ou Windows 11

Comment activer/désactiver TPM dans le BIOS

Activer TPM dans le BIOS de son PC

Comme tout configuration liée au matériel, vous pouvez activer ou désactiver TPM depuis dans les paramètres du BIOS de votre PC.
Ensuite vous pourrez l'activer dans Windows 10.
En règle générale, l'option TPM est activée par défaut mais je vous donne la procédure au cas où elle ne l'est pas.

Le contenu et l'accès au BIOS du PC diffèrent selon la marque (ASUS, Dell, HP, etc).
Ainsi, il faut chercher dans les options avancées (Advanced) et dans la partie Security ou Trusted Computing.
Ensuite pensez à quitter le BIOS en sauvegardant avec l'option exit & save.

Suivez ce guide complet pour ouvrir le BIOS de votre PC :

ASUS ou ASUSROG

• Ouvrez le BIOS de votre PC ASUS
• Par exemple sur un PC ASUS, il faut se rendre dans les options avancées du BIOS.
• Puis cliquez sur Advanced
• Cherchez l'option Trusted Computing
• Activez TPM Support et TPM State en le passant sur (Enable)
• Enfin allez dans le menu Exit pour sauvegarder (saves) et quitter (exit)

HP

• Ouvrez le BIOS de votre PC HP
• Rendez-vous ensuite dans le menu Security
• Activez TPM Support et TPM State en le passant sur (Enable)
• Enfin enregistrez les modifications et quitter depuis le menu Exit

Lenovo

Pour vérifier si le module de plateforme sécurisée (TPM) est bien actif sur un PC Lenovo.

• Ouvrez le BIOS de votre PC Lenovo
• Rendez-vous ensuite dans le menu Security
• Vous trouverez alors les options Security Chip
• Dans l'exemple ci-dessous Security Chip Selection doit être réglé sur Discrete TPM.

MSI

Toutes les cartes mères MSI ne supportent pas TMP 2.0 : Liste complète de cartes mères supportant le module TPM 2.0 (PDF)

Voici comment activer les support TPM sur un PC MSI

• Accédez au BIOS de votre PC MSI
• Puis cliquez sur Advanced
• Cherchez l'option Trusted Computing
• Dans cette dernière Security Device Support doit être activé (Enable)
• Puis allez dans le menu Exit pour sauvegarder (saves) et quitter (exit)

Pour activer TMP sur les BIOS de PC de bureau MSI :

• Se rendre dans le menu Settings > Security > Trusted Computing
• Pour Activer TPM 2.0, réglez TPM Device Selection sur PTT
• Puis appuyez sur ESC pour quitter le BIOS et enregistrez les mdofications

Gigabyte

Les cartes mères et BIOS à base de Gigabyte suivent la même logique pour activer TMP.

• Accédez au BIOS de votre PC MSI
• Puis ouvrez le menu Peripherals > Trusted Computing

• Réglez TMP Support sur Enable
• TPM State sur Enabled
• Appuyez sur la touche F10 pour enregistrer et quitter le BIOS du PC

Sur un PC Lenovo

Enfin un dernier exemple pour activer TPM sur un PC Lenovo ThinkPad :

• Accédez au BIOS de votre PC Lenovo
• Puis à gauche cliquez sur le menu Security
• A droite, cliquez sur Security Chip

• Vérifiez que Security Chip Type est sur TPM 2.0
• Ensuite que l'option en dessous Security Chip est bien activée sinon activez la
• Enfin appuyez sur F10 pour enregistrer les modifications du BIOS et le quitter

Depuis les sécurité de Windows 10

Ensuite, vous pouvez être amener à désactive le module de plateforme sécurisée.
Cela se fait dans les sécurité de Windows.

• Ouvrez les sécurités de Windows depuis l'icône bouclier en bas à droite
• Puis allez dans le menu Sécurité des appareils
• Ensuite en bas, cliquez sur Résolution des problèmes du processeur de sécurité

• Ensuite cliquez sur le bouton Désactiver/activer le module de plateforme sécurisé

Activer le module de démarrage sécurisé TPM depuis gpedit.msc

L'éditeur de stratégie de groupe local (gpedit.msc) vous permet aussi de modifier la configuration de démarrage utilisant la technologie TPM.

Pour Activer le module de démarrage sécurisé TPM depuis gpedit.msc :

• Sur votre clavier appuyez sur la touche
  + R
• Dans la fenêtre exécutez, saisissez gpedit.msc puis OK.
• Depuis l'éditeur de stratégies du groupe locale, déroulez à gauche : Configuration de l'ordinateur > Modèles d'administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d'exploitation
• A droite, double-cliquez sur Exiger une authentification supplémentaire démarrage.

Comment vider TPM

Avant de vendre votre PC, il est préférable d’effacer le TPM en toute sécurité sur un ordinateur dont vous êtes sur le point de vous débarrasser.
Aindi, si vous utilisez BitLocker pour chiffrer le disque afin d'effacer les anciens lecteurs SSD, vous devrez effacer le TPM pour détruire la clé de chiffrement afin que personne ne puisse la récupérer.

Enfin parfois avant de réinstaller Windows 10 sur son SSD, on peut avoir besoin de supprimer les clés TPM.

Voici comment faire :

• Ouvrez PowerShell en administrateur
• puis saisissez la commande suivante :

Clear-TPM

L’article Activer/désactiver TPM sur Windows 10, 11 et dans le BIOS de son PC est apparu en premier sur malekal.com.

Offensive Security a mis en ligne Kali Linux 2021.3 ! Découvrons ensemble les nouveautés principales de cette nouvelle mouture.

Pour rappel, Kali Linux est une distribution basée sur Debian qui intègre de nombreux outils liés à la sécurité informatique, que ce soit pour de l'audit, de l'analyse, mais aussi des tests de pénétration. Au-delà des améliorations apportées à la distribution directement, c'est le site Kali Tools qui s'est refait une beauté.

Les nouveaux outils de Kali Linux 2021.3

Commençons par la liste des nouveaux outils intégrés à Kali Linux 2021.3, puisque nous avons le droit à quelques nouveautés comme lors de la sortie de la version 2021.2.

• Berate_ap : outil pour créer des points d'accès Wi-Fi malveillants (rogue AP MANA)
• CALDERA : un framework conçu pour créer des simulations d'attaques, entre autres
• EAPHammer : outil pour attaquer les réseaux Wi-Fi "WPA2-Enterprise"
• HostHunter : outil de reconnaissance pour détecter les noms d'hôtes via les techniques d'OSINT
• RouterKeygenPC : un outil pour générer les clés Wi-Fi WPA/WEP par défaut de certains routeurs
• Subjack : un outil pour analyser et détecter les sous-domaines vulnérables
• WPA_Sycophant : un outil pour attaquer un réseau Wi-Fi grâce à une attaque par relai

OpenSSL : tous les protocoles obsolètes sont actifs

Tout d'abord, Offensive Security a revu l'intégration d'OpenSSL au sein de Kali Linux. Alors que sur une machine de production il est préférable de ne pas activer les protocoles non sécurisés comme TLS 1.0 et TLS 1.1, sur cette distribution Linux, c'est différent. Afin de pouvoir cibler des périphériques obsolètes, il est nécessaire de les activer, c'est ce qui est fait avec cette nouvelle version.

En résumé, au sein de Kali Linux 2021.3, OpenSSL est configuré de manière à être compatible avec un plus grand nombre de configurations.

La virtualisation mieux supportée

Si vous utilisez Kali Linux dans une machine virtuelle, sachez que les développeurs ont amélioré le support dans les différents environnements de virtualisation (VMware, VirtualBox, Hyper-V). L'image Live peut être utilisée sur une VM et bénéficier de fonctions d'intégration sans installer les VMware Tools (ou équivalent). Par exemple, vous pouvez bénéficier du copier-coller nativement, ou redimensionner la fenêtre de la VM sans avoir à gérer la résolution manuellement.

Enfin, sachez que cette nouvelle version supporte mieux les architectures ARM puisque différents bugs ont été corrigés.

Rendez-vous sur le site Kali Linux pour obtenir tous les détails.

The post Quelles sont les nouveautés de Kali Linux 2021.3 ? first appeared on IT-Connect.

Dès à présent, vous pouvez supprimer votre mot de passe de votre compte Microsoft afin de choisir une autre méthode d'authentification !

C'est par l'intermédiaire d'un article de blog publié par Liat Ben-Zur, Vice-présidente chez Microsoft, que nous apprenons cette information : Microsoft veut que vous puissiez vous connecter à ses services sans utiliser de mots de passe. S'attaquer aux mots de passe, c'est s'attaquer à un éternel problème en matière de sécurité !

Microsoft précise que 579 attaques par mots de passe sont réalisées par seconde dans le monde ! D'un côté ce n'est pas surprenant puisqu'il faut un mot de passe pour se connecter partout et qu'il y a beaucoup d'utilisateurs qui n'utilisent pas de mots de passe robustes. Du coup, les mots de passe sont une cible de premier choix.

À la place du mot de passe, Microsoft vous propose d'effectuer l'authentification à partir de Windows Hello, c'est-à-dire l'authentification biométrique, via l'application mobile Microsoft Authenticator, ou alors à partir d'un code de vérification envoyé par e-mail ou SMS. Autrement dit, ce sont les options que l'on a actuellement lorsque l'on active la double authentification sur son compte.

Autant, je veux bien croire que ce soit sécurisé et fiable avec Windows Hello ou Microsoft Authenticator, mais par contre je suis sceptique sur le code de vérification envoyé par e-mail ou SMS.

En mars dernier, la firme de Redmond a autorisé les entreprises à déployer l'authentification sans mot de passe dans leurs environnements. Au total, ce sont plus de 150 millions d'utilisateurs qui se connectent à leurs comptes Azure Active Directory et Microsoft sans mot de passe.

L'authentification sans mot de passe est disponible dès maintenant pour tous les utilisateurs, que ce soit pour se connecter à Microsoft Edge, à son compte Microsoft ou aux services Microsoft 365.

Pour tester avec votre compte Microsoft, installez l'application Microsoft Authenticator sur votre mobile. Ensuite, rendez-vous dans les paramètres du compte puis dans Sécurité > Options de sécurité avancées > Compte sans mot de passe. Pour obtenir de l'aide, consultez cette page : Support Microsoft.

Source

The post L’authentification sans mot de passe disponible sur les services Microsoft ! first appeared on IT-Connect.

Le rapport ISG Provider Lens™ révèle que les entreprises du marché français adoptent massivement les produits et services proposés par les fournisseurs en la matière.

The post Les entreprises du marché français à l’affût des services de cybersécurité pour protéger leurs informations et leur identité first appeared on UnderNews.

Les APT font aujourd’hui partie des cyberattaques les plus sophistiquées et destructrices mises en œuvre par des personnes dotées de compétences avancées et d'intentions malveillantes. Dans ce contexte, le préjudice potentiel des APT peut être largement contenu en automatisant la gestion des politiques de sécurité.

The post Comment l’automatisation des politiques permet de se protéger des menaces APT first appeared on UnderNews.

Le jargon de la cybersécurité vous laisse perplexe ? On vous explique les termes les plus fréquemment utilisés dans ce domaine. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article Le vocabulaire de la cybersécurité en 17 concepts à comprendre est apparu en premier sur Numerama.

Si vous faites partie des Patrons de Korben.info, vous pouvez être fier car cette vidéo sur les secrets de APK Android a été réalisée grâce à vous !

Cette semaine, je vous propose donc un outil super sympa qui permet sans trop rentrer dans la technique d’analyser les « secrets » qui se cachent dans les applications Android. Vous apprendrez à télécharger un APK et à en extraire certaines chaînes de caractères.

Ce tuto fait écho à un tutoriel que j’ai publié il y a quelques semaines où j’explique même comment recompiler l’APK après l’avoir modifié. Vous le trouverez ici.

Les liens :

• https://korben.info/decompiler-application-android-apk-recompiler.html
• https://github.com/dwisiswant0/apkleaks
• https://github.com/skylot/jadx

Les mises à jour mensuelles de septembre 2021 pour Windows 10 sont disponibles et cela correspond aux mises à jour KB5005565 & KB5005566 pour les versions les plus récentes.

Au sein de ces nouvelles mises à jour, il y a bien sûr des correctifs de sécurité, mais également la correction de certains bugs.

La firme de Redmond a corrigé un bug dans OneDrive qui impactait la fonctionnalité "Dossiers connus" après l'installation d'une mise à jour Windows. Par ailleurs, un bug a été corrigé au niveau de l'intégration du Bluetooth, car dans certains cas le casque Bluetooth fonctionnait seulement pour les appels vocaux, mais pas pour les autres usages. Concernant PowerShell, un bug a été corrigé au sein du cmdlet Move-Item, car dans certains cas, un nombre infini de dossiers enfants pouvaient être créés jusqu'à atteindre la saturation du disque et le blocage du système.

Retrouvez plus d'informations sur le site de Microsoft.

En fonction des versions de Windows, voici la KB correspondante qu'il faut installer sur votre machine :

• Windows 10 versions 2004, 20H2 et 21H1 : KB5005565
• Windows 10 version 1909 : KB5005566
• Windows 10 version 1903 : fin du support
• Windows 10 version 1809 : KB5005568
• Windows 10 version 1803 : fin du support
• Windows 10 version 1709 : fin du support
• Windows 10 version 1703 : fin du support
• Windows 10 version 1607 : KB5005573
• Windows 10 version 1507 : KB5005569

Ces mises à jour sont disponibles au sein des canaux habituels : Windows Update, WSUS et le catalogue Microsoft Update pour le téléchargement manuel.

Microsoft a également publié son Patch Tuesday du mois de Septembre 2021 afin de corriger 60 failles de sécurité et 2 zero-day, dont la vulnérabilité au sein du composant MSHTML.

Source

The post Windows 10 – Les mises à jour KB5005565 & KB5005566 sont disponibles first appeared on IT-Connect.

À l'occasion du deuxième mardi du mois de septembre, Microsoft a publié son habituel Patch Tuesday ! Ce mois-ci, il corrige 60 failles de sécurité et deux vulnérabilités zero-day.

Microsoft a corrigé 60 failles de sécurité, dont 3 considérées comme critiques, 1 comme modérée et 56 comme importantes. Si l'on tient compte des 26 failles de sécurité corrigées dans Microsoft Edge, le total est de 86 vulnérabilités. Parmi elles, 27 vulnérabilités sont de type "élévation de privilèges".

Parmi les autres produits concernés par ce Patch Tuesday, nous retrouvons notamment : Microsoft Office (Excel, Access, SharePoint, Visio), Windows, Azure Sphere, Azure Open Management Infrastructure, Visual Studio, Windows Bitlocker, Windows Event Tracing, Windows Installer, Windows SMB, Windows Subsystem for Linux ou encore le noyau Windows.

Deux failles zero-day corrigées dont la faille MSHTML

Commençons par une bonne nouvelle : la vulnérabilité critique (et zero-day) située dans le moteur MSHTML d'Internet Explorer et qui touche Microsoft Office a été corrigée ! Pour rappel, il faut disposer d'un document Office malveillant pour exploiter cette faille de sécurité et infecter la machine de la victime. Il y a des campagnes de phishing en cours.

La seconde faille zero-day qui est connue publiquement, mais qui ne semble pas exploitée correspond à la référence CVE-2021-36968. Il s'agit d'une élévation de privilèges au sein du composant DNS de Windows. D'après les informations publiées sur le site de Microsoft, elle touche seulement Windows 7 SP1, Windows Server 2008 SP2 et Windows Server 2008 R2 SP1.

Un nouveau correctif pour la faille PrintNightmare

Pour rappel, PrintNightmare (CVE-2021-34527 et CVE-2021-36958), c'est le nom de la vulnérabilité critique qui a beaucoup fait parler d'elle ces derniers mois et qui touche le service "Spouleur d'impression" de Windows. Microsoft a déjà publié un correctif, mais il était partiellement efficace.

Au sein du Patch Tuesday de Septembre 2021, la firme de Redmond a publié un nouveau correctif de sécurité pour - enfin - venir à bout de PrintNightmare et plus particulièrement de la CVE "CVE-2021-36958". Comme les autres, il est intégré au patch cumulatif que vous pouvez installer sur vos postes de travail et serveur.

D'autres éditeurs publient des mises à jour !

Au-delà de Microsoft, il y a de nombreux éditeurs qui viennent de publier des mises à jour de sécurité pour leurs produits. Hier, je vous parlais de Google qui a publié une mise à jour de sécurité pour Chrome 93 afin de corriger deux failles zero-day.

De son côté, Apple a publié une mise à jour pour iOS et macOS afin de patcher deux failles zero-day dont une qui est exploitée par le logiciel espion Pegasus.

Si vous utilisez Linux et plus particulièrement Ubuntu, sachez qu'une update est disponible suite à la découverte de plusieurs vulnérabilités dans le noyau Linux d'Ubuntu. Enfin, si vous avez un NAS QNAP, l'éditeur vient de publier une mise à jour pour de sécurité son système QTS.

Source

The post Patch Tuesday – Septembre 2021 : 60 vulnérabilités et 2 zero-day corrigées ! first appeared on IT-Connect.

Les ordinateurs de la gamme Omen de chez HP sont concernés par une faille de sécurité critique ! Cela représente des millions d'appareils à travers le monde car d'autres modèles sont touchés. La bonne nouvelle, c'est qu'un correctif est disponible.

La faille CVE-2021-3437 touche les ordinateurs gaming de chez HP et elle permet à un attaquant d'effectuer un déni de service sur la machine cible, ainsi qu'une élévation de privilèges. En fait, la vulnérabilité se situe au sein du logiciel OMEN Gaming Hub, préinstallé sur les machines gaming du fabricant, aussi bien les PC fixes que les PC portables.

Le logiciel OMEN Gaming Hub sert à optimiser l'expérience en jeu en intégrant plusieurs options : overclocking, optimiser les paramètres du système pour le jeu, configuration des périphériques HP OMEN, etc.

Il s'appuie sur un pilote nommé HpPortIox64.sys qui permet d'effectuer diverses opérations au niveau des ports d'entrée/sortie, de la mémoire ou encore des ports PCI. Le problème, c'est que le pilote HP utilise une partie vulnérable du code source du pilote WinRingo.sys, qui un pilote open source.

D'après l'analyse de Kasif Dekel de chez SentinelOne, grâce à cette faille, un utilisateur standard sur l'ordinateur local peut exploiter cette faille pour effectuer une élévation de privilèges et exécuter du code en mode noyau, par l'intermédiaire des droits SYSTEM.

Quels sont les modèles touchés par cette faille ?

Les modèles de la gamme OMEN de HP, mais aussi quelques modèles HP ENVY et HP Pavilion Gaming, comme on peut le constater dans la liste publiée sur le site officiel de HP.

Il est important de préciser que le logiciel peut être installé à partir du Microsoft Store sur n'importe quelle machine Windows. Si vous avez un PC d'une autre marque, mais que vous utilisez un périphérique HP OMEN sur ce PC, et donc que vous avez installé le logiciel OMEN Gaming Hub, votre machine est vulnérable !

Au final, on peut dire qu'il y a des millions de machines touchées dans le monde entier.

Comment se protéger contre la faille du logiciel OMEN Gaming Hub ?

La bonne nouvelle, c'est qu'il existe un correctif de sécurité depuis le 27 juillet 2021 ! Vous devez mettre à jour les composants suivants sur votre machine :

• OMEN Gaming Hub : au minimum la version 11.6.3.0
• OMEN Gaming Hub SDK : au minimum la version 1.0.44 (pour certains modèles)

Voir le lien ci-dessus pour télécharger la mise à jour. Avant votre prochaine session de gaming, pensez à la mise à jour !

Source

The post Une faille critique affecte des millions de PC de la gamme HP Omen first appeared on IT-Connect.

La société Trend Micro a récemment présenté son étude Cyber Risk Index, qui fait état des attaques subies par les entreprises et de leur capacité à y répondre. Il en ressort principalement que 80 % des entreprises interrogées s’attendent à subir une fuite de données au cours de l’année. Un constat sans appel qui rejoint les conclusions apportées par le rapport annuel sur la défense contre les cybermenaces 2021 de Gigamon et CyberEdge Group.

The post 80% des entreprises s’attendent à subir une fuite de données dans les 12 prochains mois first appeared on UnderNews.

Google a publié Chrome 93.0.4577.82 après avoir corrigé onze failles de sécurité, dont deux failles zero-day déjà exploitées par les hackers. Cette mise à jour du navigateur s'applique à Windows, Mac et Linux.

Cette nouvelle version disponible dans le canal stable de Chrome a pour objectif de protéger les utilisateurs contre les deux failles zero-day suivantes : CVE-2021-30632 et CVE-2021-30633. Ces deux vulnérabilités découvertes le 8 septembre 2021 concernent des bugs dans la gestion de la mémoire, dans le moteur JavaScript V8 pour la faille CVE-2021-30632 et dans l'API Indexed DB pour la faille CVE-2021-30633.

En exploitant ces vulnérabilités, un attaquant peut faire planter le navigateur de la victime, mais aussi contourner la sandbox du navigateur voire même exécuter du code malveillant à distance.

Au total en 2021, Google a corrigé 10 failles de sécurité zero-day au sein de son navigateur Chrome. Pour rappel, voici les autres failles zero-day corrigées cette année :

- CVE-2021-21148 - 4 février 2021
- CVE-2021-21166 - 2 mars 2021
- CVE-2021-21193 - 12 avril 2021
- CVE-2021-21220 - 13 avril 2021
- CVE-2021-21224 - 20 avril 2021
- CVE-2021-30551 - 09 juin 2021
- CVE-2021-30554 - 17 juin 2021
- CVE-2021-30563 - 15 juillet 2021

Puisque les deux nouvelles failles corrigées seraient utilisées dans le cadre d'attaques, il est recommandé de procéder à la mise à jour de Chrome dès maintenant. Pour cela, la méthode habituelle est toujours valable : menu> Aide > à propos de Google Chrome.

The post Google met à jour Chrome 93 pour corriger deux failles zero-day first appeared on IT-Connect.

Le chiffrement de bout en bout des conversations WhatsApp sauvegardées dans le cloud arrive. Tout comme, sans doute, la controverse sur l'impossibilité d'accéder aux données en cas d'enquête. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article WhatsApp dévoile son plan pour chiffrer ses sauvegardes dans le cloud est apparu en premier sur Numerama.

La crise sanitaire a contraint les entreprises françaises à adopter en masse le télétravail. A Selon une étude Citrix, un salarié sur deux se dit favorable à des modèles hybrides mêlant travail à distance et sur site ; c’est alors que les entreprises doivent faire face à un défi de taille : comment sensibiliser efficacement l’ensemble des collaborateurs à la cybersécurité qu’ils soient en home office ou au bureau ?

The post Cyber éducation : les entreprises doivent prendre leurs responsabilités first appeared on UnderNews.

Début juin, la Commission Européenne a proposé un projet d'identité numérique européenne commune à tous les États membres. Tous les citoyens, résidents et entreprises de l'UE doivent pouvoir en bénéficier. L'idée est que les citoyens puissent utiliser un smartphone ou un ordinateur pour vérifier leur identité et échanger des documents électroniques à partir de leur portefeuille d'identité numérique européen. Ce document d'identité doit être uniforme dans toute l'Europe et permettre ainsi l'accès aux différents services qui demandent une vérification d'identité.

The post La contribution de l’identité numérique européenne à l’ouverture du marché européen first appeared on UnderNews.

Alors que Microsoft a publié des informations pour se protéger contre la faille CVE-2021-40444 qui touche le moteur MSHTML utilisé par les applications Office, les pirates ont publiés des instructions pas à pas pour créer des documents malveillants.

La semaine dernière, je vous parlais de la faille de sécurité CVE-2021-40444 qui touche le moteur MSHTML d'Internet Explorer, et qui rend vulnérable les applications Office, notamment Word, Excel et PowerPoint. Microsoft n'ayant pas encore de correctifs à proposer et la vulnérabilité étant connue par les pirates, la firme de Redmond a préférée en parler publiquement pour avertir les utilisateurs et donner des informations pour se protéger.

Pour rappel, il faut un document Office malveillant pour exploiter cette faille de sécurité et infecter la machine de la victime. Jusqu'ici, c'étaient les mêmes documents malveillants qui étaient utilisés dans les attaques, ce qui simplifiait la détection. Le problème, c'est que depuis ce week-end, il y a des guides disponibles sur des forums et qui expliquent comment créer un document Word malveillant pour exploiter la faille CVE-2021-40444. Tout est expliqué pas à pas, comme le rapporte certains chercheurs en sécurité, y compris la création d'un serveur Python pour distribuer les fichiers malveillants.

La bonne nouvelle malgré tout, c'est que Microsoft Defender, c'est-à-dire l'antivirus intégré à Windows, est capable de détecter ces exploits. Deux noms différents sont associés : "Trojan:Win32/CplLoader.a" et "TrojanDownloader:HTML/Donoff.SA". Pour que la détection fonctionne, vous devez disposer au minimum de la version 1.349.22.0 du moteur de détection.

Pour vous protéger sans compter sur l'antivirus, il faut :

• Désactiver l'installation des contrôles ActiveX au sein d'Internet Explorer

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

Il suffit de copier-coller les instructions ci-dessus dans un fichier vierge, d'enregistrer ce fichier en ".reg" et de l'ouvrir pour mettre à jour la base de Registre. Ensuite, il faut redémarrer la machine.

• Désactiver la prévisualisation des documents dans l'Explorateur de fichiers Windows

Pour les documents Word :

HKEY_CLASSES_ROOT\.docx\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}
HKEY_CLASSES_ROOT\.doc\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}
HKEY_CLASSES_ROOT\.docm\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}

Pour les fichiers RTF :

HKEY_CLASSES_ROOT\.rtf\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}

A partir de l'éditeur de Registre "regedit.exe", vous devez naviguer jusqu'aux différentes valeurs listées ci-dessus et supprimer la valeur de la valeur par défaut.

N'oubliez pas qu'il est recommandé de sauvegarder le Registre avant d'effectuer des modifications. A minima, testez sur une machine non critique.

Je vous rappelle que la vulnérabilité affecte même les versions les plus récentes de Microsoft Office et de Windows, que ce soit Office 2019 ou la version Office 365, ainsi que la dernière version de Windows 10.

Espérons que le Patch Tuesday qui sortira demain contiendra un correctif de sécurité pour cette faille !

Source

The post Faille MSHTML : des instructions publiées pour la création de fichiers malveillants first appeared on IT-Connect.

Bulletin d’actualité du 06/09/2021 Nous voici de nouveau ensemble dans notre rendez-vous de fin de semaine pour revenir sur les différents bulletins de sécurité publiés par le CERT-FR ! Durant la période du 30 août au 5 septembre 2021, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France) a …

A l'heure où les conditions de travail sont en plein mutation, il s'avère primordial de penser et d'appliquer le principe "Zero Trust" pour es entreprises et rien ne doit être oublié, que ce soit l'environnement de travail collaboratif sécurisé, le Cloud sécurisé, la sécurité des applications ou encore l'identité digitale. Des solutions existent.

The post Travail collaboratif et cybersécurité – Un enjeu majeur first appeared on UnderNews.