Archives

Les articles du mois de mai, 2016

TS-Logo

C’est bien connu, on ne sait pas vraiment ce qui traîne sur internet en matière de virus et autres spywares (logiciels espions). Cependant, moins visible, un ordinateur accédant à internet reçois une quantité phénoménale d’attaques directes à l’encontre de certains services. Ces attaques sont automatisées et proviennent de botnets un peu partout dans le monde et peuvent faire pas mal de dégâts en cas de protection insuffisante.

Afin de mieux connaître ces attaques, je vous invite à découvrir MHN (Modern Honeypot Network) développé par Threatstream, une société spécialisée dans la gestion des menaces numériques.

Modern Honeypot Network nécessite au moins deux équipements; une station d’analyse qui sortira les rapports et une station qui va recevoir toutes les attaques (nommée “HoneyPot” car elle attire les attaques et les garde en mémoire). Pour ma part, ce sont deux Raspberry Pi B+ qui ont servi de test. Remarque, il est indispensable d’isoler votre station de HoneyPotting afin d’éviter tout débordements sur votre réseau.

Une fois l’installation terminée et les stations mises en place, il vous suffit d’ouvrir tout le trafic sur votre (vos) stations de Honeypotting afin de le capturer. Par la suite, en rejoignant l’adresse IP de la station d’analyse, vous retrouverez vos résultats sur un portail web.

mhn-dash

Dans cet exemple, il s’agit du Dashboard, la page d’accueil par défaut, qui reprend un bref résumé des attaquants les plus fréquents ainsi que les ports/services les plus souvent visés.

D’autres rapports plus précis sont disponibles avec possibilités de consulter un listing complet des données brutes, si vous désirez retraiter les informations par un script par exemple. Toutes ces informations étant stockées dans une base de données, on peut directement les attaquer par des requêtes. Pour les fans de la localisation, une vue est disponible sous forme d’une carte reprenant les pays de provenance des attaques.

modern honeypot network map

Il faut évidement garder en tête que cette localisation peut-être faussée assez facilement mais cela donne un petit aperçu bien sympathique.

Niveau installation, elle est très simple. Il vous suffit de configurer les sondes, vos honeypots, dans l’interface web de la station d’analyse en précisant le type d’équipement, le système d’exploitation utilisé et d’autres données propres à la sonde (nom, localisation, notes,…). La station d’analyse générera un code à exécuter sur le Honeypot et le reste est automatisé.

Le code du projet se trouve sur web-link cette page Github

enpass

En ce qui concerne le domaine des gestionnaires de mots de passe, Keepass (voir article web-link ici) est presque un incontournable en entreprise. Cependant, il pourrait arriver que l’on recherche une alternative pour l’une ou l’autre raison.

Je vous propose donc de découvrir Enpass !

Enpass est un gestionnaire de mots de passes et portefeuille numérique. A l’inverse d’un gestionnaire cloud type Dashlane (voir article web-link ici), 1password ou LastPass, Enpass stocke les informations en local et ne nécessité pas de compte en ligne externe. Il est toute fois possible, comme Keepass, de synchroniser vos données via votre cloud préféré (Dropbox, Google Drive, OneCloud,…). L’interface est plus intuitive et se rapproche d’un Dashlane.

splash

Certes, à la vue de celle-ci, Enpass se justifierait plus dans un environnement privé personnel qu’au sein d’une équipe dans une entreprise mais cela pourrait ne pas être dérangeant pour tout le monde.

Côté sécurité, on est sur quelque chose d’assez solide. D’une part car toutes les données reste en local (par défaut) et ne sont pas rattachées à un compte en ligne. D’autre part car vos données sont cryptées dans un bloc en AES-256 et vous êtes le seul à détenir la clé (le mot de passe maître). Ceci est aussi à prendre en compte lors d’un choix pour la synchronisation cloud avec votre fournisseur favori.

Si il existe une version Desktop, il existe aussi des versions mobiles (j’avais un peu vendu la mèche un peu plus haut…).

enpass-mobile

Comme pour Dashlane, on est sur une interface toujours très simple et épurée.

Et pour finir sur un bon point, Enpass est quasi-entièrement gratuit. La version Desktop (Windows/Mac/Linux) est gratuite en illimité, la version mobile est limitée à 20 entrées différentes dans la base de données. Au delà de cela, une licence à vie sera nécessaire pour 9.99$ (soit un peu moins de 9€).

Toutes les informations sont web-link sur leur site

locker

Bonne nouvelle pour ceux et celles (avec un grand “X” et un grand “S”) qui ont été victimes d’un ransomware, de nouvelles clés pour décrypter vos fichiers sont disponibles !

Mieux encore, les auteurs de TeslaCrypt, un ransomware ayant particulièrement sévi courant 2015 et début 2016, viennent de publier une clé maître de décryptage avec un petit mot d’excuse. Voici le message trouvé sur leur channel :

Project closed! Master key for decrypt: 440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE. Wait for other people make universal decrypt software. We are sorry!

Kaspersky a déjà sorti une mise à jour de son outil automatisé pour décrypter les versions de TeslaCrypt web-link http://download.eset.com/special/ESETTeslaCryptDecryptor.exe

Pour rappel, Teslacrypt a fait particulièrement parler de lui grâce à sa méthode de propagation fulgurante, celui-ci pouvant être attrapé par une simple visite d’une page web et ce, même sans aucune action. Il utilisait des vulnérabilités de Java et Flash afin d’exécuter un code en local qui rapatriait le reste du virus et cryptait vos données en arrière plan afin d’effacer toutes ses traces ainsi que les points de sauvegarde.

TeslaCrypt

Il a existé en plusieurs versions. Les versions 1 et 2 disposaient d’une faille qui à été percée par les chercheurs du laboratoire Kaspersky, lesquels ont sorti un outil permettant de décrypter vos fichiers infectés. La version 3, la dernière en date, corrigeait cette faille ne rendant jusqu’à présent plus possible le décryptage via ce genre d’outils. Il a également existé une version visant directement les joueurs PC en cryptant en priorité, les dossiers de jeux et leurs sauvegardes. Un peu inutile à mon goût vu que de plus en plus de jeux deviennent dématérialisés, il suffisait de les recharger sur son PC après un bon nettoyage.

Enfin, même si l’on pourrait se réjouir entièrement de cette nouvelle, il ne faut pas perdre de vue que d’autres versions supportées par d’autres personnes pourraient revoir le jour. Sans parler du nombre devenu incalculable et la diversité de ce genre de ransomware circulant sur le net. Comme toujours, la meilleure de sécurité reste la vigilance. N’ouvrez pas les pièces jointes de contacts inconnus, ne visitez pas des liens suspects ou étranges et méfiez-vous des applications demandant accès à toutes vos données sur les réseaux sociaux.

J’en profite aussi pour informer que l’équipe de Kaspersky Lab vient de mettre à jour une bonne partie de leurs logiciels de décryptage. D’après eux, ils seraient maintenant capables de décrypter toute la série des Cryptxxxx.

Les logiciels sont disponibles sur leur support web-link https://support.kaspersky.com/viruses/utility#

Luna

Si il y a bien un soucis récurent dans le monde du développement web, c’est la gestion des différents moteurs des navigateurs internet. Chrome, Firefox, Internet Explorer,…Tous utilisent n’interprètent pas le contenus et les pages webs de la même manière et provoquant bugs en tout genre.

Heureusement, il existe un bon petit navigateur, baptisé Luna, intégrant les trois moteurs principaux à savoir Trident (IE), Gecko (Firefox) et WebKit (Chrome). Ce n’est pas LA solution mais au moins, cela facilite la vie pour les phases de tests et de comparaison. Un onglet permet de passer d’un moteur à un autre en direct, sans devoir relancer le navigateur.

Orion3

Luna reste simple, rapide et élégant au niveau de son interface. Il supporte la majorité des extensions tournant sous Firefox, intègre des flux RSS en bannière défilante et toujours, pour une consommation minime des ressources de l’ordinateur. Une autre fonctionnalité appréciée est la possibilité de cascader plusieurs onglet, un peu comme les fenêtres sous Windows. Cela permet de faire une comparaison, par exemple, des trois moteurs pour une même page internet.

Orion13_2

On notera aussi la possibilité de passer rapidement d’un onglet à un autre à la mode “Windows 7” avec des touches raccourcis et un visuel ce qui s’y retrouve.

Il est gratuit et est disponible web-link ici

certificate

On ne le répètera jamais assez, la sécurité n’est pas forcément inaccessible. Des petites modifications par ci, par là et vous éliminerez déjà une bonne partie des menaces potentielles.

Aujourd’hui, je vous invite à découvrir un outil de génération de certificat gratuit à utiliser avec vos clients mails type Outlook (par exemple). Les certificats sont fiables car ils sont délivrés par Comodo, société qui possède une bonne renommée sur ce marché. De plus, ils sont fournis gratuitement et possèdent une validité de 1 an. Et cerise sur le gâteau, la procédure d’installation du certificat est automatisée par Comodo.

comodo-certificat

Insérez vos données (valides !), un mot de passe de révocation (dans le cas où votre certificat aurait été volé) et vous recevrez le tout par mail. Il ne vous restera plus qu’à suivre les étapes fournies par Comodo et de configurer correctement votre client mail pour utiliser ce certificat.

Oui, oui ! Tout ça, c’est bien beau, mais en quoi cela va t-il augmenter la sécurité de mes emails pardi ?!

Simplement pour prouver que vos emails viennent bien de vous et non de quelqu’un d’autre (ne possédant pas le certificat). Un mail signé avec un certificat valide (non révoqué) possède un petit badge et apparait comme ceci sous Outlook.

securemail-certificat

Et en ouvrant le mail, on peut même demander plus de détails sur ce certificat.

securemail2

Il est même possible d’aller encore plus loin. Vous pouvez également allez jusqu’à l’activation du cryptage de vos emails et de leur contenu. A cette condition que vos contacts soient capables de le supporter sinon, le message partira en clair mais restera malgré tout signé.

Donc, pour en revenir à mon point de départ, Non, la sécurité n’est pas inabordable (elle est même gratuite dans ce cas-ci). De plus en plus de ransomwares (virus cryptant les données) circulent sur le net et la méthode de propagation préférée reste le mail direct. Ajoutons à cela qu’il est relativement aisé de se faire passer pour n’importe qui par mail et le piège est prêt à se refermer (si, si!). Vous méfieriez-vous tout autant si le virus venait d’une connaissance ? (la bonne réponse est “oui” mais la majorité des utilisateurs agirons comme un “non”).

Si tous vos contacts utilisent cette méthode de signature, le jour où vous recevrez un mail suspect non-signé d’un de vos contacts, la méfiance sera de mise. C’est une couche de sureté supplémentaire.

Je vous partage le lien de l’outil fournis par Comodo (gratuit) mais il en existe d’autres comme CoSign, GlobalSign,…

web-link Lien pour Obtenir le certificat