Le billet ci-dessous sort un peu du cadre de la DSI, néanmoins quand on s'interroge sur son métier, il est bon aussi de pouvoir chercher ailleurs ses sources d'inspirations…

A chaque fois qu'un nouvel objet « numérique » ou une nouvelle technologie, voire un nouveau service, apparaît dans le paysage, on parle de « révolution » mais est-ce bien là le mot le plus approprié ?

Que ce soit à la radio, à la télévision, dans les journaux ou bien sur n'importe quel site d'informations, il ne se passe pas une journée sans que l'on parle de l'arrivée d'une nouvelle « révolution » numérique…

Franchement, s'il y avait tant de « révolutions », le monde ne serait-il pas meilleur ?

Pour n'en citer que quelques-unes – de ces « révolutions » – voilà à quoi je pense :

Facebook = sorte d'évolution de « Paris Match » (né en 1949) qui permet à des gens, qui ne sont pas des « peoples », d'avoir leur trombine sur un écran et de dire quelques banalités ou de donner quelques « scoops » qui visent leur entourage ou leur village…

Twitter = sorte de télégramme ou de telex, que l'on envoie dans la nature à qui voudra bien le lire…

Linkedin = sorte de club qui se veut mondain et qui regroupe des gens qui sont en général bien placés dans une entreprise et qui mettent au grand jour leur réussite…

iTV (Télévision interactive) = sorte de nouvelle version de l'émission télé « La Une est à Vous » de 1973 qui permet au téléspectateur d’interagir avec le programme qu'on diffuse ou que l'on va diffuser…

Meetic = sorte d'annuaire de mâles cherchant des femelles (ou inversement) qui permet de s'accoupler entre humains plus rapidement car l'Homme n'a plus le temps de courtiser compte-tenu du temps qu'il passe sur Facebook, Twitter, Linkedin, ITV…

Vous me direz : il pousse le bouchon un peu loin non ? Oui, c'est volontaire…histoire de réveiller quelques consciences…néanmoins avouez qu'il s'agit plus d'évolutions que de révolutions non ?

Une Révolution c'est bien plus que cela… Quand j'étais petit, on dessinait l'an 2000 avec des voitures qui volent… On est en retard ou quoi ?

Tout ce que fait la voiture aujourd'hui c'est : de la pollution !

La Civilisation (l'espèce humaine) n'a encore rien retirée de ces avancées technologiques, toujours autant de violences, toujours autant d'injustices, encore plus de différences entre les pauvres et les riches…et d'ailleurs, faut-il qu'elle en attende quelque chose ? Ce sont les Hommes qui font et qui feront les Révolutions et non les « machines »…

I. Présentation

Par défaut, sur l’objet de stratégie de groupe (GPO) « Default Domain Policy » une politique de complexité des mots de passe et des verrouillages de compte est appliquée. Toutefois, avec Windows Server 2008, Windows Server 2008 R2 et maintenant Windows Server 2012/2012 R2, il est désormais possible de faire ce qu’on appelle une « Stratégie de mot de passe affinée » afin de créer plusieurs politiques de complexité des mots de passe et des verrouillages de compte puis ensuite de les appliquer uniquement sur certains objets.

Ainsi, on peut obliger les comptables à mettre un mot de passe de 12 caractères minimum et les secrétaires un mot de passe de 8 caractères minimum, par exemple.

Ces stratégies de mot de passe affinées permettent une plus grande flexibilité dans la gestion des mots de passe et du verrouillage de compte.

Dans ce tutoriel, nous allons voir comment créer une stratégie de mot de passe affinées sous Windows Server 2012/2012 R2 afin de l’appliquer sur le groupe « Admins du domaine » afin de protéger au mieux les comptes utilisateurs ayant des privilèges élevés au sein du domaine « it-connect.fr ».

II. Ce qu’il faut savoir

Les stratégies de mots de passe affinées correspondent à des objets « Paramètres de mots de passe » et sont également appelées « PSO » pour « Password Settings Object ».

• PSO (Password Settings Object) : Objet de Paramètres de mot de passe
• PSC (Password Settings Container) : Conteneur de paramètres de mot de passe

Un PSO peut être appliqué directement sur un utilisateur mais également sur un groupe, ce qui sera plus intéressant en termes de souplesse d’administration. Un utilisateur/groupe peut être lié à plusieurs PSO.

En cas de conflit de PSO, un attribut de priorité nommé « valeur de précédence » permet de définir une priorité quant à l’application de la stratégie.

En l’absence d’une politique PSO, la stratégie de mots de passe du domaine s’applique.

Pour utiliser cette fonctionnalité, le niveau fonctionnel de votre domaine et de la forêt doit être au minimum « Windows Server 2008 ». Sachez qu’avec Windows Server 2012 et 2012 R2, Microsoft a simplifié la gestion des stratégies de mots de passe affinées.

III. Création d’une stratégie

Sur votre contrôleur de domaine, ouvrez le « Centre d’administration Active Directory » qui est accessible dans les Outils d’administration ou via « dsac.exe ».

Choisissez la vue arborescence sur la gauche, déroulez l’arborescence au niveau de votre nom de domaine, puis « System » et « Password Settings Container ».

Dans le volet de droite, cliquez sur « Nouveau » puis « Paramètres de mot de passe » comme ceci :

Un formulaire complet s’affiche à l’écran, attelez-vous il va falloir le compléter.

Voici quelques indications pour vous aider :

- Nom : Nom du PSO

- Priorité : Valeur supérieur à 0 qui servira à faire l’arbitrage en cas de conflit entre deux PSO qui s’appliquent sur un même objet. Pensez à espacer les valeurs de vos différents PSO afin de pouvoir jouer sur les priorités facilement.

Pour cela deux règles sont à connaître :

La valeur la plus faible sera prioritaire sur la valeur la plus haute.

Un PSO appliqué au niveau d’un utilisateur sera prioritaire appliqué au niveau du groupe.

- Appliquer la longueur minimale du mot de passe : Chiffre entier pour définir la longueur minimale que doit faire le mot de passe. Pour les admins, ce sera 15 caractères minimum.

- Appliquer l’historique des mots de passe : Permet de définir le nombre d’anciens mots de passe qu’un utilisateur ne peut pas réutiliser, cela le force à « inventer » un nouveau mot de passe un certain nombre de fois. Par défaut, la valeur est de 24 ce qui me semble très correct.

- Le mot de passe doit respecter des exigences de complexité : Indiquez si oui ou non le mot de passe doit respecter ces exigences (conseillé par sécurité).

- Stocker le mot de passe en utilisant un chiffrement réversible : Il est préférable de ne pas activer cette option, là aussi par sécurité.

- Protéger contre la suppression accidentelle : Permet de se protéger contre une éventuelle suppression involontaire.

- Appliquer l’âge minimal de mot de passe : Durée de vie minimale d’un mot de passe, ce qui permet d’empêcher un utilisateur de changer successivement plusieurs fois son mot de passe. Cela pourrait lui permettre de dépasser la limite de l’historique des mots de passe et de redéfinir son mot de passe initial…

Doit être écrit sous la forme suivante (exemple pour 1 jour de durée de vie minimale) : 1:00:00:00

Cela permet de définir une durée de vie minimale en heure, minute ou même seconde…

- Appliquer l’âge maximal de mot de passe : Même principe que le paramètre précédent mais là pour la durée de vie maximale.

- Nombre de tentatives échouées autorisé : Une fois le nombre de tentatives autorisées sera dépassé, le compte sera verrouillé automatiquement. Cela permet d’éviter les attaques par brute force où de nombreuses tentatives seraient tentées…

- Réinitialiser le nombre de tentatives de connexion échouées après (mins) : Une fois ce délai écoulé, le nombre de tentatives échouées est remis zéro.

- Le compte va être verrouillé :

Lors du verrouillage d’un compte, ce dernier peut être verrouillé :

• Pendant une durée de (mins) : Définissez une valeur de verrouillage du compte qui sera automatiquement déverrouillé une fois le délai terminé.

• Jusqu’à ce qu’un administrateur déverrouille manuellement le compte : Une action d’un administrateur est requise pour déverrouiller le compte

Quant à la section « S’applique directement à » vous devez ajouter les utilisateurs et/ou les groupes sur lesquels vous souhaitez appliquer cette stratégie PSO. Pour cela, cliquez sur le bouton « Ajouter » situé en bas à droite.

Cliquez sur « OK » une fois la configuration terminée.

Pour finir, si vous désirez voir quelle stratégie s’applique à un utilisateur, toujours dans le « Centre d’administration Active Directory » sélectionnez « Users » dans l’arborescence. Ensuite, recherchez votre utilisateurs dans la liste, sélectionnez-le puis sur la droite cliquez sur « Afficher les paramètres de mot de passe ».

Vous êtes désormais en mesure de mettre en place une stratégie de mot de passe affinée au sein de votre infrastructure Microsoft.

La firme antivirus G-DATA a trouvé récemment un nouveau rootkit sophistiqué nommé   « UroBuros » qui a pour fonction de voler des données personnelles. Le malware contient des fichiers drivers (tra3.sys, msw32.sys et vstor32.sys) et des fichiers virtuels (système de fichier FAT et NTFS). Le rootkit prend le contrôle de la machine infectée, cache son activités au système et se réserve le trafic réseau en exécutant des commandes arbitraires. Son nom «Uroburos » et un dérivé du dragon mythique qui mange sa propre queue.

Comment Uroburos fonctionne ?

La structure modulaire de ce malware fonctionne avec de nouvelles caractéristiques qui le rendent souple et sophistiqué. La façon dont fonctionne ce malware est en peer-to-peer, cela signifie qu’une machine infectée ayant une connexion internet avec une commande à distance pourrait infecter une autre machine sans connexion Internet au sein du réseau. Il l’aperçoit sur la machine infectée et envoie des informations exfiltré à l'attaquant. Le nom de ce rootkit peut se trouver en brut dans de nombreux fichiers de pilote : “Ur0bUr () sGotyOu #“

De part  le nom des fichiers, du type de clé de chiffrement et du comportement des programmes malveillants, la firme antivirus G-Data croit que le même groupe a travaillé derrière un type malware qui a effectué une cyber-attaque en 2008 contre les Etats-Unis avec un malware nommé Agent.BTZ. A cause d’Agent.BTZ en 2008, l'armée américaine a interdit l'utilisation de l'USB et d'autres périphériques amovibles.

Le langage utilisé semble être le russe d’après les éléments récupérés, ce qui montre la relation avec Agent.BTZ. Uroburos vérifie que les fichiers de l’Agent.BTZ soient déjà installés dans le systèmes infectés,si c’est le cas, Uroburos reste inactif. La conception avancée de ce rootkit a nécessité beaucoup de temps et d’investissement et l'appui d'experts en informatique hautement qualifiés.

L'entreprise a révélé que ce rootkit, en raison de son comportement complexe, est resté inconnu depuis les trois dernières années. Actuellement, la firme n’a toujours pas clairement identifié la façon d'infiltration de ce rootkit qui peut se propager via des clés USB, du phishing ou du social engienering

I. Présentation

Dans ce tutoriel, nous allons voir la procédure pour mettre à jour ou MySQL version 5.1 (version standard dans la plupart des distributions stables) vers la version 5.5 ou plus simplement installer la version 5.6 si aucune version précédente n'est présente. Nous verrons le détail de cette procédure sous un CentOS 6.

Note importante : Par sécurité, je vous conseille vivement de sauvegarder vos bases de données avant toute manipulation afin d'être capable de les restaurer en cas de corruption ou autre problème, je vous oriente vers ce tutoriel pour le faire rapidement.

Une fois le backup effectué, nous pouvons commencer par vérifier la version actuelle de notre serveur MySQL (dans le contexte d'une mise à jour, n'effectuez pas cette commande si aucun MySQL n'est installé). On se connecte pour cela en ligne de commande à notre serveur :

mysql -u root -p

On voit donc ici que nous sommes en version 5.1.

II. Téléchargement des dépôts et installation

Nous allons commencer par mettre à jour notre liste de dépôts. Effectivement, si nous ne pouvons pas par défaut installer la version 5.6 de MySQL, c'est parce que les dépôts présents ne contiennent que la version 5.1 de MySQL. Il faut donc en ajouter qui contiennent la version supérieure :

yum install wget -y
wget  http://dev.mysql.com/get/mysql-community-release-el6-5.noarch.rpm

On va ensuite installer ce rpm puis mysql-server, pour ceux qui sont dans le cadre d'une mise à jour depuis une version ultérieure, l'install va faire le même effet qu'une mise à jour car la version dans les dépôts est actuellement plus récente que la version installée.

yum localinstall mysql-community-release-el6-5.noarch.rpm
yum install mysql-server

III. Erreur MySQL InnoDB

Ne pas démarrer tout de suite ou vous aurez trés probablement un échec et des erreurs concernant innoDB dans vos logs. On va pour cela écarter ces fichiers pour que le système MySQL les recrée  :

cd /var/lib/mysql
mv ib* /root

On va ensuite redémarrer mysql, vous aurez alors un problème avec la table performance_schema dans les logs, il est très important de réparer cette table pour que mysql tourne correctement par la suite, on utilise pour cela cette commande :

service mysql start
mysql_upgadre -u root -p

Voila, on peut à présent se connecter en ligne de commande à MySQL pour vérifier que nous sommes bien en version 5.6 :

mysql -u root -p

I. Présentation

En cas de vol d’un serveur RODC, vous devez être en mesure de réagir efficacement pour éviter une intrusion au sein de votre système d’information. Pour cela, on pourra facilement retrouver quels sont les comptes impactés et faire face en supprimant le RODC du domaine par mesure de sécurité. Voyons comment procéder.

II. Procédure

Sur un contrôleur de domaine standard (inscriptible), ouvrez la console « Utilisateur et ordinateurs Active Directory », sous l’arborescence de votre domaine, cliquez sur l’unité d’organisation « Domain Controllers ».

Dans la liste, vous devez retrouver votre serveur RODC, « RODC01 » pour ma part :

Faites clic droit sur l’objet correspondant au RODC, puis, cliquez sur « Supprimer » et confirmez en cliquant sur « Oui ».

Ensuite, cochez la case pour « Réinitialiser tous les mots de passe des comptes d’utilisateurs mis en cache sur ce contrôleur de domaine en lecture seule », et, éventuellement « Exporter la liste des comptes mis en cache sur ce contrôleur de domaine en lecture seule vers ce fichier » où vous devez préciser le chemin vers un fichier CSV pour l’exportation.

Si vous cliquez sur « Afficher la liste » vous verrez quels sont les comptes mis en cache sur le RODC sélectionnés, de quoi vous donner un ordre d’idée de l’importance des dégâts suite à un éventuel vol.

Fermez cette fenêtre une fois la liste visualisée. Cliquez sur « Supprimer » pour valider la suppression du RODC.