I. Présentation

Dans ce tutoriel, nous allons voir comment ajouter un certificat SSL Let's Encrypt sur un serveur GLPI de manière à avoir une connexion HTTPS sécurisée associée à un certificat valide. Nous verrons également comment configurer Apache pour rendre accessible GLPI en HTTPS plutôt qu'en HTTP.

Pour obtenir un certificat SSL/TLS, il y a plusieurs possibilités :

• Certificat autosigné (déconseillé)
• Certificat émit via une autorité de certification interne telle qu'ADCS (pertinent si votre GLPI est accessible uniquement en interne)
• Certificat Let's Encrypt (gratuit, recommandé pour cet usage)
• Certificat payant provenant de GeoTrust, DigiCert, GlobalSign, Sectigo, etc...

Pour un serveur GLPI, le certificat Let's Encrypt me semble une bonne option, sauf si vous disposez déjà d'un certificat wildcard pour votre nom de domaine. Dans ce cas, il pourrait s'avérer intéressant de l'utiliser. Sinon, Let's Encrypt représente une solution fiable et gratuite pour obtenir un certificat en quelques minutes. Ce certificat est valide 90 jours, mais nous allons configurer le serveur pour qu'il soit renouvelé automatiquement.

Pour réaliser une installation de GLPI sur Debian 12, vous pouvez suivre ce tutoriel :

• Comment installer GLPI 10 sur Debian 12 ?

Le serveur précédemment installé me sert de base pour ce tutoriel. Actuellement, GLPI est accessible en HTTP depuis Internet, via le nom de domaine support.it-connect.tech.

II. Activer le module SSL sur Apache2

Nous allons effectuer le gros de la configuration directement avec Certbot, l'utilitaire permettant de demander un certificat Let's Encrypt. Toutefois, vous devez être sûr que le module SSL soit bien activé sur votre serveur Apache2.

Exécutez simplement cette commande :

sudo a2enmod ssl

III. Demander un certificat Let's Encrypt pour GLPI

Nous allons installer Certbot sur le serveur GLPI afin de pouvoir demander un certificat Let's Encrypt. Commencez par mettre à jour les paquets puis procédez à l'installation des paquets nécessaires :

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install certbot python3-certbot-apache

Pour utiliser Certbot, il y a plusieurs possibilités, dont le mode certonly pour demander le certificat sans l'installer et un mode pour demander le certificat et l'installer à notre place. Ceci va permettre de configurer le VirtualHost Apache. Nous allons choisir cette seconde option.

Pour demander un certificat pour le domaine "support.it-connect.tech", cela donne :

sudo certbot --apache --agree-tos --redirect --hsts -d support.it-connect.tech --email email@it-connect.tech

Quelques précisions sur les options utilisées :

• --apache : nous précisons qu'il s'agit d'un serveur Web Apache
• --agree-tos : accepter les conditions d'utilisation du service Let's Encrypt
• --redirect : configurer le VirtualHost Apache pour rediriger les requêtes HTTP vers HTTPS (règle de réécriture)
• --hsts : configurer le HSTS pour des raisons de sécurité
• -d : le nom de domaine pour lequel obtenir un certificat Let's Encrypt
• --email : l'adresse e-mail du contact, notamment pour recevoir une notification s'il y a un problème de renouvellement du certificat

Vous pouvez ajouter d'autres options... La liste complète est visible dans la documentation de Certbot.

Suite à l'exécution de commande, l'assistant commence par vous demander si votre e-mail peut être utilisé également pour vous contacter au sujet des nouveautés du projet, ou pour vous expliquer comment faire un don. Choisissez entre oui et non en répondant par yes ou no.

Ensuite, le processus va se poursuivre... En principe, vous avez juste à patienter quelques secondes car nous avons indiqué notre nom de domaine dans les paramètres de la commande. Comme le montre l'image ci-dessous, Certbot indique l'emplacement des fichiers générés, dont le certificat.

Voilà, nous venons d'obtenir un certificat et en plus, Apache doit être préconfiguré par Certbot.

IV. Vérifier la configuration d'Apache2 (HTTPS)

Même si Certbot a effectué le travail de configuration à notre place, c'est bien de savoir ce qu'il a fait. Le répertoire "/etc/apache2/sites-available/" de notre serveur contenait déjà le fichier de configuration "support.it-connect.tech.conf". Désormais, il y en a un second qui contient la version "HTTPS" du vHost Apache : "support.it-connect.tech-le-ssl.conf". Certbot a créé ce fichier en reprenant l'autre fichier comme base.

Dans le fichier d'origine, Certbot a ajouté une règle de réécriture pour que les requêtes en HTTP soient redirigées en HTTPS. Il s'agit d'une redirection permanente. Pour le vérifier, éditez le fichier de configuration :

sudo nano /etc/apache2/sites-available/support.it-connect.tech.conf

Vous verrez ces deux lignes :

Quant au second fichier, à savoir "support.it-connect.tech-le-ssl.conf", il contient des directives supplémentaires pour préciser les chemins vers le certificat et sa clé privée. Il contient aussi une option pour le HSTS (grâce à l'option --hsts spécifiée dans certbot). Il intègre aussi les options contenues dans le fichier "/etc/letsencrypt/options-ssl-apache.conf", ce qui active le SSL, autorise certains protocoles, etc... Afin d'avoir une configuration adéquate.

SSLCertificateFile /etc/letsencrypt/live/support.it-connect.tech/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/support.it-connect.tech/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
Header always set Strict-Transport-Security "max-age=31536000"

Pour finir, redémarrez Apache2 afin que cette nouvelle configuration soit activée :

sudo systemctl restart apache2

V. GLPI : tester l'accès en HTTPS

Désormais, vous pouvez tester l'accès à votre GLPI en HTTPS (ou HTTP pour tester la redirection). Le certificat est bien valide et dans les détails, nous pouvons voir qu'il a été émis par Let's Encrypt et qu'il est valide 90 jours.

Un bon moyen de vérifier la configuration du SSL/TLS sur son serveur Web pour un domaine précis, c'est de lancer une analyse depuis le site SSL Labs. Ceci peut mettre en évidence des problèmes de configuration. Dans notre cas, le score obtenu est très bon :

VI. Renouvellement automatique du certificat Let's Encrypt

Pour finir, nous devons configurer le renouvellement automatique du certificat Let's Encrypt. Commençons par exécuter la commande ci-dessous pour s'assurer que Certbot sera capable de renouveler le certificat : l'option --dry-run permet de faire une simulation.

sudo certbot renew --dry-run

Tout est bon puisque le message "Congratulations, all simulated renewals succeeded" s'affiche.

Il ne reste plus qu'à éditer la crontab pour créer une tâche planifiée de renouvellement.

sudo crontab -e

Ajoutez la ligne ci-dessous, en adaptant si besoin la fréquence de la tâche. Dans cet exemple, il y aura une tentative effectuée tous les jours à 5h00 du matin. L'option --quiet permet d'effectuer l'action silencieusement.

0 5 * * * /usr/bin/certbot renew --quiet

Ce qui donne :

Enregistrez et fermez.

VII. Conclusion

En suivant ce tutoriel, vous devriez être capable d'ajouter un certificat SSL Let's Encrypt à votre serveur Web qui héberge GLPI ! Ainsi, vous disposez d'un certificat valide et d'une connexion sécurisée via HTTPS pour accéder à votre solution d'ITSM.

N'hésitez pas à poster un commentaire si vous avez une question.

The post GLPI en HTTPS : comment ajouter un certificat SSL ? first appeared on IT-Connect.

Microsoft va effectuer des changements importants au sein des stratégies d'accès conditionnels de Microsoft Entra ID : l'entreprise américaine va introduire plusieurs règles et elles seront activées dans 90 jours. Voici ce qu'il faut savoir !

Tous les utilisateurs de Microsoft 365 et de Microsoft Entra ID doivent prendre connaissance de cette information : Microsoft va déployer des stratégies d'accès conditionnel estampillées "Microsoft-Managed" sur tous les tenants éligibles à partir de la semaine prochaine (vous serez notifié par Microsoft si vous êtes concerné).

L'entreprise américaine vient de publier un article détaillé sur le sujet (voir cette page) : "Dans le prolongement de notre engagement à aider nos clients à être sécurisés par défaut, nous annonçons aujourd'hui le déploiement automatique des politiques d'accès conditionnel de Microsoft Entra, qui protégeront automatiquement les locataires en fonction des signaux de risque, des licences et de l'utilisation."

A quoi correspondent les stratégies d'accès conditionnels créées par Microsoft ?

L'objectif de Microsoft, c'est d'avoir 100% des utilisateurs de tous les tenants protégés par l'authentification multifacteurs (MFA). Pour cela, la firme de Redmond a pris la décision de créer trois stratégies d'accès conditionnels. "L'activation de l'authentification multifactorielle étant notre principale recommandation pour améliorer la sécurité de votre identité, nos trois premières politiques sont liées à l'authentification multifactorielle.", précise Microsoft.

Voici les trois stratégies créées par Microsoft :

• Require multifactor authentication for admin portals
• Require multifactor authentication for per-user multifactor authentication users - MFA par utilisateur
• Require multifactor authentication for high-risk sign-ins - Uniquement pour Microsoft Entra ID Premium Plan 2

Microsoft précise que la première stratégie s'applique à tous les clients et qu'elle va permettre d'obliger l'activation du MFA pour l'accès à tous les portails d'administration de Microsoft (portail Azure, portail Exchange Admin Center, etc.). Autrement dit, ceci ajoute une couche de sécurité supplémentaire aux comptes Admins.

Le planning de Microsoft

Dans un premier temps, les politiques seront visibles dans l'interface de Microsoft Entra ID mais elles seront en mode "Report-only" donc il n'y aura pas d'impact pour les utilisateurs finaux. Ceci est utile pour mesurer l'impact de la politique grâce aux journaux générés.

Par contre, après 90 jours (soit 3 mois), ces politiques vont changer de mode et elles seront automatiquement activées par Microsoft ! Et là, ça peut être une mauvaise surprise pour vous et vos utilisateurs si vous n'avez pas anticipé ce changement.

À partir du moment où ces stratégies seront visibles dans votre console Microsoft Entra ID, vous aurez 90 jours pour prendre connaissance de ces nouvelles stratégies d'accès conditionnel et les personnaliser. En effet, vous pouvez exclure certains utilisateurs, groupes ou rôles, voire même activer ou désactiver dès maintenant ces stratégies.

The post Microsoft va créer puis activer 3 stratégies d’accès conditionnel pour le MFA : voici ce qu’il faut savoir ! first appeared on IT-Connect.

La solution de supervision d'infrastructure IT Veeam ONE est affectée par plusieurs failles de sécurité, dont deux critiques. Quels sont les risques ? Voici ce qu'il faut savoir sur ces vulnérabilités.

L'éditeur Veeam a corrigé 4 failles de sécurité dans sa solution Veeam ONE :

• CVE-2023-38547 - Faille de sécurité critique avec un score CVSS de 9.9 sur 10
• CVE-2023-38548 - Faille de sécurité critique avec un score CVSS de 9.8 sur 10
• CVE-2023-38549 - Faille de sécurité de niveau intermédiaire avec un score CVSS de 4.5 sur 10
• CVE-2023-41723 - Faille de sécurité de niveau intermédiaire avec un score CVSS de 4.3 sur 10

Les deux vulnérabilités critiques

Veeam a mis en ligne un bulletin de sécurité pour apporter des précisions sur cet ensemble de vulnérabilités, y compris sur les deux failles de sécurité critiques.

Tout d'abord, la faille de sécurité CVE-2023-38547 peut être exploitée pour exécuter du code à distance sur la machine SQL Server qui héberge la base de données de Veeam ONE. "Une vulnérabilité dans Veeam ONE permet à un utilisateur non authentifié d'obtenir des informations sur la connexion au serveur SQL que Veeam ONE utilise pour accéder à sa base de données de configuration.", précise Veeam.

Quant à la faille de sécurité CVE-2023-38548, un attaquant peut l'exploiter pour récupérer le hash NTLM du compte utilisé par le Reporting Service de Veeam ONE. "Une vulnérabilité dans Veeam ONE permet à un utilisateur non privilégié ayant accès au Web Client de Veeam ONE d'acquérir le hash NTLM du compte utilisé par le Reporting Service de Veeam ONE .", précise Veeam sur son site.

Comment se protéger ?

Les versions de Veeam ONE affectées par ces failles de sécurité sont les suivantes : Veeam ONE 11, 11a, 12. À l'exception de la faille critique CVE-2023-38548 qui affecte uniquement Veeam ONE 12.

Quoi qu'il en soit, pour vous protéger, vous devez patcher votre instance Veeam ONE. L'éditeur Veeam a mis en ligne plusieurs correctifs associés aux numéros de version suivants :

• Veeam ONE 12 P20230314 (12.0.1.2591)
• Veeam ONE 11a (11.0.1.1880)
• Veeam ONE 11 (11.0.0.1379)

Pour Veeam ONE 12, il est précisé : "Ce correctif n'est pas compatible avec Veeam ONE 12 GA (build 12.0.0.2498). Si Veeam ONE 12.0.0.2498 est installé, mettez à jour vers 12.0.1.2591 avant d'appliquer ce correctif."

Pour télécharger les correctifs et prendre connaissance de tous les détails, veuillez vous référer au bulletin de sécurité.

Source

The post Patchez Veeam ONE pour vous protéger de 4 vulnérabilités, dont 2 critiques ! first appeared on IT-Connect.

WhatsApp s'apprête à introduire une nouvelle fonctionnalité qui va permettre aux utilisateurs d'avoir deux photos de profil ! Voici ce que l'on sait sur cette nouveauté actuellement testée dans la version beta de l'application mobile.

Actuellement, sur WhatsApp, la photo de profil est unique et on peut gérer sa confidentialité en choisissant qui peut voir cette photo : "Tout le monde", "Mes contacts, "Mes contacts sauf..." et "Personne" sont les choix proposés. Bien souvent, lorsque l'on ajoute un numéro de téléphone à son répertoire, on peut voir la photo WhatsApp de son correspondant : soit parce qu'il a configuré ce paramètre sur "Tout le monde", soit parce qu'il a ajouté notre numéro à ses contacts.

Dans les prochaines semaines, WhatsApp va bénéficier d'une nouvelle fonctionnalité intéressante et qui le rend un peu plus professionnel. En effet, il sera possible d'ajouter une seconde photo de profil et de définir un nom alternatif.

Ainsi, toutes les personnes qui ne sont pas dans vos contacts verront cette photo et ce nom, comme s'il s'agissait de votre profil public sur WhatsApp. Vous pouvez également prendre la décision d'afficher ces informations à certains contacts : vos contacts professionnels, peut-être. Utile pour avoir une photo de profil professionnelle d'une part, et une photo de profil plus personnelle d'autre part.

Dans certains pays, WhatsApp est très populaire en entreprise donc ceci permettra de mieux séparer les usages pro et perso sur un même téléphone.

Nous ne savons pas quand cette nouveauté sera disponible. Elle est actuellement en test dans WhatsApp pour Android 2.23.24.4 qui est une version beta de l'application.

Les dernières nouveautés de WhatsApp

Depuis plusieurs semaines, WhatsApp enchaine les annonces et l'application ne cesse de s'enrichir de nouvelles fonctionnalités. Voici les plus récentes :

• Utilisation de deux en même temps dans WhatsApp
• Prise en charge de l'authentification avec une passkey dans WhatsApp
• Epingler un message dans une conversation WhatsApp

Que pensez-vous de cette nouveauté ?

Source

The post Une deuxième photo de profil et un nom alternatif sur WhatsApp, ça vous dit ? first appeared on IT-Connect.

Le gang de ransomware Cerber exploite une faille de sécurité critique présente dans Atlassian Confluence pour chiffrer les fichiers sur les serveurs compromis. Voici ce qu'il faut savoir sur cette campagne d'attaques.

La faille de sécurité CVE-2023-22518

La faille de sécurité CVE-2023-22518 présente dans la solution Atlassian Confluence permet de bypasser l'authentification. Il s'agit d'une vulnérabilité critique comme le montre son score CVSS de 9.1 sur 10. Toutes les versions de Confluence Server et Confluence Data Center sont affectées.

La bonne nouvelle malgré tout, c'est qu'un correctif de sécurité est disponible depuis le mardi 31 octobre. Date à laquelle le bulletin de sécurité a été mis en ligne par l'éditeur Atlassian. Pour vous protéger, vous devez utiliser l'une des versions suivantes :

• 7.19.16
• 8.3.4
• 8.4.4
• 8.5.3
• 8.6.1

L'installation du correctif est à faire dès que possible, car l'exploitation de cette vulnérabilité peut se résulter en "une perte de données importante si elle est exploitée par un attaquant non authentifié."

Si vous ne pouvez pas appliquer le correctif dans l'immédiat, vous devez isoler votre serveur d'Internet ou appliquer la mesure préventive détaillée dans le bulletin de sécurité d'Atlassian.

Le ransomware Cerber, une véritable menace pour vos données

Le 03 novembre 2023, Atlassian a mis à jour son bulletin de sécurité pour apporter la précision suivante : "Nous avons reçu un rapport d'un client faisant état d'un exploit actif. Les clients doivent prendre des mesures immédiates pour protéger leurs instances. Si vous avez déjà appliqué le correctif, aucune autre action n'est requise."

Plusieurs entreprises spécialisées dans la cybersécurité ont détecté des attaques le week-end dernier. Du côté de chez Rapid7, on mentionne des cyberattaques lors desquelles les pirates ont exploité la faille de sécurité CVE-2023-22518 conjointement à une autre vulnérabilité déjà patchée dernièrement : la CVE-2023-22515.

Sur les serveurs compromis, le ransomware Cerber a été déployé pour chiffrer les données ! Cette menace est à prendre au sérieux, car pour les cybercriminels, cette vulnérabilité est une aubaine : d'après le service ShadowServer, il y a plus de 24 000 instances Confluence exposées sur Internet dont plus de 7 800 en Europe.

Source

The post Le ransomware Cerber chiffre les données des serveurs Confluence grâce à cette faille récente ! first appeared on IT-Connect.