Une nouvelle version de Bitwarden est disponible : Bitwarden 2023.10.0. Elle apporte plusieurs nouveautés, dont la prise en charge des passkeys ! Voici ce qu'il aut savoir sur cette nouvelle version !

Bitwarden est un gestionnaire de mots de passe populaire que l'on peut utiliser en tant que service ou que l'on peut héberger soi-même.

• Comment installer Vaultwarden sur son NAS Synology ?

Bitwarden accueille les passkeys

Grâce à cette nouvelle version, Bitwarden peut stocker des passkeys dans votre coffre-fort ! Il s'agit d'une fonctionnalité attendue et annoncée en mai 2023.

Depuis quelques mois, cette méthode d'authentification a le vent en poupe et elle permet de s'authentifier sans mot de passe. Elle s'appuie sur des clés générées en local sur l'appareil et l'authentification s'effectue à l'aide d'un code PIN, du capteur d'empreinte biométrique ou de la reconnaissance faciale.

Pour le moment, la prise en charge est limitée aux extensions Bitwarden pour les navigateurs. Du côté des applications mobiles Bitwarden, il faudra patienter encore un peu. Bitwarden indique que les utilisateurs peuvent se connecter aux applications et aux sites web qui prennent en charge les passkeys grâce aux extensions pour les navigateurs.

Dernièrement, Microsoft a ajouté la prise en charge des passkeys à Windows 11, tandis que Google a fait de même dans son navigateur Google Chrome.

Les autres nouveautés de Bitwarden 2023.10.0

Cette nouvelle version de Bitwarden améliore la fonction d'import de données. Désormais, vous pouvez importer directement les données de LastPass dans Bitwarden, sans passer par un fichier intermédiaire. Par ailleurs, Bitwarden précise que les données peuvent désormais être importées dans Bitwarden à partir d'extensions de navigateur et d'applications de bureau.

Autre nouveauté : la prise en charge de fournisseurs d'alias de messagerie auto-hébergés (Addy.io ou SimpleLogin) afin d'interconnecter Bitwarden avec votre instance. À cela s'ajoute la prise en charge de l'auto-fill pour les cartes et les identités à l'aide du menu contextuel (l'extension doit être installée dans le navigateur).

Vous pouvez retrouver toutes les nouveautés sur cette page.

Source

The post La nouvelle version de Bitwarden ajoute la prise en charge des passkeys ! first appeared on IT-Connect.

Un nouveau malware baptisé KandyKorn cible le système macOS et les ingénieurs blockchain d'une plateforme d'échange de cryptomonnaies. Cette campagne d'attaque a été attribuée à un groupe de pirates nord-coréens bien connu : Lazarus. Faisons le point sur cette menace.

La société Elastic Security a mis en ligne un rapport au sujet de la menace KandyKorn. Il permet d'en apprendre plus sur le fonctionnement de ce malware.

Pour piéger leurs victimes, les cybercriminels utilisent le serveur Discord de cette communauté. En effet, les pirates se font passer pour des membres de cette communauté Discord pour diffuser des modules basés sur Python dont le but est de déclencher la chaîne d'infection KandyKorn. Nous sommes clairement sur de l'ingénierie sociale.

L'objectif des pirates, c'est que les utilisateurs téléchargent une archive ZIP malveillante nommée "Cross-platform Bridges.zip", censée permettre à l'utilisateur de bénéficier d'un logiciel d'arbitrage. Mais ce n'est pas du tout le cas, au lieu de cela, le script Python contenu dans l'archive et nommé "Main.py" importera 13 modules contenus également dans l'archive ZIP, dont une première charge utile nommée "Watcher.py".

Ensuite, plusieurs étapes s'enchaînent, notamment le téléchargement de FinderTools depuis Google Drive, qui va lui-même charger Sugarloader par la suite. Sugarloader est utilisé pour établir une connexion avec le serveur C2 des attaquants, mais aussi pour télécharger et exécuter en mémoire le malware KandyKorn.

Le malware KandyKorn va permettre aux cybercriminels d'avoir accès à distance à la machine et ils vont utiliser cet accès pour voler des données. Il prend en charge 16 commandes différentes, où chaque commande correspond à une action différente : terminer un programme, lister le contenu d'un dossier, exfiltrer des données vers le serveur C2, ouvrir un shell interactif, etc....

Par ailleurs, le composant malveillant nommé HLoader est utilisé pour établir la persistance de SugarLoader en compromettant la véritable application Discord installée sur la machine macOS infectée.

Pourquoi cette campagne d'attaque est-elle attribuée au groupe Lazarus ?

KandyKorn est un logiciel malveillant sophistiqué mis au point par le groupe Lazarus et qui infecte les machines Apple tout en restant discret. Preuve que le groupe Lazarus peut créer des souches malveillantes pour les différents OS.

La société Elastic Security a attribué les attaques à Lazarus en se basant sur les informations issues de campagnes antérieures. Ici, plusieurs techniques et éléments sont identiques, notamment l'infrastructure du réseau, les certificats de signature de code et les règles de détection personnalisées de Lazarus.

Source

The post Avec son malware KandyKorn, le groupe Lazarus cible macOS et le secteur des cryptomonnaies first appeared on IT-Connect.

Le gang de ransomware HelloKitty exploite activement une faille de sécurité critique dans Apache ActiveMQ ! Grâce à cette vulnérabilité, les cybercriminels peuvent exécuter du code à distance sur la machine. Faisons le point sur cette menace.

Apache ActiveMQ est une application open source, écrite en Java, et de type "message broker". Il peut être utilisé par certaines applications qui ont besoin d'un service de ce type pour fonctionner. Apache ActiveMQ est une alternative à RabbitMQ.

Les chercheurs en sécurité de chez Rapid7 ont découvert que les cybercriminels du groupe HelloKitty ont exploité la faille de sécurité CVE-2023-46604 d'Apache ActiveMQ dans le cadre de deux cyberattaques, où ils sont intervenus pour mener des investigations. En l'exploitant, un attaquant situé à distance peut exécuter des commandes shell sur le serveur.

"Dans les deux cas, l'adversaire a tenté de déployer des binaires de ransomware sur les systèmes cibles afin de demander une rançon aux organisations victimes.", peut-on lire dans le rapport de Rapid7. C'est en lisant la note de rançon déposée sur le serveur que Rapid7 a pu découvrir qu'il s'agissait du ransomware HelloKitty.

Ce n'est pas étonnant que les cybercriminels s'intéressent à cette vulnérabilité parce qu'elle a un score CVSS de 10 sur 10 : il s'agit d'une faille de sécurité critique, avec une sévérité au niveau maximal. D'ailleurs, il y a même un exploit PoC disponible sur GitHub.

Quelles sont les versions d'Apache ActiveMQ affectées ?

La vulnérabilité affecte les versions suivantes :

• Apache ActiveMQ 5.18.0 avant 5.18.3
• Apache ActiveMQ 5.17.0 avant 5.17.6
• Apache ActiveMQ 5.16.0 avant 5.16.7
• Apache ActiveMQ avant 5.15.16
• Apache ActiveMQ Legacy OpenWire Module 5.18.0 avant 5.18.3
• Apache ActiveMQ Legacy OpenWire Module 5.17.0 avant 5.17.6
• Apache ActiveMQ Legacy OpenWire Module 5.16.0 avant 5.16.7
• Apache ActiveMQ Legacy OpenWire Module 5.8.0 avant 5.15.16

Pour vous protéger, vous devez utiliser l'une des versions suivantes d'ActiveMQ : 5.15.16, 5.16.7, 5.17.6 ou 5.18.3. Ces versions sont disponibles depuis quelques jours (publication fin octobre 2023).

Plus de 3 000 serveurs vulnérables

La Shadowserver Foundation indique avoir identifié 3 326 instances ActiveMQ accessibles sur Internet et vulnérables à la faille de sécurité CVE-2023-46604, sur un total de 7 249 instances. En Europe, il y a 659 instances ActiveMQ vulnérables !

Source

The post Le ransomware HelloKitty exploite cette faille Apache ActiveMQ : des milliers de serveurs vulnérables ! first appeared on IT-Connect.

Reconnue au niveau international, le Forum of Incident Response and Security Teams (FIRST) a officiellement publié la nouvelle version de son système de score permettant d'évaluer la criticité d'une vulnérabilité. 8 ans après CVSS 3.0, la version CVSS 4.0 vient d'être officialisée !

Si vous lisez régulièrement les articles sur IT-Connect, vous avez surement remarqué que nous faisons très souvent référence au score CVSS d'une vulnérabilité. En effet, le score CVSS est pratique pour évaluer la gravité des vulnérabilités puisque ce score tient compte de l'exploitabilité, de l'impact sur la confidentialité, l'intégrité, ainsi que les privilèges requis pour exploiter la vulnérabilité. Plus la note est élevée, plus la vulnérabilité est grave. Ainsi, il est plus facile d'identifier les failles de sécurité critiques.

"La note numérique peut être représentée sous la forme d'une évaluation qualitative de la gravité (faible, moyenne, élevée et critique) afin d'aider les organisations à évaluer correctement et à hiérarchiser leurs processus de gestion des vulnérabilités et à préparer leurs défenses contre les cyber-attaques.", peut-on lire sur le site du FIRST.

Sur son site, le FIRST a mis en ligne un article qui résume les changements apportés au sein de CVSS 4.0. Vous pouvez retrouver cet article à cette adresse. Il y a aussi ce PDF qui revient en détail sur CVSS 4.0 et qui a été utilisé en juin dernier lorsque le FIRST a dévoilé CVSS 4.0 lors d'une conférence qui s'est déroulée à Montréal, au Canada.

Cette nouvelle version devrait permettre d'être plus précise et elle répond mieux aux menaces actuelles. Pour cela, le FIRST a introduit de nouvelles métriques permettant de calculer le score, notamment l'automatisabilité (wormable), la restauration (recovery), l'effort à fournir en réponse aux vulnérabilités et le niveau d'urgence pour le fournisseur. La métrique de base est également scindée en deux métriques : la complexité de l'attaque (Attack Complexity) et les prérequis pour mener l'attaque (Attack Requirements).

Il est à noter que CVSS ne se limite pas à la note de base. Avec la version 4.0, CVSS adopte une nouvelle nomenclature que voici :

• CVSS-B : Score de base CVSS
• CVSS-BT : Score de base CVSS + Threat Score
• CVSS-BE : Score de base CVSS + Environmental Score
• CVSS-BTE : Score de base CVSS + Threat Score + Environmental Score

Le score CVSS est vraiment un indicateur clé utilisé par certaines applications et les professionnels de l'informatique, don c'est important qu'il soit actualisé pour suivre l'évolution des menaces.

Source

The post Evaluation de la gravité des vulnérabilités : la nouvelle norme CVSS 4.0 est disponible ! first appeared on IT-Connect.

Nous sommes le 1er novembre 2023 donc Microsoft 365 Copilot est officiellement disponible pour tout le monde ! Pourtant, cela ne semble pas si facile de se procurer un accès à ce nouvel ensemble de fonctionnalités boosté par de l'IA.

Comme on pouvait s'y attendre puisque nous sommes le 1er novembre, Microsoft a mis en ligne un article pour annoncer que Microsoft 365 Copilot était disponible ! L'entreprise américaine précise que Copilot est disponible aux États-Unis et en Europe, en plusieurs langues : l'anglais, l'espagnol, le japonais, le français, l'allemand, le portugais, l'italien et le chinois simplifié. Au cours du premier semestre 2024, Microsoft ajoutera d'autres langues comme l'arabe.

Au moment d'annoncer officiellement Microsoft 365 Copilot, Microsoft avait dévoilé plusieurs situations lors desquelles nous pouvions solliciter ce nouvel assistant IA. Il est intégré dans la majorité des applications et services : Outlook, Word, PowerPoint, Excel, OneNote, etc.... Que ce soit pour résumer les derniers e-mails non lus que l'on a reçus de la part d'une personne, rédiger un brouillon d'un e-mail, créer un planning pour un événement en s'appuyant sur les données de plusieurs documents, ou encore créer un ticket dans Jira à notre place, etc...

Microsoft 365 Copilot donne également accès à Microsoft 365 Chat depuis le portail de votre tenant. Cette fonctionnalité permet de converser directement avec l'IA de Microsoft.

Microsoft 365 Copilot : un accès limité à certaines entreprises ?

Dans son article, la firme de Redmond précise : "Les entreprises clientes peuvent appeler leur représentant Microsoft pour acheter Microsoft 365 Copilot." - Effectivement, Microsoft 365 Copilot est une licence additionnelle facturée environ 30 euros par utilisateur et par mois. Mais cela ne semble pas si simple...

Tout d'abord, l'Àbonnement Microsoft 365 Copilot vient s'ajouter à l'abonnement existant de l'utilisateur, mais pas n'importe lequel ! Vous devez disposer d'abonnements Microsoft 365 E3 ou E5 pour pouvoir bénéficier de Copilot. En principe, ces abonnements sont plutôt utilisés par les grandes entreprises avec plus de 300 utilisateurs.

En effet, les PME ont accès à d'autres abonnements : Microsoft 365 Basic, etc... Pourtant, Microsoft avait laissé entendre que Copilot serait accessible également au sein des abonnements proposés aux TPE/PME. A moins que ce soit prévu dans un second temps.... Nous ne savons pas.

Pour le moment, il semblerait que pour les tenants avec moins de 300 licences (E3/E5), Microsoft Copilot ne soit pas disponible ! Sur l'article du site de Microsoft, nous pouvons lire ce commentaire : "Je représente une petite entreprise technologique. Nous utilisons des licences Microsoft 365 E5 pour tous les utilisateurs. Nous bénéficierions grandement de Microsoft 365 Copilot. Cependant, il semble qu'il ne soit pas disponible pour les petites entreprises de moins de 300 utilisateurs." - Forcément, cette mauvaise surprise génère du mécontentement chez les utilisateurs et il y a plusieurs commentaires qui vont dans ce sens.

Cette information reste à confirmer car le nombre de licences minimal n'est pas précisé dans la documentation de Microsoft.

• Microsoft Copilot : les conditions requises

Comment apprendre à utiliser Microsoft 365 Copilot ?

Pour apprendre à utiliser Microsoft 365 Copilot, ou tout simplement en savoir plus à son sujet, vous devez absolument vous rendre sur cette page du site Microsoft. Il y a énormément d'exemples, de lien vers d'autres pages des sites Microsoft, etc... C'est un très bon point d'entrée.

Pour rappel, aujourd'hui, Microsoft a également publié Windows 11 23H2.

N'hésitez pas à commenter cet article si vous avez pu accéder à Microsoft 365 Copilot, si vous avez des questions, etc.

The post Microsoft 365 Copilot est disponible ! A quel prix ? Quelles sont les conditions d’accès ? first appeared on IT-Connect.