I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer l'énumération basée sur l'accès sur les partages d'un serveur de fichiers sous Windows Server 2022. Avant de passer à la pratique, cette fonctionnalité sera expliquée et nous verrons le rôle qu'elle peut jouer sur un serveur.

• Voir la vidéo sur YouTube

Cet article s'inscrit dans une suite d'articles sur les sujets des serveurs de fichiers sur Windows Server. Suivez ce lien :

• Tutoriels - Gestion d'un serveur de fichiers

II. Qu'est-ce que l'énumération basée sur l'accès ?

En entreprise, un serveur de fichiers représente un espace de stockage centralisé et utilisé par différents services (secrétariat, ressources humaines, comptabilité, etc.). Ainsi, le serveur de fichiers pourra contenir plusieurs partages (un par service, par exemple) ou un partage racine avec des sous-dossiers par service. Chaque salarié, en fonction de ses attributions professionnelles, pourra accéder à un ou plusieurs dossiers à partir de son compte utilisateur. Les permissions sont gérées à l'aide des autorisations NTFS et des autorisations de partage. Néanmoins, par défaut, l'utilisateur pourra visualiser dans son Explorateur de fichiers tous les dossiers : qu'il dispose de droits d'accès ou non.

L'énumération basée sur l'accès, que l'on appelle également ABE pour Access-Based Enumeration, apporte une réponse intéressante à cette problématique. En effet, cette fonctionnalité va en quelque sorte "filtrer" l'affichage dans l'Explorateur de fichiers de Windows, de manière à ce que chaque utilisateur puisse voir uniquement les éléments sur lesquels il a des droits (de lecture ou de lecture/écriture). Autrement dit, l'affichage tient compte des permissions réelles de l'utilisateur.

Remarque : Windows Server 2008 et les versions plus récentes prennent en charge nativement l'ABE. Il est également possible d'utiliser cette fonction sur Windows Server 2003 avec le SP1. Il est pris en charge par tous les systèmes d'exploitation desktop à partir de Windows XP SP1.

Il y a plusieurs bonnes raisons qui doivent vous pousser à utiliser cette fonctionnalité :

• L'utilisateur voit uniquement ce qui le concerne, ce qui évitera qu'il soit frustré parce qu'il ne peut pas accéder à tel ou tel dossier (quand il est confronté à un message "Accès refusé")
• Les noms de répertoire peuvent contenir des informations confidentielles : Bilan_comptable_2023, Plan_Licenciement_2023, etc...
• L'utilisateur pourra naviguer plus facilement au sein des partages puisque l'affichage sera épuré

En résumé, vous devez activer l'ABE pour éviter de révéler des informations inutilement, que ce soit auprès des utilisateurs ou peut-être même d'un cybercriminel qui est en train d'explorer votre infrastructure...

Le seul inconvénient de l'ABE, c'est qu'elle va consommer des ressources sur le serveur de fichiers. Toutefois, ce sera invisible sur un partage avec moins de 15 000 fichiers, sinon il peut y avoir un délai compris entre 1 et 3 secondes pour "générer" l'affichage. Une bonne organisation de la structure de dossier du serveur de fichiers permet de contourner le problème.

Remarque : l'énumération basée sur l'accès peut être configurée sur les partages standards (partages SMB) mais également sur les dossiers DFS.

III. Configurer l'énumération basée sur l'accès

Il y a plusieurs façons de configurer l'énumération basée sur l'accès, dont : l'interface graphique de Windows Server, PowerShell et l'utilitaire en ligne de commande abecmd.exe.

A. Contexte

Pour cette démonstration, nous allons utiliser un dossier partagé en tant que racine avec plusieurs sous-dossiers :

• Partage
  • Commercial
  • Comptabilité
  • Direction
  • Informatique
  • RH

Les permissions NTFS sont gérées selon la méthode AGDLP. L'héritage des permissions NTFS est désactivé sur chaque sous-dossier de manière à attribuer les permissions uniquement pour certains groupes de sécurité sur chaque dossier. L'utilisateur "Chris Tal", directeur de cette entreprise fictive, peut accéder en lecture/écriture au répertoire "Direction", et en lecture seule aux répertoires suivants : Commercial, Comptabilité, RH. Il n'a pas accès au répertoire "Informatique".

Pourtant, pour le moment, il voit bien le répertoire "Informatique" lorsqu'il navigue dans le partage. L'accès à ce répertoire lui est bien refusé.

B. Activer l'ABE avec l'interface graphique

Pour effectuer la configuration, ouvrez le "Gestionnaire de serveur", cliquez sur à gauche "Services de fichiers et de stockage" (1). Ensuite, cliquez sur "Partages" (2), sélectionnez le partage dans la liste (3) et à l'aide d'un clic droit choisissez "Propriétés" (4).

Au sein des propriétés, cliquez sur "Paramètres" et activez l'option nommée "Activer l'énumération basée sur l'accès". Validez.

La configuration est terminée...

Il ne reste plus qu'à fermer puis rouvrir la session de "Chris Tal" sur son poste de travail. Désormais, quand il navigue dans "Partage", il ne voit plus le répertoire "Informatique" : ce dossier est invisible car l'utilisateur n'a pas de permissions !

L'ABE est bien configurée sur ce partage !

C. Configurer l'ABE avec PowerShell

Via l'interface graphique, il faut agir partage par partage pour gérer la fonctionnalité ABE. S'il y a deux ou trois partages, ça va. S'il y en a beaucoup plus, cela peut vite devenir pénible. C'est là que PowerShell entre en jeu. Vous devez utiliser au minimum PowerShell 5.0.

Tout d'abord, vous pouvez obtenir l'état de la fonctionnalité "Énumération basée sur l'accès" pour tous les partages de votre serveur grâce à cette commande :

Get-SmbShare | Select-Object Name, Path, FolderEnumerationMode

Cette commande retourne la liste des partages avec le nom, le chemin et l'état de la fonction ABE.

Vous pouvez activer l'ABE sur tous les partages à l'aide d'une simple commande PowerShell. Il faudra simplement exclure tous les partages spéciaux, tels que "C$" (et ceux des autres volumes), ainsi que "ADMIN$" et "IPC$". Nous pouvons exclure ces partages en utilisant le paramètre "-Special" du cmdlet Get-SmbShare.

Voici la commande magique :

Get-SmbShare -Special $false | Set-SmbShare -FolderEnumerationMode AccessBased -Force

Si vous souhaitez savoir quels sont les partages qui seront configurés, exécutez au préalable cette commande :

Get-SmbShare -Special $false | Select-Object Name, Path, FolderEnumerationMode

Pour faire un retour arrière et désactiver l'ABE :

Get-SmbShare -Special $false | Set-SmbShare -FolderEnumerationMode Unrestricted -Force

IV. Conclusion

Grâce à ce tutoriel, d'une part vous savez à quoi correspond la fonctionnalité "Énumération basée sur l'accès" sur les partages, et d'autre part, vous êtes capable de faire la configuration à l'aide de l'interface graphique et de PowerShell.

Si vous avez une question, n'hésitez pas à poster un commentaire ou à venir en discuter sur notre serveur Discord.

The post Serveur de fichiers – Comment activer l’énumération basée sur l’accès sur Windows Server ? first appeared on IT-Connect.

Un jeune, encore alternant chez Orange Cyberdéfense, a été condamné par la justice parisienne ! La raison ? Il participait indirectement aux développement de logiciels malveillants, grâce à un shellcode devenu populaire, qu'il revendait ensuite sur le dark web !

Ce jeune talent de 23 ans a mal tourné : alors qu'il travaillait chez Orange Cyberdéfense en tant qu'alternant, il a été arrêté dans le cadre d'une affaire de cybercriminalité. Ce mercredi 25 octobre 2023, après 13 mois passés en détention provisoire, il vient d'être condamné par la 13e chambre correctionnelle du tribunal judiciaire de Paris ! Résultat, il est condamné à 4 ans de prison dont 2 ans avec sursis, ainsi qu'une amende de 50 000 euros, dont 40 000 euros avec sursis. À cela s'ajoute la confiscation de certains scellés et des cryptoactifs détenus sur 2 plateformes.

Mais que lui reproche-t-on ?

Au début de l’année 2019, ce jeune homme, surnommé Frenchy sur le Dark Web, a développé puis mis en vente un shellcode nommé Frenchy Shellcode. Grâce à ses compétences techniques, notamment en C++ et en C#, il a développé ce shellcode qu'il vendait pour environ 1 000 euros sur le Dark Web, même si ce prix pouvait varier en fonction des options.

En s'appuyant sur la méthode "Hollow process", le Frenchy Shellcode permettait d'exécuter des logiciels malveillants sur les machines sans être détecté par les solutions de protection (antivirus, etc.). Forcément, son travail a rapidement intéressé les cybercriminels puisqu'ils pouvaient exploiter le Frenchy Shellcode au sein de cyberattaques.

Lors de son audience, il a dit au président du tribunal correctionnel, le magistrat Guillaume Daïeff : "Je n’avais pas de motivation financière, ce qui m’intéressait c’était le défi technique". Pourtant, il semblerait qu'il est empoché 19 bitcoins entre février 2019 et février 2022. Même si le cours du bitcoin est variable, ceci représente une très belle somme : entre 500 000 euros et 622 000 euros. Pourtant, le jeune homme estime ses gains plutôt à environ 200 000 euros. Bref, cela fait beaucoup d'argent.

Pendant plusieurs années, ce jeune homme a baigné dans le milieu de la cybercriminalité et a été en contact avec différents acteurs malveillants (notamment REvil et Sodinokibi). Par exemple, il était "payé" 2 500 euros par mois pour fournir une aide technique à un internaute surnommé "MarkTwain" et qui effectuait des activités illégales. Par ailleurs, il a affirmé devant la justice qu'il avait pour projet de développer un outil de test de pénétration pour concurrencer Cobalt Strike, très connu dans ce domaine.

Pensez-vous que la peine dont a hérité ce jeune homme est suffisante ?

Le Frenchy Shellcode a fait l'objet d'une analyse technique chez Gatewatcher, que vous pouvez retrouver sur cette page.

Source

The post Auteur d’un shellcode redoutable, cet alternant de chez Orange Cyberdéfense file en prison ! first appeared on IT-Connect.

L'éditeur de CCleaner a été victime de la faille de sécurité critique présente dans la solution MOVEit Transfer. Grâce à la compromission de ce serveur, les pirates sont parvenus à accéder à des données. Faisons le point sur cet incident.

Pour rappel, CCleaner est une application très populaire pour effectuer du nettoyage sur une machine Windows, notamment dans les fichiers (nettoyage des fichiers temporaires) et dans le Registre Windows.

CCleaner vient s'ajouter à la longue liste des entreprises impactées par la faille de sécurité présente dans MOVEit Transfer. Ceci confirme encore un peu plus que les cybercriminels se sont bien amusés avec cette vulnérabilité.

Comme le montre ce tweet de Troy Hunt, le créateur du site Have I Been Pwned, CCleaner a envoyé une notification a ses utilisateurs pour les informer de cet incident de sécurité. "Nous vous contactons car certaines de vos informations personnelles, telles que votre nom et vos coordonnées, ont été divulguées sur le dark web.", peut-on lire. À cela s'ajoutent des informations sur les produits achetés par l'utilisateur.

Piriform Software, l'entreprise éditrice de CCleaner, précise que cette fuite de données ne contient aucune information de paiement, ni même l'identifiant et le mot de passe du compte d'accès. Potentiellement, vous pouvez être impacté si vous avez acheté une version payante de CCleaner. Dans tous les cas, l'éditeur a notifié par e-mail l'ensemble des utilisateurs affectés, sans préciser le nombre total.

Par ailleurs, chaque personne concernée par cette fuite de données se voit offrir un abonnement de 6 mois à Avast BreachGuard, un service de surveillance qui vous indiquera si vos données sont détectées sur le Dark Web.

Parmi les autres incidents de sécurité lors desquels les cybercriminels ont exploité une faille de sécurité dans MOVEit Transfer, nous pouvons citer : Sony, Siemens Energy, ou encore un ensemble de 900 établissements scolaires.

Source

The post Fuite de données chez CCleaner, victime à son tour de la faille de sécurité dans MOVEit Transfer ! first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons aborder le principe da connexion TCP qui est appelé communément le « tree way-handshake » et les options présentés lors de cette connexion, le tout grâce à une analyse Wireshark.

Mais avant d’aborder cette partie, il faut savoir que le protocole TCP existe depuis 1981 avec la RFC 793. Afin de répondre à l’augmentation des débits et de la latence sur les réseaux, le protocole TCP a eu le droit à des améliorations, dont l’une des plus importantes est la RFC 7323  appelé « TCP for High Performance ». Pour information, la dernière RFC liée à TCP date d'août 2022 (RFC 9223).

Pour rappel, il existe déjà un article sur le protocole TCP sur notre site :

• Le protocole TCP

Retrouvez tous les articles sur l'utilisation et la configuration de Wireshark sur cette page :

• Tutoriels Wireshark sur IT-Connect
• Téléchargement - Wireshark

II. Le principe de la connexion TCP

La connexion TCP permet d’établir une connexion à un service comme un serveur web par exemple. La connexion TCP va permettre d’établir plusieurs paramètres entre les deux hôtes :

• Numéro de séquence à utiliser
• Les options supportées par les deux hôtes
• Le calcul de l'Initial RTT du réseau

Pour rappel, voici une illustration de la demande de connexion TCP :

Les options TCP sont présentes dans les segments « SYN » et « SYN ACK » donc il est important de capturer la demande de connexion TCP dans le cadre d’une analyse de performance.

Les champs flags valides lors d’une connexion TCP sont « SYN » qui est la demande de connexion, « SYN ACK » qui est la réponse du serveur distant et « ACK » pour valider la connexion de la part du client.

Dans certains cas, le flag « ECN-setup » (Explicit Congestion Notification) est utilisé pour informer l’hôte distant d’une congestion réseau. Elle est définie dans la RFC 3168.

Le flag « ECN-Setup » comprend les flags suivants :

• ECE : Explicit Congestion Echo
• CWR : Congestion Window Reduct - Ce flag permet d’informer une réduction de la fenêtre TCP de congestion (la fenêtre envoi de données)

La particularité du flag ECE, c’est que ce sont les routeurs qui informent d’une congestion au niveau du paquet IP.

Pourquoi je mentionne ce point, car des outils comme NMAP peuvent ajouter des flags comme « URG » (le flag urgent permet d’envoyer des données de manière prioritaire) mais celui-ci ne doit pas apparaitre lors du processus de demande de connexion TCP.

III. Les options disponibles

Les options TCP présentées par les différents hôtes ne sont pas une négociation lors de la connexion TCP. Si une option TCP n’est pas présente sur l’un des hôtes de la connexion, celle-ci ne sera pas utilisée.

Dans ce chapitre je vais présenter les options les plus couramment utilisées, bien qu'il en existe d’autres.

A. La MSS

La MSS (Maximum Segment Size) est la taille maximum des données que peut contenir un segment. Si celui-ci n’est pas spécifié par un hôte, la valeur par défaut est égale à 536 octets.

Voici un extrait de la dernière RFC 9223 à ce sujet :

La taille de la MSS va dépendre de plusieurs facteurs :

• La MTU (Maximum Transmit Unit) : c’est la taille maximum que peux transporter le réseau en incluant les entêtes protocolaires et les données, sur Ethernet par défaut nous sommes à 1500 octets. Donc la MSS sera à 1460 octets.
• Des options TCP utilisées, par exemple l’option Timestamps va prendre 12 octets donc la MSS sera à 1448 octets
• De votre type de connexion, si vous êtes en VPN, la MSS va baisser, car il faut prendre en compte l’entête de votre protocole utilisé.

Dans l’entête TCP, la MSS est de 2 octets.

B. Windows Scaling

Avant de rentrer dans le détail de cette option, nous allons faire un rappel sur la fenêtre TCP. Qu’est-ce que la fenêtre TCP ?

La fenêtre TCP est le buffer de réception des données reçu lors des échanges TCP, ce buffer permet de stocker les données reçues avant de les envoyer vers l’application. Par défaut la fenêtre TCP est de 64 Ko octets, donc on peut recevoir 64 Ko de données avant d’envoyer un acquittement TCP.

La fenêtre TCP joue un rôle primordial dans la performance d’un transfert de données, car nous pouvons calculer le débit consommé avec la fenêtre TCP de réception et le RTT réseau.

Voici le calcul théorique :

Débit = fenêtre TCP en octets * 8 bits / RTT réseau en secondes

Voici un exemple de calcul : prenons notre fenêtre TCP de base 64 Ko avec un RTT réseau de 5 ms

Débit  = 64000 * 8 / 0.005 sec
Débit = 102 Mb/s

Cela signifie que nous pourrons au maximum consommer 102 Mb/s de bande passante (débit), donc nous seront bridé par la fenêtre TCP de réception.

Avec l’augmentation des bandes passantes et de la latence, il a fallu adapter le protocole TCP pour répondre à l’évolution des réseaux, c’est pour cela que la RFC 7323 (qui a remplacé la RFC 1323) a été publié.

Dans cette RFC, on implémente l’option « Windows Scaling » qui va permettre de mettre en place un facteur de mise à l’échelle de la fenêtre TCP par des puissances de deux. La taille de la fenêtre TCP avec cette option peut atteindre 1 Gigaoctet au maximum.

• Extrait de la RFC 7323 :

C. SACK

L’option TCP « SACK » signifie Select Acknowledge. Elle permet, en cas de perte de paquets, de demander seulement les paquets perdus et d’informer l’hôte distant des paquets reçus.

Pour plus d’informations, vous pouvez aller voir la RFC 2018.

D. Timestamps

L’option Timestamps a aussi vu le jour sous la RFC 7323 (anciennement 1323). Cette option permet de calculer le RTT réseau en utilisant les flags « TSval » et « TSecr » : ce sont des chiffres effrayants à regarder ! 

L’autre utilisation de l’option Timestamps, est de rejeter les anciens segments dupliqués pour éviter une corruption de la session TCP. L’option Timestamps occupe 12 octets dans l’entête TCP.

Pour plus d’information, vous pouvez vous référer à la RFC 7323, au chapitre 5.

IV. Wireshark et les options TCP

A. Affichage dans Wireshark

Au sein de l'interface de Wireshark, les options TCP apparaissent dans la colonne « info » dans le panneau liste des paquets.

Voici un exemple de connexion TCP :

Dans cette connexion TCP, on remarque que les deux hôtes supportent seulement deux options TCP.

• « WS » : Windows Scaling  avec des valeurs différents mais cela ne pose aucun problème tant que l’option est supportée

N.B : la valeur WS ne doit jamais être à UN, car 64 ko multiplié par 1 est toujours égal à 64 Ko.

La seule exception que j’ai remarquée lors de mes analyses de performance avec une valeur à 1, c’est avec un load balancer du constructeur F5 qui met la valeur WS à 1, mais qui augmente sa fenêtre TCP malgré tout.

• « SACK_PERM » pour utiliser l’option Select Acknowledge.

La fenêtre TCP de réception de base à une valeur de « 64240 octets » pour les deux hôtes et une MSS de « 1460 octets ».

Examinons maintenant en détail la trame « numéro 1 » au niveau de l’entête TCP :

Quelques commentaires sur cette image :

• Au niveau du champ flag, on voit seulement le « SYN »
• Au niveau des options TCP, on voit une nouvelle valeur qui est No-Operation (NOP) : ce sont les options non supportées par les hôtes.
• On voit que les options ajoutent « 12 octets » d’entête TCP, ce qui est égal à « 32 octets ».

Concernant l’option « Windows scale » Wireshark indique qui faut multiplier par 256 la valeur qui se situe dans « Window » qui est égal à 64240 octets. Enfin, la dernière option activée est « SACK permitted ».

Passons à la trame « numéro 2 »

Sur la trame numéro 2, on peut noter seulement deux différences :

• Flags, qui contient à la fois « SYN » et « ACK »
• Le facteur multiplicateur de « Window Scaling » de 128

Je vous laisse calculer la taille de la fenêtre de réception de chaque hôte, en indiquant votre méthode de calcul et le résultat dans les commentaires de l’article  ! À vous de jouer !

B. Les filtres associés

Maintenant que nous avons vu les options TCP et les flags, voici quelques filtre d’affichage qui peuvent vous aider à analyser une connexion TCP.

V. Le RTT réseau

A. Définition

Le RTT signifie Round Trip Time : c’est le temps pour aller d’un point A à un point B et faire le chemin inverse. Ce temps est mesuré en millisecondes (ms).

Il va permettre de déterminer la latence. En effet, la latence du réseau : c’est le temps qu’effectue un paquet pour aller d’un point A à un point B, ce temps est mesuré en millisecondes (ms), donc on divisera le RTT par deux.

B. Comment calcule-t-on le RTT réseau ?

Le RTT réseau se calcul sur la demande de connexion TCP, pour en déduire la latence du réseau.

L’emplacement de votre point de capture est très important pour connaitre le RTT réseau, voici un schéma qui va illustrer le calcul du RTT réseau par Wireshark ou des équipements comme des boitiers de QoS ou des sondes réseau.

C. Wireshark et le RTT

Dans Wireshark, le calcul du RTT réseau sur la connexion TCP s’appelle iRTT (Initial Round Trip Time) car Wireshark va prendre des mesures du RTT réseau tout au long de la session TCP. Nous reviendrons sur cette notion dans un prochain article qui sera publié sur IT-Connect.

Le iRTT réseau se situe dans l’analyse détaillée du protocole TCP dans la partie « SEQ/ACK analysis ».

Ma capture réseau a été prise sur mon poste de travail, donc il faut aller sur la réponse du serveur à la demande de connexion TCP pour avoir le iRTT.

Dans mon cas, le temps d’un aller-retour avec l’hôte 178.32.126.188 est à « 14ms » donc une latence de 7 ms.

Voici un filtre que vous pouvez utiliser pour voir les RTT réseau élevées :

VI. Conclusion

Maintenant vous avez les cartes en main pour analyser une demande de connexion TCP, et calculer le RTT réseau associé ! J’espère que cet article vous a plu, car d’autres vont suivre sur TCP, notamment sur l'analyse de problèmes de performances. Toutefois, le prochain article sera théorique et portera sur le RTT réseau avant d’explorer l’univers de TCP avec Wireshark.

The post Réseau : analyse d’une connexion TCP et de ses options avec Wireshark first appeared on IT-Connect.

L'ANSSI a publié un nouveau rapport intitulé "Campagnes d’attaques du mode opératoire APT28 depuis 2021" qui revient en détail sur les techniques employées par ce groupe de cybercriminels à l'origine de nombreuses cyberattaques en France. Ce document contient également un ensemble de recommandations.

Le groupe de cybercriminels russes APT28, également appelé Fancy Bear, est à l'origine de nombreuses cyberattaques en France : "Certaines campagnes ont été dirigées contre des organisations françaises, dont des entités gouvernementales, des entreprises, des universités, ainsi que des instituts de recherche et des groupes de réflexion (think tanks).", précise l'ANSSI.

L'ANSSI est intervenu sur ces incidents de sécurité afin de mener des investigations, donc ce rapport est en quelque sorte une synthèse de ce qu'ils ont appris sur APT28. "Ce document s’appuie sur des rapports techniques publiés en source ouverte et des éléments collectés durant des opérations de réponse à incident réalisées par l’ANSSI.", précise le rapport que vous pouvez retrouver à cette adresse.

Le groupe APT28 a pour habitude d'effectuer sa phase de reconnaissance à l'aide de campagnes de phishing envoyées directement à partir de comptes compromis. À cela s'ajoutent des routeurs compromis, notamment de la marque Ubiquiti, utilisée pour récupérer les données exfiltrées. L'ANSSI affirme que le groupe APT28 a exploité de nombreuses vulnérabilités, y compris des failles zero-day, notamment certaines très connues. Voici quelques exemples :

• La CVE-2022-30190 (Follina) dans MSDT (Microsoft Support Diagnostic Tool)
• Les CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 dans l'application Roundcube
• La CVE-2023-23397 dans Outlook : "APT28 a exploité la vulnérabilité 0-day CVE-2023-23397 affectant le produit Outlook pour Windows à partir de mars 2022 et jusqu’en juin 2023."

D'ailleurs, l'ANSSI s'est intéressé à la manière dont les attaquants exploitaient la faille de sécurité CVE-2023-23397 puisqu'ils semblent particulièrement l'apprécier.

En exploitant ces vulnérabilités et en récupérant des informations au sein de fuites de données, APT28 s'est constitué une belle infrastructure d'attaque.Par ailleurs, APT28 s'appuie sur des outils de sécurité tels que Mimikatz et reGeorg lors de ses opérations, en plus d'utiliser des fournisseurs de VPN divers et variés (Surfshark, ExpressVPN, ProtonVPN, etc.).

Enfin, le rapport contient un ensemble de 17 recommandations à appliquer pour faire face à ce type de menace. L'ANSSI aborde la sécurité des échanges par e-mail, la sécurité des données d'authentification, la sécurité des postes de travail ainsi que la sécurité de l'accès aux contenus hébergés sur Internet.

Bonne lecture !

The post L’ANSSI s’est intéressée au groupe APT28, à l’origine de nombreuses attaques en France first appeared on IT-Connect.