Le CERT-FR a mis en ligne un document qui revient en détail sur la cyberattaque qui a frappé le CHRU de Brest. Une lecture très intéressante qui permet s'en savoir plus sur le mode opératoire des cybercriminels, et notamment de savoir "par où ils sont passés" pour mettre un pied dans l'infrastructure du CHRU.

C'est le jeudi 9 mars 2023 aux alentours de 20h30 que la cyberattaque au CHRU de Brest a commencé. Orchestrée par les cybercriminels du groupe FIN12, d'ailleurs à l'origine de nombreuses attaques en France ces dernières années, cette cyberattaque a impacté les serveurs du CHRU.

Pour se connecter à l'infrastructure du CHRU, les cybercriminels ont utilisé les identifiants valides d'un professionnel de santé et ils se sont connectés sur un serveur exposé sur Internet en RDP. Les identifiants pourraient provenir d'un vol de données avec un malware de type info-stealer. Dans son rapport, le CERT-FR précise : "L’accès initial au système d’information a été effectué depuis un service de bureau à distance exposé et accessible sur Internet.", avant d'ajouter : "Deux acteurs pourraient donc être impliqués dans l’incident, un fournisseur d’accès initial et l’attaquant chargé de la latéralisation et du déploiement du rançongiciel."

Une fois connectés à l'infrastructure du CHRU, les cybercriminels ont tout d'abord déployé deux portes dérobées : SystemBC et Cobalt Strike dans le répertoire "C:\Users\Public\Music\" de la machine compromise.

Par la suite, pour tenter d'effectuer une élévation de privilèges, les cybercriminels ont tenté d'exploiter plusieurs failles de sécurité :

• CVE-2023-21746 appelée LocalPotato, corrigée en janvier 2023 par Microsoft et qui se situe dans le protocole NTLM
• CVE-2022-24521

Pour accéder aux données d'authentification, les cybercriminels ont utilisé plusieurs outils dont certains que les professionnels de la cybersécurité utilisent dans le cadre d'audit ou de test d'intrusion. 

AccountRestore est un outil de bruteforce de comptes Active Directory qui a été documenté par SECURITY JOES. Mimikatz est un outil notamment utilisé pour extraire des authentifiants en environnement Windows. SharpRoast permet d’effectuer une attaque par kerberoasting.", précise le rapport du CERT-FR.

A cela s'ajoutent des outils comme PingCastle et BloodHound pour identifier les faiblesses de l'Active Directory ainsi que les chemins d'attaques potentiels, et l'outil Softperfect Network Scanner pour effectuer de la découverte réseau. Pour effectuer des mouvements latéraux, c'est-à-dire se déplacer d'une machine vers une autre, les attaquants ont tenté d'exploiter, sans y parvenir, plusieurs vulnérabilités bien connues : PrintNightmare (CVE-2021-34527), BlueKeep (CVE-2019-0708) et ZeroLogon (CVE-2020-1472).

Comment accéder au rapport du CERT-FR ?

Le CERT-FR, en accord avec Jean-Sylvain Chavanne, le RSSI du CHRU de Brest, a mis en ligne ce rapport que vous pouvez consulter sur cette page. Nous pouvons féliciter (et remercier) le CHRU de Brest pour sa transparence et la mise à disposition de cette analyse technique.

Terminons par cette citation de Jean-Sylvain Chavanne : "Ce rapport de CTI démontre notamment l'importance d'avoir une double authentification & une politique de patch des vulnérabilités, surtout les plus classiques, pour éviter les élévations de privilèges. L'apport de l'EDR aura été important également pour établir ces analyses."

The post Retour d’expérience : cyberattaque au CHRU de Brest, que s’est-il passé ? first appeared on IT-Connect.

Vous connaissez surement Uptobox, une plateforme de téléchargements ? Elle n'est plus en ligne suite à une opération menée par les forces de l'ordre ! La raison est simple : elle est principalement utilisée pour partager du contenu illégal et piraté.

Si vous ne parvenez pas à accéder à Uptobox et à son service Uptostream, c'est normal, les deux sites sont inaccessibles depuis le mercredi 20 septembre 2023. En soi, Uptobox est un simple site permettant d'héberger et de partager des fichiers, comme c'est possible avec d'autres services. Toutefois, il est principalement utilisé le téléchargement de contenus illégaux, que ce soit des films, des séries, ou encore de la musique et des jeux.

L'Alliance for Creativity and Entertainment (ACE) est à l'origine de la fermeture de ces services en ligne ! Pour mieux comprendre, il suffit de regarder quels sont les membres de cette alliance : Amazon, Sony Pictures Entertainment, Netflix Studios LLC, ou encore Paramount.

Cette opération a été menée à la fois en France et aux Émirats arabes unis puisque les deux administrateurs du site résident à Dubaï. Même si les deux sites sont hors lignes, nous ne savons pas si cette opération est associée à une arrestation.

A en croire le compte X (Twitter) d'Uptobox.com, les responsables du site espèrent trouver une solution pour que la plateforme soit de nouveau accessible : "Nous nous étonnons de cette mesure alors que, en tant qu’hébergeur, la plateforme répond promptement aux demandes justifiées de retrait de contenus illicites mis en ligne par des utilisateurs conformément à la législation."

Update 1:

Nous avons appris par voie de presse qu’une opération de police serait intervenue sur les serveurs de la société en France.

— Uptobox.com (@Uptobox_com) September 24, 2023

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Que l'on approuve ou pas cette décision, ce type d'opération est surtout dissuasive, car il n'y a pas de réelle baisse du piratage suite à la fermeture de la plateforme. Malgré tout, Uptobox pèse lourd sur le Web avec 1,5 milliard de visites en 3 ans.

Source

The post Téléchargements illégaux : pourquoi le site Uptobox n’est plus accessible ? first appeared on IT-Connect.

I. Présentation

Le Yadea KS6 Pro est une trottinette électrique avec une fiche technique solide et son propre style, même si ce n'est pas aussi marqué que le modèle Yadea ElitePrime.

En lisant cet article, vous comprendrez que ce modèle a de nombreux atouts à mettre en évidence, même si tout n'est pas parfait ! Mais bon, ce sera peut-être l'occasion de succomber à la tentation de ce modèle en promotion pendant quelques jours : 649 euros au lieu de 799 euros du 22 au 28 septembre 2023.

De nos jours, nous ne pouvons qu'encourager les citoyens à utiliser des moyens de locomotion écologiques pour se déplacer : les trottinettes électriques, que l'on appelle aussi e-scooters, ont le vent en poupe, car elles sont pratiques, notamment en centre-ville, et pas très encombrantes. Il s'agit du second modèle évalué sur IT-Connect, après l'article "Test InMotion Climber". Comme à chaque fois, il y aura bien sûr un focus sur la partie application permettant de gérer la trottinette.

Commençons par dresser la fiche technique :

• Motorisation : 500 watts (800 watts max)
• Freinage électrique : un frein à tambour à l'avant et un frein à disque sur le pneu arrière
• Pneumatique : deux pneus de 10 pouces, sans chambre à air (tubeless)
• Vitesse maximale : 25 km/h (réglementaire) - Jusqu'à 30 km/h
• Batterie : 36V, 15.3 Ah (contrôlée par BMS)
• Autonomie : jusqu'à 55 km
• Pente maximale : 20%
• Poids : 21.6 kg
• Charge supportée : 110 kg
• Connectivité Android et iOS
• Prix : 799 euros
• Garantie : 1 an

Remarque : trottinette testée dans sa version d'origine, sans débridage.

II. Package, design, déballage

Yadea propose un packaging assez soigné où l'on a un aperçu de la trottinette et certaines informations sur le modèle, mais le livreur "s'est fait plaisir" : le carton est arrivé en très mauvais état, comme le montre la photo ci-dessous. Est-ce qu'il y a eu des conséquences ? Alors, oui, le carton a percé à un endroit et il y a de bonnes rayures dues aux frottements sur la pointe de la béquille (heureusement à cet endroit c'est très peu visible, mais la peinture est tout de même enlevée). Yadea devrait envisager un carton un peu plus large, ou avec des protections supplémentaires à cet endroit pour éviter les mésaventures.

Ce point a immédiatement été remonté à Yadea afin qu'une solution soit identifiée. Rien à signaler pour le reste de la trottinette et nous pouvons remercier les protections à l'intérieur du carton.

La trottinette est accompagnée par un guide d'utilisation, un outil et quelques vis. Même s'il n'est pas présent sur la photo, la trottinette est bien livrée avec un chargeur permettant de recharger sa batterie. Le montage est un jeu d'enfants et nécessite à peine 5 minutes ! Il suffit d'assembler le guidon avec le reste du cadre : il y a un connecteur électrique à brancher et 6 vis à mettre en place. Simple et efficace.

Voilà le résultat ! La trottinette Yadea KS6 Pro est prête !

Profitez de la photo ci-dessous pour voir que les câbles sont astucieusement dissimulés dans le cadre ! Visuellement, c'est un plus, car cela fait moins encombré. La qualité de fabrication est bonne, avec des soudures très propres.

L'écran digital LED, en couleurs, est intégré dans le prolongement de la fourche : c'est joli, d'autant plus qu'il y a une surface brillante qui ajoute de l'élégance. Dans la continuité de l'écran digital, il y a l'éclairage avant, accompagné par un éclairage à l'arrière, ainsi que le seul et unique bouton de contrôle.

L'éclairage est puissant et permettra d'assurer notre sécurité lors des sorties nocturnes. En complément, la trottinette est équipée de réflecteurs : même s'il en manque un, à mon avis, sur la roue avant. Pour finir sur les éléments du guidon, il y a une sonnette ainsi qu'un crochet qui est utile lorsque l'on plie la trottinette. Il est précisé qu'il ne doit pas être utilisé pour accrocher un sac ou un quelconque objet. Yadea KS6 Pro incorpore un système de pliage facile.

La trottinette est équipée d'un plateau antidérapant qui fait 17,5 cm de largeur et 50 cm de longueur (entre le garde-boue arrière et la fixation de la fourche avant). L'ensemble de la trottinette bénéficie d'un indice de protection IPX4, ce dernier indique que la trottinette est résistante à l'eau (éclaboussures et les pluies légères).

Le cadre de la Yadea KS6 Pro repose sur deux pneus de 10 pouces. Ce sont des pneus tubeless, c'est-à-dire sans chambre à air. Ils sont équipés d'une technologie d'autoréparation visant à réduire les risques de crevaison : s'il y a une coupure ou une petite perforation, vous ne risquez pas de "tomber en panne" !

Cette trottinette est taillée pour la route et les chemins légèrement cabossés grâce à sa fourche à suspension avant. Cette fourche est conçue pour absorber les chocs et les vibrations causés par les irrégularités de la route, les ralentisseurs, etc...

Puisqu'il est difficile de prendre l'écran en photo à cause des reflets, voici un aperçu avec cette image obtenue sur le site officiel de Yadea. Cet écran indique la vitesse actuelle, le mode de conduite, l'état du Bluetooth, l'état de l'éclairage, ainsi que l'autonomie restante. Par contre, aucune indication sur les kilomètres parcourus.

III. La Yadea KS6 Pro au quotidien

A. En piste !

Le Yadea KS6 Pro offre trois modes de conduite différents, permettant aux pilotes de choisir le niveau de vitesse et de performance qui vous convient le mieux, et qui semble le plus adapté aux conditions de circulation.

Tout d'abord, nous avons le mode marche où la KS6 Pro atteint une vitesse maximale de 6,4 km/h (pratique pour marcher à côté de la trottinette sans forcer pour la manipuler). Pour rouler, la KS6 propose un premier mode conduite avec une vitesse maximale de 14,5 km/h et un mode sport où l'on peut atteindre 25 km/h, aussi bien sur une route plate qu'en montée. Honnêtement, c'est le mode à privilégier.

Pour passer d'un mode de conduite à l'autre, vous pouvez utiliser l'application mobile, mais ce n'est pas le plus pratique. Il est préférable de le faire en appuyant simplement sur le bouton présent près de l'écran puisqu'il permet de passer d'un mode à un autre.

Il ne suffit pas de tourner la poignée pour que la trottinette commence à accélérer : vous devez élancer très légèrement la trottinette pour qu'elle comprenne qu'il faut y aller ! Ceci ajoute une sécurité puisque si vous êtes à côté de la trottinette et que vous tournez la poignée, elle n'avancera pas. L'accélération est bonne même s'il n'y a pas d'effet "wahou" non plus; et quelques secondes suffisent à atteindre 25 km/h, de façon stable, que ce soit sur le plat, en montée ou en descente. D'ailleurs, en descente, la trottinette fera en sorte de vous maintenir à 25 km/h pour respecter la législation même s'il m'est arrivé d'atteindre 27 km/h, mais pas plus car elle freine automatiquement.

Ce qui m'a agréablement surpris, c'est le faible bruit généré par la trottinette et son moteur, même à pleine vitesse. C'est un bon point.

Le fait qu'elle soit équipée d'une suspension à l'avant complété par les pneus permet d'absorber les chocs : c'est un plus pour le confort du conducteur. Même si la trottinette freine très bien, je trouve les poignées de frein un peu molles, c'est-à-dire qu'il faut appuyer franchement. C'est une habitude à prendre, le temps de s'adapter au système de freinage.

Attention à la charge sur la trottinette : elle supporte maximum 110 kg ! Même si c'est largement suffisant pour la majorité des adultes, c'est à prendre en considération. En effet, si vous comptez le poids du conducteur + le poids d'un éventuel sac à dos rempli de courses, on peut s'en rapprocher.

Avec une batterie pleine, l'autonomie de la Yadea KS6 Pro est comprise entre 40 et 55 km. Tout dépend du poids de la personne, de la température ambiante, et de la vitesse. L'autonomie de 55 km annoncée par le constructeur est donnée pour une personne de 75 kg. Cette autonomie permet au e-scooter de répondre à un de nombreux besoins, qu'il s'agisse de courts trajets urbains ou de trajets plus longs. Quand viendra le temps de recharger la batterie, sachez qu'une charge complète nécessite environ 8 heures.

B. L'application

Disponible sur iOS et Android, l'application officielle Yadea permet de se connecter à sa trottinette électrique à distance via Bluetooth. Ceci implique de créer un compte dans l'application pour associer la trottinette et accéder à plusieurs fonctionnalités :

• Verrouillage et déverrouillage de la trottinette à distance
• Activation et désactivation de l'éclairage
• État de la batterie avec un pourcentage
• État général de la trottinette (numéro de série, modèle)
• Réglages du mode : mode de conduite, avec "régulateur" de vitesse

Le très gros point négatif de cette application, c'est qu'elle ne remonte pas d'informations sur le kilométrage parcouru, ni même la moindre statistique. Enfin, d'après Yadea, il s'agit d'un bug d'affichage dans l'application qui sera résolu dans une prochaine mise à jour.

Cette application assure vraiment le strict minimum, et encore, pour moi le strict minimum devrait inclure le kilométrage ! Ceci est d'autant plus gênant que l'écran n'affiche pas cette information. Une amélioration de la traduction ne serait pas du luxe également.

IV. Conclusion

La Yadea KS6 Pro est une trottinette électrique bien conçue, solide, et qui offre aux utilisateurs une bonne expérience : agréable à conduire, avec une bonne puissance même si ce n'est pas la plus puissante du marché, et un confort sur la route grâce aux suspensions (ce n'est pas pour autant un modèle tout terrain). Son design est travaillé et son allure moderne, mais attention à son poids (21.6 kg) qui n'est pas négligeable lorsqu'elle est pliée et que l'on doit la porter.

À mon sens, il y a deux points négatifs : le temps de charge (8 heures, c'est long) et l'application qui doit être revue afin d'améliorer la traduction, mais aussi (et surtout) d'indiquer clairement le kilométrage de la trottinette. La mise à jour se fait attendre.

Pour finir, je vous rappelle que cette trottinette est en promotion actuellement : 649 euros au lieu de 799 euros du 22 au 28 septembre 2023.

• Profiter de l'offre sur Amazon.fr

The post Test Yadea KS6 Pro first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer Windows 11 sans bloatwares, grâce à une astuce très simple et à connaître ! Il ne sera pas nécessaire d'utiliser un outil tiers puisque tout va se jouer dès le début de l'installation du système d'exploitation. J'ai découvert cette technique récemment sur le Discord IT-Connect et son côté redoutable fait qu'elle mérite cet article !

• Comment activer les fonctions cachées de Windows 11 ?

II. Qu'est-ce qu'un bloatware ?

Un bloatware est un terme utilisé pour évoquer un logiciel préinstallé au sein d'un système d'exploitation, que ce soit un ordinateur, un smartphone ou une tablette. C'est une pratique fréquemment utilisée par les fabricants et les éditeurs, notamment Microsoft dans le cas présent. En général, il s'agit d'un accord commercial (ou d'un partenariat) entre l'éditeur du système d'exploitation (ou le fabricant) et l'éditeur de l'application. Sur Windows, il peut aussi s'agir d'applications de Microsoft afin d'en faire la promotion.

Les bloatwares ne sont pas malveillants, mais ils peuvent être perçus comme des logiciels intrusifs ou gênants pour les utilisateurs. En effet, en tant qu'utilisateur, on aimerait plutôt avoir un contrôle total sur les applications préinstallées et éviter toutes les applications superflues. Ceci est d'autant plus vrai que ces applications consomment des ressources sur l'appareil.

Parmi les applications préinstallées, nous pouvons retrouver des jeux, des applications pour les réseaux sociaux, ou d'autres outils... Ces applications sont préinstallées bien qu'elles ne soient pas essentielles au fonctionnement de l'ordinateur. Heureusement, l'utilisateur peut désinstaller ces applications s'il le souhaite, mais ceci implique des actions manuelles.

Sur Windows 11, il y a de nombreux bloatwares que l'on peut retrouver sur le système ! Voici quelques exemples : Spotify, Instagram, Netflix, Twitter, Minecraft, Flipboard, Candy Crush, etc...

III. Installer Windows 11 sans bloatwares

Tout d'abord, vous devez télécharger une image ISO de Windows 11 afin d'en faire une clé USB bootable. Bien sûr, cette image ISO doit être téléchargée à partir du site officiel de Microsoft :

• Télécharger Windows 11

Ensuite, démarrer le processus d'installation de Windows ! N'allez pas trop vite, tout va se jouer maintenant !

Choisissez "Anglais (International)" en tant que "Format horaire et monétaire", tout en veillant à bien utiliser le français comme langue et comme disposition pour le clavier. Ceci va perturber le processus d'installation de Windows, car cette région n'existe pas réellement, ce qui va empêcher l'installation des bloatwares.

Poursuivez l'installation de Windows 11 en indiquant votre clé de licence, en choisissant l'édition, etc... comme vous le faites habituellement. Rien ne change.

Après la première phase de l'installation, Windows 11 va afficher le message "Une erreur s'est produite - OOBEREGION" qui est la conséquence de la région choisie au début de l'installation. Ce n'est pas gênant, puisque l'on peut poursuivre l'installation !

Suivez l'assistant afin de sélectionner la disposition du clavier et les autres préférences... Et vous pourrez aussi vous connecter à votre compte Microsoft.

Après quelques minutes, l'installation est terminée et vous êtes sur le Bureau de Windows 11 ! Vous avez entre les mains une version de Windows 11 "épurée", car sans tous les bloatwares même s'il reste les applications de Microsoft (dont vous pourriez avoir besoin, car elles font partie du panel de fonctionnalités du système).

Pour finaliser l'installation, vous devez tout de même choisir la France (ou votre pays) comme région dans les paramètres du système.

Ouvrez les paramètres, cliquez sur "Heure et langue" puis sur "Langue et région". Ici, vous pouvez constater que le pays est "Monde" et le format régional sur "Anglais (International)".

Modifiez ces valeurs afin d'indiquer "France" et "Français (France)" ou les valeurs correspondantes à votre pays et votre situation.

IV. Conclusion

En suivant cette astuce simple, vous êtes en mesure de réaliser une installation de Windows 11 sans bloatwares ! Pour aller plus loin et supprimer également les applications intégrées par Microsoft, vous pouvez utiliser PowerShell pour faire du ménage, ou l'outil BloatyNosy disponible gratuitement sur GitHub.

• Télécharger BloatyNosy

Cet outil intègre une fonction nommée BloatPilot qui sert à supprimer les applications de votre choix en quelques clics. Il intègre aussi d'autres fonctions pour tuner le système afin de désactiver la télémétrie, etc.

The post Comment installer Windows 11 sans bloatwares ? Cette astuce est redoutable ! first appeared on IT-Connect.

Des chercheurs en sécurité ont mis en lumière une vaste campagne de phishing sophistiquée qui cible à la fois les voyageurs et les hôtels inscrits sur la plateforme Booking.com. Faisons le point sur cette menace.

Cette analyse publiée par les chercheurs en sécurité de chez Perception Point fait écho à l'article "Booking.com victime d'une cyberattaque ? Ces e-mails malveillants laissent place aux doutes !" publié sur IT-Connect pendant l'été. Le fait d'imaginer que Booking.com est lui-même victime d'une cyberattaque permettant aux pirates d'accéder au système de messagerie interne prouve que cette campagne de phishing est sophistiquée et complexe.

Pour collecter des numéros de cartes bancaires, les cybercriminels ont mis au point une campagne malveillante qui se déroule en plusieurs étapes.

La première étape : piéger l'hôtel

Puisque l'objectif des pirates est de récupérer l'identifiant et le mot de passe Booking.com du gestionnaire de l'hôtel afin de pouvoir se connecter à son compte et s'en prendre aux clients de l'hôtel. Pour cela, les cybercriminels contactent l'hôtel pour une demande de réservation ou en faisant référence à un numéro de réservation existant. Une fois la communication avec l'hôtel établie, les cybercriminels cherchent un prétexte, comme un problème médical, pour mener la personne de l'hôtel vers un site malveillant où on lui demande de télécharger un document. D'après les chercheurs en sécurité, cette page est conçue pour voler des données de manière furtive et elle mène à l'exécution d'un malware de type info-stealer.

"Une fois que le malware info-stealer est exécuté sur la cible initiale (l'hôtel), l'attaquant peut accéder à la messagerie avec des clients légitimes", précise Shiran Guez de chez Akamai, également à l'origine d'un rapport sur le sujet.

La seconde étape : piéger les clients de l'hôtel

Dès que les pirates ont accès au compte Booking.com de l'hôtel, ils sont en mesure de consulter les réservations à venir et de prendre contact directement avec les clients, de façon légitime, au travers de la messagerie Booking.com. Une aubaine pour les pirates : ils peuvent envoyer un message de phishing à partir du compte de l'hôtel à partir du système de messagerie officiel de Booking.com.

L'objectif des cybercriminels étant de récupérer les numéros de carte bancaire des clients, le message malveillant argumente en ce sens afin d'inciter la future victime à agir au plus vite ! Voici le début du message : "Cher client, en raison d'une mise à jour des règles de réservation, nous sommes obligés de demander une confirmation de carte supplémentaire pour garantir votre arrivée. Cette procédure ne prendra pas plus de 5 minutes. Vous avez 24 heures pour confirmer votre réservation, sinon elle sera annulée par le système de réservation lui-même."

D'après Shiran Guez, ce message "est rédigé de manière professionnelle et s'inspire de véritables interactions entre les hôtels et leurs clients."

Imaginez un instant : vous êtes à quelques heures de votre départ, vous recevez ce message directement de la part de l'hôtel et vous n'avez pas envie que votre week-end de rêve soit annulé, qu'est-ce que vous allez faire ? Une grande majorité de personnes va cliquer sur le lien et saisir ses infos bancaires. Les pirates l'ont bien compris et il y a clairement un taux de réussite beaucoup plus élevé qu'avec une attaque phishing classique.

Lorsque l'utilisateur clique sur le lien, il est redirigé vers une fausse page de paiements de Booking.com lui permettant de saisir ses numéros de carte bancaire. Ensuite, ces informations terminent entre les mains des pirates.

En réaction à mon précédent article, un porte-parole de Booking.com m'avait adressé un message (disponible en intégralité dans l'article mentionné ci-dessus) dans lequel on pouvait lire ceci : "En tant qu'entreprise de voyage responsable, nous sommes conscients des conséquences de telles escroqueries par des tiers malveillants pour notre entreprise, nos partenaires d'hébergement et nos clients. Nous révisons et renforçons constamment nos propres contrôles de sécurité, nous offrons des conseils et des formations à nos partenaires d'hébergement." - Malgré tout, cette technique sophistiquée continue de faire des victimes sur la plateforme.

Source

The post Phishing : avec ce faux site Booking.com, les pirates volent les cartes bancaires des clients ! first appeared on IT-Connect.