Une mise à jour de sécurité est disponible pour les utilisateurs de Grafana ! Elle corrige une vulnérabilité qui permet à un attaquant de bypasser l'authentification sur une instance Grafana qui s'appuie sur Azure Active Directory pour l'authentification. Faisons le point.
Grafana est un logiciel libre très populaire dont la fonction principale est d'effectuer de la visualisation de données. Par exemple, Grafana peut générer des graphiques ou des tableaux de bord à partir de données stockées dans une base de données. L'application Grafana peut être installée sur votre propre serveur ou utilisée en mode Cloud.
Grafana est impacté par une nouvelle faille de sécurité critique associée à la référence CVE-2023-3128 et un score CVSS v3.1 de 9.4 sur 10. Cette faille de sécurité permet de contourner l'authentification à l'application Grafana lorsque celle-ci s'appuie sur une authentification OAuth via Azure AD.
Dans le bulletin de sécurité officiel, on peut lire : "Grafana valide les comptes Azure Active Directory sur la base de l'email. Sur Azure AD, le champ de l'adresse électronique du profil n'est pas unique pour tous les tenants Azure AD. Cela peut permettre une prise de contrôle du compte Grafana et un contournement de l'authentification lorsque Azure AD OAuth est configuré avec une application Azure AD OAuth multi-tenants." - Cette vulnérabilité permet de prendre le contrôle total du compte en question.
Quelles sont les versions impactées ?
Tout d'abord, il faut savoir que les utilisateurs de Grafana Cloud sont déjà protégés de cette faille de sécurité. Pour ceux qui n'utilisent pas Grafana Cloud, il va falloir passer par une mise à jour puisque toutes les versions de Grafana supérieures à la version 6.7.0 sont impactées.
L'éditeur a mis en ligne des versions patchées pour plusieurs branches. Voici la liste des nouvelles versions :
Grafana 10.0.1 (ou supérieure)
Grafana 9.5.5 (ou supérieure)
Grafana 9.4.13 (ou supérieure)
Grafana 9.3.16 (ou supérieure)
Grafana 9.2.20 (ou supérieure)
Grafana 8.5.27 (ou supérieure)
Si la mise à jour n'est pas envisageable dans l'immédiat sur votre serveur, Grafana recommande de mettre en pratique deux mesures d'atténuation décrites dans le bulletin de sécurité.
Que ce soit à titre personnel ou professionnel, on est régulièrement amené à partager des copies de documents sensibles. Je dirais même que c'est encore plus fréquent à titre personnel où l'on peut être amené à communiquer une copie de sa carte d'identité, de son passeport, etc...
Toutefois, ces données seront par la suite stockées sur les serveurs d'une entreprise tierce et ils deviennent vulnérables à une éventuelle fuite de données : c'est ce qui peut arriver si l'entreprise en question est victime d'une cyberattaque. D'ailleurs, c'est ce qui est arrivé récemment aux clients du groupe Voyageurs du monde : 10 000 copies de passeports ont fuité à la suite d'une cyberattaque.
Pour limiter les conséquences d'une telle fuite de données, il convient d'ajouter un filigrane (ou watermark en anglais) à ses documents avant de les partager.
Si vous partagez une copie de votre carte d'identité ou de votre passeport avec un tiers et que ce document vient à fuiter, il pourrait être réutilisé à des fins malveillantes. Cela est vrai si le document est vierge, sans aucun filigrane. Typiquement, le document pourrait être utilisé pour tenter d'usurper votre identité.
Grâce au filigrane, on va pouvoir ajouter du texte sur le document. Prenons un exemple. Je souhaite obtenir un prêt immobilier, et on me demande une copie de ma carte d'identité. Avant d'envoyer ce document au conseiller bancaire, un certain Monsieur Dupont, je vais ajouter un filigrane sur ce document. Le texte pourrait être "Projet Maison - Partage M. Dupont" ou "Projet Maison - Date 08/06/2023".
Ainsi, si le document fuite et qu'une personne malveillante essaie de l'utiliser pour souscrire à un autre service à ma place en utilisant cette version, cela devrait, en principe, ne pas être possible. Grâce au filigrane, le document reste lisible, mais il est inutilisable pour un autre usage.
III. Comment ajouter un watermark à ses documents ?
Très bonne question, et ce n'est pas si facile que ça de trouver un logiciel gratuit permettant d'ajouter un filigrane à ses documents. Il y a beaucoup d'outils en ligne, mais je vous déconseille de les utiliser : que va devenir le fichier chargé sur les serveurs de l'outil en ligne ? Bonne question...! Si c'est pour ajouter un filigrane sur une copie d'une pièce d'identité, d'un passeport, il vaut mieux éviter.
Ensuite, il faut tenir compte d'une chose : on peut avoir affaire à un document au format PDF ou à une image (JPEG, PNG). Bien souvent, quand on scanne, notamment avec son mobile, on a le choix entre ses deux formats.
Voici quelques idées pour ajouter des filigranes à vos documents :
Sur un document PDF, les versions payantes de logiciels comme Adobe Acrobat ou PDFsam intègrent une fonction de filigrane, mais on peut utiliser la version gratuite de PDF Creator
Au moment de partager un document, certaines solutions permettent d'ajouter un filigrane sur la version partagée qu'il faudra envoyée via un lien de téléchargement (que l'on peut en plus protéger par un mot de passe) : Synology C2 Transfer, Dropbox, Box, etc.
Sur les images, on peut utiliser un éditeur d'image classique et ajouter du texte, ou une solution comme Canva
Si vous effectuez l'ajout d'un filigrane sur une image, celle-ci peut ensuite être imprimée au format PDF avant d'être envoyée.
Voyons quelques outils en pratique où je vais utiliser simplement le logo IT-Connect en guise d'exemple.
A. Avec PDF Creator
PDF Creator, dans sa version gratuite, permet l'ajout d'un filigrane. C'est plutôt cool et utile pour atteindre notre objectif. Ce logiciel est disponible sur cette page :
Une fois le document PDF ouvert dans PDF Creator, il faut créer un nouveau filigrane : onglet "Modifier", on clic sur la flèche à côté de "Filigrane" puis sur "Créer filigrane". Un assistant s'ouvre, on peut créer un filigrane en mode "Texte" : on indique le texte, on choisit la taille de police de manière à ce que le texte soit entier sur l'image (sans être trop petit) et on ajuste l'angle à "-45 degrés" pour qu'il soit en diagonale sur l'image. On peut aussi jouer sur l'opacité pour que le texte soit légèrement transparent, dans le cas où cela masquerait des informations importantes. Quand la configuration est effectuée, on valide avec "OK".
Un aperçu du document s'affiche dans PDF Creator. Si c'est OK, il ne reste plus qu'à sauvegarder, soit en écrasant la copie originale ou en créant un autre fichier.
Ci-dessous, un aperçu du fichier final, avec le filigrane. On peut voir que la version gratuite ajoute la mentionné "PDF Creator Trial" en bas à gauche.
Le document est protégé et prêt à être partagé avec votre partenaire.
B. Avec TSR Watermark Image
L'application TSR Watermark existe en version gratuite et payante. La version gratuite est suffisante pour ajouter un filigrane sur un ensemble d'images grâce au traitement par lot. Ce qui offre une alternative à PDF Creator pour traiter de l'image directement. L'inconvénient, comme le montre le résultat final de cette démo, c'est qu'il y a un copyright sur l'image (mais bon, c'est comme un second filigrane au final).
Vous pouvez télécharger ce logiciel en suivant le lien suivant :
Le premier onglet intitulé "Images" sert à choisir les images sources. Ici, on sélectionne toutes les images sur lesquelles ajouter le filigrane : on peut faire du traitement par lot sur l'ensemble des images. C'est pratique, car on peut stocker ses pièces originales dans un dossier et quand on a besoin de les envoyer, on refait un traitement par lot avec un nouveau filigrane.
La seconde étape dans l'onglet "Paramétrages" consiste à définir les propriétés du filigrane. On peut créer plusieurs profils différents. C'est ici que l'on spécifie le texte, la taille du texte, la rotation de l'image, l'opacité, etc... Pour avoir un résultat satisfaisant.
Dernière étape, l'onglet "Traitement et sauvegarde". Il suffit de choisir le répertoire de destination pour les fichiers avec filigrane et de cliquer sur "Démarrer".
Les images sont générées dans un nouveau dossier, chacune avec le filigrane. Voici un aperçu :
C. Avec PicPick
Pour finir, essayons d'ajouter un filigrane avec PicPick. Il s'agit de l'application gratuite que j'utilise pour réaliser mes copies d'écran. Ce qui veut dire qu'on peut avoir une seule application pour prendre des copies d'écran et ajouter des filigranes (même si la fonction est un peu limitée par rapport à ce que l'on a vu précédemment).
J'ai regardé du côté de l'application Greenshot, mais elle ne semble pas intégrer cette fonction. Quant à l'application Screenpresso, qui est aussi dans le même genre, il n'y a que la version "Pro" qui permet d'accéder à la fonction d'ajout d'un filigrane.
Parlons de PicPick.
Tout d'abord, il faut ouvrir une image dans l'application pour l'éditer. Puis, dans la section "Effets", on retrouve l'effet nommé "Filigrane".
Il est possible d'ajouter un filigrane sur l'image avec les paramètres basiques, si ce n'est qu'il manque la possibilité de faire une rotation. C'est dommage...! Par contre, il y a une option nommée "Ajout automatique d'un filigrane à la capture d'écran" qui permet d'ajouter ce texte à toutes les captures d'écrans. Cela peut être utile pour les copies d'écran en ajoutant un logo, car on peut créer un filigrane à partir d'une image, mais c'est un autre sujet.
On valide, et voilà le résultat sur cette image :
Il y aurait la possibilité de faire une rotation du filigrane, ce serait top, car cela permet de couvrir une plus grande surface sur le document.
IV. Conclusion
Je suis convaincu qu'avec un filigrane, les risques d'usurpation d'identité sont limités, car il sera plus difficile de réutiliser un document ayant fuité entre les mains d'une personne malveillante. Que ce soit avec l'une des applications évoquées dans cet article, ou une autre application, adoptez cette bonne pratique. D'ailleurs, si vous connaissez une autre application capable de remplir cette fonction, n'hésitez pas à partager l'information en commentaire.
En l'absence d'un logiciel, il reste possible de faire une copie papier du document, d'écrire dessus (dans le même esprit que le filigrane) puis de numériser cette version. Le principe reste le même.
Certains l'attendaient depuis longtemps et il commence à pointer le bout de son bec : le navigateur DuckDuckGo pour Windows est disponible en version beta pour tout le monde !
Dans le même esprit que le moteur de recherche DuckDuckGo, le navigateur pour Windows est livré avec un ensemble de mesures de protection activées par défaut. Son objectif est clair : DuckDuckGo veut protéger les utilisateurs (et leurs données) contre le tracking sur Internet, mais aussi contre les publicités ciblées, l'historisation des recherches ou encore le profilage.
Duck Player : un lecteur YouTube qui vous permet de regarder des vidéos YouTube sans publicités portant atteinte à la vie privée et qui évite que les vidéos visionnées n'aient un impact sur vos recommandations.
Blocage des traceurs : le blocage des traceurs va plus loin que ce qui est disponible dans Chrome et d'autres navigateurs. Notre protection contre le chargement de traceurs tiers, par exemple, bloque les traceurs cachés de sociétés telles que Google et Facebook qui se cachent sur d'autres sites web, avant même qu'ils n'aient une chance de se charger.
Chiffrement intelligent : pour sécuriser votre navigation sur Internet
Gestion automatique des fenêtres d'acceptation et refus de cookies : un outil qui sélectionne automatiquement les options les plus favorables à votre vie privée et masque les fenêtres contextuelles de consentement aux cookies.
Le bouton "Fire", qui brûle les données de navigation récentes en un seul clic. En complément, il existe également une option "Fireproof" très pratique pour les sites sur lesquels vous souhaitez rester connecté.
Protection des e-mails : fonction qui permet de masquer votre adresse électronique à l'aide d'adresses @duck.com uniques lorsque vous vous inscrivez en ligne.
Comme les autres navigateurs du marché, DuckDuckGo peut gérer vos mots de passe, et pour cela, il est possible d'importer votre coffre-fort existant : "Les nouveaux utilisateurs peuvent importer des favoris et des mots de passe d'autres navigateurs et gestionnaires de mots de passe."
Envie de tester ? Voici un lien de téléchargement direct depuis le site officiel :
Utilisateurs de VMware vCenter Server : vous allez devoir appliquer une mise à jour ! L'éditeur VMware a mis en ligne un correctif pour patcher plusieurs failles de sécurité sévères dans vCenter Server ! Faisons le point.
Bien connue des administrateurs d'infrastructures sous VMware, l'application vCenter Server est affectée par 4 failles de sécurité associées à une sévérité élevée : CVE-2023-20892, CVE-2023-20893, CVE-2023-20895 et CVE-2023-20894. À cela s'ajoute une faille de sécurité importante : CVE-2023-20896. Toutes ces vulnérabilités ont été découvertes par deux chercheurs en sécurité de chez Cisco Talos : Dimitrios Tatsis et Aleksandar Nikolic.
En exploitant ces vulnérabilités, un attaquant peut exécuter du code à distance sur le serveur ou bypasser l'authentification. Ces vulnérabilités ont été découvertes dans l'implémentation du protocole DCE/RPC au sein de VMware vCenter Server.
Les vulnérabilités CVE-2023-20892 et CVE-2023-20893 peuvent être exploitées à distance via le réseau par un attaquant non authentifié et mener à une exécution de code. Dans son bulletin de sécurité, VMware précise : "Un acteur malveillant disposant d'un accès réseau à vCenter Server peut exploiter ce problème pour exécuter du code arbitraire sur le système d'exploitation sous-jacent qui héberge vCenter Server."
Par ailleurs, sur un serveur VMware vCenter vulnérable, les attaquants sont susceptibles d'exploiter la faille de sécurité CVE-2023-20895. Elle correspond à une corruption de la mémoire et à la lecture d'informations "out-of-bounds", ce qui lui permet d'outrepasser l'authentification.
VMware recommande d'installer les mises à jour dès que possible. Il s'avère que plusieurs versions sont affectées :
VMware vCenter Server 8.0, le correctif est inclus dans la version 8.0 U1b
VMware vCenter Server 7.0, le correctif est inclus dans la version 7.0 U3m
Deux anciennes versions sont aussi affectées : VMware Cloud Foundation vCenter Server 5.X et VMware Cloud Foundation vCenter Server 4.X.
Depuis lundi 19 juin 2023, il y a de nombreux administrateurs qui se plaignent sur Internet au sujet de problèmes avec les applications Microsoft 365, et plus particulièrement Outlook et Teams : que se passe-t-il ?
Depuis quelques jours, Microsoft Outlook donne du fil à retordre à de nombreux administrateurs système ! À en croire les signalements sur Reddit ou différents forums (comme ici), Outlook est affecté par plusieurs problèmes : il ne veut plus démarrer, il se bloque après l'ouverture, il met du temps à envoyer les e-mails, ou encore, il affiche que la licence est invalide.
Même si Microsoft Outlook semble être l'application la plus impactée par cet incident, d'autres applications sont affectées : Teams, Word et Excel. Avec à chaque fois le même résultat : l'application ne se lance pas, ou elle freeze complètement au démarrage.
À lire les témoignages, les situations sont nombreuses et variées, mais il y a clairement une vague d'incidents depuis le début de la semaine. Tous les tenants n'ont pas l'air affecté, et sur un même tenant, tous les utilisateurs ne sont pas impactés... Et ce qui n'arrange pas les choses, c'est que Microsoft n'a pas réagi en public : alors, que faire ?
Si l'on fait une compilation des solutions proposées sur Reddit, et qui fonctionnent pour certains administrateurs système, on obtient la liste suivante :
S'assurer que les applications Outlook, SharePoint ou autres applications Microsoft 365 sont activées pour les utilisateurs dans le tenant Azure AD,
Supprimer et réajouter les licences Microsoft 365 aux utilisateurs concernés,
Désactiver le protocole IPv6 dans les propriétés de la carte réseau du poste de travail
Sinon, en attendant, il convient d'utiliser les applications en version Web pour permettre aux utilisateurs de travailler.
Lundi, Microsoft a tout de même mis en ligne une page de support intitulée "Outlook démarre lentement et se bloque sur l'écran d'accueil lorsque REST to MAPI est activé de manière inattendue", mais on ne sait pas s'il s'agit d'un autre problème ou s'il s'agit d'une réponse apportée aux nombreux incidents.
Êtes-vous confronté à ces dysfonctionnements sur Microsoft 365 ?
