Grosse alerte de sécurité : la bibliothèque "liblzma" utilisée par de nombreuses distributions Linux est victime d'une compromission de la chaîne d'approvisionnement : les dernières versions contiennent du code malveillant qui permet de déployer une porte dérobée sur le système. Faisons le point sur cette menace.
La bibliothèque liblzma appelée aussi XZ Utils est présente dans de nombreuses distributions Linux, notamment Arch Linux, Fedora, Debian, OpenSUSE, Alpine Linux, etc... Il s'agit d'une bibliothèque de compression de données susceptible d'être utilisées par d'autres applications.
Il s'avère que deux versions de la bibliothèque liblzma sont impactées par une attaque de type supply chain : 5.6.0 ou 5.6.1. La version 5.6.0 date de fin février tandis que la version 5.6.1 a été publiée le 9 mars 2024. Ces deux versions du paquet XZ contiennent du code malveillant qui a été très bien dissimulé par les auteurs de cette attaque, par l'intermédiaire d'un fichier m4 avec du code obfusqué. Il est visible uniquement lorsque le paquet est téléchargé en intégralité, donc il est invisible sur Git, par exemple.
Andres Freund, ingénieur logiciel chez Microsoft, a fait la découverte de ce problème de sécurité en menant des investigations sur une machine Debian Sid, après avoir constaté que les connexions SSH étaient anormalement longues.
Si une version compromise du paquet XZ est installée sur une machine, alors une porte dérobée est également déployée. Celle-ci offre un accès distant à l'attaquant qui pourrait se connecter à votre machine par l'intermédiaire d'une connexion SSH, sans avoir besoin de connaître vos identifiants (car il y a un lien entre systemd et liblzma).
Sachez que ceci est considéré comme une vulnérabilité et que la référence CVE pour cette faille de sécurité critique est la suivante : CVE-2024-3094. Sans surprise, un score CVSS v3.1 de 10 sur 10 a été associé à cette vulnérabilité.
Quels sont les systèmes affectés ?
Même si plusieurs distributions telles que Debian, Fedora ou encore Arch Linux sont concernées, ceci n'affecte pas toutes les versions. En effet, ceci concerne avant tout les versions en cours de développement, dont Debian Sid qui est la future version stable de Debian.
Pour Fedora, sachez que Fedora Rawhide et Fedora 41 sont affectées par ce problème de sécurité. Au sein du bulletin de sécurité de Red Hat, nous pouvons également lire ceci : "Aucune version de Red Hat Enterprise Linux (RHEL) n'est concernée.", ce qui n'est pas surprenant.
Potentiellement, tout autre système avec le paquet XZ en version 5.6.0 ou 5.6.1 est également affecté, donc vérifiez vos machines. Dans ce cas, il convient d'effectuer un downgrade vers la version 5.4.6.
Cette commande doit permettre d'obtenir la version :
xz -version
Pour approfondir le sujet, vous pouvez lire cet article intéressant qui donne des détails techniques supplémentaires, ainsi que l'origine de cette compromission : un nouveau développeur qui est venu épauler le créateur de la bibliothèque XZ Utils.
Vous avez besoin d'un accès VPN pour naviguer sur Internet ? Sachez que l'association FDN (French Data Network) propose un VPN, en accès libre, ouvert à toutes et tous, et totalement gratuit. Voici ce qu'il faut savoir.
La FDN est un fournisseur d'accès à Internet associatif, créé en juin 1992. Elle s'appuie sur un réseau de bénévole pour fonctionner et mettre à disposition plusieurs centaines de lignes Internet (ADSL, VDSL et FTTH) ainsi qu'un accès VPN.
Le service gratuit présenté dans cet article n'est pas nouveau, mais il y a quelques jours, l'association FDN en a fait la promotion sur son site Internet. Si la FDN propose un accès VPN, c'est parce qu'elle défend un certain nombre de valeurs et de principes liés à la liberté et la protection de la vie privée en ligne. Elle veut aussi vous permettre de trouver des alternatives aux "grandes plateformes du numérique", pour reprendre l'expression utilisée sur le site fdn.fr.
En accédant au site vpn-public.fdn.fr, vous pourrez obtenir toutes les informations nécessaires quant à l'utilisation de ce VPN et à son fonctionnement. C'est sur ce même site que vous pourrez récupérer le fichier de configuration et le certificat permettant de s'authentifier auprès du serveur OpenVPN de l'association FDN.
Ce VPN vous permettra de contourner la censure ou les éventuelles limitations de votre fournisseur d'accès à Internet. Néanmoins, l'anonymat n'est pas garanti même si la connexion est sécurisée grâce au tunnel VPN au sein duquel les flux sont chiffrés. Ceci différencie le VPN de FDN en comparaison d'autres services comme CyberGhost VPN, NordVPN, Express VPN, etc... où c'est un argument commercial.
"Le VPN public de FDN vous permet seulement de retrouver du réseau propre derrière une connexion potentiellement sale ou bridée (un FAI commercial peu fréquentable, un hotspot wifi dans une gare…) et de vous protéger d’éventuelles écoutes sur le réseau que vous utilisez pour vous connecter (votre FAI commercial, par exemple) en chiffrant les échanges entre votre machine et FDN.", peut-on lire sur le site officiel.
Il est à noter que vous ne pouvez pas bénéficier d'une adresse IP fixe, mais seulement une adresse IP dynamique. De plus, le débit maximal que peuvent atteindre les clients VPN connectés simultanément au VPN public de FDN est limité à 100 Mbps.
Cisco alerte ses clients sur la nécessité de bien configurer leur accès Remove Access VPN puisqu'ils sont pris pour cible par les pirates qui s'appuient sur une méthode bien connue : le password spraying. Faisons le point.
Les accès distants configurés sur les appareils Cisco Secure Firewall sont pris pour cible par une campagne d'attaques, lors de laquelle les pirates utilisent la méthode de password spraying. Cette technique, que l'on appelle en français la pulvérisation de mot de passe, consiste à tenter de se connecter à plusieurs comptes différents avec le même mot de passe, puis si cela échoue, un autre mot de passe est testé, et ainsi de suite. Les comptes avec un mot de passe faible ou ayant fait l'objet d'une fuite de données sont particulièrement vulnérable à cette attaque.
Le problème, c'est que cette attaque peut être à l'origine d'un déni de service puisque le compte ciblé est susceptible de se verrouiller s'il y a trop de tentatives infructueuses. De ce fait, le compte utilisateur ne peut plus être utilisé pendant un laps de temps correspondant à la durée du verrouillage. Dans ce cas, l'applicationCisco Secure Client (AnyConnect) indique à l'utilisateur qu'il n'est pas en mesure de se connecter au VPN.
Au-delà de ce symptôme, Cisco mentionne que cette attaque génère de nombreux événements dans le journal à cause des échecs d'authentification.
Il est important de noter que d'après les chercheurs en sécurité de Cisco Talos, les équipements Cisco ne sont pas les seuls ciblés par cette campagne malveillante. "Talos a constaté que ces attaques ne se limitent pas aux produits Cisco, mais également aux concentrateurs VPN de tiers.", peut-on lire sur le site de Cisco.
D'après les informations obtenues par le site BleepingComputer, il pourrait s'agir d'actions effectuées par le botnet Brutus. Il est associé à 20 000 adresses IP différentes au niveau mondial et Brutus attaque les équipements Cisco, Fortinet, Palo Alto et SonicWall.
Les conseils de Cisco pour vous protéger
La publication de Cisco intègre plusieurs recommandations que les administrateurs peuvent appliquer pour mieux détecter ces attaques et s'en protéger.
Envoyer les journaux vers un serveur SYSLOG distant de façon à pouvoir analyser les événements et détecter les comportements suspects.
Empêcher l'utilisation des profils et tunnels par défaut (DefaultRAGroup et DefaultWEBVPNGroup) pour l'accès à distance par défaut, en les faisant pointer vers un serveur AAA sinkhole (destiné à de l'analyse, capture d'événements).
Utilisation de la commande "shun" pour bloquer manuellement les adresses IP malveillantes, ce qui implique d'analyser les logs en amont.
Configurer les ACL pour filtrer les adresses IP publiques non autorisées à initier des connexions VPN.
Éviter d'utiliser la méthode d'authentification traditionnelle, afin de prioriser l'authentification par certificat pour le RAVPN.
Dans ce tutoriel, nous allons apprendre à désinstaller une mise à jour sur Windows 11 ! Alors, vous allez me dire, mais pourquoi chercher à désinstaller une mise à jour ? En général, nous cherchons plutôt à installer les dernières mises à jour, non ?
Effectivement, mais il y a souvent (un peu trop souvent, même) des problèmes liés à l'installation d'une mise à jour Microsoft, que ce soit sur Windows 11 ou une autre version. Malheureusement, dans certains cas, ceci nous conduit à désinstaller une mise à jour de la machine en attendant une meilleure solution... Même si cette mise à jour sera probablement réinstallée par la suite.
II. Désinstaller une mise à jour avec l'interface graphique
Sur votre PC, ouvrez le menu Démarrer afin d'accéder aux Paramètres.
1 - Une fois que la fenêtre des paramètres est affichée, cliquez sur "Windows Update" dans le menu latéral positionné sur la gauche.
2 - Cliquez sur "Historique de mise à jour" dans la section "Windows Update".
Vous voici sur une page où vous avez la liste de toutes les mises à jour installées sur votre machine. C'est l'occasion de vérifier si la mise à jour que vous incriminez est bien présente. Ensuite, descendez tout en bas de la page jusqu'à trouver le lien "Désinstaller des mises à jour". Cliquez dessus.
Si vous êtes sur une version de Windows 11 antérieure à la version 23H2, une autre fenêtre s'ouvre, comme ceci :
1 - Sélectionnez la mise à jour à désinstaller dans la liste.
2 - Cliquez sur "Désinstaller".
3 - Cliquez sur "Oui" pour valider la désinstallation de la mise à jour.
Sinon, si vous utilisez Windows 11 23H2 (ou une version plus récente), vous allez arriver sur une fenêtre semblable à celle ci-dessous.
Sur le même principe, recherchez la mise à jour à désinstaller dans la liste, puis cliquez sur "Désinstaller" une première fois, puis, une seconde fois.
Patientez le temps de la désinstallation de la mise à jour et redémarrez votre machine lorsque Windows vous le propose. Suite au redémarrage, votre machine doit être plus "stable" qu'avant la désinstallation de la mise à jour problématique.
III. Désinstaller une mise à jour en ligne de commande
Désormais, nous allons voir comment désinstaller une mise à jour Windows 11 à partir de la ligne de commande, grâce à plusieurs outils. Ouvrez une console PowerShell en tant qu'administrateur sur votre machine et suivez la suite de cet article.
Avant de commencer, sachez qu'en ligne de commande, vous pouvez obtenir la liste des dernières mises à jour installées avec ces différentes commandes :
# Avec wmic
wmic qfe list brief /format:table
# Avec PowerShell
Get-WmiObject -Class win32_quickfixengineering
Get-CimInstance -Class win32_quickfixengineering
Voici un exemple de sortie :
A. Méthode n°1 : wusa.exe
Tout d'abord, sachez que pour supprimer une mise à jour en ligne de commande, vous pouvez utiliser l'outil natif et officiel pour interagir avec Windows Update : "wusa.exe". Pour désinstaller une mise à jour, la syntaxe de la commande est la suivante :
La commande ci-dessus va permettre de désinstaller la mise à jour KB5035853, sans redémarrer l'ordinateur à la fin de l'opération. L'option "log" est facultative, mais elle permet de générer un événement (log) sur la machine locale et visible via l'Observateur d'événements.
B. Méthode n°2 : DISM
DISM est un autre outil intégré à Windows et dans le cas présent, c'est une alternative à wusa.exe. L'outil DISM est capable d'agir sur une image Windows en ligne ou hors ligne, notamment pour réparer les fichiers système. Il sert aussi à gérer les fonctionnalités et les mises à jour, donc nous allons pouvoir le solliciter pour désinstaller une mise à jour.
Pour lister les paquets installés (fonctionnalités à la demande, mise à jour, etc.) on va utiliser l'option "/Get-Packages" de DISM. En effectuant un filtre sur la chaîne "Package_for", nous allons pouvoir récupérer seulement les mises à jour. Cela tombe bien, c'est ce qui nous intéresse dans le cas présent.
Ici, la principale difficulté, c'est de trouver le nom de la mise à jour à désinstaller, car il n'y a pas le nom "KBXXXXXX" pour toutes les mises à jour. Il faut essayer de faire le lien entre le nom "Package_for_" et le numéro de KB que l'on recherche. Pour cela, on peut s'aider du numéro de version à la fin du nom du paquet, plus il est haut, plus la mise à jour est récente, et de la date d'installation. On retrouve aussi la date d'installation dans l'historique d'installation des mises à jour.
Dès que nous avons pu identifier notre cible, nous pouvons passer à la désinstallation de la mise à jour.
Au final, la commande DISM ressemble à la commande WUSA, sauf que les noms des paramètres sont un peu différents. Voici un exemple pour supprimer le paquet "Package_for_RollupFix~31bf3856ad364e35~amd64~~22621.3296.1.6" (sélectionné au hasard dans la liste).
Au bout de quelques minutes, la mise à jour est supprimée de votre machine ! Pour que l'opération soit effectuée silencieusement, vous pouvez inclure le paramètre "/quiet". Vous l'aurez compris, DISM est moins évident à utiliser que wusa.exe lorsqu'il s'agit de désinstaller une mise à jour, mais il représente une corde supplémentaire à notre arc...
C. Méthode n°3 : PowerShell
Pour finir, nous allons utiliser une troisième méthode basée sur l'utilisation du module PowerShell nommé PSWindowsUpdate. Ce module permet de gérer Windows Update via des commandes PowerShell. Il est disponible sur la PowerShell Gallery donc nous pouvons l'installer facilement :
Install-Module -Name PSWindowsUpdate
Une fois que l'installation du module est effectuée, vous pouvez obtenir l'historique des mises à jour installées avec cette commande :
Get-WUHistory
Ensuite, vous pouvez utiliser le cmdlet "Remove-WindowsUpdate" pour supprimer la mise à jour KB5035853 (adaptez en fonction de la mise à jour ciblée) :
En suivant l'une des méthodes évoquées dans ce tutoriel, vous devriez pouvoir désinstaller la mise à jour de votre choix sur votre PC Windows 11, ou Windows 10. En effet, nous venons de voir 4 méthodes différentes pour désinstaller une mise à jour ! Sachez que vous avez aussi l'opportunité d'effectuer la désinstallation à partir du démarrage avancé de Windows (Paramètres > Système > Récupération > Démarrage avancé > Redémarrer maintenant).
Si vous utilisez Microsoft 365 Basic, voici une bonne nouvelle pour vous : sans payer plus cher, vous allez bénéficier de fonctionnalités supplémentaires pour OneDrive, dont une meilleure protection contre les ransomwares, ainsi qu'un coffre-fort personnel étendu. Faisons le point sur cette annonce !
Par l'intermédiaire d'un nouvel article, Microsoft a annoncé un ensemble de nouvelles fonctionnalités orientées "Sécurité" pour ses utilisateurs ayant souscrit à l'offre Microsoft 365 Basic. Il s'agit d'une offre d'abonnement proposée aux particuliers (adapté pour une seule personne), facturée 2 euros par mois (ou 20 euros par an) qui inclut 100 Go de stockage OneDrive.
Protection renforcée contre les ransomwares
Désormais, Microsoft va mieux vous protéger contre les ransomwares, dans le cas où l'acte malveillant affecte les données stockées sur votre OneDrive. Pour cela, OneDrive va surveiller l'activité sur votre compte et si un comportement suspect est détecté, vous pourrez restaurer facilement vos données à une date antérieure. "Lorsque Microsoft 365 détecte une attaque de ransomware, vous recevez une notification sur votre appareil et un courriel de Microsoft vous alertant de la menace potentielle.", précise Microsoft.
Plus de limites avec le coffre-fort personnel
Par ailleurs, vous pouvez mieux profiter de votre coffre-fort personnel ("Personal Vault") dans OneDrive. Pour rappel, il s'agit d'un dossier présent dans votre OneDrive qui bénéficie d'une sécurité supplémentaire : pour accéder au contenu de ce dossier, vous devez vous authentifier avec du MFA (authentification multifacteurs). De plus, il se verrouille automatiquement après 20 minutes d'inactivité. Ainsi, c'est un emplacement adapté pour stocker vos données sensibles, telles que la photocopie de votre passeport ou votre carte d'identité.
Le problème, c'est qu'avec l'offre Microsoft 365 Basic, ce coffre-fort ne pouvait contenir que 3 fichiers. Microsoft a décidé de lever cette limite. Vous pouvez exploiter ce coffre-fort personnel comme vous le souhaitez, dans la limite de 100 Go de stockage (ce qui correspond au quota OneDrive associé à cette offre).
Ce n'est pas tout...
Enfin, Microsoft a ajouté d'autres nouvelles fonctionnalités :
Les abonnés à Microsoft 365 Basic ont accès à des options de partage avancées puisqu'il est possible d'indiquer une date d'expiration sur un partage, mais aussi de définir un mot de passe pour protéger l'accès au partage.
À partir d'un appareil Android ou d'un iPhone, et à condition d'avoir la dernière version de l'application OneDrive, vous pouvez synchroniser vos dossiers et fichiers en mode hors connexion. Ceci signifie que vous pouvez accéder à ces documents même lorsque vous ne disposez pas de connexion à Internet.