Le géant de l'informatique Acer a officialisé une fuite de données de 160 Go, faisant suite au piratage d'un serveur utilisé par les techniciens de réparation.
Cette annonce officielle de la part d'Acer fait suite à la mise en ligne d'une annonce un peu spéciale sur un forum de hacking populaire : un pirate a mis à vendre 160 Go de données qu'il prétend avoir volé à Acer à la mi-février 2023. Désormais, cette fuite de données est avérée.
D'après le pirate informatique à l'origine de cette mise en vente, les données volées correspondent à des manuels techniques, des documentations sur les produits Acer (smartphones, tablettes, ordinateurs portables, écrans), des logiciels, des images BIOS, des fichiers ISO, des informations sur l'infrastructure, ainsi que des clés de produits numériques de remplacement (étant injectées dans le BIOS de la machine). Comme souvent, le pirate a mis en ligne un échantillon de données pour prouver qu'il disposait bien de ces données. En l'occurrence ici, il s'agit de documents relatifs à l'écran Acer V206HQL.
Le pirate informatique va vendre les données au plus offrant, et il sera nécessaire de payer en utilisant la cryptomonnaie Monero. Un classique puisque cette cryptomonnaie est difficilement traçable.
Même si l'on ne sait pas exactement s'il y a des documents confidentiels dans cette fuite de données, Acer affirme qu'après avoir mené une enquête, cet incident de sécurité n'a pas eu d'impact sur les données des clients. Il s'agit de données volées sur un serveur de fichiers utilisés par les techniciens, ce qui est cohérent compte tenu de la liste publiée par le pirate informatique.
Microsoft continue de durcir la configuration par défaut de l'application Excel. Désormais, ce sont les add-ins XLL non vérifiés qui seront bloqués par défaut. Faisons le point sur ce changement.
On pouvait s'attendre à ce changement puisqu'il était dans la feuille de route de Microsoft 365 depuis le mois de janvier, associé à l'ID 115485. Avec ce changement, l'objectif de la firme de Redmond est clair : renforcer la sécurité du poste de travail en bloquant certainesattaques, notamment celles initiées à partir d'un document malveillant. Voici ce que dit Microsoft : "Afin de lutter contre le nombre croissant d'attaques de logiciels malveillants au cours des derniers mois, nous mettons en œuvre des mesures qui bloqueront les modules d'extension XLL provenant de l'internet."
Ce changement s'applique à la suite Microsoft Office distribuée via Microsoft 365, et cela pour tous les tenants à l'échelle mondiale d'ici la fin du mois de mars ! Dans un premier temps, ce changement sera appliqué aux postes de travail qui utilisent une suite Office configurée sur l'un des canaux suivants : Current, Monthly Enterprise et Semi-Annual Enterprise. En résumé, Microsoft a entamé le déploiement de ce changement et il sera finalisé d'ici la fin du mois de mars.
Lorsque ce changement est appliqué à votre tenant, une alerte s'affichera lorsqu'un utilisateur essaiera d'activer du contenu à partir d'une source non fiable, à savoir Internet.
Les add-ins XLL, régulièrement utilisés par les pirates
Grâce aux add-ins XLL, les développeurs peuvent ajouter de nouvelles fonctionnalités à Excel, mais les cybercriminels utilisent cette méthode pour charger du code malveillant via Excel. Sans ce blocage par défaut, il était plus facile pour les attaquants de piéger les utilisateurs avec une campagne de phishing et de réussir à infecter le poste de travail.
Plusieurs rapports disponibles sur Internet évoquent des campagnes d'attaques basées sur l'utilisation d'un XLL malveillant. Dans un rapport publié en décembre 2022 par Cisco Talos, on peut lire : "Leur utilisation s'est considérablement accrue au cours des deux dernières années, car de plus en plus de familles de logiciels malveillants ont adopté les XLL comme vecteur d'infection".
Depuis plusieurs semaines, le réseau social Twitter subit des pannes. Dernier exemple en date : lundi 6 mars avec les redirections de liens.
Ce lundi 6 mars 2023, Twitter a subi une nouvelle panne et ce sont les redirections de liens internet qui n'ont pas fonctionné pendant environ une heure, en soirée. Avec la suppression de nombreux postes par ElonMusk, on pouvait s'attendre à ce qu'il y ait des problèmes : c'est bien le cas. Mais le nouveau PDG va-t-il les résoudre ? "Il est possible que certains aspects de Twitter ne fonctionnent pas comme attendu en ce moment. Nous avons fait un changement en interne qui a eu des conséquences inattendues. Nous y travaillons et nous donnerons des informations quand ce sera réparé", a déclaré le compte officiel @TwitterSupport.
Le problème a impacté énormément d'utilisateurs, et il y a eu jusqu'à 8 000 alertes recensées sur le site DownDetector. Lors du clic sur un lien, une page d'erreur blanche apparaît avec ce message :"Votre API (interface de programmation, NDLR) actuelle ne comprend pas l'accès à cette page".
Pour rappel, une API (Application Programming Interface) est un ensemble de règles et de protocoles qui permettent à différents logiciels de communiquer entre eux. Elle définit les méthodes de communication, les formats de données et les fonctions disponibles pour l'utilisation de l'application. En résumé, une API permet à un développeur de créer une application qui interagit avec une autre application ou un service en utilisant une interface standardisée.
Cette même API va devenir payante, ce qui va encore détacher le réseau social des développeurs et donc des utilisateurs. Selon Insider Intelligence, l'année dernière, il y avait plus de 368 millions d'utilisateurs mensuels sur Twitter.Ils prévoient une perte de 32 millions entre 2022 et 2024.
Cela peut s'expliquer par les nombreuses pannes, ainsi que le contenu de moins en moins modéré, mais aussi par les licenciements en masse puisque Twitter est passé de 7 500 employés à 2000 employés, depuis le rachat de Twitter par ElonMusk en octobre 2022. Le Wall Street Journal informe que la société a perdu 40% de son chiffre d'affaires avec le départ des annonceurs. La situation est difficile pour Twitter.
La puce M2 est sortie il y a un an donc il est temps pour Apple de proposer une nouvelle version de sa puce : Apple M3 ! D'après les dernières informations, elle devrait sortir en 2023 !
Depuis la création des puces Apple Silicon en novembre 2020, il n'y a plus que les produits de la marque à la Pomme qui sont attendus lors des Keynotes. Même si l'on attend également le casque de réalité mixte, dont on entend de plus en plus parler... On attend beaucoup des nouvelles puces d'Apple !
Mark Gurman, un expert reconnu en matière d'actualité de la société Apple, a envisagé une mise à jour de la gamme actuelle de Mac, ainsi que la sortie d'un nouvel iMac en remplacement du modèle de 2021. Selon un article publié sur Bloomberg le 5 mars, il prévoit que le nouvel iMac sera équipé de la puce M3, la nouvelle version de la puce d'Apple.
Des rumeurs circulent depuis un certain temps à propos de la sortie de la puce M3 en 2023. Ces spéculations ont été mentionnées pour la première fois fin 2022, lorsqu'il a été suggéré que la prochaine génération du SoC (System on a Chip) serait lancée simultanément avec de nouveaux produits Apple. Ces rumeurs ont été relayées à l'époque par Mark Gurman, encore lui.
Les caractéristiques techniques de ce nouveau SoC demeurent encore inconnues. Toutefois, on pense que la technologie de gravure atteindra les 3 nanomètres, soit une amélioration par rapport à la génération précédente M2 qui utilisait une gravure de 5 nanomètres. Cette finesse accrue permettra d'installer plus de transistors sur une même surface. Pour comparer, la puce M2 dispose de 20 milliards de transistors, tandis que la M2 Ultra en possède 67 milliards.
Pour Mark Gurman, l'iMac équipé de la puce M3 devrait être commercialisé au cours du second semestre de 2023. Le journaliste suppose également que cette puce M3 sera présente dans la prochaine version du MacBook Air 13 pouces. La présentation officielle du SoC est quant à elle attendue à la WDC (Worldwide Developers Conference) prévue en juin, événement lors duquel Apple avait déjà présenté les puces M1 et M2 dans le passé.
Dans ce tutoriel, nous allons apprendre à sauvegarder un contrôleur de domaine Active Directory avec l'outil Windows Server Backup intégré à Windows Server.
Bien que la majorité des entreprises soient équipées d'outils de sauvegarde tiers, il ne faut pas oublier la présence de Windows Server Backup, inclus à Windows Server et utilisable sans coût supplémentaire. Ainsi, vous pouvez réaliser le strict minimum en matière de sauvegarde pour votre Active Directory : ce qui est indispensable.
II. Pourquoi et comment sauvegarder l'Active Directory ?
A. Pourquoi sauvegarder l'Active Directory ?
Lorsqu'un Active Directory est présent dans une entreprise, il devient un élément à la fois central et critique. C'est pour cette raison que l'on recommande de mettre en place au moins deux contrôleurs de domaine pour assurer une haute disponibilité du service d'annuaire et pérenniser la base de données puisque chaque DC en contient une copie.
Si l'Active Directory est hors ligne, injoignable, les conséquences sont désastreuses car les services d'authentification sont inopérants. Par conséquent, il n'est plus possible d'ouvrir de sessions, d'accéder à des applications, à des ressources, etc.
Même si on met en oeuvre plusieurs contrôleurs de domaine, il est indispensable de réaliser une sauvegarde de l'Active Directory pour se protéger contre les cyberattaques et les incidents majeurs (corruption de la base Active Directory, par exemple).
Il est recommandé de sauvegarder au moins deux contrôleurs de domaine, au moins une fois par jour.
B. Comment sauvegarder l'Active Directory ?
Pour sauvegarder l'Active Directory, nous avons donc la possibilité d'utiliser Windows Server Backup, ou en français, la Sauvegarde Windows Server, ainsi que des outils tiers de chez Veeam, Nakivo, HornetSecurity (Altaro), etc... et Azure Backup pour une sauvegarde externalisée dans Azure. D'ailleurs, il me semble intéressant d'utiliser ces outils conjointement : l'un n'empêche pas l'autre, et cette approche devrait plaire aux amateurs de la méthode "ceinture + brettelles".
Windows Server Backup est capable de sauvegarder les données d'une machine et l'état du système. Ni plus ni moins. Autrement dit, ce n'est pas un outil capable de faire de la sauvegarde de machines virtuelles complètes.
L'outil de sauvegarde Windows Server Backup présente l'avantage d'être maintenu par Microsoft, et donc d'être pris en charge par Microsoft, au même titre que le système Windows Server et l'Active Directory. Dans le cas où il sera nécessaire de solliciter le support de Microsoft, ce sera forcément un avantage. En tout cas, en principe.
Dans la suite de cet article, nous allons mettre en œuvre pour sauvegarder un contrôleur de domaine, mais ce principe peut s'appliquer à des serveurs qui hébergent d'autres rôles.
Si vous le pouvez, orientez-vous vers une solution permettant les sauvegardes immuables (que l'on ne peut pas modifier), ce qui permet de se protéger des actes malveillants. Sinon, vous pouvez avoir un contrôleur de domaine supplémentaire dans le Cloud (sur Azure, par exemple), et le sauvegarder dans le Cloud, ce qui permet en même temps d'avoir une sauvegarde externalisée.
III. Installer Windows Server Backup
Pour installer Windows Server Backup, nous avons l'embarras du choix comme bien souvent... En mode graphique, voici ce qu'il faut choisir :
Sinon, en PowerShell, voici la commande à exécuter :
Après avoir installé la fonctionnalité, et avant d'aller plus loin, nous devons ajouter et initialiser le disque de sauvegarde sur le DC. Dans mon exemple, il s'agit d'un disque virtuel dédié, rattaché à la VM, et que j'initialise à partir de Windows Admin Center.
Ce disque peut tout à fait être initialisé avec la console "Gestion des disques" ou encore en ligne de commande avec diskpart.
IV. Sauvegarder l'AD avec Windows Server Backup
La fonctionnalité étant installée, passons à sa configuration avec pour objectif la sauvegarde d'un contrôleur de domaine Active Directory.
Sur un serveur en mode Core, nous pouvons utiliser en local l'exécutable wbadmin pour configurer la sauvegarde (Doc Microsoft). Sinon, à distance, nous pouvons utiliser une console MMC avec le composant "Sauvegarde Windows Server". Dans ce cas, il faudra configurer le pare-feu pour activer les règles du groupe "Gestion à distance des journaux des événements" grâce à la commande PowerShell suivante :
Enable-NetFirewallRule -DisplayGroup "Gestion à distance des journaux des événements"
Ensuite, nous avons la possibilité d'affiner la règle pour autoriser uniquement le serveur de gestion :
Set-NetFirewallRule -DisplayGroup -DisplayGroup "Gestion à distance des journaux des événements" -RemoteAddress "IP du serveur à autoriser"
Sinon, la console "Sauvegarde Windows Server" est utilisable en local directement sur un serveur doté d'une interface graphique.
Commençons par cliquer sur "Planification de sauvegarde" en haut à droite.
Poursuivons en cliquant sur "Suivant".
L'étape "Sélectionner la configuration de la sauvegarde" apparaît. On sélectionne "Serveur complet (recommandé)".
Ensuite, l'heure et la fréquence de la sauvegarde doivent être définit. Dans cet exemple, on sélectionne "Tous les jours" à 02:00.
Puis, nous devons choisir la destination de la sauvegarde. Il est recommandé d'utiliser l'option "Sauvegarder vers un disque dur dédié aux sauvegardes". Bien que ça peut être tentant de choisir la dernière option pour stocker la sauvegarde sur un espace partagé (sur un NAS, par exemple), ce n'est pas recommandé car, avec ce mode, l'outil conserve une seule sauvegarde et il écrase la précédente à chaque fois...!
Puisque l'on souhaite effectuer la sauvegarder sur un disque dédié, il convient de choisir le disque à l'étape suivante. S'il s'agit d'une machine virtuelle, il peut s'agir d'un disque virtuel attaché directement à la VM, et dédié à ces sauvegardes.
Un message d'avertissement car précédemment on a indiqué que l'on souhaitait sauvegarder le serveur complet, ce qui signifie que l'on souhaite inclure à la sauvegarde le disque de sauvegarde en lui-même. En cliquant sur "OK", on donne notre accord à l'outil de sauvegarde pour exclure le disque du job de sauvegarde. Ensuite, il faudra valider une seconde fois pour indiquer que l'on est d'accord que le disque soit formaté (information importante !).
Un résumé s'affiche, cliquons sur "Terminer" pour finaliser la création de la tâche.
Voilà, c'est fait, cliquons sur "Fermer" pour finaliser.
Lorsque la sauvegarde sera effectuée, selon le planning établit, le statut sera visible à partir de la console de Windows Server Backup.
Par ailleurs, suite à l'exécution de la tâche de sauvegarde, un événement sera généré sur le serveur local et visible dans l'Observateur d'événements de Windows. Le journal correspondant est visible à cet emplacement :
Journaux des applications > Microsoft > Windows > Backup > Operational
Dans l'exemple ci-dessous, on remarque un événement avec l'ID "4" et le statut "L'opération de sauvegarde s'est terminée correctement".
V. Conclusion
Ce contrôleur de domaine bénéficie d'une sauvegarde ! Maintenant, cette opération doit être répétée au moins sur un autre contrôleur de domaine de votre environnement.
En ce qui concerne la restauration de la sauvegarde, en cas de crash, c'est une opération sensible et à utiliser en derniers recours. Dans certains cas, on peut être amené à restaurer la sauvegarde d'un contrôleur de domaine, et on peut imaginer plusieurs scénarios :
Un DC hors service dans un environnement multi-DC ?
Un DC hors service dans un environnement mono-DC ?
Une base d'annuaire AD corrompue ou purgée ?
Une base d'annuaire chiffrée par un ransomware ?
Il y a deux méthodes possibles pour restaurer une sauvegarde AD : authoritative, utile si tous les DC sont inutilisables, ou non-authoritative, utile s'il reste 1+ DC avec une copie en ligne de la base Active Directory. Avec une restauration authoritative, le DC va chercher à diffuser sa base d'annuaire vers les autres DC, ce qui ne sera pas forcément adapté en fonction de la situation dans la quelle on se trouve. Tandis qu'en mode non-authoritative, le DC sera en attente de réception des données à jour de la part d'un autre DC.
Un prochain article pourra faire l'objet d'une mise en pratique autour de la restauration Active Directory. Personnellement, lorsqu'un DC crash dans un environnement multi-DC, je préfère installer un nouveau DC proprement, de A à Z. Mais, il faut se préparer au pire.
N'hésitez pas à poster un commentaire pour partager votre retour d'expérience à ce sujet !