Des pirates sont parvenus à détourner un service de messagerie utilisé par Namecheap, leur permettant d'envoyer de nombreux e-mails de phishing aux couleurs de DHL et MetaMask à partir d'adresses e-mail valides. Que s'est-il passé ?

Pour rappel, Namecheap est un bureau d'enregistrement de noms de domaines accrédité par l'ICANN, qui propose également des services d'hébergement Web. Cette entreprise est située aux États-Unis.

Cette campagne de phishing a débuté dimanche en provenance de la plateforme SendGrid, cette dernière étant utilisée par Namecheap pour envoyer des notifications par e-mail (pour le renouvellement d'un service, par exemple), mais également des e-mails de marketing.

Des e-mails aux couleurs de DHL et MetaMask

Les pirates ont profité de cet accès au service SendGrid pour envoyer des e-mails aux couleurs de DHL et MetaMask dans le but de piéger des utilisateurs.

Comme souvent lorsqu'il s'agit d'un service de livraison, comme ici avec DHL, l'e-mail précise qu'il y a des frais à régler dans le cadre de la livraison d'un colis. Le lien contenu dans l'e-mail redirige l'utilisateur vers une page falsifiée dans le but de récupérer les informations de l'utilisateur.

En ce qui concerne MetaMask, un service pour disposer d'un portefeuille de cryptomonnaies, les pirates ont envoyé un e-mail ayant pour titre "Votre portefeuille est sur le point d'être suspendu. Effectuez une vérification KYC". Le site BleepingComputer précise que le lien de cet e-mail contient un lien marketing de Namecheap sous la forme "https://links.namecheap.com/" qui redirige l'utilisateur vers un site malveillant piloté par les cybercriminels. Page sur laquelle l'utilisateur est invité à saisir sa clé secrète permettant de déverrouiller son portefeuille de cryptomonnaies.

Namecheap se veut rassurant

Que s'est-il passé chez Namecheap ? À ce sujet, une publication officielle de Namecheap précise que les systèmes n'ont pas été compromis : "Nous tenons à vous assurer que les systèmes de Namecheap n'ont pas été compromis, et que vos produits, comptes et informations personnelles restent sécurisés."

C'est bien le service tiers sur lequel s'appuie Namecheap qui serait en cause : "Nous avons la preuve que le système en amont que nous utilisons pour l'envoi d'e-mails (tiers) est impliqué dans l'envoi d'e-mails non sollicités à nos clients. Par conséquent, il se peut que vous ayez reçu des courriels non autorisés." - Même si le fournisseur en question n'est pas précisé clairement, il s'agirait de SendGrid, mentionné quelques heures plus tôt par Richard Kirkendall, le CEO de Namecheap.

Dans le même temps, SendGrid affirme que son système d'envoi d'e-mail n'a pas été compromis : "Nous sommes conscients de la situation concernant l'utilisation de notre plateforme pour envoyer des e-mails de phishing et nos équipes de fraude, de conformité et de cybersécurité sont engagées dans cette affaire. Cette situation n'est pas le résultat d'un piratage ou d'une compromission du réseau de Twilio." - Au final, il y a une certaine confusion...!

En résumé : si, ces dernières heures, vous avez reçu une notification de la part de DHL ou MetaMask, vous devriez la supprimer sans réfléchir...! Cela est d'autant plus dangereux que les e-mails sont valides et que la signature DKIM serait valide !

Source

L'article Le système d’e-mails de Namecheap détourné pour envoyer du phishing ! est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à mettre en place un certificat SSL Let's Encrypt sur un serveur de messagerie Microsoft Exchange Server 2019, à l'aide de Win-ACME.

Grâce à ce certificat Let's Encrypt, entièrement gratuit, la connexion aux différents points d'entrées Exchange sera sécurisée avec un certificat valide. Par défaut, c'est un certificat SSL auto-signé qui est en place, donc il y a un avertissement qui s'affiche lorsque l'on accède au centre d'administration Exchange ou au Webmail OWA. Voici l'avertissement auquel je fais référence :

II. Prérequis

Pour suivre ce tutoriel, vous n'avez pas besoin d'acheter un certificat SSL puisque nous utilisons une solution gratuite. Voici la liste des prérequis à respecter :

• Disposer d'un serveur Microsoft Exchange Server 2019, même si cette procédure devrait pouvoir s'appliquer sur les versions antérieures
• Configurer votre réseau de façon à ce que le serveur de messagerie soit accessible depuis l'extérieur sur l'URL OWA
• Configurer les enregistrements DNS correspondants à votre nom de domaine et utilisé par Exchange (évoqué dans un précédent tutoriel)
  • Pour mon cas, il s'agit de : mail.florianburnel.fr et autodiscover.florianburnel.fr
• Télécharger le client Win-ACME que nous allons utiliser pour demander un certificat Let's Encrypt
  • Win-ACME - GitHub

Il est à noter que sur les serveurs de messagerie Exchange à jour, la gestion des certificats s'effectue exclusivement avec PowerShell. A ce sujet, voici le message qui s'affiche sur le centre d'administration Exchange : "Pour information, La fonctionnalité d'exportation, d'importation et de renouvellement de certificats et de création et d'achèvement de la demande de certificat a été supprimée du centre d'administration Exchange. Utilisez plutôt des applets de commande."

III. Demander un certificat SSL avec Win-ACME

Commencez par télécharger le client Win-ACME, par extraire le contenu et exécuter en tant qu'administrateur "wacs.exe".

Bien qu'il soit possible d'effectuer une demande de certificat en ligne de commandes en précisant tous les arguments, nous allons procéder étape par étape, via le mode interactif. De ce fait, exécutez "wacs.exe" en tant qu'administrateur et choisissez l'option "M" correspondante à "Create certificate (full options)".

Vous devez préciser quels sont les noms DNS à couvrir avec le certificat. Pour cela, indiquez "2" pour effectuer une saisie manuelle.

Ici, indiquez l'ensemble des adresses Web utilisées par votre serveur Exchange. Dans mon cas, il y en a deux : mail.florianburnel.fr et autodiscover.florianburnel.fr. Puis, vous avez la possibilité d'indiquer un nom convivial pour le certificat mais ce n'est pas obligatoire : vous pouvez appuyer directement sur Entrée.

En ce qui concerne la méthode de validation, testez avec la méthode par défaut en effectuant le choix "2". Si cela ne fonctionne pas, vérifiez que votre serveur Web bien accessible de l'extérieur (OWA depuis l'extérieur), sinon choisissez une autre méthode de validation.

Ensuite, vous devez choisir le type de clé privée à utiliser. Choisissez "RSA Key" avec le choix "2".

Puis, l'assistant vous demande où souhaitez stocker le certificat donc indiquez "4" pour qu'il soit stocké dans le magasin des certificats de Windows. A la question suivante, vous devez préciser le magasin à utiliser, indiquer "2" pour que ce soit stocké dans le magasin personnel : ce qui est recommandé pour Exchange, d'après l'assistant. Enfin, indiquez "5" pour passer à la suite car il n'y pas d'autres endroits où nous avons besoin de stocker le certificat.

Win-ACME propose de mettre à jour les liaisons dans IIS de manière à intégrer le certificat SSL. Pour que ce soit fait, indiquez "1" une première fois, puis "1" une seconde fois pour que ce soit mis en place au niveau du site "Default Web Site" de IIS.

L'assistant nous pose la question suivante : "Souhaitez-vous ajouter une étape d'installation supplémentaire ?". La réponse est oui, nous devons exécuter un script supplémentaire donc indiquez "2". Il s'agit du script PowerShell "ImportExchange.ps1" intégré à Win-ACME donc précisez le chemin suivant :

./Scripts/ImportExchange.ps1

Après, vous devez préciser les paramètres à utiliser lors de l'exécution de ce script. Précisez ceci pour Microsoft Exchange Server :

'{CertThumbprint}' 'IIS,SMTP,IMAP' 1 '{CacheFile}' '{CachePassword}' '{CertFriendlyName}'

En image, cela donne :

Ensuite, vous devez indiquer "3" car nous n'avons pas d'autres étapes d'installation à ajouter.

A partir de là, le client Win-ACME va émettre une requête pour demander un certificat. Si la requête est acceptée, le certificat sera mis en place dans le magasin de certificats du serveur et le serveur IIS sera configuré de manière à utiliser le certificat au sein des liaisons HTTPS. En complément, une tâche planifiée nommée "win-acme renew (acme-v02.api.letsencrypt.org)" sera créée sur le serveur pour assurer le renouvellement automatique du certificat (valide 90 jours à chaque fois).

Au final, le serveur doit récupérer le certificat SSL Let's Encrypt et l'intégrer dans Exchange et IIS. La console affiche des précisions sur la tâche planifiée de renouvellement du certificat SSL. L'assistant demande si vous souhaitez exécuter cette tâche avec un utilisateur spécifique, indiquez "no".

III. Vérifier la présence du certificat dans Exchange

Dès à présent, vous pouvez vous connecter sur le Webmail OWA d'Exchange afin de vérifier que la connexion est sécurisée ! Si l'on regarde les détails du certificat, on voit qu'il s'agit bien d'un certificat Let's Encrypt valide !

Par ailleurs, ce certificat SSL est visible dans le Centre d'administration Exchange, à cet emplacement : serveurs > certificats.

IV. Conclusion

Voilà, vous venez de mettre en place un certificat SSL sur votre serveur de messagerie Microsoft Exchange ! Le certificat SSL Let's Encrypt présente l'avantage d'être gratuit et d'être renouvelé automatiquement par l'outil Win-ACME !

L'article Microsoft Exchange Server 2019 – Certificat SSL gratuit avec Let’s Encrypt est disponible sur IT-Connect : IT-Connect.

La version payante de ChatGPT, à savoir ChatGPT Plus, est désormais disponible en France ! Qu'est-ce qu'il y a de plus avec cette version ? Combien ça coûte ? Voici ce qu'il faut savoir !

Après un lancement aux Etats-Unis, OpenAI a étendu son offre ChatGPT Plus à d'autres pays, dont la France et la Belgique. Au niveau des fonctionnalités, ChatGPT Plus propose les avantages suivants :

• Haute disponibilité du service

Les utilisateurs payants seront prioritaires et pourront accéder en continu au service, ce qui évite d'avoir le fameux message "ChatGPT is at capacity right now" qui est particulièrement décourageant (et très fréquent !).

• Accès prioritaire aux nouvelles fonctionnalités
• Réponses plus rapides de la part du chatbot

Voilà, ni plus ni moins les avantages de l'abonnement payant.

Quel est le prix de ChatGPT Plus ?

Parlons du prix de l'abonnement, et ce n'est pas donné : 20 dollars, sans compter les taxes. Au final, le prix de l'abonnement mensuel est de 24 dollars par mois !

À ce prix, il faut utiliser ChatGPT de manière intensive pour que ce soit rentable... Sinon autant utiliser la version gratuite, si vous l'utilisez seulement de temps en temps.

Il s'agit du premier abonnement lancé par OpenAI et l'entreprise américaine pourrait lancer d'autres plans, moins coûteux, par la suite. Quoi qu'il en soit, la version gratuite n'est pas remise en question. A suivre.

Comment s'abonner à ChatGPT Plus ?

Si vous voulez vous abonner à ChatGPT Plus, même le temps d'un mois pour tester, voici la marche à suivre :

• Accédez à l’interface de ChatGPT et authentifiez-vous avec votre compte habituel (que vous utilisez pour accéder à la version gratuite)
• Sur la gauche, dans le menu latéral, cliquez sur "Upgrade to Plus"
• Après avoir cliqué, une nouvelle fenêtre s'ouvrira... Cliquez sur "Upgrade plan"
• Complétez le formulaire avec les informations de paiement et cliquez sur "S'abonner".

Que pensez-vous de l'abonnement ChatGPT Plus ?

L'article ChatGPT Plus débarque en France : fonctions, prix, ce que vous devez savoir ! est disponible sur IT-Connect : IT-Connect.

Les développeurs d'OpenSSH ont mis en ligne une nouvelle version, à savoir OpenSSH 9.2, dans le but de corriger plusieurs failles de sécurité, dont la vulnérabilité associée à la référence CVE-2023-25136.

Pour rappel, OpenSSH est un logiciel qui implémente le protocole SSH, très fréquemment utilisé pour se connecter à des machines sous Linux (ou Windows) de façon sécurisée pour effectuer de l'administration à distance.

Introduit dans OpenSSH 9.1, la faille de sécurité CVE-2023-25136 affecte le processus de pré-authentification de SSH. En l'exploitant, un attaquant pourrait corrompre la mémoire et parvenir à exécuter du code arbitraire sur la machine, sans être authentifié sur le serveur cible.

Note : cette vulnérabilité a été découverte en juillet 2022 par le chercheur en sécurité Mantas Mikulenas.

Toutefois, et on ne va pas s'en plaindre, Saeed Abbasi de chez Qualys précise que cette faille n'est pas simple à exploiter par les pirates informatiques : "Si la vulnérabilité double-free de la version 9.1 d'OpenSSH peut susciter des inquiétudes, il est essentiel de noter que l'exploitation de ce problème n'est pas une tâche simple."

Et pour cela, on peut remercier le fonctionnement du processus sshd d'OpenSSH : "Cela est dû aux mesures de protection mises en place par les allocateurs de mémoire modernes et à la séparation robuste des privilèges et au sandboxing mis en œuvre dans le processus sshd concerné." - Sinon, cette vulnérabilité aurait pu être beaucoup plus dangereuse pour tous les serveurs avec un accès SSH avec OpenSSH en version 9.1.

Le rapport de Qualys peut être consulté pour des détails techniques supplémentaires sur le fonctionnement de cette faille de sécurité.

Même si ces derniers jours on entend beaucoup parler des nombreuses attaques à destination des serveurs VMware ESXi, cette vulnérabilité dans OpenSSH doit être prise au sérieux également. Sur le site du NIST, elle est considérée comme critique et elle hérite d'un score CVSS de 9,8 sur 10.

OpenSSH 9.2 est disponible depuis le 2 février 2023 (voir ici) : À vos mises à jour !

Source

L'article OpenSSH 9.1 affecté par une faille de sécurité critique (CVE-2023-25136) est disponible sur IT-Connect : IT-Connect.

Les gamers sous Windows 11 vont apprécier cette nouveauté sur laquelle travaille Microsoft : l'entreprise américaine souhaite que son système d'exploitation puisse contrôler nativement l'éclairage RGB de vos périphériques.

Dans l'univers du gaming, on trouve de nombreux périphériques RGB divers et variés, y compris des claviers et des souris. Toutefois, pour contrôler les effets lumineux de ces appareils, il est nécessaire d'installer un logiciel sur son PC. Et bien sûr, chaque fabricant y va de son logiciel... Ce qui ne simplifie pas la gestion de son installation !

Au sein de Windows 11 build 25295, disponible au travers du canal Dev du programme Windows Insider, Microsoft a introduit une nouvelle fonctionnalité permettant la prise en charge native des appareils RGB.

C'est l'utilisateur Albacore qui a relayé cette information sur son compte Twitter, copies d'écran à l'appui.

Pour essayer cette nouveauté, il faut passer par l'outil ViveTool comme bien souvent, et exécuter les deux commandes suivantes :

vivetool /enable /id:35262205
vivetool /enable /id:41355275

Après avoir activé cette fonction, un menu "Eclairage" (lighting) apparaît dans la section "Personnalisation" des paramètres de Windows 11. Ici, tous les périphériques compatibles RGB seront listés et pourront être contrôlés via le système, sans avoir besoin des logiciels tiers.

En choisissant un appareil dans la liste, vous pourrez contrôler la luminosité, l'effet lumineux, la vitesse de cet effet et la couleur de l'éclairage. Par exemple, il sera possible de choisir une couleur fixe, aléatoire ou encore une couleur clignotante.

Reste à savoir si cette intégration conviendra aux utilisateurs de ces périphériques, car les logiciels des fabricants peuvent proposer des fonctions plus avancées...

Pour le moment, c'est une fonctionnalité en cours de développement, et bien qu'il soit possible de l'essayer, elle n'est peut-être pas opérationnelle avec tous les périphériques. Elle devrait être intégrée à une future mise à jour de Windows 11.

Que pensez-vous de cette future nouveauté de Windows 11 ?

Source

L'article Bientôt, Windows 11 pourra contrôler l’éclairage RGB de vos périphériques est disponible sur IT-Connect : IT-Connect.