A cause d'une mise à jour de firmware foireuse, la fonctionnalité Secure Boot se retrouve mal configurée dans les paramètres UEFI sur environ 290 cartes mères de la marque MSI.
Pour rappel, le Secure Boot est une fonctionnalité de sécurité intégrée au firmware des cartes mères qui permet de sécuriser le démarrage d'une machine, et plus particulièrement du système d'exploitation, en vérifiant la signature des éléments à charger. Ainsi, on peut se protéger contre certaines attaques comme l'injection de code malveillant lors du démarrage (rootkit).
Maintenant, parlons de ce problème qui affecte les cartes mères MSI. Dawid Potocki, un chercheur en sécurité polonais, est à l'origine de cette découverte et même s'il a essayé de contacter MSI à plusieurs reprises, il n'a jamais obtenu la moindre réponse. Espérons que le fait que plusieurs sites en parlent publiquement permettent, enfin, d'obtenir une réaction de la part de MSI.
Un problème mis en lumière aujourd'hui mais qui n'est pas récent ! Suite à une mise à jour du firmware publiée par MSI le 18 janvier 2022 et correspondante à la version 7C02v3C, il s'avère qu'il y a eu un changement au niveau des paramètres par défaut du Secure Boot sur les cartes mères MSI. Résultat, même s'il y a un code malveillant qui se charge au démarrage de la machine, celle-ci démarrera car le Secure Boot autorise le démarrage même lorsqu'il y a une violation de la sécurité !
Dans un article, Dawid Potocki explique : "J'ai décidé de configurer Secure Boot sur mon nouvel ordinateur de bureau avec l'aide de sbctl. Malheureusement, j'ai constaté que mon firmware acceptait toutes les images de système d'exploitation que je lui donnais, qu'elles soient fiables ou non."
L'image ci-dessous, publiée par le chercheur en sécurité, montre bien que le paramètre "Image Execution Policy" est sur "Always Execute" pour les différentes sous-options de la catégorie. Il explique qu'il faut choisir la valeur "Deny Execute" pour les options "Removable Media" et "Fixed Media" pour avoir un Secure Boot opérationnel.
D'après lui, MSI n'a jamais documenté ce changement et environ 290 modèles de cartes mères sont concernés par ce problème de sécurité, y compris les derniers modèles fabriqués par MSI. Aussi bien pour les cartes mères avec un processeur AMD que celles avec un processeur Intel. Une liste complète des cartes mères affectées est disponible sur GitHub.
Si vous utilisez une carte mère présente dans cette liste, vous devez vérifier les paramètres du Secure Boot sur votre machine !
Dans cet article, je vais évoquer le principe du SDN, du SD-LAN, et vous présenter une solution disponible sur le marché et à destination des pros : TP-Link Omada.
Cette solution devrait particulièrement intéresser les personnes qui se demandent "comment administrer un réseau informatique de façon centralisée ?" ou encore "comment administrer ses switchs, son routeur et ses points d'accès WiFi à partir d'une interface unique ?". À destination des professionnels, la solution TP-Link Omada est particulièrement adaptée aux TPE, PME, ainsi qu'aux établissements scolaires, campings, hôtels, restaurants ou encore les EHPAD.
Tout d'abord, évoquons les deux acronymes. Commençons par SDN qui signifie Software Defined Network ou réseau défini par logiciel, c'est-à-dire un réseau qui sera administré par et au travers d'une console unique. En ce qui concerne le SD-LAN, cet acronyme signifie Software Defined - Local Area Network, soit le SDN appliqué au réseau local. Contrairement au SD-WAN qui s'intéresse aux réseaux WAN.
Ainsi une solution SD-LAN va permettre d'administrer l'ensemble de son réseau à partir d'un logiciel de gestion adapté, sans s'intéresser particulièrement aux équipements.
Pour bien comprendre, nous pouvons prendre l'exemple d'un réseau traditionnel et le comparer au principe du SD-LAN.
Sur un réseau traditionnel constitué d'un routeur, de switchs, et éventuellement de points d'accès Wi-Fi, chaque équipement est administré de façon indépendante. Par exemple, si l'on crée un nouveau VLAN, il faut le configurer manuellement sur l'ensemble des switchs. C'est long, et c'est une source d'erreurs. Surtout, le réseau est difficile à maintenir dans le temps.
Si l'on prend le même réseau, mais que l'on applique le principe du SDN, alors tous les équipements seront administrés de manière centralisée. On ne se connecte plus sur chaque équipement, mais on se connecte sur une console de gestion, associée au rôle de contrôleur, et qui va permettre de distribuer la configuration à l'ensemble des équipements. Switchs, routeurs, points d'accès se pilotent au même endroit. Bien souvent, on retrouve ce principe de contrôleurs pour la gestion de réseaux WiFi, mais ici, c'est étendu à l'ensemble du réseau.
Avec le SD-LAN, on oublie la configuration équipement par équipement, et l'on passe à une gestion plus moderne de son réseau qui offre différents avantages : administration simplifiée, gain de temps au quotidien, configuration distribuée, sécurité renforcée et plus de contrôle sur l'activité du réseau grâce aux statistiques et Insights.
III. Le SD-LAN en pratique avec TP-Link Omada
Chez TP-Link, la solution de SD-LAN se nomme Omada et elle a pour promesse de transformer votre réseau en LAN-as-a-service grâce à l'interface d'administration d'Omada qui va permettre de configurer l'ensemble de vos équipements réseau compatibles. Sur le site de TP-Link, vous pourrez trouver la longue liste de matériels compatibles.
Pour déployer la solution TP-Link Omada, il est indispensable de mettre en place un contrôleur Omada ! La bonne nouvelle, c'est qu'il existe plusieurs méthodes de déploiement qui permettront de répondre aux différents scénarios et aux exigences de chacun. En résumé, à ce jour, il y a trois types de déploiements possibles :
Contrôleur hardware TP-Link
Contrôleur sur votre serveur ou machine virtuelle
Contrôleur Cloud sur l'infrastructure TP-Link
Peu importe la méthode choisie, la solution logicielle Omada est identique, ce qui signifie que les fonctionnalités sont exactement les mêmes.
A. Contrôleur hardware TP-Link Omada
Au sein du catalogue de TP-Link, il y a deux contrôleurs hardware référencés :
Au-delà du nombre d'appareils supportés et de la taille du boîtier en lui-même, il y a une autre différence : l'alimentation. Le modèle OC200 est compatible PoE tandis que le modèle OC300 doit être connecté par une alimentation directe. Dans les deux cas, le contrôleur hardware se connecte au réseau local via un câble Ethernet.
B. Contrôleur sur votre serveur (ou VM)
Le contrôleur Omada peut également prendre la forme d'un serveur physique ou d'une machine virtuelle, que ce soit sur votre infrastructure locale ou sur votre environnement Cloud. À mon sens, il y a plusieurs avantages à opter pour un contrôleur Omada virtualisé :
Facile à sauvegarder, car on peut réaliser une sauvegarde complète de la machine virtuelle
Possibilité d'assurer la haute disponibilité du contrôleur Omada s'il est intégré à un cluster d'hyperviseurs (VMware, Hyper-V, Proxmox, etc.)
Solution gratuite : il n'y a pas besoin de payer un abonnement ni une licence
En tant que prestataire de services, vous pouvez héberger votre contrôleur Omada dans le Cloud et le mutualiser entre plusieurs clients puisque la solution gère le multi-clients (multi-tenants). Toutefois, rien n'empêche de déployer le contrôleur Omada en interne sur l'infrastructure du client. Comme on dit, chacun va trouver chaussure à sa porte.
Avec un contrôleur logiciel, vous pouvez gérer jusqu'à 1 500 appareils avec la version actuelle d'Omada.
C. Contrôleur Cloud chez TP-Link
Enfin, si l'on ne veut pas acquérir un contrôleur matériel et que l'on ne souhaite pas déployer un contrôleur sous la forme d'un serveur, il y a une autre option : payer un abonnement chez TP-Link pour que le contrôleur Omada soit directement hébergé sur l'environnement Cloud TP-Link. Dans ce cas, vous n'avez qu'à utiliser la plateforme sans avoir à gérer le contrôleur en lui-même.
IV. Le matériel de la démonstration
Pour cette démonstration, j'ai eu l'opportunité d'obtenir du matériel de la part de TP-Link. Ainsi, j'ai pu monter un réseau constitué des éléments suivants : un contrôleur hardware TP-Link OC300, un routeur TP-Link ER7206, un switch PoE TP-Link JetStream TL-SG2210P, ainsi que des points d'accès Wi-Fi 6 de la gamme TP-Link AX1800. L'ensemble de ces équipements sont administrables à partir d'une interface Web unique accessible à partir d'un navigateur, mais également via l'application mobile Omada. Même en déplacement, le réseau devient administrable et on peut consulter les derniers événements.
A. Le contrôleur hardware TP-Link OC300
Comme je le disais précédemment, le contrôleur hardware TP-Link OC300 peut gérer jusqu'à 500 appareils ! Ce qui lui permet de supporter des installations conséquentes. Au-delà de l'achat du matériel en lui-même, ce contrôleur n'engendre pas de frais supplémentaires : il n'y a pas d'abonnements ni de licence par appareils et les mises à jour du logiciel Omada sont gratuites.
B. Le routeur TP-Link ER7206
Le routeur TP-Link ER7206 est pleinement pris en charge par Omada et il s'agit d'un routeur multi-WAN gigabit. Qu'est-ce que cela signifie ? Et bien, ce routeur peut gérer plusieurs connexions WAN, c'est-à-dire plusieurs connexions Internet dans le but d'effectuer de l'équilibrage de charge entre les connexions ou d'avoir une connexion active et une connexion de secours.
Dotés de 5 ports Gigabit Ethernet, ces derniers peuvent être utilisés pour le LAN ou le WAN en fonction de vos besoins et de votre installation. Il dispose aussi d'un port SFP WAN qui permet de connecter directement une liaison fibre optique au routeur.
Par ailleurs, ce routeur prend en charge différents types de VPN, à la fois en mode client-to-site et site-to-site : L2TP, PPTP, IPSec et OpenVPN. Si l'on prend l'exemple d'OpenVPN, l'authentification s'effectue par certificat, mais il est possible de configurer un VPN avec une authentification par utilisateur. Il est à noter aussi que le routeur peut jouter le rôle de serveur VPN (il reçoit des connexions) ou de client VPN (il se connecte à une infrastructure distante).
Lors de mes tests, j'ai installé ce routeur en lieu et place de la box de mon opérateur. Mais, il peut être mis en place derrière la box opérateur.
C. Le switch PoE TP-Link JetStream TL-SG2210P
Ultra-compact, ce switch PoE+ TP-Link est administrable au travers de la solution Omada, et il prend en charge un bon nombre de fonctionnalités : VLAN (802.1Q), sécurité par port, QoS, spanning-tree, SNMP, etc.
Au total, sur l'ensemble des 8 ports, le budget PoE est de 58 Watts. En complément des 8 ports Gigabit Etherhet, ce modèle intègre deux emplacements SFP : idéal pour les interconnexions entre plusieurs répartiteurs.
D. Les points d'accès Wi-Fi 6 TP-Link AX1800
La gamme TP-Link AX1800 est constituée de plusieurs modèles, pouvant être mis en place en intérieur ou en extérieur selon les références. En ce qui me concerne, j'ai pu utiliser le modèle EAP610-Outdoor taillé pour être mis en place en extérieur grâce à son boîtier étanche certifié IP67 (livré avec un kit waterproof), et le modèle EAP610 idéal pour être fixé au plafond.
Ces deux modèles sont compatibles Wi-Fi 6 et ils sont bibande, ce qui permet d'avoir un meilleur débit en simultanés. Ces points d'accès sont compatibles avec le mode de fonctionnement classique (point d'accès relié en câble RJ45 au réseau) ou en mode WiFi Mesh, afin de créer un réseau WiFi maillé sans devoir connecter le point d'accès au réseau filaire.
V. Tour d'horizon de TP-Link Omada
A. Mise en route du contrôleur Omada
Quelques mots sur la mise en route du contrôleur Omada, avant de vous présenter la console d'administration en elle-même. L'installation s'effectue très simplement, car il suffit de connecter le contrôleur hardware au réseau électrique et au réseau local. Une fois qu'il est démarré, il suffit de scanner son QR Code à partir de l'application mobile Omada. À partir de là, il sera associé au compte avec lequel on est connecté dans l'application.
Bien qu'il y ait des fonctionnalités supplémentaires lorsque l'on accède en mode Web à son contrôleur, l'application mobile est très complète ! C'est appréciable. Ensuite, lorsqu'un nouvel équipement sera connecté au réseau (switch, routeur, point d'accès, etc.), il sera détecté par le contrôleur et il pourra être adopté au sein de votre tenant ! Une fois qu'il est adopté, il devient administrable à partir d'Omada et récupère une première configuration lors de la phase de provisionning.
Pour le reste de cet article, c'est la console de gestion Omada en mode Web que nous allons découvrir.
B. Le tableau de bord Omada
Lorsque l'on accède à son environnement en se connectant au contrôleur Omada, c'est le tableau de bord qui apparaît à l'écran. Celui-ci permet de visualiser l'état général du réseau, mais également de voir le nombre d'équipements par type, le nombre de clients ainsi que de voir le taux d'utilisation de la bande passante Internet. D'ailleurs, il est possible de lancer un test de débit SpeedTest depuis le tableau de bord.
Cette interface est personnalisable puisqu'il est possible d'ajouter de nouveaux onglets et de piocher dans la bibliothèque de widgets. Voici quelques exemples de widgets :
Les dernières alertes (point d'accès hors ligne, par exemple)
Répartition du trafic entre l'ensemble des points d'accès WiFi
Distribution du trafic par canal sur les différentes bandes de fréquences WiFi
Les clients les plus actifs (avec calcul des données transférées)
Répartition des clients sur les différents réseaux
Etc.
Note : l'interface est en anglais sur les copies d'écran, mais il est possible de basculer en français ou dans une autre langue.
C. Statistiques et performances
La section "Statistiques" permet de visualiser des statistiques pour chaque équipement géré par votre contrôleur Omada.
Si l'on prend l'exemple d'un point d'accès WiFi, on pourra voir le nombre de clients connectés sur une période sélectionnée, mais également le trafic traité par ce point d'accès, ainsi que le nombre de paquets Dropped, etc. Des stats également disponibles pour les switchs, même s'il est possible d'aller plus loin afin d'obtenir le débit en réception et en émission sur chaque port de chaque switch (sous la forme de graphes). Pour chaque port, le switch indique également le nom de l'équipement connecté.
D. Cartographie
La section "Cartographie" se découpe en deux parties : Topologie et Carte. Avec la topologie, vous avez une vue d'ensemble de votre réseau avec le lien entre les différents équipements. La topologie est générée automatiquement par Omada : vous n'avez rien à faire, à part en profiter. Lorsque l'on sélectionne un point d'accès WiFi ou un switch, on peut visualiser les clients connectés. Lorsqu'un réseau est en place, la topologie sera intéressante pour avoir une vue d'ensemble et visualiser les liens entre les équipements.
Quant au second onglet, il peut s'avérer utile avant le déploiement et après le déploiement. Avant le déploiement, car il va permettre de réaliser un audit WiFi sur plan, à partir d'une carte de votre bâtiment que vous pourrez charger sur l'interface. Sur cette carte, on peut positionner les points d'accès associés au contrôleur Omada ou des points d'accès divers et variés de chez TP-Link, en prévision d'une implantation. Grâce au mode simulation, on peut voir quelle sera la portée du signal WiFi, pour chaque bande de fréquence.
Là où c'est pertinent, c'est que le plan peut être modifié de manière à intégrer les murs et cloisons. Une bibliothèque de murs est intégrée : mur en brique, mur en bois, mur métallique, etc... Ce qui permet de rendre l'audit WiFi plus précis et réaliste. Ainsi, après avoir positionné des murs en métal tout autour de mon bâtiment, on peut voir que la simulation donne des résultats différents (et elle est plus proche de la réalité du terrain) :
Après avoir fait cet audit WiFi ou ce préaudit WiFi sur plan, vous êtes en mesure d'estimer le nombre de points d'accès à mettre en place sur site. Même s'il n'y aura certainement pas la même précision qu'un audit sur site (qui implique d'être correctement équipé), cela sera plus rapide et moins coûteux tout en étant cohérent.
E. Les périphériques
L'ensemble de vos équipements sont regroupés au sein d'une section dédiée. Ici, l'état de chaque appareil s'affiche : est-il connecté ? est-il déconnecté ? est-il en attente d'adoption par le contrôleur ? etc... Le statut est important. Chaque appareil peut être nommé comme vous le souhaitez, et vous avez accès à diverses informations : modèle, numéro de série, uptime, adresse IP, etc...
Chaque appareil peut bénéficier d'une adresse IP statique ou dynamique selon votre choix, tout en conservant une adresse IP de secours que vous pourrez utiliser en cas de perte de connectivité avec le réseau local. Par ailleurs, chaque appareil peut être associé à un ou plusieurs tags.
Toujours à partir de cette section de l'interface, chaque appareil peut être redémarré ou mis à jour à distance. Ces actions sont planifiables et réalisables sur plusieurs appareils en même temps. Fini la galère pour gérer les mises à jour firmware de ses équipements réseau !
F. Les clients
Comme son nom l'indique, la section "Clients" sert à visualiser les appareils connectés au réseau local que ce soit en filaire ou en WiFi. Pour chaque appareil, plusieurs informations sont disponibles : nom, adresse IP, statut, SSID ou réseau, port/AP sur lequel est effectué la connexion, mais également l'uptime et la quantité de données transmises en upload et download.
En sélectionnant un client, des détails supplémentaires sont visibles tels que l'historique des sessions (date, heure, durée, données transmises en upload/download), des statistiques sur la qualité du signal WiFi, et la possibilité de nommer l'appareil. Par ailleurs, il est possible de bloquer un appareil pour qu'il ne soit plus autorisé à se connecter au réseau !
G. Insights
La section "Insights" donne accès à d'autres statistiques et indicateurs, notamment la liste des clients connus, des dernières connexions, des dernières authentifications sur le portail captif, ou encore sur l'état des switchs et des connexions VPN. C'est également ici que vous pouvez lancer une détection contre les points d'accès malveillants alias rogue APs.
H. Les journaux
La section "Journaux" donne accès à l'historique des alertes et des événements. De nombreux événements sont consignés, comme la connexion au contrôleur Omada, l'ajout d'un nouvel appareil, la connexion d'un nouveau client au réseau. Au niveau des alertes, il peut s'agir d'un point d'accès WiFi qui est hors ligne, ou encore de la connexion Internet qui est hors service. Tout cela est personnalisable puisque vous pouvez affiner cette politique de journalisation, et notamment opter pour une notification par e-mail lorsqu'un événement spécifique se produit.
I. Les rapports
Terminons par la section liée aux rapports, qui est une autre manière d'obtenir des statistiques sur l'utilisation du réseau et des équipements. Si l'on prend l'exemple de l'onglet "SSID", on peut visualiser le "Top 5" des réseaux sans-fil avec le plus de clients, ou encore le "Top 5" des réseaux sans-fil avec le plus de trafic. Sur un même graphique, il y a plusieurs réseaux donc on peut comparer l'état de différents SSID en un coup d'œil. Il y a le même type de statistiques pour les switchs.
Dans cette section, on peut également visualiser la charge de la ligne Internet puisqu'il y a un graphe qui représente l'utilisation de la bande passante pour chaque interface WAN du routeur.
VI. La configuration d'Omada
Même si l'on a fait le tour des principales sections d'Omada, il reste deux parties à regarder : la gestion des comptes utilisateurs et la configuration en elle-même, là où l'on va définir les réseaux sans-fil, les VLANs, les règles de NAT, le portail captif, etc...
A. La gestion des comptes Omada
Au sein de l'interface d'administration, il est possible de créer de nouveaux comptes utilisateurs ayant un accès à l'interface Omada. Chaque nouveau compte peut avoir un accès administrateur ou en lecture seule, à un ou plusieurs sites. Puisque chaque contrôleur Omada peut gérer plusieurs sites et/ou plusieurs clients, cette notion de comptes utilisateurs est très importante.
Par défaut, le contrôleur Omada est accessible en local via son adresse IP, mais également à distance via la plateforme Cloud TP-Link. Bien que ce soit activé par défaut, cette fonctionnalité est désactivable à tout moment dans les paramètres du contrôleur.
B. Gestion des interfaces WAN et LAN
La section configuration permet de gérer les interfaces liées à Internet et les réseaux locaux. Pour la partie WAN, on va pouvoir configurer chaque interface du routeur, et dans le cas où il y a plusieurs connexions Internet, on a la possibilité de configurer le mode de fonctionnement : basculement ou répartition de charge (en choisissant le taux de répartition entre les deux connexions).
Pour le LAN, il s'agit de déclarer de nouveaux réseaux qui peuvent correspondre aux différents VLANs que vous souhaitez distribuer afin d'organiser le réseau. Sur chaque réseau, un serveur DHCP peut être activé et il est possible d'effectuer des réservations d'adresses IP.
C. Gestion des réseaux Wi-Fi
Dans le même esprit, une section est dédiée à la gestion des réseaux sans-fil, en l'occurrence les différents SSID à diffuser. On peut créer des groupes, affecter un ou plusieurs SSID à chaque groupe et assigner ces groupes aux points d'accès. Ainsi, tous les points d'accès sans-fil ne diffusent pas obligatoirement les mêmes SSID.
Lorsque l'on crée un nouveau SSID, de nombreuses options sont offertes :
Choix des bandes de fréquences
Diffusion du SSID ou SSID masqué
Type de sécurité pour accéder au réseau (WPA2, WPA3, etc.)
Activation du réseau selon un planning spécifique
Filtrage MAC pour l'accès au réseau
Déclarer un SSID comme étant un réseau invité
Etc...
Je reviendrai plus en détail par la suite sur la fonction de réseau invité au moment d'évoquer le portail captif.
Toujours sur la partie sans-fil, la fonctionnalité "AI WLAN Optimization" permet de s'appuyer sur de l'intelligence artificielle afin d'analyser les performances et la configuration du réseau sans-fil. Grâce à cette fonction, l'administrateur va pouvoir optimiser son réseau sans-fil en adaptant les canaux utilisés par les différents points d'accès. Cela permettra d'éviter au mieux les perturbations que cela peut engendrer.
D. Gestion des connexions VPN
Le routeur TP-Link peut jouer le rôle de client VPN ou de serveur VPN, et il prend en charge plusieurs protocoles : OpenVPN, IPSec, L2TP et PPTP. C'est pour cette raison qu'il y a une section "VPN" dédiée à la configuration des tunnels VPN, que ce soit pour du VPN site-to-site ou client-to-site. En fonction du type de VPN mis en place, il sera possible de déclarer des utilisateurs. Dans certains cas, comme avec OpenVPN, l'authentification s'effectue par certificat.
Lorsque l'on configure un nouveau serveur VPN, on peut choisir le type de protocoles, le port d'écoute, le réseau IP à utiliser au sein de ce tunnel, ainsi que les réseaux auxquels ce tunnel donne accès.
E. Gestion de l'authentification avec portail captif
La fonctionnalité de portail captif est très complète ! L'administrateur peut gérer plusieurs portails et chaque portail captif peut être affecté à un réseau filaire et/ou un réseau sans-fil. À chaque fois, un type d'authentification peut être défini :
Mode hotspot avec l'authentification par voucher, une base de comptes locale, le SMS ou encore un serveur Radius
Connexion par un simple mot de passe à renseigner sur la page du portail
Authentification à l'aide de son compte Facebook
Authentification via un serveur Radius externe
Etc.
Au-delà de l'authentification, c'est l'aspect visuel du portail captif qui est hautement personnalisable. L'administrateur peut définir la langue, l'image d'arrière-plan, le logo, les couleurs, le texte, la taille de la police, etc... C'est très complet. Un aperçu en temps réel est visible sur l'interface Omada.
Dans la pratique, voici un exemple de portail captif :
Par ailleurs, et en alternative au portail captif, d'autres méthodes d'authentifications sont supportées : 802.1X, authentification par adresse MAC et Radius.
F. Autres fonctionnalités
La liste des fonctionnalités évoquées ci-dessus n'est pas exhaustive. En complément, voici quelques fonctionnalités pouvant être citées :
Configuration du DNS dynamique (fournisseurs pris en charge : DynDNS, No-IP, Peanuthull et Comexe)
Gestion d'une communauté SNMP, avec la prise en charge des différentes versions : V1, V2c et V3
Gestion de l'UPnP (désactivé par défaut), de l'accès SSH et du proxy IGMP
Planification du redémarrage d'un ou plusieurs appareils
Planification de l'alimentation des ports PoE
Planification de la mise à jour du firmware des équipements
Configuration du serveur SMTP pour envoyer les e-mails
Gestion de la rétention pour l'historique des données
Création de profils pour limiter la consommation de bande passante, pour limiter le temps d'accès, etc.
Migration de données entre sites et entre contrôleurs Omada
Sauvegardes automatiques
Création de règles de firewalls
Etc.
VII. Conclusion
La solution SDN de chez TP-Link est très complète et répond à un réel besoin : celui de pouvoir administrer l'ensemble d'un réseau de façon simple et à partir d'une console unique. Personnellement, j'estime que cette solution est aboutie, simple à mettre en œuvre d'autant plus que l'on ne perd pas de temps à connecter un nouvel équipement sur le réseau ni à se connecter dessus pour l'administrer. La distribution des configurations est un gros plus, surtout que cela permet d'avoir une configuration homogène entre les équipements d'un réseau.
Si vous cherchez à renouveler vos équipements réseau, vous devriez réellement vous intéresser de près à la solution TP-Link Omada qui présente un très bon rapport qualité/prix. J'en profite pour vous informer également que TP-Link est présent en France : il y a une équipe commerciale et une équipe pour le support technique, ce qui est un atout important lorsque l'on cible les professionnels.
Les victimes du ransomware BianLian vont être soulagées : l'éditeur Avast a mis en ligne un outil de déchiffrement gratuit qui va permettre de récupérer les données chiffrées par BianLian ! Cela sans payer la rançon, bien entendu !
La sortie de cet outil de déchiffrement est une excellente nouvelle puisque l'été dernier, le ransomware BianLian s'est montré particulièrement actif notamment en Australie, en Amérique du Nord et au Royaume-Uni. Pour compromettre l'infrastructure des entreprises, il avait l'habitude d'exploiter les vulnérabilités ProxyShell d'Exchange Server, mais également les accès RDP des serveurs et les appareils SonicWall VPN vulnérables.
Développé en Go, le ransomware BianLian utilise le chiffrement symétrique basé sur l'algorithme AES-256 dans l'objectif de chiffrer une grande majorité des fichiers présents sur une machine : il supporte 1 013 extensions de fichiers différentes. Lorsqu'un fichier est chiffré par BianLian, il se retrouve avec l'extension ".bianlian". Les données sont exfiltrées avant d'être chiffrées et elles sont accompagnées par une note de rançon qui spécifie que la victime dispose de 10 jours pour payer la rançon, sinon les données seront publiées sur le site dédié aux leaks utilisé par les cybercriminels.
L'outil de déchiffrement est disponible gratuitement sur le site d'Avast (à cette adresse) et il ne nécessite pas d'installation. Cet exécutable autonome va permettre à l'utilisateur de sélectionner l'emplacement des données à déchiffrer. Toutefois, l'utilisateur doit fournir un fichier chiffré et un fichier original pour que l'outil détermine la clé de déchiffrement.
Le logiciel est également capable de tester une liste de clés BianLian connues et de sauvegarder les fichiers avant de les déchiffrer, par précaution.
Malgré tout, cet outil de déchiffrement peut ne pas fonctionner si les cybercriminels utilisent une nouvelle souche du ransomware BianLian qui n'est pas encore prise en charge par l'outil. Mais, ce dernier est amené à évoluer avec le temps pour être utile à un maximum de personnes.
Une faille de sécurité critique affecte Cacti et les pirates sont déjà sur le coup puisque des attaques sont en cours sur les instances exposées sur Internet. Cela n'est pas neutre puisqu'il y aurait plus de 1 600 instances Cacti dans ce cas !
Pour rappel, Cacti est un outil de mesure de performances pour les équipements réseau et les serveurs, que l'on peut considérer comme une solution de supervision.
Les campagnes d'attaques en cours visent à exploiter la faille de sécurité CVE-2022-46169 de Cacti, associée à un score CVSS de 9,8 sur 10 qui prouve qu'elle est critique. Cette vulnérabilité peut être exploitée à distance et sans authentification, ce qui est une aubaine pour les pirates informatiques, d'autant plus qu'elle permet l'exécution de commandes à distance. Ainsi, un serveur Cacti peut être compromis grâce à l'exploitation de cette faille de sécurité.
La bonne nouvelle, c'est qu'il existe un correctif pour se protéger de cette vulnérabilité, comme on peut le voir sur cette page GitHub. La mauvaise nouvelle, c'est que l'on peut trouver en ligne des détails techniques sur la manière d'exploiter cette faille de sécurité, et on peut également mettre la main sur un exploit PoC. D'ailleurs, l'entreprise SonarSource a publié une vidéo de démonstration qui montre l'exploitation de cette vulnérabilité en pratique sur une instance de test de Cacti.
Les pirates informatiques sont également sur le coup dans le but de déployer différentes souches malveillantes sur les serveurs Cacti compromis. Par exemple, il y a le botnet Mirai, mais aussi l'IRC Botnet qui permet de mettre en place un reverse shell. D'après les chercheurs de la fondation Shadowserver, le nombre d'attaques est en forte augmentation depuis quelques jours.
Par ailleurs, et d'après l'entreprise Censys, il y aurait 6 427 serveurs Cacti exposés sur Internet : "Censys a observé 6 427 hôtes sur Internet exécutant Cacti. Malheureusement, nous ne pouvons voir la version exacte du logiciel en cours d'exécution que lorsqu'un thème spécifique (sunshine) est activé sur l'application web." - Malgré tout, il y aurait au moins 1 637 serveurs Cacti vulnérables à la CVE-2022-46169. A contrario, il y a seulement 26 serveurs Cacti à jour et protégé contre cette vulnérabilité.
Utilisateurs de Cacti, vous savez ce qu'il vous reste à faire !
Fin décembre 2022, CircleCI a subi une cyberattaque lors de laquelle les cybercriminels ont pu accès accéder aux systèmes internes de l'entreprise. Désormais, nous connaissons l'origine de cette attaque !
Pour rappel, CircleCI est une plateforme d'intégration continue et de livraison continue très appréciée puisqu'elle compte plus d'un million d'utilisateurs dans le monde.
Début janvier, CircleCI a mis en ligne un communiqué sur son site Internet afin d'évoquer cette cyberattaque. Communiqué au sein duquel Rob Zuber, le CTO de CircleCI, invitait les utilisateurs à régénérer les secrets stockés sur la plateforme CircleCI, par précaution : "Faites tourner immédiatement tous les secrets stockés dans CircleCI."
Il y a quelques jours, ce communiqué a été mis à jour, ce qui permet d'en apprendre plus sur l'origine de cette attaque : l'ordinateur d'un ingénieur a été infecté par un malware qui a volé des informations au sein de cookies de session, lui permettant de s'authentifier sur les systèmes internes de CircleCI malgré la présence du MFA. Puisque le cookie de session est obtenu après avoir indiqué le mot de passe et validé le second facteur d'authentification, il permet d'accéder directement aux systèmes sans réauthentification. Non détecté par l'antivirus de l'entreprise, ce malware a infecté l'ordinateur de l'employé le 16 décembre 2022.
En utilisant les privilèges de cet utilisateur, les pirates ont pu commencer à voler des données à partir du 22 décembre, notamment au sein de certaines bases de données et de stores de CircleCI, notamment des jetons et clés de clients. Même si les données sont chiffrées, les cybercriminels sont parvenus à extraire les clés de chiffrement, ce qui peut leur permettre de déchiffrer les données dérobées !
Ces dernières informations ne sont pas rassurantes... Et montre que le MFA, bien qu'il soit pertinent et recommandé, n'est pas infaillible que ce soit au travers du vol de cookies ou en utilisant la technique de fatigue MFA. Si vous utilisez CircleCI, il est impératif de renouveler tous vos secrets et jetons !
