L'entreprise Bitdefender a publié un outil de déchiffrement gratuit pour le ransomware LockerGoga, ce qui va permettre aux victimes de récupérer leurs données sans payer la rançon !

Le ransomware LockerGoga a été lancé en janvier 2019 et il a touché de nombreuses entreprises, notamment l'entreprise française Altran Technologies (Capgemini Engineering) et l'entreprise norvégienne Norsk Hydro, une entreprise leader dans le secteur de l'aluminium.

Mis à disposition gratuitement par Bitdefender, cet outil est disponible au téléchargement sur le site officiel et il est accompagné par une documentation qui explique comment il s'utilise. Voici les liens de téléchargement :

• Exécutable - Outil de déchiffrement LockerGoga
• Documentation - Outil de déchiffrement LockerGoga

Pour développer cet outil de déchiffrement, Bitdefender a travaillé avec plusieurs agences, notamment Europol, la police cantonale de Zurich et les membres du projet NoMoreRansom. La création de l'outil de déchiffrement pour le ransomware LockerGoga a pu être possible grâce au travail des forces de l'ordre puisqu'elles sont parvenues à identifier et à arrêter les opérateurs de LockerGoga en octobre 2021. On peut imaginer que grâce à cette arrestation, les forces de l'ordre ont pu accéder aux clés privées "maîtres" ce qui permet de déchiffrer les données de l'ensemble des victimes.

Les données chiffrées par ce ransomware héritent de l'extension ".locked". Grâce à l'outil de déchiffrement de Bitdefender, il devient possible de scanner l'ensemble d'une machine ou un seul dossier, à la recherche de fichiers chiffrés. Dans le cas où un fichier chiffré est détecté, il est automatiquement déchiffré par l'outil. D'après Bitdefender, cet outil peut fonctionner sur une seule machine ou sur un réseau entier d'ordinateurs chiffrés.

Pour que l'outil fonctionne, il y a deux prérequis à respecter :

• La machine doit être connectée à Internet
• Les notes de rançon générées par le ransomware pendant le chiffrement des données doivent se trouver à leur emplacement d'origine.

Cette application intègre une option nommée "Backup files" qui permet de garder une copie des fichiers déchiffrés. Il est recommandé de la garder cochée, car, dans certains cas, le fichier peut être corrompu pendant le processus de déchiffrement. Ainsi, grâce à la sauvegarde, on peut répéter l'opération.

Cet outil de déchiffrement devrait rendre bien des services aux victimes qui n'ont pas souhaité payer la rançon et qui ont toujours des données chiffrées... Enjoy!

Source

The post Bitdefender a publié un outil de déchiffrement pour le ransomware LockerGoga first appeared on IT-Connect.

Coup de tonnerre dans le monde du jeu-vidéo : un pirate s'est emparé du code source et de vidéos de gameplay Grand Theft Auto 6, un jeu attendu depuis plusieurs années et propulsé par Rockstar Game. Que s'est-il passé ?

Alors Grand Theft Auto 5 dit GTA 5 est sortie en 2013, cela fait plusieurs années que les fans de ce jeu attendent les 6e opus. Il est en préparation, et nous ne savons pas quand il sortira. Néanmoins, le piratage qui vient d'avoir lieu pourrait bien perturber les plans du studio Rockstar Game.

Il s'avère qu'un pirate a pu accéder au serveur Slack et au wiki Confluence de Rockstar Game, ce qui lui a permis de récupérer des informations confidentielles ! Sur GTAForums, ce pirate surnommé "teapotuberhacker" a partagé un lien qui donne accès à une archive RAR qui contient 90 vidéos correspondantes à GTA 6.

Ce n'est pas tout puisque le pirate affirme avoir volé "le code source et les ressources de GTA 5 et 6, ainsi que la version de test de GTA 6" mais pour le moment il n'a pas diffusé ces informations. Sa tactique est claire : il va essayer d'obtenir de l'argent de la part de Rockstar Games. En attendant, il affirme qu'il peut vendre les éléments liés à GTA 5 contre une somme supérieure à 10 000 dollars, tandis qu'il garde les éléments liés à GTA 6 pour ses négociations avec Rockstar Games. En tout cas, pour le moment.

Pour l'instant, le studio Rockstar Games ne s'est pas exprimé... On peut imaginer que cet événement était probablement inattendu. Par contre, l'éditeur semble faire la chasse aux vidéos leakées sur YouTube, mais le mal est fait : elles vont circuler malgré tout. Même s'il n'y a pas de confirmation officielle, Jason Schreier de Bloomberg a confirmé l'existence de la fuite de données après avoir parlé à des sources chez Rockstar.

Qui est à l'origine de cette attaque ?

On peut se demander qui est à l'origine de l'attaque et comment a eu lieu l'accès initial... D'après les informations fournies par pirate informatique lui-même, il serait également à l'origine du piratage d'Uber. Il est vrai que ces attaques sont similaires dans le sens où il y a la compromission d'un accès Slack dans les deux cas. Pour rappel, le cybercriminel à l'origine de l'attaque contre Uber serait âgé de seulement 18 ans.

Source

The post Piratage de Rockstar Games : fuite du code source et vidéos de GTA 6 ! first appeared on IT-Connect.

I. Présentation

Aujourd’hui, nous allons activer et utiliser une fonctionnalité très intéressante de Wireshark : la géolocalisation des adresses IP publiques via les bases de données MaxMind GeoLite2.

Cette fonctionnalité va permettre d’afficher des informations sur les adresses IP publiques, afin de connaître l'origine ou la destination d'un flux dans Wireshark. Voici les informations que l'on pourra obtenir :

• ASN : le numéro Autonomous System
• Le Pays
• La ville

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Téléchargement - Wireshark

II.  Mise en place des bases de données

A. Prérequis

Avant de télécharger les bases de données MaxMind, il faut valider que notre version de Wireshark est compatible avec cette fonctionnalité. Cette fonctionnalité est disponible depuis la version 2.6 de Wireshark.

Pour vérifier la compatibilité de Wireshark, il faut lancer l'application, aller sur le menu "Aide" et ensuite cliquer sur "A Propos de Wireshark".

Une nouvelle fenêtre s’ouvre, vous devez trouver ceci "with MaxMind DB resolver" , sinon il faudra télécharger une version de Wireshark plus récente.

B. Récupération des bases de données

Pour récupérer les bases de données MaxMind, il faut obligatoirement créer un compte sur leur site (la récupération des bases de données est gratuite).

Voici le lien : MaxMind - Télécharger les bases de données GeoIP

Une fois authentifié, il faut récupérer les trois fichiers suivants :

• GeoLite2 ASN
• GeoLite2 City
• GeoLite2 Country

Pour télécharger une base de données, il faut absolument prendre le format "GeoIP2 Binary (.mmdb)(APIs)" et ensuite cliquer sur "Download GZIP".

Répéter cette opération pour les fichiers "GeoLite2 City" et "GeoLite2 Country".

Une fois les fichiers téléchargés, vous devriez avoir trois fichiers au format tar.gz comme ceux-ci :

N.B : la date dans le nom du fichier correspond à la date de MAJ de la base de Données.

Une fois les téléchargements effectués, je vous recommande de copier les trois fichiers dans un répertoire dédié.

Dernière étape avant de lier les bases de données à Wireshark, il faut décompresser les fichiers avec 7-Zip (ou un logiciel équivalent qui prend en charge le format tar.gz). Cette étape est à faire deux fois par fichier.

Après la première décompression, vous devez avoir trois nouveaux fichiers au format ".tar".

Ensuite, vous devez répéter cette opération sur les fichiers en ".tar". Dans chaque dossier présent sur votre machine se trouve un fichier avec l'extension ".mmdb". Voici un exemple :

Gardez de côté l'ensemble des fichiers en ".mmdb" , et vous pouvez supprimer l’ensemble des autres fichiers, car ce sont seulement les archives sources.

Vous devez vous retrouver avec les trois fichiers suivants "GeoLite2-ASN.mmdb", "GeoLite2-City.mmdb" et "GeoLite2-Country.mmdb".

Nous pouvons passer à l'étape suivante qui consiste à intégrer ces bases de données dans Wireshark.

C. Intégration des bases de Données dans Wireshark

L’intégration des bases de données dans Wireshark est très simple. Tout d'abord, nous allons spécifier le répertoire où sont stockés les fichiers.

Ouvrez Wireshark et allez sur le menu "Editer" puis "Préférences".

Une nouvelle fenêtre s'ouvre, cliquez sur "Name Resolution". Ensuite, cliquez sur "Editer…" au niveau de "MaxMind database directories".

Une autre fenêtre s’ouvre, cette fois pour donner le chemin du répertoire des bases de données.

Cliquez sur le "+" et ensuite cliquez sur "Parcourir" pour spécifier votre répertoire. Enfin, cliquez sur "OK".

Cliquez une nouvelle fois sur "OK" dans la fenêtre des préférences.

Voilà, la configuration de GeoIP est terminée !

III. Utilisation de la fonctionnalité GeoIP

A. Les Endpoints

Pour voir rapidement la localisation des adresses IP publiques dans Wireshark, il faut aller dans le menu "Statistiques" et ensuite cliquer sur "Endpoints".

La fenêtre des "Endpoints" apparaît, cliquez sur "IPv4".

Comme vous pouvez le voir, quatre nouvelles colonnes sont apparues :

• Country : localise le pays d’une adresse IP
• City : localise la ville d’une adresse IP
• AS : Permet de spécifier dans quelle AS se trouve une adresse IP
• AS Organisation : permet de spécifier à quelle entreprise appartient cette IP

N.B : vous pouvez aussi retrouver les informations de GeoIP sur l’onglet IPv6.

B. La carte de GeoIP

Dans la fenêtre des "Endpoints", il y a un nouvel icône en bas à gauche intitulé "carte". Cliquez sur "Carte" et ensuite cliquez sur "Ouvrir dans un navigateur".

N.B : Wireshark utilisera votre navigateur par défaut.

Votre navigateur s’ouvre avec la carte basée sur OpenStreetMap, et on voit le nombre d'adresses IP par localisation.

Vous pouvez zoomer en double-cliquant sur une valeur de la carte. Ensuite, si vous cliquez sur une adresse IP, vous pouvez afficher les informations qu’on retrouve dans les colonnes sur les endpoints.

C. GeoIP et le détail des paquets

Les informations de GeoIP se situent aussi dans le détail des paquets dans la partie "Internet Protocol". Pour tester, cliquez sur un paquet contenant une adresse IP publique au sein de votre capture. Ensuite, allez dans le panneau détail du paquet, et déroulez l’en-tête "Internet Protocol Version 4" puis déroulez la partie "GeoIP".

N.B : La partie GeoIP peut-être soit indiquée en source ou en destination.

Avec la mise en place de la base de données GeoIP, nous retrouvons aussi les informations dans la partie Internet Protocol (V4 ou V6).

On y retrouve les informations de base comme le pays, la ville, l'AS et la société à laquelle appartient l'adresse IP. En plus, nous avons des informations de style "coordonnées GPS" telles que la longitude et la latitude de l’adresse IP.

D. Les filtres d'affichage

Il est possible de filtrer une trace réseau via les informations de GeoIP, voici les filtres intéressants à garder précieusement :

• Filtrer sur un pays en source ou destination : ip.geoip.country == "United States"
• Filtrer sur pays en source : ip.geoip.src_country == "United States"
• Filtrer sur pays en destination : ip.geoip.dst_country == "United States"
• Filtrer sur le code d’un pays en source ou destination : ip.geoip.country_iso == "US"
• Filtrer sur une organisation (une entreprise) : ip.geoip.org == "GOOGLE"

N.B : pensez à consulter notre précédent article sur les filtres d’affichage dans Wireshark afin de créer vos filtres facilement.

E. Les colonnes

Vous pouvez aussi ajouter en colonne dans la liste des paquets avec les informations de GeoIP.

Prenons un exemple : ajouter en colonne les numéros AS.

Il faut retourner dans le détail du paquet au niveau de l’en-tête "Internet Protocol version 4", dérouler la partie "GeoIP" et ensuite effectuez un clic droit et cliquez sur "Appliquer en Colonne".

N.B : pensez à consulter notre précédent article sur la personnalisation de Wireshark pour vous aider à gérer vos colonnes.

IV. Mon retour d’expérience

La fonctionnalité de Géolocalisation IP m’a servi dans le cadre d’une tentative de cyberattaque afin d’identifier de quel pays provenait cette tentative, dans le cadre d'une analyse post mortem. A titre personnel, ça m’a permis de retirer l’envoi de statistiques d’une application, vers le Brésil.

V. Conclusion

Cet article sur Wireshark et la fonctionnalité de GeoIP est terminé ! Grâce à cette fonctionnalité, vous disposez d'informations supplémentaires très pratiques pour analyser des paquets, et surtout précieuses dans le cadre d’analyses liées à un incident de cybersécurité.

Le prochain article parlera du décryptage de flux HTTPS en live avec Wireshark.

The post Wireshark : activer la géolocalisation d’adresses IP first appeared on IT-Connect.

Souvenez-vous : au début du mois d'août 2022, LastPass a été victime d'une cyberattaque durant laquelle les pirates informatiques ont pu récupérer des informations sensibles ainsi qu'une partie du code source. Désormais, nous savons également que les cybercriminels ont eu accès pendant 4 jours à une partie de l'infrastructure de LastPass !

Pour rappel, LastPass est un gestionnaire de mots de passe basé sur le Cloud et c'est l'une des solutions les plus populaires avec une base de clients qui compte plus de 33 millions d'utilisateurs et 100 000 entreprises.

• Gestionnaire de mots de passe - LastPass confirme avoir été piraté : le code source volé !

LastPass a mis à jour son bulletin de sécurité lié à cette cyberattaque dont on connaissait déjà l'origine : la compromission d'un compte d'un développeur que les attaquants ont pu utiliser pour accéder à l'environnement de développement de l'entreprise. La première publication officielle au sujet de cet incident de sécurité remonte au 25 août 2022, soit environ deux semaines après les faits.

Karim Toubba, le CEO de LastPass, affirme que son entreprise a mené une enquête en collaboration avec l'entreprise Mandiant, et que les cybercriminels ont pu accéder à l'environnement de développement, mais qu'ils n'ont pas pu accéder aux informations des clients, ni même aux coffres-forts de mots de passe chiffrés. Voici ce que dit le communiqué officiel : "Premièrement, l'environnement de développement de LastPass est physiquement séparé de notre environnement de production et n'a pas de connexion directe avec celui-ci. Deuxièmement, l'environnement de développement ne contient aucune donnée client ou coffre-fort chiffrés. Troisièmement, LastPass n'a pas accès aux mots de passe maîtres des coffres de nos clients".

LastPass affirme également que le code source de l'application ne contient pas de code malveillant : c'était un risque puisque les pirates ont eu accès au code source.

On apprend également que les cybercriminels ont pu utiliser cet accès pendant 4 jours, avant que LastPass s'en aperçoive et décide de couper les accès : "Notre enquête a révélé que l'activité du cybercriminel s'est limitée à une période de quatre jours en août 2022. Pendant cette période, l'équipe de sécurité de LastPass a détecté l'activité du cybercriminel  et a ensuite contenu l'incident."

Source

The post Piratage de LastPass : les cybercriminels ont eu accès à l’environnement pendant 4 jours first appeared on IT-Connect.

Dans le domaine de l'informatique, l'anglais est une langue incontournable même lorsque l'on travaille pour une entreprise dont l'activité se situe sur le sol français. En effet, l'anglais est la langue qui prime en informatique et il suffit de regarder les termes utiliser pour les langages de programmation pour s'en convaincre. Ajoutez à cela la documentation des constructeurs et éditeurs qui est bien souvent en anglais dans sa version d'origine, et vous comprendrez que l'anglais n'est pas une option.

Partant de ce constant, on peut se demander comment progresser en anglais de manière à atteindre un niveau suffisant ? Puisque c'est la rentrée, certains d'entre vous vont peut-être chercher à perfectionner leur niveau d'anglais pour évoluer personnellement, ou tout simplement pour se lancer un nouveau défi personnel ! Que ce soit pour apprendre l'anglais ou tout simplement se perfectionner, sans que ce soit une contrainte supplémentaire à gérer au quotidien, sachez qu'il existe Cambly : une plateforme 100% flexible que je vais vous présenter aujourd'hui.

• Tester la plateforme Cambly

L'informatique et l'anglais sont liés !

Avant de vous parler de la plateforme Cambly, je souhaitais insister sur l'importance de l'anglais lorsque l'on travaille dans l'informatique en listant quelques situations durant lesquelles l'anglais est utile :

• Recherche d'informations, de documentations (même s'il y a la traduction, c'est parfois imprécis)
• Prise de contact avec le support technique d'un éditeur de logiciel, d'un fabricant, etc.
• Préparation à un examen pour obtenir une certification, car même si l'on peut se préparer avec des documentations dans sa langue maternelle, l'examen final sera en anglais
• Apprentissage d'un nouveau langage de programmation
• Prérequis incontournable pour certains postes, car c'est un critère très fréquent dans les offres d'emploi de ce secteur
• Compréhension de certains termes techniques

Enfin, puisque l'anglais est la langue de référence dans le domaine de l'informatique, cela pousse les entreprises à produire du contenu en anglais afin d'être comprises par un maximum de personnes. De ce fait, on peut trouver des informations techniques plus fournies en anglais qu'en français, ou en tout cas une plus grande variété de ressources. Entre parenthèses, IT-Connect est là pour vous fournir du contenu de qualité en français, car oui les Français apprécient le contenu en français. Si l'on part du principe que l'anglais est la langue "par défaut" en informatique, on peut imaginer qu'un Français va produire du contenu lié à l'informatique en anglais, tandis que l'inverse est moins évident.

Entre nous, au-delà de trouver un intérêt à apprendre l'anglais d'un point de vue professionnel, c'est aussi très utile pour les personnes qui apprécient voyager !

La plateforme Cambly

Cambly est une plateforme en ligne spécialisée dans l'apprentissage de l'anglais qui compte plus de 10 millions d'utilisateurs dans le monde entier. La particularité de cette plateforme, c'est qu'elle vous permet d'échanger avec des tuteurs dont l'anglais est la langue maternelle, qui ont des accents différents (américain, britannique, etc.), qui maîtrisent des vocabulaires spécifiques, etc... D'ailleurs, j'ai pris le temps de contacter la plateforme Cambly pour savoir s'il y avait des tuteurs qui maîtrisaient le vocabulaire lié à l'informatique, et on m'a affirmé que oui, il y a des tuteurs expérimentés et passionnés par l'informatique que l'on peut identifier en recherchant le terme "computer", par exemple. C'est un avantage, car cela peut permettre d'avoir des échanges ciblés sur certains sujets.

Puisque Cambly s'appuie sur des tuteurs présents dans le monde entier, cela permet aux utilisateurs de pouvoir démarrer une leçon à n'importe quel moment : 7 jours sur 7, 24 heures sur 24, 365 jours par an. La plateforme mise sur la flexibilité pour que l'apprentissage de l'anglais ne soit pas un cauchemar, et pour aller plus loin, c'est vous également qui choisissez le contenu de chaque leçon : préparation au TOEIC / TOEFL, conversations libres, apprendre à réaliser une présentation en anglais, etc.

Je vous invite à tester la plateforme Cambly et en complément pour améliorer votre compréhension de l'anglais, je vous encourage à lire du contenu en anglais et à regarder des vidéos en anglais, que ce soit sur YouTube, Netflix (un film en VO, par exemple), etc.... Afin d'améliorer votre compréhension orale.

Profitez de l'offre de la rentrée pour tester Cambly

À l'occasion de la rentrée 2022, Cambly propose une offre spéciale qui permet d'obtenir une réduction de 50% sur un abonnement de 12 mois. A titre indicatif, sans la réduction, un abonnement d'un an pour 2 cours de 15 minutes par semaine est facturé 71 euros par mois. Pour les élèves les plus assidus, un diplôme Cambly sera délivré, et celui-ci mentionne le nombre d'heures de pratique que vous avez effectuées sur Cambly.

En ce moment, vous pouvez aussi tester la plateforme gratuitement, sans engagement et profiter d'un cours gratuit de 15 minutes pendant lequel vous pourrez échanger avec un tuteur. Idéal pour tester et voir si le format vous convient !

• Tester la plateforme Cambly

The post L’informatique et l’anglais : comment progresser facilement avec Cambly ? first appeared on IT-Connect.