La marque de vêtements et d'équipements The North Face a été la cible d'une cyberattaque de type credential stuffing qui a permis aux pirates informatiques d'obtenir l'accès à 194 905 comptes utilisateurs du site thenorthface.com. Qu'est-il passé ?

Pour rappel, une attaque de type credential stuffing consiste à tenter de se connecter sur une plateforme en réutilisant des identifiants (combinaison de noms d'utilisateur et de mots de passe) obtenus à partir de diverses fuites de données. Du coup, le succès d'une telle attaque dépend des utilisateurs, car toutes les personnes qui utilisent le même couple "nom d'utilisateur + mot de passe" sur plusieurs sites, sont susceptibles d'être concernées. Cela dépend aussi de la fréquence de renouvellement des mots de passe.

Cette attaque sur le site Web de The North Face a commencé le 26 juillet 2022... Et elle s'est terminée le 19 août 2022, suite à des actions effectuées par les administrateurs qui ont détecté l'attaque uniquement le 11 août 2022. Suite à la détection de cette attaque, The North Face a mené des investigations et il s'avère que les pirates informatiques ont pu accéder à près de 200 000 comptes utilisateurs.

En accédant à un compte, plusieurs informations deviennent disponibles :

• Nom, prénom et genre
• Adresse de livraison et de facturation
• Historique des commandes
• Numéro de téléphone
• Date de création du compte
• Jeton lié à la carte de paiement

La bonne nouvelle c'est que les coordonnées bancaires ne sont pas mémorisées directement sur le site Web, donc les pirates n'ont pas pu accéder à ces informations sensibles. À ce sujet, The North Face affirme : "Nous ne conservons pas de copie des données relatives aux cartes de paiement sur thenorthface.com. Nous ne conservons qu'un "jeton" lié à votre carte de paiement, et seul notre processeur de carte de paiement tiers conserve les détails de la carte de paiement.". Ce fameux jeton ne peut pas être utilisé ailleurs que sur le site thenorthface.com.

Par mesure de précautions, tous les mots de passe des utilisateurs ont été réinitialisés et tous les jetons associés aux cartes de paiement ont été effacés. Cela signifie que les clients vont devoir créer un nouveau mot de passe et saisir à nouveau les informations de paiement lors de la prochaine commande. De toute façon, il vaut mieux éviter de sauvegarder ses données de paiement sur des sites de e-commerce.

Ce n'est pas la première fois que The North Face est victime d'une attaque de type credential stuffing : il s'agit de la seconde, et la première a eu lieu en novembre 2020.

Source

The post The North Face : 200 000 comptes piratés avec une attaque de type credential stuffing first appeared on IT-Connect.

I. Présentation

Parmi les nouveautés de Windows Server 2022, il y a la prise en charge du DNS over HTTPS (DoH) au sein du client DNS du système d'exploitation. L'objectif du DNS over HTTPS est de sécuriser les requêtes DNS entre le client DNS, en l'occurrence la machine Windows Server 2022, et le serveur DNS, grâce à l'encapsulation du trafic DNS dans une connexion HTTPS. Dans ce tutoriel, nous allons voir comment configurer le DoH sur Windows Server 2022.

DNS over HTTPS : le protocole HTTPS est utilisé pour établir la connexion, ce qui implique que l'on utilise un port standard et qui sera celui du HTTPS : le port 443. Le trafic DNS quant à lui sera encapsulé au sein de la connexion HTTPS, tout en sachant que cette connexion bénéficie du chiffrement via TLS. Ainsi, la requête DNS est sécurisée alors qu'en temps normal, elle transite en clair sur le réseau, car le trafic DNS n'est pas chiffré. Le fait d'avoir la prise en charge au sein du client DNS du système va permettre de profiter de cette fonctionnalité sur l'ensemble de la machine, et pas seulement dans le navigateur : les navigateurs modernes supportent le DoH.

Note : le DoH, tel qu'il est décrit dans cet article, est également pris en charge sur Windows 11.

Voici mes précédents articles sur le sujet :

• Sécurité DNS - DoH : Qu'est-ce le DNS over HTTPS ?
• Configuration du DNS over HTTPS dans les navigateurs
• Configurer le DNS-over-HTTPS dans Firefox par GPO
• Configurer le DNS-over-HTTPS dans Chrome par GPO
• Comment activer le DNS over HTTPS dans Windows 10 ?

II. Utiliser un DNS chiffré dans Windows Server 2022

Sur votre machine Windows Server 2022, ouvrez le panneau des paramètres, cliquez sur la section "Réseau et Internet". Ensuite, choisissez "Ethernet" à gauche et dans la partie centrale, cliquez sur la carte réseau, comme sur l'image ci-dessous.

Sous la section "Paramètres du DNS", cliquez sur "Modifier".

Une fenêtre s'affiche et permet de basculer en mode "Manuel" pour définir soi-même un serveur DNS à utiliser pour la résolution de noms. Ici, dans la section "IPv4", il faudra indiquer l'adresse IP du résolveur DNS compatible DoH que vous souhaitez utiliser. Prenons l'exemple du DNS de chez Quad9, qui répond à l'adresse IP "9.9.9.9". Une fois l'adresse IP indiquée, l'option en dessous de la zone de saisie se déverrouille et donne accès à un menu qui permet de basculer sur le mode "Chiffré uniquement (DNS over HTTPS)".

Ensuite, il suffit de valider directement ou d'ajouter un DNS secondaire. Désormais, les requêtes DNS de votre serveur sont chiffrées ! Vous l'aurez sûrement compris, ce type de configuration ne peut pas s'appliquer si le serveur local utilise un contrôleur de domaine en tant que serveur DNS, par exemple. Par contre, vous pouvez monter votre propre résolveur DoH...

III. Windows Server 2022 : la liste des résolveurs DoH pris en charge

Si vous n'indiquez pas "9.9.9.9" mais une autre adresse IP, c'est possible que l'option ne se déverrouille pas, et donc qu'il ne soit pas possible de passer en mode sécurisé. En fait, Windows intègre une liste de DoH pris en charge qui sont déclarés dans le système : si l'adresse IP saisie ne correspond pas à l'une de ces adresses IP, l'option reste verrouillée.

La commande PowerShell suivante permet d'obtenir cette liste :

Get-DNSClientDohServerAddress

On peut voir qu'il y a ceux de Quad9, mais aussi de Google (8.8.8.8...) et de Cloudflare (1.1.1.1....).

Il faut savoir que cette liste n'est pas figée, et que vous pouvez ajouter de nouveaux résolveurs DNS compatibles DoH. Si l'on prend l'exemple d'AdGuard, dont le résolveur DoH répond aux requêtes qui suivent le modèle "https://dns.adguard.com/dns-query" et dont l'un des serveurs à l'adresse IP "94.140.15.15", on peut l'ajouter de cette façon :

Add-DnsClientDohServerAddress -ServerAddress '94.140.15.15' -DohTemplate 'https://dns.adguard.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True

Ainsi, si l'on retourne dans les paramètres DNS du système, et que l'on indique "94.140.15.15" comme adresse IP de serveur DNS, Windows va nous donner accès aux options pour passer en mode DNS chiffré.

• Microsoft Docs - Add-DnsClientDohServerAddress

IV. Conclusion

Pour conclure, j'attire votre attention sur l'existence d'un paramètre de GPO (local et Active Directory) disponible avec Windows Server 2022 et qui permet d'imposer l'utilisation d'un résolveur DoH. Attention, si l'on choisit le mode "Require DoH" mais que le DNS configuré sur le serveur ne le supporte pas, la résolution DNS sera en échec. Ce paramètre nommé "Configurer la résolution de noms DNS sur HTTPs (DoH)" est disponible à cet emplacement : Configuration ordinateur > Stratégies > Modèles d'administration > Réseau > Client DNS.

De nos jours, le DNS-over-HTTPS reste méconnu et peu mis en place sur les serveurs. Pour un serveur qui accède directement à Internet via un résolveur DNS externe, il me semble intéressant de faire en sorte d'utiliser un résolveur DoH pour sécuriser les requêtes DNS. Au moins, on comble une véritable lacune du protocole DNS... Enfin, et même si le DNS-over-HTTPS est intéressant, car il apporte une sécurité supplémentaire, il sera peut être surpassé par le DNS-over-QUIC avant même d'avoir été réellement adopté.

The post Windows Server 2022 : configuration du DNS over HTTPS (DoH) first appeared on IT-Connect.

HP a mis en ligne un nouveau bulletin de sécurité qui évoque une faille de sécurité dans le logiciel HP Support Assistant, ce dernier étant préinstallé sur tous les ordinateurs HP, que ce soit les PC de bureau ou les ordinateurs portables. Quels sont les risques ?

Sur les ordinateurs HP, le logiciel HP Support Assistant est préinstallé sur Windows et son objectif est d'accompagner les utilisateurs en cas de problème, pour optimiser les performances de la machine, pour effectuer des tests sur le matériel, ou encore pour vérifier les mises à jour du BIOS et des pilotes. Un logiciel qui peut s'avérer pratique, notamment pour les personnes qui ne sont pas très à l'aise avec l'outil informatique.

Les chercheurs en sécurité de Secure D ont fait la découverte d'une faille de sécurité associée à la référence CVE-2022-38395. Cette vulnérabilité à une sévérité importante et elle hérite d'un score CVSSv3 de 8.2 sur 10. La raison est simple : une personne malveillante peut exploiter cette vulnérabilité pour élever ses privilèges sur la machine locale. Bien qu'il n'y ait pas beaucoup de détails techniques sur le site de HP, on sait qu'il s'agit d'une vulnérabilité de type DLL hijacking exploitable au moment de lancer la fonction d'optimisation des performances depuis HP Support Assistant. Ainsi, un pirate peut faire en sorte que ce soit sa bibliothèque malveillante qui soit chargée et qu'elle hérite des autorisations de HP Support Assistant, c'est-à-dire des privilèges SYSTEM.

Pour exploiter cette vulnérabilité, le pirate doit déjà avoir un accès sur la machine avec un utilisateur standard, sans droits particuliers. Grâce à cette vulnérabilité, il va pouvoir élever ses privilèges et prendre possession totalement de la machine compromise.

Compte tenu du nombre de machines équipées avec HP Support Assistant et de la facilité d'exploitation de cette faille de sécurité, il est recommandé de mettre à jour le logiciel dès que possible. Pour les utilisateurs d'une version 9.X, la version corrigée est disponible via le Microsoft Store, tandis que pour les versions 8.X, il faut vérifier les mises à jour à partir de l'interface du logiciel. Sur son site, HP précise que toutes les versions antérieures à la version 9.11 sont concernées par cette faille de sécurité.

Source

The post HP Support Assistant : une faille importante dans ce logiciel préinstallé sur les PC de chez HP first appeared on IT-Connect.

Bercy a mis en ligne un rapport dans lequel il est mentionné que les assurances cyber peuvent rembourser les rançons demandées dans le cadre des cyberattaques. Une décision à la fois surprenante et décevante !

Dans le cas où une entreprise est victime d'un ransomware, quelle doit payer une rançon pour - peut être - récupérer ses données, et qu'elle dépose plainte, le Ministère de l'Économie autorise à ce que l'assurance cyber de cette entreprise rembourse la rançon en guise d'indemnisation. J'insiste sur le fait que Bercy propose de "conditionner l’indemnisation d’une assurance cyber-rançons au dépôt de plainte de la victime". Le fait qu'il y a ait une plainte permettra de renforcer l'accompagnement de l'entreprise victime, mais aussi d'avoir connaissance de cette attaque informatique.

Cette décision va beaucoup faire parler, car elle va à l'encontre de l'avis de l'ANSSI et de différents experts de la cybersécurité. C'est normal, car en payant les rançons, on encourage les cybercriminels à continuer, en plus de participer au financement de leurs activités malveillantes. D'ailleurs, c'est étonnant, mais dans le rapport de Bercy il y a un paragraphe qui fait référence aux recommandations de l'ANSSI que l'on peut lire dans le guide "Attaques par rançongiciels, tous concernés" : "Le paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités, entretient ce système frauduleux, est susceptible de contribuer au financement du terrorisme".

Au-delà de financer les activités des cybercriminels, cette décision va également faire les affaires des assurances puisque les entreprises vont probablement souscrire à un contrat de ce type dans le but d'être indemnisées en cas de cyberattaque. Toutefois, cette indemnisation éventuelle de la part de l'assurance peut agir comme un filet de sécurité aux yeux des entreprises, ce qui va peut-être freiner les investissements sur le plan de la cybersécurité.

Personnellement, je pense que les entreprises devraient déjà investir pour améliorer la sécurité de leur système d'information et sensibiliser leurs salariés, avant de compter sur une assurance. L'indemnisation en cas d'une attaque c'est une chose, mais l'argent ne permettra pas à l'entreprise de se racheter une réputation, et au final, elle devra aussi revoir son système d'information dans le but de le sécuriser. Et puis, les cybercriminels ne sont pas bêtes : si vous payez une fois la rançon, ils auront envie de revenir frapper à votre porte avec une seconde attaque pour vous faire payer une seconde fois.

Le rapport est disponible ici. N'hésitez pas à partager votre avis sur cette décision.

The post Mauvaise nouvelle : Bercy autorise l’indemnisation des entreprises victimes d’un ransomware first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons utiliser WP-CLI de manière à effectuer une action de type "rechercher et remplacer" dans la base de données d'un site WordPress, de manière simple, sans écrire notre propre requête SQL.

Pour manipuler la base de données de son site WordPress, on peut utiliser des requêtes SQL ou s'appuyer sur une interface telle que PhpMyAdmin. Néanmoins, ceci implique de maîtriser le langage SQL et de connaître la structure de la base de données WordPress. De plus, une mauvaise requête SQL peut s'avérer dévastatrice....

L'outil WP-CLI permet d'interagir auprès de son site WordPress directement en ligne de commande ! Simple d'installation, il va permettre de réaliser de nombreuses actions sur le site : installer une extension, gérer les rôles, mettre à jour WordPress, gérer les articles, etc.... Ce projet est soutenu par diverses entreprises, dont Automattic, l'entreprise qui est derrière WordPress.

Vous l'aurez compris en lisant le titre de cet article, aujourd'hui on va s'intéresser à un cas spécifique : rechercher et remplacer une chaîne de caractères dans la base de données WordPress. Récemment, j'ai utilisé cette technique pour un site qui changeait de nom de domaine afin que ce soit pris en compte sur les liens internes des articles, dans la configuration de certains plugins, etc... Car le fait de changer l'adresse du site dans les paramètres de WordPress n'est pas toujours suffisant.

• Site officiel - WP-CLI
• Comment installer WordPress sous Linux ?

II. Installation de WP-CLI

L'installation de WP-CLI est simple et s'effectue en quelques commandes, sur le serveur où est déployé le site WordPress. Suite à l'installation, la machine dispose d'une nouvelle commande nommée "wp". À partir de votre shell Linux, vous devez exécuter la commande suivante pour récupérer l'installeur :

curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar

Une fois que c'est fait, exécutez la commande ci-dessous pour obtenir des informations sur le fichier téléchargé et vérifier qu'il est prêt à fonctionner :

php wp-cli.phar --info

Il ne reste plus qu'à changer les droits sur le fichier pour ajouter les droits d'exécution, puis nous allons le déplacer dans "/usr/local/bin" sous le nom de "wp" pour que l'on puisse l'utiliser simplement avec le nom de commande "wp".

chmod +x wp-cli.phar
sudo mv wp-cli.phar /usr/local/bin/wp

Il ne reste plus qu'à utiliser l'outil !

III. Rechercher et remplacer avec WP CLI

L'outil WP dispose d'une action nommée "search-replace" qui correspond exactement à ce que l'on souhaite faire. Différentes options permettent d'affiner la requête : nous en verrons quelques-unes. Partons du principe que l'on souhaite rechercher et remplacer "domaine-abcd.fr" par "domaine-1234.fr".

La première chose à faire, c'est de se positionner à la racine du répertoire d'installation de WordPress. Par exemple, si mon site WordPress est installé dans "/var/www/wordpress/", je dois me positionner dans ce répertoire sinon WP-CLi ne fonctionnera pas !

cd /var/www/wordpress/

Ensuite, il faut préciser d'abord la chaîne à rechercher et remplacer, puis la chaîne de substitution. Ce qui donne :

wp search-replace 'domaine-abcd.fr' 'domaine-1234.fr'

Néanmoins, nous n'allons pas nous arrêter là. L'option "--dry-run" est super utile, car elle permet d'exécuter la requête en mode simulation, c'est à dire d'avoir le résultat sans effectuer les changements réellement. Ceci permet d'avoir une idée de l'impact de la commande que l'on s'apprête à exécuter. Ainsi, si cela semble correct, on peut exécuter la même requête sans cette option pour appliquer les changements ! Bien que simple à utiliser, WP-CLI est très puissant donc il faut l'utiliser avec précautions !

Ainsi, la commande précédente devient :

wp search-replace 'domaine-abcd.fr' 'domaine-1234.fr' --dry-run

En exécutant cette commande, on obtient une liste de tables de la base de données, avec des noms de colonnes et le nombre d'occurrences à remplacer à chaque fois. Dans l'exemple ci-dessous, il y a 4 550 remplacements à effectuer ! Le détail par colonne de chaque table est affiché.

Imaginons que l'on souhaite exclure une table du traitement, car on sait qu'il y a des informations qu'il ne faut pas remplacer, on peut la préciser. Par exemple, avec la table "wordpress_users" correspondante aux utilisateurs :

wp search-replace 'domaine-abcd.fr' 'domaine-1234.fr' --skip-tables=wordpress_users --dry-run

Une fois que le résultat de la simulation est satisfaisant, on peut appliquer les changements :

wp search-replace 'domaine-abcd.fr' 'domaine-1234.fr' --skip-tables=wordpress_users

Tout comme pour la simulation, l'opération est relativement rapide ! Pour finir, je souhaite attirer votre attention sur des options supplémentaires :

• --all-tables : inclure toutes les tables au périmètre, car sans cette option, les tables liées aux extensions ne sont pas analysée ! Pour couvrir toute l'installation de WordPress, cette option est utile.
• --allow-root : sert à exécuter les commandes WP avec le compte root directement (si l'on est connecté en root sur le serveur)
• --skip-columns : exclure une colonne d'une table, plutôt qu'une table entière

Voici un exemple d'utilisation  :

wp search-replace 'domaine-abcd.fr' 'domaine-1234.fr' --skip-tables=wordpress_users --all-tables --allow-root

IV. Conclusion

Vous venez d'effectuer vos premiers pas avec WP-CLI ! Un outil très utile pour le rechercher et remplacer dans la base de données WordPress ! Ne négligez pas l'option "--dry-run", elle est indispensable pour éviter les mauvaises surprises ! Il existe d'autres options détaillées dans l'aide officielle disponible à cette adresse :

• WP-CLI - Search and Replace - Aide

The post WordPress et WP-CLI : rechercher et remplacer dans la base de données first appeared on IT-Connect.