Entre septembre et décembre 2022, la CNIL va organiser 6 webinaires de 45 minutes sur le sujet du RGPD. L'occasion de se mettre à jour sur le sujet et d'en apprendre plus les enjeux liés à la protection des données.
Ces webinaires au sujet du RGPD (Règlement Général sur la Protection des Données) sont ouverts à tout le monde, même s'ils s'adressent particulièrement aux professionnels en charge de la protection des données, aux DPO, et aux chefs de projet IA. L'un des webinaires concerne les nouvelles recommandations liées aux mots de passe, donc il s'adresse aussi aux RSSI. Le premier webinaire traitera de la question de l'intelligence artificielle et du respect du RGPD, notamment en répondant à la question suivante : "Comment s’assurer en pratique du respect des grands principes du RGPD et mettre en œuvre un système d’IA en conformité ?".
Chaque webinaire aura une durée approximative de 45 minutes, avec 30 minutes de présentation et 15 minutes de questions-réponses avec les experts de la CNIL. Selon le webinaire, la répartition dut temps entre la présentation et les questions-réponses sera différente. Voici le programme des webinaires de la CNIL :
Vendredi 23 septembre, à 12h : « IA et données personnelles : principes et outils pour la conformité »
Mardi 11 octobre, à 12h : « Établissements de santé : les référentiels en santé et la « gouvernance » de la protection des données »
Mardi 18 octobre, à 12h : « Recommandation sur les mots de passe : quels sont les principaux changements ? »
Vendredi 21 octobre, à 12h : « Sécurité des systèmes d’IA : enjeux et bonnes pratiques »
Mardi 15 novembre, à 12h : « La prospection commerciale : quelles sont les règles ? »
Vendredi 2 décembre, à 12h : « Techniques d’IA protectives de la vie privée : tous d’horizon et perspectives »
Des replays seront disponibles pour chaque webinaire, ce qui est une bonne nouvelle, car il y a un nombre de places limitées pour chaque webinaire : le premier, prévu le 23 septembre 2022 affiche déjà complet ! Pour les autres, les inscriptions ne sont pas encore ouvertes. La CNIL précise : "Les inscriptions seront ouvertes environ 15 jours avant la date du webinaire.". Disons qu'il faudra être rapide ou plutôt compter sur les replays.
Pour obtenir le programme détaillé de chaque webinaire et réserver sa place (quand ce sera possible), voici la page à visiter : CNIL - Webinar RGPD
Dans ce tutoriel, nous allons apprendre à modifier des documents Word (Microsoft Office) via PowerShell par l'intermédiaire de signets que l'on va utiliser comme repère. Il s'agit d'une astuce qui permet de gagner du temps dans bien des situations ! Les manipulations effectuées dans ce tutoriel n'impliquent pas d'utiliser un module PowerShell complémentaire.
II. Office : les signets dans Word
Pour commencer, faisons un rapide rappel sur les signets dans Office Word. Un signet dans Word permet de marquer un endroit que vous souhaitez retrouver facilement. Vous pouvez créer autant de signets que vous le souhaitez dans votre document, et vous pouvez leur donner un nom unique afin de les identifier facilement. Dans notre contexte, nous allons utiliser les signets pour marquer l'endroit où notre script/commande PowerShell devra insérer une information précise.
Nous utiliserons par exemple un signet AUTEUR qui sera présent dans plusieurs documents, notre script sera en mesure d'ouvrir ces documents, de trouver le signet et d'y insérer la donnée souhaitée, le tout automatiquement. Pour manipuler les signets efficacement, il est dans un premier temps préférable de les rendre visibles dans Word. Pour cela, il faut se rendre dans "FICHIER" puis "Options", aller dans l'onglet "Options avancées" et cocher "Afficher les signets" :
Rendre les signets visibles dans Office Word.
Ajoutons maintenant un signet au bout d'une ligne AUTEUR. Après avoir placé notre curseur à l'endroit où nous souhaitons ajouter le signet, il faut se rendre dans "INSERTION" puis "Signet", donner le nom que l'on souhaite à notre signet (et ne pas l'oublier) puis cliquer sur "Ajouter" :
Ajouter un signet dans Office Word.
À présent, nous pouvons voir notre signet par un marquage spécifique dans notre document. Nous pouvons également retourner dans notre menu "Signet" et utiliser le bouton "Atteindre" pour retrouver un signet spécifique (cas d'un grand document ou plusieurs signets sont utilisés). Sachez également qu'un même signet peut être inséré à plusieurs endroits d'un document, ce qui permettra de modifier la même information plusieurs fois sans erreur.
III. Ouvrir et fermer un document Word via PowerShell
Maintenant que notre signet est positionné, nous allons apprendre à manipuler un document Word dans PowerShell. Il faut pour commencer, ouvrir un document et le fermer en y sauvegardant des modifications, voici les lignes de code en question, commentées :
# Chemin vers notre fichier Word $docfile = "C:\Users\audit\Documents\Docs\Doc-02.docx" # Création d'un objet COM de type Word.Application $Word = New-Object -comobject Word.Application $Word.Visible = $False
# Ouverture du document Word $document = $Word.Documents.Open($docfile)
#[Code de manipulation/lecture/modification]
# Sauvegarde des modifications dans le fichier indiqué $document.SaveAs($docfile) # Fermeture du document $document.Close() # Fermeture de l'application $Word.Quit()
Si vous insérez ces lignes dans un script .ps1, vous constaterez qu'il ne se passe pas grand-chose. Rien d'étonnant pour l'instant :).
IV. Word : insérer du texte dans un signet via PowerShell
À présent, nous allons insérer entre les instructions précédentes quelques lignes permettant d'insérer une donnée à l'endroit du signet nommé AUTEUR :
# Contenu de la donnée à insérer $data="Mickael"
# Nom du signet à modifier $signet = "AUTEUR" # Suppression d'éventuels sauts de ligne $data = $data.Trim() # Recherche du signet à modifier dans le document $bookmark = $document.Bookmarks | Where-Object -FilterScript { $_.Name -eq $signet } $bookmarkToModify = $bookmark.Range # Insertion de la donnée à l'endroit du signet $bookmarkToModify.Text = $data
Pour rappel, ces instructions sont à insérer à l'endroit du [Code de manipulation/lecture/modification] dans le bout de code vu précédemment (III. Ouvrir et fermer un document Word via PowerShell).
Après exécution du script, si vous consultez le document Word ciblé, le contenu souhaité aura été inséré à l'endroit du signet AUTEUR. Cette valeur correspond à la variable $data du code ci-dessus.
Constat de l'insertion du contenu voulu dans le signet AUTEUR.
Si vous avez plusieurs signets différents dans votre document, il vous suffit de répéter l'opération avec un nom de signet (variable $signet) différent.
V. Générer des documents Word à partir de modèles
Maintenant que nous savons faire cela, nous pouvons envisager des cas d'utilisation plus réalistes. Par exemple, lorsqu'un nouveau projet est créé dans une entreprise, plusieurs documents doivent être initialisés :
un document de présentation du projet (presentation.docx),
un document listant les intervenants sur le projet (intervenants.docx),
un document listant les achats à faire pour débuter le projet (achats.docx).
Tous ces documents auront un contenu différent, mais certaines informations seront communes :
l'auteur : le chef de projet,
la date : la date de création du projet,
le destinataire : le nom de notre client.
Saisir ces informations manuellement dans plusieurs documents est chronophage et source d'erreur. Nous devons créer un script qui va générer une arborescence pour un nouveau projet et insérer dans chaque document les informations qui peuvent l'être. Nous allons donc créer une petite arborescence de fichier dans un dossier nommé "modeles" et un script qui va prendre en entrée :
le nom du projet,
la date de création souhaitée,
le nom de l'auteur,
le nom du client.
Ce script PowerShell va ensuite initialiser l'ensemble des documents de notre projet et y insérer les données dans les signets prévus :
# Fonction d'écriture de données dans le signet dans l'objet "$doc" passé en paramètre function modifySignet{ param($doc,$key,$value) # Nom du signet à modifier $signet = $key # Recherche du signet à modifier dans le document $bookmark = $document.Bookmarks | Where-Object -FilterScript { $_.Name -eq $signet } $bookmarkToModify = $bookmark.Range # Insertion de la donnée à l'endroit du signet $bookmarkToModify.Text = $value.Trim() return $doc }
# Fonction de génération du document à partir du modèle function createDoc { param ($i, $o, $d, $c, $a) # Création d'un objet COM de type Word.Application $Word = New-Object -comobject Word.Application $Word.Visible = $False
# Ouverture du fichier $document = $Word.Documents.Open($i) Write-host " [+] Insertion de données dans les signets" # Appel de notre fonction d'insertion de données dans le signet $document = modifySignet -doc $document -key "AUTEUR" -value $a $document = modifySignet -doc $document -key "DATE" -value $d $document = modifySignet -doc $document -key "CLIENT" -value $c
# Sauvegarde des modifications dans le fichier indiqué $document.SaveAs($o) # Fermeture du document $document.Close() # Fermeture de l'application $Word.Quit() }
# Création du répertoire projet Write-Host "[+] Génération du répertoire projet"$nom New-Item -itemtype directory -name $nom | Out-Null
# Pour chaque fichier du répertoire "modele" Get-ChildItem .\modeles\ |foreach { Write-host "[+] Génération du fichier"$_.Name"à partir du modèle" # Chemin vers notre fichier Word $infile = (Resolve-Path ".").Path.Replace('Microsoft.PowerShell.Core\FileSystem::', '') +"\modeles\"+$_.Name $outfile= (Resolve-Path ".").Path.Replace('Microsoft.PowerShell.Core\FileSystem::', '') +"\"+$nom+"\"+$_.Name # Appel de la fonction de modification des signets createDoc -i $infile -o $outfile -d $date -c $client -a $auteur }
En plus du code déjà présenté, nous avons en plus dans ce projet les lignes de code concernant la création du répertoire projet et le parcours du dossier "modèle" pour y trouver l'ensemble des documents à copier dans notre répertoire projet et enfin, les lignes relatives à la gestion des paramètres. L'utilisation du script sera fera comme suivant :
> generer-projet.ps1 -nom project342 -auteur "Mickael" -date "14/08/2022" -client "IT-Connect" [+] Génération du répertoire projet project342 [+] Génération du fichier achats.docx à partir du modèle [+] Insertion de données dans les signets [+] Génération du fichier intervenants.docx à partir du modèle [+] Insertion de données dans les signets [+] Génération du fichier presentation.docx à partir du modèle [+] Insertion de données dans les signets
Suite à l'exécution de ce script, j'aurai dans un répertoire project342 avec les documents souhaités préremplis aux signets indiqués :
Création et remplissage automatique des fichiers docx via Powershell.
Il ne s'agit bien sûr que d'un exemple qui vise à montrer ce qui est réalisable dans des contextes plus proches de la réalité :).
Les chercheurs en sécurité de McAfee ont identifié 5 extensions pour Google Chrome qui se montrent particulièrement curieuses. En effet, ces extensions collectent des informations sur l'activité des utilisateurs dans le navigateur dans un but bien précis. Au total, ces extensions comptabilisent plus de 1,4 million de téléchargements !
L'objectif de ces extensions malveillantes est de générer de l'argent en abusant du principe de l'affiliation. Le principe est le suivant : l'extension surveille l'activité de l'utilisateur sur Internet, et quand il visite un site de e-commerce, l'extension modifie les cookies afin de faire croire que l'utilisateur est arrivé sur le site en utilisant un lien d'affiliation. Ainsi, si l'utilisateur effectue un achat, les auteurs de ces extensions touchent une commission.
Cette manipulation est assurée par le script "B0.js" qui envoie les données de navigation de l'internaute vers un domaine contrôlé par les attaquants ("langhort[.]com"). Si le site web visité est dans la liste des sites pour lesquels l'auteur de l'extension est affilié, le serveur répond à B0.js avec l'une des deux fonctions possibles.
La première fonction "Result['c'] - passf_url" ordonne au script d'insérer l'URL fournie (lien de référence associé à l'affiliation) sous forme d'iframe sur le site web visité.
Le seconde fonction "Result['e'] setCookie" ordonne à B0.js de modifier le cookie ou de le remplacer pour activer le processus d'affiliation.
Les chercheurs de McAfee ont mis en ligne une vidéo de démo :
AutoBuy Flash Sales (ID : gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 téléchargements
À première vue, ces extensions semblent légitimes, car elles fonctionnent réellement, en respectant les fonctionnalités annoncées. Par contre, en tâche de fond, elle effectue des actions douteuses et non respectueuses de la vie privée des utilisateurs. Si vous êtes un utilisateur de l'une de ces extensions, il est préférable de la supprimer. Pour éviter d'être détectées, certaines extensions vont jusqu'à attendre 15 jours avant d'entrer en action.
Pour le moment, les extensions "Full Page Screenshot Capture – Screenshotting" et "FlipShope – Price Tracker Extension" sont toujours disponibles sur le Chrome Web Store, tandis que les autres sont supprimées du magasin d'extension (ce qui n'empêche pas de les utiliser si elles sont déjà installées).
Les cybercriminels derrière le ransomware Ragnar Locker ont revendiqué une attaque contre TAP Air Portugal, la compagnie aérienne nationale du Portugal. Il y a quelques jours, en pleine nuit, les pirates sont parvenus à compromettre l'infrastructure informatique de la compagnie aérienne.
Sur son compte Twitter officiel, la compagnie TAP Air Portugal affirme : "TAP a été la cible d'une cyberattaque, désormais bloquée. L'intégrité opérationnelle est garantie". L'entreprise a déclaré que l'attaque avait été bloquée et elle indique également qu'elle n'a trouvé aucune preuve indiquant que les attaquants avaient eu accès aux informations des clients stockées sur les serveurs.
Suite à cette cyberattaque, la compagnie aérienne affirme que son site web et son application présentent toujours une certaine instabilité, ce qui ne fait pas les affaires des voyageurs. Malgré tout, pour rassurer ses clients, TAP affirme sur son site que les clients pouvaient réserver des vols, gérer les réservations déjà effectuées, s'enregistrer et télécharger leur carte d'embarquement sans avoir à se connecter.
La compagnie TAP a revendiqué cette attaque informatique, sans préciser qu'il s'agissait d'une attaque par ransomware. Par contre, le groupe Ragnar Locker a ajouté une nouvelle entrée correspondante à TAP Air Portugal sur son site Web dédié aux fuites de données. L'occasion d'affirmer qu'ils sont à l'origine de cette attaque informatique.
D'ailleurs, le groupe Ragnar Locker serait parvenu à exfiltrer des centaines de giga-octets de données et il serait sur le point de prouver qu'ils ont bien eu accès aux données des clients, contrairement à l'annonce de l'entreprise TAP Air Portugal. Pour le moment, les données ne sont pas publiées, si ce n'est qu'il y a une capture d'écran d'une feuille de calcul qui montre des informations qui pourraient correspondre à des données au sujet des clients. En effet, ce fichier montre des noms, des dates de naissance, des adresses électroniques et des adresses postales.
Le groupe Ragnar Locker serait actif depuis au moins décembre 2019, et il a déjà fait de nombreuses victimes, notamment au Portugal avec la compromission de l'entreprise Energias de Portugal.
Des chercheurs en sécurité ont fait la découverte d'une nouvelle campagne qui distribue un logiciel malveillant en s'appuyant sur des e-mails de type phishing, des documents malveillants et une image de l'Espace du télescope James Webb. Cette campagne est surnommée "GO#WEBBFUSCATOR".
Pour rappel, James Webb est un télescope spatial mis en orbite par la NASA et qui nous régale depuis plusieurs semaines avec des images incroyables de la galaxie, des planètes, etc... Forcément, ces magnifiques photos sont vues des millions de fois dans le monde entier, ce qui a visiblement donné des idées aux cybercriminels.
Découvert par les chercheurs en sécurité de Securonix, ce nouveau malware est codé en Golang, très apprécié par les pirates informatiques, car il permet de faciliter la portabilité d'une application d'un système à un autre, que ce soit Windows, Linux ou macOS. D'après eux, les moteurs d'analyse antivirus ne détectent pas ce malware à l'heure actuelle.
Comment se déroule l'attaque ? Tout d'abord, cela commence par un e-mail de phishing qui contient une pièce jointe nommée "Geos-Rates.docx". Ce fichier contient une macro VBS obfusquée qui s'exécutera automatiquement si les macros sont activées dans la suite Office (ce qui n'est pas forcément le cas, selon votre version). Le code de la macro permet de télécharger une image JPG nommée "OxB36F8GEEC634.jpg" à partir d'une ressource distante ("xmlschemeformat[.]com"). Ensuite, cette image est décodée avec certutil.exe et elle donne lieu à l'exécutable "msdllupdate.exe" qui est exécuté dans la foulée.
Si l'on ouvre cette image avec la visionneuse de Windows, on voit qu'il s'agit simplement de la célèbre photo de la galaxie SMACS 0723, prise en juillet dernier par le télescope James Webb. Cependant, si l'on ouvre cette image avec un éditeur de texte, les choses sont différentes : l'image intègre un certificat, ainsi que le code de l'exécutable malveillant. Cette souche malveillante cherche à devenir persistante sur la machine en se copiant elle-même dans "%%localappdata%%\microsoft\vault\" et en créant des clés de Registre.
Le malware communique avec les serveurs C2 pilotés par les pirates au travers de requêtes DNS de type TXT encodées en BASE-64. Bien sûr, ces requêtes servent à remonter des informations et les pirates peuvent exécuter des commandes à distance, d'après les chercheurs de Securonix.
