Dans ce tutoriel, nous allons voir comment générer un CSR avec OpenSSL sous Linux, afin de pouvoir faire une demande de certificat SSL.
Il m'arrive assez régulièrement de commander des certificats SSL, qui sont ensuite mis en place sur des serveurs Web pour utiliser le protocole HTTPS afin d'accéder à des applications Web ou des sites Web. Pendant le processus d'achat du certificat SSL, il est demandé de préciser le CSR, c'est-à-dire les informations associées à la demande de certificat. Sans le CSR, la demande de certificat ne pourra pas aboutir. La création du CSR sera associée à la génération d'une clé privée, qu'il faudra conserver sur le serveur qui héberge l'application Web.
Après une présentation de cette notion de CSR, nous verrons comment générer une demande de certificat. Pour ma part, je vais utiliser une machine sous Linux pour utiliser OpenSSL même si l'on pourrait l'installer sous Windows, ou passer par WSL.
II. À quoi sert la demande de signature de certificat ?
Par l'intermédiaire d'OpenSSL, nous allons générer une clé publique ainsi que la clé privée associée. Grâce à cette clé privée, nous allons pouvoir signer la demande de certificat, ce qui sera utile pour l'autorité de certification. Cette demande de certificat contiendra la clé publique ainsi que des informations sur l'entité à l'origine de la demande, notamment les coordonnées, ainsi que le nom de l'hôte ou du domaine. Le terme "demande de certificat" correspond en fait à une demande de signature de certificat : CSR pour Certificate Signing Request.
Ensuite, l'autorité de certification va signer le CSR avec sa propre clé privée afin de donner lieu au certificat final qu'il faudra déployer sur le site Web.
Pour approfondir le sujet du HTTPS et des certificats, je vous recommande de lire cet article : du HTTP au HTTPS.
III. Générer un CSR avec OpenSSL
Tout d'abord, connectez-vous à votre serveur en SSH ou en console directement. Sous Linux, l'emplacement par défaut où sont stockés les certificats est le répertoire "/etc/ssl/certs", donc je vais utiliser ce répertoire dans le cadre de cet exemple. Commençons par se positionner dans ce répertoire :
cd /etc/ssl/certs
Une fois dans ce dossier, nous allons utiliser OpenSSL pour générer une nouvelle clé privée et une demande de certificat associée. Le CSR sera transmis à l'autorité de certification qui doit nous fournir le certificat SSL, tandis que la clé privée restera sur le serveur Web. En général, on génère le CSR depuis l'hôte qui va recevoir le certificat au final, mais ce n'est pas obligatoire.
La clé privée RSA domaine.fr.key de 2048 bits (taille de la clé)
Le CSR domaine.fr.csr
Vous pouvez utiliser d'autres noms pour les fichiers, mais je vous recommande de préciser le nom de domaine (ou le nom d'hôte selon l'usage) afin que ce soit parlant. Lorsque l'on va exécuter cette commande, les deux fichiers ne seront pas générés immédiatement. En effet, il faudra répondre à une série de questions afin d'indiquer le pays, le nom de l'entreprise, etc... Ces informations seront visibles dans le certificat final.
Vous devez être vigilant au moment où la question "Common Name (e.g. server FQDN or YOUR name)" s'affiche ! Si vous générez un certificat pour un site Web (ou une application Web), il est impératif que le nom de domaine que vous indiquez corresponde au nom de domaine utilisé par le site Web qui va bénéficier de ce certificat.
Par exemple avec "domaine.fr" :
À la fin du processus, on peut vérifier l'existence des deux fichiers avec la commande suivante :
ls domaine.fr.*
Puis, on peut afficher le contenu de notre demande de certificat :
cat domaine.fr.csr
Avant de transmettre la demande à l'autorité de certification, vous pouvez vérifier les informations contenues dans le CSR, si vous le souhaitez. Ce n'est pas obligatoire, mais cela pourra rassurer certaines personnes. Pour cela, on utilise encore OpenSSL, en précisant en entrée le fichier CSR précédemment généré :
openssl req -in domaine.fr.csr -noout -text
On obtient, par exemple :
Votre demande de certificat est prête ! Copiez l'intégralité de la sortie, y compris la première et la dernière ligne, et fournissez cette information à l'autorité de certificat auprès de laquelle vous demandez votre certificat SSL. Ensuite, le processus va pouvoir aboutir et votre certificat sera généré !
Microsoft continue de travailler sur le développement de "One Outlook", son client de messagerie universel et nous en savons un peu plus à son sujet puisque des captures d'écran ont fuité. Le moins que l'on puisse dire, c'est qu'il ressemble beaucoup à la version web d'Outlook.
Cette ressemblance avec la version web d'Outlook n'est pas du tout une surprise, puisque depuis le début on sait que Microsoft s'appuie sur cette version pour imaginer One Outlook. Ce nouveau client de messagerie unifié a pour objectif de remplacer tous les logiciels actuels : Courrier, Calendrier, le client lourd Outlook, Outlook Web Access (webmail), Outlook.com et Outlook pour MacOS, afin d'avoir la même interface partout.
C'est par l'intermédiaire du compte Twitter de FireCube Studios et de quelques captures d'écran que One Outlook se dévoile aux yeux du grand public. Les personnes habituées à utiliser Outlook Web App vont rapidement voir les ressemblances, tandis que l'on voit aussi des petites touches de Fluent Design.
Sur l'une de ces images, on remarque que One Outlook semble intégrer plus fortement d'autres applications de Microsoft : OneNote, Booking, To Do et Yammer.
Au-delà de l'interface et de l'ergonomie, le passage à One Outlook permettrait d'unifier le paramétrage, car il est vrai qu'aujourd'hui, les options ne sont pas accessibles de la même façon selon la version d'Outlook que l'on utilise.
Quant au site Windows Central, il donne directement un accès à un lien de téléchargement vers One Outlook afin d'obtenir une version compatible avec les comptes Entreprise ou Education ! Néanmoins, il ne s'agit pas d'une version totalement aboutie et Microsoft déconseille de l'utiliser en production, mais rien ne vous empêche de tester !
On peut imaginer que One Outlook sortira courant 2022, et peut-être que Microsoft en parlera un peu plus lors de l'événement Microsoft Build 2022 qui se déroulera lors de la dernière semaine de mai.
Microsoft Excel est un logiciel très populaire en entreprise, et on l'utilise très souvent comme une petite base de données afin de stocker des données diverses et variées. Au sein même d'un service informatique, c'est un outil très utile, au même titre que peut l'être PowerShell, alors pourquoi ne pas combiner l'usage de ces deux outils ?
Lorsque l'on utilise PowerShell, il n'est pas rare de manipuler des fichiers de données au format CSV, notamment pour exporter ou importer des données afin de les exploiter dans un script. Dans le cas d'Excel, on peut également réaliser plusieurs actions : importer un fichier Excel, exporter des données dans un fichier Excel, écrire dans une cellule spécifique d'un fichier Excel, etc... Le tout avec PowerShell.
Ainsi, on peut imaginer un script qui va alimenter un fichier Excel, et ce dernier sera facilement consultable depuis un poste de travail, grâce à l'affichage sous forme de tableur. Vous l'aurez compris, dans ce tutoriel, nous allons apprendre à manipuler des fichiers Excel avec PowerShell. L'usage d'Excel à partir de PowerShell est un sujet vaste tant les possibilités sont nombreuses, donc ce tutoriel sera une première introduction pour vous permettre de démarrer sur de bonnes bases !
II. PowerShell et Excel : les prérequis
Depuis 2015, Douglas Finke développe un module nommé "ImportExcel" qui permet de manipuler des fichiers Excel avec PowerShell. Ce module populaire est disponible sur la PowerShell Gallery et compte plus de 1,4 million de téléchargements ! Grâce à ce module, il est possible d'effectuer de nombreuses opérations : importer les données d'un fichier Excel, exporter au format Excel, ajouter des onglets, des tableaux, des graphiques, mais aussi déclarer une formule, voire même changer la couleur de fond d'une cellule ou créer des règles de mise en forme conditionnelle.
Pour interagir avec Excel à partir de PowerShell sur Windows, c'est le seul prérequis ! En effet, il n'est pas nécessaire d'installer Microsoft Excel sur la machine où vous souhaitez manipuler des fichiers Excel avec PowerShell, ce qui est un avantage intéressant sur les serveurs.
III. Installer le module ImportExcel de PowerShell
L'installation de ce module s'effectue très simplement, à l'aide de la commande Install-Module que l'on utilise habituellement pour installer un module. Ce qui donne :
Install-Module -Name ImportExcel
Pour rappel, il est également possible d'installer le module uniquement pour l'utilisateur actuellement connecté sur la machine :
Quelques secondes plus tard, le tour est joué : vous êtes prêt à passer à la suite !
Sachez que vous pouvez lister l'ensemble des commandes disponibles dans ce module via la commande suivante :
Get-Command -Module ImportExcel
IV. Exporter des données dans Excel avec PowerShell
L'export de données dans un fichier Excel, reprend un peu le même principe que l'export CSV avec PowerShell. Très facilement, nous pouvons exporter le résultat d'une commande dans un fichier Excel. Prenons un exemple où nous allons exporter la liste des comptes d'un annuaire Active Directory dans un fichier Excel.
La commande ci-dessous récupère la liste de tous les utilisateurs de l'Active Directory et exporte cette liste dans un fichier nommé "AD-utilisateurs.xlsx" qui sera généré dans le répertoire courant.
Quelques secondes plus tard, on obtient le résultat suivant :
Dans cet exemple, les colonnes ne sont pas dimensionnées automatiquement, ce qui n'est très pratique pour lire. La bonne nouvelle, c'est que le cmdlet Export-Excel dispose de nombreux paramètres, notamment :
-AutoSize pour redimensionner les colonnes automatiquement selon la largeur du contenu
-WorksheetName pour nommer l'onglet dans le tableau Excel
-StartColumn pour écrire les données à partir de la Xème colonnes
-StartRow pour écrire les données à partir de la Xème lignes
-Append pour ajouter les données à la suite des données existantes dans le fichier
-ClearSheet pour supprimer les données avant d'ajouter les nouvelles données (uniquement dans l'onglet/la feuille, si un onglet est précisé)
Dans le but d'exporter uniquement certaines propriétés, on peut ajouter la commande Select-Object afin de sélectionner les propriétés que l'on souhaite exporter. Voici un exemple pour exporter dans le fichier Excel uniquement deux champs : SamAccountName et Enabled.
À tout moment, vous pouvez obtenir de l'aide sur l'utilisation de cette commande, ou d'une autre commande, via :
Get-Help Export-Excel
Si vous n'avez pas d'Active Directory sous la main, vous pouvez exporter d'autres données, comme la liste des processus actifs sur votre machine ou l'état des services.
Get-Service | Export-Excel -Path './Services.xlsx' -AutoSize -WorksheetName "Etat des services"
V. Importer un fichier Excel avec PowerShell
Dans cette partie, nous allons voir que l'on peut aussi importer un fichier Excel dans PowerShell afin de lire son contenu. Cette fois-ci, c'est le cmdlet "Import-Excel" qui va être notre alliée pour importer le contenu d'un classeur Excel. Voici un exemple pour importer le fichier que l'on a importé précédemment :
Import-Excel -Path '.\AD-utilisateursBis.xlsx'
Ce qui donne :
Si l'on reprend l'exemple du premier fichier Excel généré, avec de nombreuses colonnes, mais que l'on souhaite en importer uniquement certaines, c'est également possible via le paramètre -HeaderName. On peut également aller encore plus loin en précisant le nom de l'onglet du fichier Excel dans lequel il faut récupérer les données, via le paramètre -WorksheetName. Voici un exemple pour récupérer uniquement les colonnes DistinguishedName, Enabled et SamAccountName de l'onglet "Domaine it-connect.local" de notre fichier. On commence à la ligne 2 (-StartRow 2) pour ne pas récupérer la ligne d'en-tête. Ce qui donne :
Le résultat obtenu dans la console PowerShell, et que l'on pourrait tout à fait stocker dans une variable, est plutôt satisfaisant :
Il faut bien respecter l'ordre des colonnes que l'on sélectionne avec -HeaderName, telles qu'elles sont positionnées dans le fichier Excel, sinon les noms de colonnes ne vont pas correspondre aux valeurs. Pour organiser les colonnes dans l'ordre que l'on souhaite dès l'import des données, il faut le faire en deux temps, de cette façon :
On voit bien, dans cet exemple, que j'ai pu inverser l'ordre des colonnes Enabled et SamAccountName par rapport au premier exemple.
Parfois, nous ne connaissons pas forcément la contenance du fichier Excel, ou en tout cas le nom exact des onglets. La commande Get-ExcelFileSummary permet d'obtenir des informations sur un fichier Excel, notamment le nom de chaque onglet, avec le nombre de colonnes utilisées, ainsi que le nombre de lignes, et la plage que cela représente. Voici un exemple :
D'ailleurs, on peut aller plus loin et obtenir des informations sur tous les fichiers Excel situés dans un dossier ou une arborescence. Sur le site officiel, il y a un exemple donné (voir ci-dessous) qui permet d'obtenir un résumé de tous les fichiers Excel en se positionnant sur le dossier courant (avec récursivité).
dir . -r *.xlsx | Get-ExcelFileSummary | ft
Ainsi, on obtient des informations de différents fichiers Excel :
Note : le paramètre -Password est disponible avec Import-Excel et Export-Excel afin de gérer le mot de passe qui peut éventuellement protéger le fichier Excel.
VI. Écrire dans un fichier Excel avec PowerShell
Vous attendiez probablement cette partie : l'ajout de données dans un fichier Excel à l'aide de PowerShell. Sachez que c'est possible, et que l'on peut même modifier des données existantes. Ainsi, on va aller plus loin que simplement exporter et importer des données au format Excel, même si c'est déjà bien !
A. Ouvrir le fichier Excel avec Open-ExcelPackage
La première étape consiste à ouvrir le fichier Excel avec la commande Open-ExcelPackage afin de le convertir (en quelque sorte) en un objet PowerShell. Une fois qu'il sera dans ce nouveau format, il sera possible de lire et de le modifier.
Commençons par ouvrir le fichier Excel "AD-utilisateurs.xlsx" que nous avons créé précédemment. L'objet sera stocké dans la variable $Excel dans mon exemple, mais vous pouvez utiliser un autre nom.
Actuellement, la variable $Excel ne contient pas le contenu de notre fichier Excel directement. Si on affiche son contenu, ce sont plutôt les propriétés du fichier Excel que l'on obtient.
B. Lire le contenu d'une cellule
Pour lire le contenu d'une cellule, il faut parcourir le fichier Excel, via les différentes propriétés de l'objet. On commencera par préciser "Workbook.Worksheets['nom de la feuille']" pour se positionner dans le bon onglet de notre classeur Excel. Ensuite, via "Cells", on peut préciser la cellule que l'on veut cibler et obtenir sa valeur facilement. Voici un exemple pour la valeur de la cellule A1 :
Si l'on souhaite modifier la valeur d'une cellule, on peut s'appuyer sur ce que nous avons vu précédemment. Par exemple, on sait que la cellule A1 (qui correspond à l'en-tête de la colonne A) a pour valeur "DistinguishedName" donc on peut changer cette valeur par "DN" pour avoir un nom plus court. Il suffit d'utiliser cette commande :
Avec cette commande, le tour est joué ! Bien sûr, on aurait pu réutiliser la variable $Onglet déclarée précédemment.
D. Fermer le classeur Excel
Il est indispensable de fermer le classeur Excel au moment où l'on a terminé les modifications. En fait, cette option s'effectue via le cmdlet Close-ExcelPackage et elle permettra d'enregistrer les modifications apportées au fichier Excel, s'il y en a eu. Tout le temps que cette commande n'est pas exécutée, les modifications ne sont pas visibles dans Excel.
Il suffit d'appeler notre variable $Excel :
Close-ExcelPackage $Excel
VII. Créer un fichier Excel vierge en PowerShell
Lorsque l'on utilise Open-ExcelPackage en appelant un fichier qui n'existe pas et en ajoutant le paramètre -Create, on peut créer un fichier Excel vierge ! Voici une commande qui permet de créer le fichier "C:\partage\test.xlsx".
Pour le moment, ce fichier n'est pas visible à cet emplacement, car il n'est pas enregistré. Disons qu'il est en mémoire. Nous devons lui ajouter à minima un onglet, par exemple nommé "IT-Connect" grâce au cmdlet Add-Worksheet. D'ailleurs, ce cmdlet s'applique aussi sur les fichiers existants et que l'on manipule via Open-ExcelPackage.
À partir du moment où il y a au moins un onglet de déclaré, on peut fermer le fichier ce qui aura pour effet de le créer.
Close-ExcelPackage $ExcelNew
Sans quitter notre console PowerShell, on peut récupérer des informations sur la structure de notre fichier Excel via cette commande :
Get-ExcelFileSummary -Path '.\test.xlsx'
Voici un récapitulatif en image :
VIII. Créer un tableau croisé dynamique Excel
Pour terminer en beauté cet article, nous allons voir qu'il est possible d'exporter la liste des ordinateurs intégrés au domaine Active Directory pour faire un tableau croisé dynamique dans un document Excel, associé à un graphique qui montrera la répartition entre chaque version de Windows !
Tout d'abord, commençons par exporter la liste des ordinateurs du domaine, en sélectionnant le nom et le système d'exploitation, dans un fichier Excel nommé "AD-Inventaire.xlsx" au sein d'un onglet nommé "Inventaire". Ce qui donne :
Quelques explications sur les différents paramètres utilisés :
-PivotTableName : nom de l'onglet dans le classeur Excel
-SourceWorkSheet : onglet source pour récupérer les informations, en l'occurrence "Inventaire" que l'on a créé au moment de la création du fichier Excel
-PivotRows : champs à définir comme lignes dans le tableau croisé dynamique
-PivotData : les données du tableau, ici on veut compter les occurrences pour la propriété "OperatingSystem" de notre tableau dont on prend la fonction "count" mais d'autres valeurs sont possibles (Average, Count, CountNums, Max, Min, Product, None, StdDev, StdDevP, Sum, Var, VarP)
-IncludePivotChart : inclure un graphique correspondant au tableau
-ChartType : le type de graphique, ici "Pie3D" pour avoir un camembert 3D (désolé j'aime trop le fromage pour ne pas utiliser celui-ci... non en vrai il est adapté)
-ShowPercent : afficher les différents pourcentages sur le graphique
Il nous reste à mettre à jour le fichier Excel en intégrant le tableau croisé dynamique via le paramètre -PivotTableDefinition :
Et voilà le résultat final dans un onglet nommé "Graph-Inventaire" de notre fichier Excel ! C'est top, non ?
Afin d'explorer plus en détail les possibilités de ce module et des différentes commandes, il sera indispensable de consulter l'aide du module via la console PowerShell. Pour obtenir les détails sur une commande, vous pouvez utiliser (en remplaçant le cmdlet pour lequel vous souhaitez obtenir de l'aide) les commandes suivantes :
Aide détaillée :
Get-Help New-PivotTableDefinition -Detailed
Exemples d'utilisation :
Get-Help New-PivotTableDefinition -Examples
Maintenant, c'est à vous de jouer et n'oubliez pas de me dire ce que vous allez faire avec Excel via PowerShell !
Les analystes de Red Canary ont découvert un nouveau logiciel malveillant pour Windows, qui se propage à l'aide de clés USB et qui fonctionne comme un ver informatique. Faisons le point sur ce malware nommé Raspberry Robin.
Les équipes de Red Canary ont observé ce ver informatique sur le réseau de plusieurs entreprises, notamment dans le domaine de la technologie et de la fabrication. D'après eux, il serait actif au moins depuis septembre 2021. Pour se propager d'une machine à une autre, Raspberry Robin s'appuie sur les clés USB. Résultat, une clé USB infectée va copier sur les machines Windows un fichier ".LNK" malveillant. À partir du moment où il est en place sur une machine Windows, le ver génère un nouveau processus "cmd.exe" pour lancer un fichier malveillant.
Pour installer d'autres souches malveillantes sur la machine, il utilise des outils intégrés à Windows, notamment "msiexec.exe" qu'il utilise pour contacter des serveurs C2 (Command & Control). Dans le cadre de ces attaques, les serveurs C2 prennent la forme de NAS QNAP compromis. Raspberry Robin utilise aussi des nœuds de sortie TOR dans son infrastructure C2. Cette connexion réussie, le malware procède au téléchargement et à l'installation de bibliothèques DLL malveillantes sur la machine locale, et elles sont ensuite exécutées.
Pour le moment, il reste quelques zones d'ombres d'après les analystes de Red Canary. Tout d'abord, ils expliquent qu'ils ne savent pas comment ni où Raspberry Robin infecte les périphériques USB externes pour perpétuer son activité. Ils précisent : "il est probable que cela se passe hors ligne ou en dehors de notre champ de visibilité". On peut imaginer que le ver se met en place lorsqu'un périphérique USB est connecté à une machine infectée. Le rôle des DLL n'est pas clair également, mais cela pourrait être pour être persistant sur une machine Windows infectée.
Le rapport complet de Red Canary est disponible à cette adresse : Raspberry Robin.
Les États-Unis sont prêts à offrir jusqu'à 15 millions de dollars en échange d'informations qui permettraient d'identifier et de localiser les leaders du groupe de pirates Conti, associé au ransomware du même nom. Récemment, le gang Conti a été associé à une attaque informatique contre différentes institutions du Costa Rica.
Pour être plus précis, jusqu'à 10 millions de dollars de récompense sont offerts en l'échange d'informations sur l'identité et la localisation des fortes têtes de Conti, et 5 millions de dollars supplémentaires pour permettre l'arrestation et la condamnation de personnes ayant tenté de participer à des attaques de ransomware de Conti. D'après des chiffres de janvier 2022 et les estimations du FBI, le gang Conti serait à l'origine de nombreuses attaques, et il y aurait plus de 1 000 victimes qui auraient payé la rançon, pour un montant total de 150 millions de dollars.
Le mois dernier, le groupe Conti a revendiqué une attaque contre six institutions publiques du Costa Rica, exigeant le paiement d'une rançon de 10 millions de dollars pour éviter que les données exfiltrées ne soient divulguées sur Internet (il y a notamment des données liées aux finances publiques du pays - plus d'infos ici). Ce n'est probablement pas un hasard si les États-Unis ont mis en ligne "cette annonce" pour obtenir des informations quelques jours après cette attaque au Costa Rica.
Ce n'est pas la première fois (et sûrement pas la dernière) que les États-Unis sont prêts à offrir une importante somme d'argent en l'échange d'informations sur des groupes de cybercriminels. En novembre dernier, c'est une récompense de 10 millions de dollars qui était promise en l'échange d'informations au sujet des membres du groupe REvil. Finalement, même si le code source du ransomware Conti a fuité au début de la guerre entre l'Ukraine et la Russie, cela ne semble pas perturber réellement les activités du gang Conti en lui-même...
