Depuis l'invasion de l'Ukraine par la Russie, le nombre d'attaques informatiques à destination des sites ukrainiens sous WordPress a très fortement augmenté comme le rapporte l'entreprise Wordfence.

Il y a quelques jours, l'Ukraine était ciblée par un malware destructeur de données qui a pour seul objectif de faire le maximum de victimes afin de perturber le fonctionnement des entreprises et entités gouvernementales ukrainiennes. En parallèle, les sites Internet ukrainiens sont également ciblés d'après Wordfence : cette entreprise de sécurité protège les sites WordPress, et en l'occurrence, elle protège 8 320 sites WordPress en Ukraine. Ces sites sont associés à des universités, au gouvernement, etc... et ils utilisent tous l'extension ".ua".

Par exemple, si l'on prend la journée du 25 février 2022, il y a eu 144 000 attaques à destination des sites ukrainiens protégés par Wordfence. Pour être un peu plus précis, Wordfence affirme que l'attaque semble cibler particulièrement un ensemble de 376 sites universitaires avec 209 624 tentatives d'attaques entre le 25 et le 27 février 2022. Résultat, les sites Web de 30 universités ukrainiennes ont été défacés ou sont devenus tout simplement indisponibles. Sur son site, Wordfence précise que le terme "attaque" employé ici ne fait pas référence à de simples attaques par brute force ou de type DDoS. Il s'agit d'attaques plus sophistiquées visant à exploiter une vulnérabilité dans WordPress ou un plugin, par exemple.

Le groupe de hackers à l'origine de ces attaques est déjà identifié : il se fait appeler theMx0nday et il s'agit d'un groupe pro-Russe. Sans surprise, en fait. Lorsqu'un site est défacé par ce groupe de hackers, il n'est pas rare de tomber sur le hashtag "#WeSupportRussia".

Afin de renforcer la sécurité des sites WordPress ukrainiens, Wordfence a pris la décision de déployer sa fonctionnalité de protection en temps réel "threat intelligence" sur tous les sites ukrainiens, peu importe la licence utilisée. En effet, Wordfence est accessible gratuitement sur WordPress, mais il y a également des licences payantes avec des fonctions supplémentaires. Les utilisateurs n'ont rien à faire, cela est automatique pour tous les sites ".ua" avec le plugin Wordfence installé et actif. De son côté, Wordfence gère également une liste noire des adresses IP malveillantes, mise à jour très régulièrement en fonction des attaques filtrées.

Bien sûr, ici il est question des sites WordPress parce que Wordfence protège les sites avec ce CMS, mais on peut imaginer que cette augmentation des attaques cibles les sites ukrainiens dans leur ensemble.

Source

The post Forte augmentation des attaques contre les sites WordPress ukrainiens first appeared on IT-Connect.

Le géant de l'informatique NVIDIA a été victime d'une cyberattaque orchestrée par le groupe de hackers LAPSU$. Une attaque pendant laquelle les pirates ont pu récupérer des données sensibles au sujet de projets importants ! Que s'est-il passé ?

Mercredi 23 février, l'entreprise NVIDIA a subi une attaque informatique d'envergure durant laquelle les pirates auraient complètement compromis le système de NVIDIA. Puisque ce fabricant est omniprésent sur le marché mondial des composants informatiques, on pouvait s'attendre à ce qu'elle soit associée à une fuite de données : c'est bien le cas. Même si les pirates n'ont pas utilisé de ransomware lors de cette attaque, ils en ont profité pour exfiltrer des données.

NVIDIA a confirmé cette attaque informatique, tout en précisant que, d'après les premiers éléments collectés, elle n'était pas en lien avec le conflit entre la Russie et l'Ukraine. D'ailleurs, le groupe LAPSU$ précise bien qu'ils ne sont pas sponsorisés par un état.

Les membres du groupe LAPSU$ indiquent qu'ils détiennent 1 To de données récupérées sur l'infrastructure de NVIDIA. Pour le prouver, ils ont publié une archive de 20 Go de données ainsi que les hash des mots de passe de certains salariés de l'entreprise.

Au sein de cette fuite de données, il y a des informations sur les prochaines générations de cartes graphiques NVIDIA, notamment le nom des prochaines générations : Ada, Hopper et Blackwell. Des noms déjà évoqués dans le passé. Ces nouvelles cartes graphiques auront pour objectif de remplacer les gammes actuelles destinées aux grands publics et aux datacenters. Par ailleurs, les pirates ont pu récupérer de la documentation, des outils privés et internes, des kits de développement (SDK), des informations à propos du microcontrôleur Falcon (lié à la sécurité des cartes graphiques !), etc. Pour NVIDIA, cette attaque est un coup dur et d'autres informations seront surement publiées dans les prochaines semaines : 1 To de données, ce n'est pas rien.

Source

The post NVIDIA piraté ! 1 To de données entre les mains des pirates ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment gérer une base KeePass avec PowerShell et le module PoshKeePass, au travers différents exemples qui vont permettre d'ajouter des identifiants, des groupes, etc. Dernièrement, j'ai utilisé ce module pour alimenter une base KeePass avec des comptes Active Directory créés à la volée et qui devait être répartie dans différents groupes de la base KeePass.

Pour interagir avec une base KeePass depuis PowerShell, il y a au moins deux possibilités :

• Le module SecretManagement.KeePass qui est une extension du module Secret Management

Ce module fonctionne très bien, et il s'appuie sur l'excellent module Secret Management. Néanmoins, il est encore trop limité, car, par exemple, il n'est pas possible d'écrire dans un sous-groupe de la base KeePass, ni même de créer un groupe dans base KeePass, etc... Vous pouvez lire mon tutoriel à son sujet ici : PowerShell et le module Secret Management KeePass.

• Le module PoshKeePass

Même s'il n'a pas été mis à jour récemment (dernière version en mars 2019), il fonctionne toujours et il permet d'interagir avec une base KeePass de façon avancée : création et mise à jour d'entrées et de groupes, générer des mots de passe avec le générateur de KeePass, etc.

Lien vers le site du module : GitHub - PoshKeePass

II. Installer le module PoshKeePass

Commençons par installer ce module PowerShell avec la commande suivante :

Install-Module -Name PoshKeePass

Ensuite, il suffira de l'importer pour vérifier sa présence :

Import-Module PoShKeePass

Le temps de vous exercer à l'utilisation de ce module PowerShell, je vous recommande d'agir sur une base KeePass vierge / de test afin d'éviter les mauvaises surprises. Voici la liste des commandes disponibles dans ce module :

Get-Command -Module PoShKeePass

III. Enregistrer une base KeePass

Pour ce tutoriel, je vais utiliser une base KeePass créée à partir de KeePass 2.50, ce qui est la dernière version à ce jour. Cette base de données KeePass nommée "IT-Connect.kdbx" peut-être déverrouillée à partir d'un mot de passe maître. Je l'ai créée manuellement avec le client KeePass, mais on pourrait effectuer la création avec New-KeePassDatabase.

Nous devons l'inscrire au sein du module PoshKeePass, car si on liste les bases KeePass déclarées, on peut voir que la liste est vide actuellement.

Get-KeePassDatabaseConfiguration

Pour inscrire une base KeePass, le cmdlet "New-KeePassDatabaseConfiguration" doit être utilisé et il faut spécifier plusieurs paramètres :

• -DatabaseProfileName : le nom de la base de données au niveau de la configuration du module (le nom que vous voulez, en fait)
• -DatabasePath : le chemin complet vers le fichier KDBX correspondant à la base KeePass
• -UseMasterKey : la méthode d'authentification, en l'occurrence ici un mot de passe maître. Il est possible d'utiliser l'authentification Windows (-UseNetworkAccount) et une clé (-KeyPath).

Ce qui donne :

New-KeePassDatabaseConfiguration -DatabaseProfileName "IT-Connect" -DatabasePath "C:\TEMP\POWERSHELL\IT-Connect.kdbx" -UseMasterKey

Si vous vous trompez, vous pouvez supprimer le profil et le recréer. Il suffit de le supprimer en l'appelant par son nom :

Remove-KeePassDatabaseConfiguration -DatabaseProfileName "IT-Connect"

La base KeePass est bien enregistrée, nous pouvons passer à la suite.

IV. Créer un groupe dans la base KeePass

Pour commencer, nous allons créer un groupe nommé "Active-Directory" au sein de la base KeePass, sous le groupe principal nommé "IT-Connect" et qui correspond à la racine de la base KeePass. Pour interagir avec la base KeePass, nous devons préciser le mot de passe maître à chaque fois, dans chaque commande, par l'intermédiaire du paramètre "-MasterKey".

Note : nous pourrions stocker ce secret dans le secret store à partir du module secret management pour éviter d'avoir à le mettre en clair dans la ligne de commande.

Pour que ce soit plus simple, on va stocker le mot de passe maître sous la forme d'une chaîne sécurisée représentée par la variable $KeePassMasterKey.

$KeePassMasterKey = ConvertTo-SecureString -String "VotreMotDePasse" -AsPlainText -Force

Ensuite, pour créer le groupe dans la base KeePass, c'est le cmdlet "New-KeePassGroup" qui va être utile. Il va falloir préciser le nom du profil à utiliser (-DatabaseProfileName) afin d'appeler la base enregistrée précédemment, ainsi que le nom du groupe à créer (-KeePassGroupName) et le nom du groupe parent (-KeePassGroupParentPath). On peut aussi choisir un icône pour ce groupe grâce au paramètre -IconName.

New-KeePassGroup -DatabaseProfileName "IT-Connect" -KeePassGroupName "Active-Directory" -IconName UserKey `
                 -MasterKey $KeePassMasterKey -KeePassGroupParentPath "IT-Connect"

Si la commande ne retourne pas d'erreur, c'est que le groupe a été créé avec succès ! On peut le vérifier avec la commande Get-KeePassGroup :

Get-KeePassGroup -DatabaseProfileName "IT-Connect" -KeePassGroupPath "IT-Connect/Active-Directory" -MasterKey $KeePassMasterKey

Pour que ce soit plus parlant dans le cadre de cette démo, voici le résultat visuellement dans KeePass. Si la base KeePass est ouverte au moment de la création du groupe, il faut la fermer puis la rouvrir. Il faut savoir aussi qu'après chaque action, le module PoshKeePass sauvegarde automatiquement.

Voyons comment ajouter une nouvelle entrée au sein du groupe "Active-Directory".

V. Créer une entrée KeePass avec PowerShell

Le cmdlet New-KeePassEntry permet d'ajouter une nouvelle entrée à la base KeePass. Pour créer une nouvelle entrée dans le groupe "Active-Directory" nommée "Domaine it-connect.local - Compte de Prénom NOM" (-Title), avec le nom d'utilisateur "prenom.nom" (-UserName), le mot de passe "MotDePasseDuCompteAAjouter" (-KeePassPassword), l'URL "https://www.it-connect.fr" (-URL) et la note "Détails sur le compte" (-Notes), il faut exécuter cette commande :

New-KeePassEntry -DatabaseProfileName "IT-Connect" -KeePassEntryGroupPath "IT-Connect/Active-Directory" -Title "Domaine it-connect.local - Compte de Prénom NOM" `
                 -UserName "prenom.nom" -KeePassPassword $(ConvertTo-SecureString -String "MotDePasseDuCompteAAjouter" -AsPlainText -Force) -URL "https://www.it-connect.fr" `
                 -Notes "Détails sur le compte" -MasterKey $KeePassMasterKey

Une fois l'entrée créée, on peut la rechercher en listant les entrées du groupe "IT-Connect/Active-Directory" :

Get-KeePassEntry -DatabaseProfileName "IT-Connect" -KeePassEntryGroupPath "IT-Connect/Active-Directory" -MasterKey $KeePassMasterKey

Si vous avez besoin que cette sortie affiche le mot de passe en clair, le paramètre -AsPlainText doit être ajouté :

Get-KeePassEntry -DatabaseProfileName "IT-Connect" -KeePassEntryGroupPath "IT-Connect/Active-Directory" -MasterKey $KeePassMasterKey -AsPlainText

Bien sûr, si l'on ouvre la base KeePass avec le client directement, on peut retrouver notre entrée avec les bonnes informations :

Sachez que l'on pourrait obtenir tout le contenu de la base KeePass avec la commande suivante :

Get-KeePassEntry -DatabaseProfileName "IT-Connect" -MasterKey $KeePassMasterKey

Puisque les entrées sont retournées avec plusieurs propriétés (titre, nom d'utilisateur, etc...), nous pourrions faire un filtre pour rechercher toutes les entrées avec le terme "it-connect.local" dans le titre :

Get-KeePassEntry -DatabaseProfileName "IT-Connect" -MasterKey $KeePassMasterKey | Where { $_.Title -match "it-connect.local"}

VI. Modifier une entrée KeePass avec PowerShell

Malheureusement, j'ai oublié de préciser quelque chose au niveau des notes de l'entrée KeePass que l'on vient de créer, car je souhaitais aussi préciser son adresse e-mail. Dans ce cas, on va pouvoir mettre à jour l'entrée KeePass créée précédemment.

Pour commencer, il faut que l'on récupère les informations sur l'entrée à modifier. Ces informations (sous forme d'un objet), nous allons les stocker dans la variable $EntryToUpdate :

$EntryToUpdate = Get-KeePassEntry -DatabaseProfileName "IT-Connect" -MasterKey $KeePassMasterKey -Title "Domaine it-connect.local - Compte de Prénom NOM"

La mise à jour s'effectue avec le cmdlet "Update-KeePassEntry" et l'on va utiliser notre variable avec le paramètre "-KeePassEntry". Ensuite, je précise le paramètre "-Notes" avec la nouvelle valeur à ajouter (elle va écraser la précédente). Le paramètre "-Force" va permettre d'effectuer la mise à jour de l'entrée sans demander la confirmation.

Update-KeePassEntry -DatabaseProfileName "IT-Connect" -KeePassEntry $EntryToUpdate -Notes "Détails sur le compte : prenom.nom@it-connect.fr" `
                    -KeePassEntryGroupPath "IT-Connect/Active-Directory" -MasterKey $KeePassMasterKey -Force

Voilà, l'entrée est mise à jour dans la base KeePass !

VII. Générer un mot de passe KeePass avec PowerShell

Terminons ce tutoriel par l'utilisation du cmdlet "New-KeePassPassword" qui présent l'avantage de pouvoir exploiter le générateur de mots de passe de KeePass à partir de PowerShell. Le mot de passe généré est stocké dans une chaîne protégée et peut-être inséré directement dans une entrée KeePass. Pour cela, il faudra le stocker dans une variable puis utiliser cette variable au sein du paramètre -KeePassPassword du cmdlet New-KeePassEntry.

Voici un exemple pour générer un mot de passe de 14 caractères, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux à l'exception des caractères "oO0lI".

$KeePassPwd = New-KeePassPassword -UpperCase -LowerCase -Digits -SpecialCharacters -ExcludeCharacters 'oO0lI' -Length 14

Désormais, vous êtes en mesure d'administrer une base KeePass à partir de PowerShell ! A vous de jouer !

The post Gérer une base KeePass avec PowerShell first appeared on IT-Connect.

Les informations au sujet du ransomware Conti continuent d'être divulguées ! Désormais, c'est le code source du ransomware qui a fuité, dans la foulée des conversations internes du groupe de cybercriminels Conti.

Un chercheur en sécurité ukrainien a publié sur Internet l'historique des conversations internes des cybercriminels du groupe Conti, avec à la clé des informations intéressantes : adresses IP et noms de domaine utilisés, montant récolté sur les adresses Bitcoins, l'organisation du gang, etc... Cette fois-ci, il a publié un autre élément intéressant : le code source du ransomware Conti. Il est bien décidé à faire beaucoup de tort à Conti.

C'est par l'intermédiaire du compte Twitter @ContiLeaks que cet ukrainien a continué à publier d'autres données, notamment le code source du panneau d'administration du gang, l'API BazarBackdoor, des captures d'écran de serveurs de stockage, le code source du serveur C2 de TrickBot, etc... Et puis, une archive protégée par mot de passe contenant le code source du ransomware Conti, à la fois pour l'outil de chiffrement, mais aussi l'outil de déchiffrement ! Le mot de passe n'étant pas fourni publiquement, un autre chercheur en sécurité est parvenu à craquer le mot de passe de l'archive, afin de permettre à tout le monde d'accéder au code source !

Obtenir le code source de ce ransomware codé en C peut s'avérer intéressant pour comprendre le fonctionnement du ransomware, surtout que celui-ci a fait de nombreuses victimes, et c'est d'autant plus vrai pour les chercheurs en sécurité. Je ne suis pas spécialiste, mais j'imagine qu'avec ce code source il devient possible de créer un outil de déchiffrement universel pour le ransomware Conti.

Même si cela s'avère être une bonne nouvelle dans la lutte contre les cybercriminels, cela ne sera probablement pas suffisant pour stopper l'activité du gang Conti. Dans cette situation, il y a des chances pour qu'un nouveau ransomware soit préparé afin qu'ils puissent reprendre le cours de leurs activités : l'avenir nous le dira. Quoi qu'il en soit, ces différentes fuites vont faire diminuer la réputation du groupe Conti.

Source

The post Le code source du ransomware Conti a fuité ! first appeared on IT-Connect.

Western Digital vient d'annoncer son nouveau disque dur avec une capacité monstrueuse : le WD Red Pro 20 To. Il s'agit d'un disque dur optimisé pour les boîtiers NAS et conçu pour tourner 24/7 au sein d'environnement avec une forte charge de travail.

Que ce soit pour stocker des enregistrements vidéos en haute résolution, des animations 3D ou toute autre données volumineuses, ce disque avec une capacité de 20 To devrait intéresser certaines PME et grandes entreprises. Il bénéficie de la technologie OptiNAND qui a pour objectif de doper les performances du disque dur mécanique grâce à l'intégration d'une mémoire flash (ici de 64 Go), notamment pour réduire la latence des opérations. Même si cela fait penser aux disques hybrides, il s'agit d'une approche différente d'après Western Digital.

Ce disque dur SATA (6 Gbit/s) tourne à 7200 rpm, et voici quelques-unes de ses caractéristiques techniques :

• Cache : 512 Mo
• MTBF (en heures) : 1 000 000
• Vitesse de transfert : 268 Mo/s
• Charge de travail par an : 300 To
• Garantie : 5 ans

Sur le site officiel de Western Digital, le WD Red Pro NAS de 20 To, associé à la référence WD201KFGX chez le constructeur, est proposé à 896,99 euros. À ce prix, il est clair qu'il s'adresse plutôt aux entreprises qu'aux particuliers, et il peut s'avérer intéressant pour de la sauvegarde de données sur NAS.

Pour rappel, ce n'est pas le premier disque dur de 20 To lancé par Western Digital puisqu'il y a déjà sur le marché les modèles WD Gold et WD Ultrastar proposés respectivement à 899,95 euros et 599,95 euros. Par contre, ils sont plutôt destinés à équiper les datacenters.

Source : communiqué de presse

The post WD Red Pro 20 To : un nouveau disque dur spécial NAS first appeared on IT-Connect.