Le mercredi 15 mars 2023, le FBI a procédé à l'arrestation de Conor Brian Fitzpatrick alias pompompurin, qui est à la tête du site BreachForum, utilisé pour la revente de données issues de piratages.
Il y a un an, le FBI et Europol ont mis hors service le site RaidForums, qui était l'emplacement l'un des sites principaux pour la vente de données piratées. Suite à cette arrestation, les pirates se sont tournés vers un autre site : BreachForum, dont la notoriété a rapidement explosé ! En un an, plus de 300 000 membres ont créé un compte sur BreachForum qui est devenu incontournable.
Toutefois, ce mercredi 15 mars 2023 à 16h30, celui qui se cache derrière le pseudo de pompompurin a été arrêté à son domicile par le FBI. D'ailleurs, l'accusé a rapidement confirmé son identité à l'agent du FBI John Longmire : "Il m'a dit en substance et en partie que : son nom était Conor Brian Fitzpatrick ; qu'il a utilisé le pseudonyme pompompurin et qu'il était propriétaire et administrateur de BreachForums." - Pour localiser Conor Brian Fitzpatrick, le FBI a pu compter sur une information précieuse fournie par le moteur de recherche Intelligence X : son adresse IP. Au mois de janvier dernier, pompompurin avait ouvertement indiqué qu'il avait créé un compte Intelligence X.
Au niveau du site BreachForum, il jouait un rôle essentiel dans les transactions puisqu'il s'assurait que l'acheteur de données piratées allait bien obtenir le jeu de données promis par le vendeur. Autrement dit, qu'il ne s'agissait pas d'une fausse petite annonce...
Conor Brian Fitzpatrick vivait chez ses parents à Peekskill, dans l'État de New York et il va pouvoir retourner tranquillement chez eux puisqu'il a été libéré en échange d'une caution de 300 000 dollars, signée par ses parents. Reste à savoir si ce jeune de 21 ans a payé lui-même cette caution ou s'il a fait appel à un bondsman...
Le système informatique de chez Ferrari a été compromis ! Le constructeur automobile italien l'a annoncé officiellement, après avoir reçu une demande de rançon de la part des cybercriminels. Faisons le point sur cette cyberattaque.
Cet incident de sécurité serait associé à une fuite de données et d'après le constructeur italien, il y a des informations personnelles sur les clients comme des noms, des adresses postales, des adresses électroniques et des numéros de téléphone. Pour le moment et à ce stade des investigations, Ferrari affirme que les données personnelles sensibles ne sont pas impactées. Nous pensons notamment à des informations de comptes bancaires de clients.
Dans une lettre d'information envoyée à ses clients, Ferrari précise : "Nous avons le regret de vous informer d'un cyberincident chez Ferrari, où un cybercriminel a pu accéder à un nombre limité de systèmes dans notre environnement informatique.". Même si personnellement je n'ai pas reçu cette lettre, la cyberattaque est reconnue officiellement.
Un communiqué sur le site officiel fait aussi référence à cette fuite de données. On apprend que le cybercriminel à l'origine de l'attaque a émis une demande de rançon : "Ferrari N.V. annonce que Ferrari S.p.A., sa filiale italienne détenue à 100%, a récemment été contactée par un cybercriminel avec une demande de rançon liée à certaines coordonnées de clients." - Toutefois, le constructeur italien n'envisage pas de payer cette rançon, donc les données personnelles des clients seront divulguées.
Désormais, Ferrari affirme que des mesures vont être prises pour sécuriser son système informatique et que cette attaque n'a pas eu d'impact sur l'activité de l'entreprise. Ce n'est pas le premier incident de sécurité chez Ferrari, en octobre 2022, il y avait déjà eu une fuite de données et le constructeur italien n'avait pas trouvé la moindre trace d'intrusion... Cette fois-ci, l'intrusion est bien réelle. Une enquête est en cours pour déterminer le périmètre et l'impact de cette cyberattaque.
Dans ce tutoriel, nous allons apprendre à déployer et configurer les PowerToys pour Windows sur un parc informatique, de manière à en faire profiter les utilisateurs ! Avec ces outils bien pratiques et mis à disposition par Microsoft, vos utilisateurs pourront gagner en productivité ! Avec une telle phrase, je vous vends du rêve, n'est-ce pas ?
II. C'est quoi les PowerToys ?
Pour ceux qui ne connaissent pas les PowerToys, c'est une suite d'outils développée par Microsoft et introduite à l'époque de Windows 95 ! Cela a été conservé jusqu'à Windows XP, avant de disparaitre... et Microsoft a réintroduit les PowerToys avec Windows 10, et maintenant Windows 11.
Certaines fonctionnalités manquantes à Windows et qui nécessitent l'installation d'un logiciel tiers sont finalement intégrées dans la suite PowerToys. Elle n'est pas installée par défaut sur Windows mais l'entreprise américaine met à disposition des admins un package d'installation et des paramètres de GPO.
Quelques exemples d'outils PowerToys :
Always on top pour maintenir une fenêtre au-dessus de toutes les autres.
Awake pour garder son ordinateur allumé le temps d'une tâche gourmande en temps, sans avoir à modifier les options d'alimentation de la machine.
Color Picker pour avoir accès à un sélecteur de couleurs via le curseur de la souris (utile pour les designers, développeurs web, etc... pour avoir le code hexadécimal d'une couleur).
FancyZones pour créer des dispositions d'écrans complexes pour positionner les fenêtres.
Image Resizer pour redimensionner des images par lots à partir de l'Explorateur de fichiers Windows
Keyboard Manager pour créer ses propres raccourcis clavier
PowerRename pour renommer des éléments en masse (une tuerie !)
Etc...
La suite contient de nombreux outils et Microsoft en ajoute des nouveaux assez régulièrement ! Conquis ? Alors, vous n'avez plus qu'à suivre la suite de ce tutoriel.
III. Déployer les PowerToys sur un parc informatique
A. Télécharger PowerToys
Avant de partir sur le déploiement, prenez connaissance des prérequis de la suite PowerToys de Windows :
Windows 11 (toutes les versions)
Windows 10 version 2004 ou plus récent
Système d'exploitation en 64 bits (x64 / ARM64)
Ensuite, rendez-vous sur le GitHub officiel pour télécharger le package de la version la plus récente.
Sachez aussi que les PowerToys sont disponibles sur le Microsoft Store et avec WinGet.
B. Obtenir un package MSI de PowerToys
Une fois que vous avez le fichier d'installation en votre possession, par exemple le fichier "PowerToysSetup-0.68.0-x64.exe", il va falloir le "transformer" en package MSI pour le déployer par GPO. Car oui, le format EXE ne va pas forcément nous arranger.
Pour extraire le package MSI des PowerToys à partir de l'exécutable, vous devez utiliser l'outil "dark.exe" de la suite WiX Toolset. C'est totalement gratuit et c'est disponible ici :
Une fois l'exécutable téléchargé, lancez-le et cliquez sur "Install".
Maintenant, ouvrez une console PowerShell de manière à utiliser l'exécutable "dark.exe". On commence par se positionner dans le répertoire des binaires de WiX Toolset :
cd "C:\Program Files (x86)\WiX Toolset v3.11\bin"
Puis, on extrait le contenu de l'exécutable pour récupérer le MSI. Dans l'exemple ci-dessous, les données sont extraites sur le Bureau dans un dossier nommé "PowerToysMSI" et on part du principe que l'exécutable de PowerToys est stocké dans "Téléchargements" du profil de l'utilisateur. Ce qui donne :
Dans le répertoire "AttachedContainer", le package MSI est bien là ! Il faut le garder au chaud, nous allons l'utiliser pour la GPO.
C. Installer PowerToys par GPO
Puisque l'on dispose d'un package MSI, l'installation des PowerToys par GPO va être un jeu d'enfant ! D'ailleurs, j'ai déjà abordé ce processus en détail dans un tutoriel qui aborde l'installation de logiciel au format MSI par GPO. Si besoin, référez-vous à ce contenu.
Vous devez héberger le package MSI sur un partage accessible par les postes clients et créer une GPO pour l'installer. Pour ma part, ce sera la GPO "Logiciel - PowerToys - Installer". Il n'y a pas de paramètres particuliers à définir pour installer les PowerToys par GPO.
Une fois que la GPO est prête, il ne reste plus qu'à la lier à une OU pour tester le déploiement.
IV. Configurer PowerToys par GPO
Sur le GitHub officiel de PowerToys, il y a une archive ZIP qui permet de récupérer les modèles d'administration spécifiques aux PowerToys. Par exemple, pour PowerToys v0.68.0, il y a ce fichier ZIP :
GroupPolicyObjectsFiles-0.68.0.zip
Dans ce fichier ZIP, on retrouve un fichier ADMX correspondant aux paramètres de GPO, ainsi qu'un fichier ADML (en anglais). La langue française n'est pas disponible à ce jour.
Pour ajouter ces paramètres sur votre environnement, la méthode habituelle doit être utilisée : il faut copier ces fichiers dans le magasin central du partage SYSVOL.
Pour vous guider si nécessaire, voici deux liens utiles :
Ensuite, ils seront visibles dans les paramètres de GPO. Au sein de ma GPO "Logiciel - PowerToys - Config", c'est bien le cas :
Il y a un paramètre pour chaque PowerToys, de manière à vous permettre d'activer ou désactiver chaque outil (sans que l'utilisateur ait la main). Sinon, l'utilisateur a le choix d'activer les outils qu'il souhaite. C'est une possibilité.
Dans "Installer and Updates", vous avez le paramètre "Disable automatic updates" qui vous permet de bloquer les mises à jour automatiques, si vous souhaitez garder la maitrise de la version déployée. Sans action de votre part, les mises à jour sont activées par défaut. Enfin, le paramètre "Suspend Action Center notification for new updates" permet de ne pas afficher de notifications pour les mises à jour.
V. Conclusion
Voilà ! Grâce à ce tutoriel, vous êtes en mesure d'installer et configurer les PowerToys sur les postes de vos utilisateurs ! Ainsi, ils peuvent proposer d'outils supplémentaires bien pratiques au quotidien ! Alors, sont-ils satisfaits ? Dites-moi tout !
Les pirates abusent du service en ligne Adobe Acrobat Sign pour tenter de piéger des utilisateurs dans le but d'infecter leur machine avec le malware RedLine.
La solution Cloud "Adobe Acrobat Sign" est un service de signature électronique permettant aux utilisateurs d'envoyer, suivre et gérer la signature électronique de documents de différents types. Puisque ce service permet à l'utilisateur d'envoyer une demande de signature à n'importe qui, les pirates l'utilisent pour tenter de piéger des utilisateurs.
Quand une demande de signature est requise, le service Acrobat Sign va générer un e-mail et notifier l'utilisateur ciblé par e-mail. De ce fait, c'est le service d'Adobe qui expédie directement l'e-mail à destination de l'utilisateur, et de ce fait, cet e-mail est considéré comme légitime. Cela va lui permettre de passer au travers des systèmes de détection puisque les serveurs Adobe sont légitimes, sur le principe.
D'après une analyse publiée par les chercheurs en sécurité d'Avast, les cybercriminels diffusent des demandes de signature via Acrobat Sign. Lorsque l'utilisateur accède au document en ligne, il est invité à cliquer sur un lien qui le redirige vers une autre page où se situe un CAPTCHA codé en dur. En validant cette protection, l'utilisateur va télécharger un fichier ZIP qui contient le malware RedLine. Dans ce fichier ZIP, il y a d'autres fichiers légitimes qui ne sont pas des exécutables.
Autre détail important, sur la taille de l'exécutable RedLine contenu dans ce fichier ZIP. Voici ce que précise Avast : "L'une des caractéristiques des deux variantes de Redline que ces cybercriminels ont utilisées dans ces attaques est qu'ils ont artificiellement augmenté la taille du cheval de Troie à plus de 400 Mo." Il est fort possible que ce soit une astuce utilisée par les cybercriminels dans l'espoir de contourner certains moteurs antivirus : un fichier volumineux pourrait être traité différemment qu'un fichier léger qui serait rapide à analyser.
Pour rappel, ce logiciel malveillant est réputé pour dérober des identifiants et le contenu des portefeuilles pour cryptomonnaies sur les ordinateurs infectés.
Pour le moment, Avast a détecté quelques cas d'utilisation de cette méthode et elle ne semble pas utilisée à grande échelle, mais il faut rester méfiant comme toujours : "Cette utilisation abusive d'Adobe Acrobat Sign pour distribuer des logiciels malveillants est une nouvelle technique utilisée par les attaquants et ciblant une victime spécifique. Notre équipe n'a pas encore détecté d'autres attaques utilisant cette technique, mais nous craignons qu'elle ne devienne un choix populaire pour les cybercriminels dans un avenir proche. "
Microsoft Edge pourrait bientôt intégrer un portefeuille pour cryptomonnaies afin de permettre aux utilisateurs d'envoyer et de recevoir des cryptomonnaies, ainsi que des NFT, à partir du navigateur.
Cette nouvelle information a fuité sur Twitter, par l'intermédiaire de l'utilisateur Albacore qui a mis en ligne une série de copies d'écran où l'on peut apercevoir cette nouvelle fonctionnalité.
Lors de la configuration, Microsoft précise : "Il s'agit d'un portefeuille non custodial, ce qui signifie que vous avez le contrôle total de vos fonds. Nous n'aurons pas accès à votre mot de passe ni à votre clé de récupération. Il est intégré à Edge, ce qui le rend facile à utiliser sans installer d'extension.". Le fait qu'il s'agisse d'un portefeuille non custodial est très important puisque cela signifie que c'est l'utilisateur qui détient la clé privée. En effet, lorsque l'on dispose d'un portefeuille pour cryptomonnaies, celui-ci est associé à une paire de clés : une clé publique et une clé privée. La clé privée n'est jamais communiquée et elle est utilisée par le propriétaire du portefeuille pour signer les transactions.
Ce portefeuille pour cryptomonnaies intégré au navigateur sera protégé par mot de passe, et une clé de récupération est également demandée. De toute façon, Microsoft précise bien qu'en cas de perte, il n'y aura pas de remboursements ou de recours possible : vous êtes maître de votre portefeuille pour cryptomonnaies.
Source : Twitter, Albacore
Une fois l'initialisation terminée, l'utilisateur bénéficie d'une adresse Ethereum qu'il va pouvoir utiliser pour recevoir des paiements au travers du réseau Ethereum.
Pour le moment, le portefeuille pour cryptomonnaies semble accessible à un nombre restreint d'utilisateurs. Cela est d'autant plus vrai que cette fonctionnalité est intégrée à la dernière build du canal Dev de Microsoft Edge. Microsoft n'a pas communiqué sur cette nouveauté de façon officielle, donc il va falloir patienter pour en profiter en version stable...
