La panne mondiale de ce lundi 4 octobre qui a touché Facebook, Instagram, Messenger mais aussi WhatsApp a profité à Twitter mais aussi à Telegram. Le service de messagerie a pu récupérer 70 millions de nouveaux utilisateurs lors de cette soirée.
Alors même si Mark Zuckerberg a perdu beaucoup d'argent lors de cette soirée, il a également perdu une petite partie de ses utilisateurs qui n'ont pas pu se passer de WhatsApp le temps d'une soirée. Résultat, Telegram a enregistré une progression record, d'après son fondateur, Pavel Durov. Un fondateur qui ne mâche pas ses mots : « Nous ne vous laisserons pas tomber comme d'autres le font ».
Le choix des utilisateurs de se tourner vers Telegram lorsque WhatsApp ne fonctionne plus, montre aussi que les personnes préfèrent les messageries instantanées sécurisées aux SMS classiques. Bien sûr, certaines personnes ont dû utiliser les SMS et d'autres alternatives comme Signal, mais Telegram semble être le grand gagnant de cette soirée.
Le malheur des uns fait le bonheur des autres.
Toujours au sujet de Telegram, un chercheur en sécurité a trouvé une faille de sécurité au sein du système d'auto-destruction des messages. Pour cette trouvaille, il a obtenu une récompense de 1000 euros de la part de Telegram et par l'intermédiaire de la plateforme HackerOne, mais en échange il a dû signer un contrat pour s'engager à ne pas divulguer publiquement cette faille de sécurité. Un bug présent dans l'application de la version 7.5.0 à la version 7.8.0.
D'une part, cette clause est surprenante, car en temps normal les chercheurs sont autorisés à parler de leur découverte au bout de 60 ou 90 jours. D'autre part, c'est le montant de la récompense qui est discuté. En effet, en septembre 2019, la récompense avait été de 2500 euros pour une faille similaire.
Dans ce tutoriel, nous allons voir comment utiliser les méthodes IndexOf et LastIndexOf de PowerShell pour extraire une sous-chaîne (substring) d'une chaîne de caractères.
Précédemment, et sur le même thème, nous avions vu comment utiliser les méthodes Split() et Substring() de PowerShell. Avec IndexOf et LastIndexOf, nous allons pouvoir aller un peu plus loin dans l'utilisation de Substring() notamment.
II. PowerShell et IndexOf
La méthode IndexOf() permet de rechercher la position d'un caractère ou d'une chaîne au sein d'une chaîne de caractères. Elle va retourner la position de la première occurrence du caractère recherché ou de la chaîne recherchée. Ni plus ni moins.
Prenons un exemple avec la variable $URL :
$URL = "www.it-connect.fr"
Recherchons la position du caractère "." :
$URL.IndexOf(".")
On peut voir que la commande retourne "3", tout simplement. Cela signifie que le point a été trouvé à la position "3" de la chaîne de caractères. Ce qui est correct puisque le premier caractère de la chaîne correspond à l'index 0.
PowerShell et IndexOf()
Comme je le disais, on peut également rechercher une chaîne de caractères. Par exemple, on peut rechercher "it" :
$URL.IndexOf("it")
Cette commande va retourner la valeur "4" : c'est bien le "i" qui est en 4ème position, ce qui correspond au début de la chaîne recherchée.
Si l'on recherche une chaîne et qu'elle n'a pas été trouvée, la valeur retournée sera "-1". La preuve en image :
Il faudra retenir que IndexOf() recherche la première occurrence la chaîne recherchée, en partant de l'index 0, de la gauche vers la droite.
III. PowerShell et LastIndexOf
La méthode LastIndexOf() permet de rechercher la dernière position d'un caractère ou d'une chaîne au sein d'une chaîne de caractères. La différence avec IndexOf() est subtile, mais importante : LastIndexOf recherche la dernière occurrence d'un caractère, et non pas la première.
Reprenons l'exemple précédent avec la variable $URL :
$URL = "www.it-connect.fr"
Puis, cette fois-ci, utilisons LastIndexOf :
$URL.LastIndexOf(".")
On peut voir que la commande retourne le résultat "14" : ce qui correspond à la position du point de ".fr".
PowerShell et LastIndexOf()
Dans le même esprit, nous pouvons rechercher une chaîne de plusieurs caractères et dans le cas où la chaîne est introuvable, le résultat "-1" sera retourné.
IV. PowerShell : exemples d'utilisation IndexOf et LastIndexOf
Maintenant que nous avons à quoi servait IndexOf() et LastIndexOf(), il est temps de voir ce que ça peut donner dans la pratique !
A. PowerShell : extraire une chaîne comprise entre deux caractères
Reprenons notre variable $URL :
$URL = "www.it-connect.fr"
L'objectif va être le suivant : récupérer la chaîne comprise entre le premier point et le tiret. Autrement dit, obtenir la valeur "it".
Commençons par récupérer la position du premier point :
$Debut = $URL.IndexOf(".")
Résultat : la variable $Debut est égale à 3.
Et celle du tiret :
$Fin = $URL.LastIndexOf("-")
Résultat : la variable $Fin est égal à 6.
Maintenant que l'on connaît le point de départ dans la chaîne et la fin, il faut que l'on récupère ce qu'il y a entre deux. Pour cela, nous allons utiliser la méthode Substring().
Pour rappel, Substring() permet d'extraire une sous-chaîne d'une chaîne de caractères en précisant : l'index de départ (StartIndex) et le nombre de caractères après cet index.
On peut considérer que :
Le point de départ, ce sera "$Debut+1" : il faut ajouter +1 car sinon nous allons récupérer le "." puisque $Debut contient la position du point.
Le nombre de caractères à conserver, ce sera "$Fin-$Debut-1" : voilà, je vous ai perdu. Explications : pour savoir combien il y a de caractères à extraire, il suffit de faire une soustraction "$Fin - $Debut" (= 3) puisque cela donne l'écart entre les deux points de référence. Enfin, on fait "-1" en complément pour éliminer le caractère de référence ("-") sur le même principe qu'avec $Debut. On obtient donc : 2, soit 2 caractères à extraire.
Si l'on traduit tout cela en PowerShell, on obtient la ligne suivante :
$URL.Substring($Debut+1,$Fin-$Debut-1)
On obtient bien la valeur "it" en retour, cela fonctionne ! Vous pouvez vous amuser à tester avec d'autres combinaisons.
Dans le cas où l'on aurait recherché la chaîne comprise entre les deux points, on aurait pu le faire avec avec Split() en récupérant le deuxième membre (index 1) du tableau obtenu :
($URL.Split("."))[1]
Ce que nous venons de voir est peut-être l'exemple le plus "puissant" avec IndexOf(), LastIndexOf() et Substring(). Si vous en connaissez d'autres, n'hésitez pas à les partager en commentaire !
B. Extraire une chaîne par la gauche
En combinant l'utilisation de Substring() et IndexOf() ou LastIndexOf(), on peut extraire une partie d'une chaîne en partant du début. L'idée est la suivante : extraire le sous-domaine de notre URL, donc tout ce qui est avant le premier point.
$URL = "www.it-connect.fr"
On récupère la position du premier point :
$Debut = $URL.IndexOf(".")
Ensuite, avec Substring() on part du premier caractère correspond à l'index 0 et on récupère le nombre de caractères définit dans $Debut. Comme on part de l'index 0, il n'est pas nécessaire de faire +1.
Ce qui donne :
$URL.Substring(0,$Debut)
Résultat, j'obtiens la valeur "www" : c'est correct !
Ce tutoriel sur IndexOf() et LastIndexOf() touche à sa fin, vous avez deux cordes supplémentaires à votre arc lorsqu'il s'agit de manipuler les chaînes de caractères en PowerShell. Je dois avouer que Split() et Substring() restent ceux que j'utilise le plus souvent.
L'Apache Software Foundation a mis en ligne Apache 2.4.50 afin de corriger deux failles de sécurité, dont une faille zero-day. Si vous utilisez un serveur Web Apache en version 2.4.49, alors votre serveur est vulnérable !
Il y a quelques semaines, Apache 2.4.49 est sortie et c'est précisément cette version qui est touchée par deux failles de sécurité. Les versions antérieures à celles-ci ne sont pas touchées. Comme elle est sortie il y a peu, il est fort probable qu'elle ne soit pas déployée sur la majorité des serveurs Web Apache, et c'est tant mieux. Malgré tout, Apache étant très très utilisé, la version 2.4.49 représenterait plus de 110 000 serveurs Apache dans le monde, dont un peu plus de 7 000 en France.
Par contre, si vous utilisez Apache 2.4.49, il est recommandé de passer sur Apache 2.4.50 sans attendre afin d'être protégé contre les deux failles suivantes : CVE-2021-41524 et CVE-2021-41773.
Apache 2.4.49 - Vulnérabilité CVE-2021-41773
Remontée par Ash Daulton de l'équipe sécurité de chez cPanel, cette faille zero-day Apache est déjà exploitée par les pirates informatiques d'après l'Apache Software Foundation. Cette vulnérabilité permet d'effectuer une attaque "Path transversal" afin d'accéder à des fichiers situés en dehors de la racine du site, mais aussi de récupérer ces fichiers.
Cette faille de sécurité est exploitable si vous utilisez Apache 2.4.49 (et seulement cette version) et qu'Apache n'est pas configuré avec la directive "require all denied" sur les fichiers en dehors de la racine du site (DocumentRoot). Par défaut, Apache n'est pas configuré de cette façon, ce qui est d'autant plus alarmant.
Apache 2.4.49 - Vulnérabilité CVE-2021-41524
Cette deuxième faille de sécurité a une sévérité modérée, et elle permet d'effectuer un déni de service sur le serveur cible en envoyant une requête spécifique sur le serveur, en HTTP/2.
Pour information, c'est LI ZHI XIN de l'équipe de sécurité NSFocus qui a découvert cette faille de sécurité et elle n'est pas exploitée actuellement, contrairement à la faille zero-day.
Si vous souhaitez savoir quelle version d'Apache tourne sur votre serveur Linux, exécutez l'une des commandes suivantes (en fonction de votre distribution) :
Avec la sortie de Windows 11, il y a des bonnes surprises, mais aussi des moins bonnes puisque certains utilisateurs ont dû faire face à des problèmes de compatibilité. Faisons le point sur les problèmes connus à l'occasion du lancement de Windows 11.
Si vous rencontrez des problèmes autres que ceux listés dans cet article, n'hésitez pas à laisser un commentaire pour partager l'info.
Windows 11 et Intel Killer
Lorsque le logiciel Intel Killer est installé sur une machine où tourne Windows 11, vous pouvez rencontrer des problèmes de performance et de stabilité au niveau du réseau. En effet, dans certains cas, des paquets UDP sont supprimés lors des échanges de flux sur le réseau, ce qui impacte les performances de la connectivité réseau. Dans la pratique, l'utilisateur remarquera que les sites Web sont particulièrement lents à charger, mais cela peut impacter aussi les connexions VPN qui s'appuient sur des connexions UDP.
Microsoft est sur le coup afin de proposer un correctif à ses utilisateurs et il pourrait être publié le 12 octobre prochain, à l'occasion du premier Patch Tuesday pour Windows 11.
Pour rappel, Intel Killer est un logiciel qui sert à gérer certaines cartes Wi-Fi.
Windows 11 et VirtualBox
Windows 11 et Oracle VirtualBox ne semblent pas s'entendre pour le moment. Dans le cas où le rôle Hyper-V est installé sur la machine Windows 11, le logiciel de virtualisation Oracle VirtualBox ne fonctionne pas. En attendant qu'un correctif soit publié par l'équipe d'Oracle VirtualBox, vous devez désinstaller Hyper-V si vous souhaitez utiliser VirtualBox.
Pour suivre de près l'évolution de la situation, référez-vous au ticket n°20536 chez Oracle VirtualBox.
Windows 11 et le navigateur Cốc Cốc
Si vous ne connaissez pas le navigateur Cốc Cốc, rassurez-vous, moi non plus. Il s'agit d'un navigateur basé sur Chromium et utilisé au Vietnam. À titre informatif, sachez qu'il génère divers problèmes sur Windows 11, ce qui peut empêcher l'accès à certains sites.
Si vous souhaitez mettre à jour votre machine Windows 10 vers Windows 11 ou télécharger l'ISO d'installation de Windows 11, je vous invite à lire cet article : Comment télécharger le fichier ISO de Windows 11 ?
Microsoft rappelle qu'il est préférable d'attendre que la mise à jour soit proposée sur votre machine plutôt que de vouloir forcer la mise à niveau vers Windows 11. Enfin, je dis ça, mais je suis mal placé pour parler, car j'ai prévu de faire la mise à niveau dans la soirée...
Dans ce tutoriel, nous allons voir comment empêcher les utilisateurs d'exécuter certains logiciels sur une machine Windows grâce à une GPO de type "Stratégie de restriction logicielle". C'est un bon moyen de se protéger contre les logiciels malveillants, mais aussi de garder le contrôle sur vos postes pour lutter contre les logiciels en version portable, par exemple.
Lorsque l'on a un Active Directory, des postes sous Windows et que l'on veut mettre en place des restrictions au niveau des logiciels, il y a deux noms qui ressortent : les stratégies de restriction logicielle et AppLocker.
Stratégie de restriction logicielle VS AppLocker
Les stratégies de restrictions logicielles existent depuis longtemps (Windows 2000 ou Windows XP, et Windows Server 2003). Elles fonctionnent toujours aujourd'hui sur les versions les plus récentes de Windows, y compris Windows Server 2022 et Windows 11. Cette méthode fonctionne sur la majorité des éditions de Windows : Pro, Entreprise et Education.
Suite à la sortie de Windows 7 et Windows Server 2008 R2, Microsoft a introduit une nouvelle manière d'appliquer des restrictions sur les machines : AppLocker. Bien que plus évoluée et censé prendre la relève vis-à-vis des stratégies de restriction logicielle, AppLocker présente l'inconvénient de fonctionner seulement sur les éditions Enterprise et Education de Windows.
Aujourd'hui, les stratégies de restriction logicielle restent très utilisées et répondent à des besoins simples, d'autant plus qu'elle fonctionne sur une majorité de versions de Windows, y compris les éditions Pro.
II. Créer une GPO "Stratégie de restriction logicielle"
À partir de la console de Gestion de stratégie de groupe, créez une nouvelle GPO et liez cette GPO à l'OU qui contient les ordinateurs que vous souhaitez brider. Pour ma part, la GPO se nomme tout simplement "Stratégie de restriction logicielle".
Modifiez la GPO et parcourez l'arborescence de cette façon :
Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de restriction logicielle
Création d'une GPO - Stratégie de restriction logicielle
Ensuite, effectuez un clic droit sur "Stratégies de restriction logicielle" et cliquez sur "Nouvelles stratégies de restriction logicielle". Cela va débloquer l'accès à la configuration de la stratégie.
Sous "Stratégies de restriction logicielle", si vous cliquez sur "Niveaux de sécurité", vous allez voir qu'il y a trois niveaux : Non autorisé, Utilisateur standard et Non restreint. Le mode "non restreint" n'applique pas de restriction supplémentaire, ce sont les droits de l'utilisateur qui s'appliquent. Il s'agit du mode par défaut et on peut le savoir grâce à son icône, légèrement différente.
Nous allons modifier ce mode pour choisir "Utilisateur standard". Double cliquez sur le mode "Utilisateur standard" et cliquez sur le bouton "Par défaut". Un avertissement s'affiche, cliquez sur "Oui" pour valider.
Ce mode permet d'autoriser l'exécution des programmes pour les utilisateurs qui ne sont pas administrateur. Mais c'est un début, nous allons renforcer la stratégie juste après.
Cliquez sur "Stratégies de restriction logicielle" et cette fois-ci, ouvrez le paramètre "Contrôle obligatoire". Je vous invite à modifier l'option suivante : "Appliquer les stratégies de restriction logicielle aux utilisateurs suivants" avec la valeur "Tous les utilisateurs excepté les administrateurs locaux". De cette façon, les administrateurs ne seront pas restreints sur les machines.
Note : je vous recommande de laisser la première option sur "Tous les fichiers de logiciels à l'exception des bibliothèques (ex : fichiers DLL)", car bien que cela puisse renforcer la sécurité, il peut y avoir des effets de bords : dysfonctionnements et ralentissement du système.
Validez.
Passez maintenant sur l'option "Types de fichiers désignés" : cette option sert à déterminer les extensions sur lesquelles s'applique cette stratégie. La liste contient déjà un certain nombre d'extensions, mais nous pouvons en ajouter, par exemple : VBS pour les scripts et PAF pour les applications portables.
Il suffit de remplir la case "Extension du fichier" et de cliquer sur le bouton "Ajouter".
Maintenant, nous allons créer nos règles et pour cela plusieurs choix sont possibles :
Règle basée sur un certificat
Règle basée sur le hachage, c'est-à-dire le hash d'un fichier
Règle basée sur une zone réseau
Réglé basée sur un chemin d'accès
C'est le type de règle basée sur un chemin d'accès qui nous intéresse particulièrement. Par défaut, il y a déjà deux règles existantes pour autoriser les exécutables situés dans "Program Files" et dans le répertoire d'installation de Windows.
Voici ces deux règles :
Dans certains cas, ces règles par défaut ne sont pas créées (je ne sais pas pourquoi). Ce qui me donne l'occasion de vous montrer comment créer une règle, car nous avons besoin de ces règles : effectuez un clic droit sur "Règles supplémentaires" et choisissez "Nouvelle règle de chemin d'accès".
Pour le chemin, nous avons deux choix : reprendre la valeur telle que sur la copie d'écran ci-dessus ou saisir le chemin directement, tout en sachant qu'il faudra créer trois règles avec trois chemins :
Pour le niveau de sécurité, choisissez "Non restreint", car on souhaite autoriser les exécutables dans ces dossiers.
Note : si vous créez une stratégie de restriction logicielle pour bloquer un exécutable spécifique, choisissez le mode "Non autorisé" et spécifier le chemin vers le dossier d'installation de votre logiciel où se situe l'exécutable.
Ce qui nous donne le résultat suivant après avoir créé les trois règles. Je vous rappelle qu'il n'est pas nécessaire de créer ces trois règles si vous avez déjà les deux règles par défaut.
La GPO est prête : la suite se passe sur le poste client, mais n'oubliez pas de lier la GPO à votre OU où se situe le PC, si ce n'est pas déjà fait.
III. Tester le blocage des applications sur un poste client
La stratégie étant en place, nous allons effectuer des essais. Pour cela, je me connecte avec un utilisateur du domaine (non-administrateur) sur une machine où la GPO s'applique.
J'ai téléchargé plusieurs applications, dont un Firefox Portable, que je vais tenter d'exécuter.
Bingo ! Le message "Cette application a été bloquée par votre administrateur système" s'affiche : la stratégie de restriction logicielle fonctionne ! L'utilisateur va râler, mais l'admin système est ravi !
Dans le même esprit, avec un fichier MSI, c'est bloqué également !
Nous venons de voir comment utiliser les stratégies de restriction logicielle sous Windows pour restreindre l'utilisation des logiciels et particulièrement des exécutables sur les postes clients. Pour aller plus loin, je vous recommande de vous intéresser à AppLocker : l'article sera d'ici dans les prochains jours, alors un peu de patience.
