Depuis 7 ans, le service système Polkit est vulnérable à une faille de sécurité importante qui permet à un attaquant en local d'effectuer une élévation de privilèges et de devenir "root" sur la machine cible.
Référencée avec le nom CVE-2021-3560, cette faille de sécurité touche de nombreuses distributions différentes. D'après Kevin Backhouse, qui est à l'origine de cette découverte, cette faille de sécurité est présente dans Polkit (PolicyKit) depuis le 9 novembre 2013. Toutes les versions de Polkit de la 0.113 à la 0.118 sont affectées. En complément, il s'avère que les distributions basées sur Debian et sur Polkit 0.105, sont vulnérables également. Des systèmes populaires sont affectés, tels que RHEL 8, Fedora 21 (ou supérieur), Debian 11 (Bullseye) ou encore Ubuntu 20.04. À l'inverse, RHEL 7, Debian 10 et Ubuntu 18.04 ne sont pas vulnérables.
Sur le site d'ArchLinux, voici la description associée à Polkit : "polkit est un ensemble d'outils permettant de gérer des règles pour autoriser la communication entre, d'un côté, des processus privilégiés offrant des services et de l'autre, des processus non privilégiés.". Ce qui permet de mieux comprendre l'utilité de cet outil et surtout que la faille permette une élévation de privilèges sur la machine. Par exemple, voici une fenêtre d'authentification générée par Polkit :
Source : Github de Kevin Backhouse
Kevin Backhouse précise que "la vulnérabilité est étonnamment facile à exploiter. Tout ce qu'il faut, c'est exécuter quelques commandes dans la console en utilisant uniquement des outils standard, comme bash, kill et dbus-send". Il précise également que la faille est déclenchée par l'envoi d'une commande via dbus-send, mais en tuant le processus alors que polkit est toujours en train de traiter la demande. Grâce à cette méthode, il parvient à bypasser l'authentification et à effectuer une élévation de privilèges, tout en étant avec un utilisateur standard à la base.
La version 0.119 de Polkit permet de se protéger contre cette vulnérabilité. Cette version est disponible depuis le 03 juin 2021. Vous pouvez l'installer sur vos systèmes dès à présent.
Dans ce tutoriel, nous allons voir comment activer le DNS over HTTPS (DoH) au sein de Windows 10, mais attention c'est une fonctionnalité en cours de développement.
Vidéo complète sur le sujet : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.
Au sein des versions stables actuelles, le système d'exploitation de Microsoft n'intègre pas de prise en charge de cette fonctionnalité. Néanmoins, ce n'est qu'une question de temps, car un paramètre est apparu dans le registre puis dans l'interface graphique dans les versions de Windows en cours de développement.
Pour configurer DoH via le Registre Windows il faut utiliser la Build 19628 ou une version supérieure. La version stable actuelle de Windows 10, à savoir Windows 10 21H1, correspond à la Build 19043. Dans une Build encore plus récente, il y a un paramètre dans l'interface graphique qui est apparu. Je vais vous expliquer tout ça dans cet article.
Pour configurer le DoH sous Windows 10 à partir du Registre, suivez les étapes suivantes.
Nous allons devoir créer la valeur "EnableAutoDoh" avec "2" comme valeur, à l'emplacement "HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters". Plutôt que de le faire en interface graphique, je vous propose d'exécuter une console PowerShell en tant qu'administrateur et d'exécuter la commande suivante :
Cette commande va permettre d'obtenir le résultat suivant :
Windows 10 - Registre - EnableAutoDoh
Suite à la création de ce paramètre dans le Registre, il est impératif de redémarrer la machine.
Sur votre machine, il ne reste plus qu'à modifier le DNS dans les options de votre carte réseau pour spécifier un DNS compatible DoH (Cloudflare, Quad9, etc.). Si vous utilisez un DHCP, vous pouvez modifier le DNS distribué par votre serveur DHCP directement, par exemple sur votre Box. Vous pouvez aussi conserver la partie DHCP pour l'adresse IP et forcer le DNS sur votre machine, déjà le temps de tester cette fonctionnalité.
Validez et profitez !
III. Windows 10 Dev et l'option chiffrement DNS
Sur les toutes dernières versions en cours de développement de Windows 10 (disponible via le programme Insider), la gestion du DNS over HTTPS est proposée dans l'interface graphique. Pour cela, il faut ouvrir les "Paramètres", cliquer sur "Réseau et Internet", puis cliquer sur "Propriétés" au sein de la section "Etat", comme ceci :
Sous "Paramètres DNS", cliquez sur "Modifier".
Il faut basculer le DNS en mode manuel, et indiquer un serveur DNS compatible DoH au niveau de l'option "DNS préféré". Ensuite, pour l'option "Chiffrement DNS préféré", il faut choisir "Chiffré uniquement (DNS over HTTPS)".
Validez via le bouton "Enregistrer", cela va redémarrer la connexion réseau de la machine locale.
Le tour est joué ! Il est fort probable que cette nouveauté de l'interface graphique soit intégrée à la mise à jour majeure de Windows 10 prévue pour fin 2021.
IV. Ajouter un résolveur DNS DoH tiers dans Windows 10
Par défaut, Windows 10 supporte que certains DoH (IPv4 et IPv6) qui sont enregistrés dans le système. Concrètement, on retrouve seulement Google, Cloudflare et Quad9. Sur les dernières versions en développement de Windows 10, il suffit d'exécuter la commande ci-dessous pour afficher les DoH enregistrés par défaut :
netsh dns show encryption
On peut déclarer un autre DoH sur la machine, pour cela il faut disposer de deux informations : l'adresse IP du serveur DoH (server) et l'adresse HTTPS sur laquelle envoyer les requêtes DNS (dohtemplate).
À l'aide de ces informations, on va ajouter le DoH sur la machine via netsh, ce qui va donner la commande ci-dessous si l'on prend l'exemple du DoH de Hostux (hébergé au Luxembourg) :
netsh dns add encryption server=46.226.109.82 dohtemplate=https://dns.hostux.net/dns-query
Ensuite, si on liste de nouveau nos DoH en filtrant sur l'adresse IP de celui que l'on vient d'ajouter, il apparaît bien :
netsh dns show encryption server=46.226.109.82
On peut maintenant l'utiliser en tant que DNS sur notre machine Windows 10 et activer le chiffrement.
Note : les serveurs DoH connus sont déclarés dans le registre au sein de la clé suivante "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DohWellKnownServers"
V. Capture de trafic pour vérifier que le DoH est actif sous Windows 10
Nous allons utiliser l'outil Packet Monitor intégré à Windows 10 pour capturer le trafic réseau et regarder ce qu'il se passe une fois le DoH actif. Cet outil sera suffisant pour ce que l'on a besoin de faire maintenant, et cela évite d'installer WireShark.
Ouvrez une console PowerShell (ou CMD) en tant qu'administrateur et exécutez la commande suivante pour supprimer tous les filtres de PKTMON (dans le cas où il y en aurait).
pktmon filter remove
Créez un nouveau filtre sur le port 53, qui je vous rappelle est le port utilisé par le protocole DNS :
pktmon filter add -p 53
Enfin, lancez une capture de trafic en temps réel où les résultats seront affichés dans la console directement. Par résultat, j'entends tous les paquets DNS sur le port 53.
pktmon start --etw -m real-time
Quand le DNS over HTTPS est configuré sur la machine et que l'on commence à naviguer sur Internet, on peut voir qu'il n'y aucun paquet qui s'affiche... Cela est logique, car nos paquets DNS sont sécurisés au travers de flux HTTPS : notre configuration fonctionne .
Avec le DNS over HTTPS actif, il n'y a plus de paquets sur le port 53
Par contre, si je filtre sur le port 443 (HTTPS), je vois bien des requêtes envoyées vers mon DNS (1.1.1.1), ce qui confirme que le DNS over HTTPS est actif. Nous ne voyons pas le contenu de la trame DNS (d'ailleurs rien ne dit qu'il s'agisse de trames DNS mais on peut s'en douter vu que c'est envoyé vers mon résolveur DNS).
Avec le DoH actif, les trames DNS partent vers le serveur DNS sur le port 443
Si je fais machine arrière et que je désactive DoH, on voit rapidement la différence : de nombreuses requêtes DNS en claires sont envoyées et visibles via PKTMON :
Sans DoH, nous voyons passer les trames DNS (port 53)
Que pensez-vous de cette intégration du DNS over HTTPS dans Windows 10 ? Allez-vous l'utiliser par la suite ?
La semaine dernière, le site CyberNews a relayé la découverte d'un fichier intitulé RockYou2021 et qui contient 8,4 milliards de combinaisons de mots de passe. Mais, il n'y a pas de quoi s'inquiéter !
Imaginez un fichier TXT de plus de 100 Go et l'on imagine tout de suite que ce fichier doit contenir énormément de lignes. Effectivement, il contient 8,4 milliards de mots de passe différents. Mais, attention, ces mots de passe ne sont pas tous valides, et ils ne sont pas tous issus de fuites de données.
Contrairement à ce que l'on peut lire sur certains sites, il ne me semble pas qu'il s'agisse de la plus grande fuite de mots de passe de l'histoire. Il s'agit plutôt d'une très très très longue liste de mots de passe, divers et variés, ce qui nous donne un joli dictionnaire de mots de passe. Par principe, un dictionnaire de mots de passe contient de nombreux mots de passe différents, où l'on va avoir un maximum de combinaisons possibles, sans pour autant que ce soit des mots de passe valides. Ici, il s'agit d'un mixe entre des mots de passe valides et des combinaisons plus ou moins aléatoires. De plus, les mots de passe valides sont déjà connus puisqu'ils proviennent de précédentes fuites.
D'ailleurs, Troy Hunt, l'auteur du célèbre site Have I Been Pwned est surpris de l'ampleur de ces annonces ! Sur Twitter, il a publié le message suivant : "Pour les personnes qui s'interrogent sur la liste de mots de passe "RockYou2021", de 8,4 milliards d'enregistrements qui fait la une aujourd'hui, il s'agit d'une agrégation de plusieurs listes." et cite comme exemple le dictionnaire de mots de passe disponible sur CrackStation.net.
Finalement, RockYou2021 ressemble plus à une compilation de dictionnaires de mots de passe, et non à une compilation de fuites de mots de passe. On en entend parler que maintenant, mais visiblement cette compilation est en ligne depuis le mois d'avril dernier.
À partir d'Octobre 2021, NVIDIA va stopper le support de Windows 7, Windows 8 et Windows 8.1 pour ses pilotes. L'éditeur souhaite se concentrer sur les versions de Windows 10 actuelles et les futures versions de Windows.
Rassurez-vous, le support ne va pas s'arrêter totalement, notamment pour la partie sécurité. En fait, pour ses pilotes Game Ready, NVIDIA va proposer de nouvelles fonctionnalités, améliorer les performances et corriger certains bugs fonctionnels uniquement pour Windows 10. Quand un nouveau jeu sort, NVIDIA publie généralement une mise à jour de ses pilotes pour améliorer les performances avec le nouveau jeu en question. Il n'y aura que Windows 10 qui pourra bénéficier de ces améliorations.
Ce changement sera appliqué à partir du 4 octobre 2021. A compter de cette date, pour Windows 7, Windows 8 et Windows 8.1, NVIDIA va continuer à proposer des correctifs de sécurité, et c'est tout. Les correctifs de sécurité pour ces versions de Windows seront publiés jusqu'en septembre 2024, ce qui laisse encore du temps pour passer sur Windows 10 (ou Windows 11, ahah).
D'après NVIDIA, la majorité de ses utilisateurs de GeForce utilisent le système d'exploitation Windows 10. Si l'on se réfère à un rapport publié par la plateforme Steam, il y aurait moins de 4% des joueurs sous Windows qui n'utilisent pas Windows 10. Enfin, le dernier pilote Game Ready qui supporte Windows 7, Windows 8 et Windows 8.1 sera disponible le 31 août 2021.
Derrière l’acronyme DSI se cache la Direction du Système d’Information, une pièce maîtresse dans l'activité d'une entreprise dont l'objectif principal est de définir et piloter la stratégie IT. Notamment, choisir les bons outils et exploiter de manière efficiente ces outils. Ce poste indispensable dans les grandes entreprises n’est pourtant pas une évidence dans certaines PME. Dans certaines entreprises, cette notion de DSI n’existe pas et peut amener à se poser la question suivante : doit-on externaliser sa DSI pour assurer cette fonction ?
Rappel sur la fonction de DSI
Le DSI doit gérer le système d’information dans son ensemble. Il a une vue transverse entre le système, le réseau, les applicatifs et les différents métiers de l’entreprise. Le DSI doit conseiller sa direction et les responsables des autres services pour prendre les bonnes orientations numériques, choisir les bons outils, et ensuite il doit s’assurer de l’accompagnement des utilisateurs. Pour la partie opérationnelle, il s’appuie sur une ou plusieurs personnes, en fonction de la taille de l’entreprise : ensemble, ils constituent le service informatique.
Par DSI externalisée, on entend s'appuyer sur un prestataire. Ce dernier vous proposera une prestation de DSI à temps partagé qui peut s’accompagner également par une prestation d’infogérance.
La DSI externalisée et le partage de l'expertise
Premier constat : toutes les entreprises n’ont pas besoin d’un DSI à temps plein : la taille de l’entreprise ne le nécessite pas forcément et le volume de tâches n’est pas suffisant. Dans ce cas, il y a plusieurs options : laisser vacante la place de DSI (mauvaise idée), embaucher un administrateur système et réseau qui assurera également cette fonction de DSI, ou alors opter pour l'externalisation de la DSI. Ces dernières années, la DSI externalisé pour les PME est une tendance qui se confirme et qui est en constante progression.
Que l’infrastructure soit on-premise c’est-à-dire dans les locaux de l’entreprise, dans le Cloud ou en mode hybride, la fonction de DSI doit exister. Avec l'augmentation des attaques informatiques et les questions liées à la cybersécurité, la DSI est d'autant plus importante puisqu'elle va permettre de définir une stratégie vis-à-vis de cette problématique. Face à une telle problématique, il n'est pas question de rester réactif, mais il faut bien être proactif et prendre le taureau par les cornes, comme on dit.
Personnellement, je trouve que l'externalisation de la DSI est intéressante, car elle permet de mutualiser les expériences et de partager l'expertise. Un DSI à temps partagé interviendra auprès de plusieurs sociétés. De cette façon, il pourra accumuler de l'expérience sur des sujets divers et variés, ce qui en profitera directement à ses clients. Avec la DSI externalisée, il y a indirectement une expérience mutualisée qui permet de gagner en productivité.
La DSI : une histoire de coûts
Avec l’évolution des technologies, des pratiques et de la société, l’informatique est devenu incontournable même pour les PME : faire appel à un DSI à temps partagé permet à l’entreprise d’assurer la gestion de son SI tout en maîtrisant ses coûts. Cette ressource externe va permettre d'apporter son expertise, d’assurer une veille sur le SI de votre entreprise et de rester proactif : indispensable pour la sécurité de votre système d’information comme je le disais.
La fonction de DSI est associée à un salaire relativement élevé et toutes les entreprises ne peuvent pas se permettre d'embaucher un DSI à temps plein. C'est le nerf de la guerre, vous allez me dire... Grâce à l'externalisation de cette fonction, cela permet d'avoir en quelque sorte un DSI à la demande avec un contrat qui peut évoluer dans le temps avec le prestataire. Par ailleurs, et c'est très important, cela permet d'avoir un expert capable d'assurer cette fonction de DSI sans laisser la fonction vacante.
Externaliser sa DSI permet d'apporter une certaine maîtrise de ses coûts, donc c'est un levier intéressant pour optimiser ses dépenses tout en assurant une présence à ce poste clé.
Alors, faut-il externaliser sa DSI ?
L'externalisation de la DSI ne doit pas être systématique et perçue comme une solution miracle. Cela me semble pertinent principalement pour les PME où il n'est pas justifié d'embaucher une personne à temps plein.
Si la demande est trop forte au sein de l'entreprise, ce sera tout à fait cohérent d'embaucher un DSI à temps plein. Le fait d'intégrer la DSI permettra aussi de construire une équipe complète pour le service informatique et d'avoir un chef d'orchestre présent au quotidien.
Il faut trouver le juste milieu entre les coûts et les besoins réels de votre entreprise : où en est mon système d'information aujourd'hui ? Quelle est la charge de travail qui lui est associée ? Est-ce que j'utilise correctement mes outils ? Est-ce qu'il me manque des outils pour gagner en productivité ? Pour vous aider à répondre ces questions, il peut être intéressant de réaliser un audit pour faire avancer la réflexion, et notamment établir une charge de travail pour cette fonction de DSI. Ce qui devrait vous aider à faire le choix entre externaliser ou internaliser la DSI.
L'important à mon sens, c'est que la fonction "DSI" soit assurée par quelqu'un, soit un employé en interne, soit un prestataire. Le numérique est omniprésent et en constante évolution, on ne peut plus se permettre de mettre en place un système et de le laisser tourner en autonomie pendant des années sans s'en occuper, si ce n'est faire le strict minimum et le curatif. Le système d'information doit vivre, car les enjeux sont forts.
Pour ceux qui vont se laisser tenter par la DSI externalisée, reste à choisir son prestataire : ce n'est pas les prétendants qui manquent, je peux citer par exemple OTO Technology. Votre moteur de recherche favori ou votre réseau professionnel pourra vous aider à faire le bon choix.
Vidéo complète sur le sujet : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.
.
