Par l'intermédiaire du site CERT-FR, l'ANSSI a publié un nouveau rapport qui évoque une campagne de cyberattaques qui visent les serveurs de supervision Centreon, dans le but de compromettre des entreprises françaises.
D'après l'ANSSI, cette attaque a touché principalement des prestataires de services notamment dans le domaine de l'hébergement Web. Cette cyberattaque n'est pas nouvelle puisqu'elle est active depuis fin 2017 et son activité a cessé en 2020.
Sur les serveurs Centreon compromis, qui au passage sont des serveurs publiés sur Internet, l'ANSSI a remarqué la présence de deux portes dérobées de type webshell. Ceci permet aux attaquants d'avoir un accès au système à distance, à l'aide d'une page web puisque Centreon est accessible en mode web. La première porte dérobée est P.A.S dans sa version 3.1.4 alors que la seconde souche malveillante se nomme Exaramel, il s'agit d'un nom donné par ESET lors de sa découverte en 2018.
En plus d'être disponible sur Internet, les serveurs Centreon compromis n'étaient pas à jour ! Les équipes de l'ANSSI ont relevé que la version la plus récente trouvée sur les serveurs compromis était la version 2.5.2 de Centreon. Il s'agit d'une version sortie en novembre 2014 et qui n'est plus supportée depuis plus de 5 ans. En fait, depuis Centreon a publié pas moins de 8 versions majeures.
Le risque, puisque cette attaque cible des prestataires de services, c'est qu'il y ait des attaques par rebond contre des entreprises intégrées au sein des systèmes de supervision compromis. La liste des victimes est relativement floue. Si l'on s'intéresse aux clients de Centreon, on peut lire de grands noms comme AccorHotel, Airbus, EDF ou encore RATP. De son côté, Centreon indique avoir échangé avec l'ANSSI ces dernières 24 heures et affirme qu'il n'y a pas eu de clients directs de Centreon compromis dans le cadre de cette cyberattaque.
Dans son rapport, l'ANSSI mentionne "Sandworm" des dizaines de fois. Un groupe de hackers rattaché à la Russie et qui pourrait être à l'origine de ces attaques. En tout cas, c'est le mode opératoire "Sandworm" qui est évoqué, ce qui ne veut pas dire directement qu'ils en sont à l'origine.
Ces attaques qui ciblent les serveurs Centreon sont réellement liées à un problème d'hygiène informatique : comment peut-on laisser un serveur de supervision exposé sur Internet et pas maintenu à jour ?!
Pour lire la publication sur le site CERT-FR et consulter le guide détaillé de l'ANSSI, d'une quarantaine de pages, suivez le lien : CERT-FR / Centreon
C'est une commande basique, mais indispensable : Test-Path est un cmdlet PowerShell qui sert à tester l'existence d'un fichier ou d'un dossier.
Je vais vous expliquer comment l'utiliser au travers différents exemples, sachant que c'est un cmdlet qui est fait pour retourner un booléen, c'est-à-dire true (vrai) ou false (faux).
II. PowerShell : tester l'existence d'un fichier
Pour utiliser Test-Path, on va préciser le chemin du dossier ou fichier à tester à la suite du nom de la commande. Par exemple, pour vérifier l'existence du fichier hosts sur la machine :
Test-Path "C:\Windows\System32\drivers\etc\hosts"
Ou avec le paramètre -Path si l'on veut être précis puisque ce paramètre est facultatif :
La commande doit retourner true puisqu'il s'agit d'un fichier présent nativement sur Windows.
Là où c'est intéressant, c'est d'utiliser dans une condition "if" ou "if-else" pour effectuer une action seulement si le fichier existe. Par exemple, on peut récupérer le contenu du fichier hosts seulement s'il existe :
$Fichier = "C:\Windows\System32\drivers\etc\hosts"
if(Test-Path $Fichier){
Get-Content $Fichier
}else{
Write-Host "Le fichier n'existe pas !"
}
Vous pouvez constater que la condition if ne contient pas réellement de condition. Puisque la commande Test-Path retourne directement un booléen, la condition if se vérifiera seulement si Test-Path retourne true.
De la même façon, on peut vérifier l'existence d'une variable d'environnement avec Test-Path. La syntaxe reste la même, par exemple avec la variable USERPROFILE :
Test-Path env:\USERPROFILE
De la même façon, on peut tester l'existence d'un chemin qui cible le Registre Windows.
III. PowerShell : les paramètres de Test-Path
Comme la majorité des cmdlets PowerShell, Test-Path dispose de ses propres paramètres. Je vais vous montrer quelques-uns de ces paramètres en prenant des exemples.
Test-Path et -isValid
Lorsque l'on utilise le cmdlet "Test-Path", il retourne vrai ou faux en fonction de l'existence ou non de l'élément testé. Si l'on utilise le paramètre -isValid, le comportement est différent : on ne vérifie pas si l'élément existe, on vérifie la cohérence de la valeur à tester.
Le répertoire "C:\IT-CONNECT\" n'existe pas, pourtant la syntaxe est correcte, donc la commande va retourner true si -isValid est précisé.
Test-Path "C:\IT-CONNECT\" -IsValid
La preuve en image ci-dessous
Test-Path et -NewerThan et/ou -OlderThan
On peut tester l'existence d'un dossier et sa date de dernière modification, pour voir si elle est "plus récente que" (NewerThan) ou "plus ancienne que" (OlderThan) en précisant une date. On peut cumuler les deux pour cibler une période précise.
Reprenons le fichier hosts, qui sur ma machine a une date de modification au 25/01/2021. On peut tester la date de cette façon, en utilisant le format classique "jour/mois/année" ou un autre format conforme :
On peut utiliser Test-Path pour s'intéresser au contenu d'un dossier et plus particulièrement regarder s'il y a des fichiers dans un format indésirable dans un dossier.
Si l'on prend l'exemple du dossier "C:\TEMP\DOSSIER1" qui contient seulement des images au format JPG et PNG, on peut s'assurer qu'il n'y a pas des éléments dans d'autres formats.
On va utiliser -Exclude suivi de nos extensions JPG et PNG pour les exclure puisqu'elles sont légitimes.
Si le dossier contient seulement des fichiers JPG et PNG, le résultat sera "false" : dans ce cas vous êtes sur que ce dossier ne contient pas des fichiers dans d'autres formats.
Il est à noter l'existence du paramètre -Include qui fonctionne à l'inverse. Il pourra permettre de s'assurer qu'il y a bien des fichiers dans un ou plusieurs formats
La migration d'un site web est une opération chronophage et très sensible. La moindre erreur durant le processus peut avoir un impact négatif sur le référencement de la plateforme et son trafic organique. Pour aider les webmasters à minimiser ces risques, de plus en plus d'outils voient le jour. C'est le cas de Swan Tools, une nouvelle solution informatique d'aide à la migration de site. Quelles sont les fonctionnalités qu'elle propose ? Quelle est sa particularité ? Combien coûte-t-elle ? On en parle dans cet article.
Qu'est-ce que Swan Tools ?
Créé en 2020 par l'agence 410 Gone, Swan Tools est un outil SEO destiné aux développeurs web, aux webmasters, aux référenceurs et aux responsables marketing. Il a pour objectif de faciliter la tâche à ces professionnels durant leurs projets de migration de site web. Concrètement, Swan Tools se veut un outil révolutionnaire qui permet de :
Réduire le nombre d'actions à réaliser pour la migration d'un site web ;
Gagner du temps (réaliser une migration complète en moins de 10 minutes) ;
Minimiser les risques d'oubli et de mauvaise manœuvre ;
Réunir en un même endroit toutes les données nécessaires pour la réussite de la migration d'un site web.
C'est une solution SaaS (logiciel en tant que service) accessible directement en ligne. Actuellement, elle est disponible en anglais et en français. Pour y avoir accès, il faut créer un compte sur la plateforme web du projet.
Quelles sont les fonctionnalités de Swan Tools ?
Swan Tools possède 6 principales fonctionnalités, notamment : l'acquisition de données, le matching d'URL, le reporting, le test de redirection, le Swan assistant. Passons en revue chacune d'entre elles ci-dessous.
L'acquisition des données
Pour réaliser avec succès la migration d'un site web, il faut réunir au préalable certaines données. L'opération commence généralement par un crawl de l'ancienne version du site qui permet de recenser l'ensemble de ses pages web. Ce sont ces URL qui seront redirigées plus tard vers les nouvelles adresses ou vers un site existant selon l'objectif de la migration.
Avec la fonctionnalité d'acquisition de données de Swan.tools, toutes les URL du site qui est en cours de migration peuvent être directement recueillies via l'interface de l'outil. À cela s'ajoute la répartition des paramètres d'URL. En parallèle, Swan Tools permet également de crawler le domaine cible pour récupérer différentes données exploitables.
L'une des particularités de cet outil, c'est qu'il offre également d'autres possibilités pour ce qui est de l'acquisition des données avant la migration. Par exemple, il permet d'importer des URL depuis la Search Console de Google et depuis Google Analytics. Cette fonctionnalité est très pratique pour la récupération des adresses des pages internes orphelines.
Les URL peuvent également être importées vers l'interface de Swan Tools à partir de plusieurs autres outils :
Ahrefs ;
Majestic ;
SEMRush…
Le matching d'URL
Lorsqu'on souhaite fusionner plusieurs sites web, l'une des étapes les plus complexes est la réalisation du plan de redirection. Celle-ci consiste à déterminer (sur la base du contenu) les pages des deux sites qui doivent être liées via des redirections 301. C'est ce que permet de faire automatiquement la fonctionnalité de matching d'URL de Swan Tools. Elle se base sur les données recueillies lors des crawls pour proposer des URL proches qui peuvent être fusionnées.
L'outil propose un indicateur appelé Pourcentage de similarité qui permet d'évaluer en pourcentage le degré de proximité sémantique entre les anciennes pages et les nouvelles. Grâce à cet indicateur, certaines URL qui ont un niveau de correspondance élevé sont directement matchées par l'outil lui-même : les pages d'accueil par exemple. Il est également possible de définir un seuil au-dessus duquel deux URL peuvent être matchées automatiquement.
L'utilisateur a aussi la possibilité d'appliquer les redirections manuellement en se fiant aux suggestions de l'algorithme de Swan.
Le test de la migration et la vérification des résultats
Ces fonctionnalités de Swan Tools permettent à l'utilisateur de vérifier dans l'environnement de préproduction que tout se passe correctement avant de déployer les redirections. Après l'étape du matching, l'interface de l'outil fournit toutes les règles de redirections à mettre dans un fichier .htaccess à la racine du site en préprod. Il est possible de copier ces règles directement depuis Swan Tools ou de les télécharger en version CSV.
Une fois le plan de redirection appliqué (via le fichier .htaccess), il est possible de voir les résultats du test en lançant la vérification dans l'environnement de préproduction. Grâce à cette fonctionnalité, l'utilisateur peut voir le statut de l'ensemble des liens redirigés. Si le résultat obtenu est satisfaisant, les redirections peuvent être appliquées au site en production. Il est également possible de vérifier une dernière fois les résultats à cette étape.
Le reporting
Chaque étape d'un projet de migration mené via l'interface de Swan Tools est accompagnée d'un rapport détaillé qui permet à l'utilisateur de savoir où il en est. Concrètement, l'outil présente sous forme de graphiques et de diagrammes :
La répartition des sources d'URL ;
Le statut des redirections ;
La répartition des paramètres d'URL ;
Le rapport du matching (la qualité des similarités suggérées).
Le niveau de progression de chaque projet (la description des actions réalisées et leur statut) est également visible dans l'interface de l'outil.
Swan assistant
Swan Tools intègre un assistant virtuel automatisé qui aide l'utilisateur à réaliser correctement la migration. À chaque étape, le programme indique l'action en cours de réalisation et affiche une notification lorsque celle-ci est terminée. Il propose également des boutons d'accès rapide que l'utilisateur peut appuyer pour passer rapidement à une autre étape.
Combien coûte Swan Tools ?
Swan Tools est une solution Saas payante qui fonctionne par crédits. En d'autres termes, chaque action réalisée par l'outil consomme une quantité de crédits donnée. Par exemple, il faut compter 4 crédits pour migrer un ensemble de 1 000 URLs. Ensuite, il faut acquérir un crédit supplémentaire par tranche de 250 URLs à migrer.
Les crédits peuvent être achetés de façon unitaire ou en gros selon les besoins de chaque utilisateur. Comme pour la plupart des outils SEO payants, les tarifs proposés sont dégressifs.
Que retenir ?
Swan Tools est un outil SEO d'aide à la migration de sites web qui propose une multitude de fonctionnalités très pratiques : l'acquisition automatique des données, l'aide à la réalisation du plan de redirection, le reporting… Accessible en plusieurs langues, il offre également plusieurs possibilités d'importation de données.
Swan Tools dans la pratique
Je vous laisse en compagnie de cette vidéo de démonstration où vous pouvez voir l'outil Swan Tools en action.
Microsoft Defender Application Guard (MDAG), anciennement Windows Defender Application Guard, est une fonctionnalité de sécurité disponible sur Windows 10. Grâce à elle, vous pouvez ouvrir un navigateur au sein d'un container isolé et sécurisé pour naviguer sur un site Internet qui vous semble suspect.
En complément, cette fonctionnalité est compatible avec la suite Office 365 pour ouvrir, là aussi dans un container isolé et sécurisé, un document qui n'est pas sur un emplacement approuvé. Par exemple, un document Word reçu par e-mail sera ouvert dans un processus Word isolé.
Note : Application Guard pour la suite Office nécessite de disposer une licence Microsoft 365 E5 ou Microsoft 365 E5 Mobility + Security sur son compte utilisateur.
Dans ce tutoriel, je vous propose de voir comment installer et configurer Microsoft Defender Application Guard sur une machine Windows 10 virtualisée.
Disponible au format vidéo :
II. Prérequis Microsoft Defender Application Guard
Dans le même esprit que pour Windows Sandbox, MDAG s'appuie sur la virtualisation et sur Hyper-V. Ce qui implique que votre machine doit respecter les prérequis suivants :
Processeur 64 bits
Extensions de virtualisation de processeur : Intel VT-x ou AMD-V
RAM : minimum 8 Go
Stockage : minimum 5 Go
CPU : 4 coeurs
Windows 10 Entreprise, Professionnel ou Éducation, minimum en version 1709
Il est à noter que Microsoft Defender Application Guard n'est pas pris en charge sur les environnements suivants :
Windows au sein d'une machine virtuelle (à moins d'activer la virtualisation imbriquée / nested virtualization)
Environnement de postes de travail virtualisés (VDI)
A. Complément d'information : activer Application Guard dans une VM
Sur une VM, si vous tentez d'activer Application Guard, il y a des chances pour que ce soit grisé, comme ceci :
Comme l'explique Microsoft dans sa documentation, il y a une astuce pour activer Application Guard dans une VM sans respecter tous les prérequis, notamment au niveau de la RAM minimale.
Pour l'interface graphique, suivez les étapes suivantes. Recherchez "Activer ou désactiver des fonctionnalités Windows" dans la zone de recherche Windows 10.
Une fenêtre "Fonctionnalités de Windows" va s'ouvrir. Dans la liste, cochez la case correspondante à "Microsoft Defender Application Guard".
Patientez pendant l'installation... Tout en sachant qu'il sera indispensable de redémarrer à la fin. En PowerShell, il faut également redémarrer votre machine.
Pour les appareils gérés à l'aide de la solution Intune, cette fonctionnalité peut s'activer à distance sur vos machines.
IV. Comment utiliser Microsoft Defender Application Guard ?
Il y a plusieurs manières d'utiliser MDAG : au sein d'un navigateur ou avec la suite Office. Commençons par le cas des navigateurs.
A. Microsoft Defender Application Guard : Edge, Chrome et Firefox
MDAG est natif dans Edge. Lorsque la fonctionnalité est installée sur votre PC, ouvrez Edge. Cliquez sur le menu "..." en haut à droite et cliquez sur "Nouvelle fenêtre Application Guard".
Une fenêtre comme celle ci-dessous va s'afficher pendant le démarrage. Il prendra quelques secondes puisque Windows doit créer le container en s'appuyant sur de la virtualisation.
Ensuite, vous avez accès à Edge, comme sur celui que vous avez lancé directement. La différence c'est que celui-ci n'est pas connecté à votre profil et qu'il s'exécute dans un environnement bac à sable. L'icône dans la barre des tâches est également différente.
B. Gérer les autorisations de Microsoft Defender Application Guard
Windows 10 intègre des paramètres pour gérer la fonctionnalité de navigation isolée. Il faut se rendre dans :
Paramètres > Mise à jour et sécurité > Sécurité Windows > Contrôle des applications et du navigateur > Navigation isolée
Cliquez ensuite sur "Modifier les paramètres d'Application Guard".
Il y a plusieurs options qui vont permettre d'ouvrir un peu les vannes entre le navigateur isolé et le système Windows. Par exemple, pour permettre l'impression depuis le navigateur ouvert en mode Application Guard ou autoriser le copier-coller.
Note : vous pouvez configurer ces paramètres sur un ensemble de machines grâce à une GPO.
Pour utiliser Application Guard dans Chrome et Firefox, il faut ajouter une extension dans le navigateur :
Nous venons de voir le mode autonome d'Application Guard où chaque utilisateur exploite la fonctionnalité à sa guise. Vous pouvez l'utiliser en mode géré appelé également le mode Entreprise.
Ce mode se configure à partir d'une GPO (ou d'Intune) afin de déployer la configuration sur vos postes clients.
Les paramètres de GPO d'Application Guard se situent à cet emplacement :
Configuration ordinateur > Modèles d'administration > Composants Windows > Microsoft Defender Application Guard
D'ailleurs, il faut configurer ce paramètre : "Activer Microsoft Defender Application Guard en mode géré"
Vous avez le choix entre trois modes pour appliquer seulement au sein du navigateur Edge (1), seulement au niveau applicatif (Office - 2) ou alors aux deux (3).
Nous retrouvons également les paramètres du mode autonome pour gérer l'accès au copier-coller, à la caméra, etc.
Ensuite, vous devez gérer une liste des sites à ouvrir en dehors d'Application Guard : à commencer par les sites de votre entreprise. Il faut configurer le paramètre suivant :
Configuration ordinateur > Modèles d'administration > Réseau > Isolement réseau > Domaines de ressources d'entreprise hébergés dans le cloud
Ce paramètre peut contenir plusieurs domaines, séparés par un "|" comme dans l'exemple ci-dessous.
Lorsque la GPO sera déployée sur vos postes, voici comment ça va se passer : l'utilisateur va ouvrir le navigateur et s'il va sur un site déclaré dans votre GPO, Edge va poursuivre la navigation normalement. Sinon, le site va s'ouvrir dans un Edge distinct et isolé.
Vous l'aurez compris, lorsqu'il s'applique au niveau du navigateur, Application Guard est très restrictif, car il n'y a que les sites déclarés qui s'ouvrent en mode classique.
Le mode autonome est plus facilement déployable à condition d'éduquer vos utilisateurs pour qu'il y ait un réel intérêt. Pour ouvrir tous les sites hors périmètre de la GPO dans un container Application Guard, cela s'adresse plutôt à des environnements très sensibles et il faut avoir des postes de travail qui carburent ! Une fois que le container Edge est lancé, c'est fluide (à condition de ne pas fermer le container à chaque fois) ! Il est clair que si l'utilisateur doit attendre 3 minutes avant que sa page Web s'ouvre, vous allez rapidement en entendre parler...
V. Connaissez-vous Windows Sandbox ?
Dans le même esprit et sur la base d'un bac à sable, Windows Sandbox est une fonctionnalité de Windows 10 qui sert à créer un environnement isolé et temporaire. Il donne accès à un bureau complet Windows 10, sur lequel vous pouvez tester des logiciels, par exemple. Découvrez-le dans notre vidéo :
Samsung et Microsoft continue de collaborer pour faciliter les interactions entre un PC sous Windows et un smartphone Samsung. Aujourd'hui, on apprend que l'application Quick Share va arriver prochainement sur Windows 10.
Quick Share est une application de Samsung qui va faciliter le transfert de fichiers entre son smartphone Samsung et son PC, et inversement. Samsung l'a publiée sur le Microsoft Store avant de la retirer quelques heures, mais cela a permis d'avoir un aperçu malgré tout. Preuve également qu'elle va sortir bientôt.
Tout simplement, Quick Share reprend le principe de l'AirDrop sur les appareils Apple ou encore de la fonctionnalité "Partage à proximité" de Google. L'application Quick Share s'appuie sur une connexion Wi-Fi directe entre les deux appareils pour effectuer le transfert de fichiers. Le fait d'utiliser le Wi-Fi permet d'avoir de meilleures performances en comparaison du Bluetooth.
Aujourd'hui, pour réaliser le partage de fichiers entre un smartphone et un PC, nous avons déjà l'application Votre Téléphone développée par Microsoft. La solution proposée par Samsung serait plus efficace et plus rapide à utiliser : sur le mobile, il y aurait directement un bouton de partage Quick Share au sein de l'interface One UI (surcouche Samsung d'Android).
Samsung semble préparer deux autres applications à destination d'Android et de Windows : Samsung Free et Samsung O. L'application Samsung Free permettrait d'afficher un flux d'actualités sur son smartphone. Assez surprenant d'imaginer un portage de cette application sur Windows. Pour Samsung O, il faudra attendre d'en savoir plus à son sujet.
