I. Présentation

Dans cet article, nous allons parler de la solution Intune, proposée par Microsoft et intégrée dans l'écosystème Microsoft 365. Microsoft Intune sera présenté afin d'évoquer ses fonctionnalités, mais également les licences nécessaires à son utilisation, puis nous verrons comment faire nos premiers pas : de l'inscription d'un appareil à la création d'une première stratégie de configuration.

Cet article servira de base pour la suite : d'autres tutoriels sur des cas d'usage spécifiques seront mis en ligne sur IT-Connect pour que vous puissiez monter en compétences sur ce sujet.

• Voir la vidéo sur YouTube

Pour suivre la mise en pratique de ce tutoriel, vous pouvez créer un tenant de test gratuit :

• Microsoft 365 : comment créer un tenant gratuitement ?

II. Qu'est-ce que Microsoft Intune ?

Microsoft Intune représente tous les services de gestion des appareils de chez Microsoft. Intune en lui-même, est une solution de gestion des appareils basée sur le Cloud Microsoft 365. Cette solution offre la possibilité de gérer les différents appareils amenés à se connecter aux ressources de l'entreprise, que ce soit des ordinateurs, des smartphones ou des tablettes.

Intune prend en charge une grande variété de systèmes d'exploitation, notamment Windows, Linux, macOS, Chrome OS, mais également Android et iOS. Ainsi, l'entreprise peut gérer les différents types d'appareils, même si les capacités de gestion varient d'un système à un autre. Ainsi, Intune est capable de gérer des ordinateurs, des smartphones, des tablettes, des machines virtuelles, des kiosques, etc.

• Microsoft Learn - Systèmes d'exploitation pris en charge par Intune

Grâce à la création de stratégies, l'administrateur système pourra configurer les appareils à distance, que ce soit pour uniformiser les paramètres du système, renforcer la sécurité (BitLocker, LAPS, etc.), déployer des applications et mettre en conformité des appareils.

Microsoft Intune s'inscrit totalement dans l'esprit du "Modern Device Management" où l'on prend en considération les appareils de l'entreprise, mais également les appareils personnels (principe du BYOD), et le fait que l'utilisateur est susceptible de travailler depuis n'importe où. Par ailleurs, Intune dispose de toutes les fonctionnalités nécessaires pour mettre en oeuvre le modèle Zero Trust.

Aujourd'hui, derrière le terme "Microsoft Intune" se cache une suite de services proposés par Microsoft. Ce schéma issu de la documentation Microsoft donne une bonne vue d'ensemble. Bien entendu, ceci est susceptible d'évoluer avec le temps.

Remarque : Intune est capable de s'associer à Configuration Manager (System Center Configuration Manager / SCCM) en mode co-gestion pour combiner l'utilisation des deux outils pour la gestion des ressources Cloud et on-premise.

III. Les licences pour Intune

Microsoft Intune n'est pas gratuit, c'est un service Cloud accessible en payant un abonnement. Toutefois, peut-être que vous pouvez déjà en bénéficier ! En fait, tout dépend des licences que vous avez pour vos utilisateurs.

Il y a 3 offres d'abonnements pour Microsoft Intune :

• Microsoft Intune (Plan 1)
• Microsoft Intune Plan 2
• Microsoft Intune Suite

Vous pouvez les comparer en consultant cette page :

• Les plans Microsoft Intune

L'offre "Microsoft Intune", correspondante au "Plan 1" est intégrée dans plusieurs licences Microsoft 365. Si vous avez l'une des licences ci-dessous, vous avez déjà Microsoft Intune :

• Microsoft 365 E3
• Microsoft 365 E5
• Microsoft 365 F1
• Microsoft 365 F3
• Microsoft 365 Business Premium
• Office 365 E3 + Enterprise Mobility + Security E3 (EMS)
• Office 365 E5 + Enterprise Mobility + Security E5 (EMS)

Voici un exemple d'un utilisateur avec une licence "Microsoft 365 E5 Developer", où l'on peut voir qu'il y a bien "Microsoft Intune Plan 1" dans la liste des services.

Vous pouvez activer un essai gratuit de Microsoft Intune en suivant cette procédure :

• Microsoft Learn - Evaluation gratuite Intune

IV. Découverte de l'interface d'Intune

L'administration de Microsoft Intune s'effectue à partir d'un centre d'administration dédié accessible à l'adresse "intune.microsoft.com" à partir d'un navigateur web.

• Accéder au portail Microsoft Intune

Un menu situé sur la gauche de l'interface permet de naviguer entre les différentes sections d'Intune.

• Tableau de bord (Dashboard) : contient un ensemble de widgets avec des métriques et informations clés sur l'état de votre environnement. Ce tableau de bord est totalement personnalisable et vous pouvez en créer plusieurs.
• Appareils (Devices) : c'est ici que vous pouvez visualiser l'état de vos appareils, mais aussi créer des stratégies. En général, avec Intune, nous passons beaucoup de temps dans cette partie de l'interface.
• Applications : cette section sert à gérer le déploiement des applications sur les appareils, mais également les stratégies de sécurité des applications.
• Sécurité du point de terminaison (Endpoint security) : c'est ici que nous gérons les paramètres de sécurité des appareils (chiffrement du disque, pare-feu, antivirus, etc.)
• Rapports (Reports) : surveiller l'état de vos appareils grâce aux rapports Intune
• Utilisateurs (Users) : la liste des utilisateurs (il s'agit de ceux présents dans Microsoft Entra ID)
• Groupes (Groups) : la liste des groupes (il s'agit de ceux présents dans Microsoft Entra ID)
• Administration de locataire (Tenant administration) : configuration de paramètres qui vont impacter l'ensemble du tenant Microsoft 365, notamment la personnalisation du thème graphique, la création de rôles d'administration (RBAC) ou encore la gestion des connecteurs
• Dépannage + support (Troubleshooting + support) : accès à de l'aide relative à Intune

V. L'inscription des appareils dans Intune

Afin de pouvoir gérer un appareil avec Intune, ce dernier doit être inscrit dans cette solution de gestion. Selon s'il s'agit d'un appareil de l'entreprise ou un appareil personnel, il y a plusieurs modes d'inscriptions envisageables :

• Microsoft Entra Registered (ou Azure AD Registered) : pour les appareils personnels (BYOD)
• Microsoft Entra Joined (ou Azure AD Joined) : pour les appareils dont l'entreprise est propriétaire, intégré directement dans Microsoft Entra ID et inscrit dans Intune
• Microsoft Entra Hybrid Joined (ou Hybrid AD Joined) : pour les appareils dont l'entreprise est propriétaire, intégré dans l'Active Directory (on-premise) et synchronisé dans Microsoft Entra ID, puis inscrit dans Intune

Intune peut être utilisé avec les environnements full-Cloud où vos appareils sont inscrits dans Microsoft Entra ID, mais également avec les environnements hybrides où vous avez déjà une infrastructure existante avec un annuaire Active Directory, par exemple. En fonction de votre point de départ, la mise en place d'Intune sera différente.

Il existe plusieurs méthodes pour effectuer l'inscription d'un appareil, notamment via Autopilot, via l'OOBE (processus d'initialisation de Windows), mais aussi via les paramètres de Windows.

Pour en savoir plus sur ces différents modes d'inscription, veuillez vous référer à cet article :

• Comment inscrire un appareil Windows dans Microsoft Entra ID ?

Avant de pouvoir inscrire des appareils dans Intune, vous devez configurer votre tenant.

A. Autoriser l'inscription des appareils dans Microsoft Entra ID

Dans les paramètres de Microsoft Entra ID (ex-Azure Active Directory), vous devez déterminer quels sont les utilisateurs en mesure d'inscrire des appareils. Tout en sachant qu'un appareil inscrit dans Entra ID pourra être enregistré automatiquement dans Intune. Nous allons voir où effectuer cette configuration.

• Accéder au portail Microsoft Entra

Connectez-vous au portail Microsoft Entra, cliquez sur "Appareils" à gauche (1) puis sur "Tous les appareils" (2) afin de cliquer sur "Paramètres de l'appareil" (3).

Vous arrivez sur une page avec plusieurs paramètres intéressants, notamment ceux-là :

• Les utilisateurs peuvent joindre des appareils à Microsoft Entra : "Tout" indique que tous les utilisateurs peuvent joindre un appareil dans Entra ID, ce qui signifie que la machine est jointe au tenant (gestion complète), mais vous pouvez choisir "Sélectionné" pour attribuer cette permission uniquement à certains utilisateurs (recommandé).
• Les utilisateurs peuvent inscrire leurs appareils auprès de Microsoft Entra : "Tout" permet d'activer l'inscription des appareils (utile pour les appareils personnels). Ce paramètre est configuré sur "Tout" et bloqué si Intune est activé.
• Exiger l'authentification multifacteur pour inscrire ou joindre des appareils avec Microsoft Entra : indiquez si "Oui" ou "Non" le MFA est requis pour inscrire ou joindre un appareil dans Entra ID. Ceci est recommandé pour des raisons de sécurité.

Cliquez sur "Enregistrer" avant de passer à la suite.

B. Activer Intune sur un tenant Microsoft 365

Pour que les appareils enregistrés ou joints dans Microsoft Entra ID soient inscrits dans Intune, vous devez activer "Microsoft Intune" en tant que solution MDM (Mobile Device Management) pour votre tenant. D'ailleurs, Microsoft prend en charge d'autres solutions MDM : vous n'êtes pas obligé d'utiliser Intune.

A partir du "Centre d'administration Microsoft Entra", cliquez sur "Paramètres", puis sur "Mobilité". Choisissez "Microsoft Intune" sur la droite.

Sur cette page, vous avez deux étendues configurables :

• Etendue de l'utilisateur GPM (ce qui correspond au MDM)
• Étendue de l’utilisateur Protection des informations Windows (WIP) - Qui a changé de nom fin décembre 2023 car cette option s'appelait auparavant "Etendue de l'utilisateur GAM" (ce qui correspond au MAM). Voir ce tweet à ce sujet.

MDM correspond à la gestion des appareils dans leur intégralité, tandis que MAM (Mobile Application Management) correspond à la gestion des données sur les appareils, ce qui est plus adapté aux appareils personnels (dans le cadre du BYOD). Autrement dit, le MDM permet de gérer l'intégralité de l'appareil tandis que la seconde option vise à gérer les données et les applications de l'entreprise sur l'appareil (donc c'est "moins intrusif").

• Microsoft Learn - App Protection Policies Overview

Si vous cochez "Tout", vous permettez à tous les utilisateurs d'effectuer l'inscription Intune. Sinon, le fait de choisir "Partiel" vous permet d'autoriser les membres d'un groupe.

Pour valider, pensez à cliquer sur "Enregistrer" en bas de page.

Grâce à cette configuration, Intune est prêt à accueillir vos premiers appareils !

VI. Premiers pas avec Intune

A. Objectif de la configuration

Pour faire vos premiers pas avec Intune, vous devrez inscrire une première machine afin de pouvoir lui appliquer des paramètres de configuration.

Ici, notre objectif va être créer une nouvelle stratégie de configuration pour paramétrer le navigateur Microsoft Edge sur les machines Windows. Nous allons configurer la page d'accueil par défaut pour mettre Google, ajuster le comportement du navigateur à son lancement et ajuster son comportement lors de l'ouverture d'un nouvel onglet. Ceci va nous permettre de prendre en main l'assistant de création de ce que l'on appelle un "Profil de configuration", soit l'équivalent d'une stratégie de groupe (GPO) en environnement Active Directory.

Dans cet exemple, deux machines seront utilisées : "PC-ITC-01" et "PC-ITC-02". Elles sont toutes les deux sous Windows 11, inscrites en tant qu'appareil "Microsoft Entra Joined" et membre d'un groupe Entra ID nommé "PC_Corporate" (il s'agit d'un groupe statique, mais vous pouvez utiliser un groupe dynamique).

B. Créer un profil de configuration

A partir du Centre d'administration Microsoft Intune, vous devez cliquer sur "Appareils" à gauche puis sur "Profils de configuration" afin de cliquer sur "Créer" et "Nouvelle stratégie". Ce menu est également accessible si vous choisissez un type de plateforme dans la liste (Windows, Linux, etc.).

Un panneau latéral va s'ouvrir sur la droite. Vous devez choisir la plateforme cible, c'est-à-dire le système d'exploitation donc "Windows 10 et ultérieur" dans cet exemple. Vous devez également choisir un type de profil :

• Catalogue des paramètres : donne accès à un ensemble de paramètres, organisés par catégories, et vous pouvez configurer les paramètres de votre choix (c'est ce que vous devez choisir pour réussir cette mise en pratique).
• Modèles : donne accès à des modèles de configuration pour certaines fonctions ou services. Quand vous choisissez un modèle, vous devez configurer tous les paramètres du modèle. A noter l'existence du modèle "Personnalisé" très utile pour cibler les paramètres OMA-URI de notre choix.

Ensuite, vous devez nommer la stratégie et indiquer une description. Ceci est très pratique pour apporter des précisions sur le contenu du profil de configuration afin de pouvoir l'identifier facilement. Passez à l'étape suivante quand c'est fait.

Bienvenue sur l'étape "Paramètres de configuration", c'est là que vous devez définir les paramètres du profil. Pour commencer, vous devez cliquer sur le lien "Ajouter des paramètres" pour faire votre sélection de paramètres à configurer. Autrement dit, nous allons sélectionner plusieurs paramètres, et ensuite les configurer.

Dans le panneau latéral, indiquez "edge" dans la zone de recherche (1) et cliquez sur le bouton "Recherche" (2) afin d'identifier facilement les paramètres en lien avec Microsoft Edge.

Cliquez sur "Microsoft Edge\Démarrage, page d'accueil et page Nouvel onglet" (3) car c'est dans cette catégorie que nous allons retrouver les paramètres dont nous avons besoin aujourd'hui. Cochez la case à côté du paramètre "Action to take on startup" (4) pour le sélectionner car nous allons le configurer. Ce paramètre permet d'indiquer ce que doit faire le navigateur à son lancement : ouvrir une URL spécifique, continuer la session précédente, etc.

Descendez dans la liste... Afin de sélectionner deux autres paramètres :

• Configure the home page URL : configurer l'URL de la page d'accueil de Microsoft Edge
• Configure the new tab page URL : configurer l'URL lorsque l'on ouvre un nouvel onglet dans Microsoft Edge

Descendez encore dans la liste... Sélectionnez ces deux paramètres :

• Set the new tab page as the home page : définir la page nouvel onglet comme page d'accueil
• Sites to open when the browser starts : définir la liste du site ou des sites à ouvrir au démarrage du navigateur

Ensuite, vous pouvez fermer le panneau latéral. Nous avons un ensemble de 5 paramètres à configurer.

Il ne reste plus qu'à activer les paramètres et à indiquer les bonnes valeurs (lorsque c'est nécessaire). Voici un exemple pour définir "google.fr" par défaut quand on ouvre un nouvel onglet, que l'on accède à la page d'accueil ou que l'on ouvre le navigateur.

Quand c'est fait, passez à l'étape suivante "Balises d'étendue", que nous allons ignorer pour cette fois (pas d'utilité).

Par contre, vous devez vous intéresser à l'étape "Affectations". En effet, c'est ici que vous allez affecter ce profil de configuration à un ensemble d'appareils ou d'utilisateurs. Vous avez le choix entre ajouter un ou plusieurs groupes, ou sélectionner tous les utilisateurs ou tous les ordinateurs. Dans cet exemple, le groupe "PC_Corporate" contenant mes deux ordinateurs sera utilisé.

L'étape "Vérifier + créer" est la dernière du processus de création d'un nouveau profil de configuration. Révisez votre configuration avant de cliquer sur le bouton "Créer". Sachez que ce profil pourra être modifié par la suite.

Voilà, vous venez de créer votre premier profil de configuration Intune ! Il apparait bien dans la liste.

C. Tester le profil de configuration Intune

Sur un poste de travail concerné par le profil de configuration, vous devez tester votre configuration. En ce qui me concerne, pour le moment, je peux constater que c'est la page d'accueil par défaut de Microsoft Edge qui s'affiche.

La question que l'on peut se poser, et c'est légitime, c'est : comment synchroniser le PC avec Intune pour qu'il applique le nouveau profil ? Il y a plusieurs solutions possibles. Nous allons utiliser une méthode classique, via l'interface graphique de Windows. Par ailleurs, un redémarrage du PC peut aussi fonctionner.

Remarque : par défaut, pour les profils de configuration, le cycle de synchronisation - automatique - d'un appareil est de 8 heures. Toutefois, il y a des synchronisations plus fréquentes dans les 2 heures qui suivent l'inscription dans Intune.

Ouvrez les "Paramètres" Windows, cliquez sur "Comptes" à gauche, puis sur "Accès Professionnel ou Scolaire". Cliquez sur la flèche (mise en évidence sur l'image ci-dessous), puis sur le bouton "Info".

Une nouvelle page apparaît. Sur celle-ci, vous devez cliquer sur le bouton "Synchroniser". Il ne reste plus qu'à patienter le temps de la synchronisation.

Une fois le profil de configuration appliqué sur la machine, la configuration de Microsoft Edge se retrouve modifiée. Lorsque le navigateur est lancé, Google s'affiche à l'écran.

Dans les paramètres du navigateur, si l'on s'intéresse à la section "Démarrer, accueil et nouveaux onglets", nous pouvons voir que certains paramètres sont verrouillés. Il s'agit des paramètres configurés via notre profil de configuration.

La configuration est opérationnelle !

D. Suivre le déploiement d'un profil de configuration

A partir du portail Intune, si vous cliquez sur le nom de votre politique, vous pouvez accéder à des informations sur son statut. Ainsi, vous pouvez savoir s'il y a eu des erreurs sur certains appareils, ou à l'inverse, si le profil s'est correctement appliqué. Pour obtenir plus d'informations, notamment un détail par machine, vous devez cliquer sur le bouton "Afficher le rapport".

Par ailleurs, sur chaque machine inscrite dans Intune, vous pouvez retrouver des journaux dans l'Observateur d'événements local de la machine. Les journaux liés à Intune sont créés dans ce journal :

• Journaux des applications et des services > Microsoft > Windows > Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider > Admin

L'exemple ci-dessous montre un événement qui fait référence à l'application de nouveaux paramètres. Ce journal est intéressant en phase de débogage, en complément des informations disponibles sur le portail Intune.

VII. Conclusion

Cet article d'introduction à Microsoft Intune touche à sa fin ! C'est un vaste sujet que nous allons continuer à explorer au travers d'autres tutoriels afin que vous puissiez prendre en main les différentes fonctionnalités d'Intune au fur et à mesure. Nous allons notamment vous proposer des tutoriels sur des cas pratiques bien précis et répondant à des besoins que l'on rencontre en entreprise !

Si vous avez également vos propres idées, n'hésitez pas à laisser un commentaire sur cet article.

The post Comment débuter avec Microsoft Intune ? first appeared on IT-Connect.

Ces dernières heures, Microsoft a annoncé un ensemble de nouveautés pour son IA Microsoft Copilot dans le but de le rendre accessible à un maximum d'utilisateurs. L'occasion pour l'entreprise américaine de dévoiler son offre Copilot Pro. Voici ce qu'il faut savoir !

Microsoft Copilot pour Microsoft 365 était initialement réservé aux organisations avec au moins 300 utilisateurs. Désormais, Microsoft a pris la décision de le rendre accessible à tout le monde, c'est-à-dire aux organisations de toute taille, mais également aux particuliers. Cela signifie qu'un particulier avec un abonnement Microsoft 365 Personnel ou Famille peut bénéficier de Microsoft Copilot.

Copilot Pro : 22 euros par mois et par utilisateur

Microsoft a fait l'annonce d'un nouvel abonnement accessible à tout le monde et qui s'adresse aux particuliers : Copilot Pro, facturé 22 euros par mois et par utilisateur. Vous pouvez souscrire en accédant à cette page.

"Cela commence par l'introduction de Copilot Pro, un nouvel abonnement premium pour les particuliers qui fournit un niveau de service plus élevé pour les capacités d'IA, apporte les capacités d'IA de Copilot aux abonnés de Microsoft 365 Personnel et Famille, et de nouvelles capacités, telles que la possibilité de créer des GPT Copilot.", précise Microsoft.

Contrairement à la version gratuite de Copilot, cet abonnement va déverrouiller un ensemble de fonctionnalité pour bénéficier d'un accès prioritaire à GPT-4 et GPT-4 Turbo, mais aussi pour solliciter l'IA Copilot à partir d'applications comme Word, Excel, PowerPoint, Outlook et OneNote, que ce soit à partir d'une machine sous Windows ou un Mac. La génération d'images grâce à l'IA DALL-E 3 est également intégrée dans l'abonnement.

Dès maintenant, Copilot Pro est disponible dans un ensemble de pays : Autriche, Australie, Brésil, Canada, Suisse, Allemagne, Espagne, France, Royaume-Uni, Inde, Italie, Japon, Mexique, Nouvelle-Zélande et aux États-Unis. "Nous prévoyons de rendre Copilot Pro bientôt disponible sur d’autres marchés.", précise l'entreprise américaine.

Copilot for Microsoft 365 disponible pour toutes les organisations

Microsoft précise que Copilot for Microsoft 365 est disponible pour toutes les organisations, peu importe le nombre d'utilisateurs. "Alors que Copilot Pro est notre meilleure expérience pour les particuliers, Copilot pour Microsoft 365 est notre meilleure expérience pour les organisations.", peut-on lire.

Ainsi, les entreprises avec des licences Microsoft 365 Business Premium et Business Standard peuvent acheter un abonnement Copilot for Microsoft 365 en tant que service supplémentaire. Ce service est également disponible pour les clients avec des licences Office 365 E3 et E5.

J'ai vérifié sur un tenant Microsoft 365, ce service est facturé 33,72 euros TTC par mois et par utilisateur, avec l'obligation de s'engager pour un an (à minima).

Enfin, Microsoft a également annoncé que ses applications Copilot pour Android et iOS étaient disponibles en version stable pour tout le monde.

Qu'en pensez-vous ?

The post Microsoft 365 : Copilot est accessible à tous les utilisateurs, à partir de 22 euros par mois ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à utiliser DNSdumpster, un outil pour faire de la reconnaissance basée sur le DNS, ce qui sera utile pour vérifier votre surface d’attaque externe à partir de votre domaine.

Il y a d’autres termes à connaitre pour faire référence à la reconnaissance : tel que l’énumération, le footprinting (prise d’empreinte), ou encore l’abréviation « recon ». La surface d’attaque externe représente l’ensemble des éléments de votre infrastructure qui sont visibles sur Internet.

Pour cette mise en pratique, nous allons effectuer de la reconnaissance passive avec le domaine it-connect.tech.  Nous n’entrerons pas directement en contact avec la cible. Nous allons utiliser DNSdumpster pour obtenir des renseignements sur l’infrastructure cible. Florian ne nous remarquera pas dans les logs du serveur, car ce sera l’adresse ou les adresses IP de DNSdumpster qui seront visibles dans les logs et non votre propre adresse IP  .

L'outil DNSdumpster peut s’utiliser en ligne via le site dnsdumpster.com et il est également possible de l’installer ou d’utiliser l’API. Cet outil est un projet de Hacker Target. Le projet est disponible sur GitHub, à cette adresse : github.com/nmmapper/dnsdumpster. Dans le cadre de ce tutoriel pas à pas, je vais utiliser uniquement mon navigateur.

Attention : cet article a pour simple et unique objectif d’apprendre à vous défendre. Il faut respecter l’éthique et vous ne devez en aucun cas utiliser ce genre d’outil sur des sites ou nom de domaines qui ne vous appartiennent pas sans l’accord de l’administrateur. En aucun cas ni IT-Connect ni moi-même, ne pourrons être tenu responsable en cas d’agissements malveillants.

II. Utilisation

A. Se rendre sur le site et lancer la recherche

Rien de plus simple, il vous suffit d’aller sur dnsdumpster.com, puis vous saisissez votre domaine et vous cliquez sur "Search". Ici, nous avons fait référence au domaine "it-connect.tech".

B. Interprétation des résultats

Nous constatons que l’infrastructure de "it-connect.tech" est composée de 2 fournisseurs : OVHcloud et Microsoft. Microsoft pouvant faire référence au Cloud Azure ou à Microsoft 365.

Puis, nous avons la répartition géographique des fournisseurs de services. Dans cet exemple, nous voyons que les services sont hébergés en France.

Nous savons également quels sont les serveurs DNS faisant autorité sur ce domaine. Il s'agit des serveurs DNS associés aux enregistrements "NS" de la zone DNS it-connect.tech.

De la même façon, nous avons des informations sur le MX utilisé, c’est-à-dire le service de messagerie.

Nous arrivons à la partie intéressante... car nous constatons que ce domaine est rattaché à un tenant Microsoft 365. Nous pouvons voir qu’il y a un enregistrement SPF (Sender Policy Framework), c’est une norme de vérification du nom de domaine au niveau de la messagerie.

Cela signifie qu’uniquement les serveurs « portants » l’adresse IPv4 : "5.135.X.X" et associés à l’enregistrement DNS « spf.protection.outlook.com » sont autorisés à envoyer des e-mails en tant que « @it-connect.tech ».

L’outil retourne les différents enregistrements TXT associés à ce domaine, dont l’enregistrement SPF s’il est présent. Dans notre cas, l’enregistrement SPF fait référence à une adresse IPv4 et nous constatons qu’il y a un signe « - »  devant le « all ». L’usurpation des e-mails sera plus difficile dans ce cas, car le tiret (-all) indique que si les serveurs ne sont pas renseignés, l’e-mail devra être rejeté (politique plus stricte qu'avec le tilde : "~all").

Nous obtenons également la liste des enregistrements de type A, ce qui fait référence aux enregistrements de ressources. Par ailleurs, vous obtenez le nom d’hôte de la ressource, son adresse IP associée et le nom de l’hébergeur. Il est précisé que la base de données est mise à jour tous les mois.

Intéressons-nous à l’image ci-dessous, que nous allons décrire. Quand un service est accessible sur internet, il apparaitra en vert. Il est également possible d’obtenir les informations de version des packages utilisés.

Ici, nous pouvons constater qu’une ressource utilise le programme OpenSSH 8.8. Sans doute pour permettre aux administrateurs d’avoir un accès distant leur permettant d’administrer à distance la ressource ou l’équipement via une session SSH (Secure Socket Shell).

Le port par défaut utilisé par SSH est le port 22 en TCP. Dans les bonnes pratiques, il est recommandé de le modifier. Assurez-vous de choisir un autre port qui serait utilisé par un autre service tel que le 2222 (TCP), par exemple. Ainsi, le service sera plus difficilement détectable.

Sous les enregistrements, vous avez différents icones qui représentent les options, nous allons les détailler ensemble...

Le premier icône permet d’effectuer une recherche sur l’adresse IP pour trouver d’autres ressources Internet qui l’utilise, ce qui est probable dans le cas d’un hébergement mutualisé. Par exemple, un serveur qui héberge plusieurs sites internet WordPress pour des clients différents.

L’icône en forme de planète va permettre de récupérer les entêtes HTTP (Http Headers).

Voici un exemple de résultat :

Une autre option « Trace Path » est représentée par des flèches, mais il semble que la fonctionnalité est réservée aux personnes qui paient un abonnement sur la plateforme d'Hacker Target.

En cliquant sur l’œil, vous pouvez obtenir des informations sur les bannières.

Par défaut, DNSdumpster utilise « Nmap Port Scan » pour déterminer s’il y a des ports ouverts et faire de la prise d’empreinte.

Enfin, vous pouvez télécharger la liste au format Excel (.xlsx) ou encore afficher un graphique. Nous allons afficher le graphique en cliquant sur « View Graph (beta) ».

Vous obtenez un joli graphique qui décompose l’infrastructure :

La page d’accueil propose aussi un schéma et affiche les versions de serveurs web et des autres ressources identifiées, si l’administrateur n’a pas fait l’effort de masquer les informations dans la configuration d’Apache, Nginx, ou autre.

III. Conclusion

Il est évident qu’à partir du moment où vous hébergez des ressources et/ou des services sur internet, vous êtes exposé !

Il vous appartient de vérifier que vous ne divulguez pas plus d’informations que nécessaire et que vous avez durci les configurations de vos services. L’outil DNSdumpster est intéressant pour effectuer une analyse rapide à partir d’un nom de domaine.

Voici quelques bonnes pratiques de base à ce sujet :

• Masquez les versions des applications utilisées et maintenez-les à jour
• Fermer les ports réseau non nécessaires
• Éliminez ou résiliez les domaines que nous n’utilisez plus
• Activer la double authentification sur la gestion de vos domaines
• Limiter le nombre d’administrateurs à la gestion des DNS (Revue des comptes)
• Garder des enregistrements SPF propres
• Eviter de donner des informations dans le nom d’hôte : Monsuperserveurdeprod.it-connect.tech
• Utilisez des systèmes de protection (exemples : Cloudflare, Crowdsec, Fail2ban, Iptable, etc…).

The post Surface d’attaque externe : DNSdumpster, un outil de reconnaissance DNS first appeared on IT-Connect.

Phemedrone, c'est le nom d'un nouveau logiciel malveillant de type "infostealer" qui exploite une faille de sécurité présente dans la fonction SmartScreen de Windows. Voici ce que l'on sait sur cette menace !

CVE-2023-36025

À l'occasion du Patch Tuesday de novembre 2023, Microsoft avait corrigé la faille de sécurité CVE-2023-36025 présentée alors comme une zero-day déjà connue et exploitée par les pirates avant même la sortie du correctif de sécurité. Elle permet à un attaquant de contourner les contrôles de sécurité de SmartScreen.

D'ailleurs, nous avions mis en ligne un article pour évoquer les dangers associés à cette vulnérabilité :

• Faille de sécurité zero-day dans SmartScreen : CVE-2023-36025

Pour parvenir à exploiter cette faille, le cybercriminel doit convaincre l'utilisateur de cliquer sur un raccourci Internet (.URL) malveillant ou sur un lien pointant vers le raccourci en question. Nous pouvons imaginer la distribution d'un raccourci malveillant à l'aide de sites web compromis ou de campagnes de phishing !

Pour rappel, cette faille de sécurité affecte toutes les versions de Windows et Windows Server à partir de Windows 7 et Windows Server 2008, et jusqu'aux plus récentes.

La menace Phemedrone

Une étude publiée par les chercheurs en sécurité de chez Trend Micro évoque une nouvelle campagne de cyberattaques qui visent à déployer le malware Phemedrone. Il s'agit d'un malware appartenant à la catégorie des voleurs d'informations, ou infostealer. Pour tenter de faire de nouvelles victimes, les cybercriminels diffusent des fichiers ".url" malveillants et permettant d'exploiter la faille de sécurité CVE-2023-36025 : l'avertissement SmartScreen ne s'affiche pas, ce qui permet de charger directement la charge utile si l'utilisateur ouvre le fichier.

Une fois qu'il a infecté une machine, il collecte les données stockées dans les navigateurs web, les portefeuilles de cryptomonnaies et certains logiciels tels que Discord, Steam et Telegram. Trend Micro précise que le malware cible les applications et données suivantes :

• Les navigateurs basés sur Chromium (Google Chrome, Microsoft Edge, etc.) pour voler les mots de passe, les cookies et les informations de remplissage automatique (auto-fill) à partir d'applications telles que LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile et Microsoft Authenticator, pour n'en citer que quelques-unes.
• Les navigateurs basés sur Gecko (Mozilla Firefox, par exemple) pour voler les données des utilisateurs
• Les portefeuilles de cryptomonnaie tels que Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus et Guarda.
• Discord pour voler les jetons d'authentification, ce qui permet un accès non autorisé au compte de l'utilisateur.
• FileGrabber est utilisé par le malware pour collecter les fichiers de l'utilisateur à partir de dossiers spécifiques, dont Documents et Bureau.
• FileZilla pour voler les identifiants enregistrés dans cette application utilisée principalement pour les connexions FTP
• Informations sur le système : caractéristiques du matériel, géolocalisation et des informations sur le système d'exploitation, et le malware en profite pour réaliser des captures d'écran.
• Steam pour voler des informations relatives à cette plateforme de jeu
• Telegram pour extraire des données de l'utilisateur à partir du répertoire d'installation, notamment dans le dossier "tdata".

Ces données sont ensuite envoyées sur un espace de stockage contrôlé par les cybercriminels.

Enfin, sachez que Trend Micro précise que Phemedrone n'est pas le seul malware à tirer profit de cette vulnérabilité ! Dans certains cas, ce sont des gangs de ransomware qui ont exploités cette vulnérabilité dans le cadre de leur attaque.

Source

The post Cyberattaques : une faille dans Windows SmartScreen exploitée pour distribuer le malware Phemedrone ! first appeared on IT-Connect.

Google a pris la décision de supprimer les frais de sortie pour les clients de ses services Cloud offerts via Google Cloud Platform. Une décision importante, qui peut également surprendre, et qui est aussi l'occasion de mettre la pression à ses concurrents. Voici ce qu'il faut savoir sur cette annonce !

De nombreuses entreprises s'appuient sur le Cloud pour leur infrastructure, que ce soit chez Google (GCP), Amazon (AWS), ou Microsoft (Azure), pour ne citer qu'eux. Lorsqu'une entreprise souhaite migrer son infrastructure Cloud d'un fournisseur vers un autre, elle est soumise à ce que l'on appelle les frais de sortie : des frais particulièrement élevés qui peuvent s'avérer parfois dissuasifs. Pour les géants du Cloud, cette pratique viserait à "verrouiller" les clients en quelque sorte, ce qui est un vrai problème.

Google a pris la décision de rendre gratuit les frais de sortie. Cela signifie qu'une entreprise peut quitter Google Cloud gratuitement, afin de passer ses services sur AWS, sur Microsoft Azure, sur une infrastructure on-premise, ou ailleurs, sans avoir à s'acquitter de ces frais.

"Vous pouvez bénéficier d'un transfert de données gratuit lorsque vous migrez l'ensemble de vos charges de travail et de vos données de Google Cloud vers un autre fournisseur de cloud ou vers un centre de données sur site.", peut-on lire sur le site de Google.

Le sujet des frais de sortie fait l'objet de plusieurs enquêtes et plaintes, et un projet de loi est également en cours pour les encadrer. En effet, un rapport récent accuse Microsoft Azure et Amazon Web Services de facturer des frais de sortie 5 à 10 fois supérieurs vis-à-vis de certains concurrents. Google en veut à Microsoft, notamment parce que les clients sont "enfermés" dans les différents services et produits de la firme de Redmond : Microsoft Azure, Microsoft 365 et Windows Server.

Frais de sortie gratuit chez Google : les conditions pour en bénéficier

Cette décision de Google est peut-être avant tout un joli coup en termes de communication et un moyen de mettre la pression sur ses concurrents. Si l'on regarde d'un peu plus près la documentation de Google, on se rend compte que les frais de sortie ne seront pas gratuits pour tout le monde.

Voici les conditions à respecter :

• Résilier totalement votre contrat avec Google, c'est-à-dire migrer l'ensemble de vos services
• Souscrire au niveau de service réseau Premium
• Les services suivants sont éligibles aux frais de sortie gratuits : BigQuery, Cloud Bigtable, Cloud SQL, Cloud Storage, Datastore, Filestore, Spanner, et Persistent Disk.

Pour entamer un projet de migration, vous devez remplir un formulaire pour soumettre vos besoins à Google. Ensuite, lorsque vous aurez obtenu une réponse de Google : "Vous disposerez alors d'un délai de 60 jours à compter de cette notification pour achever votre migration hors de Google Cloud.", peut-on lire.

C'est un premier pas en avant de la part de Google. Nous verrons par la suite s'il y a du mouvement également du côté des autres fournisseurs Cloud.

Source

The post Cloud : pour mettre la pression à Microsoft et Amazon, Google supprime les frais de sortie ! first appeared on IT-Connect.