Les pirates ont leurs marques favorites lorsqu'il s'agit de mettre en place une attaque de type phishing. PayPal conserve sa place de numéro 1, suivi de Facebook et de Microsoft.
Chaque jour, ce sont en moyennes 124 nouvelles URL uniques qui voient le jour en tant que copie de PayPal. Les cibles préférées des attaquants avec PayPal sont les particuliers mais aussi les PME. Une augmentation de 23% par an pour PayPal qui reste la marque favorite des pirates.
Dans le même temps, Microsoft s'est emparé de la première place sur le dernier trimestre 2019. Avec 200 millions d'utilisateurs actifs sur Office 365, nous retrouvons de nombreuses copies et tentatives d'hameçonnage pour la page d'authentification O365. Cela peut s'avérer juteux car potentiellement derrière on accède à la boite aux lettres du collaborateur, à son agenda, à ses notes via OneNote, à son OneDrive voire même au SharePoint de l'entreprise.
Les pirates l'ont bien compris et de faux e-mails OneDrive / SharePoint sont envoyés afin d'inviter l'utilisateur à se connecter pour accéder aux données que l'on veut partager avec lui. Bien entendu, la finalité est de récupérer les identifiants de l'utilisateur et ensuite ça peut aller vite.... Dans le même esprit, OneNote se retrouve ciblé ainsi que son équivalent Evernote.
D'après le rapport de Vade Secure toujours, les grandes banques sont également la cible des pirates, même si cela à tendance à s'estomper car les protections sont renforcées. Ce qui peut pousser les pirates à se tourner vers des banques "plus petites". Quoi qu'il en soit, les banques restent en tête des cibles favorites, suivies par les services Cloud.
A en croire les statistiques de Vade Secure, au quatrième trimestre 2019, le jour préfère des hackers pour lancer les attaques de phishing, c'est le vendredi, viens ensuite le mardi. En revanche, c'est plus calme le week-end.
Il est noter également l'entrée en lice de nouvelles entreprises dans ce classement notamment WhatsApp et Instagram. A l'inverse, Yahoo!, la Société Générale et quelques autres marques sont sorties du classement.
Voici la liste complète des 25 marques les plus utilisées pour les attaques par hameçonnage :
Dans cet article et ceux qui suivront, nous allons aborder les techniques et méthodes de scan de port au sein des réseaux. Il existe en effet plusieurs techniques permettant de scanner les IP d'un réseau et les ports des machines, que l'on passe par ICMP, ARP, TCP ou UDP...
L'idée est donc d'expliquer certaines de ces méthodes afin de comprendre comment il est possible de savoir quelle machine est sur le réseau et quels sont les ports ouverts (avec les services associés bien sûr).
II. Un petit mot sur le scanning
Il faut savoir que le scanning fait partie des toutes premières étapes lors d'une intrusion. En effet, après avoir cherché des informations sur l'entreprise de manière plus ou moins active, la première vraie démarche d'attaque va être de scanner le réseau (que l'on parle de réseau interne ou externe) et les machines de la cible.
En partant du principe que les machines dans vos réseaux sont les cibles, il est intéressant de connaitre en détail les procédés utilisés par les attaquants. Cela permettra de retracer plus facilement une attaque par exemple, mais aussi d'ouvrir des réflexions sur la manière de s'en protéger préventivement. L'idée de cet ensemble de tutoriels est donc de vous faire dire "Ah oui, on peut détecter mon service sensible sur cette machine de telle manière, si je réfléchissais à comment rendre ce service un peu plus discret ? ".
Je passerai ici outre les notions basiques du réseau comme ce qu'est le TCP, l'UDP ou l'adressage IP, il est néanmoins requis pour suivre a minima les articles de connaitre leur fonctionnement général. Tout au long des articles, je mettrai les lignes de commande correspondant à chaque scan en utilisant l'outil nmap principalement. Nmap présente de nombreuses options et est l’outil le plus efficace et complet pour effectuer des scans réseaux, il fonctionne en ligne de commande et GUI sous Linux et en GUI également sous Windows. Néanmoins, de nombreux autres outils comme les scripts intégrés à Metasploit peuvent également être utilisés.
Nous commençons donc avec les scans de ports TCP, comme son nom l'indique, le scan de port TCP va avoir pour but de détecter sur une machine ciblée les ports TCP ouverts et donc d'éventuels services utilisant ces ports. La détection de ports peut être particulièrement riche en informations pour l'attaquant, car elle s'accompagne de technique de détection de service et de version, que ce soit par la stimulation des ports en question, la lecture des bannières ou alors par la détection de services tournant sur les well-known ports, ces ports entre 0 et 1023 sur lesquels sont assignés des services standards. Par exemple, une détection d'un port TCP 22 ouvert nous amènera à fortement envisager la présence d'un service SSH ouvert sur la machine en question.
Dans tous les cas, les différents scans passent par une analyse comportementale du serveur visé en rapport à la description du protocole TCP dans le RFC 793, "Transmission Control Protocol" lors de l'envoi de différents paquets. Plus simplement, on va envoyer des paquets TCP forgés spécifiquement pour que le serveur réponde d'une façon précise (la façon décrite dans le RFC 793) et ainsi interpréter la réponse du serveur pour savoir si le port est ouvert ou fermé.
Trêve de blabla, commençons !
III. Le TCP SYN scan ou "Half Open scan"
Le premier type de scan TCP que nous allons voir est le TCP Syn scan ou Half Open scan (Half Open voulant dire "à moitié ouvert"), la traduction aide bien à comprendre le fonctionnement de ce scan. En effet, un TCP SYN scan va envoyer sur chaque port ciblé un paquet TCP SYN qui est donc le premier paquet qu'envoie un client (celui qui demande à établir une connexion). En temps normal (si le port est ouvert sur le serveur avec un service tournant derrière), le serveur va renvoyer un SYN\ACK permettant de valider la SYN du client et d'initialiser la connexion TCP, c'est-à-dire un paquet TCP avec les flags SYN et ACK a 1, on pourra alors dire que le port est ouvert et détecter un service.
En revanche, si le port est fermé, le serveur nous renverra un paquet TCP avec les flags RST et ACK à 1 pour mettre fin à la demande de connexion, on saura alors qu'aucun service ne semble être actif derrière ce port :
Schéma des comportements lors d'un TCP SYN scan pour un port ouvert et fermé
Pour voir un aspect un peu plus concret du Half Open scan, j'ai effectué un scan du port 80 vers une machine qui avait un serveur web actif sur ce port. En effectuant une analyse réseau avec Wireshark entre mon serveur ma machine de scan, je vois le flux suivant :
Sniff réseau lors d'un TCP SYN scan pour un port ouvert.
On voit donc sur la première ligne que la machine 192.168.1.18 (source du scan) envoie un paquet TCP à mon serveur web (port 192.168.1.15) sur le port 80. Dans ce paquet TCP, le flag SYN est à 1 pour signifier que le paquet est une demande d’initialisation de connexion TCP. On voit ensuite sur la deuxième ligne que mon serveur web répond un SYN/ACK, ce qui veut dire qu'il accepte d'initialiser une connexion et donc de recevoir des flux sur le port 80. On peut donc en déduire que le port 80 est ouvert et qu'un serveur web est bien présent sur ma machine cible, voila comment opère un attaquant lors d'un scan de port. Le fait de faire ce genre de scan sur un ensemble de ports sur une machine permet d'avoir un inventaire plus ou moins complet des services qu'elle fait tourner.
À l'inverse, j'ai effectué le même test entre les deux machines, mais cette fois-ci vers le port 81 sur lequel aucun service n'est actif :
Sniff réseau lors d'un TCP SYN scan pour un port fermé.
On voit donc que mon serveur renvoie un RST/ACK en réponse à mon TCP SYN lorsque le port n'est pas ouvert. En utilisant nmap, c'est l'option "-sS" (scan SYN) qui permet d'effectuer un TCP SYN scan :
nmap -sS 192.168.1.15
Le TCP SYN scan est le scan le plus couramment utilisé, car il simule une demande de connexion légitime. En revanche, la fin de la connexion si le SYN/ACK est bien renvoyé par le serveur peut être suspecte si elle est observée trop de fois sur un serveur. En effet, le comportement normal d'un client après un TCP SYN/ACK en réponse à un TCP SYN est qu'il envoie un acknowledgement (ACK) pour ensuite commencer l'échange. Néanmoins, cela permet d'avoir un scan un peu plus rapide, car il ne s'encombre pas à envoyer un ACK à chaque réponse positive. L'avantage du SYN Scan est qu'il est plutôt rapide, car un seul paquet est envoyé par port à scanner.
De plus le TCP SYN scan est capable de détecter si un port est filtré (protégé) par un pare-feu. En effet, un pare-feu devant l'hôte visé peut être détecté de par le comportement qu'il a lorsqu'il reçoit un paquet TCP SYN sur un port qu'il est censé protéger. Celui-ci ne va tout simplement pas répondre. Or nous avons vu que dans les deux cas (port ouvert ou port fermé), il y a une réponse de l'hôte. Ce troisième comportement va alors révéler la présence d'un pare-feu entre l'hôte scanné et la machine qui lance le scan. Voici le résultat que l'on peut avoir sur nmap lorsqu'un port visé est filtré (ici par un iptables directement configuré sur la machine cible) par un pare-feu :
Affichage nmap lors du scan d'un port filtré.
Lorsque l'on sniff le réseau au moment de ce scan, on voit effectivement qu'aucune réponse n'est donnée :
Sniff réseau lors d'un TCP SYN scan pour un port filtré par un pare-feu.
La différence entre un port bloqué et un port filtré est ici, un port filtré est un port protégé par un pare-feu alors qu'un port bloqué est un port sur la machine visée sur lequel aucun service ne tourne et qui est donc incapable de traiter nos paquets TCP. Certains types de scan TCP comme le TCP SYN scan sont capables de détecter si un port est filtré alors que d'autres types de scan non.
IV. Le TCP Connect scan ou "Full Open scan"
Le second type de scan TCP est le TCP Connect scan ou Full Open scan. Il reprend le même fonctionnement que le TCP SYN scan, mais cette fois-ci en renvoyant un ACK après une réponse positive du serveur (un SYN/ACK). C'est pourquoi il est nommé "Full Open", car l'on ouvre et initie complètement la connexion sur chaque port ouvert lors du scan :
Schématisation des comportements lors d'un TCP Connect scan pour un port ouvert et fermé
Voici ce que l'on peut voir transiter sur le réseau lors d'un TCP Connect scan :
Sniff réseau lors d’un TCP Connect scan pour un port ouvert.
On voit donc ici que le premier paquet TCP envoyé est un TCP SYN envoyé par le client, le serveur va ensuite répondre par un TCP SYN/ACK ce qui nous indiquera que le port est ouvert et sur celui-ci tourne un service actif. Pour simuler un client légitime jusqu'au bout, l’outil de scan va ensuite renvoyer un TCP ACK au serveur. À l'inverse, lors d'un scan sur un port fermé :
Sniff réseau lors d’un TCP Connect scan pour un port fermé.
On remarque que la réponse du serveur à notre paquet SYN est une fois encore un paquet TCP RST/ACK, nous pouvons donc en déduire que le port est fermé et qu'aucun service ne tourne sur celui-ci.
En utilisant nmap, c'est l'option "-sT" (scan Connect) qui permet d'effectuer un TCP Connect scan :
nmap -sT 192.168.1.15
Le TCP ConnectScan simule une demande de connexion plus légitime avec un comportement qui se rapproche le plus de celui d'un client lambda, il est donc plus difficile de repérer un scan sur un nombre (réduit) de ports. Il est toutefois plus lent, car il initialise complètement chaque connexion TCP sur les ports ouverts de la machine scannée.
Note : Un scan de ports sur 10 000 ports sera toujours facilement détectable si des services de protection et de détection des intrusions réseau (IPS/IDS) sont installés. Quand un attaquant souhaite se faire discret, il va plutôt orienter ses recherches vers des ports choisis stratégiquement et en nombre réduit comme le port 25 (SMTP) ou 80 (HTTP) qui sont souvent ouverts sur les serveurs et qui présentent des failles généralement courantes.
Étant donné que dans les deux cas, le TCP Connect scan attend une réponse, il est lui aussi capable de détecter la présence d'un pare-feu qui pourrait filtrer les ports entre la machine visée et la machine qui scan.
V. Le TCP FIN scan ou "Stealth Scan"
Le TCP FIN Scan ou Stealth Scan utilise quant à lui le comportement d'un client mettant fin à une connexion TCP. En effet, en TCP, une fin de session se traduit par l'envoi d'un paquet TCP avec le flag FIN à 1. Dans un échange habituel, le serveur cesse donc toute communication avec le client. Si le serveur n'avait aucune connexion TCP active avec le client, il renverra en revanche un RST/ACK. On saura donc différencier un port ouvert d'un port fermé en envoyant des TCP FIN à un ensemble de ports pour déterminer lequel est ouvert et lequel est fermé :
Schématisation des comportements lors d’un TCP FINscan pour un port ouvert et fermé
J'ai à nouveau effectué une capture du réseau lors d'un Stealth scan et voilà ce que l'on voit lorsque le port scanné est ouvert :
Sniff réseau lors d’un TCP FIN scan pour un port ouvert.
On voit donc que le client envoie un ou deux paquets pour mettre fin à une connexion TCP et que le serveur ne répond pas. Il accepte tout simplement la fin de connexion et arrête de communiquer. Voici ce que l'on peut voir maintenant lorsque l'on scanne un port fermé :
Sniff réseau lors d'un TCP FIN scan pour un port fermé.
On voit que le serveur renvoie un paquet TCP RST/ACK, on voit donc bien une différence de comportement entre un port ouvert et un port fermé et nous sommes en mesure de lister les ports ouverts sur un serveur via l'envoi de paquet FIN. En utilisant nmap, c'est l'option "-sF" (scan FIN) qui permet d'effectuer un TCP FIN scan :
nmap -sF 192.168.1.15
Note : Le TCP FIN scan ne fonctionne pas sur les machines Windows, nous aurons donc l'impression que tous les ports sont fermés si l'on effectue un TCP FIN scan sur une machine Windows. C'est là l'intérêt d'avoir à la fois plusieurs méthodes de scanne mais aussi de comprendre la différence entre chacune d'entre elles
Étant donné que dans un des deux cas, le TCP FIN n'attendra pas de réponse, celui-ci sera incapable de détecter la présence d'un pare-feu entre la machine cible et la machine qui scanne. En effet, une non-réponse de l'hôte sur un port donné pourra à la fois signifier que le port est filtré, mais également qu'il est ouvert et actif.
C'est tout pour ce premier article sur les scans TCP ! Dans le prochain article, nous nous pencherons sur les méthodes de scan TCP XMAS, Null et ACK qui opèrent de façon différente pour détecter les ports ouverts sur une machine.
Aujourd'hui, je vous présente un produit commercialisé par la société Nuki, il s'agit de la serrure intelligente Smart Lock 2.0. Cette serrure vient en complément de celle existante, ce qui facilite son installation et n'empêche pas de continuer à utiliser l'ouverture manuelle à l'aide d'une clé.
Permettre l'accès à son domicile à un ami, à sa famille ou à un artisan, de manière temporaire, est un réel besoin, et surtout cela s'inscrit dans la continuité de rendre sa maison connectée et intelligente. En plus, ça peut vraiment rendre service : vous êtes au travail et déverrouillez l'accès à votre domicile à distance pour permettre l'intervention d'un artisan, c'est plutôt pratique. Autre cas de figure : vos amis arrivent plus tôt que prévu et que vous n'êtes pas encore là. Pour les adeptes de services comme Airbnb cela peut s'avérer très pratique.
La serrure Smart Lock de Nuki va venir se greffer sur votre serrure existante, sans réaliser de perçage dans votre porte d'entrée, il faudra veiller à bien vérifier la compatibilité. En fait, la serrure va tourner votre clé existante de l'intérieur. De l'extérieur de la maison, rien ne laisse penser que vous êtes équipé d'une serrure intelligente puisque tout le mécanisme est à l'intérieur.
Concernant son alimentation, elle fonctionne à piles avec une autonomie de six mois environ et lorsque la batterie sera faible, une notification sera envoyée sur l'application. Pour des raisons évidentes de sécurité, la communication entre la serrure et le smartphone s'effectue au travers d'une connexion Bluetooth 5.0. La serrure est d'ailleurs certifiée comme étant sûre par le laboratoire AV-Test. Avec la serrure seule, le déverrouillage à distance n'est pas possible : il faudra déléguer l'accès via l'application mobile dans ce cas.
La solution Nuki s'appuie sur plusieurs éléments :
- Nuki Smart Lock 2.0 (229€) : la serrure intelligente - Nuki Fob (99€) : une clé numérique sous forme d'une télécommande - Nuki Keypad (79€) : un clavier pour déverrouiller la porte par code - Nuki Bridge (39€) : le pont pour connecter la serrure à votre réseau Wi-Fi et piloter à distance la serrure intelligente
Un package appelé le Nuki Combo et qui contient la serrure et le pont Nuki est vendu à 299 euros. Bien entendu, il est possible de commencer par l'acquisition de la serrure seulement et de faire évoluer son installation par la suite.
Grâce à l'application Nuki, vous pouvez donner des accès temporaires et limités dans le temps à la personne de votre choix, vous restez le maître des clés et gérez les autorisations. Cela est valable également pour désactiver un Nuki Fob perdu ou volé. Il y a également des fonctions complémentaires, comme le verrouillage automatique lorsque vous quittez votre domicile, ou encore verrouiller la serrure automatiquement à une heure précise, tous les jours.
Les interactions avec les assistants vocaux tels que Google Assistant ou Amazon Alexa sont possibles, même si personnellement je ne suis pas fan de ce type d'interaction compte-tenu de l'aspect critique de l'accès géré. Notons également la compatibilité avec HomeKit pour la version 2.0 de cette serrure Nuki.
Vous pouvez vérifier si votre porte est compatible sur la page suivante : Nuki - Compatibilité
Dernièrement j'ai rencontré une problématique liée aux GPO qui ne m'étais pas inconnue sur plusieurs postes de travail. Il me semblait intéressant de partager avec vous la solution à ce problème.
En fait, je voulais tester un nouveau script qui se lance par GPO au démarrage de la machine, sauf que rien ne se passait. J'ai donc commencé les investigations...
Pour rappel, ce type de script ce configure ici dans une GPO : Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage/arrêt)
II. Erreur GroupPolicy 1129 - 1130
En regardant l'observateur d'événements d'une machine, je me suis aperçu qu'il y avait deux ID d'événements qui revenaient à chaque démarrage du PC :
Erreur 1129 : cette erreur indique un problème de connectivité entre le PC et le contrôleur de domaine
Erreur 1130 : cette erreur remonte un problème pour exécuter le script de la GPO
La première erreur est générée une fois, au moment du démarrage, alors que la seconde est générée pour chaque script à exécuter.
Aperçu de l'erreur #1129 :
Aperçu de l'erreur #1130 :
Ce problème se produit uniquement sur les postes connectés en Wi-Fi, si l'on connecte le PC sur le réseau en RJ45, les erreurs n'apparaissent plus. Le réseau Wi-Fi fonctionne parfaitement.
Ce qu'il se passe c'est que le PC met plus de temps à négocier une connexion lorsqu'il est connecté en sans-fil car la connexion est initiée seulement lorsque Windows démarre. En câble, le lien est déjà monté au niveau de la carte. Cette histoire de millisecondes pose problème... d'autant plus que dans mon cas l'accès sans-fil était couplé à une authentification 802.1X avec un serveur NPS (Radius).
III. Ajouter un délai pour le traitement des GPO de démarrage
Par l'intermédiaire des GPO, Microsoft vous permet de configurer les postes clients afin de modifier leur comportement lorsqu'il s'agit de traiter les stratégies de groupe.
Il y a notamment le paramètre suivant : Spécifier le temps d'attente de traitement de stratégie de démarrage.
Ce paramètre est très intéressant puisqu'il permet de repousser l'exécution des scripts de démarrage de X secondes. La valeur par défaut étant 30 secondes. Cela étant traité de façon asynchrone (sauf si vous avez configuré différemment), l'ajout d'un délai ne va pas ralentir le démarrage de votre machine, c'est jusque le travail en tâche de fond sera légèrement différé de quelques secondes.
On le retrouve à cet endroit lorsque l'on édite une GPO :
Configuration ordinateur > Stratégies > Modèles d'administration > Système > Stratégie de groupe
Pour le tester, il faut activer le paramètre et indiquer un temps d'attente. Pour ma part, en indiquant une valeur de 50 secondes ça fonctionnait bien, après vous pouvez monter jusque 60 secondes.
IV. Le résultat
Une fois le paramètre déployé sur un PC, j'ai pu constater que je n'avais plus les erreurs 1129 et 1130 dans l'observateur d'événements. La bonne nouvelle c'est que l'événement 1503 est apparu afin d'indiquer que de nouveaux paramètres de GPO sont désormais appliqués sur la machine. Une machine connectée en sans-fil, dans les mêmes conditions que lorsque le problème est apparu.
Avant d'appliquer ce paramètre, il me semble intéressant de vérifier de ne pas avoir de problèmes de :
Commutation au niveau du réseau
Communication avec le contrôleur de domaine ciblé par le poste client
Résolution DNS, notamment sur votre nom de domaine / nom FQDN du contrôleur de domaine
Alors que le printemps n'est pas encore là, chez GoodOffer24, la vente flash du printemps est déjà lancée et cela nous donne une fois de plus des prix intéressants sur les licences Windows et Office.
Les prix proposés sont légèrement plus élevés que lors de la dernière vente flash mais ils restent attractifs. Ce que propose GoodOffer24 ce sont des clés de licence OEM pour Windows 10 Pro, ce qui vous permettra d'associer la clé achetée à votre PC directement. Pour la suite Office, ce sont de simples clés d'activation pour une machine.
Si vous envisagez d'acquérir à la fois Windows 10 et Office 2019, il est plus intéressant financièrement de s'orienter vers l'achat du pack directement.
Pour obtenir ces tarifs promotionnels, il est nécessaire d'utiliser le code "GDF30" pour appliquer la réduction. Suite à votre achat, vous recevrez directement par e-mail la licence associée à votre commande.
Cet article est une publication sponsorisée par GoodOffer24.
