Le dernier Patch Tuesday de l'année 2023 a été mis en ligne par Microsoft ! Terminons en douceur puisqu'il corrige 34 vulnérabilités et une faille de sécurité zero-day ! Faisons le point.
Ce Patch Tuesday de décembre 2023 contient 4 failles de sécurité critiques, dont voici la liste :
Par ailleurs, d'autres produits de chez Microsoft et des composants Windows sont directement concernés. Nous pouvons citer quelques exemples : Microsoft Dynamics, le pilote Microsoft Bluetooth, Microsoft Office (Word, Outlook), le service DNS, Windows Defender, le rôle DHCP Server, le driver ODBC Windows, ou encore le noyau du système d'exploitation Windows. En plus de ces vulnérabilités, il faut ajouter 8 failles de sécurité corrigées dans le navigateur Microsoft Edge.
La faille de sécurité zero-day corrigée par Microsoft est désormais associée à la référence CVE-2023-20588. Cette vulnérabilité de type "division par zero" affecte certains processeurs AMD et peut être utilisée pour extraire des données sensibles de la machine. La liste des processeurs affectés est disponible dans le bulletin de sécurité d'AMD.
Bien qu'elle soit corrigée aujourd'hui, elle n'est pas nouvelle. En effet, elle a été révélée en août 2023. AMD n'a jamais fourni le moindre correctif, mais uniquement quelques mesures d'atténuation notamment à destination des développeurs. Pour autant, cette vulnérabilité n'a pas été exploitée par les cybercriminels et nécessite un accès local à la machine. À ce sujet, AMD précise : "AMD estime que l'impact potentiel de cette vulnérabilité est faible car elle nécessite un accès local."
Par ailleurs, sachez que cette vulnérabilité a été corrigée au sein de certaines distributions Linux, notamment Debian.
D'autres articles sont en cours de préparation pour les nouvelles mises à jour Windows 10 et Windows 11 : restez connectés !
En France, les organisations sont de plus en plus nombreuses à solliciter des travailleurs indépendants pour travailler sur un projet spécifique ou pour répondre à un besoin de renfort sur une courte période. Dans cet article, découvrez comment et pourquoi faire appel à des freelances informatiques !
Chaque année, de plus en plus de personnes quittent leur emploi pour se lancer dans le freelancing. Le secteur de l'informatique est l'un des principaux secteurs concernés par cette tendance. En effet, d'après quelques chiffres clés issus de plusieurs études réalisées en 2023 (voir cette page), en France, environ un tiers des freelances travailleraient dans le domaine de l'informatique et de la data.
Au quotidien c'est un véritable défi, car le fait d'être freelance informatique vous oblige à trouver de nouvelles missions, à créer votre portefeuille de clients et à développer votre notoriété pour pérenniser votre activité. À l'inverse, l'indépendance est appréciable pour avoir un meilleur équilibre de vie entre vie personnelle et vie professionnelle, notamment grâce au télétravail, à la liberté de travailler d'où l'on souhaite et à une gestion plus flexible des horaires.
Pourquoi faire appel à un freelance informatique ?
Chaque freelance informatique dispose d’un "CV unique" qui est le reflet de ses compétences, de son expérience et des missions auxquelles il a pu participer. Ainsi, les organisations qui ont un besoin sur un projet spécifique ou sur une technologie précise pourront se tourner vers un freelance ayant les compétences et l'expérience nécessaires pour mener à bien cette mission. L'expertise et la productivité sont deux avantages associés à la sollicitation d'un freelance.
Ceci apporte également une certaine flexibilité, car un freelance peut travailler sur un projet spécifique ou pendant une courte période, sans engagement à long terme. Autrement dit, c'est moins contraignant que d'employer un nouveau salarié au sein de l'entreprise. De plus, en général, embaucher un freelance peut être plus économique que d'embaucher un employé à temps plein, surtout si le besoin est temporaire ou associé à l'un de vos projets.
Par ailleurs, lorsque vous sollicitez un freelance, il y a une notion de relation "client prestataire" qui entre en ligne de compte et qui est importante. En principe, le freelance veut réaliser un travail de qualité, ce qui commence par mener à bien la mission qui lui est confiée (mais ceci ne dépend pas que de lui), notamment pour satisfaire son client et bonifier sa réputation.
Comment trouver un freelance informatique ?
Si vous êtes convaincu, il vous restera à choisir votre freelance ! Pour cela, vous pouvez compter sur ce que l'on appelle une "Plateforme Freelance", il en existe plus d'une dizaine pour le marché francophone. À ce sujet, le lien ci-dessus vous mènera vers un article intitulé "Les 10 meilleures plateformes freelance en 2023". Ces plateformes sont utiles à la fois pour les organisations et les freelances, car elles facilitent la mise en relation, la recherche de freelances et la recherche de missions.
Avant de choisir un freelance, vous devez identifier les compétences spécifiques dont vous avez besoin. Ceci vous permettra de déterminer si vous avez plutôt besoin d'un développeur de logiciels, d'un administrateur système ou d'un spécialiste en sécurité informatique. Par ailleurs, vous devez déterminer votre budget afin de pouvoir vérifier si le coût total du projet, basé sur le taux journalier moyen (TJM) du freelance, est conforme au budget prévu. L'autre élément important, c'est le planning afin de pouvoir déterminer si le freelance est disponible pour travailler selon vos horaires et délais.
Maintenant, c'est à vous de jouer ! Je suis moi-même freelance, donc n'hésitez pas à me contacter (en fonction de vos besoins) !
Dans ce tutoriel, nous allons apprendre à protéger un NAS ASUSTOR des attaques brute force en configurant le service "ADM Defender" du système d'exploitation ADM. Grâce à ce service, nous allons pouvoir bloquer les adresses IP malveillantes, voire même bannir complètement l'accès à certains pays.
Un NAS a pour vocation à stocker vos données et à héberger plusieurs services et applications dans le but de répondre à vos besoins. Pour que ce soit encore plus pratique, il n'est pas rare de rendre son NAS accessible sur Internet. Le problème, c'est que l'on s'expose à de potentielles cyberattaques. À ce sujet, la technique la plus connue et la plus basique, c'est probablement le brute force.
Il est indispensable de se protéger de ce type d'attaque puisque si une personne malintentionnée parvient à se connecter à votre NAS, elle pourrait chiffrer vos données avec un ransomware et/ou voler vos données.
En complément de la configuration d'ADM Defender détaillée dans cet article, nous vous recommandons :
Utiliser un mot de passe robuste pour le compte Administrateur du NAS et les différents comptes utilisateurs
Activer l'authentification à deux facteurs sur les comptes
Utiliser des ports personnalisés pour l'accès à l'interface de gestion d'ADM
II. La configuration cible
Nous partons du principe que le NAS est accessible depuis Internet (que ce soit via EZ-Connect ou une règle de redirection de ports). Voici les règles que nous allons définir :
Nous allons configurer notre NAS ASUSTOR pour qu'il accepte uniquement les connexions en provenance de la France (vous pouvez choisir le pays de votre choix), tout en refusant tout le reste.
Nous allons également autoriser le réseau local à partir de l'adresse réseau.
Nous allons bloquer pour une durée indéterminée toutes les adresses IP à l'origine de 5 tentatives en échecs dans un intervalle de temps de 10 minutes.
Toutefois, si une connexion est effectuée depuis la France, l'adresse IP pourra être bloquée malgré tout s'il y a plusieurs tentatives infructueuses (selon les critères définis ci-dessus).
III. Installation du paquet Geo IP Database
Afin de pouvoir effectuer un filtrage par pays, vous devez installer le paquet "Geo IP DataBase" sur votre NAS.
Accédez à l'interface du système ADM, ouvrez le magasin d'applications "App Central" et recherchez l'application "Geo IP DataBase" afin de l'installer.
Une fois cette première étape effectuée, passez à la suite.
IV. Configuration d'ADM Defender
A. Accès à l'ADM Defender
Pour accéder à la configuration de l'ADM Defender, il suffit d'accéder à la partie "Réglages" d'ADM. Dans cet article, nous allons nous intéresser à la configuration de la fonction "Défenseur Réseau" qui se décompose en 4 listes :
Liste de confiance : liste des adresses IP / réseau qu'il ne faut jamais bloquer, même s'il y a 1 000 tentatives infructueuses.
Liste noire auto : liste des adresses IP bloquées à cause d'un nombre trop important de tentatives en échecs dans un laps de temps défini (les adresses IP malveillantes seront répertoriées ici).
Liste noire : liste des adresses IP, réseaux, ou pays, que vous souhaitez bloquer de façon statique / manuelle
Liste blanche : liste des adresses IP, réseaux, ou pays, que vous souhaitez
La présentation étant faite, passons à la configuration.
B. Configurer la liste de confiance
Commencez par configurer la liste de confiance, bien que ce ne soit pas obligatoire. Toutes les adresses IP définies ici ne seront jamais bannies. Cette règle fait en quelque sorte effet d'anti-lockout.
Cliquez sur "Liste de confiance" (1), sur le bouton "Ajouter" (2) puis choisissez "Masque de sous-réseau IP" afin d'indiquer l'adresse IP du réseau (3). À la maison, avec votre box, vous devriez avoir le réseau "192.168.1.0/24" ou "192.168.0.0/24".
Dans cet exemple, j'estime que le réseau local de mon domicile est un réseau de confiance donc il sera autorisé. Vous pouvez mettre l'adresse IP de votre PC directement, mais si vous utilisez un serveur DHCP (votre box, par exemple), il y a des chances pour que l'adresse IP ne soit pas toujours la même.
Validez avec "OK" quand c'est fait. Pour chaque liste (sauf la liste noire auto qui est dynamique), vous pouvez créer plusieurs règles.
C. Configurer la liste noire automatique : anti-brute force
Passez à la configuration de la liste noire automatique. C'est l'activation de cette liste qui permet de mettre en place l'anti-brute force sur votre NAS ASUSTOR. Sous "Liste noire auto", cochez l'option "Activer Liste Noire Auto" et cliquez sur "Réglages" pour personnaliser les conditions pour qu'une adresse IP soit bannie.
Ici, plusieurs options s'offrent à vous :
Tentatives de connexion : nombre de tentatives en échec pour qu'une adresse IP soit bannie, à condition que ce soit des tentatives effectuées dans l'intervalle de temps défini pour le paramètre "Période de temps" (en prenant la première tentative en échec comme référence)
Bloquer période : pendant combien de temps faut-il bannir une adresse IP ?
Services à bloquer : quels sont les services à bloquer pour les adresses IP bannies ? De préférence, cochez tout pour empêcher l'accès complet au NAS.
Voici un exemple de configuration :
Validez. Le tour est joué !
D. Configurer la liste blanche pour la France
Grâce à l'application "Geo IP Database", nous pouvons créer des règles basées sur les continents et les pays. Ainsi, nous allons ajouter en liste blanche la "France" afin de bloquer les connexions depuis tous les autres pays (tout ce qui n'est pas en liste blanche sera interdit). C'est une restriction intéressante bien qu'elle puisse être contournée à l'aide d'un VPN, ou en utilisant une machine située en France comme rebond. Toutefois, cette méthode est suffisante pour se protéger des attaques massives.
Si vous habitez en France, il n'y a pas de raison que quelqu'un en Chine, aux États-Unis, ou en Russie se connecte à votre NAS. Si vous avez besoin d'accéder à votre NAS lorsque vous partez à l'étranger, en vacances par exemple, vous pouvez ajouter temporairement un autre pays à la liste.
Cliquez sur "Liste Blanche" (1), puis cochez l'option "Activer la liste blanche" (2) avant de cliquer sur "Ajouter" pour créer une règle (3). Choisissez "Filtre pays" (4) puis "France" (5) comme pays (d'ailleurs, il y a un bug puisqu'il y a deux "Continent" dans la liste des paramètres). Validez quand c'est fait.
Voilà, toutes les personnes localisées en France (via leur adresse IP) pourront accéder à votre NAS. Toutefois, si elles sont à l'origine de trop de tentatives infructueuses, elles seront bannies.
La configuration de l'ADM Defender est terminée !
V. Conclusion
La configuration de l'ADM Defender est une étape importante pour renforcer la sécurité de votre NAS ASUSTOR ! Je vous recommande vivement d'appliquer cette configuration.
Lorsqu'une adresse IP sera bannie, la page ci-dessous sera présentée à l'utilisateur pour l'avertir.
N'hésitez pas à lire notre dernier test de NAS ASUSTOR :
La faille de sécurité Log4Shell continue d'être exploitée ! Le célèbre groupe de cybercriminels Lazarus l'exploite au sein d'une campagne de cyberattaques dans le but de déployer des malwares de type "Remote Access Trojans" (RAT) sur les machines compromises !
En décembre 2021, nous apprenions l'existence de la vulnérabilité CVE-2021-44228, surnommée Log4Shell, et qui affectait la bibliothèque Log4j utilisée par des centaines de produits... Deux ans plus tard, cette vulnérabilité continue d'être un vecteur d'attaque intéressant pour les cybercriminels, comme le prouve cette campagne menée par le groupe Lazarus, un gang de cybercriminels associé à la Corée du Nord.
De nombreuses organisations sont ciblées, notamment dans les secteurs de l'industrie, de l'agriculture et de la sécurité physique. Selon Veracode, 2,8% des applications utilisent encore des versions vulnérables de la bibliothèque Log4j (de 2.0-beta9 à 2.15.0).
Les chercheurs en sécurité de Cisco Talos suivent cette campagne sous le nom d'Operation Blacksmith. D'après eux, les cybercriminels déploient trois malwares différents développés en D : DLRAT, NineRAT et BottomLoader. Il semblerait que les pirates exploitent la faille de sécurité Log4Shell contre des serveurs VMware Horizon accessibles sur Internet.
Les malwares NineRAT, DLRAT et BottomLoader
Une fois déployé sur une machine compromise, NineRAT est capable d'exécuter des commandes sur l'hôte, de collecter des informations sur le système, mais également de télécharger des fichiers et de se désinstaller lui-même. Les communications entre le malware et les cybercriminels sont effectuées via un service de messagerie légitime bien connu : Telegram. Ce dernier fait office de serveur C2 et les pirates s'appuient sur l'API de Telegram.
"L'utilisation de Telegram par Lazarus est susceptible d'échapper aux mesures de détection basées sur le réseau et l'hôte en utilisant un service légitime comme canal de communication C2.", précise le rapport de Cisco Talos.
Voici la chaine d'infection habituelle de NineRAT :
Source : Cisco Talos
En mars 2023, il aurait été utilisé dans une attaque visant une organisation agricole sud-américaine. Ensuite, en septembre 2023, c'est une entreprise de fabrication européenne qui aurait été la cible de ce malware de type RAT.
Par ailleurs, les cybercriminels ont utilisé DLRAT dans le cadre de cette campagne d'attaques. Il s'agit d'un malware de type RAT, comme NineRAT, mais qui est également un downloader, c'est-à-dire un logiciel malveillant capable de télécharger et de déployer d'autres malwares. Cet arsenal de malwares est complété par BottomLoader, ce dernier étant utilisé pour déployer un outil de proxy personnalisé appelé HazyLoad.
Apple a mis en ligne une nouvelle mise à jour pour une ancienne version d'iOS dans le but de corriger deux failles de sécurité importantes et déjà exploitées dans le cadre d'attaques. Ainsi, Apple protège les anciennes générations d'iPhone, mais également certaines Apple Watch et Apple TV. Faisons le point.
La faille de sécurité CVE-2023-42916, de type "out-of-bounds" peut amener à la divulgation d'informations sensibles simplement par le traitement du contenu d'une page Web. En ce qui concerne la faille de sécurité CVE-2023-42917, faisant référence à une corruption de la mémoire, elle pourrait permettre d'exécuter du code arbitraire sur l'appareil. Dans les deux cas, une page web malveillante visitée par l'utilisateur depuis son appareil vulnérable permettrait l'exploitation de la vulnérabilité.
Un patch de sécurité pour iOS 16
Dans un nouveau bulletin de sécurité mis en ligne lundi 11 décembre 2023, précise : "Apple a eu connaissance d'un rapport selon lequel ce problème aurait pu être exploité avec des versions d'iOS antérieures à iOS 16.7.1."
Le problème, c'est que les modèles d'iPhone trop anciens ne peuvent pas passer sur iOS 17.1.2 pour se protéger de ces vulnérabilités. Il en va de même pour d'autres appareils Apple d'anciennes générations. En réaction, la firme de Cupertino a mis à jour en urgence les anciennes versions de ses systèmes !
Voici les nouvelles versions disponibles pour les utilisateurs d'iPhone, d'iPad, d'Apple TV et d'Apple Watch :
iOS 16.7.3
iPadOS 16.7.3
tvOS 17.2
watchOS 10.2
Ces mises à jour vont profiter à un ensemble d'appareils dont voici la liste :
iPhone 8 et versions ultérieures
iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures, et iPad mini 5e génération et versions ultérieures
Apple TV HD et Apple TV 4K (tous les modèles)
Apple Watch Series 4 et versions ultérieures
Même si Apple n'a pas donné de détails sur les cyberattaques où ces vulnérabilités sont exploitées, il est préférable d'installer ces patchs de sécurité dès que possible.
