Article Interessant, Evenements

Bienvenue aux RISR2017 sur le Campus du CESI Arras

C’est avec fierté que nous accueillons la nouvelle promotion de RISR2017 sur le Campus du CESI Arras. Pas loin d’une cinquantaine de jeunes entament cette formation de deux ans au #Cesi_Alternance pour obtenir un titre de niveau 2 (Bac+4) en Ingénierie Systèmes et Réseaux (et plus si affinité : Certifications techniques, TOEIC, etc…).

Le programme est chargé mais le challenge n’en est que plus intéressant !!!

Cloud, Virtualisation, SSO, Supervision, Réseaux Cisco, Sécurité sont au programme sans oublier les compétences professionnelles de travail collaboratif et d’accompagnement des entreprises dans leur transformation digitale.

Bon courage à tous et bon démarrage dans vos entreprises respectives !!!

WP_20171023_16_28_40_Rich

Publicités
Article Interessant, Evenements, Infos Pratiques

Bravo aux RISR2015 !

Bravo aux #RISR2015 du #CESI Arras qui ont été diplômés ce jour à la suite du jury des études national.

3 rattrapages à finaliser et tous les présentés seront diplômés. C’est un très beau résultat avec en poche un diplôme #CESI,  2 CQP du #SYNTEC, un TOEIC et quelques certifications techniques (Microsoft, Cisco, VMWARE, ITIL …). Armés pour la vie active avec ce beau CV, c’est sans surprises que l’enquête de reclassement de fin de formation révèle 98% d’embauche ou de poursuite d’étude.

Bon vent à tous et à très bientôt pour ceux qui continuent en MSI au Campus d’Arras.

WP_20170915_11_12_29_Rich

Article Interessant, Technologies

Ransomwares, Cryptolockers : qu’est-ce que c’est ? Par Alexandre en RISR

 

ransomware-2321665_640

Le ransomware, ou « rançongiciel », est un type de logiciel malveillant qui bloque l’accès à un PC, prenant en otage les données personnelles de l’utilisateur,


et demandant ensuite à celui-ci de payer pour y accéder de nouveau.

En entreprise, la forme la plus répandue de ce type d’infection est le « cryptolocker », dont le principe est de chiffrer les données de l’utilisateur, en visant prioritairement certaines extensions de fichiers (fichiers Microsoft Office, photos, vidéos, documents PDF…) et visant tout type de support : disque durs internes, externes, disques partagés sur le réseau, périphériques USB et parfois cloud (exemple : Dropbox).

Apparition et évolution des Ransomwares et Cryptolockers

Les 1ères références au ransomware tel qu’on le connaît de nos jours datent de 1989, avec l’apparition d’un malware appelé « AIDS Trojan », diffusé par l’intermédiaire de disquettes 5’’ ¼ envoyées par courrier. Une fois activé, celui-ci chiffrait tous les fichiers présents sur l’ordinateur puis demandait un paiement pour le déchiffrement.

Le développement d’internet, des échanges mails, du téléchargement, ont contribué dans les années 90 et 2000 à l’apparition de nouvelles menaces :

– Les faux anti-virus, avertissant l’utilisateur d’une infection sur son poste, et lui proposant de payer pour désinfecter la machine (en 2009, 43 millions d’attaques ont été recensées par Symantec),

– Les « encryption ransomware », qui chiffrent les fichiers présents sur la machine (doc, pdf, images….). On peut citer comme exemple Cryptolocker, TeslaCrypt, Locky, Cryptowall…

– Le « lock screen ransomware », qui verrouille l’accès à la machine en échange d’un paiement : par exemple Reveton, plus connu sous le nom de « Virus du Gendarme », qui accuse l’utilisateur d’activités de téléchargement illégales et réclame le paiement d’une « amende »,

– Le « MBR Ransomware », qui s’attaque directement au secteur de démarrage du disque et rend donc inutilisable la machine, à moins de céder au chantage…

Pour l’anecdote, le ransomware Cryptolocker a généré, d’après les estimations de chercheurs en sécurité, un montant d’au moins 5 millions de dollars pour son créateur au cours de l’année 2013.

Modes de diffusionhacked-1753263_640

– Par mail : faux mails d’entreprises réelles, comportant des pièces-jointes de type PDF se présentant comme une facture ou tout autre document,

– Clés USB (comme vu récemment du côté de Villeneuve d’Ascq, où des habitants ont retrouvé des clés USB infectées dans leurs boîtes aux lettres…)

– Pages Web malicieuses

– Bannières Publicitaires

– Téléchargements (films, musique, logiciels,…)

Comment se protéger de ces menaces ?

1. Réaliser des sauvegardes régulières

Disques durs internes, disques réseaux, NAS, SAN,.. Tous ces systèmes de stockages ne sont pas infaillibles : il convient donc de procéder à une sauvegarde régulière de ses données importantes (photos, documents etc…), afin de pouvoir récupérer tous les fichiers endommagés lors d’une infection. Dans l’idéal la sauvegarde doit être faite sur un support qui n’est lié à l’appareil à sauvegarder uniquement lors de la copie des fichiers (clé USB, disque dur externe, sauvegarde en ligne, sauvegarde sur bandes…) afin d’éviter toute propagation des logiciels malveillants lors d’une attaque.

2. Mettre à jour son système et ses logiciels

Tout logiciel malveillant se diffuse en utilisant des failles logicielles ou système comme portes d’entrées. Il est important de tenir à jour les systèmes Windows, Mac, Android, iOS ou autres, mais aussi les logiciels qui y sont installés, en particulier les navigateurs Web.

3. Redoubler de prudence avec les pièces jointes

L’email est devenu au fil du temps un moyen indispensable à la communication en entreprise, mais aussi à l’échange de fichiers : c’est donc l’un des moyens que les pirates utilisent pour diffuser leurs logiciels malveillants, via le système de pièce-jointe. Il convient donc aux utilisateurs d’être attentifs aux pièces-jointes qu’ils téléchargent.

 

4. Utiliser un antivirus à jour

Les logiciels malveillants, virus et autres malwares, évoluent en permanence : utiliser un antivirus à jour permet de s’assurer que les dernières signatures de logiciels malveillants sont bien enregistrées et que celles-ci seront reconnues. Attention toutefois, un fichier téléchargé mais non signalé comme dangereux par l’antivirus ne signifie pas pour autant que celui-ci est sain.
5. Le Behavior Monitoring, une nouvelle arme

Les techniques de propagation et méthodes d’attaques des ransomwares évoluant rapidement au cours du temps, les éditeurs de logiciels de sécurité sont donc tenus d’être attentifs à toute nouvelle technique d’infection afin de pouvoir y pallier le plus rapidement possible.

C’est pour cela que les hackers se sont mis à créer de nouveaux logiciels malicieux, fonctionnant sur le même principe que le ransomware, mais n’ayant pas le même comportement : au lieu d’envoyer directement un fichier menaçant à l’utilisateur qui serait aujourd’hui détecté par l’anti-virus, on assiste ici à l’envoi de fichiers « propres » aux yeux de l’anti-virus, qui permettent, une fois hébergés sur l’ordinateur de l’utilisateur, de télécharger d’autres fichiers sur un serveur distant pour préparer son attaque, bernant complètement l’anti-virus. C’est là que le Behavior Monitoring va faire son travail. En analysant les comportements des applications, les processus et le trafic sur le réseau, l’anti-virus va s’apercevoir qu’un programme fait des requêtes vers un serveur inconnu et va donc stopper toutes ces transactions dans le but de parer à une éventuelle infection. De même, il sera capable de détecter que certains fichiers commencent à être cryptés, et pourra donc stopper la tâche exécutée pour neutraliser le programme malveillant.

En cas infection, que faire ?

1. Ne pas payercastle-1419280_640

Il peut être tentant de céder au chantage et de payer pour débloquer son ordinateur ou ses fichiers, mais il n’existe aucune garantie que cela fonctionne.

2. Arrêter la propagation

Dès le début de l’infection, il faut simplement débrancher les supports de stockage externes (disques, clés USB,…) et isoler l’ordinateur du réseau local afin d’éviter une propagation sur le LAN.

3. Désinfecter la machine

Il existe de nombreux outils anti-virus ou anti-malwares, permettant de se débarrasser des logiciels indésirables.

4. Comment retrouver ses fichiers ?

De nombreux éditeurs de logiciels ainsi que des chercheurs en sécurité ont mis au point des outils permettant en cas d’infection de décrypter ses fichiers. Il en existe désormais une multitude sur le net, on peut citer par exemple AVG Decryptor (qui agit notamment sur les ransomwares Bart, Crypt888, Legion, TeslaCrypt et ses variantes…), TrendMicro Ransomware File Decryptor (pour Locky, CryptXXX, Cerber, SNSLocker,..), mais aussi No More Ransom Project, qui propose à l’utilisateur d’uploader sur leur site l’un de ses fichiers chiffrés afin de déterminer quel malware a été utilisé et proposer l’outil adéquat au déchiffrement.

Conclusion

Avec la rapide expansion du phénomène Ransomware, mais aussi la simplicité avec laquelle les systèmes actuels de sécurité (anti-virus, anti-malwares) sont contournés par ceux-ci, de nombreuses questions de sécurité se posent.

En effet, avec l’apparition de la domotique, de l’Internet des Objets, de l’informatique industrielle, mais aussi des voitures autonomes, il ne serait pas surprenant de voir émerger, dans les prochaines années, de nouvelles versions de logiciels malicieux ayant pour but de prendre le contrôle de ces nouvelles technologies : le chiffrement des configurations et des infrastructures de contrôle permettra aux attaquants de prendre en otage des thermostats, des infrastructures d’éclairage ou même des automobiles contre le versement d’une rançon.

L’Internet Industriel des Objets (IIoT) court un danger encore plus grand : les ransomwares pourront paralyser la capacité de production d’une usine ou l’activité d’une entreprise de service public…

Article Interessant, Technologies

Docker par Tony en RISR2015

clip_image001

Il y a environ 3 ans, comme bon nombre de personnes, j’ai reçu un mail de la part de notre cher HADOPI suite à un téléchargement illégal d’un film récent… Suite à ce mail, j’ai mis en place un système de serveur de téléchargement autonome et sécurisé sur un serveur virtuel Debian avec l’application Transmission et l’investissement d’un VPN. Ce serveur est hébergé sur un petit ESX que je me suis fait pour faire des tests, etc… A côté de cela, j’ai aussi un NAS Synology qui me permet entre autres de stocker mes films et de les diffuser sur mon réseau privé via l’application PLEX.

Du coup, je me suis demandé s’il était possible de faire tourner mon serveur de téléchargement autonome sur le NAS…

Et depuis la version 5.2 du DSM de Synology, nous avons la possibilité d’utiliser l’application Docker sur nos chers Synology.

Voilà comment j’ai fait la connaissance de Docker.

Qu’est-ce que Docker

Docker est un logiciel libre qui automatise le déploiement d’applications dans des conteneurs logiciels. Il est apparu dans les début 2013, lorsque DotCloud (désormais appelé Docker Incorporeted), une entreprise de fourniture de PaaS a publié un ensemble d’outils jusqu’alors propriétaires.

Il a été développé en Go par un certain Solomon Hykes. La première version de Docker a vu le jour en Mars 2013. A l’heure où j’écris cet article, il est en version 17.05.5 (5 mai 2017).

A quel(s) problème(s) répond Docker

La gestion du système d’information est une problématique omniprésente de par l’installation et la configuration de packages/logiciels. Ces processus bien qu’existant depuis la création de l’informatique, restent une activité complexe :

– Gestion des mises à jour ;

– Gestion des dépendances : l’installation de Tomcat nécéssite une JVM

– Gestion des versions : Tomcat 7 nécessite une JVM 7, la machine host peut avoir trois JVM installées en v6, v7 et v8. Comment s’assurer d’utiliser la bonne ?

– Gestion de la configuration : un Tomcat nécessite l’ouverture de ports, une configuration de sécurité… ;

– Gestion des actions et commandes : lancement du service, installation de module applicatifs…

Ces problématiques sont d’autant plus importantes qu’il est nécessaire de les dérouler de nombreuses fois en fonction de différentes cibles : multi-instance, environnements dev/recette/prod…

Docker fait partie de ces outils visant à aider à gérer ce processus. Il propose une manière pour construire un container autosuffisant et léger, qui peut être installé sur différentes cibles de manière identique.

En bref, Docker est habituellement utilisé pour :

– Automatiser le packaging ainsi que le déploiement d’applications ;

– La création de PaaS environnement léger et / ou privé ;

– L’intégration continue, déploiement continu, test automatisé : DevOps ;

– La gestion de déploiement d’applications “scalable”.

Cependant, Docker n’est pas :

– Une alternative à Chef, Puppet, Ainsible. En revanche Docker s’intègre avec ces outils ;

– Équivalent à une VM. Cf : différence VM / Container ;

Différence entre VM et conteneur

Une VM a pour but de proposer une couche d’abstraction au-dessus d’un système physique, telle que peuvent le proposer Virtualbox, Qemu, VMware…

Ces machines virtuelles permettent de simuler une machine physique et donc de faire tourner une application de très bas niveau, à savoir un OS (système d’exploitation) de son choix. Grâce à cela, une machine physique sous un OS peut faire tourner plusieurs VM avec chacune son propre OS et son ensemble applicatif.

Cette solution est relativement performante si elle repose sur des fonctions matérielles (architecture physique compatible et si possible avec instruction AMD-V, VT-d, VT-x…), car sinon il faut opérer par émulation (perte de près de 50% des performances CPU lors de l’émulation de x86 sur PowerPC).

Les VM sont souvent considérées comme sécurisées, car il n’y a pas de communication directe entre la VM et la machine hôte.

clip_image003 clip_image005

Virtualisation (émulateur) Conteneurs (isolateur)

Quant aux conteneurs, ils virtualisent l’environnement de l’OS de la machine hôte.

Un conteneur est un ensemble applicatif s’exécutant au sein de l’OS maître de manière virtuellement isolée et contrainte (jails, chroot **). Le conteneur est très performant et léger, car il partage de nombreuses ressources avec l’OS hôte (kernel, devices…). En revanche, bien que s’exécutant de manière isolée, le conteneur ne peut être considéré comme très sécurisé puisque partageant la stack d’exécution avec l’OS maître.

Le conteneur peut au choix démarrer un OS complet ou bien simplement des applications.

Docker a pour objectif de ne pas reproduire tout un OS dans un conteneur mais simplement les applications/services souhaités.

Les avantages pour les conteneurs sont :

– Elimination du risque de dépendances manquante (le Dev livre sa machine) ;

– Isolation des applications ;

– Densification des serveurs applicatifs ;

– Amélioration de la consistance des environnements ;

– Réutilisation des images (configuration + application) ;

– Accélération des déploiements et des livraisons vers les utilisateurs ;

– Plus de fiabilité.

Pour faire court, un conteneur inclut les applications et les dépendances mais partage l’OS avec les autres conteneurs.

Article Interessant, Technologies

PROXMOX : SOLUTION DE VIRTUALISATION par Dany en RISR2015

 

A. PRESENTATION

a. Proxmox VE

Proxmox Virtual Environment est une solution de gestion de virtualisation des serveurs basée sur OpenVZ / KVM. Gestion des machines virtuelles, les conteneurs, les clusters, le stockage et les réseaux hautement disponibles avec une interface Web intégrée et facile à utiliser. Le code Proxmox VE est sous licence GNU.

Il offre un avantage par rapport a la concurrence (VMWare, Hyper-V) il permet de faire de la virtualisation par isolation. A l’opposé de la virtualisation matérielle qui comme son nom l’indique virtualise un ordinateur au complet (Processeur, mémoire, …). La virtualisation par isolation permet de ne pas virtualiser le matériel et utilise le même noyau linux que l’hyperviseur.

b. OpenVZ et KVM

OpenVZ : Technique de virtualisation, niveau système d’exploitation fondée sur le noyau Linux.

Il offre différents avantages comme de meilleur performance que le noyau KVM, nécessites peu de ressources pour les hôtes, peut faire des redimensionnements de disque à chaud et migration et upgrade des ressources faciles.

Les inconvénients sont qu’il est compatible qu’avec des OS Linux, la migration vers une autre plateforme de virtualisation est difficile et il n’y a pas de cache mémoire sur le disque

KVM : Technologie de virtualisation matérielle. Agit également comme hyperviseur, gestionnaire et distributeur de ressources partagées

Il offre de la rapidité et une facilité pour la migration externe, une meilleur isolation de la VM, plus facile pour la migration vers une autre plateforme de virtualisation que OpenVZ, et on peut virtualiser des OS Linux et Windows.

Les inconvénients sont que les performances I/O sont faibles, nécessite plus de ressources pour le Hôtes, compatible qu’avec les processeur InterVT et AMD-V

B. INSTALLATION

L’installation est assez simple, il suffit de booter sur l’ISO, ensuite elle se fait à l’aide d’une interface graphique. Depuis l’interface Web, nous pouvons ensuite gérer les différentes fonctionnalités de PROMOX VE. Voici l’interface web :

image

C. FONCTIONNALITES

a. Cluster

Pour l’installation du cluster, cela se fait en ligne de commande, sur le serveur primaire, lancer la commande « pvecmcreate NOM DU CLUSTER ». Sur le serveur secondaire : « pvecmadd ADRESSE IP SERVEUR PRINCIPAL », ensuite il faut se reconnecter sur l’interface web, nous pouvons voir l’arrivé d’un deuxieme nœud :

image

 

 

 

b. Stockage Externe

Nous pouvons utiliser plusieurs solutions de stockage plus ou moins connu et payante afin de stocker les données ainsi que les VM. Pour ma part j’ai utilisé OPenFiler, un logiciel libre basé sur linux.

Open Filer permet de créer un espace de stockage en RAID, cela va permettre d’avoir de la tolérance de panne.

Proxmox VE utilise des Target ISCSI pour se connecter aux différentes solutions de stockage.

c. Sauvegarde et Restauration

Sauvegarde : Proxmox propose plusieurs types de sauvegarde, soit en stoppant la VM, soit à chaud avec interruption de service soit sans interruption.

Il est possible d’effectuer des sauvegardes non planifiées à l’aide de la commande si dessous :

« vzdump NOM DE LA VM –mode SNAPSHOT –Storage DESTINATION –Node NOM DU SERVEUR »

Il est également possible d’effectuer des sauvegardes automatiques, via l’onglet sauvegarde, créer une sauvegarde automatique.

Restauration : Proxmox intègre, dans son interface Web un assistant de restauration, une solution simple et efficace, proposant le chemin de destination de la machine virtuelle que l’on souhaite restaurer ainsi que son nom.

image

d. Basculement à chaud

Grâce au cluster et au serveur de stockage, il est possible de migrer, à chaud ou non, une machine virtuelle d’un serveur Proxmox à un autre.

image

 

 

 

e. Configuration réseau

En ce qui concerne la partie réseau, il est possible de configurer les interfaces. Plusieurs modes existent dont 2 principaux :

• La répartition de charge entre 2 cartes réseaux :LoadBalancing.

• Lorsque qu’une carte réseau est défaillante la seconde carte prend le relai : High Availability

D. Conclusion

– Outil simple de par son interface web, opérationnel, stable et nécessitant peu de maintenance mais de la configuration

– Très grande souplesse à plusieurs niveaux : déploiement de services à la demande, sauvegardes, restaurations et autres…

– Nécessite une attention particulière pour mettre en place la HA pour une continuité de service

– La HA a ses limites face à certaines défaillances

– Oblige à avoir un parc de serveurs plus homogène et facile à gérer

Article Interessant, Technologies

Rubber Ducky, Lan Turtle et Wi-fi PinApple par Matthieu, Benjamin et Samuel en RISR2015

1) Présentation

 image

– Créée en 2010image

– Se fait passer pour un clavier

– Attaques par Social Engineering

– Commercialisée à l’heure actuelle

– Apparence d’une simple clé USB

2)  Explication

– Confiance absolue desimage

OS sur les périphériques

(Claviers, souris)

– Lancement de « payload »

(Mille mots / seconde)

– Commandes lancées en mode texte (« Ducky Script »)

– Transformation en binaire via le site Hack5

– Carte SD intégrée dans la clé

– Simule l’utilisation d’un clavier

3) Possibilités

– DNS Poisoningimage

– Désactivation de l’antivirus

– Suppression du contenu d’un disque ou du système entier

– Téléchargement de programmes malveillants en http

– Utilisation de serveurs FTP

– Récupérations de mots de passe

4) Utilisation

image

5) Contre-mesures

– Verrouillage de la session !!

– Surveillance

– Port USB pas facilement atteignable

image

II. LAN TURTLE

Le LAN Turtle est un outil qui se présente comme grosse une clé USB munie d’un port RJ45.

image

Une fois branchée elle se configure à l’aide de modules que l’on peut facilement télécharger.

image

Le LAN Turtle est reconnu comme un adaptateur réseau, la technologie de découverte et d’installation des périphériques USB (Plug and Play) utilisée par les systèmes permet une activation immédiate du LAN Turtle.

image

Une fois connecté et configuré avec les bons modules, le LAN Turtle permet de voir le traffic non chiffré en clair tel que les mots de passes http, ftp et permet de voir les pages web visitées.

Un module permet de faire du DNS Spoofing en essayant de se rendre sur un site web sécurisé, on sera redirigé vers une copie du site pour voler les identifiants.

image

Le module responder disponible dans le LAN Turtle permet de stocker toutes les demandes d’authentification et de récupérer les mots de passes où leurs hashs. Certains logiciels et sites web permettent de “déhasher” un mot de passe.

image

image

On ne peut se prémunir d’une attaque man in the middle d’un LAN Turtle car les systems on une confiance aveugle en leur réseau local. Il faut surveiller que rien n’est branché sur ses ports USB, vérifier également la présence du “HTTPS” pour les sites sécurisés.

III. WI-FI PINAPPLE

1) Présentation

– Outil d’auditimage

– Attaque man in the middle

– Hacker Black/White

– NANO => 2,4Ghz => $99

– TETRA = > 2,4 Ghz / 5 Ghz = $199

2) Utilisation

image

3) Contre mesures

Motdepassesecure => _@U_U&7aspaFres&tre?p5dru*3utrEs
 
Serveur Radius + LDAPS
MetaPapier     image
Sensibilisation utilisateur

Ne jamais se connecter à un hotspot public