Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Apple : Releases d’automne


Comme tous les ans, Apple va publier les nouvelles versions des différents systèmes d'exploitation pour toutes ses plateformes. Certaines fonctionnalités changent, notamment pour l'enrôlement "utilisateur" avec le mécanisme Declarative Device Enrollment. Cette approche, adaptée aux contextes "BYOD", nécessite de reconfigurer le process d'enrôlement. Si le sujet vous intéresse, n'hésitez pas à nous contacter.

Le point le plus important pour tous les clients On Premise est de s'assurer que la version de Workspace One UEM actuellement déployée dans votre infrastructure est dans la liste des versions supportées. Notez également qu'un patch sera nécessaire pour certaines versions. Voici un extrait d'article de VMWare :

UEM version Patch Version
2005 Coming soon
2008 Coming soon
2011 20.11.0.32
2102 21.2.0.16
2105 All versions
2107 All versions

Pour plus d'informations et détails sur les changements apportés par Apple sur les releases 2021, veuillez consulter l'article https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/GettingReadyForAppleReleases/GUID-GettingReadyForAppleReleases.html

Pour toute assistance pour les mises à niveau, n'hésitez pas à nous solliciter.


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 7 septembre 2021

    Mise à jour : 7 septembre 2021

Mcafee Compatibility windows10 21h1


Mcafee a communiqué sur la compatibilité de ses produits avec la mise à jour de windows10 21h1.

McAfee Agent : version 5.7.2 et 5.7.3 compatible Kb : https://kc.mcafee.com/corporate/index?page=content&id=KB51573

McAfee ENS plateforme 10.7.0.2421 le detail des modules est disponible dans cette Kb: https://kc.mcafee.com/corporate/index?page=content&id=KB51573

Nous vous invitons à prendre contact avec notre support afin de mettre à jour votre protection de poste de travail.


  • Nicolas

    Nicolas

    Support Security Engineer

  • Catégorie : Post-IT

    Date : 28 juin 2021

    Mise à jour : 28 juin 2021

Totemo annonce la fin de vie de la fonctionnalité PushedPDF.


Totemo annonce la fin de vie et l'arrêt du support pour le fonctionnalité PushedPDF de la solution de sécurisation des échanges mails totemomail. La date de fin de support annoncée est le 31 Aout 2022.

L'upgrade des installation totemomail utilisant ce module ne sont plus possibles, il faut absolument migrer vers la solution RegisteredEnvelope en remplacement de PushedPDF. Si vous utilisez ce module, n'hésitez pas à vous rapprocher de nous pour en savoir plus sur la migration.


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 3 juin 2021

    Mise à jour : 3 juin 2021

22 avril 202: Sortie de la version 5.3 de Device Control



Le 22 avril dernier, la version 5.3 de device Control est sortie. Quelques points a détailler :

- Quelques mises à niveau sont toujours possibles depuis 5.x, directement dans cette version

- Concernant Mac OS, la mise à jour est importante et apporte un management centralisé beaucoup plus simple et permet d'avoir une GUI sur le poste client.

- Le serveur SQL 2008 n'est plus supporté

- Visual C++ 2017 mandatory

- Attention, si vous venez d'une version inférieure à la 5.14, il y a une nouvelle classe audio games ( disable les micros par default)

Version 5.3 :
https://forums.ivanti.com/s/article/Ivanti-Device-Application-Control-5-3-Download

Release note : https://help.ivanti.com/ht/help/en_US/IDAC/5.3/02_107_EndpointSecurity_ReleaseNotes.pdf

Procédure de mise à niveau: https://help.ivanti.com/ht/help/en_US/IDAC/5.3/02_102_EndpointSecurity_SetupGuide.pdf


  • Nicolas

    Nicolas

    Support Security Engineer

  • Catégorie : Post-IT

    Date : 29 avril 2021

    Mise à jour : 29 avril 2021

Symantec : Certaines solutions peuvent rencontrer un problème de certificat.


Broadcom nous informe que certaines solutions Symantec peuvent rencontrer un problème de certificat en fin d'année.

Selon votre situation, il est impératif de procéder aux mises jours nécessaires avant le 31 aout 2021. Vous trouverez dans la KB les informations des produits et versions impactées.

https://learn.broadcom.com/hubfs/SED/SED%20Product%20Letters%20PDF/SED_ABRCA_Original_Customer_Email_2021.pdf?utm_campaign=TRANS_SED_2021_NIS_Gen_Comms&utm_medium=email&_hsmi=116624777&_hsenc=p2ANqtz-_5ocvV4q1lIl0vPTp-H1BzBXX4981xO5xLW_OUD0Niafb6nC3lyaRVnr3xA3ng-nqS5Lix1fVA0OnkK_g1zVd4iYH8_vMFwAVfpsvqsRlOEaQXRD0&utm_content=116624777&utm_source=hs_email


  • Nicolas

    Nicolas

    Support Security Engineer

  • Catégorie : Post-IT

    Date : 1 avril 2021

    Mise à jour : 1 avril 2021

VMWare Workspace One UEM : toujours leader du segment UEM.


Les derniers rapports IDC MarketSpace placent une nouvelle fois (pour la 4e année consécutive) VMWare Workspace One UEM comme Leader. Cela couvre les 3 domaines :

- Unified Endpoint Management Software (solution au sens large)

- UEM Software for Rugged Devices et IoT

- UEM Software for Apple Devices

N'hésitez pas à consulter l'article du blog VMWare sur le sujet :

https://blogs.vmware.com/euc/2021/01/vmware-leader-idc-marketscape-for-uem.html


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 4 février 2021

    Mise à jour : 4 février 2021

Workspace One Boxer : Support des boîtes mail multiples et boîtes mail partagées.


Les deux fonctionnalités supportées dans les dernières versions de VMWare Boxer Android et iOs, sont bien distinctes :

Boites multiples : Cela donne la possibilité de créer plusieurs configurations email pour l'application Boxer par exemple plusieurs utilisateurs (disposant d'une boite mail Exchange) sur un même serveur email, ou alors plusieurs configurations email sur des serveurs différents. Il s'agit dans ce cas simplement de boites de messagerie complètement distinctes, accessible via le protocole Active Sync. Elle peuvent par exemple être dans des domaines / entreprises totalement séparées.

Boites partagées : Cela donne la possibilité de gérer la boite mail d'un collègue, mais cette fois, nécessairement sur le même serveur de messagerie Exchange. Cela reprend la fonctionnalité "Send As..." dans Outlook. Il s'agit ici d'une boite mail particulière, accessible via le service EWS d'exchange. Il faut donc que le Endpoint EWS soit activé, accessible via la SEG, avec le même mode d'authentification que la boite mail principale..

Pour plus d'information, voici la documentation de référence de VMWare, et n'hésitez pas à nous solliciter pour vous assister sur ces sujets :)

Boîtes multiples :

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Boxer_Admin_Guide/GUID-B5E63DB9-7E42-4FA3-A523-A9273CE6D426.html

Boîtes partagées :

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Boxer_Admin_Guide/GUID-268DBD70-6211-4C80-B7CB-A6513C39251C.html


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 18 janvier 2021

    Mise à jour : 18 janvier 2021

Workspace ONE UEM : profils persistants après la suppression de devices iOS


Dans certains cas, il est possible que des profils restent sur l'appareil iOS après la suppression de l'appareil dans la console Workspace ONE UEM.

Concernant les version Workspace ONE UEM SaaS, aucune action n'est requise. L'application manuelle de patch est cependant recommandée pour les versions Workspace ONE UEM on-prem.

Liste des versions minimales incluant le correctif :

UEM major version Fix available in patch (and above)
2011 GA
2010 20.10.0.4
2008 20.8.0.13
2007 20.7.0.9
2006 20.6.0.13
2005 20.5.0.30
2004 20.4.0.15
2003 20.3.0.18
2001 20.1.0.28
1912 19.12.0.20
1910 19.10.0.20
1909 19.9.0.45
1908 19.8.0.15
1907 19.7.0.60

Lien sur la KB VMware : https://kb.vmware.com/s/article/81976?lang=en_US

N'hésitez pas a nous contacter pour toute question et assistance sur l'implémentation de ces patchs.


  • Antoine Valette

    Antoine Valette

    Security Engineer

  • Catégorie : Post-IT

    Date : 11 janvier 2021

    Mise à jour : 11 janvier 2021

VMWare Workpace One UEM and Azure Conditional Access


De nombreuses entreprises réfléchissent aux alternatives Cloud pour la gestion de leur IT, et Microsoft Azure fait figure de "candidat" leader pour l'hébergement d'environnements IT complets dans le Cloud. Biensur cela concerne le socle habituel (Messagerie, Documents Office, ActiveDirectory, Stockage...), mais la mobilité est aussi un composant critique à prendre en compte : les accès aux ressources via les smartphones et tablettes étant de plus en plus fréquents.

Une des forces d'Azure, en terme de fonctionnalités sécurité, est le Condtional Access. Cette fonction permet d'assurer un contrôle d'accès aux ressources de l'entreprise en fonction de paramètres spécifiques à l'équipement utilisé. Par exemple, on peut autoriser les accès uniquement pour des terminaux "connus" de l'entreprise et enrôlés dans une solutions UEM (Unified Endpoint Management) comme Workspace One UEM ou InTune.

Nous parlerons ici du premier cas (VMWare Workspace One UEM), en particulier pour les clients qui ont déjà la solution déployée ou qui on un projet en ce sens. L'objectif est d'informer sur une fonctionnalité intégrée a Microsoft Azure, permettant d'utiliser Workspace One UEM comme système de confiance pour l'implémentation du Conditional Access dans Azure : seul un terminal enrôlé dans Workspace One UEM et compliant pourra accéder aux ressources de l'entreprise.

Cela passe par la notion de Compliance Partner dans Azure. En ajoutant un connecteur vers votre environnement Workspace One UEM dans votre Tenant Azure, les terminaux enrôlés seront reconnus dans le monde "Azure".

Les informations détaillées, côté VMWare Workspace One UEM : https://blogs.vmware.com/euc/2020/11/device-compliance-data.html?utm_source=rss&utm_medium=rss&utm_campaign=device-compliance-dataurl (avec une courte video présentant l'expérience utilisateur pour iOs)

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Directory_Service_Integration/GUID-800FB831-AA66-4094-8F5A-FA5899A3C70C.html

et côté Azure : https://docs.microsoft.com/en-us/mem/intune/protect/device-compliance-partners

Par ailleurs, une autre fonctionnalité existante depuis déjà longtemps peut compléter la boite à outil sécurité : l'intégration Microsoft Intune App protection Policies, en permettant une gestion depuis une console unique des politques DLP liées aux applications Office 365.

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Intune_Integration/GUID-AWT-OFFICE365.html

N'hésitez pas a nous solliciter pour toute question et assistance pour tester et implémenter ces mécanismes.


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 3 décembre 2020

    Mise à jour : 3 décembre 2020

RAPPELS : Composants Mobilite de VMWare en fin de vie.



L'écosystème Workspace One étant vaste, un petit rappel des composants qui arrivent (ou sont arrivés) en fin de vie.

Workspace One UEM : Version 1905. Fin de support annoncé pour 30 Novembre 2020.

Personal Content : Fin de support depuis Janvier 2020, mais les menus étaient encore présents dans les apps mobiles. Attention, la dernière release des apps Content pour Android et iOs suppriment le menu Personal Content. Par ailleurs, plus de support pour la partie Content Sync pour Windows et MacOS

Content Locker for Windows : Fin de support 31 Juillet 2021

AirWatch Container : Fin de support depuis le 30 Aout 2020

Android Legacy Enrollments : Fin de support le 31 Mars 2022. Avant cette date, tous les Androids doivent être passés sous Android Enterprise pour l'enrôlement, après avoir lié votre environnement Workspace One UEM à Google.

Workspace One Application : Fin de support 11 Aout 2021. Avant cette date, il faudra que les terminaux utilisants cette application soient migrés vers Intelligent Hub.

VMware Advanced Remote Management 4.4 et 5.0 : Fin de support depuis le 1er Juillet 2020, et remplacé par Workspace One Assist.

Par ailleurs, n'oubliez pas la fin de vie de l'ancien système de PUSH Notification d'Apple annoncée dans un précédent post.


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 5 octobre 2020

    Mise à jour : 5 octobre 2020

Workspace One UEM et Apple Push Notifications


Apple modifie le mode de fonctionnement pour l'envoie de "Push Notifications" en passant d'un protocole TCP à une connexion HTTP/2. Vous trouverez tous les détails ici. Ce changement est annoncé depuis longtemps, mais l'échéance approchant, certaines vérifications s'imposent.

L'ancien système sera complètement arrêté en Novembre 2020.

Pour les clients ayant une installation On Premise de Workspace One UEM, vous devez vous assurer avant cette date que votre version est compatible. Le premier critère est que la version de Workspace One UEM doit être 19.05 ou >. Vous trouverez le détail des versions (et patch levels) supportés ici.

Notez par ailleurs que bien que ce flux soit en HTTP/2, les contraintes d'authentification Apple (par certificat) impose une connectivité directe entre les serveurs Workspace One UEM (Device Services, Console Server) et les serveurs PUSH d'Apple, sans passage par un proxy Web.


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 3 août 2020

    Mise à jour : 3 août 2020

CheckPoint R80.40


Nous vous proposons de retrouver ici la liste des nouveautés majeurs de la version r80.40 de Check Point !

L'utilisation du noyau Linux 3.10 permet les améliorations suivantes

  • Changement du système de gestion des partitions : Passage du MBR au GPT
  • Suppression de la limite de taille des disques (2 To max en MBR)
  • Suppression de la limite du nombre de partitions
  • Distribution de la table de partition à plusieurs emplacement sur le disque
  • Vérification de l'intégrité (gestion réelle du CRC)

  • Changement de système de fichier

  • XFS remplace EXT3
  • XFS délivre notamment les améliorations suivantes
  • Augmentation des capacités I/O grace à la paralelisation des taches de lecture / ecriture disque
  • Meilleure gestion des inodes


    Notes : Afin de profiter de l'ensemble des améliorations apportéées par la version R80.40, il est nécessaire de réaliser une migration avancée (migrate export / migrate import).


    Enrichissement des statistiques CPVIEW

  • Ajout des statistiques par VS
  • Détails des statistiques de NAT
  • Amélioration de la visibilité concernant l'activité des différentes Blades


    Update RPMs Un grand nombre de packages RPM sont mis à jour. Note : La version de BASH est mise à jour de 3.1-16 vers 4.2-47 : Vérifiez la compatibilité de vos scripts BASH.


  • Possibilté de paramétrer un domain d'encryption par communauté VPN

  • Support du SMBv3 multichannel
  • Support de l'inspection SSH sur les flux entrants
  • Support du protocol http2

  • Interface de configuration intégrée au SmartConsole en tant que layer
    Notes : Certaines configurations avancées (gestion des autorités de confiance notamment) nécessitent encore l'utilisation de l'ancienne interface
  • Prise en charge des objets dynamiques (Updatable Objects et Domain Objects)
  • Contrôle de cohérence des catégories lors de l'utlisation du SNI (Server Name Indication) afin de limiter le risque de contournement de la politique de filtrage Web.

  • Les instances SND et FW_workers sont distribuées dynamiquement, permettant l'adaptation au conditions réelles d'utilisation :

  • A intervalle de temps réguliers, le système évalue le gain de perfomance potentiel en cas de redistribution des ressources CPU.
  • Cette amélioration permet notamment de basculer automatiquement d'une matrice de distribution "Daily" (forte activité utilisateur, souvent caractérisée par une consommation élevée des ressources par les blades d'analyse avancée) à une matrice orientée "Out of working hours" (forte activité de backup et flux techniques, principalement pris en charge par la blade FW) Notes :
  • Cette amélioration n'est pas supportée sur les environnements VSX
  • La modification manuelle des paramètres CoreXL via l'outil "cpconfig" entraine la désactivation complète du processus automatique
  • La version R80.40 implémente par défaut le CCP (Cluster Control Protocol) en mode Unicast

  • Diminution la consommation de ressources réseau par rapport aux modes Broadcast et Multicast
  • Simplicité d'implémentation par rapport au mode Multicast, qui nécessite une configuration sur les switchs

    Première version du mode ClusterXL "Active-Active"

  • Chaque membre porte ses propres IPs, pas de VIP configurée
  • La distribution des flux est réalisée par le routage dynamique et des load balancer externes
  • A termes, capacité à déployer des Cluster "L3" multilocalisés

  • Support des identity provider SAMLv2

  • Généralisation du modèle PDP Broker permettant le partage d'identités entre gateways managés par des SMS ou MDS différents
  • Nouvelle version de l'agent MultiHost (MUHv2)

    Changement du modèle d'identification et de propagation des sessions utilisateurs sur les systèmes multi-users (Terminal Servers).

  • L'identifiant de chaque utilisateur est désormais inséré dans l'entête IP de chaque paquet (utilisation du champ "identification" décrit dans la RFC 791) Amélioration des performances
  • MUHv2 supporte jusqu'à 256 utilisateurs par machine (seulement une vingtaine en v1)
  • Les PDP supportent jusqu'à 50 clients MUHv2 (seulement 5 en v1)
    Amélioration du processus RAD (Resource Advisor) utilisé lors de l'interrogation des bass de données Cloud (réputation, catégorisation...) Performance
  • Le processus fonctionne désormais en multi-threat (jusqu'à 32 instances)
  • Statistiques RAD disponibles via CPVIEW
  • Logs détaillés disponibles dans $FWDIR/log/rad_events

  • Modèle de service "semi-managé" permettant l'implémentation de politiques de Threat Prevention basées sur des templates prédéfinis par Check Point Le client ne peut pas modifier la politique. mais peut ajouter des exceptions

    Amélioration de la prise en charge IoT

  • Collecte des attributs IoT depuis une liste de fournisseurs certifiés
  • Identification automatique des protections à appliquer, permettant notamment une approche "virtual patching" afin de sécuriser les flux des systèmes IoT souvent non pacthabhes


    • ECLIPSE

      ECLIPSE

      Senior Security Engineer  

    • Catégorie : Post-IT

      Date : 4 juillet 2020

      Mise à jour : 6 juillet 2020

    F5 – CVE Critique CVE-2020-5902


    La vulnérabilité critique CVE-2020-5902 a été patché, cette vulnérabilité concerne la Traffic Management User Interface (TMUI) de BIG-IP

    Un attaquant non-authentifié ayant accès à cette interface depuis le port de management ou une self-ip peut exécuter arbitrairement du code, créer et supprimer des fichiers ou lancer des commandes système.


    Voici les versions identifiées comme vulnérables :
  • V11.x : vulnérable de 11.6.1 à 11.6.5

  • V12.x : vulnérable de 12.1.0 à 12.1.5

  • V13.x : vulnérable de 13.1.0 à 13.1.3

  • V14.x : vulnérable de 14.1.0 à 14.1.2

  • V15.x : vulnérable de 15.0.0 à 15.1.0


  • Voici les versions qui patchent cette faille :

  • V11.x : patché en 11.6.5.2

  • V12.x : patché en 12.1.5.2

  • V13.x : patché en 13.1.3.4

  • V14.x : patché en 14.1.2.6

  • V15.x : patché en 15.1.0.4


  • Toutes les informations de l'éditeur sont disponibles sur le site de F5

    Vous ne pouvez pas patcher immédiatement? Nous vous recommandons vivement de suivre les mesures de mitigation proposées par F5


    • Pierre-Aymeric LEMARIE

      Pierre-Aymeric LEMARIE

      Support Security Engineer

    • Catégorie : Post-IT

      Date : 3 juillet 2020

      Mise à jour : 8 juillet 2020

    Microsoft alerte les hôpitaux ciblés par le ransomware « REvil » en période de crise COVID19


    La semaine dernière (mercredi 1er avril) Microsoft a effectué une notification ciblée, unique en son genre, pour alerter les hôpitaux sur la vulnérabilité de leurs infrastructures VPN.

    Selon Microsoft, le groupe malveillant derrière le ransomware REvil (Sodinokibi) exploite cette situation d’urgence pour cibler des hôpitaux. Ces entités, étant très vulnérable aux interruptions, la probabilité que ces derniers payent une rançon dans un court délai, augmente.

    Les techniques utilisées par ces groupes pour atteindre leurs cibles n’ont pas beaucoup évolué. Seul la part d’ingénierie sociale a été adaptée à la situation. En ces temps de crise lié au COVID19, les attaquants misent sur la peur et le besoin urgent d’information qui peut parfois faire oublier la méfiance et les précautions d’usage des utilisateurs.

    De plus, en cette période de confinement, les organisations ont dû mettre en place, souvent dans la hâte, des solutions pour rendre possible le télétravail. Ces entités n’ont pas forcément eu le temps ou les ressources pour contrôler l’état des infrastructures informatiques, qui sont ainsi exposées, ce qui en fait des cibles de choix. En effet, les attaquants derrière REvil sont connus pour avoir ciblé les vulnérabilités des Gateway Citrix ou du VPN Pulse Security révélées ces derniers mois.

    Microsoft a ainsi détecté, à travers ses services « Microsoft Threat Protection » (Microsoft Defender ATP, Office 365 ATP et Azure ATP), que le groupuscule derrière le ransomware REvil recherche activement des systèmes vulnérables exposés sur Internet. Ils ont également observé que des attaquant utilisent les fonctionnalités de mise à jour des clients VPN pour déployer des charges utiles malveillantes.

    Il convient donc, malgré ces temps de crise, que les utilisateurs des infrastructures informatiques restent vigilants!
    De plus, il est primordial que les équipes techniques et de sécurités veillent au suivi des mises à jour de sécurité des systèmes, ainsi qu’à l’application des bonnes pratiques sécuritaires de l’entreprise.

    Sources :
    - Microsoft works with healthcare organizations to protect from popular ransomware during COVID-19 crisis
    - REvil ransomware targets unpatched Pulse Secure VPN servers
    - Hackers target unpatched Citrix servers to deploy ransomware


    • Philippe Logean

      Philippe Logean

      Senior Security Engineer & CISO

    • Catégorie : Post-IT

      Date : 7 avril 2020

      Mise à jour : 7 avril 2020

    ALERTE VIGILANCE : Les pirates profitent du Coronavirus pour vous piéger !


    Comme à leur habitude, les pirates surfent sur l’actualité pour mieux vous attaquer. Ils se font passer pour des professionnels de la santé et démultiplient des campagnes de phishing basées sur la peur du Coronavirus.

    Du simple vol de vos identifiants à l’installation du cheval de Troie Emotet…

    Le Japon est à priori le premier pays touché par ces campagnes de phishing autour du Coronavirus. Les pirates envoient des mails qui se veulent informatifs, sur l’évolution de l’épidémie, sur la localisation des foyers à risque de la propagation du virus, voire même sur les remèdes contre le virus.

    Ils vous invitent à cliquer sur des liens et/ou à ouvrir des pièces jointes malicieuses. Derrière les liens se cachent des PDF infectés. Pièce jointe ou lien piégé, les deux installent le cheval de Troie Emotet. Le Malware Emotet est à ce jour l’un des malwares les plus coûteux et destructeur qui concerne autant les particuliers que les professionnels jusqu’aux administrations.

    Ne vous laissez pas duper !

    Tenté par l’envie de vous protéger, vous cliquez sur les liens et ouvrez les pièces jointes… Et voilà, le mal est fait !
    Comme pour le Coronavirus, faîtes preuve de vigilance à ne pas vous faire infecter.
    Si vous souhaitez des renseignements sur l’épidémie, préférez visiter directement les sites web officiels.

    Rappel des “Best Practices” face aux Phishing

    Le malware Emotet surfe sur la crainte des coronavirus et l’ONU piratée à Genève #veille (2 fév 2020)


    • Administrator

      Administrator

    • Catégorie : Post-IT

      Date : 27 février 2020

      Mise à jour : 27 février 2020

    Insight v3.3.0


    Dans sa nouvelle version, Insight se dote d'un système de dashboards dynamiques basé sur son language de requête, Insight Query Language (IQL).

    Il est possible de créer toute sorte de dashboards avec différents types de graphes (pie charts, bar charts, table, etc.) à partir des logs collectés par la solution. De plus, il est possibles de customizer ces graphes à l'aide d'un grand nombre d'option afin de controller leur couleur, taille, etc.

    En plus de ce module, cette release inclut de nombreuses améliorations:

    - Une fonctione de recherche jusqu'à 5 fois plus rapide sur certaines requêtes
    - Le support de fonctions d'agrégations dans le langage de requête (Insight Query Language)
    - Ajout de nouveaux filtres de recherches (aggregate, filter, ...)
    - La possibilité d'exécuter une une commande système ou une commande à travers SSH depuis le module d'alerting


    • Gilliek

      Gilliek

      Software Engineer

    • Catégorie : Post-IT

      Date : 4 février 2020

      Mise à jour : 4 février 2020

    TLS : Nouvelles restrictions « Apple »


    Vous connaissez tous les problématiques TLS qui engendrent des avertissements et autres popups sur certains navigateurs. Les plus connues étant :
    - SHA256 : interdiction d'utiliser SHA1 comme algorithme de hachage dans la signature des certificats par les autorités de certification.
    - Clé publique RSA d'une taille supérieure à 2048 bits
    - Présence obligatoire du FQDN dans les extensions Subject Alternative Names du certificat, la seule présence du FQDN dans le Common Name du certificat ne suffit plus.
    - Présence de l'extension "Server Authentication" dans l'attribut "Extended Key Usage" du certificat.

    Mais Apple rajoute sa cerise sur le gâteau.

    Tous les certificats émis après le 1 Juillet 2019 ayant une durée de vie supérieure à 825 jours ne seront plus considérés valides.

    Ceci touche les systèmes à partir de iOS 13, iPadOS 13, macOS 10.15.

    Le côté problématique de cette contrainte, est que l'impact ne sera immédiat.

    Illustration : un certificat SSL emis le 15 Juillet 2017 avec une durée de vie de 3 ans, sera valide jusqu'au 15 Juillet 2020. Si à ce moment il est renouvelé avec la même durée de vie, alors le certificat renouvelé ne fonctionnera plus sur les systèmes Apple mentionnés ci-dessus.

    Action à prendre :
    - Lister les certificats SSL ayant une durée de vie de plus de 825 jours (pour cela notre outil SSLCert peut être utile)
    - Les renouveler avec une durée de vie < 825 jours

    L'article Apple de référence :
    Requirements for trusted certificates in iOS 13 and macOS 10.15

    Article du blog sur SSLCert
    How to automate the discovery of SSL certificates ?


    • Yoann Le Corvic

      Yoann Le Corvic

      Senior Security Engineer  / CISM

    • Catégorie : Post-IT

      Date : 27 novembre 2019

      Mise à jour : 27 novembre 2019

    2019 DevCentral MVPs, trois nominations chez e-Xpert Solutions


    Nous avons l’honneur de compter trois nominations MVPs, F5 DevCentral de 2019.

    Félicitations à Jad Tabbara, Yann Desmarest et Youssef Rhazi qui affirment notre maîtrise des solutions F5 Networks ! Bravo à eux !

    Pour rappel, DevCentral est une communauté de F5 Networks dans laquelle les ingénieurs spécialisés participent pour aider les utilisateurs et contribuent à l’évolution des produits. Chaque année F5 Networks récompense les membres les plus actifs ayant de très bonnes compétences techniques en leur attribuant le statut de MVP.

    2019 DevCentral MVP Announcement
    Liste des MVPs


    • Administrator

      Administrator

    • Catégorie : Post-IT

      Date : 19 février 2019

      Mise à jour : 20 février 2019

    Pensez à mettre en place un suivi de vos devices !



    Le patch Tuesday de janvier est disponible !

    Notre partenaire Ivanti effectue des reviews mensuelles des updates proposés par Microsoft mais aussi par d'autres éditeurs (Adobe, Oracle, etc…). L’avantage est de mieux cibler les impacts de ces mises à jour d’autant que le patching des applications est tout aussi important que celui de l'OS.
    Par exemple :
    • Après son patch Tuesday en décembre, Microsoft a fait paraître un correctif important pour Internet explorer. Nous vous invitons d'ailleurs à le passer dès que possible (CVE-2018-8653).
    • Pour donner suite au changement de licensing d'Oracle pour Java, les mises à jour ne pourront plus être gérées par la solution Ivanti. Cependant il vous est toujours possible de télécharger le package et de le distribuer via l'agent mais cela est à votre initiative.

    Lien du webinar Ivanti


    • Nicolas

      Nicolas

      Support Security Engineer

    • Catégorie : Post-IT

      Date : 6 février 2019

      Mise à jour : 6 février 2019

    PICUS SECURITY, nouveau partenaire d’e-Xpert Solutions


    Picus Security est une solution qui permet d’éprouver et d’améliorer la sécurité informatique des entreprises.

    Déployée dans le système d’information, Picus Security est une technologie innovante qui permet de rendre plus efficace les opérations de contrôle de sécurité de façon continue et les processus de gestion des vulnérabilités des entreprises. De façon automatisée, la solution simule des attaques en temps réel depuis le réseau aux terminaux en passant par les passerelles de messagerie, les Firewall, les IPS, les WAF, etc.. L’objectif est de tester les moyens de défense mis en place et d’en mesurer leur efficacité. Cette simulation continue établit un état des lieux du niveau de sécurité et propose des mesures de mitigation concrète en fonction des équipements (de nombreux équipements sont supportés).
    Cela permet également de répondre à des problématiques techniques de gouvernance : KPI, Change control, Continue security monitoring, disponibilité de la sécurité, prévention des incidents, etc…

    À noter : La solution se déploie en quelques heures avec des premiers résultats pratiquement immédiats (Sous quelques minutes).

    Picus Security


    • Administrator

      Administrator

    • Catégorie : Post-IT

      Date : 4 février 2019

      Mise à jour : 7 février 2019

    Le DNS Flag Day arrive !


    QUE SE PASSE-T-IL ACTUELLEMENT ?
    Le protocole DNS dans sa version actuelle est lent et souffre de l'impossibilité de déployer de nouvelles fonctionnalités. Ceci est causé par l’implémentation actuelle de l’EDNS. Pour remédier à ces problèmes, les éditeurs de logiciels DNS ainsi que les grands fournisseurs DNS publics vont supprimer certaines solutions de contournement à compter du 1er février 2019.

    EDNS
    En anglais il s’agit d’Extension mechanisms for DNS (EDNS), c'est à dire une extension du protocole DNS qui permet d'augmenter la taille de certains paramètres. A l’heure actuelle, aucun code ne peut être ajouté dans l’en-tête DNS. L'identification d'une requête étendue est réalisée grâce à un pseudo code défini nommé RR. Les clients EDNS incluent ce RR pour indiquer qu'ils prennent en charge cette extension. Si le serveur ne prend pas en charge cette extension, ce RR sera ignoré, ce qui procure la rétrocompatibilité.

    QUE VA-T-IL SE PASSER LE 1ER FÉVRIER 2019 ?
    À compter du 1er février 2019, un traitement EDNS plus strict sera réalisé par les principaux fournisseurs DNS et ils désactiveront officiellement les solutions de contournement. Plus précisément, les versions suivantes introduisent cette modification :
    • BIND 9.13.3 (development) and 9.14.0 (production)
    • Knot Resolver already implemented stricter EDNS handling in all current versions
    • PowerDNS Recursor 4.2.0
    • Unbound 1.9.0

    Il s’agit principalement de la mise à jour de ces composants-ci. Il est néanmoins très important de se conformer aux normes qui vont entrer en vigueur.
    Pour tester si votre domaine DNS est conforme aux nouvelles implémentations il est possible d’effectuer un test via le lien suivant : https://ednscomp.isc.org/ednscomp
    Le résultat résumé des tests ednscomp doit de préférence être un message vert. Tout est OK.

    Sources :
    https://dnsflagday.net
    https://ednscomp.isc.org/ednscomp
    https://devcentral.f5.com/articles/lightboard-lessons-be-readydns-flag-day-is-coming-33222



    • Wojciech Myszkorowski

      Wojciech Myszkorowski

      Security Engineer

    • Catégorie : Post-IT

      Date : 31 janvier 2019

      Mise à jour : 4 février 2019

    Workspace One UEM – IMPORTANT : Changement de comportement pour Android 9 (Pie)


    Google a annoncé un changement dans le mode de fonctionnement de la gestion mobile à partir de Android 9 (Pie). A partir de cette version, l'enrôlement des smartphones Android devra passer par un profil "Android Enterprise" (aussi connu sous le nom "Android for Work"). Les premiers API dé-commissionnés par Google dans la version arrivant début 2019 sont les suivants :
    - USES_POLICY_DISABLE_CAMERA
    - USES_POLICY_DISABLE_KEYGUARD_FEATURES
    - USES_POLICY_EXPIRE_PASSWORD
    - USES_POLICY_LIMIT_PASSWORD

    Cela signifie par exemple, que les restrictions concernant l'appareil photo, ou le mot de passe ne pourront plus être gérées par Workspace One UEM sur les terminaux mis à jour en Android 9 (Pie).

    Quelle est la marche à suivre ?
    - Si possible, ne pas mettre à jour en Android 9 (Pie) dans l'immédiat, et avertir vos utilisateurs BYOD de ne pas mettre à jour leurs terminaux personnels (même si VMWare indique que la mise à jour ne provoque pas de désenrôlement).
    - Préparer la console et les profils nécessaires au nouveau mode d'enrôlement (créer des nouveaux profils "Android" reprenant les paramètres des profils existants "Android Legacy").
    - Pour tous les nouveaux enrôlements Android : utiliser le nouveau mode d'enrôlement Android Enterprise.
    - Pour les déploiements BYOD existants : il faudra prévoir un ré-enrôlement de tous les appareils concernés avec un "Work Profile". Ou alors accepter le fait que les paramètres dépréciés par Google ne seront plus gérables par la solution EMM et attendre le renouvellement du smartphone. Les versions suivantes d'Android vont très probablement impliquer la dépréciation d'autres paramètres.
    - Pour les déploiements CORPORATE existant : la solution BYOD peut être suffisante en fonction de vos exigences sécurité et fonctionnelles. Sinon l'approche "Work Managed" permet de prendre le contrôle total du terminal (plus intrusif donc). Dans tous les cas un ré-enrôlement est nécessaire.

    Il faudra gérer ce changement comme un projet, et nous restons à votre disposition pour vous accompagner dans cette migration.

    En attendant n'hésitez pas à consulter les liens ci-dessous qui pointent vers des ressources importantes de VMWare et Google sur le sujet.


    • Yoann Le Corvic

      Yoann Le Corvic

      Senior Security Engineer  / CISM

    • Catégorie : Post-IT

      Date : 7 janvier 2019

      Mise à jour : 7 janvier 2019

    Important news about AV and URL update servers [action required]


    For all customers of Clearswift - Secure Email Gateway

    In order to increase the capacity and performance of AV and URL lookup Clearswift will deploy new update servers in preparation for the next Gateway release due soon.

    If you have locked down access to these servers by IP address on your firewalls, then you must change your firewall settings to allow communication with these new servers. These new servers will be available from 25th October 2018

    Both sets of update servers will run in parallel for a period of time, but the old servers will be decommissioned on November 22nd 2018.

    A new set of Ports and Protocols documents can be found here for SEG

    Starting October 25th 2018

    Kaspersky update servers names Kaspersky update servers IPs
    kav-update-8-1.clearswift.net 185.155.104.24
    kav-update-8-2.clearswift.net 70.33.161.213
    kav-update-8-3.clearswift.net 185.155.104.25
    kav-update-8-4.clearswift.net  70.33.161.214
    Sophos update servers names Sophos update servers IPs
    sav-update-1.clearswift.net 185.155.104.24
    sav-update-2.clearswift.net 70.33.161.213
    sav-update-3.clearswift.net 185.155.104.25
    sav-update-4.clearswift.net  70.33.161.214

    Until November 22nd 2018

    Kaspersky update servers names Kaspersky update servers IPs
    kav-update-8-1.clearswift.net 184.72.245.1
    kav-update-8-2.clearswift.net 79.125.8.252
    kav-update-8-3.clearswift.net 175.41.136.7
    kav-update-8-4.clearswift.net 174.129.26.118
    kav-update-8-5.clearswift.net 176.34.251.142
    kav-update-8-6.clearswift.net 54.254.98.96
    Sophos update servers names Sophos update servers IPs
    sav-update-1.clearswift.net 184.72.245.1
    sav-update-2.clearswift.net 79.125.8.252
    sav-update-3.clearswift.net 175.41.136.7
    sav-update-4.clearswift.net 174.129.26.118
    sav-update-5.clearswift.net 176.34.251.142
    sav-update-6.clearswift.net 54.254.98.96

    If you need some assistance please contact e-Xpert Solution team

    SOURCE


    • Pierre-Aymeric LEMARIE

      Pierre-Aymeric LEMARIE

      Support Security Engineer

    • Catégorie : Post-IT

      Date : 6 novembre 2018

      Mise à jour : 6 novembre 2018

    Automatisation : Ansible et les modules F5


    Le rythme auquel les applications sont développées et déployées continue d'accélérer, apportant des avantages tangibles aux entreprises et à leurs clients.

    Pour aller de l’avant, les entreprises utilisent des modèles tels que"DevOps" pour améliorer les processus internes et l'automatisation pour accélérer l'execution des workflow de déploiements de services. Alors que le DevOps et l'automatisation sont de plus en plus courant pour les serveurs, la véritable automatisation des réseaux demeure difficile à réaliser pour la plupart.

    La structure d'automatisation d'Ansible inclut un support natif pour les périphériques réseau existants et ouverts. Ce framework sépare le Playbook du moteur Ansible, permettant à vos automatismes Ansible de couvrir tous vos équipements réseaux.

    Les administrateurs des produits F5 peuvent automatiser et orchestrer les configurations et déploiements avec la solution Ansible via une série d'intégrations avec les modules appelés API F5 BIG-IP. Ces modules tirent parti du support complet de l'API REST iControl implémentée sur les plateformes F5 BIG-IP.

    Les modules F5 Ansible permettent la plupart des cas d'utilisation courants, tels que :
    - Automatisation des configurations de base : DNS, NTP, syslog, …
    - Automatisation des paramètres réseau (VLAN, Self-Ips, route domain, …)
    - Déploiement automatisé d'applications.
    - Gestion des objets Virtual Servers, Pools, Moniteurs, etc.

    Pour plus d’informations veuillez cliquer sur les liens ci-dessous :
    - F5 Support Policy
    - Ansible - List of Network Modules


    • Youssef

      Youssef

      Senior Security Engineer  

    • Catégorie : Post-IT

      Date : 6 août 2018

      Mise à jour : 8 août 2018

    Chrome 68 : Les sites HTTP sont marqués « Not secure »


    Google étant un fervent défenseur de l'Internet sécurisé et chiffré, il va un pas en avant dans sa démarche de promotion du chiffrement des sites web.

    Après avoir décidé d'impacter négativement le ranking SEO des sites HTTP, le géant du web a décidé de marquer les sites non chiffrés par la mention "Not secure" dans la barre de navigation du browser.

    A partir de Chrome 70, les sites HTTPs n'auront plus le droit à une mention "Secure" puisque Google considère qu'HTTPs est la nouvelle norme.


    • Yann Desmarest

      Yann Desmarest

      Innovation Center Manager

    • Catégorie : Post-IT

      Date : 4 août 2018

      Mise à jour : 6 août 2018

    Rate Limiting basé sur les Access Tokens


    La mise en place d'une fonction de Rate Limiting permet de réduire les risques d'abus d'utilisation des APIs. En utilisant OAuth 2.0 pour gérer les autorisations d'accès, nous avons l'opportunité de définir un rate limit par ACCESS TOKEN délivré.

    Si un client effectue trop de requêtes sur l'API, il reçoit alors une réponse "429 Too much requests" avec le contenu JSON ci-dessous :

    { 
        "x-rate-limit-limit": 1000,
        "x-rate-limit-remaining": 0,
        "x-rate-limit-reset": 100
    }

    Dans l'exemple ci-dessus, le client a épuisé son quota de 1000 requêtes et doit attendre 100 secondes avant de pouvoir effectuer de nouveau des requêtes.

    En s'appuyant sur la solution F5 BIG-IP et les iRules, nous avons conçu un service de Rate Limit pour les APIs protégées avec OAuth 2.0. Le code source est disponible sur le site devcentral.f5.com


    • Yann Desmarest

      Yann Desmarest

      Innovation Center Manager

    • Catégorie : Post-IT

      Date : 13 juillet 2018

      Mise à jour : 13 juillet 2018

    RGPD sonne-t-il le glas de WHOIS?


    Tout le monde connait Whois : une base décentralisée recensant des informations concernant les propriétaires des noms de domaine. Très utile pour les responsables sécurité afin d'identifier les point de contacts liés à un domaine :
    - le contact "abuse" (en cas d'attaques/spam/phishing provenant d'un domaine par exemple)
    - les contacts techniques et administratifs responsables d'un domaine.

    Sauf que ( RGPD ) est passé par là, et les nouvelles exigences ont un impact sur ce service.

    L'EPAG, bureau d'enregistrement allemand, a décidé de ne plus collecter les contacts administratifs et techniques car il considère que la collecte n'est pas conforme à RGPD.

    L'ICANN a insisté en déposant un injonction aux tribunaux Allemands pour forcer l'EPAG a maintenir la collecte. Demande rejetée par le tribunal de Bonn, donnant raison à l'EPAG, et confirmant que la collecte sous sa forme actuelle n'est pas conforme à RGPD. L'ICANN a fait appel....

    A suivre car si la décision est confirmée, c'est l'avenir de ce service historique d'Internet qui est incertain !


    • Yoann Le Corvic

      Yoann Le Corvic

      Senior Security Engineer  / CISM

    • Catégorie : Post-IT

      Date : 11 juillet 2018

      Mise à jour : 11 juillet 2018

    Faille au niveau des e-mails chiffrés, les pirates lisent vos mails secrets !


    La faille EFAIL permet à un attaquant de lire le contenu d’un email préalablement chiffré. Cette vulnérabilité se situe au niveau de l’implémentation des protocoles OpenPGP et S/MIME. Certains des clients de messagerie prenant en charge ces standards sont vulnérables aux attaques de type « Direct Exfiltration » et "CBC/CFB Gadget".

    Orange : Soyez très vigilants !
    Type d'alerte : Faille de sécurité et atteinte à la confidentialité des données.
    Prérequis d'intervention : Expert en intégration de solutions de chiffrement et administrateur système en charge des mises à jour.

    Comment ça marche ?
    - Le pirate a accès à un email chiffré (dans le cadre d’une attaque tierce),
    - Le pirate envoie un email contenant une charge malicieuse,
    - La victime ouvre l’email,
    - L’ouverture déclenche le contenu malveillant,
    - Le mail est renvoyé en clair à l’attaquant.

    Concrètement le pirate injecte un élément HTML de type image qui une fois restitué par le client de messagerie, envoie le texte en clair en forgeant une requête HTTP vers le site de l'attaquant.

    Dans l’attaque de type « Direct Exfiltration », certains clients de messagerie électronique, qui n'isolent pas les différentes parties MIME d'un message, permettent aux pirates d'englober un message chiffré entre deux blocs MIME en clair. Une fois déchiffrée et restituée par le client de messagerie, les données sont renvoyées à l’attaquant.

    Conseil de nos experts !
    Les vulnérabilités révélées sous le nom EFAIL affectent les implémentations et le fonctionnement des différents clients de messagerie. Pour minimiser le risque, nous vous conseillons les étapes suivantes :
    - Désactiver le rendu du contenu HTML dans les e-mails,
    - Désactiver le déchiffrement automatique des e-mails,
    - Appliquer les patchs de sécurité visant à corriger ces vulnérabilités dans les clients de messagerie,
    - Utiliser des solutions externes comme TotemoMail pour réaliser le déchiffrement des e-mails, cette solution n’étant pas affectée.


    • Michael Molho

      Michael Molho

      Senior Security Engineer

    • Catégorie : Post-IT

      Date : 8 juillet 2018

      Mise à jour : 10 juillet 2018

    Qu’est ce qu’un WAF ?


    Le WAF est un acronyme pour Web Application Firewall (ou Pare-feu Applicatif en Francais). C’est une solution de sécurité informatique permettant de protéger les applications web et se présentant sous forme d’appliance ou de machine virtuelle.

    Leur rôle est d’analyser les flux HTTP et HTTPs pour bloquer les tentatives d’attaques sur les applications. Dans l’architecture réseau, le WAF est positionné entre les utilisateurs et les serveurs hébergeant les applications.

    Il intègre très souvent des protections contre :

    - Les menaces du Top 10 OWASP,
    - Les dénis de service applicatifs,
    - Les robots,
    - Les Brute Forces.

    Certaines solutions fournissent également des tableaux de bords permettant de contrôler le niveau de conformité des politiques de sécurité implémentées avec des standards comme PCI par exemple.


    • Yann Desmarest

      Yann Desmarest

      Innovation Center Manager

    • Catégorie : Post-IT

      Date : 15 avril 2018

      Mise à jour : 10 juillet 2018

    Qu’est ce qu’un Deni de Service ?


    Le Déni de service aussi appelé DoS (pour Denial of Service) est un type d’attaque informatique qui vise à rendre un service ou un réseau inaccessible. Il existe plusieurs catégories de dénis de service :

    - Volumétrique : L’attaquant envoi un grand nombre de données vers sa cible pour saturer la bande passante réseau. Il est très facile à lancer et des compétences techniques pointues ne sont pas nécessaires. C’est le type de DoS le plus couramment utilisé. Le record du monde est actuellement détenu par Github qui a subit une attaque de près de 1.35 Tbps.

    - Protocole : Avec ce type d’attaque, le pirate exploite des faiblesses sur les protocoles. L’attaquant va par exemple générer un très grand nombre de sessions TCP pour saturer les tables de sessions des équipements réseaux ou des Firewalls. L’attaque SYN Flood fait parti de cette catégorie.

    - Applicatif : L’attaquant exploite une vulnérabilité ou une faiblesse sur le l’application jusqu'à saturer les ressources CPU, RAM, Disque, … sur la cible. Ce type d’attaque requiert bien souvent des compétences plus avancées et une bonne connaissance de l’environnement constituant la cible.

    Le déni de service fait des milliers de victimes par année. Le botnet Mirai est un exemple concret de systèmes malicieux permettant de lancer des attaques DoS de très grande ampleur.


    • Yann Desmarest

      Yann Desmarest

      Innovation Center Manager

    • Catégorie : Post-IT

      Date : 5 février 2018

      Mise à jour : 10 juillet 2018