Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

VMWare Workpace One UEM and Azure Conditional Access


De nombreuses entreprises réfléchissent aux alternatives Cloud pour la gestion de leur IT, et Microsoft Azure fait figure de "candidat" leader pour l'hébergement d'environnements IT complets dans le Cloud. Biensur cela concerne le socle habituel (Messagerie, Documents Office, ActiveDirectory, Stockage...), mais la mobilité est aussi un composant critique à prendre en compte : les accès aux ressources via les smartphones et tablettes étant de plus en plus fréquents.

Une des forces d'Azure, en terme de fonctionnalités sécurité, est le Condtional Access. Cette fonction permet d'assurer un contrôle d'accès aux ressources de l'entreprise en fonction de paramètres spécifiques à l'équipement utilisé. Par exemple, on peut autoriser les accès uniquement pour des terminaux "connus" de l'entreprise et enrôlés dans une solutions UEM (Unified Endpoint Management) comme Workspace One UEM ou InTune.

Nous parlerons ici du premier cas (VMWare Workspace One UEM), en particulier pour les clients qui ont déjà la solution déployée ou qui on un projet en ce sens. L'objectif est d'informer sur une fonctionnalité intégrée a Microsoft Azure, permettant d'utiliser Workspace One UEM comme système de confiance pour l'implémentation du Conditional Access dans Azure : seul un terminal enrôlé dans Workspace One UEM et compliant pourra accéder aux ressources de l'entreprise.

Cela passe par la notion de Compliance Partner dans Azure. En ajoutant un connecteur vers votre environnement Workspace One UEM dans votre Tenant Azure, les terminaux enrôlés seront reconnus dans le monde "Azure".

Les informations détaillées, côté VMWare Workspace One UEM : https://blogs.vmware.com/euc/2020/11/device-compliance-data.html?utm_source=rss&utm_medium=rss&utm_campaign=device-compliance-dataurl (avec une courte video présentant l'expérience utilisateur pour iOs)

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Directory_Service_Integration/GUID-800FB831-AA66-4094-8F5A-FA5899A3C70C.html

et côté Azure : https://docs.microsoft.com/en-us/mem/intune/protect/device-compliance-partners

Par ailleurs, une autre fonctionnalité existante depuis déjà longtemps peut compléter la boite à outil sécurité : l'intégration Microsoft Intune App protection Policies, en permettant une gestion depuis une console unique des politques DLP liées aux applications Office 365.

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/Intune_Integration/GUID-AWT-OFFICE365.html

N'hésitez pas a nous solliciter pour toute question et assistance pour tester et implémenter ces mécanismes.


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 3 décembre 2020

    Mise à jour : 3 décembre 2020

RAPPELS : Composants Mobilite de VMWare en fin de vie.



L'écosystème Workspace One étant vaste, un petit rappel des composants qui arrivent (ou sont arrivés) en fin de vie.

Workspace One UEM : Version 1905. Fin de support annoncé pour 30 Novembre 2020.

Personal Content : Fin de support depuis Janvier 2020, mais les menus étaient encore présents dans les apps mobiles. Attention, la dernière release des apps Content pour Android et iOs suppriment le menu Personal Content. Par ailleurs, plus de support pour la partie Content Sync pour Windows et MacOS

Content Locker for Windows : Fin de support 31 Juillet 2021

AirWatch Container : Fin de support depuis le 30 Aout 2020

Android Legacy Enrollments : Fin de support le 31 Mars 2022. Avant cette date, tous les Androids doivent être passés sous Android Enterprise pour l'enrôlement, après avoir lié votre environnement Workspace One UEM à Google.

Workspace One Application : Fin de support 11 Aout 2021. Avant cette date, il faudra que les terminaux utilisants cette application soient migrés vers Intelligent Hub.

VMware Advanced Remote Management 4.4 et 5.0 : Fin de support depuis le 1er Juillet 2020, et remplacé par Workspace One Assist.

Par ailleurs, n'oubliez pas la fin de vie de l'ancien système de PUSH Notification d'Apple annoncée dans un précédent post.


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 5 octobre 2020

    Mise à jour : 5 octobre 2020

Workspace One UEM et Apple Push Notifications


Apple modifie le mode de fonctionnement pour l'envoie de "Push Notifications" en passant d'un protocole TCP à une connexion HTTP/2. Vous trouverez tous les détails ici. Ce changement est annoncé depuis longtemps, mais l'échéance approchant, certaines vérifications s'imposent.

L'ancien système sera complètement arrêté en Novembre 2020.

Pour les clients ayant une installation On Premise de Workspace One UEM, vous devez vous assurer avant cette date que votre version est compatible. Le premier critère est que la version de Workspace One UEM doit être 19.05 ou >. Vous trouverez le détail des versions (et patch levels) supportés ici.

Notez par ailleurs que bien que ce flux soit en HTTP/2, les contraintes d'authentification Apple (par certificat) impose une connectivité directe entre les serveurs Workspace One UEM (Device Services, Console Server) et les serveurs PUSH d'Apple, sans passage par un proxy Web.


  • Yoann Le Corvic

    Yoann Le Corvic

    Senior Security Engineer  / CISM

  • Catégorie : Post-IT

    Date : 3 août 2020

    Mise à jour : 3 août 2020

CheckPoint R80.40


Nous vous proposons de retrouver ici la liste des nouveautés majeurs de la version r80.40 de Check Point !

L'utilisation du noyau Linux 3.10 permet les améliorations suivantes

  • Changement du système de gestion des partitions : Passage du MBR au GPT
  • Suppression de la limite de taille des disques (2 To max en MBR)
  • Suppression de la limite du nombre de partitions
  • Distribution de la table de partition à plusieurs emplacement sur le disque
  • Vérification de l'intégrité (gestion réelle du CRC)

  • Changement de système de fichier

  • XFS remplace EXT3
  • XFS délivre notamment les améliorations suivantes
  • Augmentation des capacités I/O grace à la paralelisation des taches de lecture / ecriture disque
  • Meilleure gestion des inodes


    Notes : Afin de profiter de l'ensemble des améliorations apportéées par la version R80.40, il est nécessaire de réaliser une migration avancée (migrate export / migrate import).


    Enrichissement des statistiques CPVIEW

  • Ajout des statistiques par VS
  • Détails des statistiques de NAT
  • Amélioration de la visibilité concernant l'activité des différentes Blades


    Update RPMs Un grand nombre de packages RPM sont mis à jour. Note : La version de BASH est mise à jour de 3.1-16 vers 4.2-47 : Vérifiez la compatibilité de vos scripts BASH.


  • Possibilté de paramétrer un domain d'encryption par communauté VPN

  • Support du SMBv3 multichannel
  • Support de l'inspection SSH sur les flux entrants
  • Support du protocol http2

  • Interface de configuration intégrée au SmartConsole en tant que layer
    Notes : Certaines configurations avancées (gestion des autorités de confiance notamment) nécessitent encore l'utilisation de l'ancienne interface
  • Prise en charge des objets dynamiques (Updatable Objects et Domain Objects)
  • Contrôle de cohérence des catégories lors de l'utlisation du SNI (Server Name Indication) afin de limiter le risque de contournement de la politique de filtrage Web.

  • Les instances SND et FW_workers sont distribuées dynamiquement, permettant l'adaptation au conditions réelles d'utilisation :

  • A intervalle de temps réguliers, le système évalue le gain de perfomance potentiel en cas de redistribution des ressources CPU.
  • Cette amélioration permet notamment de basculer automatiquement d'une matrice de distribution "Daily" (forte activité utilisateur, souvent caractérisée par une consommation élevée des ressources par les blades d'analyse avancée) à une matrice orientée "Out of working hours" (forte activité de backup et flux techniques, principalement pris en charge par la blade FW) Notes :
  • Cette amélioration n'est pas supportée sur les environnements VSX
  • La modification manuelle des paramètres CoreXL via l'outil "cpconfig" entraine la désactivation complète du processus automatique
  • La version R80.40 implémente par défaut le CCP (Cluster Control Protocol) en mode Unicast

  • Diminution la consommation de ressources réseau par rapport aux modes Broadcast et Multicast
  • Simplicité d'implémentation par rapport au mode Multicast, qui nécessite une configuration sur les switchs

    Première version du mode ClusterXL "Active-Active"

  • Chaque membre porte ses propres IPs, pas de VIP configurée
  • La distribution des flux est réalisée par le routage dynamique et des load balancer externes
  • A termes, capacité à déployer des Cluster "L3" multilocalisés

  • Support des identity provider SAMLv2

  • Généralisation du modèle PDP Broker permettant le partage d'identités entre gateways managés par des SMS ou MDS différents
  • Nouvelle version de l'agent MultiHost (MUHv2)

    Changement du modèle d'identification et de propagation des sessions utilisateurs sur les systèmes multi-users (Terminal Servers).

  • L'identifiant de chaque utilisateur est désormais inséré dans l'entête IP de chaque paquet (utilisation du champ "identification" décrit dans la RFC 791) Amélioration des performances
  • MUHv2 supporte jusqu'à 256 utilisateurs par machine (seulement une vingtaine en v1)
  • Les PDP supportent jusqu'à 50 clients MUHv2 (seulement 5 en v1)
    Amélioration du processus RAD (Resource Advisor) utilisé lors de l'interrogation des bass de données Cloud (réputation, catégorisation...) Performance
  • Le processus fonctionne désormais en multi-threat (jusqu'à 32 instances)
  • Statistiques RAD disponibles via CPVIEW
  • Logs détaillés disponibles dans $FWDIR/log/rad_events

  • Modèle de service "semi-managé" permettant l'implémentation de politiques de Threat Prevention basées sur des templates prédéfinis par Check Point Le client ne peut pas modifier la politique. mais peut ajouter des exceptions

    Amélioration de la prise en charge IoT

  • Collecte des attributs IoT depuis une liste de fournisseurs certifiés
  • Identification automatique des protections à appliquer, permettant notamment une approche "virtual patching" afin de sécuriser les flux des systèmes IoT souvent non pacthabhes


    • ECLIPSE

      ECLIPSE

      Senior Security Engineer  

    • Catégorie : Post-IT

      Date : 4 juillet 2020

      Mise à jour : 6 juillet 2020

    F5 – CVE Critique CVE-2020-5902


    La vulnérabilité critique CVE-2020-5902 a été patché, cette vulnérabilité concerne la Traffic Management User Interface (TMUI) de BIG-IP

    Un attaquant non-authentifié ayant accès à cette interface depuis le port de management ou une self-ip peut exécuter arbitrairement du code, créer et supprimer des fichiers ou lancer des commandes système.


    Voici les versions identifiées comme vulnérables :
  • V11.x : vulnérable de 11.6.1 à 11.6.5

  • V12.x : vulnérable de 12.1.0 à 12.1.5

  • V13.x : vulnérable de 13.1.0 à 13.1.3

  • V14.x : vulnérable de 14.1.0 à 14.1.2

  • V15.x : vulnérable de 15.0.0 à 15.1.0


  • Voici les versions qui patchent cette faille :

  • V11.x : patché en 11.6.5.2

  • V12.x : patché en 12.1.5.2

  • V13.x : patché en 13.1.3.4

  • V14.x : patché en 14.1.2.6

  • V15.x : patché en 15.1.0.4


  • Toutes les informations de l'éditeur sont disponibles sur le site de F5

    Vous ne pouvez pas patcher immédiatement? Nous vous recommandons vivement de suivre les mesures de mitigation proposées par F5


    • Pierre-Aymeric LEMARIE

      Pierre-Aymeric LEMARIE

      Support Security Engineer

    • Catégorie : Post-IT

      Date : 3 juillet 2020

      Mise à jour : 8 juillet 2020

    Microsoft alerte les hôpitaux ciblés par le ransomware « REvil » en période de crise COVID19


    La semaine dernière (mercredi 1er avril) Microsoft a effectué une notification ciblée, unique en son genre, pour alerter les hôpitaux sur la vulnérabilité de leurs infrastructures VPN.

    Selon Microsoft, le groupe malveillant derrière le ransomware REvil (Sodinokibi) exploite cette situation d’urgence pour cibler des hôpitaux. Ces entités, étant très vulnérable aux interruptions, la probabilité que ces derniers payent une rançon dans un court délai, augmente.

    Les techniques utilisées par ces groupes pour atteindre leurs cibles n’ont pas beaucoup évolué. Seul la part d’ingénierie sociale a été adaptée à la situation. En ces temps de crise lié au COVID19, les attaquants misent sur la peur et le besoin urgent d’information qui peut parfois faire oublier la méfiance et les précautions d’usage des utilisateurs.

    De plus, en cette période de confinement, les organisations ont dû mettre en place, souvent dans la hâte, des solutions pour rendre possible le télétravail. Ces entités n’ont pas forcément eu le temps ou les ressources pour contrôler l’état des infrastructures informatiques, qui sont ainsi exposées, ce qui en fait des cibles de choix. En effet, les attaquants derrière REvil sont connus pour avoir ciblé les vulnérabilités des Gateway Citrix ou du VPN Pulse Security révélées ces derniers mois.

    Microsoft a ainsi détecté, à travers ses services « Microsoft Threat Protection » (Microsoft Defender ATP, Office 365 ATP et Azure ATP), que le groupuscule derrière le ransomware REvil recherche activement des systèmes vulnérables exposés sur Internet. Ils ont également observé que des attaquant utilisent les fonctionnalités de mise à jour des clients VPN pour déployer des charges utiles malveillantes.

    Il convient donc, malgré ces temps de crise, que les utilisateurs des infrastructures informatiques restent vigilants!
    De plus, il est primordial que les équipes techniques et de sécurités veillent au suivi des mises à jour de sécurité des systèmes, ainsi qu’à l’application des bonnes pratiques sécuritaires de l’entreprise.

    Sources :
    - Microsoft works with healthcare organizations to protect from popular ransomware during COVID-19 crisis
    - REvil ransomware targets unpatched Pulse Secure VPN servers
    - Hackers target unpatched Citrix servers to deploy ransomware


    • Philippe Logean

      Philippe Logean

      Senior Security Engineer & CISO

    • Catégorie : Post-IT

      Date : 7 avril 2020

      Mise à jour : 7 avril 2020

    ALERTE VIGILANCE : Les pirates profitent du Coronavirus pour vous piéger !


    Comme à leur habitude, les pirates surfent sur l’actualité pour mieux vous attaquer. Ils se font passer pour des professionnels de la santé et démultiplient des campagnes de phishing basées sur la peur du Coronavirus.

    Du simple vol de vos identifiants à l’installation du cheval de Troie Emotet…

    Le Japon est à priori le premier pays touché par ces campagnes de phishing autour du Coronavirus. Les pirates envoient des mails qui se veulent informatifs, sur l’évolution de l’épidémie, sur la localisation des foyers à risque de la propagation du virus, voire même sur les remèdes contre le virus.

    Ils vous invitent à cliquer sur des liens et/ou à ouvrir des pièces jointes malicieuses. Derrière les liens se cachent des PDF infectés. Pièce jointe ou lien piégé, les deux installent le cheval de Troie Emotet. Le Malware Emotet est à ce jour l’un des malwares les plus coûteux et destructeur qui concerne autant les particuliers que les professionnels jusqu’aux administrations.

    Ne vous laissez pas duper !

    Tenté par l’envie de vous protéger, vous cliquez sur les liens et ouvrez les pièces jointes… Et voilà, le mal est fait !
    Comme pour le Coronavirus, faîtes preuve de vigilance à ne pas vous faire infecter.
    Si vous souhaitez des renseignements sur l’épidémie, préférez visiter directement les sites web officiels.

    Rappel des “Best Practices” face aux Phishing

    Le malware Emotet surfe sur la crainte des coronavirus et l’ONU piratée à Genève #veille (2 fév 2020)


    • Administrator

      Administrator

    • Catégorie : Post-IT

      Date : 27 février 2020

      Mise à jour : 27 février 2020

    Insight v3.3.0


    Dans sa nouvelle version, Insight se dote d'un système de dashboards dynamiques basé sur son language de requête, Insight Query Language (IQL).

    Il est possible de créer toute sorte de dashboards avec différents types de graphes (pie charts, bar charts, table, etc.) à partir des logs collectés par la solution. De plus, il est possibles de customizer ces graphes à l'aide d'un grand nombre d'option afin de controller leur couleur, taille, etc.

    En plus de ce module, cette release inclut de nombreuses améliorations:

    - Une fonctione de recherche jusqu'à 5 fois plus rapide sur certaines requêtes
    - Le support de fonctions d'agrégations dans le langage de requête (Insight Query Language)
    - Ajout de nouveaux filtres de recherches (aggregate, filter, ...)
    - La possibilité d'exécuter une une commande système ou une commande à travers SSH depuis le module d'alerting


    • Gilliek

      Gilliek

      Software Engineer

    • Catégorie : Post-IT

      Date : 4 février 2020

      Mise à jour : 4 février 2020

    TLS : Nouvelles restrictions « Apple »


    Vous connaissez tous les problématiques TLS qui engendrent des avertissements et autres popups sur certains navigateurs. Les plus connues étant :
    - SHA256 : interdiction d'utiliser SHA1 comme algorithme de hachage dans la signature des certificats par les autorités de certification.
    - Clé publique RSA d'une taille supérieure à 2048 bits
    - Présence obligatoire du FQDN dans les extensions Subject Alternative Names du certificat, la seule présence du FQDN dans le Common Name du certificat ne suffit plus.
    - Présence de l'extension "Server Authentication" dans l'attribut "Extended Key Usage" du certificat.

    Mais Apple rajoute sa cerise sur le gâteau.

    Tous les certificats émis après le 1 Juillet 2019 ayant une durée de vie supérieure à 825 jours ne seront plus considérés valides.

    Ceci touche les systèmes à partir de iOS 13, iPadOS 13, macOS 10.15.

    Le côté problématique de cette contrainte, est que l'impact ne sera immédiat.

    Illustration : un certificat SSL emis le 15 Juillet 2017 avec une durée de vie de 3 ans, sera valide jusqu'au 15 Juillet 2020. Si à ce moment il est renouvelé avec la même durée de vie, alors le certificat renouvelé ne fonctionnera plus sur les systèmes Apple mentionnés ci-dessus.

    Action à prendre :
    - Lister les certificats SSL ayant une durée de vie de plus de 825 jours (pour cela notre outil SSLCert peut être utile)
    - Les renouveler avec une durée de vie < 825 jours

    L'article Apple de référence :
    Requirements for trusted certificates in iOS 13 and macOS 10.15

    Article du blog sur SSLCert
    How to automate the discovery of SSL certificates ?


    • Yoann Le Corvic

      Yoann Le Corvic

      Senior Security Engineer  / CISM

    • Catégorie : Post-IT

      Date : 27 novembre 2019

      Mise à jour : 27 novembre 2019

    2019 DevCentral MVPs, trois nominations chez e-Xpert Solutions


    Nous avons l’honneur de compter trois nominations MVPs, F5 DevCentral de 2019.

    Félicitations à Jad Tabbara, Yann Desmarest et Youssef Rhazi qui affirment notre maîtrise des solutions F5 Networks ! Bravo à eux !

    Pour rappel, DevCentral est une communauté de F5 Networks dans laquelle les ingénieurs spécialisés participent pour aider les utilisateurs et contribuent à l’évolution des produits. Chaque année F5 Networks récompense les membres les plus actifs ayant de très bonnes compétences techniques en leur attribuant le statut de MVP.

    2019 DevCentral MVP Announcement
    Liste des MVPs


    • Administrator

      Administrator

    • Catégorie : Post-IT

      Date : 19 février 2019

      Mise à jour : 20 février 2019