Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
En cochant cette case, vous acceptez notre politique de confidentialité disponible en cliquant ici
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

CheckPoint R80.40


Nous vous proposons de retrouver ici la liste des nouveautés majeurs de la version r80.40 de Check Point !

L'utilisation du noyau Linux 3.10 permet les améliorations suivantes

  • Changement du système de gestion des partitions : Passage du MBR au GPT
  • Suppression de la limite de taille des disques (2 To max en MBR)
  • Suppression de la limite du nombre de partitions
  • Distribution de la table de partition à plusieurs emplacement sur le disque
  • Vérification de l'intégrité (gestion réelle du CRC)

  • Changement de système de fichier

  • XFS remplace EXT3
  • XFS délivre notamment les améliorations suivantes
  • Augmentation des capacités I/O grace à la paralelisation des taches de lecture / ecriture disque
  • Meilleure gestion des inodes


    Notes : Afin de profiter de l'ensemble des améliorations apportéées par la version R80.40, il est nécessaire de réaliser une migration avancée (migrate export / migrate import).


    Enrichissement des statistiques CPVIEW

  • Ajout des statistiques par VS
  • Détails des statistiques de NAT
  • Amélioration de la visibilité concernant l'activité des différentes Blades


    Update RPMs Un grand nombre de packages RPM sont mis à jour. Note : La version de BASH est mise à jour de 3.1-16 vers 4.2-47 : Vérifiez la compatibilité de vos scripts BASH.


  • Possibilté de paramétrer un domain d'encryption par communauté VPN

  • Support du SMBv3 multichannel
  • Support de l'inspection SSH sur les flux entrants
  • Support du protocol http2

  • Interface de configuration intégrée au SmartConsole en tant que layer
    Notes : Certaines configurations avancées (gestion des autorités de confiance notamment) nécessitent encore l'utilisation de l'ancienne interface
  • Prise en charge des objets dynamiques (Updatable Objects et Domain Objects)
  • Contrôle de cohérence des catégories lors de l'utlisation du SNI (Server Name Indication) afin de limiter le risque de contournement de la politique de filtrage Web.

  • Les instances SND et FW_workers sont distribuées dynamiquement, permettant l'adaptation au conditions réelles d'utilisation :

  • A intervalle de temps réguliers, le système évalue le gain de perfomance potentiel en cas de redistribution des ressources CPU.
  • Cette amélioration permet notamment de basculer automatiquement d'une matrice de distribution "Daily" (forte activité utilisateur, souvent caractérisée par une consommation élevée des ressources par les blades d'analyse avancée) à une matrice orientée "Out of working hours" (forte activité de backup et flux techniques, principalement pris en charge par la blade FW) Notes :
  • Cette amélioration n'est pas supportée sur les environnements VSX
  • La modification manuelle des paramètres CoreXL via l'outil "cpconfig" entraine la désactivation complète du processus automatique
  • La version R80.40 implémente par défaut le CCP (Cluster Control Protocol) en mode Unicast

  • Diminution la consommation de ressources réseau par rapport aux modes Broadcast et Multicast
  • Simplicité d'implémentation par rapport au mode Multicast, qui nécessite une configuration sur les switchs

    Première version du mode ClusterXL "Active-Active"

  • Chaque membre porte ses propres IPs, pas de VIP configurée
  • La distribution des flux est réalisée par le routage dynamique et des load balancer externes
  • A termes, capacité à déployer des Cluster "L3" multilocalisés

  • Support des identity provider SAMLv2

  • Généralisation du modèle PDP Broker permettant le partage d'identités entre gateways managés par des SMS ou MDS différents
  • Nouvelle version de l'agent MultiHost (MUHv2)

    Changement du modèle d'identification et de propagation des sessions utilisateurs sur les systèmes multi-users (Terminal Servers).

  • L'identifiant de chaque utilisateur est désormais inséré dans l'entête IP de chaque paquet (utilisation du champ "identification" décrit dans la RFC 791) Amélioration des performances
  • MUHv2 supporte jusqu'à 256 utilisateurs par machine (seulement une vingtaine en v1)
  • Les PDP supportent jusqu'à 50 clients MUHv2 (seulement 5 en v1)
    Amélioration du processus RAD (Resource Advisor) utilisé lors de l'interrogation des bass de données Cloud (réputation, catégorisation...) Performance
  • Le processus fonctionne désormais en multi-threat (jusqu'à 32 instances)
  • Statistiques RAD disponibles via CPVIEW
  • Logs détaillés disponibles dans $FWDIR/log/rad_events

  • Modèle de service "semi-managé" permettant l'implémentation de politiques de Threat Prevention basées sur des templates prédéfinis par Check Point Le client ne peut pas modifier la politique. mais peut ajouter des exceptions

    Amélioration de la prise en charge IoT

  • Collecte des attributs IoT depuis une liste de fournisseurs certifiés
  • Identification automatique des protections à appliquer, permettant notamment une approche "virtual patching" afin de sécuriser les flux des systèmes IoT souvent non pacthabhes


    • ECLIPSE

      ECLIPSE

      Senior Security Engineer  

    • Catégorie : Post-IT

      Date : 4 juillet 2020

      Mise à jour : 6 juillet 2020

    F5 – CVE Critique CVE-2020-5902


    La vulnérabilité critique CVE-2020-5902 a été patché, cette vulnérabilité concerne la Traffic Management User Interface (TMUI) de BIG-IP

    Un attaquant non-authentifié ayant accès à cette interface depuis le port de management ou une self-ip peut exécuter arbitrairement du code, créer et supprimer des fichiers ou lancer des commandes système.


    Voici les versions identifiées comme vulnérables :
  • V11.x : vulnérable de 11.6.1 à 11.6.5

  • V12.x : vulnérable de 12.1.0 à 12.1.5

  • V13.x : vulnérable de 13.1.0 à 13.1.3

  • V14.x : vulnérable de 14.1.0 à 14.1.2

  • V15.x : vulnérable de 15.0.0 à 15.1.0


  • Voici les versions qui patchent cette faille :

  • V11.x : patché en 11.6.5.2

  • V12.x : patché en 12.1.5.2

  • V13.x : patché en 13.1.3.4

  • V14.x : patché en 14.1.2.6

  • V15.x : patché en 15.1.0.4


  • Toutes les informations de l'éditeur sont disponibles sur le site de F5

    Vous ne pouvez pas patcher immédiatement? Nous vous recommandons vivement de suivre les mesures de mitigation proposées par F5


    • Pierre-Aymeric LEMARIE

      Pierre-Aymeric LEMARIE

      Support Security Engineer

    • Catégorie : Post-IT

      Date : 3 juillet 2020

      Mise à jour : 8 juillet 2020

    Microsoft alerte les hôpitaux ciblés par le ransomware « REvil » en période de crise COVID19


    La semaine dernière (mercredi 1er avril) Microsoft a effectué une notification ciblée, unique en son genre, pour alerter les hôpitaux sur la vulnérabilité de leurs infrastructures VPN.

    Selon Microsoft, le groupe malveillant derrière le ransomware REvil (Sodinokibi) exploite cette situation d’urgence pour cibler des hôpitaux. Ces entités, étant très vulnérable aux interruptions, la probabilité que ces derniers payent une rançon dans un court délai, augmente.

    Les techniques utilisées par ces groupes pour atteindre leurs cibles n’ont pas beaucoup évolué. Seul la part d’ingénierie sociale a été adaptée à la situation. En ces temps de crise lié au COVID19, les attaquants misent sur la peur et le besoin urgent d’information qui peut parfois faire oublier la méfiance et les précautions d’usage des utilisateurs.

    De plus, en cette période de confinement, les organisations ont dû mettre en place, souvent dans la hâte, des solutions pour rendre possible le télétravail. Ces entités n’ont pas forcément eu le temps ou les ressources pour contrôler l’état des infrastructures informatiques, qui sont ainsi exposées, ce qui en fait des cibles de choix. En effet, les attaquants derrière REvil sont connus pour avoir ciblé les vulnérabilités des Gateway Citrix ou du VPN Pulse Security révélées ces derniers mois.

    Microsoft a ainsi détecté, à travers ses services « Microsoft Threat Protection » (Microsoft Defender ATP, Office 365 ATP et Azure ATP), que le groupuscule derrière le ransomware REvil recherche activement des systèmes vulnérables exposés sur Internet. Ils ont également observé que des attaquant utilisent les fonctionnalités de mise à jour des clients VPN pour déployer des charges utiles malveillantes.

    Il convient donc, malgré ces temps de crise, que les utilisateurs des infrastructures informatiques restent vigilants!
    De plus, il est primordial que les équipes techniques et de sécurités veillent au suivi des mises à jour de sécurité des systèmes, ainsi qu’à l’application des bonnes pratiques sécuritaires de l’entreprise.

    Sources :
    - Microsoft works with healthcare organizations to protect from popular ransomware during COVID-19 crisis
    - REvil ransomware targets unpatched Pulse Secure VPN servers
    - Hackers target unpatched Citrix servers to deploy ransomware


    • Philippe Logean

      Philippe Logean

      Senior Security Engineer & CISO

    • Catégorie : Post-IT

      Date : 7 avril 2020

      Mise à jour : 7 avril 2020

    ALERTE VIGILANCE : Les pirates profitent du Coronavirus pour vous piéger !


    Comme à leur habitude, les pirates surfent sur l’actualité pour mieux vous attaquer. Ils se font passer pour des professionnels de la santé et démultiplient des campagnes de phishing basées sur la peur du Coronavirus.

    Du simple vol de vos identifiants à l’installation du cheval de Troie Emotet…

    Le Japon est à priori le premier pays touché par ces campagnes de phishing autour du Coronavirus. Les pirates envoient des mails qui se veulent informatifs, sur l’évolution de l’épidémie, sur la localisation des foyers à risque de la propagation du virus, voire même sur les remèdes contre le virus.

    Ils vous invitent à cliquer sur des liens et/ou à ouvrir des pièces jointes malicieuses. Derrière les liens se cachent des PDF infectés. Pièce jointe ou lien piégé, les deux installent le cheval de Troie Emotet. Le Malware Emotet est à ce jour l’un des malwares les plus coûteux et destructeur qui concerne autant les particuliers que les professionnels jusqu’aux administrations.

    Ne vous laissez pas duper !

    Tenté par l’envie de vous protéger, vous cliquez sur les liens et ouvrez les pièces jointes… Et voilà, le mal est fait !
    Comme pour le Coronavirus, faîtes preuve de vigilance à ne pas vous faire infecter.
    Si vous souhaitez des renseignements sur l’épidémie, préférez visiter directement les sites web officiels.

    Rappel des “Best Practices” face aux Phishing

    Le malware Emotet surfe sur la crainte des coronavirus et l’ONU piratée à Genève #veille (2 fév 2020)


    • Administrator

      Administrator

    • Catégorie : Post-IT

      Date : 27 février 2020

      Mise à jour : 27 février 2020

    Insight v3.3.0


    Dans sa nouvelle version, Insight se dote d'un système de dashboards dynamiques basé sur son language de requête, Insight Query Language (IQL).

    Il est possible de créer toute sorte de dashboards avec différents types de graphes (pie charts, bar charts, table, etc.) à partir des logs collectés par la solution. De plus, il est possibles de customizer ces graphes à l'aide d'un grand nombre d'option afin de controller leur couleur, taille, etc.

    En plus de ce module, cette release inclut de nombreuses améliorations:

    - Une fonctione de recherche jusqu'à 5 fois plus rapide sur certaines requêtes
    - Le support de fonctions d'agrégations dans le langage de requête (Insight Query Language)
    - Ajout de nouveaux filtres de recherches (aggregate, filter, ...)
    - La possibilité d'exécuter une une commande système ou une commande à travers SSH depuis le module d'alerting


    • Gilliek

      Gilliek

      Software Engineer

    • Catégorie : Post-IT

      Date : 4 février 2020

      Mise à jour : 4 février 2020

    TLS : Nouvelles restrictions « Apple »


    Vous connaissez tous les problématiques TLS qui engendrent des avertissements et autres popups sur certains navigateurs. Les plus connues étant :
    - SHA256 : interdiction d'utiliser SHA1 comme algorithme de hachage dans la signature des certificats par les autorités de certification.
    - Clé publique RSA d'une taille supérieure à 2048 bits
    - Présence obligatoire du FQDN dans les extensions Subject Alternative Names du certificat, la seule présence du FQDN dans le Common Name du certificat ne suffit plus.
    - Présence de l'extension "Server Authentication" dans l'attribut "Extended Key Usage" du certificat.

    Mais Apple rajoute sa cerise sur le gâteau.

    Tous les certificats émis après le 1 Juillet 2019 ayant une durée de vie supérieure à 825 jours ne seront plus considérés valides.

    Ceci touche les systèmes à partir de iOS 13, iPadOS 13, macOS 10.15.

    Le côté problématique de cette contrainte, est que l'impact ne sera immédiat.

    Illustration : un certificat SSL emis le 15 Juillet 2017 avec une durée de vie de 3 ans, sera valide jusqu'au 15 Juillet 2020. Si à ce moment il est renouvelé avec la même durée de vie, alors le certificat renouvelé ne fonctionnera plus sur les systèmes Apple mentionnés ci-dessus.

    Action à prendre :
    - Lister les certificats SSL ayant une durée de vie de plus de 825 jours (pour cela notre outil SSLCert peut être utile)
    - Les renouveler avec une durée de vie < 825 jours

    L'article Apple de référence :
    Requirements for trusted certificates in iOS 13 and macOS 10.15

    Article du blog sur SSLCert
    How to automate the discovery of SSL certificates ?


    • Yoann Le Corvic

      Yoann Le Corvic

      Senior Security Engineer  / CISM

    • Catégorie : Post-IT

      Date : 27 novembre 2019

      Mise à jour : 27 novembre 2019

    2019 DevCentral MVPs, trois nominations chez e-Xpert Solutions


    Nous avons l’honneur de compter trois nominations MVPs, F5 DevCentral de 2019.

    Félicitations à Jad Tabbara, Yann Desmarest et Youssef Rhazi qui affirment notre maîtrise des solutions F5 Networks ! Bravo à eux !

    Pour rappel, DevCentral est une communauté de F5 Networks dans laquelle les ingénieurs spécialisés participent pour aider les utilisateurs et contribuent à l’évolution des produits. Chaque année F5 Networks récompense les membres les plus actifs ayant de très bonnes compétences techniques en leur attribuant le statut de MVP.

    2019 DevCentral MVP Announcement
    Liste des MVPs


    • Administrator

      Administrator

    • Catégorie : Post-IT

      Date : 19 février 2019

      Mise à jour : 20 février 2019

    Pensez à mettre en place un suivi de vos devices !



    Le patch Tuesday de janvier est disponible !

    Notre partenaire Ivanti effectue des reviews mensuelles des updates proposés par Microsoft mais aussi par d'autres éditeurs (Adobe, Oracle, etc…). L’avantage est de mieux cibler les impacts de ces mises à jour d’autant que le patching des applications est tout aussi important que celui de l'OS.
    Par exemple :
    • Après son patch Tuesday en décembre, Microsoft a fait paraître un correctif important pour Internet explorer. Nous vous invitons d'ailleurs à le passer dès que possible (CVE-2018-8653).
    • Pour donner suite au changement de licensing d'Oracle pour Java, les mises à jour ne pourront plus être gérées par la solution Ivanti. Cependant il vous est toujours possible de télécharger le package et de le distribuer via l'agent mais cela est à votre initiative.

    Lien du webinar Ivanti


    • Nicolas

      Nicolas

      Support Security Engineer

    • Catégorie : Post-IT

      Date : 6 février 2019

      Mise à jour : 6 février 2019

    PICUS SECURITY, nouveau partenaire d’e-Xpert Solutions


    Picus Security est une solution qui permet d’éprouver et d’améliorer la sécurité informatique des entreprises.

    Déployée dans le système d’information, Picus Security est une technologie innovante qui permet de rendre plus efficace les opérations de contrôle de sécurité de façon continue et les processus de gestion des vulnérabilités des entreprises. De façon automatisée, la solution simule des attaques en temps réel depuis le réseau aux terminaux en passant par les passerelles de messagerie, les Firewall, les IPS, les WAF, etc.. L’objectif est de tester les moyens de défense mis en place et d’en mesurer leur efficacité. Cette simulation continue établit un état des lieux du niveau de sécurité et propose des mesures de mitigation concrète en fonction des équipements (de nombreux équipements sont supportés).
    Cela permet également de répondre à des problématiques techniques de gouvernance : KPI, Change control, Continue security monitoring, disponibilité de la sécurité, prévention des incidents, etc…

    À noter : La solution se déploie en quelques heures avec des premiers résultats pratiquement immédiats (Sous quelques minutes).

    Picus Security


    • Administrator

      Administrator

    • Catégorie : Post-IT

      Date : 4 février 2019

      Mise à jour : 7 février 2019

    Le DNS Flag Day arrive !


    QUE SE PASSE-T-IL ACTUELLEMENT ?
    Le protocole DNS dans sa version actuelle est lent et souffre de l'impossibilité de déployer de nouvelles fonctionnalités. Ceci est causé par l’implémentation actuelle de l’EDNS. Pour remédier à ces problèmes, les éditeurs de logiciels DNS ainsi que les grands fournisseurs DNS publics vont supprimer certaines solutions de contournement à compter du 1er février 2019.

    EDNS
    En anglais il s’agit d’Extension mechanisms for DNS (EDNS), c'est à dire une extension du protocole DNS qui permet d'augmenter la taille de certains paramètres. A l’heure actuelle, aucun code ne peut être ajouté dans l’en-tête DNS. L'identification d'une requête étendue est réalisée grâce à un pseudo code défini nommé RR. Les clients EDNS incluent ce RR pour indiquer qu'ils prennent en charge cette extension. Si le serveur ne prend pas en charge cette extension, ce RR sera ignoré, ce qui procure la rétrocompatibilité.

    QUE VA-T-IL SE PASSER LE 1ER FÉVRIER 2019 ?
    À compter du 1er février 2019, un traitement EDNS plus strict sera réalisé par les principaux fournisseurs DNS et ils désactiveront officiellement les solutions de contournement. Plus précisément, les versions suivantes introduisent cette modification :
    • BIND 9.13.3 (development) and 9.14.0 (production)
    • Knot Resolver already implemented stricter EDNS handling in all current versions
    • PowerDNS Recursor 4.2.0
    • Unbound 1.9.0

    Il s’agit principalement de la mise à jour de ces composants-ci. Il est néanmoins très important de se conformer aux normes qui vont entrer en vigueur.
    Pour tester si votre domaine DNS est conforme aux nouvelles implémentations il est possible d’effectuer un test via le lien suivant : https://ednscomp.isc.org/ednscomp
    Le résultat résumé des tests ednscomp doit de préférence être un message vert. Tout est OK.

    Sources :
    https://dnsflagday.net
    https://ednscomp.isc.org/ednscomp
    https://devcentral.f5.com/articles/lightboard-lessons-be-readydns-flag-day-is-coming-33222



    • Wojciech Myszkorowski

      Wojciech Myszkorowski

      Security Engineer

    • Catégorie : Post-IT

      Date : 31 janvier 2019

      Mise à jour : 4 février 2019