IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Windows 11 : Microsoft déploie une politique de sécurité par défaut limitant les attaques par force brute
Une technique utilisée entre autres par les ransomwares pour infiltrer les systèmes

Le , par Stéphane le calme

26PARTAGES

7  0 
Microsoft déploie une politique de sécurité par défaut sur Windows 11 qui contribuera grandement à empêcher les attaques par force brute. Les attaques déclencheront désormais une politique de verrouillage de compte, qui verrouillera automatiquement tous les comptes d’utilisateurs et d’administrateurs. La politique est conçue pour verrouiller les comptes après dix tentatives de connexion infructueuses, empêchant l’exécution de l’attaque par force brute.

La nouvelle politique se trouve dans Windows 11 Insider Preview Build 22528.1000 et versions ultérieures, et il est possible de modifier les paramètres selon les besoins. Les utilisateurs ont la possibilité de modifier non seulement le nombre d'entrées de mot de passe incorrectes qui déclenchent un verrouillage, mais également la durée pendant laquelle un compte doit être verrouillé.


Malgré leur ancienneté et leur simplicité, les attaques par force brute ont connu une certaine résurgence en raison des besoins actuels du lieu de travail. La pandémie de Covid-19 a contraint de nombreux employés et entreprises à adopter et à s’appuyer sur diverses solutions à distance. L’évolution de la connectivité sur le lieu de travail a entraîné une forte augmentation des attaques par force brute, passant de 150 000 attaques par an à plus d’un million au début de la pandémie.

En effet, lors de l'édition 2022 de la conférence sur la sécurité RSA qui a eu lieu en février, l'agent spécial du FBI Joel DeCapua a déclaré que le protocole Windows Remote Desktop Protocol (RDP) est la méthode la plus courante utilisée par les attaquants de ransomware pour accéder à un réseau avant de déployer le ransomware. « RDP représente toujours 70 à 80*% de la base initiale utilisée par les acteurs du ransomware », a déclaré DeCapua dans son discours. Par conséquent, si vous utilisez RDP dans votre organisation, il est recommandé d'utiliser l'authentification au niveau du réseau (NLA), qui oblige les clients à s'authentifier auprès du réseau avant de se connecter au serveur de bureau à distance. Cette disposition améliore la sécurité car elle ne permet pas à l'attaquant d'accéder à un serveur RDP tant qu'il n'est pas authentifié et offre ainsi une meilleure protection contre les exploits de pré-authentification. Il est également suggéré d'utiliser des mots de passe uniques et complexes pour vos comptes RDP.


C'est dans ce contexte que Microsoft a introduit une politique de sécurité dans Windows 11 qui rend beaucoup plus difficile l'utilisation d'attaques par force brute pour déchiffrer les mots de passe. Par le biais de David Weston, vice-président de Microsoft en charge de la sécurité du système d’exploitation et des offres entreprises, l'entreprise a annoncé l’activation, par défaut, dans Windows 11, d’une règle susceptible de ralentir significativement les attaques en force brute contre les services de déport d’affichage (RDP). Pour mémoire, Remote Desktop Protocol (RDP) est un protocole qui permet à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services. Des clients existent pour la quasi-totalité des versions de Windows, et pour d'autres systèmes d'exploitation, comme les systèmes GNU/Linux.


À partir des dernières versions d'Insider, une nouvelle politique de verrouillage de compte est en place par défaut. Si un mot de passe incorrect est entré 10 fois, le compte sera verrouillé pendant 10 minutes. Bien que cela ne rende pas les attaques par force brutes impossibles à mener à bien, cela les rend beaucoup plus difficiles à réaliser et consomme beaucoup plus le temps des cybercriminels, renforçant la sécurité dans un domaine important. Soulignons que certains éléments comme le nombre de mots de passe incorrects entrés qui provoquent le verrouillage, ou la durée pendant laquelle un compte sera verrouillé, sont paramétrables.


La décision de Microsoft est un énorme pas en avant dans la réduction de l’efficacité de l’une des vulnérabilités les plus anciennes et les plus simplistes qui affligent les utilisateurs du monde entier. Malgré la nouvelle politique, les utilisateurs doivent toujours appliquer de bonnes pratiques de sécurité en créant des mots de passe complexes en utilisant une longueur de caractères accrue, une casse de caractères variée, des chiffres et (lorsque cela est autorisé) des caractères spéciaux.

Microsoft bloque lentement les vecteurs d'attaque les plus populaires

Microsoft bloquera les macros Office par défaut à partir du 27 juillet

Microsoft a confirmé qu'il commencerait bientôt à bloquer par défaut les macros Visual Basic Applications (VBA) dans les applications Office après avoir discrètement annulé le changement plus tôt ce mois-ci.

Dans une nouvelle mise à jour, la grande enseigne de la technologie a déclaré qu'elle commencerait à bloquer les macros Office par défaut à partir du 27 juillet. Cela survient peu de temps après que Microsoft a interrompu le déploiement de la fonction de blocage des macros en citant des « commentaires d'utilisateurs » non spécifiés. On pense que le déploiement initial, qui a débuté début juin, a causé des problèmes aux organisations utilisant des macros pour automatiser les processus de routine, tels que la collecte de données ou l'exécution de certaines tâches.

Dans une déclaration, Microsoft a déclaré avoir suspendu le déploiement pendant qu'il « apporte quelques modifications supplémentaires pour améliorer la convivialité ». La société a depuis mis à jour sa documentation avec des instructions étape par étape pour les utilisateurs finaux et les administrateurs informatiques expliquant comment Office détermine s'il faut bloquer ou exécuter des macros, quelles versions d'Office sont affectées par les nouvelles règles, comment autoriser les macros VBA dans les fichiers de confiance et comment se préparer au changement.

Les macros constituent un vecteur d'attaque populaire dans le rang des cybercriminels. Dans le cadre de ces attaques, les utilisateurs reçoivent généralement un document par courrier électronique ou qu'ils sont invités à télécharger sur un site Web. À l'ouverture du fichier par la victime, l'attaquant laisse généralement un message demandant à l'utilisateur de permettre l'exécution de la macro. Bien que les utilisateurs ayant des connaissances techniques et en cybersécurité soient capables de reconnaître ce piège et de se faire quand même infecter par des logiciels malveillants, de nombreux utilisateurs quotidiens d'Office ignorent encore cette technique.

Ils finissent alors par suivre les instructions fournies, s'infectant eux-mêmes avec des logiciels malveillants. La gestion de ce problème a été une épine dans le pied de Microsoft, car les macros VBA sont souvent utilisées dans les entreprises pour automatiser certaines opérations et tâches lors de l'ouverture de certains fichiers, comme l'importation de données et la mise à jour du contenu du document à partir de sources dynamiques. Depuis le début des années 2000, Microsoft a tenté de résoudre ce problème en affichant un léger avertissement de sécurité sous la forme d'une barre d'outils en haut du document.

Mais en février, Microsoft a annoncé son intention de désactiver les macros par défaut en février pour empêcher les acteurs malveillant d'abuser de la fonctionnalité pour diffuser des logiciels malveillants via des pièces jointes aux e-mails.

Ce changement, réclamé depuis des années par les chercheurs en sécurité, est perçu comme une barrière sérieuse contre les acteurs malveillants du Web, qui incitent les utilisateurs à autoriser l'exécution d'une macro infectée afin d'installer des logiciels malveillants sur leurs systèmes.

Avec ce changement, lorsque des fichiers qui utilisent des macros seront téléchargés depuis Internet, ces macros seront désormais entièrement désactivées par défaut. Contrairement aux anciennes versions d'Office, qui affichent une bannière d'alerte sur laquelle il est possible de cliquer pour autoriser l'exécution des macros, la nouvelle version de la bannière ne propose aucun moyen de les activer.

Authentification multficateur dans Azure AD

Pour contrecarrer les attaques par mot de passe et par hameçonnage, Microsoft a déployé des paramètres de sécurité par défaut pour un grand nombre d'utilisateurs d'Azure Active Directory (AD).

Microsoft a commencé à déployer les valeurs par défaut de sécurité pour les clients qui ont créé un nouveau compte Azure AD après octobre 2019, mais n'a pas activé les valeurs par défaut pour les clients qui ont créé des comptes Azure AD avant octobre 2019.

En mai, Microsoft a annoncé que les valeurs par défaut de sécurité d'Azure AD étaient utilisées par environ 30 millions d'organisations. L'entreprise a indiqué à cette période que le mois suivant, elle allait déployer les valeurs par défaut dans de nombreuses autres organisations, ce qui entraînera la protection par défaut de 60 millions de comptes supplémentaires. « Une fois terminé, ce déploiement protégera 60 millions de comptes supplémentaires (soit à peu près la population du Royaume-Uni*!) contre les attaques d'identité les plus courantes », a déclaré Alex Weinert, directeur de la sécurité des identités chez Microsoft.

Aussi, avec toutes ces mesures, la société bloque lentement tous les vecteurs d'entrée utilisés par les opérateurs de rançongiciels pour pénétrer par effraction dans les réseaux et systèmes Windows.

Azure AD est le service cloud de Microsoft pour la gestion de l'identité et de l'authentification des applications sur site et cloud. C'était l'évolution des services de domaine Active Directory dans Windows 2000. Microsoft a introduit des valeurs par défaut sécurisées en 2019 en tant qu'ensemble de base de mécanismes de sécurité d'identité pour les organisations moins bien dotées qui souhaitaient renforcer les défenses contre les attaques par mot de passe et par hameçonnage. Il s'adressait également aux organisations utilisant le niveau gratuit de licence Azure AD, permettant à ces administrateurs de simplement basculer sur les « valeurs par défaut de sécurité » via le portail Azure.

Une politique disponible pour les systèmes Windows 10, mais pas par défaut

La politique de verrouillage de compte est également disponible sur les systèmes Windows 10. Cependant, malheureusement, elle n'est pas activée par défaut, ce qui permet aux attaquants de se frayer un chemin dans les systèmes Windows avec des services RDP (Remote Desktop Protocol) exposés.

Les administrateurs peuvent configurer cette stratégie sur Windows 10 dans la console de gestion des stratégies de groupe à partir de Configuration ordinateur\Politiques\Paramètres Windows\Paramètres de sécurité\Politiques de compte\Politique de verrouillage du compte.

Il s'agit d'une amélioration cruciale de la sécurité car de nombreux serveurs RDP, en particulier ceux utilisés pour aider les télétravailleurs à accéder aux actifs de l'entreprise, sont directement exposés à Internet, exposant le réseau des organisations à des attaques lorsqu'ils sont mal configurés.

Pour mettre les choses en perspective, les attaques ciblant les services RDP ont connu une forte augmentation depuis au moins la mi-fin 2016, à commencer par la popularité croissante des places de marché du dark web qui vendent l'accès RDP aux réseaux compromis, selon un rapport FBI IC3 de 2018.

Des décisions accueillies chaleureusement par les professionnels de la sécurité

Le nouveau contrôle de verrouillage des comptes a été applaudi par les experts en cybersécurité.

Nous pouvons citer Kevin Beaumont, qui a tweeté :

Citation Envoyé par Kevin Beaumont
« oh mon dieu, ils s'occupent du problème d'entrée RDP - entre les macros et RDP, cela fait presque toutes les entrées de ransomware Windows/MS.

Je dois une bière à Dave

(... une fois qu'il est rétroporté sur les anciens systèmes d'exploitation et généralement disponible ...)
Citation Envoyé par Kevin Beaumont
« Le correctif RDP brute force est rétroporté vers les versions Windows (prises en charge ?).

« En supposant qu'il se trouve dans un correctif de sécurité mensuel (distribution étendue), cela résoudra l'un des principaux points d'entrée des ransomwares (source : mon équipe traite 5*000*incidents de sécurité par an) ».

Sources : David Weston, Alex Weinert

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 31/08/2022 à 16:12
Donc en fait Windows 11 c'est fait par des stagiaires, qui sont managés directement par le responsable marketing publicitaire de Microsoft.
Voila ses instructions : "Essayez de rajouter des espaces de pubs un peu partout dans l'UI de Windows 11, et si Windows 11 devient une pure merde on s'en tape, de toute façon c'est préinstallé sur les PC, tous le monde sera bien obligé d'utiliser cette bouse tôt ou tard "

13  0 
Avatar de petitours
Membre expérimenté https://www.developpez.com
Le 17/08/2022 à 11:46
Comme ce serait bien tout ça si on n'avait pas besoin de changer inutilement ses machines pour l'avoir.
7  0 
Avatar de OrthodoxWindows
Membre expérimenté https://www.developpez.com
Le 31/08/2022 à 15:59
Jensen Harris, ancien directeur de l'expérience utilisateur de Microsoft, détaille les incohérences de conception du menu Démarrer de Windows 11, Microsoft a immédiatement corrigé les points qu'il a mentionnés
Voici mon nouveau pseudonyme : "Jensen Harris". Microsoft, veuillez réintégrer tout les applets supprimé dans le panneau de configuration !

6  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 01/09/2022 à 8:45
Citation Envoyé par chrtophe Voir le message
Windows représente 99,99% du parc informatique.
On va se limiter à 89%, en tout cas pour le monde des pc fixes et portables, 1% pour linux, 9 à 10% pour MacOs, quelques 10èmes de % pour ChromeOS (qui peut être considéré par certains comme un linux)

C'est surtout que 99% des utilisateurs n'y connaissent rien à l'informatique et ont donc besoin d'une machine tout compris; clé en main. Ce que permet Windows et MacOs, mais largement moins Linux qui nécessite toujours à moment donné une configuration quelconque via la console.
Linux n'est pas pour un néophyte
MacOs est pour tout le monde, mais qui ne regarde pas à la dépense
Windows est pour tout le reste
5  0 
Avatar de jbrosset
Membre du Club https://www.developpez.com
Le 10/09/2022 à 14:59
Il y a trente ans, quand j'utilisais les logiciels Microsoft, on sentait bien qu'il y avait une vraie attention et recherche sur l'expérience utilisateur, ou ergonomie c'est pareil (mode de vocabulaire).
A l'époque, je n'étais pas encore ergonome IHM mais rétrospectivement, je peux dire que c'était manifeste.
Et je n'arrive toujours pas à comprendre pourquoi cette culture s'est perdue, avec un ridicule trombone assistant, un menu ruban complexe et déroutant, des automatismes qui se déclenchent à contretemps, ou plus récemment une application Teams sortie en urgence sans test utilisateur externe (c'est une ancienne de la boîte qui me l'a avoué un jour où je lui exprimais mon étonnement par rapport aux incohérences de ce logiciel, observées quotidiennement)... voilà quelques exemples d'une interminable liste des errances de cette entreprise qui a fait mon admiration à une époque révolue.
Quel dommage.
Parce qu'on peut critiquer Microsoft, c'est facile, mais ses fondamentaux sont remarquables, tellement que les logiciels open source comparables peinent toujours à les égaler, il faut bien le reconnaître tristement. Faire simple n'est pas simple...
5  0 
Avatar de HaryRoseAndMac
Membre confirmé https://www.developpez.com
Le 01/09/2022 à 5:14
Déjà quand tu vois que le simple fait de lancer la barre de recherche et commencer à y écrire un truc efface que tu as commencé à écrire au bout de quelque seconde, parce que c'était toujours entrain de s'exécuter ... (sans parler du fait que ça pagine à mort à la moindre occasion).

Sinon je ne sais pas pour vous mais, c'est ce qu'on a sur certain poste au boulot et le mode HDR donne un affichage plus dégueulasse que le mode natif.

Il y a eu des progrès depuis windows 1.0 c'est indéniable, mais j'ai l'impression que depuis le 8 ce sont surtout des mises à jour du design ...

En tout cas, le fait de voir de la pub dans un truc que j'ai payé, d'être obligé de passer par le site web pour désactiver le fait qu'une simple recherche dans la barre de recherche soit collectée par Microsoft et j'en passe me gonfle passablement.

Et le truc des widgets ... franchement faut arrêter ce genre d'ineptie.
Je crois que le premier réflexe de ceux qui ont windows, c'est de tout désactiver, de virer les pubs, de virer les widgets à la con, d'avoir un menu vide dans le menu démarrer et de désinstaller la moitié des programmes fourni avec (jeu de carte, ...)

Ca serait bien que Microsoft considère aussi la majorité des gens qui l'utilise de façon sérieuse et propose à l'installation un truc clean.
4  0 
Avatar de petitours
Membre expérimenté https://www.developpez.com
Le 03/09/2022 à 9:51
Citation Envoyé par HaryRoseAndMac Voir le message
Je sais pas.
100% des fois ou je demande aux windowsiens pourquoi Windows :
C'est que vous connaissez que des joueurs. Moi ce sont des progiciels qui ne tournent que sous Windows.
4  0 
Avatar de Gluups
Membre éprouvé https://www.developpez.com
Le 06/09/2022 à 12:08
Citation Envoyé par HaryRoseAndMac Voir le message
Il y a eu des progrès depuis windows 1.0 c'est indéniable, mais j'ai l'impression que depuis le 8 ce sont surtout des mises à jour du design ...

Et c'est dommage, car depuis, c'est vraiment le design qui pêche le plus, au point de souvent rendre le système carrément inexploitable.

D'ailleurs maintenant, il faut une ligne de commande pour modifier son mot de passe si on n'a pas l'ancien.
4  0 
Avatar de OrthodoxWindows
Membre expérimenté https://www.developpez.com
Le 06/09/2022 à 12:59
Citation Envoyé par Gluups Voir le message
Et c'est dommage, car depuis, c'est vraiment le design qui pêche le plus, au point de souvent rendre le système carrément inexploitable.

D'ailleurs maintenant, il faut une ligne de commande pour modifier son mot de passe si on n'a pas l'ancien.
Je suis d'accord. Les modifications sur le design depuis une dizaine d'années sont uniquement des régressions.

Comment créer une interface préhistorique et anti-ergonomique en quelques minutes, donner un bon coup de peinture à coup de design "à la mode" et appeler cela une interface "moderne", en vantant les mérites du nouveau "mode sombre" (même si l'ancienne interface supportait aussi le mode sombre). Le tout non optimisé, avec des ressources système requises considérables rien que pour taper du texte.

Il faudrait que les développeurs Windows se rendent compte que l'interface Win32 en interaction directe avec l'API suffit à obtenir n'importe quelle apparence.
4  0 
Avatar de petitours
Membre expérimenté https://www.developpez.com
Le 30/08/2022 à 19:42
Citation Envoyé par OrthodoxWindows Voir le message
Je suis pratiquement sûr que les mises à jours fonctionnent quant même.

D'ailleurs, Microsoft ne possède pas d'outils fiable pour détecter tels ou tels matériel de manière fiable. C'est la limitation contournable par excellence.
Sans doute, mais dans un contexte pro on ne peut pas choisir d'aller contre la spec écrite.

Accessoirement la restriction de MS est scandaleuse au regard de l'environnement mais coté sécurité c'est un gag.
D'un coté ils imposent un truc sous prétexte de sécurité, de l'autre ils font un article qui explique comment installer un truc pas mis à jour donc par essence pas sécurisé .
3  0