Powered By Blogger

Rechercher sur ce blogue

jeudi 26 avril 2018

Hardentools : Sécuriser Windows en désactivant certains fonctionnalités



Il y a quelques temps, j’avais évoqué SysHardener pour sécuriser Windows.
Hardentools est un outil similaire qui permet de désactiver certains fonctions de Windows utilisées par des malwares.
Voici une présentation de Hardentools.

Hardentools : Sécuriser Windows en désactivant certains fonctionnalités

L’utilisation d’Hardentools est très simple et vise à désactiver certaines fonctions de Windows.
Voici la page de téléchargement : Télécharger Hardentools
L’utilitaire se présente avec les fonctions à désactiver qui sont cochées par défaut.
Il faut cliquer sur Harden pour lancer l’opération.
Hardentools : Sécuriser Windows en désactivant certains fonctionnalités
Une barre de progression s’affiche et des fenêtres cmd.exe peuvent s’ouvrir et les fonctions sont désactivées.
On vous invite ensuite à redémarrer Windows afin que les changements prennent effects.
Hardentools : Sécuriser Windows en désactivant certains fonctionnalités
Voici une liste des fonctions proposées à la désactivation.

Windows

  • Désactiver Windows Script Host pour se protéger des scripts, plus d’informations : Comment se protéger des scripts malveillants sur Windows
  • Désactiver Autoruns et Autoplay, désactive l’insertion automatique pour se protéger des virus par USB. A priori, depuis une mise à jour de Windows, c’est déjà le cas.
  • Désactive l’exécution de powershell.exe, powershell_ise.exe par Windows Explorer contre les virus Powershell.
  • Force la popup UAC
  • Désactive les extensions liés à des scripts toujours pour se protéger contre les scripts malveillants. Les extensions visées : « .hta », « .js », « .JSE », « .WSH », « .WSF », « .scf », « .scr », « .vbs », « .vbe » and « .pif ».

Microsoft Office

Il s’agit ici surtout de renforcer la sécurité d’office, dont des mails malveillants sont utilisés avec des pièces jointes contenant des documents Word ou Office qui permettent d’infecter l’ordinateur.

Acrobat Reader

Acroba Reader a été longtemps utilisés à travers des exploits Web. Bien que maintenant les navigateurs internet ont leurs propres lecteur PDF, ce dernier peut toujours être utilisés pour infecter les ordinateurs.
  • Désactiver JavaScript dans les documents PDF. Acrobat Reader permet d’exécuter du Javascript dans les documents PDF, ce dernier est utilisé pour offusquer du contenu malveillants et permettre l’utilisation malveillantes de documents PDF pour infecter les ordinateurs.
  • Désactiver l’exécution d’objet intégré dans les documents PDF. Là aussi il s’agit de limiter l’utilisation malveillante de documents PDF qui peuvent intégré des documents Word avec des macros, DDE malveillantes. Le but étant de dissimuler le document Office malveillant dans un PDF pour rendre sa détection plus difficile.
  • Active le mode protégé
  • Active la protection de la visualisation
  • Active la sécurité renforcée

Plus loin dans la sécurité Windows

Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?
Autres liens autour des virus et la sécurité des virus :
REF.:

Le malware Duqu 2.0



Duqu 2.0 est une version de malware signalée en 2015 pour avoir infecté des ordinateurs dans des hôtels d'Autriche et de Suisse qui étaient des sites de négociations internationales avec l'Iran sur son programme nucléaire et ses sanctions économiques. Le malware, qui infecte le Kaspersky Lab pendant des mois sans qu'ils s'en rendent compte, est considéré comme le travail de l'Unité 8200.

Kaspersky a découvert le malware, et Symantec a confirmé ces résultats. Le malware est une variante de Duqu, et Duqu est une variante de Stuxnet. Le logiciel est "lié à Israël", selon The Guardian. Le logiciel a utilisé trois exploits de zéro jour , et aurait nécessité un financement et une organisation compatibles avec un service de renseignement gouvernemental.
Selon Kaspersky, "la philosophie et la façon de penser du groupe" Duqu 2.0 "sont en avance sur tout ce qui est perçu dans le monde des menaces persistantes avancées."

 Malgré que Duqu 2.0 présente de nombreuses similitudes avec son prédécesseur, la nouvelle souche du malware populaire est considérée par les chercheurs comme très dangereuse, les experts la définissant furtive et difficile à détecter car elle réside uniquement dans la mémoire de l'ordinateur, ne laissant aucune trace sur le disque. Duqu 2.0 fonctionne comme une porte dérobée dans le système infecté et une fois exécuté, les données d'exfiltration sont renvoyées aux serveurs C & C.Duqu 2.0 systèmes infectés d'un grand nombre de cibles dans plusieurs pays, y compris les États-Unis, le Royaume-Uni, la Suède, de nombreuses autres victimes sont en Asie et en Afrique du Nord.Comme cela se produit généralement dans les logiciels malveillants gouvernementaux, les logiciels malveillants Duqu 2.0 ont également exploité trois vulnérabilités de type «jour zéro». Une autre singularité du malware est la manière dont il renvoie les données vers les serveurs C & C, selon les experts de Kaspersky Lab qui attaquent les passerelles réseau et les pare-feu infectés en installant des pilotes malveillants qui transmettent tout le trafic interne aux serveurs C & C.
Qui est derrière Duqu 2.0?Le problème d'attribution d'une cyberattaque est difficile à résoudre, un attaquant pourrait introduire de faux drapeaux afin de tromper les enquêteurs, selon Mikko Hypponen les mauvais acteurs derrière Duqu 2.0 ont adopté une tactique similaire en ajoutant un des drivers qui contiennent la chaîne " ugly.gorilla "utilisé par l'APT chinois connu sous le nom Commentaire Crew.

    
Duqu 2.0 incluait plusieurs faux drapeaux: l'un des pilotes contient la chaîne "ugly.gorilla" qui fait référence à Comment Crew. De Chine.

    
- Mikko Hypponen (@mikko) 10 Giugno 2015Les experts en sécurité soutiennent que Duqu était le produit d'un effort conjoint de la NSA Tao et de l'unité israélienne 8200, il est évident que les deux agences de renseignement sont soupçonnées également pour Duqu 2.0. L'analyse publiée par Kaspersky a révélé que Duqu 2.0 n'a pas été conçu par le groupe Equation, ce qui signifie qu'Israël est le principal suspect de la campagne. La même opinion est partagée par Richard Bejtlich de FireEye.Basé uniquement sur plusieurs éléments de l'histoire @KimZetter @kaspersky intrusion, il semble que "Duqu 2.0" pourrait être une campagne israélienne.


REF.:

Windows Performance Diagnostic : vérifier ce qui ralentit Windows




Lorsque Windows est ralentit, il n’est pas forcément de savoir pourquoi.
Les raisons et sources des ralentissements peuvent être multiples.
Toutefois, Windows est capable de vérifier en temps les performances du système.
Ces derniers sont là pour évaluer les performances générales de Windows et prendre certaines décisions comme désactiver les effets Aero, etc.
Windows peut aussi enregistrer des événements si des processus, pilotes ou autres ont des activités anormales qui peuvent le ralentir.
Enfin Windows peut enregistrer le temps d’ouverture et fermeture.
Tous ces événements sont accessibles depuis l’observateur d’événements.
Cet article vous explique comment accéder à ces événements pour vérifier si des activités anormales ont lieu et peuvent jouer sur les performances générales de Windows.

Windows Performance Diagnostic : vérifier ce qui ralentit Windows

Le service Windows Performance Diagnostic enregistre l’activité de Windows et reporte des événements dans l’observateur d’événements.
Cela peut-être une source d’information pour repérer ce qui peut ralentir Windows.
Enfin, le temps de chargement et de fermeture de Windows sont aussi enregistrés.
Pour consulter ces événements, vous devez ouvrir l’observateur d’événements de Windows, pour cela :
  • Appuyez sur la touche Windows du clavier + R
  • Dans la fenêtre exécutez, saisissez : eventvwr.msc puis cliquez sur OK.
  • L’observateur d’événements s’ouvre alors, déroulez : Microsoft > Windows > Diagnostic-Performance > Opérationel
  • La liste des événements s’affiche alors
Pour rappel, un événement se caractérise par un identifiant unique, vous pouvez trier la liste par colonne dont Evènements ID pour regrouper tous les événements du même type ensemble.
Ainsi, on trouve les type d’événement suivant :
  • 100-110 : tous les évènements liés au processus de démarrage
  • 200-203 : tous les évènements liés à la fermeture et arrêt de Windows
  • 300-352 : les évènements qui peuvent générer des ralentissements de Windows comme un pilote qui ralentit, la création du fichier hibernate qui ralentit Windows, etc.
  • 400-500 : les évènements sur l’activité système, comme un processus ou pilote qui ralentit le système.
  • 500-501 : les événements des performances de Desktop Window Manager
Ci-dessous un événement 100 Avec le temps de démarrage de Windows, cela permet d’avoir une idée de la vitesse du démarrage de Windows.
Pour rappel, il existe des articles sur le site qui permettent d’analyser le démarrage de Windows :
Windows Performance Diagnostic : vérifier ce qui ralentit Windows
Par exemple, ci-dessous, le service audio met du temps à démarrer et ralentir le démarrage de Windows.
Windows Performance Diagnostic : vérifier ce qui ralentit Windows
ou encore le gestionnaire de fenêtre ralentit à cause d’un trop nombre de fenêtre qui tente de s’ouvrir.
Cela est lié au fait que Windows 10 tente de ré-ouvrir les applications qui étaient fermées lors d’un nouveau démarrage (voir : Comment éviter la ré-ouverture des programmes au redémarrage de Windows 10).
Windows Performance Diagnostic : vérifier ce qui ralentit Windows
Ces informations peuvent être utilisées dans un diagnostique générale de l’ordinateur.
Bien entendu, il faut avoir un minimum de connaissance de Windows et informatique pour pouvoir les exploiter.
C’est aussi pour cela, qu’il est possible d’exporter tous les événements dans un fichier qui peut être consulté par un tiers.
Pour cela, faire un clic droit sur Opérationnel puis « Enregistrer tous les événements sous«

REF.:
Windows Performance Diagnostic : vérifier ce qui ralentit Windows

DeepFakes – Remplacez un visage dans n’importe quelle vidéo



La nouvelle coqueluche de Reddit depuis fin janvier, s'appelle Deepfakes.
Il s'agit d'un soft qui en utilisant du machine learning, est capable de décomposer frame par frame une vidéo, pour remplacer le visage de quelqu'un par quelqu'un d'autre.
Mais attention, il ne s'agit pas d'un simple trucage cinématographique… non, non.
En nourrissant l'algo de nombreuses photos, celui-ci est capable de reconstituer un visage dans ses moindres détails et de le faire parfaitement correspondre à un autre, en reconstituant, y compris, les parties qu'il ne connaît pas.
Machine learning FTW !
<noscript><iframe width="800" height="450" src="https://www.youtube.com/embed/8Pm4EDofw4c?feature=oembed" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen></noscript>
L'utilisation première de Deepfakes est donc pour le moment, de remplacer le visage d'acteurs ou d'actrices pornos par celui de célébrités pour faciliter la vie de ceux qui manquent d'imagination.
Évidemment, la mise à disposition de tous de cet outil provoque la colère de certains (à Hollywood principalement) et soulève beaucoup de questions sur la légitimité ou pas de faire ça. Nicolas Cage continue sa carrière de meme, marchant dans les pas de Chuck Norris, et même Pornhub ne veut plus de vidéo DeepFakes sur ses serveurs.
Mais si on fait abstraction de cet usage, c'est quand même une chouette techno. Comme je n'ai pas vraiment envie d'afficher du porno ici (à votre plus grand regret, je sais), je vais plutôt reprendre comme exemple cette utilisation qu'a fait Sven Charleer de DeepFakes.
Il a pris en photo le visage de sa femme Elke, sous de nombreux angles…
Elke, la femme de Sven
Puis a sélectionné un morceau d'interview d'Anne Hathaway au Tonight Show avec Jimmy Fallon…
Anne Hathaway
Et voilà le résultat. Sa femme au Tonight Show plus réaliste que réaliste…
Sympa comme utilisation non ? Amusant de pouvoir faire figurer quelqu'un dans son émission ou son film préféré.
C'est une chouette surprise je trouve 😉
Quoiqu'il en soit, si cet outil vous intéresse, voici quelques liens qui vous en apprendront plus.
Amusez-vous bien !

REF.:

Démarrer sur BIOS ou clé USB facilement avec Windows 10



Il n’est parfois pas simple de pouvoir démarrer l’ordinateur sur une clé USB pour installer Windows ou un Live CD ou encore même accéder au BIOS de l’ordinateur.
En effet, les touches au démarrage sont différentes d’un constructeur à l’autre et parfois cela ne fonctionne pas.
Une fonction des options de récupération de Windows 10 permet de démarrer l’ordinateur directement dans le BIOS de l’ordinateur.
A partir de là, vous pouvez facilement faire démarrer l’ordinateur sur un périphérique externe comme une clé USB.
Cet article vous explique comment démarrer l’ordinateur facilement sur le BIOS grâce à Windows 10.

Redémarrer sur BIOS ou clé USB facilement avec Windows 10

Cette méthode simple tire parti du système UEFI, il faut donc que Windows ait été installé sur un BIOS UEFI.
Il faut aussi pouvoir accéder aux options de récupération de Windows 10.
Cela ne fonctionne donc que si Windows 10 est installé sur l’ordinateur et que la partition de récupération est fonctionnelle.
Pour rappel, il existe plusieurs méthodes pour démarrer sur les options de récupération de Windows 10 :
  • Depuis les paramètres de Windows 10 > Mise à jour et Sécurité > onglet récupération puis démarrage avancé
  • Depuis la page des mots de passe au démarrage de Windows 10, en laissant appuyer sur la touche Maj et en faisant redémarrer en bas à droite
  • Enfin quand Windows 10 ne démarre pas entièrement et plante durant le démarrage de Windows 10, on vous propose d’accéder aux options de récupération.
Cette page ne va pas détailler toutes les méthodes pour arriver à ces options de récupération, reportez-vous à la page suivante pour cela : Les options de récupération de Windows 10.
Une fois sur ces résolution de problèmes, cliquez sur Options Avancées.
Redémarrer sur BIOS ou clé USB facilement avec Windows 10
Puis dans la liste, sélectionnez Dépannage.
Redémarrer sur BIOS ou clé USB facilement avec Windows 10
Vous arrivez alors aux options avancées de récupération, à droite, cliquez sur « Changer les paramètres du microprogramme UEFI« .
Redémarrer sur BIOS ou clé USB facilement avec Windows 10
Sur la nouvelle page, cliquez sur redémarrer afin de redémarrer l’ordinateur.
Redémarrer sur BIOS ou clé USB facilement avec Windows 10
Si tout va bien, ce dernier va accéder directement au BIOS.
A partir de là, vous pouvez demander à démarrer sur votre clé USB à partir des options de démarrage (BOOT) ou modifier les paramètres du BIOS que vous souhaitez.
Redémarrer sur BIOS ou clé USB facilement avec Windows 10

Liens

Maintenant que vous savez comment changer l’ordre de démarrage ou ouvrir le menu de démarrage (Boot menu) afin de faire démarrer l’ordinateur sur une clé USB.
Vous pouvez réinstaller Windows ou démarrer sur le Live CD Malekal.
Plus d’informations :
REF.: