EFFECTUEZ VOS MISE A JOUR ZOOM MEETING ET MICROSOFT TEAMS

MISE A JOUR ZOOM MEETING

Zoom fournit régulièrement de nouvelles versions du client de bureau Zoom et de l'application mobile pour publier de nouvelles fonctionnalités et corriger les bogues.

Nous vous recommandons de mettre à jour la version la plus récente une fois qu'elle sera disponible. Vous pouvez également vérifier la version que vous exécutez actuellement.

Suivez nos notes de mise à jour pour rester au courant des dernières versions de Zoom.

Cet article prend en compte:

  • Zoom sur le client de bureau (DESKTOP APP)
  • Zoom sur l'application mobile (MOBILE APP)

Zoom émet des pop-up pour notifier l’utilisateur lorsqu'il y a une nouvelle mise à jour obligatoire ou facultative dans les 24 heures suivant la connexion.

Vous pouvez également télécharger manuellement la dernière version en :

Cliquant sur le téléchargement à partir du lien https://zoom.us

Ou Directement à partir de l'un des liens suivants :

Note : https://zoom.us/download est hébergé sur  cloudfront.net tandis que https://zoom.us/download2 est hébergé sur zoom.us .

Si le client Zoom Desktop est déjà installé, vous pouvez rechercher les mises à jour:

  • Connectez-vousau client de bureau Zoom.
  • Cliquez sur l'image de votre profil, puis sur « Vérification des mises à jour » ou « Check for Updates »

 

 MISE A jour zoom

S'il existe une version plus récente, Zoom la télécharge et l'installe.

Il existe 3 types de mises à jour ; web uniquement, obligatoire et facultatif.

  • Des mises à jour Web uniquement sont disponibles pour les nouveaux correctifs en cours de test.
  • Les mises à jour obligatoires commenceront lorsque vous cliquerez sur la mise à jour. 
    Vous ne pouvez pas aller plus loin tant que vous n'avez pas mis à jour.
  • Les mises à jour facultatives démarrent une fois que vous cliquez sur la mise à jour. Vous pouvez 
    continuer si vous décidez de reporter la mise à jour à une date ultérieure et de la mettre à jour 
    manuellement.
    NoteSi vous choisissez de reporter votre mise à jour facultative, 
    vous serez  invité à la mettre à jour lors de votre prochaine connexion.

 

Source:https://support.zoom.us/hc/en-us/articles/201362233-Upgrade-update-to-the-latest-version#:~:text=Sign%20in%20to%20Zoom%20desktop,will%20download%20and%20install%20it.

 

MISE A JOUR MICROSOFT TEAMS

DESKTOP APP

L’application de bureau est automatiquement mise à jour (pour que vous n’ayez pas à le faire). Si vous le souhaitez, vous pouvez toujours rechercher les mises à jour disponibles en cliquant sur l'image de votre profil en haut de l'application, puis en sélectionnant Rechercher les mises à jour.

L'application web est toujours à jour. C’est comme ça.

Source : https://support.microsoft.com/en-gb/office/update-microsoft-teams-535a8e4b-45f0-4f6c-8b3d-91bca7a51db1#ID0EAABAAA=Desktop

MOBILE APP

Pour mettre à jour l'application mobile Microsoft Teams,

Téléchargez et installez-la à nouveau à partir de iOS App Store ou de Google Play Store.

 

Note : Les utilisateurs de Linux ne sont pas en mesure de mettre à jour manuellement pour le moment.

Source : https://support.microsoft.com/en-gb/office/update-microsoft-teams-535a8e4b-45f0-4f6c-8b3d-91bca7a51db1#ID0EAABAAA=Mobile

Alerte cybersécurité drovorub

ALERTE CYBERSECURITE  

 

  • NIVEAU DE CRITICITE : IMPORTANT

Dans le cadre de ses activités de monitoring et de veille, le CI-CERT a été notifié de la recrudescence des activités malveillantes d’un dangereux maliciel dénommé Drovorub.

Qu’est-ce que Drovorub ?

Il s’agit d’un malware qui proviendrait de la Direction principale du renseignement de l'état-major général d’un état-Nation, selon le FBI et la NSA. Il s’agit d’un ensemble de logiciels malveillants ciblant le système d’exploitation Linux et composé de quatre composants principaux pour fonctionner : Serveur Drovorub, Client Drovorub, Module Drovorub-kernel, Agent Drovorub

D’après l’alerte de sécurité commune publiée par le FBI et la NSA, « Drovorub » a été développé et déployé lors d'attaques réelles par des pirates militaires. Qui s’appuient sur ce logiciel malveillant, afinde récolter des informations confidentielles en infiltrant des réseaux sensibles et sécurisés. Ce logiciel malveillant permettrait également d'exécuter des commandes malveillantes. 

Par ailleurs, le logiciel malveillant comporte différents modules qui garantissent la discrétion, la persistance et un accès complet à la machine compromise avec les plus hauts privilèges.

Eu égard à l’ampleur de la menace le CI-CERT invite fortement l’ensemble de la communauté Internet nationale en général et les entités et organisations gouvernementales à adopter les mesures de prévention suivantes :

·         Appliquer les mises à mises à jour LINUX.

Les administrateurs système doivent continuellement vérifier et exécuter la dernière version du logiciel fourni par le fournisseur. Plus important encore, les administrateurs système devraient mettre à jour vers Linux Kernel 3.7 ou version ultérieure afin de profiter pleinement de l'application de la signature du noyau.

·         Empêcher les modules de noyau non approuvés

Il est recommandé aux administrateurs système de configurer les systèmes pour charger uniquement les modules avec une signature numérique valide, ce qui rend plus difficile pour un acteur d'introduire un module de noyau malveillant dans le système.

Pour en savoir plus, veuillez consulter notre note de synthèse, en cliquant ici (rajouter un lien hypertexte avec le lien de la note de synthèse publiée sur le site)

NOTE DE SYNTHESE SUR LE MALICIEL DROVORUB

 

cicert og image 

NOTE DE SYNTHESE SUR LE MALICIEL DROVORUB

                                                                     VERSION 1.0






 

 

 

        I.            Table des matières

I.       Origine. 4

II.      Mode d’opération. 4

·       Serveur Drovorub. 4

·       Client Drovorub. 4

·       Module Drovorub-kernel 4

·       Agent Drovorub. 4

III.         Détection et prévention. 5

·       Détection. 5

·       La détection basée sur le réseau : 5

·       Détection basée sur l’hôte : 5

·       Produits de sécurité (antivirus, détection et réponse des terminaux, etc.). 6

·       Réponse en direct. 6

·       Analyse de la mémoire. 7

·       Analyse des médias (image disque). 8

·       Prevention. 8

·       Appliquer les mises à mises à jour LINUX. 8

·       Empêcher les modules de noyau non approuvés. 8

 

 

 

        I.            Origine

A l’image d’un « couteau suisse », un nouveau malware capable d’infiltrer des machine, de voler les fichiers, et de faire de nombreux autres dégâts, est aujourd’hui en vogue. Son nom est « Drovorub ». D’après l’alerte de sécurité commune publiée par le FBI et la NSA, « Drovorub » aurait été développé et déployé lors d'attaques réelles par les pirates militaires d’un état-Nation. Appelé aussi le « Bucheron », ce logiciel malveillant aurait été utilisé pour installer des portes dérobées à l'intérieur des réseaux piratés toujours selon ces deux agences gouvernementales Américaines. 

     II.            Mode d’opération

Les recherches de la NSA ont montré que, le logiciel malveillant comporte différents modules qui garantissent la discrétion, la persistance et un accès complet à la machine compromise avec les plus hauts privilèges. Alors, les pirates s'appuierait sur ce malware pour récolter des informations confidentielles en infiltrant des réseaux sensibles et sécurisés. Ce logiciel permettrait également d'exécuter des commandes malveillantes. 

En fait, « Drovorub » est un ensemble de logiciels malveillants pour Linux composé de quatre composants principaux pour fonctionner :

·         Serveur Drovorub

Installé sur une infrastructure contrôlée par l'acteur, active C2 pour le client Drovorub et l'agent Drovorub. MySQL est utilisé par le serveur Drovorub pour gérer le (s) client (s) Drovorub et le (s) agent (s) Drovorub. La base de données stocke les données utilisées par l'agent Drovorub et le client pour l'enregistrement, l'authentification et l'attribution des tâches.

·         Client Drovorub

Le client Drovorub est installé sur les terminaux cibles par l'acteur. Le client reçoit des commandes du serveur Drovorub distant et propose un transfert de fichier vers / depuis la victime, une redirection de port et une capacité de shell distant. Le client Drovorub est emballé dans un module du noyau Drovorub qui fournit une fonctionnalité furtive basée sur un rootkit pour masquer le client et le module du noyau.

·         Module Drovorub-kernel

Le module du noyau implémente la furtivité, se cachant lui-même et divers artefacts de l'espace utilisateur, y compris les fichiers et répertoires spécifiés, les ports réseau et les sessions, le processus Drovorub-client et les processus enfants Drovorub-client.

·          

·         Agent Drovorub

L'exécutable de l'agent Drovorub reçoit des commandes de son serveur Drovorub configuré. L'agent est susceptible d'être installé sur des hôtes accessibles sur Internet ou sur une infrastructure contrôlée par un acteur. Contrairement au client Drovorub, l'agent Drovorub n'inclut pas la capacité de Shell distant et est conçu pour télécharger des fichiers vers et télécharger des fichiers à partir des points de terminaison du client Drovorub, et transférer le trafic réseau via des relais de port.

Grâce à ces différents composants, il est possible de voler des données à distance et de prendre le contrôle de l'ordinateur de la cible. C’est ce qu’il ressort du rapport technique des agences précitées.

 III.            Détection et prévention

   Détection

Il existe plusieurs techniques de détection pour identifier efficacement l'activité des logiciels malveillants Drovorub. Cependant, en raison de la fonctionnalité furtive du module Drovorub-kernel, cela pose un défi pour la détection à grande échelle sur l'hôte car il masque les artefacts Drovorub des outils couramment utilisés pour la réponse en direct à grande échelle.

Plusieurs méthodes s’offrent à nous pour la détection :

·         La détection basée sur le réseau :

Les systèmes de détection d'intrusion réseau (NIDS) peuvent identifier de manière réalisable les messages de commande et de contrôle entre le client Drovorub, l'agent Drovorub et le serveur Drovorub. 

Certains NIDS, par exemple «Snort», peuvent désobscurcir les messages du protocole WebSocket «masqués» via des capacités de script. Les règles Snort suivantes peuvent être utilisées pour détecter les communications réseau du serveur Drovorub vers le client Drovorub. La règle 1 peut également détecter les communications entre le client Drovorub et le serveur Drovorub non masquées.image003

image009

Avantages: détection à grande échelle et à haute fiabilité (à l'échelle du réseau) de la commande et du contrôle du réseau.

Inconvénients: sous réserve de contournement via TLS ou si le format des messages change.

·         Détection basée sur l’hôte :

Un script pour communiquer avec le module Drovorub-kernel à l'aide de règles Yara tente de déterminer si le module Drovorub-kernel cache un fichier spécifique basé sur des préfixes de fichiers préconfigurés connus. Ci-dessous un exemple de règle Yara qui recherche des préfixes de fichiers préconfigurés :

image010 1

Avantages: Déploiement rapide et évolutif des détections sur les terminaux pour détecter les échantillons connus, avec un risque relativement faible d'affecter la stabilité du système.

Inconvénients: Sous réserve de contournement si le préfixe de fichier diffère de la valeur connue.

·         Produits de sécurité (antivirus, détection et réponse des terminaux, etc.)

L'utilisation de différents produits de sécurité peut fournir une visibilité sur divers artefacts du malware Drovorub, y compris la détection de la fonctionnalité de rootkit. De plus, une journalisation correctement configurée par Linux Kernel Auditing System peut révéler des artefacts de la compromission initiale et de l'installation du malware Drovorub.

·         Réponse en direct

Les techniques de réponse en direct comprennent: la recherche de noms de fichiers, de chemins, de hachages et de règles Yara spécifiques sur les systèmes en cours d'exécution à l'aide de binaires et de bibliothèques système natifs pour détecter les activités malveillantes à l'échelle de l'entreprise. Comme mentionné précédemment, le module Drovorub-kernel se cache lui-même ainsi que les fichiers, processus et connexions réseau associés en accrochant certaines fonctions du noyau, ce qui réduit considérablement l'efficacité de cette méthodologie de détection. Par conséquent, cette méthode de détection est soumise à un risque accru de faux négatifs.

·         Analyse de la mémoire

L'analyse de la mémoire en cours d'exécution capturée d'un point de terminaison est l'approche la plus efficace pour détecter le module Drovorub-kernel car elle offre le meilleur aperçu des comportements que le rootkit prend pour se cacher et d'autres artefacts sur le système. Il existe plusieurs outils tels que Linux Memory Grabber, LiME and Volatility, ou Rekall qui peuvent être utilisés pour acquérir et analyser la mémoire. Ci-dessous des exemples montrant l'analyse de la mémoire avec la volatilité :

image011 2

 

L'exemple ci-dessus montre une commande Volatility exécutée sur un hôte Linux exécutant une image mémoire CentOS infectée par Drovorub avec un module de noyau caché.

image012 1

Dans la figure 2, Volatility est utilisé pour vider le module de la mémoire pour un examen plus approfondi en utilisant le plugin «linux_moddump».

image013

Le fichier dr_mod.0xffffffffa008060.lkm est gravé de mémoire dans un dossier «carvings». Avec la règle Yara référencée dans "Yara Rule Example", vous pouvez exécuter la règle sur le fichier pour déterminer s'il s'agit du module Drovorub-kernel. L'exemple ci-dessus dans la figure 3 montre une correspondance pour le malware.

Avantages: offre le plus haut niveau de visibilité sur les comportements et les artefacts spécifiques des rootkits tels que les fichiers, les autres processus et les connexions réseau masqués par le malware.

Inconvénients: impact potentiel plus élevé sur la stabilité du système et pas aussi évolutif à un grand nombre de points de terminaison.

·         Analyse des médias (image disque)

Drovorub contient plusieurs artefacts basés sur des fichiers qui sont présents et persistants sur un support de disque d'extrémité compromis, bien que cachés des binaires système normaux et des appels système par le rootkit. De plus, l'acquisition d'images de média brutes est une méthode de détection viable pour les échantillons Drovorub connus en utilisant des indicateurs d'échantillons (par exemple les noms de fichiers et les chemins) ou des règles Yara.

Avantages: offre une visibilité sur les fichiers Drovorub sur le disque, y compris les données de configuration.

Inconvénients: perte d'artefacts résidant en mémoire, impact potentiel plus élevé sur la stabilité du système, et pas aussi évolutif à un grand nombre de points de terminaison.

   Prevention

·         Appliquer les mises à mises à jour LINUX.

Les administrateurs système doivent continuellement vérifier et exécuter la dernière version du logiciel fourni par le fournisseur. Plus important encore, les administrateurs système devraient mettre à jour vers Linux Kernel 3.7 ou version ultérieure afin de profiter pleinement de l'application de la signature du noyau.

·         Empêcher les modules de noyau non approuvés

Il est conseillé aux administrateurs système de configurer les systèmes pour charger uniquement les modules avec une signature numérique valide, ce qui rend plus difficile pour un acteur d'introduire un module de noyau malveillant dans le système.

OCTOBRE MOIS DE LA CYBERSECURITE

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Dans un contexte de généralisation et de multiplication des menaces numériques qui pèsent sur les systèmes et les données des utilisateurs, la sensibilisation s’avère être une arme de premier choix dans la dynamique d’anticipation, de prévention et de protection des usagers contre les cyber menaces.  Dans la plupart des pays du monde, le mois d’Octobre est spécialement dédié à cet axe important des stratégies et politiques de cybersécurité nationales.

La Côte d’Ivoire s’inscrit également dans cette tendance en faisant de la sensibilisation à la sécurité numérique, son cheval de bataille. En effet, le mois de la Cybersecurité, est une initiative annuelle de sensibilisation qui vise également à mettre en lumière les enjeux de la sécurité et renforcer les efforts en vue de l’adoption des bonnes pratiques en matière de cybersécurité par les institutions, les organisations du secteur privé et les citoyens.

Dans le cadre de la célébration du mois de la cybersécurité 2020, une large campagne de communication via les canaux de communication web sera conduite par le Centre National de Veille et de Réponse aux Incidents de Sécurité Informatique de Côte d’Ivoire (CI-CERT). En effet, des sessions de formation éclatées et des campagnes d’affichage numérique et de sensibilisation seront réalisées tout au long de ce mois d’Octobre.

Participez tous à cet effort de sensibilisation et de partage de connaissances sur la sécurité, afin de faire de notre cyberespace national un environnement sûr et gage de confiance numérique.

S'ABONNER À NOTRE NEWSLETTER

18 BP 2203 Abidjan 18 – Côte d’Ivoire
Téléphone : +225 27 20 34 42 63 
Fax : +225 27 20 34 43 75
Marcory Anoumanbo, Abidjan – Côte d’Ivoire

 

 

PARTENAIRES