pascals.blog

La perle du week-end

pascals — Sat, 24 Oct 2009 22:41:45 GMT

Depuis que nos politiques s’intéressent à l’informatique et à l’internet, le spectacle est plutôt amusant. Mais lorsque la politique rejoint l’éducation, là, on rigole franchement. Voici donc ce que j’ai découvert aujourd’hui... Je n’en reviens toujours pas.

Dans ma lointaine banlieue, des élèves de Seconde ont reçu dans leur lycée un cadeau de la région Île de France, sous la forme d’une magnifique boîte métallique à leur logo abritant une clé USB de 2 Go et un porte-clés, accompagnés de cette carte :

Cette clé, éditée par la société Mostick, est un “bureau mobile” : elle contient des applications en versions “portables”, exécutables sur place sans installation et sans laisser de trace sur le PC. Principe intéressant : l’utilisateur a ses applications et ses données dans sa poche, et peut y accéder sur tout PC.

Mais la dernière phrase de la carte laisse songeur : “Si vous utilisez VISTA, AUTORISEZ l’exécution des programmes”. On peut craindre le pire, et en effet, un rapide test le démontre :

Le programme start.exe dans la racine de la clé nécessite les privilèges d’administrateur :

Ce programme n’est pas signé : on doit autoriser un programme d’origine inconnue à s’exécuter avec tous les droits sur le système.

Tous les programmes qui seront à leur tour exécutés par start.exe hériteront du même contexte, donc des mêmes privilèges.

Mais ils ne s’arrêtent pas là, puisqu’ils incluent une version vulnérable de Firefox, la version 3.5.1.

Au final, nous avons affaire à un système qui nécessite que les adolescents aillent sur Internet avec tous les privilèges d’administrateur et des applications vulnérables... Bravo ! Je suppose que les auteurs exécutent Firefox 3.5.1 en tant que root sous Linux.

La société Mostick écrit dans son petit texte de présentation, qui ne manque pas d’humour : “un contenu socialement responsable issu de l’informatique éthique”. Puis “des logiciels stables, compatibles, ergonomiques et sécures”. J’en reste coi.

Format VHD et l’héritage des Mac

pascals — Thu, 22 Oct 2009 18:07:46 GMT

J’étais en train de travailler sur le format des fichiers VHD à partir de la documentation publique, lorsque je suis tombé sur un détail amusant : les nombres dans ce format sont stockés en big-endian. C’est à dire en commençant par le poids fort… C’est à dire qu’un nombre de 4 octets valant 0x12345678 est stocké de cette manière : 12 34 56 78. Alors que sur les plateformes Intel on a plutôt l’habitude de la notation little-endian, c’est à dire 78 56 34 12.

Cette singularité m’est apparue lorsque j’ai décodé la daté de création d’un VHD quelque part en 2011… Une inversion des octets m’a vite donné le bon résultat en 2009.

Ci-dessus, la date de création du VHD est à l’offset 0x0018, en nombre de secondes depuis le 1/1/2000 0:00 GMT. Je vous laisse faire le calcul (merci Excel) :-).

Après vérification, il s’avère que c’est précisé dans la documentation :

All values in the file format, unless otherwise specified, are stored in network byte order (big endian).

Je suppose que la raison de cela est que Connectix, à qui Microsoft a acheté la technologie Virtual PC et Virtual Server en 2003, a commencé par des produits sur Mac, sans doute sur processeur PowerPC.

Etonnant non ?

Sortie officielle de Windows 7

pascals — Thu, 22 Oct 2009 09:20:18 GMT

Aujourd’hui 22 octobre 2009 marque la sortie officielle de Windows 7. Pour la première fois, une version de Windows nécessite moins de capacité matérielle que son prédécesseur pour fonctionner : c’est là son aspect le plus “visible”, outre une interface utilisateur plus aboutie. Mais deux points m’importent le plus :

La sécurité de Windows 7 est bâtie sur les fondamentaux de Windows Vista, qui marquait une évolution majeure dans ce domaine. Par exemple : UAC, BitLocker, etc. ont été développés et améliorés.

La virtualisation devient un composant incontournable, en la présence de Windows Virtual PC et Windows XP Mode, qui résolvent élégamment les problèmes de compatibilité en entreprise.

Informations sur Windows 7 :

http://www.microsoft.com/france/windows/

Téléchargement de Windows Virtual PC et Windows XP Mode :

http://www.microsoft.com/windows/virtual-pc/download.aspx

Préavis des bulletins de sécurité du 13 octobre

pascals — Thu, 08 Oct 2009 21:58:59 GMT

Grosse livraison pour ce mois d’octobre, puisque nous avons droit mardi prochain à 13 bulletins de sécurité, dont 8 critiques :

http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx

Les postes de travail et les serveurs, y compris les serveurs applicatifs, sont concernés, puisque les bulletins concernent Windows, IE, Office, Silverlight, SQL Server, les outils de développement et Forefront Client Security.

Sysinternals: Disk2vhd 1.0

pascals — Thu, 08 Oct 2009 16:30:02 GMT

Le dernier-né des outils de Sysinternals, Disk2vhd, vient d’être mis à disposition ici :

http://technet.microsoft.com/en-us/sysinternals/ee656415.aspx

Disk2vhd crée un fichier VHD à partir d’un disque physique. La particularité de Disk2vhd est qu’il peut créer une image VHD à partir d’un système en train de tourner. Pour ce faire, il utilise la fonctionnalité de Volume Snapshot, introduite avec Windows XP. Parmi les usages intéressants, on peut utiliser Disk2vhd pour créer une machine virtuelle à partir d’un système physique (P2V).

Disk2vhd fonctionne sur Windows XP SP2, Windows Server 2003 SP1, et supérieurs, en 32 et 64 bits.

Plus de détails à l’adresse ci-dessus.

Migration d’Hyper-V vers 2008 R2, et problèmes de carte réseau sur les VM Linux

pascals — Thu, 08 Oct 2009 14:45:04 GMT

J’ai finalement migré mon serveur Hyper-V, de Windows Server 2008 à Windows Server 2008 R2, pour tomber sur un problème délicat avec des machines virtuelles Linux et la disparition de leur carte réseau.

Je n’ai pas forcément pris le chemin habituel. Certains auraient simplement mis à jour le système après avoir pris soin d’arrêter les machines virtuelles. D’autres auraient exporté les VM, réinstallé le système, puis réimporté les VM. Personnellement aucune de ces deux solutions ne me convenait : je suis réticent aux upgrades de systèmes, préférant repartir à chaque fois sur une installation “propre”. Et le mécanisme d’export/import de VM change la structure de stockage des fichiers sur le disque, ce qui ne me convient pas non plus. A tord !

Bien évidemment, les problèmes que j’ai rencontrés ne me seraient pas arrivés si j’avais suivi l’une ou l’autre des solutions “normales”. J’ai donc procédé comme ceci (ce que je ne recommande donc pas si vous êtes pressé) :

Vérifier qu’aucune VM n’a de snapshot.
Eteindre toutes les VM.
Note : dans ma configuration, le système est sur un disque, les VHD sur un autre, et les sauvegardes sur un troisième.
Sauvegarder les VHD –à noter que ce sont les seuls fichiers que je conserve dans la manipulation, car j’ai l’intention de définir les nouvelles machines virtuelles avec ces mêmes VHD.
Noter la définition des VM et des réseaux virtuels.
Installer Windows Server 2008 R2 comme une nouvelle installation (en supprimant la partition existante sur le disque réservé au système). Installer les mises à jour, les comptes utilisateurs, l’adresse IP, etc.
Activer le rôle Hyper-V et utiliser le script HVremote pour mettre en place l’administration à distance.

A ce stade, j’ai donc un système 2008 R2 propre sur le disque système, Hyper-V opérationnel, et mes fichiers VHD d’origine sur le disque d’origine qui leur était dédié.

Réinitialiser les ACL sur tous les fichiers VHD (icacls *.vhd /reset), ceci principalement par souci de détail. Voir ici pour une explication des ACL qu’Hyper-V ajoute sur les VHD. Nettoyer les ACL des permissions laissées par un ancien Hyper-V n’est pas obligatoire, mais c’est une bonne idée, lorsque l’on réutilise un disque sur un nouveau système, de faire le ménage sur les ACL.
Créer les réseaux virtuels tels qu’ils existaient auparavant.
Créer chaque VM avec la même configuration qu’auparavant : mémoire, carte réseau (normale ou legacy selon les cas), VHD... Au passage, Hyper-V 2008 R2 inclut par défaut un contrôleur SCSI dans chaque nouvelle VM : on peut le supprimer si la VM n’en avait pas auparavant.

Jusqu’ici tout va bien, il ne reste plus qu’à démarrer les VM.

Premier déboire : un Windows XP nécessite une réactivation, à cause du changement de matériel. Puis, après mise à jour des composants d’intégration, la carte réseau est vue comme une nouvelle carte, paramétrée par défaut en DHCP. Si une adresse fixe est nécessaire, il faut la redéfinir, ce qui produit un avertissement classique :

Ce qui aurait dû me mettre la puce à l’oreille pour le problème des machines Linux...

Venons-en donc à une machine virtuelle Linux, plus exactement un Debian 4.0 (etch). L’erreur est immédiatement visible au boot :

et à la commande ifconfig :

Plus de carte réseau... alors que la commande dmesg montre que le driver Tulip (la carte Legacy network adapter n’a pas changé entre les versions d’Hyper-V) est bien chargé et reconnait bien la carte et sa nouvelle adresse MAC :

Après quelques recherches et essais divers, il s’avère que la nouvelle carte est bien présente, mais le noyau l’a nommé eth1 au lieu de eth0 :

Pour remettre les choses en place, trois solutions sont possibles :

Première possibilité, dans le fichier /etc/network/interfaces, remplacer eth0 par eth1. C’est le plus simple, le plus rapide.

Deuxième possibilité, si l’on souhaite appeler eth0 la nouvelle carte, il faut savoir que Linux maintient une correspondance entre les adresses MAC et les noms d’interfaces. Ce fichier se trouve dans /etc/udev/rules.d. Sur un de mes systèmes il s’appelle 70-persistent-net.rules, sur un autre : z25-persistent-net.rules. La règle semble être que le fichier s’appelle <préfixe>-persistent-net.rules :

On voit bien dans ce fichier l’historique des adresses MAC rencontrées par le système, et comment la nouvelle a été numérotée eth1.

Il suffit alors d’éditer ce fichier pour attribuer le nom eth0 à la nouvelle adresse MAC :

Troisième possibilité : dans Hyper-V, configurer la machine virtuelle pour donner à la carte réseau la même adresse MAC que l’ancienne machine virtuelle... Ce qui explique pourquoi il aurait été judicieux de faire un export et un import de la VM, et conserver l’adresse MAC d’origine.

J’espère que cela évitera des déboires à certains, et dépannera ceux qui perdent leur carte réseau.

Et je remercie mon collègue Youssef, et Bing pour avoir trouvé le fichier 70-persistent-net.rules à la vitesse de l’éclair !

Windows Virtual PC pour les abonnés Technet et MSDN

pascals — Thu, 08 Oct 2009 12:41:18 GMT

Ben Armstrong l’annonçait hier : Windows Virtual PC et Windows XP Mode sont désormais disponibles en téléchargement pour les abonnés Technet et MSDN :

Comme annoncé la semaine dernière, il sera disponible pour tout le monde le 22 octobre, en même temps que Windows 7.

Pour rappel, Windows Virtual PC est la nouvelle version de Virtual PC pour Windows 7, et Windows XP Mode est une machine virtuelle Windows XP prête à l’emploi pour Windows Virtual PC. Windows Virtual PC fonctionne sur toutes les versions de Windows 7, Windows XP Mode est réservé à Windows 7 Professionnel, Entreprise et Ultimate. L’objectif de Windows XP Mode est de résoudre les derniers problèmes de compatibilité avec des applications métier anciennes.

Bing!

pascals — Thu, 01 Oct 2009 18:32:22 GMT

Pour ceux qui lisent ce blog –ou les autres sur Technet et MSDN- directement à la source : vous avez peut-être remarqué une nouvelle boîte de recherche avec un bouton orange, à droite de la page. Dorénavant, vous ne cherchez plus, vous binguez dans ce blog ! Essayez, cela fonctionne. Sérieusement.

Microsoft Security Essentials

pascals — Tue, 29 Sep 2009 19:10:03 GMT

Microsoft Security Essentials (ex-Morro), logiciel anti-malware grand public gratuit, est désormais disponible à partir d’aujourd’hui à l’adresse :

http://www.microsoft.com/security_essentials/

Il supporte Windows XP SP2 et SP3, Windows Vista Gold, SP1 et SP2 (x86 et x64), ainsi que Windows 7 (x86 et x64).

Logiciels non désirés d’Apple, toujours et encore

pascals — Mon, 28 Sep 2009 10:03:09 GMT

Ce n’est pas nouveau : Apple se fait une spécialité d’installer ce qui les chantent sur tous les PC équipés d’iTunes. N’oublions pas que l’immense majorité des possesseurs d’iPods et d’iPhones sont en fait des utilisateurs de Windows, et sont condamnés à iTunes. Ce matin cet article m’a fait bondir : les PC équipés d’iTunes, même installé de façon minimale, se voient proposer par défaut l’installation d’un utilitaire de configuration d’iPhone. Outil d’entreprise qui inclut le serveur Apache !

Il s’agit de l’outil permettant de configurer un iPhone pour l’utilisation du protocole Exchange ActiveSync. Outil nécessaire (bien que d’une conception étrange, embarquant un serveur web), mais uniquement pour les possesseurs d’iPhones et ayant besoin d’une connexion sécurisée à Exchange. Ce qui ne court pas les rues parmi les utilisateurs d’iTunes sous Windows.

Décidemment, les choses ne changent pas.

Avis 975497 - Vulnérabilité SMBv2 dans Windows Vista et Windows Server 2008

pascals — Fri, 18 Sep 2009 16:24:40 GMT

Une vulnérabilité fait la une ces jours-ci, la vulnérabilité sur le protocole SMBv2. Je conseille la lecture attentive de l’avis suivant, publié le 8 septembre et mis à jour le 17 :

Avis de sécurité Microsoft (975497) : Des vulnérabilités dans SMB pourraient permettre l'exécution de code à distance

Cette vulnérabilité (CVE-2009-3103) affecte Windows Vista RTM, SP1 et SP2, ainsi que Windows Server 2008 RTM et SP2, en versions 32 et 64 bits. Elle est significative car elle permet une exécution de code à distance qui a déjà été démontrée. Cela dit, bien qu’un correctif ne soit pas encore disponible à ce jour, l’avis ci-dessus est très clair sur les solutions de contournement qui existent :

Désactiver SMBv2, soit par le registre comme indiqué dans l’avis (smb2 [DWORD] = 0 dans HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters, puis redémarrer le service server), soit par le “Fix it” (solution en un clic) de l’article KB975497.
Bloquer les ports TCP 139 et 445.

Mon avis est que la première solution de contournement est la plus simple et la moins impactante, en attendant un correctif. SMBv2 n’est utilisé qu’entre des systèmes Vista et 2008. : si vous avez des clients XP ou des serveurs 2003, SMBv2 n’est de toutes manières pas utilisé. Voir cet article pour plus d’informations sur SMBv2, voire les spécifications si vous avez le courage.

[En attendant que ma contribution bloguesque reprenne un rythme plus régulier, sachez que je commets quelques tweets occasionnels sur http://twitter.com/psauliere]

Rentrée virtuelle

pascals — Sun, 30 Aug 2009 18:45:36 GMT

La rentrée est riche sur le front de la virtualisation !

Du coté client :

Windows 7 RTM est disponible pour les abonnés Technet et MSDN.
Windows Virtual PC RC. Ce n’est pas encore la version finale, mais cela s’en rapproche. En téléchargement gratuit pour Windows 7 Home Basic, Home Premium, Professional, Enterprise et Ultimate. Voir également le site et le blog. Pour situer le produit : Windows Virtual PC est le successeur de Virtual PC. Il ne fonctionne que sous Windows 7 et bénéficie de nouveautés que j’aborderai plus tard.
Windows XP Mode RC. Pour Windows 7 Professional, Enterprise en Ultimate, une machine virtuelle Windows XP prête à l’emploi, pour en finir avec les problèmes de compatibilité en entreprise.

Du coté serveur :

Windows Server 2008 R2 RTM est disponible pour les abonnés Technet et MSDN. Des VHD d’évaluation sont en téléchargement en version Enterprise et Enterprise Core.
Hyper-V Server 2008 R2. L’hyperviseur est disponible en téléchargement gratuit.
Linux Integration Components for Windows Server 2008 Hyper-V R2. Ces composants sont disponibles en version 2.0 finale pour SUSE Linux Enterprise Server 10 SP2 et 11, x86 et x64. Ils supportent Windows Server 2008 (et 2008 R2) Hyper-V, ainsi que Hyper-V Server 2008 (et 2008 R2).
Remote Server Administration Tools (RSAT) for Windows 7. Ces outils d’administration à distance sont nécessaires pour administrer un serveur Hyper-V depuis un poste Windows 7.
HVRemote. Ce script est indispensable pour l’administration distante d’Hyper-V dans un environnement workgroup ou mixte.
System Center Virtual Machine Manager (SCVMM) 2008 R2. Le produit d’administration est RTM est disponible en version d’évaluation.

Pour tout savoir :

Toutes les questions techniques sont abordées dans ces deux blogs :

Mise à jour 31/8/2009 : RSAT, HVRemote et le Microsoft Virtualization Team Blog.

Vacances tranquilles 2 : Windows 7 et BitLocker sans TPM

pascals — Thu, 30 Jul 2009 00:23:35 GMT

Il y a un an, je décrivais ici même les précautions que vous pouvez prendre avant de partir en vacances l’esprit tranquille quant à vos données à la maison : faites des sauvegardes et chiffrez les données qui restent derrière vous. L’idée est que vos données soient protégées même en cas de vol du PC ou de non-redémarrage au retour de vacances. Ces conseils sont toujours d’actualités.

Aujourd’hui je vais profiter du fait que je suis en train de préparer un départ proche, pour vous faire profiter de l’utilisation de BitLocker dans Windows 7 Ultimate pour protéger les données qui restent sur place. Cette manipulation est valable pour la RC de Windows 7, et le sera à l’identique pour la version Ultimate (Intégrale) finale.

Cette machine contient deux disques internes : le disque du système et un disque de données. Comme c’est une machine de bureau et qu’elle date un peu, elle ne dispose pas d’un TPM. Il faudra donc utiliser une clé USB pour que Windows récupère la clé BitLocker lors de son démarrage.

AVERTISSEMENT : Ne chiffrez pas votre disque à moins de comprendre le mécanisme de BitLocker, de disposer d’au moins deux clés USB formatées en FAT, et d’être certain de ne pas perdre ces deux clés. Une fois votre disque chiffré, si vous perdez la clé, personne ne pourra absolument rien pour vous, vos données seront perdues à jamais.

1. Chiffrement du disque C: (système)

Donc la première étape est de configurer BitLocker pour qu’il accepte de fonctionner dans ce mode “clé USB”, sans TPM. Pour ceci, lancez gpedit.msc, puis sélectionnez le nœud Computer Configuration – Administrative Templates – Windows Components – BitLocker Drive Encryption – Operating System Drives :

Double-cliquez sur Require additional authentication at startup :

Sélectionnez Enabled pour activer la stratégie, et cochez la case Allow BitLocker without a compatible TPM. Les explications se trouvent dans le texte de droite. Validez et fermez gpedit.

Dans l’explorateur Windows, cliquez à droite sur le Disque C et sélectionnez Turn on BitLocker.

L’assistant BitLocker démarre :

Sélectionnez Require a Startup key at every startup. Si ce n’est déjà fait, connectez la clé USB choisie pour abriter la clé de chiffrement BitLocker. L’assistant vous montre la clé USB connectée :

Sélectionnez la clé USB et cliquez sur Save.

Cette étape vous propose de faire une ou plusieurs copies du mot de passe de récupération BitLocker. Je vous conseille de faire deux choses : imprimez le mot de passe grâce à la troisième option Print the recovery key, puis sauvegardez le mot de passe sur la même clé USB que la clé BitLocker, grâce à la première option Save the recovery key to a USB flash drive.

Conservez le papier sur lequel vous avez imprimé le mot de passe en lieu sûr.

Une fois ces deux sauvegardes effectuées, cliquez sur Next.

Cette étape est très importante : elle consiste à vérifier que votre PC parvient à lire la clé USB lors du démarrage, ce qui est nécessaire pour le fonctionnement de BitLocker sans TPM. Assurez-vous que la case Run BitLocker system check est bien cochée, puis cliquez sur Continue.

Cliquez sur Restart now pour effectuer la vérification. Après le redémarrage, ouvrez une session avec le même compte utilisateur que précédemment.

Au redémarrage, en cas de problème avec la vérification, un message vous en préviendra. Arrêtez ici : il est inutile, et dangereux, de continuer plus loin. Au mieux, retentez l’opération depuis le début avec une autre clé USB.

Si aucun message ne vient vous avertir d’un problème, la vérification a réussi et le chiffrement du disque est en train de commencer. Vous verrez un icône de BitLocker dans la zone de notification de Windows 7 :

En cliquant sur l’icône vous pouvez suivre la progression du chiffrement (patience… le chiffrement de mon disque SATA2 de 500 Go a pris plusieurs heures.)

Vous remarquerez aussi que pendant le chiffrement, le disque C apparaît complètement saturé :

C’est tout à fait normal et cela ne dure que le temps du chiffrement. Pendant ce temps, vous pouvez observer le statut de BitLocker dans une ligne de commande en tant qu’administrateur, avec la commande manage-bde –status :

De même vous pouvez consulter les protecteurs de clé pour le disque C avec la commande manage-bde –protectors –get C:

Notez que cette commande vous permet d’afficher le mot de passe de récupération.

Une fois le chiffrement terminé, vérifiez que votre machine redémarre correctement : avec la clé USB connectée, le démarrage doit se dérouler normalement. Sans la clé, BitLocker doit vous inviter à connecter la clé et à taper Echap pour redémarrer. S’il y a un problème à ce niveau, il vaut mieux déchiffrer le disque :

Utilisez le mot de passe de récupération (recovery mode) que vous avez imprimé pour démarrer le système.
Depuis le panneau de configuration (Control Panel – System and Security – BitLocker Drive Encryption), sélectionnez Turn Off BitLocker puis Decrypt Drive.

Si tout s’est bien déroulé jusqu’ici, il est temps de faire une deuxième copie de la clé USB. Pour ce faire, cliquez à droite sur le disque C dans l’explorateur Windows, et sélectionner Manage BitLocker. Sélectionnez alors Duplicate the startup key pour sauvegarder la clé de chiffrement sur la deuxième clé USB. Puis, refaites l’opération en sélectionnant cette fois Save or Print recovery key again pour sauvegarder à nouveau le mot de passe de récupération.

2. Chiffrement d’un disque de données interne

Si vous avez tout suivi jusqu’ici, et si vous avez comme moi un deuxième disque dur interne à protéger, il reste à chiffrer celui-ci, cette fois avec un simple mot de passe.

Dans l’explorateur Windows, cliquez à droite sur le disque de données (D: dans mon cas) et sélectionnez Turn on BitLocker.

Cochez la case Use a password to unlock the drive, et entrez (deux fois) le mot de passe que vous avez choisi. Cochez également la case Automatically unlock this drive on this computer. Notez que cette dernière option permet de déverrouiller automatiquement le disque de données, mais que la clé est stockée sur le disque C qui est déjà chiffré, donc protégée. Il n’y a donc pas de risque à ce niveau.

Cliquez sur Next.

On vous demande ensuite de sauvegarder le mot de passe de récupération (recovery key) pour ce deuxième disque. La manipulation est identique à précédemment : Imprimez le mot de passe, puis sauvegardez-le une fois sur la 1ère clé USB, et une seconde fois sur la seconde clé USB.

Une fois l’impression et les sauvegardes effectuées, cliquez sur Next.

Cliquez sur Start Encrypting pour démarrer le chiffrement. Quelques heures sont encore nécessaires, pendant lesquelles le disque de données apparaîtra comme presque plein et ne disposant que de 6 Go de libre.

Reste à s’assurer que les impressions des mots de passe de récupération seront en lieu sûr, ainsi que les deux clés USB. Personnellement je les apporte en vacances, avec les sauvegardes de mes données sur un disque dur externe compact. S’il prenait l’idée à un voleur de mettre la main sur mon PC, il n’aurait qu’une machine qui ne démarre pas et deux disques illisibles…

Bonnes vacances !

Bulletins de sécurité du 28 juillet

pascals — Wed, 29 Jul 2009 00:55:30 GMT

Un avis de sécurité et deux nouveaux bulletins de sécurité ont été publiés ce soir. Les versions françaises de ces bulletins seront publiés exceptionnellement plus tard (surveillez la synthèse de juillet en français les jours qui viennent) :

Synthèse et informations complémentaires :

Synthèse en anglais : synthèse de juillet mise à jour en 2.0 pour cette publication.
Annonce du MSRC, détaillant clairement la nature et les implications de ces vulnérabilités.
Article de Michael Howard détaillant la cause des vulnérabilités de MS09-035.
Article publié sur le blog du Blue Hat sur la découverte de ces vulnérabilités.

Reportez-vous en priorité à l’avis 973882 pour plus d’informations.

Homegroups : comment ça marche ?

pascals — Tue, 28 Jul 2009 03:06:47 GMT

Il y a des choses dans Windows qui ne changent pas. Comme le SRM par exemple. Le Security Reference Monitor est cette petite chose qui contrôle tous les accès à des objets : chaque fois qu’un processus demande à accéder à un objet (un fichier par exemple), le SRM vérifie obligatoirement les permissions sur l’objet (quels utilisateurs et/ou groupes ont le droit de faire quoi) et le jeton du processus, représentant son identité (utilisateur, groupes).

Cela se corse un peu par le réseau, notamment dans un contexte de type workgroup. Dans ce contexte, si depuis une MachineA je veux lire un fichier situé sur MachineB, je dois m’authentifier avec un compte local à MachineB, et ce compte doit avoir la permission adéquate à la fois sur le partage réseau et le fichier.

Cela est simplifié en général par deux mécanismes. Le premier est le mode de partagé simplifié (seul disponible sur les versions Home / Familiales de Windows depuis XP), dans lequel on est systématiquement authentifié en tant qu’Invité sur la machine cible. Le second, dans cas du mode de partage standard, consiste à utiliser le même compte et le même mot de passe sur les deux machines. Ainsi si MachineA\User1 et MachineB\User1 existent et ont le même mot de passe, l’authentification sera automatique.

Un détail qui a son importance ici : un autre mécanisme a été introduit depuis Windows XP : l’interdiction par défaut d’accéder à des ressources par le réseau avec un compte sans mot de passe.

Dans WIndows 7 apparaissent ce que l’on appellent les Homegroups. L’idée est de prendre en compte le fait que, dans la famille, on rencontre de plus en plus des PC individuels : chaque membre de la famille a son PC. De plus, dans la plupart des cas, chaque PC a un seul compte (l’utilisateur), qui est administrateur (d’où l’intérêt d’UAC au passage…) et sans mot de passe. D’où des problèmes sans fin avec le partage de fichiers entre les membres de la famille.

Partant également du principe qu’en général les membres de la famille veulent partager leurs fichiers (photos, vidéos, musique), le homegroup simplifie énormément la manière de procéder :

D’abord, le homegroup est fondé sur un seul mot de passe, qui est généré par le système, et peut être copié ou imprimé pour être partagé dans la famille.

Une fois le homegroup rejoint, chacun a la possibilité de choisir quelles librairies il souhaite partager avec le reste de la famille :

On peut également filtrer fichier par fichier ce que l’on souhaite partager ou non. Chacun peut ensuite accéder aux librairies partagées sur les autres ordinateurs de la famille, sans s’occuper des comptes ou des mots de passe de chacun :

Comment cela se passe-t-il ? Étant donné que des fichiers partagés sont dans le profil de l’utilisateur, l’accès ne peut pas être anonyme, ni Invité. Les utilisateurs de partagent pas leurs mots de passe, ceux-ci peuvent d’ailleurs être vides, donc la connexion ne se fait pas au nom d’un utilisateur.

Rien de magique à cela, et l’on reste bien dans le cadre d’un partage tout à fait normal. Chaque machine dans un Homegroup a un compte d’utilisateur nommé HomeGroupUser$. Ce compte appartient à un groupe nommé HomeUsers. Lancez lusrmgr.msc pour les voir. Ce groupe a les permissions sur les répertoires et fichiers partagés via les librairies.

Le contrôle d’accès est donc fait sur le compte HomeGroupUser$ qui est utilisé pour l’authentification. Le partage utilisé s’appelle Users, et correspond au dossier C:\Users. Ce partage a comme permissions BUILTIN\Administrators:F et Everyone:F (F pour Full Control), ce qui peut sembler un peu ouvert (!), mais tout le contrôle est fait sur les permissions NTFS des répertoires et fichiers : l’utilisateur du homegroup n’aura accès qu’au fichiers sur lesquels le groupe HomeUsers a des permissions.

Illustration sur la machine cible, avec l’outil ShareWatch qui affiche les connexions actives sur la machine cible :

On voit le partage Users ouvert par HomeGroupUser$, et les répertoires ouverts dans ce partage.