I. Présentation

Dans ce tutoriel, nous vous guiderons à travers l'installation de Plex Media Server sur Ubuntu 20.04.

Plex est un serveur multimédia en continu qui vous permet d'organiser vos collections de vidéos, de musique et de photos et de les diffuser sur tous vos appareils, à tout moment, et de n'importe où. La version gratuite suffit pour une utilisation "normal". Par contre, si vous souhaitez streamer vos contenus multimédias depuis un téléphone, l'application est payante. Néanmoins, cette solution reste selon moi la plus complète et la plus user-friendly du marché, pour gérer votre bibliothèque numérique.

Prenez connaissance des prérequis ci-dessous :

Vous devrez être connecté en tant qu'utilisateur avec un accès sudo, ou avec le compte root pour pouvoir installer des packages sur votre système Linux, ainsi que d'une connexion internet. Ce tutoriel est réalisé avec Ubuntu, mais il fonctionne aussi avec Debian.

II. Installation de Plex Media Server - Ubuntu

Le moyen le plus simple d'installer et de gérer Plex Media Server sur Ubuntu consiste à utiliser le référentiel officiel Plex, et d'installer Plex à l'aide de la commande apt.  L'installation ne devrait pas vous prendre plus de 30 minutes.

Commencez par importer la clé GPG du référentiel à l'aide de la commande curl suivante :

sudo curl https://downloads.plex.tv/plex-keys/PlexSign.key | sudo apt-key add -

Ajoutez le référentiel Plex APT à la liste des référentiels de votre système en exécutant la commande suivante :

sudo echo deb https://downloads.plex.tv/repo/deb public main | sudo tee /etc/apt/sources.list.d/plexmediaserver.list

Une fois que le référentiel Plex est importé, mettez à jour la liste des packages apt et installez Plex de la manière suivante :

sudo apt install apt-transport-https
sudo apt update
sudo apt install plexmediaserver

Pour vérifier que le service Plex est en cours d'exécution, tapez :

systemctl status plexmediaserver

III. Configuration de Plex Media Server

Avant de démarrer l'assistant de configuration Plex, créons les répertoires qui stockeront les fichiers multimédias Plex à l'aide de la commande ci-dessous :

sudo mkdir -p /opt/plexmediaserver/{movies,series,photos}

La commande précédente va créer les dossiers "movies", "series" et "photos" dans le répertoire "/opt/plexmediaserver/".

Le Plex Media Server s'exécute en tant qu'utilisateur Plex, mais nous copierons des fichiers multimédias via notre utilisateur courant (dans mon cas : user). Fixer la propriété récursive pour "L'utilisateur courant" pour le dossier "/opt/plexmiaserver" par l'intermédiaire de la commande : 

sudo chown -R $USER: /opt/plexmediaserver 

Fixez ensuite les droits récursifs "755" sur le dossier "/opt/plexmediaserver", afin que Plex puisse accéder aux fichiers en lecture/écriture. 

sudo chmod 755 -R /opt/plexmediaserver

Nous pouvons maintenant procéder à la configuration du serveur. Ouvrez votre navigateur, tapez http://YOUR_SERVER_IP:32400/webet l'écran suivant vous sera présenté:

Créez un compte, via l'une des méthodes d'authentification présentées.

N'oubliez pas de confirmer votre email, en cliquant sur le lien que Plex vous a envoyé par mail. Si le chargement devient "long" (> 1/2minutes), actualisez la page de votre navigateur.

Ignorez la fenêtre ci-dessous lorsqu'elle apparaît.

Changer le nom de votre serveur si vous le souhaitez.

Patientez quelques secondes, le temps que Plex d'initialise, cliquez ensuite sur "Ajouter une bibliothèque". Prenez le type "Films" et spécifiez un nom pour cette bibliothèque, on peut tout simplement indiquer "Films".

Avant de continuer, en guise d'exemple, je vais déposer un reportage, afin que par la suite, je puisse le streamer depuis mon navigateur. Le dossier cible est /opt/plexmediaserver/movies que nous avons créée en amont.

Revenons sur l'interface Web de Plex, et ajoutons ce fameux répertoire "Movies", pour qu'il puisse scanner et détecter le(s) fichier(s) qu'il contient. 

Cliquez sur "Ajouter une bibliothèque" pour valider l'opération.

Maintenant qu'il y a au minimum une bibliothèque ajoutée à notre serveur Plex, on peut cliquer sur "Suivant".

Enfin, cliquez sur "Terminer la configuration"

Voilà, nous venons de mettre en place notre serveur Plex avec succès. Comme vous pouvez le voir, sur la page d'accueil, le reportage que j'ai importé a été automatiquement synchronisé et référencé par Plex. Les détails du média sont automatiquement récupérés sur Internet : affiche du film, description, acteurs, note, etc... En fonction des données disponibles.

En cliquant, sur l'icône de la ressource multimédia, le reportage se lance.

Pour la gestion du débit et de la qualité vidéo, je vous invite à consulter les paramètres de Plex afin de les ajuster en fonction de vos désirs.

Voilà, votre serveur multimédia Plex est désormais en place et fonctionnel. Je vous laisserai le soin d'explorer pas à pas les autres menus afin de découvrir ses fonctionnalités qui sont nombreuses... Pour ma part, j'utilise Plex depuis près de 4 ans pour la gestion de certains contenus multimédias personnels, et je n'ai jamais rencontré de mauvaise surprise.

IV. Pour allez plus loin...

Afin de rendre votre serveur Plex accessible depuis l'extérieur (via un autre réseau, que votre réseau local, depuis n'importe où en fait), il faut obligatoirement ouvrir le port 32400 de votre box/routeur.

Pour cela, renseignez-vous en consultant la documentation de votre box. Dans notre cas, il faut ouvrir le port 32400 (TCP/UDP) et faire pointer cette règle vers l'adresse IP privée de votre machine.

ip source	port source	ip destination	port destination
<IP privée de votre serveur>	32400 (tcp,udp)	<votre IP publique>	32400 (tcp,udp)

J'espère que grâce à ce tutoriel vous avez réussi à installer votre serveur multimédia Plex sur votre machine Ubuntu ou Debian !

The post Installer un serveur multimédia Plex sous Debian ou Ubuntu first appeared on IT-Connect.

Ces dernières semaines, les vulnérabilités critiques au sein de Microsoft Exchange ont beaucoup fait parler d'elles. En effet, des milliers de serveurs ont été compromis et des backdoors laissées sur ces mêmes serveurs. En ce moment, le FBI pénètre à son tour sur les systèmes infectés dans le but de faire le nettoyage !

Alors que Microsoft et la CISA (l'équivalent de l'ANSSI aux États-Unis) mènent des actions de sensibilisations auprès des entreprises suite à ces nombreux piratages de serveurs Exchange, le FBI quant à lui passe directement à l'action !

Le FBI a reçu l'autorisation d'effectuer lui-même ce nettoyage et le gouvernement américain soutient cette initiative. Actuellement, les pirates ont la main sur des centaines de serveurs Exchange grâce à une porte dérobée (backdoor) installée lors de l'attaque initiale. Pas de panique : le FBI va vous venir en aide. Bien entendu, les agents du Federal Bureau of Investigation interviennent seulement auprès des entreprises basées aux Etats-Unis.

Dans un premier temps, le FBI intervient pour faire le nettoyage, sans prévenir les entreprises. À compter du 9 mai prochain, le FBI préviendra les entreprises d'un simple courrier électronique. Dans le cas où le courrier électronique n'est pas délivré correctement, le FBI sollicitera les opérateurs télécoms américains pour faire passer le message auprès de l'entreprise concernée. Cette façon de faire du FBI ne risque pas de plaire à tout le monde... Même si cela semble partir d'une bonne intention.

Lors de son intervention, le FBI supprime la porte dérobée qui permet aux hackers d'avoir un accès persistant sur l'infrastructure cible. Dans de nombreux cas, cette porte dérobée se présente sous la forme d'un webshell, c'est-à-dire la possibilité d'exécuter des commandes sur le serveur compromis au travers d'une page Web.

Pour rappel, ces failles Zero-Day touchent Exchange 2013, Exchange 2016 et Exchange 2019. Elles sont référencées avec les noms suivants : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065. Microsoft a publié un correctif depuis début mars 2021.

Source

The post Le FBI intervient sur les serveurs Exchange infectés pour faire le nettoyage first appeared on IT-Connect.

Alors qu'il a fêté ses 50 ans vendredi dernier, le protocole FTP n'est plus vraiment à la mode. Mozilla a pris la décision de le supprimer complètement de son navigateur à partir de Firefox 90 dont la sortie est prévue au début de l'été.

Depuis 2018, Firefox intègre une option qui permet de désactiver le support du protocole FTP au sein du navigateur. Lorsque cette option est activée, il n'est plus possible de télécharger un fichier via FTP (ftp://) via Firefox, ni même de visualiser le contenu d'un FTP à partir du navigateur.

À partir de Firefox 88, dont la sortie est prévue aujourd'hui, lundi 19 avril, le protocole FTP sera désactivé par défaut. Pour faciliter la transition et permettre l'utilisation des liens FTP, Mozilla a ajouté le protocole FTP à sa liste "protocol_handlers". Si une extension prend en charge le FTP, cela permettra de proposer à l'utilisateur d'ouvrir un lien FTP avec une application externe directement.

À partir de fin juin 2021 et la sortie de Firefox 90, Mozilla va arrêter totalement le support du protocole FTP. Autrement dit, l'implémentation du protocole FTP sera supprimée du code source de Firefox : il ne sera plus possible de réactiver le protocole FTP. Il est à noter que ce changement impacte également Firefox sur mobile.

Pour réactiver le FTP dans Firefox 88 puis dans Firefox 89, il faut suivre la procédure suivante :

1 - Accédez à "about:config" via la barre d'adresse et validez l'avertissement

2 - Recherchez le paramètre "network.ftp.enabled"

3 - Indiquez la valeur "TRUE"

Ce choix de la part de Mozilla est compréhensible, pourquoi continuer à s'appuyer sur le FTP pour le téléchargement de fichiers à partir du navigateur alors que ce protocole n'est pas sécurisé ? Il est préférable d'utiliser le protocole HTTPS à la place.

De son côté, Google a déjà supprimé le support du protocole FTP au sein de Chrome depuis l'été 2020 et la sortie de la version 82 de son navigateur.

Accédez-vous souvent à des ressources via le protocole FTP ?

Source

The post Mozilla va supprimer totalement le support du FTP dans Firefox 90 first appeared on IT-Connect.

La mise à jour cumulative KB5001330 de Windows 10 génère de nombreux bugs sur certaines machines ! Malheureusement, l'histoire se répète pour Microsoft.

Comme à son habitude, Microsoft a déployé son patch mensuel de mises à jour à destination de ces produits, et notamment une mise à jour cumulative pour Windows 10. La mise à jour KB5001330 s'adresse à Windows 10 v2004 et Windows 10 20H2, et surtout, elle génère de nombreux dysfonctionnements sur certaines machines. Même sur certains appareils de Microsoft tels que la Surface Pro 7 et le Surface Studio 2, le problème semble se produire.

Pourtant, cette mise à jour était la bienvenue, car elle corrigeait des failles de sécurité et des bugs gênants pour les utilisateurs, notamment au niveau des impressions. Parmi les bugs rapportés par les utilisateurs, nous avons des écrans bleus (BSoD), des machines qui figent, un blocage complet de Windows Update qui refuse de rechercher de nouvelles mises à jour (erreur 0x800f081f, 0x800f0984 ou 0x800f0922), et même des utilisateurs qui se retrouvent avec un profil temporaire sur leur session habituelle !

Pour le moment, la seule solution consiste à désinstaller cette foutue mise à jour. Voici comment procéder en ligne de commande, en tant qu'administrateur de la machine :

wusa /uninstall /kb:5001330

Sinon, à partir de l'interface graphique, voici les étapes à suivre : Paramètres > Mise à jour et sécurité > Windows Update > Afficher l'historique des mises à jour > Désinstaller des mises à jour > Sélectionner la KB5001330 > Redémarrer la machine après la désinstallation.

Si vous n'avez pas encore installé cette mise à jour, il vaut mieux patienter quelques jours et attendre une réaction de Microsoft.

Avez-vous constaté des problèmes suite à l'installation de la mise à jour KB5001330 ? Si oui, sur quel modèle de machine ?

Si vous souhaitez en savoir plus sur le Patch Tuesday d'Avril 2021, retrouvez mon article : Patch Tuesday Avril 2021

Source

The post Windows 10 KB5001330 : cette mise à jour génère de nombreux bugs ! first appeared on IT-Connect.

Salut à tous,

un court billet pour vous annoncer que je viens de customiser un peu php.

En effet, depuis un mois, les performances de linuxtricks.fr sont de moins en moins bonnes, il y a en effet de plus en plus de visiteurs...

A tester et n'hésitez pas à me signaler des soucis sur le site !

Certains possesseurs de Mac qui tournent sur une puce Apple M1 vont être content ! La dernière version de l'outil Parallels Desktop est capable de virtualiser Windows 10 !

Les derniers MacBook tournent sur une puce créée par Apple et baptisée Apple M1. Cette puce a largement fait ses preuves en terme de performances, tout en s'appuyant sur une architecture ARM. D'ailleurs, l'utilisation de cette nouvelle architecture a eu une conséquence : l'impossibilité de virtualiser Windows 10 sur un Mac. D'une part, l'outil Boot Camp n'est pas disponible sur ces nouveaux Mac et d'autre part l'outil de virtualisation Parallels Desktop n'était pas compatible avec ces mêmes modèles.

Avec la nouvelle version de Parallels Desktop, à savoir la version 16.5, les choses évoluent ! Désormais, l'outil est capable de virtualiser Windows 10 mais seulement une version spécifique : Windows 10 ARM, en version Insider Preview. Sans surprise, finalement, car cette version est la seule disponible aux particuliers. La version Windows 10 ARM est réservée aux OEM. Pour l'obtenir, vous devez devenir membre du programme Insider de Microsoft, ce qui est gratuit.

Maintenant que la solution est prête sur les nouveaux MacBook, il faut attendre un effort du côté de Microsoft pour que l'on puisse télécharger une version de Windows 10 ARM stable et accessible au grand public.

Visiblement, les performances de Windows 10 ARM avec la puce Apple M1 ne sont pas optimales. En tout cas, disons que la puce n'est pas totalement exploitée car d'après l'éditeur Parallels, les performances sont tout de même au dessus en comparaison d'un Mac avec un processeur Intel Core i9. En fait, Parallels parle même de performances 30% supérieures. Pour la partie graphique et plus particulièrement DirectX 11, le gain serait même de 60% par rapport à un GPU Radeon Pro 555X. Enfin, la consommation d'énergie de Parallels Desktop est 250% moins importante grâce à la puce M1.

Parallels Toolbox et Parallels Access, deux autres logiciels développé par l'éditeur Parallels, sont aussi compatibles avec les MacBook équipé d'une puce Apple M1. Au niveau des tarifs, cela donne :

• Parallels Desktop 16.5 pour Mac : 79,99 dollars sous forme d'un abonnement
• Parallels Desktop 16.5 pour Mac : 99,99 dollars sous forme d'une licence perpétuelle

Si vous avez déjà l'outil, vous pouvez acquérir une simple mise à niveau pour 49,99 dollars (licence perpétuelle).

Pour terminer, voici une vidéo officielle pour utiliser Parallels Desktop 16.5 sur un Mac M1 :

Source

The post Parallels Desktop 16.5 capable de virtualiser Windows 10 sur les Mac avec une puce Apple M1 first appeared on IT-Connect.

Vous en avez ras-le-bol du look ancestral de l'Explorateur de Fichiers sur Windows 10 et aimeriez que Microsoft le fasse évoluer ? Pour prendre votre mal en patience, voici un concept très intéressant à découvrir !

Des concepts d’Explorateurs de Fichiers, nous en avons déjà découvert beaucoup au fil des années. Il faut dire que celui-ci a finalement peu évolué au cours de la dernière décennie… Les mauvaises langues diront même depuis 1995 lorsqu’il a vu le jour pour la

Continuez la lecture de l'article Explorateur de Fichiers pour Windows 10 : un magnifique concept à découvrir !

Windows Terminal 1.7 est disponible au téléchargement en version stable. Il propose une nouveauté très attendue : une interface graphique pour gérer les paramètres de l'application !

L'application Windows Terminal continue d'évoluer au fil des versions. La nouveauté majeure de cette version 1.7, c'est la gestion des paramètres en mode graphique. Jusqu'ici, les modifications s'effectuaient seulement en éditant le fichier de config au format JSON. Grâce à cette nouveauté, la modification de la configuration devient beaucoup plus user-friendly et cela répond également à une demande fréquente de la communauté.

On entendait parler de ce changement majeur depuis fin janvier, c'est maintenant chose fait ! Dans le panneau des paramètres, on retrouve plusieurs sections : démarrage, interaction, apparence, jeux de couleurs, rendu et actions. Cela permet notamment de définir la console par défaut, de définir la taille de la fenêtre au lancement, de modifier l'apparence de Windows Terminal et d'accéder à la liste des raccourcis disponibles.

Dans le même temps, Microsoft travaille déjà sur Windows Terminal 1.8 pour inclure de nouvelles options. Par exemple, l'option "unfocusedAppearance" va permettre de rendre plus opaque les consoles non inutilisées. Ce qui est pratique lorsque vous utilisez une mise en page qui permet d'afficher plusieurs consoles dans la même fenêtre.

Par ailleurs, il sera possible de renommer une fenêtre Windows Terminal en cours d'exécution pour s'y retrouver plus facilement. Le choix de la police de caractères en cours d'utilisation sera possible via une liste déroulante.

Par la suite, Windows Terminal devrait être directement intégré à Windows 10 comme c'est le cas dans une build de Windows 10 en cours de développement publiée récemment.

Si vous souhaitez découvrir Windows Terminal, voici quelques articles : personnalisation et configuration de l'outil au programme, à l'aide du fichier JSON. D'ailleurs, le fichier JSON reste toujours personnalisable directement malgré l'arrivée du panneau des paramètres.

Windows Terminal : trucs et astuces

 Windows Terminal : ajouter une session PowerShell Remoting

Windows Terminal : ajouter une session SSH

Source

The post Windows Terminal 1.7 débarque avec une interface pour les paramètres first appeared on IT-Connect.

Bulletin d’actualité du 12/04/2021 Nous voici de nouveau ensemble dans notre rendez-vous du vendredi pour revenir sur les différents bulletins de sécurité publiés par le CERT-FR ! Durant la période du 5 avril au 11 avril 2021, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France) a publié un …

Une mise à jour est disponible pour de nombreuses applications populaires suite à la découverte d'une faille de sécurité qui a pour origine une problématique commune : une validation insuffisante d'une URL entrée par l'utilisateur. Si un attaquant exploite cette vulnérabilité, il serait en mesure d'exécuter du code arbitraire sur la machine cible.

Les chercheurs en sécurité Fabian Bräunlein et Lukas Euler, de chez Positive Security, ont fait une surprenante découverte en matière de sécurité ! Cette découverte impacte de nombreuses applications populaires. Par exemple, nous pouvons citer : Telegram, Nextcloud, LibreOffice, WinSCP, WireShark, VLC Media Player, ou encore Mumble.

Pour remettre les choses dans leur contexte, ils expliquent que les applications de bureau qui permettent à l'utilisateur d'insérer une URL personnalisée sont fréquemment vulnérables à des bugs de sécurité qui permettent l'exécution de code arbitraire sur la machine. Notamment car c'est le système d'exploitation qui ouvrira l'URL et que ce lien peut pointer vers un exécutable malveillant. Par exemple, un lien inséré dans un document LibreOffice, tout simplement, et surtout c'est une opération basique et fréquente.

Le problème, ce n'est pas vraiment la possibilité de pouvoir indiquer une URL. Le problème se situe plutôt au niveau de la chaîne de validation qui est déclenchée lorsque l'utilisateur spécifie un lien. Quand ce cas se produit, c'est là que l'on peut envisager exécuter du code malveillant sur la machine.

Les chercheurs en sécurité de Positive Security ont découvert que de nombreuses applications n'effectuent pas correctement cette validation de l'URL. Du coup, si un lien pointe vers un exécutable malveillant (ou un autre type de fichier malveillant), cela peut entraîner une exécution de code malveillant sur la machine cible.

Publication de Positive Security

Voici la liste des applications mises à jour pour corriger ce problème, avec le nom, le numéro de la version qui corrige la faille et le nom de la CVE associée. Certains éditeurs ont pu corriger cette faille depuis plusieurs mois, pour d'autres c'est sur le point d'être fait. Il n'est pas à exclure que d'autres applications soient concernées.

- Nextcloud (client Desktop) - version 3.1.3 - CVE-2021-22879
- Telegram - Changement côté serveur directement
- VLC Player - version 3.0.13 (disponible la semaine prochaine)
- OpenOffice - version 4.1.10 - CVE-2021-30245
- LibreOffice - Corrigé dans Windows, mais vulnérable dans Xubuntu - CVE-2021-25631
- Mumble - version 1.3.4 - CVE-2021-27229
- Dogecoin - version 1.14.3
- Bitcoin ABC - version 0.22.15
- Bitcoin Cash - version 23.0.0 (en cours de déploiement)
- Wireshark - version 3.4.4 - CVE-2021-22191
- WinSCP - version 5.17.10 - CVE-2021-3331

Source

The post De nombreuses applications populaires vulnérables à une faille « 1-Click » first appeared on IT-Connect.

ProtonCalendar, le calendrier chiffré de bout en bout de chez ProtonMail est désormais disponible pour tous les utilisateurs, toujours dans sa version bêta. Jusqu'ici, l'accès était réservé aux utilisateurs payants de ProtonMail.

ProtonMail, y compris tous les services et tous les serveurs associés, sont basés en Suisse. Ce service mise sur la sécurité et le respect de la vie privée des utilisateurs, notamment en s'appuyant sur du chiffrement de bout en bout, et aussi en hébergeant l'intégralité de ses données en Suisse.

ProtonCalendar s'inscrit totalement dans cette démarche et pour le moment les fonctionnalités proposées sont plutôt basiques : créer, modifier et supprimer un événement, qu'il soit unique ou récurrent, définir des rappels et gérer des invitations de rendez-vous. Le tout dans le respect de la vie privée et de la confidentialité de l'utilisateur. Il y a tout de même un mode sombre, ce qui devrait ravir certains utilisateurs

La bonne nouvelle, c'est qu'il est possible d'importer un calendrier existant pour faciliter la transition vers ProtonCalendar, par exemple à partir de Google Agenda. L'importation est limitée à 15 000 événements, ce qui est déjà confortable.

ProtonCalendar est accessible depuis un navigateur, que ce soit sur votre ordinateur, sur smartphone ou tablette. Pour Android, il existe une application tandis que pour iOS, le développement est en cours : actuellement l'application est en bêta. L'adresse pour accéder à ce service est la suivante : calendar.protonmail.com. Il suffit d'utiliser ses identifiants ProtonMail pour se connecter.

Pour rappel, ProtonMail est proposé gratuitement avec certaines limitations et il existe des abonnements payants pour débloquer des fonctionnalités supplémentaires. En complément, la solution VPN baptisée ProtonVPN est également incluse dans les offres payantes, tout comme la possibilité d'avoir un espace de stockage de quelques giga-octets. La formule payante commence à partir de 6,25 euros par mois et par utilisateur.

A vous de jouer : ProtonMail

The post ProtonMail ouvre la bêta de ProtonCalendar à tous les utilisateurs first appeared on IT-Connect.

Google Chrome 90 est disponible au téléchargement ! Cette nouvelle version s'accompagne de quelques changements et nouveautés, mais Google a corrigé également 37 failles de sécurité, dont une Zero-Day.

Chrome 90 : 37 failles de sécurité corrigées

Près de 40 failles de sécurité corrigées par Google à l'occasion de la sortie de Chrome 90. Il semblerait que Google ait pris la décision de repousser d'une journée la sortie de Chrome 90 pour corriger la faille Zero-Day dévoilée publiquement sur Twitter en début de semaine. Pour rappel, il s'agit d'une faille utilisée aussi lors de la compétition de hacking Pwn2Own.

Rien que pour cette raison, je vous recommande de mettre à jour Chrome dès que possible. Pour le faire sur votre machine, il suffit d'ouvrir le menu en haut à droite, d'aller dans "Aide" puis "A propos de Google Chrome". Ensuite, le navigateur va automatiquement vérifier la présence d'une nouvelle mise à jour.

La liste de toutes les CVE corrigées est disponible ici.

Chrome 90 : HTTPS par défaut, encodeur AV1, protection attaque NAT Slipstreaming, etc.

HTTPS par défaut

Avec Chrome 90, le protocole HTTPS devient le protocole par défaut à la place de HTTP : qu'est-ce que cela signifie ? Lorsque vous tentez d'accéder à un site via la barre d'adresse sans spécifier le protocole, c'est-à-dire sans indiquer "http://" ou "https://" en début d'adresse, Chrome va automatiquement utiliser le protocole HTTPS et ajouter "https://". Un changement qui n'est pas sans conséquence pour tous les sites non sécurisés et toutes les applications en entreprise accessible par via HTTP : il va falloir prévenir vos utilisateurs ou déployer des favoris dans le navigateur Chrome si ce n'est pas déjà fait, simplement pour éviter les problèmes.

Pour les sites accessibles en HTTPS, il y a généralement une redirection HTTP vers HTTPS : le fait d'ajouter HTTPS nativement va permettre d'éviter cette redirection, ce qui peut représenter un léger gain en performance.

Google précise que pour les adresses basées sur une adresse IP ou un nom réservé comme "localhost" ou "test", le protocole par défaut restera HTTP.

Encodeur AV1

Chrome 90 intègre un nouvel encodeur AV1 qui a pour objectif d'améliorer les performances avec les outils de webconférences qui s'appuie sur la technologie WebRTC. Pour améliorer les perfs, cela passe par une compression plus efficace, ce qui se traduira par une réduction de la consommation de la bande passante et une meilleure qualité vidéo. Google met en avant un gain sur le partage d'écran mais aussi sur l'utilisation de la vidéo sur des réseaux avec une bande passante très faible.

Recherche dans les groupes d'onglets

Google continue de déployer la fonctionnalité "Tab Search" à tous les utilisateurs, nativement, sans avoir à l'activer dans la configuration du navigateur. Elle permet de rechercher un onglet facilement : vous saisissez un mot clé et le navigateur vous sort tous les onglets ouverts correspondants. Bien pratique si l'on a plusieurs dizaines d'onglets ouverts en même temps : une pratique courante, je dis ça, je dis rien

Attaque NAT Slipstreaming

Pour vous protéger des attaques du type "NAT Slipstreaming", Google a pris la décision de bloquer les requêtes HTTP, HTTPS et FTP qui s'appuient sur le port 554. Ce port a déjà été bloqué mais Google l'avait débloqué car les développeurs n'étaient pas content. Après analyse, Google a pris la décision de le bloquer une nouvelle fois puisqu'il y aurait seulement 0,00003% des requêtes qui utilisent ce port. Avec une attaque de type NAT Slipstreaming, l'attaquant peut passer outre le NAT de votre routeur et accéder à votre réseau local.

Source

The post Chrome 90 : HTTPS comme protocole par défaut, 37 vulnérabilités corrigées, etc. first appeared on IT-Connect.

La présence sur internet est aujourd'hui incontournable pour toute entreprise souhaitant se développer rapidement. Toutefois, dans un contexte où la concurrence est de plus en plus rude, il ne suffit plus seulement d'être présent sur la toile, il faut également y être visible. Pour ce faire, il existe plusieurs solutions, dont le SEO et le SEA. Mais faut-il donc opposer ces deux techniques ou au contraire, les combiner ? Découvrez quelques éléments de réponse dans cet article.

SEO et SEA : en quoi diffèrent ces deux techniques de référencement ?

Tout comme le SEA (Search Engine Advertising) ou référencement payant, le SEO (Search Engine Optimization) ou référencement naturel est une technique qui permet d'améliorer la visibilité d'une entreprise et plus précisément de son site web sur internet. Et ce, dans le but de générer plus de trafic qualifié sur le site web en question.

Concrètement, le SEO consiste à positionner le site web d'une entreprise sur la première page de résultats des moteurs de recherche, notamment de Google. Lorsqu'il est bien mené, il permet de faire apparaître le site web de votre entreprise sur la ligne de flottaison, c'est-à-dire dans la partie visible des résultats qui ne nécessite pas de faire descendre la fenêtre d'exploration. Il permet donc non seulement d'être visible, mais aussi et surtout d'être bien positionné dans les résultats des moteurs de recherche. Pour ce faire, il est nécessaire d'avoir recours à différents critères on-page (choix des mots-clés, architecture du site, structure des liens internes, vitesse de chargement des pages…) et des critères off-page (netlinking, popularité du site, benchmark concurrentiel…)

En ce qui concerne le SEA, ou le recours aux Google Adwords, il consiste à engager une campagne publicitaire pour faire apparaître le site web de l'entreprise en fonction des mots-clés recherchés par les internautes.

Le coût

Comme leurs noms l'indiquent, la principale différence entre référencement naturel et payant réside surtout dans leur coût de mise en œuvre. En effet, recourir au SEO n'entraîne aucun coût si vous ne faites pas appel à une agence spécialisée, mais que vous vous en chargez en interne au sein de votre entreprise.

Dans ce cas, il faudra s'assurer que vous disposez des talents nécessaires pour ce faire et que ces derniers pourront affecter du temps suffisant en ce sens. Et pour cause, le SEO requiert d'une part un travail d'investigation assez conséquent pour l'identification des bonnes expressions-clés et d'autre part, la maîtrise de plusieurs techniques pour l'adaptation des contenus du site web au bon référencement naturel de celui-ci.

Contrairement au SEO, le SEA demande un investissement financier pour chaque action publicitaire que vous allez mener en faveur de votre site web. Et ce, que vous le confiiez à une agence spécialisée ou non.

Dans les faits, le SEA se fonde sur un système d'enchères. Vous achetez un ou plusieurs mots-clés – tout dépend de votre budget – qui permettront de rendre visible le site web de votre entreprise lorsque les internautes font une recherche contenant le(s) mot(s)-clé(s) choisi(s).

De manière générale, le coût d'une action publicitaire est calculé sur le nombre de clics. Mais il peut également dépendre du nombre d'impressions de l'annonce publicitaire (coût pour mille) ou encore d'une action précise telle que l'acquisition d'une adresse électronique suite au remplissage d'un formulaire de contact par exemple.

La stratégie

Si vous recherchez des résultats immédiats, ou du moins rapides, il est vivement conseillé d'opter pour le SEA. Ce type de référencement vous permet de booster rapidement la visibilité de votre site web avec une bonne maîtrise des coûts.

Toutefois, pour que cette stratégie porte ses fruits, il est primordial de bien choisir les mots-clés et de bien travailler la qualité des annonces. Il faut garder à l'esprit que plus le choix des mots-clés sera volumineux, plus vous devrez mettre en place des campagnes publicitaires, ce qui pourra demander un budget relativement important.

Si vous raisonnez sur le moyen ou le long terme par contre et que vous recherchez des résultats pérennes, tournez-vous vers le SEO. Sa mise en place peut prendre du temps, mais les résultats sont durables.

SEO et SEA : pourquoi faut-il les combiner ?

De nos jours, tous les moyens sont bons pour rendre visible le site internet de votre entreprise. Ainsi, il n'est aucunement nécessaire de choisir entre le SEO et le SEA. Combiner ces deux techniques de référencement complémentaires vous permettra de booster de manière significative les visites sur votre site web. Cette démarche vous permettra par ailleurs de ne pas être trop dépendant de l'une ou l'autre de ces techniques, ce qui vous assure de générer un minimum de trafic en toutes circonstances.

Le SEO vous permet d'améliorer naturellement et durablement la visibilité du site internet de votre entreprise. Il garantit votre présence sur les moteurs de recherche. Le SEA de son côté vous permet d'obtenir un trafic de qualité en temps voulu. Il permet de cibler un public bien précis, ce qui promet un retour sur investissement optimal.

En combinant ces deux techniques donc, vous vous assurez d'attirer du trafic rapidement grâce au SEA, et ce, en attendant que les effets du SEO se fassent ressentir sur le moyen ou le long terme. Toutefois, recourir à deux stratégies de référencement en même temps vous permet également de :

• Positionner le site web de votre entreprise grâce au SEA sur des requêtes à fort volume de recherche que le SEO ne vous permettrait pas d'atteindre dans un contexte actuel des plus concurrentiels.
• Cibler les mots-clés les plus pertinents par rapport à la thématique de votre site web grâce au SEA et les utiliser dans le cadre d'une stratégie SEO.
• Optimiser la présence de votre site web dans les résultats de recherche en référencement naturel, mais aussi en référencement, et ce, dans le but de se démarquer de la concurrence, mais aussi et surtout d'améliorer la confiance de l'internaute en votre entreprise.

Il faut savoir que si le SEA impacte fortement le SEO, et la réciproque est aussi vraie. En effet, le Quality score d'une campagne publicitaire augmentera automatiquement dans Google Ads sur un site web optimisé pour le SEO. Pour rappel, le Quality Score est une note affectée à chaque mot-clé et attribuée par Google – le moteur de recherche le plus utilisé en France – afin d'évaluer la pertinence d'une campagne publicitaire.

Cette note impacte le classement des annonces publicitaires et par conséquent les performances des campagnes publicitaires, car Google accorde beaucoup de crédit à la pertinence des résultats proposés aux internautes du fait que c'est ce qui lui assure la fidélité des utilisateurs.

The post Faut-il opposer SEO et SEA ? first appeared on IT-Connect.

Ce Patch Tuesday d'Avril 2021 est encore riche en correctifs ! Au total, Microsoft a corrigé 108 vulnérabilités, dont 5 failles Zero-Day. La NSA de son côté a dévoilé quatre failles au sujet de Microsoft Exchange.

Parmi ces 108 failles de sécurité, il y en a 89 qui sont classées comme étant importantes et 19 considérées comme critiques. Ce qui est plus gênant, ce sont les 5 vulnérabilités zero-day corrigées par ce correctif mensuel. Les produits touchés sont divers et variés comme chaque mois, en voici quelques-uns : Hyper-V, Visual Studio Code, Windows Installer, le noyau Windows, le pilote TCP/IP de Windows, Windows Media Player, etc... mais aussi de nombreuses failles dans Windows RPC Runtime.

Pour Windows 10, voici les mises à jour cumulatives d'Avril 2021 :

- KB5001340 pour Windows 10 version 1507
- KB5001347 pour Windows 10 version 1607
- KB5001339 pour Windows 10 version 1803
- KB5001342 pour Windows 10 version 1809
- KB5001337 pour Windows 10 version 1909
- KB5001330 pour Windows 10 v2004 (20H1) et 20H2

Cinq failles Zero-Day

Parlons de ces failles Zero-Day... La bonne nouvelle, c'est qu'il n'y en a 4 parmi les 5 qui n'ont pas été exploitées par les hackers pour le moment. Il y a notamment une faille qui touche le système de fichiers NTFS et qui permet une attaque par déni de service. Voici le nom des vulnérabilités en question :

- CVE-2021-27091
- CVE-2021-28312
- CVE-2021-28437
- CVE-2021-28458

La mauvaise nouvelle, vous l'aurez compris, c'est qu'il y en a une qui est déjà exploitée. En l'occurrence, la faille référencée sous le nom CVE-2021-28310 serait exploitée par le groupe BITTER APT, mais aussi d'autres groupes, d'après l'éditeur Kaspersky. D'ailleurs, c'est le chercheur en sécurité de chez Kaspersky, Boris Larin, qui a fait cette découverte. Cette vulnérabilité permet une élévation de privilèges au sein de Windows à partir d'une attaque locale. Windows 10 est concerné par cette vulnérabilité, mais également Windows Server.

La NSA découvre quatre nouvelles failles dans Exchange

La solution de messagerie Microsoft Exchange continue sur sa lancée du mois dernier, même si l'on s'en serait bien passé. Dans la continuité des failles critiques déjà corrigées le mois dernier par Microsoft, cette fois-ci c'est la NSA, l'Agence de Sécurité Américaine, qui dévoile 4 failles critiques situées dans Exchange. Il s'agit de quatre vulnérabilités qui permettent une exécution de code à distance, voici leur petit nom :

- CVE-2021-28480
- CVE-2021-28481
- CVE-2021-28482
- CVE-2021-28483

Plusieurs versions d'Exchange sont touchées : Exchange 2013, Exchange 2016 et Exchange 2019. Plus précisément, des mises à jour sont disponibles pour les versions suivantes : Exchange Server 2013 CU23, Exchange Server 2016 CU19 et CU20, et Exchange Server 2019 CU8 et CU9. Il est à noter qu'il faut installer la bonne CU avant de pouvoir installer le correctif, comme l'explique Microsoft :

Microsoft en profite pour préciser que les utilisateurs d'Exchange Online ne sont pas concernés par cette vulnérabilité. Plus d'informations sont disponibles sur une page dédiée pour ces nouvelles vulnérabilités qui touchent Exchange : CVE Exchange - Avril 2021

J'en profite également pour vous informer que Google a publié une mise à jour pour Chrome dans le but de corriger la faille de sécurité zero-day diffusée sur Twitter par Rajvardhan Agarwal, un chercheur en sécurité. Edge bénéficie lui aussi d'une mise à jour pour corriger plusieurs failles de sécurité.

Source

The post Patch Tuesday – Avril 2021 : la NSA découvre 4 nouvelles failles dans Exchange first appeared on IT-Connect.

Décidément, les sommes investies par les multinationales comme Microsoft sont complètement faramineuses. Après le rachat de LinkedIn en 2016 pour la bagatelle de 26,2 milliards de dollars, la firme s’offre la seconde plus grosse acquisition de son histoire. Il ne s’agit pas d’un studio de jeu, mais de Nuance Communication, un spécialiste des logiciels de reconnaissance vocale. Pourquoi un tel investissement de la part du géant américain ?

Au vu des bénéfices toujours plus

Continuez la lecture de l'article Microsoft rachète Nuance Communications pour 19,7 milliards de dollars

En théorie, je n’ai plus à présenter Medicat, j’en parle ici depuis un moment. Un Must-Have pour tous les techos ou bidouilleurs qui aiment dépanner du PC :) Allez, un petit rappel tout de même pour ceux qui ont loupé quelques épisodes, Medicat, est un utilitaire bootable qui inclut une suite d’outils pour dépanner et …

Parallèlement à l’officialisation du Surface Laptop 4, Microsoft a également annoncé que son Surface Duo débarquait dans de nouveaux marchés dont la Belgique et la Suisse… La firme a également présenté le Surface Headphones 2+. Revenons un peu plus en détails sur ces annonces.

Surface Headphones 2+, un casque certifié pour Teams

Microsoft a profité de l’annonce de son Surface Laptop 4 pour présenter d’autres produits destinés au monde de l’entreprise. Commençons tout

Continuez la lecture de l'article Surface Duo débarque en Belgique et Suisse & focus sur Surface Headphones 2+

La fin de vie de la version 1909 de Windows 10 approche ! Si votre PC embarque encore cette version (ou une plus ancienne), il est temps de le mettre à niveau vers une version plus récente, comme la 20H2.

Microsoft a publié hier le Patch Tuesday pour Windows 10, une mise à jour cumulative destinée à apporter différents correctifs liés à la sécurité ou non. Ce type de mise à jour est publié mensuellement, et pour pouvoir la recevoir, il faut impérativement exécuter sur son PC une

Continuez la lecture de l'article Attention : la version 1909 de Windows 10 ne sera bientôt plus supportée !