Ce tutoriel explique comment installer et configurer CrowdSec pour protéger un serveur Linux des attaques, en bloquant les adresses IP malveillantes.

Le post Protéger un serveur Linux avec CrowdSec : le guide pour bien débuter a été publié sur IT-Connect.

Des cybercriminels exploitent une faille surnommée Metro4Shell et qui affecte directement l'écosystème React Native (CVE-2025-11953). Voici comment se protéger.

Le post React Native : la faille critique Metro4Shell est exploitée par les cybercriminels a été publié sur IT-Connect.

Vous ne voulez pas de l'IA dans votre navigateur Web ? Firefox 148 prévu pour fin février va intégrer des boutons pour activer ou désactiver les fonctions IA.

Le post Mozilla Firefox 148 va intégrer un bouton pour désactiver les fonctions IA facilement a été publié sur IT-Connect.

Lorsqu'il s'agit d'installer une mise à jour majeure sur mes machines Linux à la maison, je suis souvent confronté à un problème frustrant : la couche graphique peut planter, interrompant ainsi la mise à jour en cours.

Résultat : dans le meilleur des cas il faut relancer la mise à jour, dans le pire des cas cela peut créer des problèmes de dépendances à cause du process interrompu en plein milieu.

Cela s'est produit aussi bien sur mon Raspberry Pi que sur d'autres machines de lab. J'ai trouvé une solution simple pour suivre les mises à jour sans être bloqué devant l'écran.

Pré-requis

Avant tout je fais une sauvegarde complète de mon système (carte SD ou disque dur) en réaliser une image complète (clonezilla ou équivalent).

Je me connecte sur la sortie écran (HDMI) avec un clavier physique et je bascule en mode TTY avec les touches CTRL ALT F1.

Je m'identifie en root et je lance la commande de mise à jour :

apt update && apt upgrade -y

Je laisse la machine faire ce qu'elle a à faire, mais j'ai besoin de suivre le process de mise à jour.

Suivre la MàJ en temps réel via SSH

Depuis mon laptop je me connecte en SSH à la machine qui est en train de se mettre à jour, et je lance la commande suivante :

Sous Debian Like (Ubuntu, Mint, PopOS, Kali...) :

sudo tail -f /var/log/apt/term.log

Sous RedHat Like (Alma, Rocky, Oracle, RHEL...) :

sudo tail -f /var/log/dnf.log

Et voilà je peux suivre à distance le déroulé de la mise à jour, pratique ! Cela m'évite d'être plié en 2 sous un bureau, car mon Raspberry Pi n'est pas vraiment accessible...

Bien sûr, cela ne permet pas d'interagir : et vous ne pourrez pas appuyer sur "Y" si apt vous pose une question pour garder un fichier de configuration ou l'écraser. Quand ça arrive je me déplace pour appuyer sur le clavier, cela évite d'attendre alors qu'apt est bloqué sur cette foutue question

Conclusion

C'est le genre d'astuce tout bête, mais qui ajoute un peu de confort dans la gestion de l'IT à la maison.

L'autre solution est d'utiliser screen ou un KVM IP (voir mon test produit GL.iNET), mais une mise à jour annuelle ne justifie pas un tel achat.

note : quand je parle de mise à jour majeure, je parle du saut d'une version de Debian à 11 vers 12 ou bien une mise à jour Kali (rolling) qui est effectuée seulement 1 à 2 fois par an

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 04/02/2026 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Linux] Suivre une mise à jour majeure à distance 📥 provient de : on Blogmotion.

Une faille importante a été corrigée dans OpenClaw : elle permet une exécution de code à distance en un seul clic après avoir volé le jeton d'authentification.

Le post OpenClaw – CVE-2026-25253 : un lien malveillant suffit à exécuter du code à distance en 1-clic a été publié sur IT-Connect.

Microsoft announced the general availability (GA) of centralized RDP Shortpath configuration using Intune and Group Policy (GPO). RDP Shortpath is a UDP-based direct transport protocol that establishes connections between Remote Desktop clients and session hosts, reducing latency and improving reliability for Azure Virtual Desktop and Windows 365 Cloud PCs. You can now centrally configure this feature using Group Policy and Microsoft Intune, eliminating the need for manual per-host configuration.

Source

Le 28 janvier 2026, de nouvelles versions de GLPI ont été publiées dans le but de corriger au total 4 failles de sécurité : GLPI 11.0.5 et GLPI 10.0.23.

Le post GLPI 11.0.5 et GLPI 10.0.23 : deux mises à jour de sécurité à appliquer maintenant ! a été publié sur IT-Connect.

Vous avez déjà téléchargé un fichier avec l’extension .torrent sans savoir quoi en faire ?Ou peut-être avez-vous entendu parler de BitTorrent, sans vraiment comprendre comment ça fonctionne, ni si c’est légal ? Dans ce guide, je vais vous expliquer pas à pas ce qu’est BitTorrent, à quoi ça sert, et surtout comment télécharger vos premiers … Lire la suite

Source

Des pirates ont publié plus de 380 skills OpenClaw (Moltbot) infectées par un malware capable de voler des informations sensibles telles que des mots de passe.

Le post IA – OpenClaw (Moltbot) : plus de 380 skills malveillantes volent les données des utilisateurs ! a été publié sur IT-Connect.

Le gouvernement français envisage-t-il vraiment de bloquer les VPN ? Après les réseaux sociaux, les VPN pourraient être interdits aux mineurs.

Le post La France veut bloquer les VPN : oui, mais pour protéger les mineurs a été publié sur IT-Connect.

LockFiles et LockTransfer sont les deux solutions françaises de chez LockSelf pour le stockage sécurisé et le partage de fichiers, notamment par e-mail.

Le post LockTransfer et LockFiles : un duo pour stocker et partager des données en toute sécurité a été publié sur IT-Connect.

Microsoft announced a comprehensive roadmap to phase out the legacy NTLM (New Technology LAN Manager) authentication protocol in favor of more secure Kerberos-based alternatives. The company plans to disable NTLM by default in the next major Windows Server release and associated Windows client versions, marking a significant step toward enhancing Windows security after more than three decades of NTLM usage.

Source

Le projet Notepad++, éditeur de texte open source très utilisé, a confirmé qu’une campagne de piratage sophistiquée a compromis son mécanisme de mise à jour. Selon les développeurs, des acteurs liés à un État ont réussi à détourner une partie du trafic de mises à jour du logiciel vers des serveurs contrôlés par les attaquants.

L’incident ne résulte pas d’une vulnérabilité dans le code de Notepad++ lui-même, mais d’un compromis au niveau de l’infrastructure d’hébergement utilisée pour distribuer les mises à jour. En exploitant ce point faible, les attaquants ont intercepté et redirigé les requêtes du système de mise à jour interne (WinGUp), faisant croire aux clients qu’ils téléchargeaient une mise à jour légitime alors qu’ils recevaient potentiellement des exécutables malveillants.

D’après l’analyse publiée par les maintainers, l’attaque a débuté en juin 2025 et s’est poursuivie pendant plusieurs mois. Le serveur partagé de l’hébergeur a été compromis jusqu’au 2 septembre 2025, date à laquelle l’accès direct a été perdu. Cependant, les attaquants ont conservé des identifiants internes jusqu’au 2 décembre 2025, ce qui leur a permis de maintenir la redirection du trafic pour certains utilisateurs ciblés.

Les informations disponibles indiquent que la campagne n’était pas globale, mais ciblée : seuls certains utilisateurs ont été redirigés vers les serveurs frauduleux, ce qui laisse penser que les attaques visaient des profils spécifiques plutôt que l’ensemble de la base d’utilisateurs. Cette sélectivité a conduit plusieurs experts à attribuer l’opération à un groupe de menaces étatique, probablement lié à la Chine.

Détail technique du problème de mise à jour

L’incident ne provient pas d’une faille classique dans le code de Notepad++, mais d’une faiblesse dans le mécanisme de mise à jour automatique (« WinGUp ») utilisé par l’éditeur pour vérifier et installer les nouvelles versions. C’est ce composant qui a permis à des fichiers malveillants d’être récupérés et exécutés sous certaines conditions.

Un utilisateur avait observé qu’au lieu de télécharger et lancer le binaire officiel de mise à jour, l’outil de mise à jour créait un fichier AutoUpdater.exe dans le répertoire temporaire du système (%TEMP%) puis l’exécutait. Ce binaire inconnu n’a rien à voir avec WinGUp et s’est comporté comme un programme de reconnaissance système, exécutant des commandes Windows classiques comme netstat, systeminfo, tasklist ou whoami. Ces résultats étaient ensuite exfiltrés vers un service tiers.

Normalement, WinGUp n’utilise pas l’utilitaire système curl.exe, mais une bibliothèque interne pour gérer les requêtes réseau. Ce comportement inhabituel a donc été un des premiers signes qu’un composant malveillant avait été exécuté via le mécanisme de mise à jour.

Mécanisme d’exploitation potentiel

Quand Notepad++ vérifie la disponibilité d’une nouvelle version, le module met à jour effectue une requête vers une URL qui retourne un fichier XML (gup.xml) indiquant la localisation du fichier d’installation à télécharger. Par exemple :

<GUP>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>

Ce fichier est ensuite téléchargé et exécuté par WinGUp.

La faiblesse venait du fait que WinGUp ne vérifiait pas suffisamment la signature du fichier téléchargé. Si un attaquant avait réussi à intercepter ou manipuler ce trafic — par exemple en redirigeant la requête vers un serveur contrôlé par lui — il pouvait fournir un fichier exécutable piégé à la place de l’installateur officiel. Ce binaire malveillant s’exécutait avec les privilèges de l’outil de mise à jour et pouvait donc lancer d’autres actions sur la machine.

Correctifs techniques apportés

Pour corriger cette faiblesse, les développeurs ont publié plusieurs versions successives :

• Une première version (8.8.8) limite les téléchargements aux sources officielles (GitHub), ce qui rend plus difficile l’interception ou la redirection vers des serveurs malveillants.
• La version 8.8.9 renforce la vérification cryptographique des fichiers téléchargés. À partir de cette version, Notepad++ et WinGUp vérifient systématiquement la signature numérique et le certificat du fichier d’installation avant de l’exécuter. Si la signature est invalide ou absente, l’installation est abandonnée.

Depuis la version 8.8.7, tous les binaires officiels de Notepad++ sont signés avec un certificat numérique issu d’une autorité de confiance (GlobalSign). Les utilisateurs qui avaient installé des certificats auto-signés antérieurs sont invités à les supprimer pour éviter toute confusion ou validation incorrecte.

Ces mesures techniques réduisent significativement la surface d’attaque en empêchant l’exécution de fichiers non autorisés par l’updater, même si l’origine exacte de l’interception du trafic n’a pas encore été pleinement élucidée.

Impacts pour les utilisateurs

Jusqu’à présent, l’incident semble avoir touché un petit nombre d’utilisateurs spécifiques, plutôt que d’avoir été exploité à grande échelle. Certains chercheurs en sécurité ont signalé des cas où des exécutables malveillants ont été téléchargés à la place de mises à jour, et où des actions de reconnaissance ou d’exfiltration d’informations ont été observées.

Pour les environnements professionnels ou sensibles, il est recommandé d’adopter des stratégies de sécurité supplémentaires, comme la validation des signatures de code, la surveillance des installations logicielles et l’utilisation de politiques de restriction d’exécution pour éviter que des binaires non approuvés ne soient lancés.

Conclusion

Cette affaire rappelle l’importance cruciale de la sécurité de la chaîne d’approvisionnement logicielle, même pour des outils open source populaires comme Notepad++. Un compromis au niveau de l’infrastructure d’hébergement peut suffire à détourner le trafic de mise à jour et à exposer des utilisateurs à des risques importants. Mettre à jour vers les versions les plus récentes et renforcer les mécanismes de validation de code sont des étapes indispensables pour se protéger contre ce type de menace.

L’article Notepad++ compromis par des pirates : ce qu’il faut savoir est apparu en premier sur malekal.com.

Notepad++ victime d'un piratage étatique : découvrez comment les mises à jour ont été détournées pendant 6 mois pour cibler des utilisateurs spécifiques.

Le post Notepad++ : les mises à jour détournées par des pirates pendant 6 mois a été publié sur IT-Connect.

Pendant très longtemps, Windows s’est appuyé sur un mécanisme d’authentification appelé NTLM (New Technology LAN Manager) pour vérifier l’identité des utilisateurs et leur donner accès aux ressources d’un réseau. Par exemple, en entreprise, NTLM intervient lorsqu’un utilisateur tente d’accéder à un serveur de fichiers ou à une imprimante réseau, afin que Windows vérifie qu’il est … Lire la suite

Source

Microsoft a présenté une feuille de route en 3 phases pour désactiver par défaut NTLM dans les prochaines versions de Windows et Windows Server.

Le post Fin du protocole NTLM : Microsoft dévoile son plan d’attaque en 3 phases a été publié sur IT-Connect.

Microsoft a publié la KB5074105 pour Windows 11, une mise à jour optionnelle comprenant 32 changements dont des correctifs pour plusieurs problèmes.

Le post Windows 11 KB5074105 : cette mise à jour apporte 32 changements et corrige beaucoup de bugs ! a été publié sur IT-Connect.

Microsoft a confirmé qu’il allait désactiver par défaut le protocole d’authentification NTLM (NT LAN Manager) dans les futures versions de Windows — notamment dans les prochains Windows Server et les éditions clients associées — dans le cadre d’un plan de modernisation de la sécurité. Cette décision marque une étape importante dans la transition vers des méthodes d’authentification plus robustes et résistantes au phishing.

Qu’est-ce que NTLM et à quoi sert-il ?

NTLM (NT LAN Manager) est un protocole d’authentification développé par Microsoft à la fin des années 1990 pour permettre aux utilisateurs de s’authentifier sur des systèmes Windows et des ressources réseau (partages de fichiers, imprimantes, services). Concrètement, NTLM sert à vérifier l’identité d’un utilisateur sans transmettre son mot de passe en clair : le système échange des hashs dérivés du mot de passe pour prouver l’authentification. Pendant de nombreuses années, NTLM a été largement utilisé dans les environnements Windows, en particulier sur des réseaux locaux simples ou avec des applications héritées. Toutefois, ce protocole repose sur des mécanismes cryptographiques aujourd’hui dépassés et ne fournit pas les protections modernes contre les attaques réseau, ce qui explique pourquoi Microsoft cherche désormais à le remplacer par des solutions plus sûres comme Kerberos.

Ce protocole est utilisé depuis près de 30 ans pour l’authentification dans les environnements Windows, a longtemps été maintenu pour assurer la compatibilité avec des systèmes anciens et des scénarios réseau hérités.
Toutefois, ses mécanismes sont désormais jugés insuffisants face aux menaces modernes telles que les attaques de type Pass-the-Hash ou NTLM Relay.

Une transition en trois phases

Microsoft a exposé une approche progressive pour réduire et finalement désactiver NTLM par défaut :

1. Phase 1 (Actuelle) : les administrateurs peuvent utiliser des outils d’audit NTLM dans Windows 11 24H2 et Windows Server 2025 pour repérer où NTLM est encore utilisé dans les réseaux.
2. Phase 2 (Second semestre 2026) : Microsoft introduira des technologies comme IAKerb et un Key Distribution Center local (Local KDC) pour gérer des scénarios qui forcent actuellement le recours à NTLM lorsqu’une communication Kerberos n’est pas possible.
3. Phase 3 (Futures versions) : NTLM sera désactivé par défaut pour l’authentification réseau dans les prochaines versions de Windows, bien que le protocole restera présent dans l’OS et pourra être réactivé via une politique si nécessaire.

Selon Microsoft, cette démarche ne signifie pas le retrait immédiat de NTLM, mais plutôt que le système sera livré dans un état « secure-by-default » où Kerberos et d’autres méthodes plus modernes sont privilégiées.

Pourquoi cette évolution est importante

NTLM est considéré comme un protocole obsolète et vulnérable parce qu’il repose sur des mécanismes cryptographiques anciens et que certains scénarios d’attaque modernes permettent d’exploiter ses faiblesses — notamment via des techniques comme Pass-the-Hash ou Pass-the-Ticket, qui exploitent la façon dont les identifiants sont transmis ou stockés dans certains contextes réseau.

En mettant NTLM en arrière-plan et en rendant Kerberos ou des alternatives plus sécurisées la norme, Microsoft veut réduire l’exposition des systèmes Windows aux attaques par usurpation d’identité et aux mouvements latéraux dans les réseaux. Cette stratégie s’aligne avec les principes de Zero Trust et avec les efforts continus de Microsoft pour renforcer la sécurité par défaut sur ses plateformes.

Impacts pour les entreprises et les administrateurs

La désactivation de NTLM par défaut aura des implications pratiques, notamment dans les environnements d’entreprise où des applications ou services hérités utilisent encore NTLM pour l’authentification. Voici ce que les responsables IT doivent prendre en compte :

• Audit des dépendances NTLM : avant que NTLM soit désactivé par défaut, les organisations devront identifier quelles applications, services ou scripts utilisent encore NTLM et planifier leur migration ou remplacement.
• Migration vers Kerberos et alternatives modernes : Kerberos, qui est le protocole modern par défaut depuis Windows 2000, offre une sécurité nettement supérieure et devrait être adopté partout où c’est possible.
• Test et validation : des environnements de test devront être mis en place pour valider que les systèmes continuent de fonctionner une fois NTLM désactivé.
• Stratégies de repli : bien que NTLM puisse être réactivé via des stratégies au besoin après désactivation par défaut, l’objectif à long terme est d’éliminer complètement cette dépendance.

À quoi s’attendre ensuite

Microsoft prévoit de rendre ces changements disponibles progressivement avec les prochaines versions de Windows Server et des éditions clientes. La seconde phase, avec des fonctionnalités comme IAKerb et Local KDC, est attendue dans la seconde moitié de 2026, et la désactivation par défaut de NTLM en production interviendra ensuite dans des versions futures.

Même une fois désactivé par défaut, NTLM restera toujours présent dans les systèmes pour garantir une compatibilité maximale, mais il ne sera plus utilisé automatiquement pour l’authentification réseau à moins d’être explicitement réactivé via une stratégie.

En résumé

Microsoft s’oriente vers une suppression progressive de NTLM comme méthode d’authentification par défaut dans les futures versions de Windows, au profit de solutions modernes comme Kerberos. Ce changement, prévu en plusieurs étapes entre 2026 et les années suivantes, a pour but de renforcer la sécurité des environnements Windows en réduisant les vecteurs d’attaque liés à un protocole jugé obsolète et vulnérable.

L’article Microsoft annonce la désactivation par défaut de NTLM dans les futures versions de Windows est apparu en premier sur malekal.com.

Si comme moi, vous aimez la musique, vous allez peut-être voir les artistes jouer sur scène. Depuis que le COVID est passé par là, de nombreux festivals ne sont plus à l'équilibre financier et finissent par disparaître.

Voici une vidéo qui résume bien les problématiques et l'évolution de la consommation de la musique.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 30/01/2026 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Pourquoi les festivals de musique disparaissent ? provient de : on Blogmotion.