En ce début avril, notre partenaire GoDeal24 vient de lancer une nouvelle vente flash sur les licences Microsoft, que ce soit pour Office ou Windows ! Vous pouvez retrouver un ensemble d'offres synonymes de tarifs réduits sur les licences !
Si vous aviez manqué les précédentes ventes flash, alors voilà l'occasion de vous rattraper. Sachez que vous pouvez retrouver toutes les offres de cette vente flash spéciale Office sur cette page. Il y a également des offres pour des licences pour 50 ou 100 machines, ce qui est assez rare.
Microsoft Office pour 1, 2 ou 5 ordinateurs, pour Windows ou Mac
GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieue la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.
Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 94% d'évaluations 5 étoiles pour GoDeal24.
Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante :[email protected]
Célébrons l'arrivée du printemps 2024 avec cette nouvelle vente flash de notre partenaire GoDeal24 ! A cette occasion, le tarif des licences Microsoft et de certains logiciels est très intéressant !
Les offres sont très nombreuses, que ce soit sur les produits Microsoft Office, Windows 10, Windows 11, etc... Et GoDeal24 propose même des packages de 50 ou 100 clés de licences pour Windows et Office ! Sachez que vous pouvez retrouver toutes les offres de cette vente flash sur cette page.
Microsoft Office, Visio et Project en tête d'affiche !
GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieue la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.
Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 98% d'évaluations positives.
Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante :[email protected]
Notre partenaire GoDeal24 propose une nouvelle vente flash avec des prix très intéressants sur les licences ! Comme souvent, ce sont des promotions sur les licences Microsoft, mais aussi sur d'autres applications comme AdGuard et Ashampoo PDF Pro.
Une page du site GoDeal24 regroupe l'ensemble des offres de cette vente spéciale Valentine Day :voir toutes les promos.
GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieu la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.
Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 98% d'évaluations positives.
Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante :[email protected]
OpenAI et l'intelligence artificielle continuent de nous étonner, de nous surprendre ! Sora, c'est le nom d'une nouvelle IA générative capable de générer des vidéos à partir d'une simple description par texte.
Déjà à l'origine de plusieurs intelligences artificielles comme ChatGPT, que vous connaissez tous, et DALL-E qui sert à générer des images, OpenAI vient d'ajouter une nouvelle IA à son arsenal d'outils : Sora. Il s'agit d'une IA générative de type "text-to-video".
L'idée est simple : vous avez un prompt, vous saisissez la description de la vidéo que vous souhaitez obtenir, et Sora s'occupe du reste. Sora est capable de générer des vidéos allant jusqu'à 60 secondes.
OpenAI a mis en ligne plusieurs exemples pour mettre en avant les performances de Sora. Alors, bien sûr, l'entreprise américaine a pris soin de sélectionner les meilleurs résultats, mais nous pouvons voir que cette IA à un énorme potentiel et que ce sera forcément révolutionnaire.
En s'appuyant en partie sur DALL-E, Sora peut :
Générer des vidéos, intégralement
Compléter des vidéos existantes
Animer une image fixe afin de la rendre vivante
Actuellement, Sora est accessible pour certaines personnes uniquement, afin que le modèle puisse être testé. OpenAI veut l'optimiser, évaluer les risques, et le sécuriser pleinement avant de le rendre accessible au plus grand nombre. En effet, Sora est une aubaine pour la création de "fakes" et de contenus trompeurs. Il est essentiel qu'OpenAI prenne les devants pour que cette IA ne participe pas au fléau de la désinformation.
Pour voir les exemples de vidéos générées par Sora, vous pouvez consulter le site officiel d'OpenAI sur cette page :
Sora can create videos of up to 60 seconds featuring highly detailed scenes, complex camera motion, and multiple characters with vibrant emotions. https://t.co/7j2JN27M3W
À l'avenir, j'ai bien l'impression, que nous devrons douter de toutes les images et les vidéos que l'on voit… Avons-nous vraiment besoin de cela ? Pas vraiment.
L'attaque KeyTrap, c'est le nom donné à une nouvelle vulnérabilité découverte dans DNSSEC. Elle affecte tous les services et toutes les implémentations de DNS populaires, y compris bind9, dnsmasq, PowerDNS Recursor ainsi que le serveur DNS de Windows Server. Faisons le point.
Pour rappel, DNSSEC est une extension du DNS qui améliore la sécurité du service DNS grâce à l'ajout de signatures afin de pouvoir authentifier les réponses. Nous en avions parlé dans ce tutoriel : comment configurer DNSSEC sur Windows Server 2022 ?
En ce qui concerne la faille de sécurité KeyTrape, elle est associée à la référence CVE-2023-50387, et elle a été découverte par des chercheurs et experts allemands, issus de l'institut de recherche ATHENE, de l'université Goethe de Francfort, du Fraunhofer SIT et de l'université technique de Darmstadt.
D'après eux, cette vulnérabilité est présente dans DNSSEC depuis plus de 20 ans ! Elle est liée au fonctionnement de DNSSEC, notamment dans la gestion des clés cryptographiques. En exploitant cette vulnérabilité, il est possible d'effectuer un déni de service sur le système DNS pris pour cible. En effet, à partir d'une seule requête, la réponse retournée par le service DNS peut être retardée de 56 secondes à 16 heures (en fonction du type de service).
Quels sont les services et serveurs DNS affectés ?
D'après les chercheurs : "Avec KeyTrap, un attaquant pourrait complètement désactiver de grandes parties de l'Internet mondial", preuve que cette vulnérabilité est importante. Ceci se justifie par le fait qu'elle impacte les fournisseurs de services DNS les plus importants, tels que Google et Cloudflare.
Voici un tableau publié par les chercheurs en sécurité (visible dans ce rapport) où l'on peut voir quelles sont les applications et les services vulnérables :
Depuis novembre 2023, des travaux sont en cours chez Google, Cloudflare, mais également chez Akamai pour déployer des mesures d'atténuations permettant de se protéger de cette vulnérabilité liée au fonctionnement de DNSSEC. Du côté de chez Microsoft, il semblerait que la mise à jour cumulative pour Windows Server déployée à l'occasion du Patch Tuesday de Février 2024 permette de corriger cette vulnérabilité.
D'après un rapport d'Akamai : "environ 35 % des utilisateurs d'Internet basés aux États-Unis et 30 % des utilisateurs d'Internet dans le monde utilisent des résolveurs DNS qui utilisent la validation DNSSEC et sont donc vulnérables à KeyTrap.".
Dans ce tutoriel, nous allons voir comment installer CrowdSec sur un pare-feu PfSense dans le but de bloquer les adresses IP malveillantes, notamment à l'origine d'attaques brute force, de scans de port et de recherche de vulnérabilités web (HTTP).
CrowdSec, que nous avons déjà abordé au sein de plusieurs articles, est une solution gratuite et open source capable de détecter et bloquer les attaques à destination des machines, grâce à la prise en charge de nombreux scénarios de détection. CrowdSec prend en charge Linux, Windows Server, FreeBSD, et il peut être mis en place sur certains firewalls comme PfSense et OPNSense.
Lorsqu'il est en place sur un firewall PfSense, CrowdSec va analyser plusieurs journaux du système pour identifier les comportements malveillants et bloquer les adresses IP associées. En complément, les adresses IP présentes dans les listes communautaires de CrowdSec sont également bloquées.
Il est important de préciser que si vous utilisez HAProxy en tant que reverse proxy sur un pare-feu PfSense, vous pouvez également configurer CrowdSec pour qu'il surveille les logs de HAProxy pour détecter les attaques Web. C'est très intéressant, et ce scénario sera probablement détaillé dans un article complémentaire.
Pour vous aider à mettre en place ce tutoriel, voici quelques ressources supplémentaires :
Pour suivre ce tutoriel, vous avez besoin d'un pare-feu PfSense déjà en place car nous n'allons pas voir l'installation. Pour ceux qui le souhaitent, vous pouvez utiliser le Lab basé sur VMware Workstation comme point de départ, si vous désirez vous entrainer. C'est ce que je fais pour ma part.
En complément, une machine virtuelle sous Kali Linux sera utilisée pour simuler une attaque (en se positionnant côté WAN). Mais, vous pouvez directement utiliser votre hôte physique sans problème (sous Windows, vous pouvez installer l'outil Zenmap, par exemple).
III. Installer CrowdSec sur PfSense
A. Accéder au shell de PfSense
La première étape consiste à installer un ensemble de paquets sur le pare-feu PfSense afin de pouvoir intégrer CrowdSec. Pour exécuter des commandes shell sur PfSense, il y a trois options :
Utiliser le mode console (via l'hyperviseur, par exemple)
Utiliser la console distante via une connexion SSH
Utiliser la fonction "Command Prompt" accessible via l'interface web de PfSense (dans le menu "Diagnostics").
Dans le cas présent, je pensais utiliser la fonction "Command Prompt" mais les commandes ne sont pas passées. Il est préférable de passer directement via la console.
Si vous avez besoin d'activer le SSH, cliquez sur "System" puis "Advanced". À cet endroit, il y a une section "Secure Shell" où vous pouvez activer le SSH et définir un port personnalisé.
Ensuite, vous devez vous connecter en SSH à PfSense. Vous pouvez utiliser le client OpenSSH de Windows ou Linux, ou une autre application telle que PuTTY.
Voici comment se connecter sur un pare-feu avec l'adresse IP "192.168.100.1" avec le compte "admin", où le port SSH est 9922.
La première fois, vous devez accepter l'empreinte en indiquant "yes". Ensuite, saisissez le mot de passe et validez. Pour accéder au shell, choisissez l'option "8".
B. Installer CrowdSec, le paquet PfSense et le bouncer Firewall
Désormais, il va falloir installer CrowdSec, son paquet pour PfSense, le bouncer Firewall et des dépendances.
Pour cela, vous devez récupérer les liens vers les dernières versions en vous référant au GitHub de CrowdSec. Autrement dit, les commandes "pkg add" ci-dessous pointent vers les versions actuelles, mais ce ne seront pas forcément les dernières lorsque vous allez suivre ce tutoriel.
Avant d'installer les paquets, nous allons définir la variable "IGNORE_OSVERSION" à "yes" pour éviter les avertissements lors de l'installation des paquets (dû à la différence entre la version du paquet et la version de FreeBSD sur laquelle est basée PfSense).
Dans la console, saisissez cette commande :
setenv IGNORE_OSVERSION yes
Puis exécutez les commandes suivantes pour télécharger et installer les paquets :
L'installation de CrowdSec est effectuée à l'emplacement suivant :
/usr/local/etc/crowdsec/
Par la suite, si vous avez besoin de redémarrer CrowdSec, utilisez cette commande (adaptez également pour l'arrêter / le démarrer) :
service crowdsec.sh restart
Avant de poursuivre, vous devez redémarrer votre pare-feu PfSense, sinon CrowdSec ne sera pas actif, et la ligne de commande "cscli" indisponible également.
Voilà, vous venez d'installer CrowdSec sur PfSense !
IV. Configurer CrowdSec sur PfSense
Sachez que tout le jeu de commandes habituel permettant de configurer et d'utiliser CrowdSec est disponible : cscli. Vous pouvez aussi faire l'essentiel de la configuration à partir de l'interface d'administration de PfSense.
À partir du menu, sous "Services", choisissez "CrowdSec".
Par défaut, et c'est plutôt appréciable, CrowdSec est préconfiguré pour être opérationnel et être capable d'analyser les journaux de PfSense. Pour en savoir plus sur les fichiers de logs parsés par CrowdSec, regardez ces deux fichiers :
Vous devez tout de même réviser la configuration proposée...
Vous pouvez constater que la "Local API" (LAPI) est activée. Elle est utilisée par CrowdSec pour le partage d'informations entre plusieurs instances. Ici, c'est en local. Au cas où il s'agirait d'un déploiement avec plusieurs machines qui s'échangent les informations (adresses IP bloquées, par exemple), il faudrait s'intéresser à la section "Remote API". Ici, ce n'est pas nécessaire.
Descendez dans la page... Nous pouvons constater que CrowdSec est actif sur toutes les interfaces de PfSense, en entrée (flux malveillants entrants). Il est important de préciser que les règles de pare-feu créées par CrowdSec ne sont pas visibles dans la liste des règles de PfSense que l'on peut afficher en mode web, mais uniquement en ligne de commande.
Cliquez sur le bouton "Save" pour valider la configuration et démarrer CrowdSec.
Désormais, dans le menu "Status", cliquez sur "CrowdSec Status".
Ici, vous pouvez visualiser l'état général de CrowdSec, ainsi qu'obtenir la liste des bouncers, des collections, des scénarios, etc... Mais aussi lister les dernières alertes et les décisions. Pour rappel, une décision correspond au fait de bannir une adresse IP (action par défaut).
Voici la liste des collections actuellement installées :
Nous pourrions en ajouter d'autres à partir de la ligne de commande (cscli collections install). Ceci peut s'avérer utile si votre pare-feu PfSense héberge d'autres services, comme un reverse proxy HAProxy, par exemple.
Enfin, il y a la section "CrowdSec Metrics" accessible via le menu "Diagnostics" de PfSense qui donne des statistiques plus détaillées sur l'activité de CrowdSec sur notre pare-feu. Nous pouvons entre autres visualiser quels sont les fichiers de log analysés par CrowdSec et obtenir des statistiques à leur sujet.
V. Simuler un scan de ports sur PfSense
A partir de l'outil NMAP, nous allons pouvoir réaliser un scan de ports sur l'adresse IP de l'interface WAN du PfSense. Dans cet exemple, il s'agit de "192.168.1.60", mais en production, il s'agirait de votre adresse IP publique. Vous pouvez utiliser NMAP sur Linux, via WSL, ou sinon en mode graphique sous Windows avec Zenmap.
Voici la commande à exécuter pour faire un scan de port à la recherche de services fréquents :
nmap -sV 192.168.1.60
Le scan a permis de détecter que le port 80/tcp (http) était ouvert. C'est normal, car une règle de NAT redirige les flux HTTP vers un serveur Web en DMZ. Il n'a pas obtenu d'autres réponses.
Pour cause, la machine à l'origine du scan a été bannie par CrowdSec. Nous pouvons le voir dans le menu "Status" puis "CrowdSec", en accédant à l'onglet "Decisions". Cette adresse IP a été bannie à cause du scan de port, comme indiqué : pf-scan-multi_ports.
L'information est bien entendu visible à partir de la ligne de commande :
cscli decisions list
Nous pouvons constater que CrowdSec est opérationnel et réactif sur notre pare-feu PfSense ! C'est un gros plus pour la protection de notre réseau !
VI. Conclusion
Suite à la mise en place de CrowdSec sur notre pare-feu PfSense, nous sommes en mesure de détecter et bloquer les adresses IP malveillantes. Ainsi, si une machine vient frapper à la porte de votre pare-feu pour voir quels sont les services ouverts, elle sera directement bannie.
Par la suite, nous verrons comment aller plus loin dans la détection et la configuration s'il y a un reverse proxy HAProxy en place sur le pare-feu PfSense. Pour aller plus loin, nous pourrions aussi déployer CrowdSec sur les serveurs de notre infrastructure et faire en sorte pour que toutes les décisions et alertes soient synchronisées entre les hôtes, en nous appuyant sur l'instance CrowdSec déployée sur PfSense comme point central.
Magika, c'est le nom du nouvel outil de Google mis à disposition de la communauté et qui permet d'identifier les types de fichiers, rapidement, grâce à l'intelligence artificielle. Voici ce qu'il faut savoir !
Avec Magika, vous pouvez identifier facilement et rapidement les types de fichiers binaires et textuels. Déjà utilisé en interne par Google, il peut être utilisé par tout le monde dès à présent. Il s'installe sur une machine en locale en tant que paquet Python (via "pip install magika"), mais vous aussi l'utiliser à partir de ce site de démo. "Magika est déjà utilisé pour protéger des produits tels que Gmail, Drive et Safe Browsing, ainsi que par notre équipe VirusTotal", précise Google.
À partir d'un bel échantillon de 1 million de fichiers, Google a comparé les performances de Magika avec d'autres outils tels que Exiftool, Trid, File mime et File magic. L'entreprise américaine affirme que : "Magika surpasse les méthodes conventionnelles d'identification de fichiers en offrant une augmentation globale de 30% de la précision et jusqu'à 95% de précision supplémentaire sur des contenus traditionnellement difficiles à identifier, mais potentiellement problématiques, tels que VBA, JavaScript et PowerShell."
Magika parvient à être plus performant grâce à l'intelligence artificielle et au fait qu'il a été entrainé sur énormément de données. Pour être plus précis, il s'appuie sur ce que l'on appelle un "deep-learning model" et il est capable d'identifier le type d'un fichier en quelques millisecondes.
Voici le tableau récapitulatif publié par Google sur cette page :
Je n'ai pas encore testé cet outil, mais il me semble très intéressant ! Attention, nous parlons bien d'identifier le type d'un fichier, ce qui n'indique pas s'il s'agit d'un fichier malveillant ou non, même si cela peut être un premier signe. L'exemple ci-dessous, publié par Google, montre que l'outil peut afficher le résultat pour l'ensemble des fichiers contenus dans un dossier :
Pour Google, le déploiement de l'intelligence artificielle à grande échelle au sein des outils et services va jouer un rôle au niveau de la cybersécurité et faire pencher la balance en faveur des défenseurs, face aux attaques.
Suite à son rachat par Broadcom, VMware a subi de nombreux changements qui sont impactants pour les clients, les utilisateurs et les distributeurs des solutions VMware. Dernière annonce en date : la fin de la version gratuite de VMware ESXi Free, pourtant très répandue. En effet, elle pouvait être utilisée pour évaluer la solution sans limite de temps, bénéficier d'un environnement de test, déployer un serveur dédié dans le Cloud ou encore en production par certaines petites et moyennes entreprises.
Désormais, si vous utilisez VMware ESXi Free, vous avez deux options : passer sur une version payante de VMware ESXi ou se tourner vers une alternative. Dans cet article, nous allons évoquer ces fameuses alternatives (y compris certaines payantes), sans faire la promotion d'une solution plus qu'une autre. Libre à vous de les évaluer, même si nous essaierons de publier du contenu sur ces solutions dans les semaines et mois à venir...
II. Les alternatives à VMware ESXi
A. Hyper-V
Hyper-V, c'est le nom de l'hyperviseur de Microsoft, disponible à la fois sur Windows Server et Windows (notamment sur Windows 10 et Windows 11), mais également en tant qu'Hyper-V Server, une version autonome, mais en fin de vie.
Le rôle Hyper-V est gratuit, cependant il a un impact sur le coût de la licence Windows Server. En effet, vous devez disposer d'une licence valide pour le système d'exploitation, mais en plus, votre licence Windows Server doit tenir compte du nombre de machines virtuelles que vous comptez déployer (une seule licence Windows Server Standard autorise 2 VM).
Hyper-V est une solution mature, avec de nombreuses fonctionnalités, et il est capable de faire tourner des machines sous Windows ou Linux. La gestion des machines virtuelles s'effectue avec la console Hyper-V, qui est une sorte de client lourd, mais aussi via Windows Admin Center et PowerShell. Lorsqu'un cluster Hyper-V est déployé, une seconde console dédiée est accessible à l'administrateur système.
Ces derniers temps, nous entendons beaucoup parler de Proxmox VE car cette solution pourrait profiter de la situation actuelle pour récupérer quelques utilisateurs de VMware. Lancée en 2008, Proxmox VE (Virtual Environment) est une plateforme de virtualisation open source adaptée pour la production et les entreprises. Elle prend en charge la création et la gestion de machines virtuelles, mais aussi de conteneurs.
Proxmox VE est basé sur un noyau Linux et cette solution intègre deux technologies : KVM (Kernel-based Virtual Machine - En soit, c'est aussi une alternative) pour les machines virtuelles et LXC (Linux Containers) pour les conteneurs. La gestion s'effectue en ligne de commande ou à partir d'une interface web. En plus de ses fonctionnalités de virtualisation, Proxmox VE intègre également des fonctionnalités avancées telles que le clustering et la réplication.
Proxmox VE est largement utilisé dans le monde entier et bénéficie d'une communauté importante et active qui contribue à son développement. Aujourd'hui, c'est une solution de virtualisation à considérer au moment de faire son choix !
Né en 2018, le projet XCP-ng est une plateforme de virtualisation open source basée sur XenServer. Au même titre que VMware ESXi, c'est un hyperviseur capable de gérer et de déployer des machines virtuelles. Cette solution a été créée en réponse aux limitations et aux restrictions de Citrix XenServer, notamment en ce qui concerne certaines fonctionnalités "premium". En tant que projet open source, XCP-ng bénéficie des contributions de développeurs du monde entier et d'une communauté grandissante.
L'administration de XCP-ng s'effectue au travers d'une application cliente (un client lourd), tout en étant compatible avec Xen Orchestra, une interface web intuitive pour administrer votre infrastructure de virtualisation. Au-delà d'être une alternative à VMware ESXi, XCP-ng est devenue une sérieuse alternative à une autre solution open source : Proxmox VE.
Dans le catalogue de solutions de chez Nutanix, la véritable alternative à VMware ESXi s'appelle Nutanix AHV, un hyperviseur destiné aux entreprises. Bien que ce soit une réelle alternative à ce que propose VMware, c'est une solution payante, donc ce n'est pas forcément ce que vous allez rechercher dans le cas présent.
Nutanix propose bien une solution gratuite et communautaire nommée Nutanix Community Edition. Toutefois, il s'agit d'une solution d'hyperconvergence (HCI) proposée par Nutanix, le leader sur ce marché. Même si elle est très intéressante, elle ne sera pas adaptée à toutes les situations.
VergeIO se présente comme L'ALTERNATIVE à VMware, et c'est précisé dès que l'on arrive sur la page d'accueil du site officiel : "Quittez VMware dès maintenant : 50 % moins cher - Meilleures performances - Migration transparente".
VergeIO est une plateforme de virtualisation et d'infrastructure hyperconvergée qui vise à simplifier la gestion des centres de données et à réduire les coûts. Elle se présente sous la forme d'une solution tout-en-un qui combine les ressources de calcul, de stockage, de réseau et de virtualisation dans une seule plateforme. Il s'agit d'une solution propriétaire et payante, que vous pouvez essayer pendant 90 jours.
Terminons par oVirt, une solution open source basée sur l'hyperviseur KVM au même titre que Proxmox. En complément, oVirt s'appuie aussi sur plusieurs autres projets communautaires, notamment libvirt, Gluster, PatternFly et Ansible.
L'interface web d'administration d'oVirt permet de gérer les machines virtuelles, mais également le stockage et le réseau virtuel. Cet hyperviseur prend en charge nativement des fonctionnalités avancées intéressantes : la migration en live des machines virtuelles et des disques entre les hôtes et le stockage, ainsi que la haute disponibilité entre plusieurs hyperviseurs.
Voilà, vous connaissez les noms des principales solutions qui peuvent prendre la place de VMware ESXi Free, même si vous pouvez aussi prendre la décision de rester sur VMware ESXi, en passant sur l'offre payante. Soyons honnête : c'est probablement le choix que feront certaines entreprises, mais sachez que des alternatives existent.
Si vous souhaitez donner votre avis sur une ou plusieurs de ces solutions, n'hésitez pas à commenter cet article. Si vous connaissez d'autres solutions viables pour remplacer VMware ESXi Free, c'est pareil, n'hésitez pas à partager l'information avec un commentaire.
Depuis plusieurs mois, le cheval de Troie bancaire Anatsa cible les appareils Android, et plus particulièrement les utilisateurs européens ! Pour se propager, il s'appuie sur des applications malveillantes diffusées par le Google Play Store. Faisons le point sur cette menace.
Les chercheurs en sécurité de ThreatFabric ont mis en ligne un rapport pour alerte sur l'activité du Trojan Anatsa. D'après eux, depuis le mois de novembre 2023, il est très actif et il a déjà infecté les appareils de 150 000 utilisateurs européens. Quand il est en place, Anatsa a pour objectif de voler vos identifiants bancaires pour vider vos comptes.
On parle de cinq campagnes différentes lancées à l'encontre des utilisateurs situés au Royaume-Uni, en Allemagne, en Espagne, en Slovaquie, en Slovénie et en République tchèque. Chaque campagne a pour objectif de cibler une zone géographique bien précise. Même si cela s'est intensifié ces derniers mois, ce n'est pas la première fois qu'Anatsa s'en prend aux utilisateurs européens. Le rapport technique de TheatFabric est disponible sur cette page.
À chaque fois, l'application publiée sur le Google Play Store sert d'appât et de "dropper" pour distribuer le malware sur les appareils des victimes. Il s'agit d'un processus d'infection en plusieurs étapes qui permet de contourner les mesures de protection d'Android, jusqu'à Android 13. Par exemple, la technique employée par Anatsa abuse du service d'accessibilité d'Android en prétextant la nécessité d'avoir une autorisation d'accès pour hiberner les applications gourmandes en batterie.
Les chercheurs de ThreatFabric évoquent plusieurs applications utilisées dans le cadre de ces campagnes, notamment "Phone Cleaner – File Explorer" avec environ 10 000 téléchargements, et "PDF Reader: File Manager" avec plus de 100 000 téléchargements. Au total, les différents apps cumulent plus de 150 000 téléchargements, soit autant de victimes potentielles.
Voici la liste des 5 applications utilisées :
Phone Cleaner - File Explorer (com.volabs.androidcleaner)
PDF Viewer - File Explorer (com.xolab.fileexplorer)
PDF Reader - Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Méfiez-vous avant d'installer des applications, même lorsque c'est sur le Play Store : lisez les avis, consultez l'historique, etc... Avant de cliquer sur le bouton "Installer".
À l'heure où ces lignes sont écrites, il y a au moins 28 500 serveurs de messagerie Exchange vulnérables à la nouvelle faille de sécurité critique CVE-2024-21410 patchée la semaine dernière par Microsoft. En réalité, le nombre de serveurs vulnérables pourrait être beaucoup plus élevé. Faisons le point !
À l'occasion de son Patch Tuesday de Février 2024, Microsoft a corrigé 73 failles de sécurité, ainsi que plusieurs failles zero-day. C'est notamment le cas de la CVE-2024-21410, car cette vulnérabilité présente dans Microsoft Exchange Server a été exploitée par les pirates en tant que faille zero-day avant qu'elle ne soit patchée.
Associée à un score CVSS v3.1 de 9.8 sur 10, cette faille de sécurité critique permet à un attaquant non authentifié d'élever ses privilèges en s'appuyant sur une attaque par relais NTLM ciblant un serveur Microsoft Exchange vulnérable.
Comme souvent, le service de monitoring The Shadowserver a mis en ligne quelques statistiques intéressantes pour nous indiquer combien il y a de machines potentielles vulnérables. Les serveurs Exchange étant, généralement, exposés sur Internet, il est possible de les sonder et de récupérer le numéro de version.
Ainsi, sur un total de 97 000 serveurs Exchange identifiés, il y a 28 500 serveurs qui sont vulnérables à la vulnérabilité CVE-2024-21410. Pour environ 68 500 serveurs, l'état est inconnu puisque cela dépend si les administrateurs ont appliqué ou non les mesures d'atténuation. Nous pouvons imaginer que c'est le cas pour une partie des serveurs, mais pas pour tous... Ce qui augmente forcément le nombre de serveurs vulnérables.
La France, dans le Top 5
En ce qui concerne les pays avec le plus de serveurs Exchange vulnérables, The Shadowserver a publié une liste sur cette page. Voici le Top 5 :
Pays
Nombre d'adresses IP uniques
Allemagne
22 903
États-Unis
19 434
Royaume-Uni
3 665
Pays-Bas
3 108
France
3 074
Nous savons que cette vulnérabilité est exploitée dans le cadre d'attaques. À l'heure actuelle, aucun exploit PoC public semble être disponible. Pour autant, il convient de se protéger dès que possible.
Comment se protéger ?
Sur Exchange Server 2019, vous devez installer la Cumulatice Update 14 (CU14) pour vous protéger. Pour en savoir plus sur cette vulnérabilité, et savoir comment se protéger sur les différentes versions d'Exchange Server, consultez notre article ci-dessous :
Nous ne sommes qu'au mois de février, et pourtant, il pourrait déjà s'agir du coup de l'année sur la scène de la cybersécurité ! Les autorités sont parvenues à mettre hors ligne le site de LockBit, qui est probablement le gang de cybercriminels le plus actif depuis plusieurs années. Faisons le point sur cette intervention !
Depuis le 19 février 2024, le site du gang de ransomware LockBit a été mis hors ligne ! Il était utilisé par les pirates comme vitrine puisqu'il servait à publier les noms des victimes, mais également les montants des rançons et les données volées dans le cadre des attaques.
Désormais, le site de LockBit ressemble à ceci :
Source : BleepingComputer
La National Crime Agency du Royaume-Uni s'est exprimée sur le sujet : "La NCA peut confirmer que les services de LockBit ont été interrompus à la suite d'une action internationale. Il s'agit d'une opération en cours et en développement."
En effet, les forces de l'ordre et organismes de 11 pays sont à l'origine de cette opération, nommée officiellement l'opération Cronos et menée à l'internationale. En effet, la France a participé par l'intermédiaire de la Gendarmerie Nationale, mais elle n'était pas seule puisque le FBI était aussi de la partie, accompagné par l'Allemagne, le Japon, la Suède, le Canada, ou encore la Suisse.
D'après le membre LockBitSupp, qui serait à la tête de LockBit et qui s'est exprimé par l'intermédiaire du service de messagerie Tox, le FBI est parvenu à accéder aux serveurs de LockBit à l'aide d'un exploit PHP. Les forces de l'ordre sont également parvenues à mettre hors ligne l'interface dédiée aux affiliés de LockBit. Un message indique que le code source de LockBit a pu être saisi (celui du ransomware ?), ainsi que des conversations et des informations sur les victimes.
Pour rappel, le gang de ransomware LockBit est à l'origine de plusieurs grandes cyberattaques, y compris en France :
Reste à savoir quel sera l'impact réel de cette opération sur les activités malveillantes menées par le gang de cybercriminels LockBit. N'oublions pas que LockBit est une véritable organisation criminelle, très bien organisée, avec des processus clairs, etc...
Les autorités devraient s'exprimer prochainement sur le sujet. Nous pouvons les féliciter pour cet excellent travail effectué dans la lutte contre le cybercrime !
L'énorme coup réalisé par les forces de l'ordre dans le cadre de l'opération Cronos se confirme : les clés de déchiffrement pour le ransomware LockBit sont entre les mains des autorités, ce qui va permettre de déchiffrer les données gratuitement !
L'opération Cronos est véritablement un coup d'arrêt pour le gang de cybercriminels LockBit. Au-delà d'être parvenu à arrêter les serveurs associés au site vitrine des malfaiteurs, les autorités sont parvenues à récupérer le code source du ransomware LockBit. Cette information a été confirmée par la National Crime Agency (NCA) du Royaume-Uni.
Comme on pouvait s'y attendre, d'autres détails sur cette intervention commencent à être diffusés. Tout d'abord, il faut savoir que les autorités ont pu arrêter 2 membres de LockBit en Pologne et en Ukraine. À cela s'ajoutent le gel de 200 comptes de crypto-monnaie liés au groupe de cybercriminels.
Un outil de déchiffrement est disponible !
Les autorités ont pu arrêter 34 serveurs utilisés par le gang de ransomware LockBit, sur lesquels ils sont parvenus à obtenir plus de 1 000 clés de déchiffrement ! Il s'agit d'une information capitale ! En effet, les autorités sont parvenues à créer un outil de déchiffrement pour LockBit 3.0 !
Le rapport mis en ligne par Europol précise : "Avec le soutien d'Europol, la police japonaise, la National Crime Agency et le Federal Bureau of Investigation ont concentré leur expertise technique pour développer des outils de déchiffrement destinés à récupérer les fichiers chiffrés par le ransomware LockBit".
Cet outil de déchiffrement pour LockBit 3.0 est disponible sur le site "No More Ransom" ! Il doit permettre la récupération des données chiffrées par le ransomware LockBit 3.0 sans avoir à payer la rançon ! D'après un rapport d'Eurojust : "Les attaques de LockBit auraient touché plus de 2 500 victimes dans le monde entier."
Dans ce tutoriel, nous allons apprendre à déployer une application au format MSI sur des appareils Windows 10 ou Windows 11, à l'aide de la solution Intune. Le format MSI est très apprécié par les administrateurs systèmes, car il permet de faciliter l'installation silencieuse des applications, contrairement au format EXE.
Sur les appareils Windows, Intune est capable de déployer des applications de différents types, notamment celles au format MSI par l'intermédiaire de ce qui est appelé les Applications métiers, Line-of-business app ou encore LOB app.
Pour être plus précis, la fonction de déploiement d'une application métier sur les appareils Windows proposée par Intune prend en charge les formats de fichiers suivants : .msi, .appx, .appxbundle, .msix et .msixbundle. Ceci pourra être utile pour les entreprises qui font eux-mêmes le packaging de certaines applications.
Note : vous pouvez également utiliser la méthode "Application Win32" pour créer un package intunewin qui contient un package MSI. Ceci permet d'avoir plus de souplesse, notamment pour s'appuyer sur un script de détection.
II. Télécharger les sources de l'application (7-Zip)
Pour cette démonstration, nous allons voir comment déployer l'application 7-Zip sur Windows à l'aide d'Intune. Vous pouvez utiliser une autre application telle que Google Chrome, via cette méthode. Si vous décidez de déployer Mozilla Firefox, utilisez plutôt la méthode "Application Win32", car avec cette méthode, il y a un problème de détection de la version.
Vous pourrez trouver le package MSI sur cette page :
Ensuite, nous devons identifier le nom du commutateur permettant d'effectuer l'installation silencieuse. Avec un package MSI, en règle général, il s'agit de l'un de ces commutateurs :
<nom du package>.msi /quiet
<nom du package>.msi /silent
<nom du package>.msi /S
<nom du package>.msi /q
Dans le cas présent, la bonne valeur est "/quiet" comme le montre l'aide associée à ce package MSI. Sinon, une recherche sur Internet, notamment sur le site de l'éditeur, peut permettre d'obtenir la bonne valeur.
Désormais, nous allons pouvoir passer sur le portail Intune.
III. Créer une application métier dans Intune
Connectez-vous le portail d'administration d'Intune et créez une nouvelle application métier :
Une fois connecté au portail Intune, naviguez sur l'interface de cette façon :
1 - Cliquez sur "Applications", puis "Windows".
2 - Cliquez sur le bouton "Ajouter".
3 - Un panneau latéral s'ouvre. Choisissez "Application métier" comme type d'application.
4 - Cliquez sur "Sélectionner".
À l'étape suivante :
1 - Cliquez sur le lien "Sélectionner un fichier de package d'application".
2 - Chargez le package MSI de 7-Zip, ou d'une autre application selon vos besoins.
3 - Cliquez sur "OK".
B. Informations sur l'application
L'étape "Informations sur l'application" sert à personnaliser le déploiement de l'application. Au-delà de pouvoir personnaliser le nom et la description, nous devons préciser le nom de l'éditeur, mais pas que ! En effet, j'attire votre attention sur les options suivantes :
Contexte d'installation d'application : cette application sera installée au niveau de la machine et sera disponible pour tous les utilisateurs. Dans certains cas, et selon le package MSI, cette option peut être grisée (avec une valeur prédéfinie).
Ignorer la version de l'application : cette option permet de ne pas tenir compte de la version de l'application, ce qui est utile pour les applications qui vont se mettre à jour automatiquement, comme Google Chrome.
Arguments de ligne de commande : c'est ici qu'il faut indiquer le(s) argument(s) associés à l'installation du package. Vous devez au moins indiquer le commutateur permettant d'effectuer une installation silencieuse, soit "/quiet" dans le cas présent.
Ce qui donne :
Cliquez sur "Suivant".
C. Affectations
Pour finir, affectez cette application aux appareils ou aux utilisateurs de votre choix, selon vos besoins. Comme pour les applications au format EXE, nous pouvons rendre cette application obligatoire, la proposer pour les appareils inscrits via le portail d'entreprise ou déclencher la désinstallation. Dans cet exemple, tous les appareils sont sélectionnés, car il s'agit d'un Lab.
Poursuivez jusqu'à la fin et finalisez la création de l'application.
D. Finaliser la création de l'application
Lorsque vous finalisez la création de l'application, le package MSI est chargé sur Microsoft Intune. Ceci peut prendre un peu de temps en fonction de votre débit et de la taille du package.
La nouvelle application apparaît bien dans la liste. Il ne reste plus qu'à tester !
IV. Tester le déploiement de l'application
Direction un appareil affecté par le déploiement de l'application 7-Zip pour faire un essai. Un redémarrage de la machine suffit pour lui demander de rafraichir ses stratégies. Assez rapidement, l'application 7-Zip fait son apparition sur la machine ! Mission accomplie !
V. Conclusion
En suivant ce tutoriel, vous devez être en mesure de déployer 7-Zip ou une autre application sur un ensemble d'appareils Windows 10 et Windows 11 inscrits dans Intune !
Je vous rappelle que le mode de déploiement "Application métier" d'Intune prend en charge plusieurs formats de fichiers : .msi, .appx, .appxbundle, .msix et .msixbundle.
Une faille de sécurité critique a été découverte dans le pilote JDBC de PostgreSQL, ouvrant la porte à des attaques basées sur de l'injection SQL. Faisons le point sur cette menace potentielle.
Pour rappel, le driver JDBC de PostgreSQL peut être utilisé par des applications, notamment en Java, afin de se connecter à une base de données PostgreSQL.
La faille de sécurité CVE-2024-1597 découverte dans le driver JDBC de PostgreSQL (pgjdbc) est associée à un score CVSS de 10 sur 10, ce qui la note maximale. L'injection SQL est envisageable à condition que le mode "PreferQueryMode=SIMPLE" soit actif, ce qui n'est pas le cas par défaut. Si ce mode n'est pas utilisé, alors la vulnérabilité ne peut pas être exploitée. C'est un détail qui a son importance, et cette condition doit être respectée, au-delà d'utiliser une chaine conçue pour exploiter cette vulnérabilité.
D'après l'auteur de cette découverte, surnommé ElNiak : "Dans des circonstances normales, les requêtes paramétrées constituent une défense solide contre les attaques par injection SQL, car elles garantissent que les données d'entrée sont traitées en tant que données uniquement, et non en tant que partie de la commande SQL." - Dans le cas présent, ces mesures de protection peuvent être contournées, rendant possible l'injection SQL malgré tout.
En exploitant cette vulnérabilité, un attaquant peut espérer accéder à des données sensibles contenues dans la base de données, mais aussi manipuler les données, voire dans le pire des cas, obtenir un contrôle total sur la base de données et sur l'application associée.
Comment se protéger ?
D'après la base de bulletins de sécurité de GitHub, sachez que les versions antérieures à 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9 et 42.2.8 sont concernées par cette faille de sécurité. Donc, vous devez passer sur l'une de ces versions pour vous protéger totalement.
Au-delà d'installer la mise à jour, ElNiak recommande d'adopter les bonnes pratiques suivantes :
Signal est sur le point de lancer une nouvelle fonctionnalité très intéressante et surement attendue des utilisateurs : la possibilité d'utiliser un nom d'utilisateur, ou pseudo si vous préférez, pour se connecter à d'autres personnes. Ceci évite de communiquer son numéro de téléphone.
Cette nouvelle fonctionnalité était dans les tuyaux depuis plusieurs mois : depuis novembre 2023, il est possible de l'essayer en créant un compte sur l'environnement staging de Signal. Désormais, la phase de test est terminée. Cette nouveauté est disponible sur l'infrastructure de production au sein de la version bêta de l'application. Prochainement, elle sera disponible pour tout le monde dans la version stable.
Signal a fait cette annonce par l'intermédiaire d'un tweet mis en ligne sur son compte X officiel : "Nous lançons ces mises à jour pour nos utilisateurs bêta dès maintenant, et nous les activerons bientôt pour tous ceux qui utilisent la dernière version de l'application Signal." - Pour obtenir la version bêta de l'application afin d'utiliser cette nouveauté dès maintenant, vous pouvez vous aider de cette page du support Signal.
Cette fonctionnalité va vous permettre d'associer un nom d'utilisateur à votre compte Signal. Ainsi, vous n'aurez plus à divulguer votre numéro de téléphone, puisqu'à la place, il vous suffira d'indiquer votre nom d'utilisateur. Pour que ce soit encore plus simple, vous aurez également la possibilité de partager un lien d'invitation, ainsi qu'un QR code qu'il suffit de scanner pour vous contacter.
Signal semble offrir la possibilité aux utilisateurs de changer leur pseudo quand il le souhaite, sans imposer de restrictions. Si vous êtes déjà connecté à quelqu'un sur Signal, il pourra toujours voir votre numéro de téléphone s'il l'a déjà enregistré, sinon ce ne sera pas le cas.
La phrase suivante est indiquée dans le journal des modifications de la dernière version bêta de l'application Signal pour mobile : "Votre numéro de téléphone ne sera plus visible par les utilisateurs de la dernière version de Signal, sauf s'ils l'ont enregistré dans les contacts de leur téléphone. Vous pouvez le modifier dans les réglages."
Ici, Signal fait référence aux paramètres de confidentialité, et notamment à un nouveau paramètre qui permettra de contrôler qui peut vous trouver par votre numéro de téléphone sur Signal.
Si vous utilisez VMware vSphere et que VMware Enhanced Authentication Plug-in (EAP) est installé sur votre machine, vous devez le désinstaller dès que possible : il contient deux failles de sécurité qui ne seront pas corrigées par VMware, car c'est un composant en fin de vie. Faisons le point.
VMware a mis en ligne un nouveau bulletin de sécurité pour deux vulnérabilités présentes dans le plugin "VMware Enhanced Authentication". Il s'agit d'un logiciel qui s'installe sur Windows et qui permet de bénéficier d'une authentification transparente sur la console de gestion de vSphere, en s'appuyant sur l'authentification Windows et la fonctionnalité de carte à puce de Windows.
Il est encore utilisé aujourd'hui par des administrateurs systèmes, bien qu'il soit obsolète et en fin de vie depuis mars 2021, suite à la sortie de VMware vCenter Server 7.0 Update 2. "VMware prévoit d'interrompre la prise en charge de l'authentification de session Windows (SSPI) utilisée dans le cadre de l'Enhanced Authentication Plug-in, de la prise en charge des cartes à puce et de RSA SecurID pour vCenter Server.", précise le journal des modifications de cette version.
VMware Enhanced Authentication Plug-in : CVE-2024-22245 et CVE-2024-22250
Il s'agit d'une vulnérabilité critique associée à un score CVSS de 9.6 sur 10. Elle peut être utilisée pour relayer des tickets de service Kerberos. VMware précise qu'un attaquant pourrait un utilisateur cible en "demandant et en relayant des tickets de service pour des Service Principal Names (SPN) arbitraires d'Active Directory".
CVE-2024-22250 :
Il s'agit d'une vulnérabilité importante associée à un score CVSS de 7.8 sur 10 et qui va permettre d'effectuer une élévation de privilèges. Elle peut être exploitée par un attaquant qui dispose déjà d'un accès local non privilégié sur une machine Windows. Grâce à cette vulnérabilité, il peut détourner une session EAP privilégiée lorsqu'elle est initiée par un utilisateur de domaine privilégié sur le même système.
Comment se protéger ?
Il n'y a pas et il n'y aura pas de correctif pour ces deux vulnérabilités. VMware invite les administrateurs systèmes à ne plus utiliser l'EAP, ce qui signifie qu'il faut désinstaller le plugin de votre navigateur et/ou l'application pour Windows associée à un service. Ceci fait référence à "VMware Enhanced Authentication Plug-in 6.7.0" et "VMware Plug-in Service".
Pour vous accompagner dans cette démarche, VMware a mis en ligne un nouvel article de support avec des instructions. En fait, vous pouvez utiliser l'interface graphique de Windows pour désinstaller les applications (méthode classique) ou utiliser les commandes PowerShell suivantes :
Si vous ne pouvez pas faire la désinstallation dans l'immédiat, VMware vous encourage à arrêter et désactiver le service. Voici les commandes fournies :
Pour finir, je tiens à préciser que le composant VMware Enhanced Authentication n'est pas installé par défaut, y compris sur le serveur VMware vCenter.
Si vous avez des interrogations, vous pouvez commenter cet article ou vous référer à la documentation de VMware.
Dans ce tutoriel, nous allons utiliser Microsoft Intune pour déployer le navigateur Google Chrome sur des appareils Windows 10 et Windows 11. Pour cela, nous allons utiliser le package MSI de Google Chrome mis à disposition par Google lui-même.
Précédemment, nous avions vu comment déployer une autre application au format MSI : 7-Zip. Si vous souhaitez en savoir plus sur le déploiement des Applications métiers, Line-of-business app ou encore LOB app, vous pouvez consulter l'article ci-dessous :
Pour rappel, la fonction de déploiement d'une application métier sur les appareils Windows proposée par Intune prend en charge les formats de fichiers suivants : .msi, .appx, .appxbundle, .msix et .msixbundle.
II. Télécharger le package MSI de Google Chrome
La première étape consiste à télécharger le package MSI de Google Chrome puisqu'il va nous permettre de déployer l'application sur les appareils Windows 10 et Windows 11.
Vous pourrez trouver le package MSI de Google Chrome grâce au lien ci-dessous. Choisissez le canal "Stable", puis le type de fichier "MSI" et l'architecture "64 bits" avant de cliquer sur le bouton "Télécharger". Il s'agit d'un paquet d'installation complet (pas un installeur qui récupère les sources sur Internet).
Suite au téléchargement, vous obtenez un fichier d'une centaine de méga-octets nommé "googlechromestandaloneenterprise64.msi". Pour l'installer silencieusement, voici la commande à exécuter :
googlechromestandaloneenterprise64.msi /quiet
Nous allons préciser ce commutateur lors de la création de l'application sur l'interface Intune. D'ailleurs, nous allons pouvoir passer sur le portail Intune dès maintenant...
III. Créer une application métier dans Intune
Connectez-vous le portail d'administration d'Intune et créez une nouvelle application métier :
Une fois connecté au portail Intune, naviguez sur l'interface de cette façon :
1 - Cliquez sur "Applications", puis "Windows".
2 - Cliquez sur le bouton "Ajouter".
3 - Un panneau latéral s'ouvre. Choisissez "Application métier" comme type d'application.
4 - Cliquez sur "Sélectionner".
À l'étape suivante :
1 - Cliquez sur le lien "Sélectionner un fichier de package d'application".
2 - Chargez le package MSI de Google Chrome.
3 - Cliquez sur "OK".
B. Informations sur l'application
L'étape "Informations sur l'application" sert à personnaliser le déploiement de l'application. Au-delà de pouvoir personnaliser le nom et la description, nous devons répondre à un ensemble de "questions".
Concernant le "Contexte d'installation d'application", cette application sera installée au niveau de la machine et sera disponible pour tous les utilisateurs. Comme nous pouvons le constater dans le cas de Chrome, cette option peut être grisée (avec une valeur prédéfinie).
L'option "Ignorer la version de l'application" doit être définie sur "Oui" pour Google Chrome. Ainsi, on s'assure qu'Intune gérera correctement le fait que cette application bénéficie des mises à jour automatique. Sinon, le navigateur risque de se réinstaller "en boucle".
Enfin, pour l'option "Arguments de ligne de commande", nous devons préciser le commutateur permettant d'effectuer une installation silencieuse, soit "/quiet" pour Google Chrome.
Ce qui donne :
Cliquez sur "Suivant".
C. Affectations
Pour finir, affectez l'application Google Chrome aux appareils ou aux utilisateurs de votre choix, selon vos besoins. Comme pour les applications au format EXE, nous pouvons rendre cette application obligatoire, la proposer pour les appareils inscrits via le portail d'entreprise ou déclencher la désinstallation. Dans cet exemple, tous les appareils sont sélectionnés, car il s'agit d'un Lab.
Poursuivez jusqu'à la fin et finalisez la création de l'application.
D. Finaliser la création de l'application
Lorsque vous finalisez la création de l'application, le package MSI est chargé sur Microsoft Intune. Ceci peut prendre un peu de temps en fonction de votre débit et de la taille du package.
Il ne reste plus qu'à tester sur un appareil Windows.
IV. Tester le déploiement de l'application
Dans cet exemple, un appareil sous Windows 11 est utilisé pour vérifier le bon fonctionnement de la stratégie Intune. Après une synchronisation, l'application Google Chrome est bien visible sur l'appareil :
Du côté du portail Microsoft Intune, l'état du déploiement de l'application sur cet appareil remonte également :
V. Conclusion
Si vous suivez rigoureusement ce tutoriel, vous allez pouvoir déployer le navigateur Google Chrome sur les machines Windows 10 et Windows 11 de votre parc informatique qui sont inscrites dans Intune.
Au sein de la dernière Build de Windows 11 accessible via le programme Windows Insiders, Microsoft a introduit plusieurs nouveautés pour son assistant Copilot. Parmi ces nouveautés, la possibilité pour Copilot d'interagir avec Power Automate pour automatiser les tâches répétitives.
Les nouveautés évoquées dans cet article sont disponibles dans Windows 11 Insider Preview Build 26058, via le canal Dev. Il y a quelques heures, Microsoft a mis à jour le journal des nouveautés de cette version pour ajouter les dernières améliorations apportées à Copilot.
Pour rappel, Copilot for Windows est un assistant propulsé par de l'intelligence artificielle capable de répondre à des questions diverses et variées. Il est disponible pour Windows 11, mais aussi Windows 10 (grâce à l'installation d'une mise à jour).
Copilot avec Power Automate
L'assistant Copilot est capable d'interagir avec la plateforme d'automatisation low-code Power Automate, liée à Power Platform. Ceci va permettre d'automatiser certaines tâches répétitives en créant des interactions entre plusieurs applications.
Ce qui est intéressant, c'est que cette "connexion" entre Copilot et Power Automate passe par l'installation d'un plugin. Ceci laisse entendre que d'autres plugins seront ajoutés par la suite.
"Cette première version du plugin offre des fonctions d'automatisation pour Excel, la manipulation des PDF et la gestion des fichiers.", précise Microsoft. L'entreprise américaine donne également quelques exemples de ce que vous pouvez demander à Copilot grâce à ce plugin :
Écrire un courriel à mon équipe pour lui souhaiter un bon week-end.
Dresser la liste des 5 plus hautes montagnes du monde dans un fichier Excel.
Renommer tous les fichiers PDF d'un dossier en ajoutant le mot final à la fin.
Déplacer tous les documents Word dans un autre dossier.
Je dois diviser un PDF en fonction de la première page. Pouvez-vous m'aider ?
Copilot pour gérer le système
Cette version renforce l'intégration de Copilot dans Windows puisque l'IA va pouvoir mieux interagir avec le système d'exploitation. Ainsi, vous pouvez demander à Copilot de vider la Corbeille de Windows, de vous indiquer l'état de la batterie, de vous montrer les réseaux Wi-Fi disponibles ou encore de vous afficher votre adresse IP.
Il peut également être utilisé pour gérer certaines fonctionnalités liées à l'accessibilité : activer le narrateur, activer les sous-titres en direct, ou encore changer la taille du texte.
À cela s'ajoutent d'autres possibilités, dont celles-ci :
Basculer vers un thème sombre ou un thème lumineux
Activer le Bluetooth.
Activer la fonction "ne pas déranger".
Faire une capture d'écran.
Régler le volume, à le modifier ou à le mettre en sourdine.
Démarrer une application.
Demander de l'aide si une fonctionnalité du PC ne fonctionne pas correctement : Audio, Windows Update, Appareil photo, Bluetooth, Imprimante, Réseau, etc.
Ceci pourrait s'avérer utile si ces "ordres" peuvent être transmis à Copilot par l'intermédiaire de la commande vocale. S'il faut écrire les consignes, c'est moins utile : autant régler le volume soi-même plutôt que de demander à Copilot de le faire.... D'autant plus que pour ce cas précis, il y a bien souvent des raccourcis sur les claviers.
En réponse à un incident de sécurité récent, Microsoft a pris la décision d'ajouter de "nouvelles fonctionnalités" de journalisation gratuitement pour tous ses utilisateurs, dans le but d'en faire profiter également certaines agences gouvernementales américaines.
Microsoft a apporté plusieurs changements, comme indiqué dans cet article, notamment pour Purview Audit (Standard) et ils ont pour objectif d'offrir une meilleure visibilité sur les événements, ainsi qu'un historique plus important. "Ces données améliorent les capacités d'identification des menaces lors de la compromission des boites e-mails d'entreprises.", précise Microsoft qui a collaboré avec l'agence CISA.
Ce changement est une réponse à l'incident de sécurité qui a impacté directement des agences gouvernementales américaines, clientes de Microsoft. En effet, il s'agit d'un incident qui remonte au mois de mai 2023, lorsqu'un groupe de cybercriminels chinois, surnommé Storm-0558 par Microsoft, est parvenu à avoir un accès complet à 25 comptes de messagerie pendant un mois.
Ce qui change dans Purview
Microsoft va automatiquement activer les journaux sur les comptes clients et augmentera la période de conservation des journaux, afin qu'elle passe de 90 jours à 180 jours, par défaut. "Au minimum, Microsoft enregistrera et stockera en votre nom pendant 180 jours dans Purview Compliance et aucune action supplémentaire n'est requise pour ce changement.", peut-on lire.
L'entreprise américaine précise également que les capacités de journalisation étendues augmenteront de manière significative, on parle de "x10", les données entrant dans votre SIEM ou tout autre système utilisé pour analyser les journaux d'audit de Microsoft 365. Par ailleurs, Microsoft et la CISA fournissent également le "Microsoft Expanded Cloud Log Implementation Playbook" pour faciliter l'analyse des nouveaux événements, ce qui devrait être utile également dans le cadre d'une réponse à incidents.
L'objectif de ces changements est également de répondre à un standard de sécurité : "En outre, ces données fourniront de nouvelles données télémétriques qui aideront un plus grand nombre d'agences fédérales à respecter les exigences en matière de journalisation imposées par le mémorandum M-21-31 de l'OMB."
Connexion
Microsoft Office pour 1, 2 ou 5 ordinateurs, pour Windows ou Mac
