Microsoft semble enfin prêt à abandonner le protocole d'authentification NTLM dans Windows et Windows Server. L'entreprise américaine estime que ce protocole est obsolète et que les développeurs doivent entamer une transition vers Kerberos. Voici ce qu'il faut savoir.

Le protocole NTLM est très utilisé par les différentes versions de Windows et Windows Server, et pour cause, il a été introduit en 1993 au sein de Windows NT et il est toujours très utilisé aujourd'hui. Néanmoins, ce n'est pas un secret : le protocole d'authentification NTLM est exploitable au sein différents scénarios d'attaques, notamment en environnement Active Directory, et il représente un véritable point faible dans le SI des organisations.

Microsoft a conscience de ces problèmes de sécurité et va abandonner progressivement le protocole NTLM au profit d'alternatives plus sécurisées, notamment Kerberos. "Toutes les versions de NTLM, y compris LANMAN, NTLMv1 et NTLMv2, ne font plus l'objet d'un développement actif et sont obsolètes.", peut-on lire sur le site de Microsoft.

Remarque : l'authentification NTLM est vulnérable à plusieurs attaques telles que "NTLM Relay" et "Pass-the-hash".

Après l'annonce récente de la fin de VBScript dans Windows, Microsoft semble bien décidé à faire du ménage dans ses systèmes d'exploitation pour en améliorer la sécurité.

Est-ce que Windows Server 2025 prendra toujours en charge NTLM ?

C'est peut-être une question que vous vous posez en lisant cet article. Elle est légitime puisqu'il n'est pas aussi simple de se séparer du protocole NTLM... Rassurez-vous, l'abandon de NTLM sera effectué en plusieurs étapes et Windows Server 2025 va supporter NTLM, tout comme la prochaine version majeure de Windows.

"L'utilisation de NTLM continuera à fonctionner dans la prochaine version de Windows Server et dans la prochaine version annuelle de Windows.", précise l'entreprise américaine. Malgré tout, il y a du changement.

Dans un autre article publié récemment au sujet de la sécurité de Windows 11, Microsoft évoque aussi la fin à venir de NTLM : "La dépréciation de NTLM a été une demande importante de notre communauté de sécurité, car elle renforcera l'authentification des utilisateurs, et la dépréciation est prévue pour la seconde moitié de 2024."

NTLM et Kerberos : le passage au mode "Negotiate"

Microsoft souhaite que l'authentification Kerberos soit prioritaire vis-à-vis de NTLM. Autrement dit, lorsqu'il n'y a pas le choix, notamment si le périphérique ou l'application source ne supporte pas NTLM.

Cela signifie qu'il ne doit plus y avoir d'appels en direct vers NTLM, mais des appels de type "Negotiate" afin que le protocole Kerberos soit utilisé s'il est disponible. Si ce n'est pas le cas, le NTLM est utilisé en guise de solution de replis. C'est le principe de l'authentication fallback. L'objectif étant de permettre aux entreprises d'effectuer une transition en douceur.

Ceci signifie également que les développeurs vont devoir adapter leurs applications, peut-être en s'intéressant à la fonction "AcquireCredentialsHandle" qui intègre plusieurs modes (NTLM, Negotiate, Kerberos, etc.).

Enfin, si vous souhaitez vous débarrasser de NTLM dans votre organisation et préparer ces futurs changements, vous pouvez consulter le tutoriel mentionné ci-dessous. La première phase d'audit vous permettra d'identifier les équipements et applications faisant encore usage du protocole NTLM.

• Active Directory : comment désactiver le protocole NTLM ?

The post Microsoft prêt à abandonner le protocole d’authentification NTLM ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer et à configurer la solution Stirling PDF à l'aide d'un conteneur Docker. Stirling PDF est une puissante boite à outils gratuite et open source pour gérer et manipuler vos fichiers PDF localement.

Accessible à partir d'un navigateur Web, cette solution va vous permettre d'effectuer des actions diverses et variées sur vos fichiers PDF, tout en gardant la maitrise de vos données. En effet, avec Stirling PDF, tout fonctionne entièrement sur votre machine locale, garantissant la confidentialité et le contrôle de vos données. Ceci pourra éviter que vos utilisateurs s'appuient sur des outils en ligne, au risque qu'il y ait une fuite de données par la même occasion.

• Cliquez ici pour regarder la vidéo sur YouTube

Voici quelques-unes des fonctionnalités disponibles :

• Fusionner ou diviser des documents PDF
• Extraire des pages d'un document PDF
• Réorganiser ou pivoter les pages d'un document PDF
• Convertir des fichiers sources en PDF (image vers PDF, HTML vers PDF, Markdown vers PDF, etc.)
• Convertir un fichier PDF dans un autre format (PDF vers image, PDF vers Word, PDF vers HTML, etc.)
• Compresser un document PDF
• Extraire les images ou ajouter une image
• Modifier les métadonnées d'un document PDF
• Signer un document PDF (avec un certificat numérique ou une image de signature)
• Ajouter ou supprimer le mot de passe d'un PDF
• Ajouter un filigrane sur un document PDF
• Visionneuse de documents PDF
• Reconnaissance de caractères (OCR)
• Etc...

Toutes ces fonctionnalités sont gratuites puisque cette application est libre et open source. Il intègre de nombreuses fonctionnalités dont certaines parfois réservées à des outils premium (payants).

Stirling PDF peut être installé sur une machine Windows, en local, car des exécutables sont proposés sur le GitHub officiel. Ceci implique l'installation de Java sur la machine. Pour ma part, je préfère m'orienter vers un déploiement dans un conteneur Docker, sur un NAS Synology, afin de mettre à disposition l'application à X utilisateurs. Ceci est d'autant plus pertinent que l'application est accessible à partir d'un navigateur, via l'URL de votre choix.

Pour en savoir plus ou télécharger l'exécutable pour Windows, consultez le GitHub du projet :

• GitHub - Stirling PDF

Sur le même sujet :

• Comment fusionner des PDF sous Windows ?
• Comment fusionner des PDF sous Linux ?

II. Installer Stirling PDF sur un NAS Synology

Pour effectuer l'installation sur un NAS Synology, nous allons utiliser l'application "Container Manager" (Docker) afin de pouvoir utiliser un fichier de configuration Docker Compose. Ceci vous permet d'utiliser cette configuration facilement pour déployer le conteneur sur d'autres plateformes.

Tout d'abord, nous allons créer l'arborescence de dossiers pour accueillir les données de Stirling PDF. Sous le répertoire "docker", voici les répertoires à créer :

• stirling-pdf
  • trainingData
  • extraConfigs

Le répertoire "trainingData" est utile uniquement si vous envisagez d'utiliser la fonction liée à l'OCR.

Ce qui donne :

Ensuite, lancez l'application "Container Manager" (Docker) sur votre NAS Synology. Créez un nouveau projet :

• Projet > Créer

Commencez par donner un nom au projet, par exemple "stirling-pdf". Puis, indiquez le chemin correspondant au dossier précédemment créé, à savoir "/docker/stirling-pdf".

Puis, sélectionnez "Créer un fichier docker-compose.yml" afin de pouvoir personnaliser le déploiement de ce projet basé sur l'image Docker "frooodle/s-pdf" dans sa dernière version (vis-à-vis du tag "latest"). Voici un aperçu du code de configuration Docker Compose :

Pour cet exemple, je vais utiliser la configuration Docker Compose suivante :

version: '3.3'
services:
  stirling-pdf:
    image: frooodle/s-pdf:latest
    ports:
      - '8080:8080'
    volumes:
      - /volume1/docker/stirling-pdf/trainingData:/usr/share/tessdata #Required for extra OCR languages
      - /volume1/docker/stirling-pdf/extraConfigs:/configs
#      - /location/of/customFiles:/customFiles/
#      - /location/of/logs:/logs/
    environment:
      - DOCKER_ENABLE_SECURITY=true
      - SECURITY_ENABLE_LOGIN=true
      - SECURITY_INITIALLOGIN_USERNAME=pdf
      - SECURITY_INITIALLOGIN_PASSWORD=IT-Connect
      - INSTALL_BOOK_AND_ADVANCED_HTML_OPS=false
      - LANGS=fr_FR

Quelques explications s'imposent :

• Le conteneur sera accessible sur le port "8080" puisqu'il est mappé sur le port "8080:8080" (port externe côté NAS : port interne dans le conteneur). Vous pouvez adapter cette valeur (premier numéro de port) si besoin, parce qu'un seul conteneur peut occuper chaque port.
• Sous "volumes", indiquez les chemins vers les répertoires "trainingData" et "extraConfigs" créé précédemment. Les répertoires "customFiles" et "Logs" sont facultatifs. Ici, ces deux lignes sont commentées.
• La directive "SECURITY_ENABLE_LOGIN=true" sert à activer la page de connexion sur Stirling PDF. Autrement dit, il conviendra de s'authentifier avant d'accéder à l'application. Ceci implique aussi de configurer la directive "DOCKER_ENABLE_SECURITY=true".
• La directive "SECURITY_INITIALLOGIN_USERNAME=pdf" sert à créer un utilisateur par défaut nommé "pdf"
• La directive "SECURITY_INITIALLOGIN_PASSWORD=IT-Connect" sert à attribuer le mot de passe "IT-Connect" à l'utilisateur par défaut.
• La directive "INSTALL_BOOK_AND_ADVANCED_HTML_OPS=false" sert à indiquer qu'il ne faut pas télécharger l'application Calibre sur Stirling PDF. Elle permet la conversion de PDF vers/depuis un livre et la conversion HTML avancée. Activez cette option si besoin.
• La directive "LANGS=fr_FR" sert à précise la langue pour la bibliothèque de polices personnalisées à installer pour la conversion de documents. Dans tous les cas, l'interface de l'application sera disponible en plusieurs langues, dont le français.

Ci-dessous, un aperçu en tant qu'image.

Une fois que c'est fait, poursuivez jusqu'à la fin de l'assistant pour lancer la création du projet. L'image Docker va être téléchargée et le conteneur configuré puis exécuté.

L'application Stirling PDF est désormais exécutée au sein du conteneur Docker. Stirling PDF est une application assez gourmande en RAM, probablement à cause de son lien étroit avec Java. Sur mon NAS, le conteneur consomme entre 400 et 700 Mo de RAM, ce qui n'est pas neutre.

Dans la suite de cet article, nous verrons comment utiliser et configurer Stirling PDF.

III. Découverte de Stirling PDF

A. Première connexion

L'accès à l'application s'effectue à partir d'un navigateur Web. Il suffit de préciser l'adresse IP ou le nom de domaine du NAS, suivi du port "8080", comme ceci :

http://192.168.1.148:8080/

Si vous avez activé l'authentification, vous devez vous connecter avec le compte créé par défaut (selon les informations définies dans le Docker Compose).

Voilà, vous êtes connecté à Stirling PDF ! Vous pouvez profiter de l'ensemble des outils intégrés à cette fabuleuse boite à outils !

Que faire ensuite ?

B. Gestion des utilisateurs

Avant d'évoquer les outils en eux-mêmes, je vous recommande de changer le mot de passe du compte utilisateur créé par défaut. Vous pouvez aussi créer d'autres utilisateurs. Pour accéder à la gestion de votre compte, cliquez sur "Paramètres" en haut à droite (icône en forme de roue crantée) puis cliquez sur "Paramètres du compte".

Ici, vous pourrez changer le nom d'utilisateur et le mot de passe du compte.

Si vous descendez tout en bas de la page, vous pourrez cliquer sur le bouton "Paramètres d'administration - Voir et ajouter des utilisateurs". Ceci vous permet de créer d'autres comptes utilisateurs, avec différents niveaux de permissions : administrateur, utilisateur, etc.

Libre à vous de créer un ou plusieurs comptes. L'intérêt étant principalement de gérer l'accès à l'application. À ma connaissance, Stirling PDF n'a pas vocation à permettre à chaque utilisateur de gérer une bibliothèque de documents PDF.

À tout moment, vous pourrez créer, modifier ou supprimer des utilisateurs.

C. Utilisation des outils

Nous n'allons pas passer en revue l'ensemble des outils, car l'interface est simple d'utilisation et il y a énormément de possibilités. Il vous suffit de choisir l'outil de votre choix à partir du menu principal, ou de la page d'accueil. Vous pouvez aussi utiliser la fonction de recherche pour gagner du temps, ainsi que mettre certains outils en favoris.

La fonction "Fusionner plusieurs PDF" vous permet, comme son nom l'indique, de fusionner (concaténer) plusieurs documents PDF en un seul fichier.

Il y a également un outil multifonction qui donne accès à quelques fonctions basiques dans une même interface. Vous chargez un fichier, et ensuite, vous pouvez intervenir des pages, effectuer des rotations de pages, etc... Selon vos besoins.

À vous d'explorer les différents outils au fur et à mesure que les besoins se présenteront.

D. Aller plus loin dans la configuration

Est-ce qu'il y a des paramètres de configuration supplémentaires ? La réponse est oui. La configuration de Stirling PDF s'appuie sur un fichier au format YAML nommé "settings.yml". Il est situé à cet emplacement :

/docker/stirling-pdf/extraConfigs/settings.yml

Il permet de configurer l'application plus en profondeur. Nous pouvons définir un nom personnalisé pour l'application, mais aussi configurer l'authentification OAuth2. Ceci peut s'avérer utile pour s'appuyer sur un service tiers pour l'authentification des utilisateurs (Google, GitHub, KeyCloak).

Nous constatons aussi la présence de deux options ayant pour objectif de protéger l'interface de connexion des attaques par brute force. En effet, il y a un verrouillage de comptes activé par défaut : 5 mauvaises tentatives d'authentification à suivre vont engendrer le verrouillage d'un compte pendant 2 heures.

  loginAttemptCount: 5 # lock user account after 5 tries
  loginResetTimeMinutes: 120 # lock account for 2 hours after x attempts

Voici un aperçu de ce fichier de configuration que vous pouvez modifier selon vos besoins :

Pour aller plus loin, vous pouvez aussi publier l'application sur un nom de domaine à l'aide du reverse proxy de DSM :

• NAS Synology - Publier une application Web
• NAS Synology - Certificat Let's Encrypt avec Synology DDNS

IV. Conclusion

D'une part, nous avons appris à installer Stirling PDF dans un conteneur Docker à partir d'un NAS Synology, et d'autre part, nous avons vu comment configurer et utiliser rapidement cette boite à outils PDF.

Stirling PDF est une excellente application qui a totalement sa place dans les entreprises, car elle répond à de nombreux besoins des utilisateurs. Le déploiement est relativement rapide et il n'y a aucun coût de licence à prévoir !

Qu'en pensez-vous ?

• NAS Synology - Homer : un tableau de bord personnalisable
• NAS Synology - iVentoy : un serveur PXE simple et léger
• NAS Synology - Speedtest Tracker : effectuer le suivi d'une connexion Internet

The post NAS Synology – Comment auto-héberger Stirling PDF, la boite à outils PDF ultime ? first appeared on IT-Connect.

Microsoft Purview integrates with Microsoft 365 applications such as Exchange, SharePoint, OneDrive, and Teams, providing comprehensive data governance, compliance, and protection capabilities across these platforms. One of the standout components of this suite is the Audit Search Graph API, which is currently in public preview. It allows developers and administrators retrieve detailed audit logs programmatically, providing deep insights into user activities across Microsoft services. In this blog, I will explore the full potential of the Microsoft Purview Audit Search Graph API and demonstrate how to use the API through both PowerShell and HTTP methods.

Kaspersky a publié un nouvel outil gratuit pour analyser les systèmes Linux à la recherche de cybermenaces connues ! Le nom de cet outil : Kaspersky Virus Removal Tool (KVRT). Faisons le point.

Disponible depuis plusieurs années, l'outil Kaspersky Virus Removal Tool était jusqu'alors réservé aux utilisateurs de Windows. L'éditeur Kaspersky a pris la décision de développer une version pour Linux, désormais disponible.

Kaspersky estime que les entreprises ne protègent pas suffisamment leurs machines sous Linux, pensant qu'elles sont immunisées contre les menaces lorsqu'une machine est exécutée avec une distribution Linux. "C'est pourquoi nous avons lancé un produit gratuit dédié qui permet de vérifier les ordinateurs Linux contre les menaces modernes : Kaspersky Virus Removal Tool (KVRT) pour Linux.", peut-on lire sur le site de Kaspersky.

À quoi sert Kaspersky Virus Removal Tool pour Linux ?

Ce nouvel outil ne surveille pas le système en temps réel, mais il est plutôt là pour effectuer une analyse sur une machine à la recherche de menaces déjà présentes. Autrement dit, il sert à effectuer une recherche de logiciels malveillants sur Linux, tout en proposant le nettoyage des menaces détectées. "Il peut détecter à la fois les logiciels malveillants et les adwares, ainsi que les programmes légitimes pouvant être utilisés pour des attaques.", précise Kaspersky.

Pour rechercher les menaces, Kaspersky Virus Removal Tool effectue une analyse en profondeur du système puisqu'il va s'intéresser à tous les fichiers du système, mais pas seulement. Kaspersky apporte des précisions à ce sujet : "Notre application peut analyser la mémoire système, les objets de démarrage, les secteurs d'amorçage et tous les fichiers du système d'exploitation à la recherche de logiciels malveillants connus. Elle analyse les fichiers de tous les formats, y compris ceux archivés."

Comment utiliser Kaspersky Virus Removal Tool sur Linux ?

Cet outil est compatible avec différentes distributions Linux, dont Debian, AlmaLinux, Oracle Linux, Ubuntu, ou encore Red Hat Enterprise Linux. La liste complète des distributions disponibles et des prérequis est disponible sur cette page.

Il doit être téléchargé et exécuté depuis la machine sur laquelle l'analyse doit être effectuée. Kaspersky explique qu'il s'agit d'une application portable, qui ne nécessite pas d'installation. Il est également précisé que la base de l'application n'est pas mise à jour de façon automatique : il convient de télécharger la dernière version, pour détecter les menaces les plus récentes, directement depuis le site de l'éditeur.

Cette application est adaptée aux machines Linux avec ou sans interface graphique : "L'application peut être exécutée via une interface graphique ou via une ligne de commande. Mais vous ne pouvez la lancer que manuellement — il est impossible de configurer une analyse programmée.", peut-on lire.

Enfin, pour bénéficier d'une analyse complète du système, il est recommandé de lancer l'outil à partir du compte "root" ou d'un compte privilégié (via "sudo"). Sinon, l'outil pourrait passer à côté de certaines menaces s'il ne peut pas analyser certaines parties de la machine à cause d'un manque de permissions.

Pour en savoir plus, vous pouvez consulter cette page, tandis que le téléchargement s'effectue à partir de cette page en cliquant sur le lien "Show other platforms".

Qu'en pensez-vous ?

The post Kaspersky lance un outil gratuit pour analyser Linux à la recherche de menaces connues ! first appeared on IT-Connect.

Windows 10 GAC (General Availability Channel) atteindra la fin de son support le 14 octobre 2025. Donc, si votre matériel ne supporte pas Windows 11, vous pouvez utiliser Windows 10 IoT Enterprise LTSC 2021 car il est supporté jusqu’au 13 janvier 2032.
En effet, LTSC signifiant (Long-Term Servicing Channel).
Toutefois, vous aurez besoin d’une licence pour l’activer.

Dans ce tutoriel, je vous guide dans les étapes pour installer Windows 10 Enterprise LTSC sur votre PC à partir d’une clé USB d’installation

Comment installer Windows 10 IoT Enterprise LTSC

Créer la clé USB d’installation

• Insérez dans votre PC une clé USB de 8 Go (minimum) et sauvegardez les données qui s’y trouvent
• Cliquez sur ce lien pour récupérer l’image de Windows 10 Enterprise LTSC :

• Ensuite, téléchargez l’utilitaire de création de clé USB bootable Rufus :

• Exécutez le
• Dans Périphérique, sélectionnez le lecteur de votre clé USB ou DVD-Rom
• Cliquez ensuite à droite dans Selection puis naviguer dans votre disque afin de sélectionner le fichier ISO
• Dans schéma de partition et système de destination à droite, réglez en :
  • UEFI : Si l’ordinateur est récent (> 2013) alors il est réglé en UEFI et il faut donc choisir GPT (non CMS).
  • MBR et BIOS (ou UEFI-CMS) : Si l’ordinateur est ancien (<2013)
• Pour plus de détails, consultez ce guide : FAQ – UEFI et MBR
• Nom de volume : laisser la valeur par défaut
• Système de fichiers et Taille d’unité d’allocation : ne touchez à rien et laisser selon le schéma de partition

• Cliquez sur Démarrer et confirmez la création de la clé USB

Exécuter l’installation de Windows

• Démarrez votre PC sur la clé USB d’installation de Windows 10 Enterprise LTSC. Plus d’aide : Comment démarrer son PC sur une clé USB
• Sélectionnez la langue Française et cliquez sur Suivant

• Puis cliquez sur Installer maintenant

• Choisissez Windows 10 Entreprise LTSC comme système d’exploitation et passez à l’étape suivante

• Cochez “J’accepte les termes du contrat de licence” et passer à l’étape suivante

• Choisissez Personnaliser comme type d’installation

• Sélectionnez l‘espace non allouée et cliquez sur Suivant. L’utilitaire de partitionnement se charge de créer les partitions de disques systèmes et principale sinon vous pouvez le faire manuellement

• L’installation de Windows avec la copie de fichiers s’effectue

• L’ordinateur va redémarrer pour continuer l’installation

Paramétrages et fin de l’installation

• Puis vous arrivez à la phase de paramétrage où vous devez définir le nom de l’ordinateur, créer un compte utilisateur Windows et choisir les paramètres (OneDrive, Localisation, etc)
• Ensuite connectez vous à votre compte utilisateur, pour terminer les paramétrage
• Le bureau de Windows 10 est alors accessible

FAQ

Qu’est-ce que Windows 10 IoT Enterprise ?

Le système d’exploitation Windows 10 IoT Enterprise est une version complète de Windows 10 qui offre une facilité de gestion et une sécurité d’entreprise aux solutions IoT.
Microsoft fournit des systèmes d’exploitation pour les appareils embarqués depuis des décennies. Windows 10 IoT Enterprise est le dernier né de la gamme des systèmes d’exploitation « embarqués » basés sur les principaux systèmes d’exploitation de Microsoft.
Ces dernières comprennent l’apprentissage automatique, la prise en charge des conteneurs, une interface utilisateur naturelle et une connectivité simple à Azure IoT.
Comme son nom l’indique, cette version de Windows dans les environnements IoT et industriels, dans le monde industriel pour un usage Points de vente (POS), Kiosques interactifs, intégré dans les systèmes embarqué, etc

En quoi Windows 10 IoT Enterprise est-il différent des autres éditions de Windows 10 ?

Windows 10 IoT Enterprise est fonctionnellement équivalent à Windows 10 Enterprise, qui est le système d’exploitation Windows le plus sécurisé, le plus facile à gérer et le plus productif de Microsoft notamment grâce aux fonctionnalités BitLocker, Secure Boot, Device Guard, et Credential Guard.
La différence réside dans le fait que Windows 10 Enterprise fait l’objet d’une licence via Microsoft Volume (lié à l’utilisateur final au moment de l’achat) et Windows 10 IoT Enterprise est concédé sous licence directement aux constructeurs d’appareils IoT (OEM) et comprend des règles concernant les appareils à usage dédié.
De plus, cette version de Windows est Long-Term Servicing Channel (LTSC) qui offre des mises à jour de sécurité et un support technique à long terme (jusqu’à 10 ans), idéal pour les dispositifs en production qui ne peuvent pas être souvent mis à jour.

Ma licence Windows 10 Home, Pro fonctionne-t-elle sur Windows 10 IoT Entreprise ?

Non, mes licences pour Windows 10 Home ou Pro ne sont pas compatibles avec Windows 10 IoT Enterprise et ne peuvent pas être utilisées pour activer cette édition du système d’exploitation.
Pour acquérir une licence Windows 10 IoT Entreprise, vous devez être une entreprise ou fabricants de matériel (OEM).
Bien entendu, on trouve des versions activées illégalement.

L’article Installer Windows 10 IoT Enterprise LTSC est apparu en premier sur malekal.com.

Buildah is an open-source tool that helps build Open Container Initiative (OCI) container images. Unlike traditional container engines, Buildah allows you to create and manage images without a container daemon. Container images created with Buildah can be run in OCI-compatible container engines such as Docker, Podman, or containerd, orchestrated with Kubernetes. The latest release, Buildah 1.35, introduces several significant enhancements extending its capabilities. Key new features include the --add-file flag, which allows you to add files directly to committed images, the --sbom flag for generating Software Bill of Materials (SBOM) during the build and commit processes, and enhancements to the manifest push command with the addition of  the --retry and --retry-delay flags for more robust image pushing.

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer une adresse IP statique sur un système Ubuntu 24.04 ou Debian 12 à l'aide de Netplan. Cette opération basique est essentielle pour qu'une machine soit en mesure de se connecter au réseau local, et ainsi accéder à Internet. L'attribution d'une adresse IP fixe ou statique est une action de configuration courante sur les serveurs.

Pour suivre ce tutoriel, vous devez disposer d'un accès "root" à la machine ou d'un utilisateur ayant accès à "sudo" afin de disposer de suffisamment de privilèges.

II. Qu'est-ce que Netplan sous Linux ?

Netplan est un outil de configuration du réseau sous Linux, positionné au dessus des gestionnaires de configuration réseau "systemd-networkd" et "NetworkManager.

Netplan est disponible depuis plusieurs années sur Ubuntu, mais aussi Debian (non installé par défaut) et son fichier de configuration déclaratif au format YAML va permettre de configurer le réseau sur la machine par l'intermédiaire du gestionnaire réseau ("NetworkManager" ou "systemd-networkd"). La configuration décrite au format YAML sera générée au format attendue par le gestionnaire de réseau utilisé par le système.

C'est une alternative à la modification du fichier "/etc/network/interfaces" évoquée dans cet article :

• Comment configurer une adresse IP fixe sur Debian ?

Remarque : Netplan est l'outil de configuration réseau par défaut sur Ubuntu depuis la version 17.10. Actuellement, nous sommes en version 24.04. Sur Debian 12, il est intégré sur certaines images de fournisseurs Cloud, mais il n'est pas installé par défaut dans l'image officielle.

II. Comment installer Netplan sur Debian ?

Sur Ubuntu, Netplan est installé par défaut puisqu'il sert à gérer le réseau. Sur Debian, notamment Debian 12, ce n'est pas le cas. Pour installer Netplan, voici les commandes à exécuter :

sudo apt-get update
sudo apt-get install netplan.io

Pour mettre en place des configurations réseau complexes avec Netplan, Open vSwitch doit être installé sur la machine. Il n'est pas utile pour configurer une adresse IP statique sur une ou plusieurs interfaces, ou simplement pour configurer une interface en DHCP.

III. Configuration réseau avec Netplan

Sur Ubuntu, la configuration réseau se fait principalement via Netplan pour les versions récentes. Nous allons modifier le fichier de configuration Netplan pour définir notre adresse IP statique.

Ouvrez un terminal et exécutez la commande suivante pour éditer le fichier de configuration (sous Debian, ce fichier doit être créé) :

sudo nano /etc/netplan/01-network-manager-all.yaml

Ajoutez les lignes indiquées ci-dessous dans le fichier pour configurer votre adresse IP statique.

Ceci va permettre de configurer l'interface réseau "ens33" avec l'adresse IP statique "192.168.14.130/24", la passerelle par défaut "192.168.14.2", les serveurs DNS "1.1.1.1" et "9.9.9.9" et le domaine de recherche "it-connect.local". Nous voyons bien que ce fichier de configuration utilise le format YAML.

L'instruction "renderer" sert à indiquer le nom du backend à utiliser pour configurer le réseau, soit NetworkManager, soit "networkd" de Systemclt.

network:
  version: 2
  renderer: NetworkManager
  ethernets:
    ens33:
      dhcp4: no
      addresses:
        - 192.168.14.130/24
      routes:
        - to: default
          via: 192.168.14.2
      nameservers:
        addresses:
          - 1.1.1.1
          - 9.9.9.9
        search:
           - it-connect.local

Voici un aperçu en image :

Quand c'est fait, enregistrez et fermez ce fichier.

Note : sur Debian, continuez d'utiliser le fichier "/etc/resolv.conf" pour gérer le DNS, car Netplan semble récupérer les informations dans ce fichier, malgré la déclaration des DNS dans le fichier YAML. Si vous savez comment déléguer la gestion du DNS à Netplan, je suis preneur de l'information.

Puis, nous allons modifier les permissions sur ce fichier de configuration. Sinon, Netplan renverra l'avertissement "Permissions for /etc/netplan/01-network-manager-all.yaml are too open. Netplan configuration should NOT be accessible by others." au moment d'appliquer la configuration (ceci n'empêche pas la configuration de s'appliquer).

Voici la commande à exécuter :

sudo chmod 600 /etc/netplan/01-network-manager-all.yaml

IV. Appliquer la configuration Netplan

Désormais, nous devons appliquer les changements pour qu'ils prennent effet. Utilisez les commandes suivantes pour générer la configuration et l'appliquer auprès du gestionnaire de réseau du système :

sudo netplan generate
sudo netplan apply

Cette commande reconfigure toutes les interfaces réseau mentionnées dans le fichier de configuration. Si tout est correct, votre interface réseau utilisera maintenant l'adresse IP statique que vous avez définie. Sinon, un message d'erreur est susceptible d'être retourné dans la console.

Sachez que vous pouvez tester la configuration avant de l'appliquer :

sudo netplan try

V. Comment vérifier la configuration ?

Pour afficher et vérifier votre nouvelle configuration réseau, vous pouvez utiliser les options spécifiques de Netplan, à la place de la traditionnelle commande "ip a". Voici plusieurs commandes pour afficher la configuration complète ou celle d'une carte réseau spécifique.

sudo netplan get
sudo netplan status ens33
sudo netplan status --all

Voici un aperçu du résultat obtenu. Nous pouvons constater que l'interface "ens33" est bien gérée par Netplan par l'intermédiaire de NetworkManager.

L'alternative, ce serait d'utiliser "ip address" comme ceci :

ip a show ens33

Si la configuration n'est pas correcte, essayez le mode debug lors de l'application de la nouvelle configuration :

sudo netplan --debug apply

VI. Conclusion

Vous savez maintenant configurer une adresse IP statique sur Ubuntu ou Debian à l'aide de l'outil Netplan ! Pour toute modification future, vous pouvez modifier le fichier de configuration Netplan et réappliquer les changements avec des deux commandes appropriées, comme nous l'avons fait dans cet exemple.

Enfin, voici le lien vers le projet Netplan :

• Site officiel de Netplan

N'hésitez pas à commenter cet article si vous avez une question ou si vous souhaitez partager un complément d'information.

The post Comment configurer une adresse IP statique avec Netplan sur Ubuntu ou Debian ? first appeared on IT-Connect.

Montrer que les ransomwares ne sont pas invincibles, voilà la devise de l'outil open source RansomLord ! Cet outil de cybersécurité est capable de détecter et de neutraliser les ransomwares avant même que les données ne soient chiffrées ! Comment est-ce possible ? Voici ce qu'il faut savoir !

Développé par John Page alias "hyp3rlinx", RansomLord est un outil ingénieux et innovant qui a pour objectif de venir court-circuiter le processus de chiffrement de nombreux ransomwares, y compris les plus redoutables. Ce nouvel outil anti-ransomware disponible sur GitHub est une nouvelle arme à disposition des entreprises et des particuliers dans la lutte contre les ransomwares ! Lors d'une attaque, le ransomware est neutralisé avant même de pouvoir chiffrer les données grâce au piège tendu par RansomLord.

Pour cela, RansomLord se présente comme une solution proactive pour faire face aux ransomwares. En effet, il va venir interférer avec le ransomware lors du processus de "pre-encryption" lorsque la menace va chercher à charger des bibliothèques (DLL) sur le système Windows. Il crée ses propres versions de DLL, que le ransomware va charger, et il va ainsi pouvoir mettre fin à l'exécution du ransomware grâce à un code spécial intégré dans les DLL de RansomLord. Autrement dit, il utilise la technique de "DLL hijacking", parfois elle-même utilisée par les cybercriminels !

La version 3.1 de RansomLord, publiée il y a quelques jours, est capable de mettre fin au processus de nombreux ransomwares, dont : LockBit, WannaCry, HelloKitty, BlackCat (ALPHV), Royal, ainsi que d'autres moins connus tels que StopCrypt, RisePro, RuRansom, ou encore MoneyMessage.

"RansomLord intercepte désormais les ransomwares testés par 49 groupes de menaces différents et y met fin.", peut-on lire sur le GitHub officiel. Grâce à des mises à jour régulières, l'auteur ajoute la prise en charge de nouveaux ransomwares.

• Télécharger RansomLord

Depuis plusieurs années, les ransomwares représentent une menace croissante pour les entreprises et les particuliers. D'ailleurs, le dernier rapport sur les menaces publié par Red Canary indique que les ransomwares sont la principale menace de ces derniers mois.

Source

The post RansomLord, un outil open source capable de piéger les ransomwares ! first appeared on IT-Connect.

Vous souhaitez connaître la température de votre PC, ce qui est une bonne chose pour prévenir de baisse de performances ou d’instabilité.
Toutefois, vous rencontrez un problème de lecture incorrecte de la température du processeur.
Ce tutoriel examine les raisons possibles pour lesquelles la température affichée peut être incorrecte.

Pourquoi le CPU ou processeur donne-t-elle de fausses indications de température

Si la température du processeur affichée est anormalement élevée ou basse, plusieurs facteurs peuvent contribuer au problème, comme indiqué ci-dessous :

• Overclocking incorrect du processeur : L’overclocking peut endommager le capteur de température du processeur, ce qui entraîne des lectures incohérentes et un enregistrement incorrect de la température du processeur.
• Transfert thermique : La pâte thermique transfère la chaleur du cœur de l’unité centrale vers le dissipateur thermique, évitant ainsi la surchauffe. Toutefois, si elle n’est pas appliquée correctement ou si l’unité centrale est mal placée, des fentes d’air peuvent entraver le transfert de chaleur et entraîner des relevés de température incorrects.
• Capteurs de l’unité centrale endommagés : Les capteurs de température des unités centrales ou les thermistances peuvent devenir imprévisibles ou bloqués sur une valeur spécifique s’ils sont endommagés, ce qui entraîne des enregistrements de température inexacts.
• Logiciel défectueux utilisé pour vérifier la température : Plusieurs logiciels de contrôle de la température de l’unité centrale sont disponibles sur le marché, mais certains peuvent ne pas être fiables en raison de bogues. Ces bogues peuvent entraîner des relevés de température incorrects, ce qui conduit à des diagnostics erronés des problèmes du système et endommage le matériel. Vous trouverez des logiciels dans ce guide : Connaître la température de son PC (CPU, GPU, SSD et disque dur)

Corriger la lecture incorrecte de la température du processeur sous Windows

Vérifier les capteurs de l’unité centrale

Les capteurs de température de l’unité centrale surveillent, enregistrent et fournissent des données en temps réel sur le niveau de température de l’unité centrale. Pour s’assurer que les capteurs enregistrent la bonne température, ils doivent donc être en parfait état de fonctionnement. Ils sont généralement situés à côté de la prise du processeur, et nous pouvons les retirer avec précaution pour vérifier s’ils sont cassés ou endommagés.

Chaque capteur de l’unité centrale a généralement son propre emplacement physique et enregistre ses relevés. Par conséquent, si une boucle d’air est présente autour des capteurs, les relevés peuvent être incorrects sous son influence. Par exemple, dans la plupart des cas, le capteur CPU0 enregistre en permanence des températures plus élevées que le CPU1.

Nettoyez l’intérieur de votre ordinateur peut aider à résoudre les problèmes de températures incorrectes.
Pour y parvenir, suivez ce guide : Comment nettoyer l’intérieur de son PC et le dépoussiérer

Vérifier le dissipateur et réappliquer la pâte thermique

La ré-application de la pâte thermique peut aider à transmettre correctement la chaleur du cœur de l’unité centrale au dissipateur thermique. De même, le fait de refixer le dissipateur thermique (un composant métallique qui touche physiquement l’unité centrale et dissipe la chaleur) peut garantir que la température reste dans le seuil autorisé, éliminant ainsi les risques d’enregistrement incorrect de la température.

Réinitialiser le capteur de température du CPU

Une autre solution que vous pouvez essayer est de réinitialiser le capteur de température du CPU.
Voici les étapes à suivre :

• Débranchez la connexion électrique et ouvrez le boîtier de l’ordinateur
• Recherchez le capteur, qui se trouve généralement à proximité de la prise CPU de la carte mère
• Retirez le capteur de son logement avec précaution et nettoyez-le à l’aide d’une brosse douce
• Une fois nettoyé, remettez-le dans son logement
• Ensuite rebranchez tous les câbles puis relancez votre ordinateur
• Testez la température de votre ordinateur

Mettre à jour le BIOS

Enfin dans de rares cas, le BIOS de votre PC peut être en cause dans la mauvaise lecture des températures de votre ordinateur.
Cela est essentiellement dû à un bug de la mauvaise gestion de l’énergie (ACPI) ou des captures de la carte mère.
Mettre à jour le BIOS de votre PC peut aider à résoudre ce problème.

Undervolt : réduire ou ajuster la tension du processeur

L’abaissement de la tension de l’unité centrale peut exclure la possibilité d’une surchauffe de l’unité centrale. Si le processeur enregistre des températures anormalement élevées même après avoir abaissé la tension, cela indique que les capteurs sont endommagés. Par conséquent, les ajustements de tension, bien qu’ils ne résolvent pas le problème dans de tels cas, peuvent nous aider à identifier rapidement le problème réel.
Consultez ce guide :

L’article Corriger la lecture incorrecte de la température du processeur sous Windows est apparu en premier sur malekal.com.

VirtualGHOST, c'est le nom d'un nouvel outil publié par CrowdStrike dont l'objectif de mettre en évidence ce que l'on pourrait appeler des machines virtuelles fantômes, cachées sur les hôtes VMware ESXi. Leur présence fait suite à une intrusion par un attaquant. Faisons le point !

À plusieurs reprises, les équipes de CrowdStrike ont identifié des machines virtuelles suspectes sur des infrastructures VMware. Suspectes, car il s'agit de machines virtuelles cachées, en cours d'exécution, et invisibles à partir de l'interface utilisateur utilisée pour administrer la plateforme VMware.

Autrement dit, la VM créée par les attaquants n'apparaît pas dans l'inventaire de VMware ESXi, ni dans celui du vCenter. Pour démarrer la machine virtuelle de façon discrète, l'attaquant doit opérer à partir de la ligne de commande d'un hyperviseur ESXi compromis. En réponse à cette nouvelle technique émergente, l'entreprise américaine CrowdStrike a développé un outil de détection nommé VirtualGHOST ! C'est d'ailleurs le surnom donné par CrowdStrike à ces fameuses machines virtuelles.

Cet outil, disponible sur GitHub, s'appuie sur un script PowerShell nommé "Detect-VirtualGHOST.ps1" qui compare la liste des machines virtuelles enregistrées dans l'inventaire avec celles qui sont effectivement allumées. Ceci permet d'identifier les machines en cours d'exécution, mais non enregistrée sur l'hôte. Lorsqu'une VM suspecte est détectée, l'outil collecte des informations supplémentaires à son sujet, notamment la configuration réseau.

Ce script s'utilise depuis un poste de travail ou un serveur distant et nécessite la présence du module VMware PowerCLI, ce dernier permettant d'exécuter des commandes "esxcli" et donc de vérifier l'état des machines virtuelles.

Remarque : pour fonctionner, le script Detect-VirtualGHOST.ps1 attend deux informations. Le nom DNS du serveur à analyser ou son adresse IP, ainsi que des identifiants pour s'authentifier sur l'API de management VMware.

Voici un exemple de sortie mettant en évidence la présence d'une VM cachée :

Cet outil a été testé par CrowdStrike sur VMware vCenter 8.0.2, ainsi que plusieurs versions de VMware ESXi (6.5.0, 7.0.3, 8.0.0).

Pour plus de détails, vous pouvez consulter le dépôt GitHub de CrowdStrike :

• GitHub - VirtualGHOST

Compte tenu des nombreuses menaces capables de compromettre les hyperviseurs VMware ESXi, il peut s'avérer judicieux d'exécuter cet outil pour analyser son infrastructure.

Source

The post VirtualGHOST : détectez les machines virtuelles cachées par les attaquants sur VMware ESXi first appeared on IT-Connect.

Le "Red Canary’s 2024 Threat Detection Report" offre une analyse exhaustive des cybermenaces actuelles, détaillant les principales techniques d'attaque et fournissant des recommandations cruciales pour renforcer la cybersécurité des entreprises et des États. Qu'en est-il en 2024 ?

Qu'est-ce que le rapport de Red Canary ?

Le Red Canary’s 2024 Threat Detection Report est un rapport biannuel produit par la société de cybersécurité américaine Red Canary. Il vise à détailler les tendances des menaces pesant sur les entreprises et les États. Ce rapport se base sur plus de 60 000 détections obtenues auprès de plus de 1 000 clients de la société, couvrant des endpoints, des infrastructures cloud, des équipements réseau, des applications SaaS, et plus encore.

Ce rapport de 160 pages détaille les tendances des menaces observées sur le terrain durant la première moitié de l'année 2024.

• Qu'est-ce que cela signifie ?

Grâce à sa présence dans de nombreux systèmes d'information, Red Canary est en mesure de capter un grand nombre d'événements de sécurité. Cela permet de dessiner des tendances sur les principales techniques utilisées par les attaquants, les impacts observés lors des cyberattaques, ainsi que les objectifs visés.

• À quoi peut me servir ce rapport ?

En lisant ce rapport, avec ses détails techniques et ses conclusions, vous pourrez mieux comprendre les techniques utilisées par les attaquants, le profil de leurs victimes et l'évolution de ces différents éléments dans le temps. En connaissant les menaces qui pèsent sur votre entreprise, vous pourrez anticiper et adapter vos projets de cybersécurité actuels et futurs pour mieux vous défendre contre ces menaces.

Les conclusions de ce rapport peuvent, par exemple, servir à améliorer les systèmes de détection d'intrusion de votre SOC, amener à la réalisation d'audit de sécurité sur des composants spécifiquement ciblés par les attaquants cette année ou simplement améliorer les connaissances de vos équipes de défense.

Intéressons-nous maintenant aux différentes conclusions de ce rapport.

Les tendances des cyberattaques en 2024

Red Canary a effectué une analyse des principales tendances rencontrées lors de cyberattaques confirmées et rapports threat intelligence (renseignement sur la menace) au cours de la dernière année.

Sans surprise, la tendance principale des cyberattaques observées durant ces derniers mois fait apparaitre les ransomwares en haut du classement. Ce business visiblement lucratif a la vie dure et continue année après année à impacter lourdement les entreprises qui en sont victimes.

Les attaques sur les accès initiaux, c'est-à-dire visant à obtenir un premier accès au sein du système d'information d'une entreprise pour ensuite implanter un agent dormant et vendre l'accès au plus intéressé, est également un élément qui demeure très présent dans les observations de 2024. Suivi de près par les attaques ciblant le vol d'identifiants, dont l'impact est d'autant plus grand grâce (ou à cause) de l'implémentation du SSO (Single Sign On).

Parmi les autres tendances observées en 2024, on peut également noter :

• L'exploitation de CVE (vulnérabilités publiques) sur des composants non à jour
• Le déploiement de stealer, des malwares spécialisés dans la récolte de données sur le système sur lequel ils sont installés, comme les mots de passe dans les navigateurs ou les coffres-fort de mots de passe. On peut notamment citer les malwares RedLine, Vidar et LummaC2.
• L'utilisation d'outils d'administration à distance légitimes comme Atera ou Remco
• L'utilisation de tokens (jeton d'authentification) API volés sur les infrastructures cloud : les tokens apparaissent de plus en plus comme des alternatives à durée de vie temporaire à la saisie fréquentes des mots de passe, il faut être conscient que le vol de ceux-ci permet d'usurper l'identité du propriétaire.
• L'intelligence artificielle générative, qui fait son apparition depuis quelque temps dans les médias, mais aussi chez les cyberattaquant. Cela particulièrement afin de construire des outils et campagnes de phishing très crédibles, mais aussi pour concevoir de nouveaux malwares rapidement.
• La société observée également qu'un quart des détections réalisées sont en fait dues à des opérations de test "légitimes", tel que du bug bounty, des tests d'intrusion ou des opérations red team.

Enfin, il est par ailleurs intéressant de constater que le secteur d'activité n'est plus vraiment un facteur d'augmentation ou de réduction du risque de cyberattaque. Autrement dit, les attaquants ne cherchent plus à cibler un type d'industrie spécifique ou à en éviter d'autres (comme les écoles et les hôpitaux par le passé). À présent, tout le monde est en risque de devenir la cible d'une cyberattaque.

Les principales menaces observées en 2024

Les observations faites par Red Canary sur la fin de 2023 et début 2024 permettent d'identifier les principaux outils utilisés par les cyberattaquants :

La menace qui se démarque le plus, au-dessus de l'utilisation d'outils classiques d'attaque comment impacket et mimikatz, est CharCoal Stork.

Charcoal Stork est un fournisseur de pay-per-install (PPI) qui utilise le malvertising pour distribuer des installateurs, souvent déguisés en jeux piratés, polices ou fonds d'écran. Initialement, Charcoal Stork utilisait des fichiers ISO avec des charges utiles comprenant une application basée sur NodeJS et des commandes PowerShell pour installer ChromeLoader. En 2023, les charges utiles ont évolué pour inclure des fichiers VBS, MSI et EXE.

SmashJacker, par exemple, installe une version piégée de 7-zip qui installe une extension malveillante sur le navigateur. En août 2023, Charcoal Stork a livré des fichiers EXE menant à des logiciels malveillants plus préoccupants comme VileRAT, un RAT (Remote Administration Tool) Python utilisé par DeathStalker.

Si vous souhaitez en savoir plus, notamment afin de détecter la présence de cet élément malveillant dans votre système d'information. Je vous invite à consulter la page dédiée à Charcoal Stork sur le site web de Red Canary.

• Red Canary - Threat Charcoal Stork

Vous y trouverez des informations permettant d'identifier des éléments signatures (hash, lignes de commande, nom de fichiers) pouvant trahir sa présence.

Les principales techniques (TTP) des attaquants en 2024

La dernière section du document permet de lister les principales techniques d'attaque observées depuis fin 2023/début 2024. Ces techniques sont identifiées selon les TTP du framework d'attaque du MITRE : ATT&CK

Les techniques ciblant les systèmes d'exploitation Windows sont bien sûr en tête de liste, cela est en lien direct avec le fait qu'il s'agit d système le plus utilisé pour les postes utilisateur. On y retrouve donc les TTP liés à l'exécution de commande batch et PowerShell (présent dans 22.1% des cyberattaques observées !) ainsi que WMI (Windows Management Instrumentation).

Il est à noter la montée fulgurante du TTP Cloud Account, qui passe de la 46ᵉ place en 2022 à la 4ᵉ aujourd'hui. Cette technique (T1078.004 - Cloud Accounts) vise à utiliser des identifiants volés d'environnement Cloud pour réaliser un premier accès à une cible, mais aussi de la persistance, de l'élévation de privilège ou de l'évasion de défense.

Conclusion

Le Red Canary’s 2024 Threat Detection Report nous offre une analyse détaillée des tendances actuelles en matière de cybersécurité. Les données recueillies donnent des informations très importantes pour mieux protéger votre système d'information et votre entreprise.

Je vous recommande sa lecture (un peu longue certes, mais très instructive), si vous voulez avoir plus de détails et comprendre en profondeur les principales tendances des menaces en 2024 :

• Red Canary - 2024 Threat Detection Report

The post Quelles tendances des menaces en 2024 ? Réponse avec le rapport Red Canary ! first appeared on IT-Connect.

Des versions piratées de la suite Microsoft Office diffusées via sites de torrents sont utilisées par les cybercriminels pour diffuser plusieurs logiciels malveillants : Cheval de Troie d'accès à distance, mineur de cryptomonnaie, etc... ! Faisons le point.

Une nouvelle campagne malveillante identifiée par le Security Intelligence Center d'AhnLab (ASEC) alerte sur les dangers du téléchargement de logiciels piratés. Malheureusement, ce n'est pas une évidence pour tout le monde et les adeptes de téléchargements illégaux restent très nombreux dans le monde entier. Les cybercriminels l'ont bien compris... Et, ils exploitent des versions piratées de Microsoft Office diffusées sur des sites de torrents pour distribuer un ensemble de malwares.

Les utilisateurs qui téléchargent et installent ces versions piratées de Microsoft Office se retrouvent infectés par divers types de logiciels malveillants, notamment des chevaux de Troie d'accès à distance (RATs), des mineurs de cryptomonnaie, etc.

Un programme d'installation trompeur !

Le programme de la version piratée de Microsoft Office présente une interface bien conçue, et plutôt trompeuse pour les utilisateurs. Nous pourrions même dire qu'elle est plutôt rassurante, car elle permet aux utilisateurs de choisir la version, la langue et la variante (32 ou 64 bits) qu'ils souhaitent installer.

Voici un aperçu :

Cependant, ce n'est que la face visible de ce programme d'installation. En effet, pendant ce temps, en arrière-plan, il lance un malware qui se connecte à un canal Telegram ou Mastodon, à partir duquel il pourra obtenir un lien menant vers Google Drive ou GitHub pour télécharger des logiciels malveillants. Ces services légitimes présentes l'avantage de ne pas alerter les solutions de sécurité.

Des charges utiles dangereuses...

Lors de leurs analyses, les chercheurs Coréens sont parvenus un ensemble de malwares, dont voici la liste :

• Orcus RAT : permet un contrôle à distance complet, incluant la capture des frappes au clavier, l'accès à la webcam de l'ordinateur, la possibilité de prendre des captures d'écran ou encore d'exfiltrer des données.
• XMRig : un mineur de cryptomonnaie utilisant les ressources du système pour miner du Monero. Pour éviter d'être détecté, le minage est arrêté lorsque l'utilisateur sollicite de façon intensive les ressources de la machine.
• 3Proxy : convertit les systèmes infectés en serveurs proxy, permettant aux attaquants de router du trafic malveillant, par l'intermédiaire du port 3306.
• PureCrypter : télécharge et exécute des charges malveillantes supplémentaires à partir de sources externes.
• AntiAV : désactive ou reconfigure les logiciels de sécurité en place sur la machine infectée, de façon à diminuer son niveau de sécurité et à la rendre vulnérable aux autres menaces.

Persistance des logiciels malveillants

Même si l'utilisateur découvre et supprime certains de ces malwares, le module "Updater", exécuté au démarrage du système, les réintroduit. Bien entendu, à l'occasion de la publication de cette étude, les chercheurs d'ASEC mettent en garde les utilisateurs contre les risques de téléchargement de logiciels depuis des sources non officielles et illégales, dans le but d'obtenir des logiciels piratés. Autant que possible, pensez également à vérifier l'intégrité de vos images ISO et autres sources.

Microsoft Office étant un exemple parmi tant d'autres... En effet, des campagnes similaires ont été utilisées pour propager le ransomware STOP.

Source

The post Des versions piratées de Microsoft Office utilisées pour distribuer un ensemble de malwares ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment supprimer la prise en charge de Visual Basic Script (VBScript) sur une machine sous Windows 11 24H2. Quelques clics suffisent pour se débarrasser de VBScript !

À partir de Windows 24H2, VBScript devient une fonctionnalité facultative installée par défaut. Ceci signifie que nous avons la main pour activer ou désactiver cette fonctionnalité selon nos besoins. D'ici quelques années, Microsoft prévoit de supprimer complètement VBScript de Windows 11 et ce changement correspond à la première étape de la feuille de route de l'entreprise américaine.

• La feuille de route pour la suppression de VBScript dans Windows

Si vous n'utilisez pas VBScript et que vous utilisez Windows 11 24H2, il est pertinent de désactiver cette fonctionnalité. En effet, ce langage de script est souvent utilisé par les cybercriminels pour exécuter des malwares et d’autres programmes malveillants sur les appareils Windows. S'il est désactivé, il ne peut plus être exploité à des fins malveillantes.

Sa désactivation peut aussi perturber l'administrateur système de la machine, car ceci va rendre inopérant certains outils bien pratiques, mais basés sur VBScript. Nous pensons notamment à l'outil en ligne de commande slmgr. Désormais, Microsoft recommande de s'orienter vers des solutions plus modernes, notamment JavaScript et PowerShell, selon les scénarios.

II. Comment désinstaller VBScript ?

Nous devons accéder à l'interface de gestion des fonctionnalités facultatives. Vous pouvez utiliser la fonction de recherche de Windows, ou naviguez dans les paramètres en suivant de chemin :

• Paramètres > Système > Fonctionnalités facultatives

Ensuite, nous devons localiser "VBSCRIPT" dans la liste afin de cliquer dessus pour faire apparaître le bouton "Supprimer". Il suffit de cliquer une fois sur ce bouton et VBScript sera supprimé de la machine !

Dans la liste des "Actions récentes", nous pouvons constater que l'action a été effectuée :

Voilà, nous venons de supprimer VBScript de la machine Windows 11 !

III. Comment désinstaller VBScript en ligne de commande ?

Si vous désirez plutôt utiliser la ligne de commande, sachez que l'outil DISM peut être utilisé pour ajouter ou supprimer une fonctionnalité facultative. Ceci fonctionne très bien pour VBScript.

Voici la commande à exécuter en tant qu'administrateur pour effectuer la suppression :

dism /Online /Remove-Capability /CapabilityName:VBSCRIPT~~~~

À l'inverse, voici la commande pour l'ajouter de nouveau si vous souhaitez revenir en arrière. En effet, cette action n'est pas irréversible.

dism /Online /Add-Capability /CapabilityName:VBSCRIPT~~~~

IV. Conclusion

Quelques clics ou une commande suffisent pour supprimer VBScript de Windows 11. Si vous n'utilisez pas ce langage de script, cette action est recommandée. Si vous n'utilisez pas Windows 11 24H2, vous ne pouvez pas supprimer VBScript de cette façon pour le moment.

The post Windows 11 : comment supprimer VBScript ? first appeared on IT-Connect.

I. Présentation

Dans cet article, nous allons découvrir le Mini PC ultra-compact Geekom XT12 Pro équipé d'un processeur Intel Core i9 de 12ème génération, de 32 Go de RAM et de 1 To de SSD. Envie d'en savoir plus sur ce modèle ? Lisez la suite de notre article !

Cet article va présenter ce modèle dans sa globalité, en commençant par les caractéristiques, le design et la qualité du boitier. Puis, nous parlerons des possibilités d'évolution et des performances de ce Mini PC.

Rappel : sur le marché des Mini PC, la marque Geekom est incontournable et elle s'est imposée comme un acteur majeur au niveau mondial. Elle a été créée en 2003 et la direction R&D de Geekom est située à Taiwan. En complément, la marque a plusieurs succursales dans différents pays du monde.

• Fiche produit sur le site GEEKOM

II. Caractéristiques du Geekom XT12 Pro

Commençons par découvrir les caractéristiques principales de ce modèle :

• Processeur : Intel Core i9-12900H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,00 GHz)
• GPU : Intel Iris Xe
• RAM : 32 Go DDR4-3200, extensible jusqu'à 64 Go
• Stockage : 1 To de SSD NVMe (Gen.4) + 1 emplacement pour SSD SATA au format M.2 (2242 - Jusqu'à 1 To)
• Connectique : 3 x ports USB 3.2 Gen 2 + 1 x port USB 2.0 + 2 x ports USB 4 + 1 prise casque Jack 3.5 mm + 1 x slot pour une carte SD + 1 x interface réseau LAN 2.5 GbE + 2 x ports HDMI 2.0 + 1 x port d'alimentation
• Affichage : prise en charge jusqu'à 4 écrans.
• WiFi 6E (AX211), Bluetooth 5.2
• Alimentation : 19V, 6,32A DC - 120W
• Poids : 545 grammes
• Dimensions (L x W x H) : 117 x 111 x 38.5mm
• Système d'exploitation : Windows 11 Pro
• Garantie : 3 ans

Même si le processeur Core i9 n'est pas le plus récent, Geekom a préparé une belle fiche technique pour ce modèle déjà sur le marché depuis plusieurs mois. En effet, entre l'Intel Core i9, l'interface réseau 2.5 GbE, l'USB4 et le WiFi 6E, nous pouvons nous attendre à de belles performances ! La présence d'une interface réseau 2.5 GbE est toujours un point positif, selon moi. Et surtout, ce mini PC est ultra-compact et pourra être emporté partout sans difficultés.

Ce modèle est proposé par Geekom en une seule et unique version qui est celle proposée dans cet article. La série XT se démarque par la finesse de son design et son esthétique très soignée.

III. Package et design

La boite de ce mini PC est très soignée, tout en étant sobre, car il faudra l'ouvrir pour avoir un aperçu du mini PC ! C'est d'ailleurs lui que l'on découvre à l'ouverture de la boite. Il est protégé par un bloc en mousse rigide et après l'avoir retiré, nous retrouvons l'ensemble des accessoires.

Qu'avons-nous dans la boite ? Au-delà d'avoir un Mini PC XT12 Pro, il y a aussi un câble HDMI, une alimentation externe et son câble, une plaque VESA (et les vis) permettant d'accrocher le mini PC à l'arrière d'un écran (support VESA), une notice et une lettre de remerciement pour l'achat.

Fidèle à la gamme XT, le boitier de ce modèle XT12 Pro est beau et élégant. Geekom a apporté un soin particulier au design et à la qualité de fabrication de ce boitier en aluminium. Seul le dessus est une coque en plastique blanche estampillée "Geekom". La finesse de ce boitier me plait également : moins de 4 cm de hauteur (38.5 mm). À titre de comparaison, ce boitier est moins épais et plus compact que celui du modèle Geekom IT13, il est moins encombrant disons. J'ai vraiment apprécié le design de ce modèle !

Sur la façade, nous retrouvons deux ports USB, dont un port USB 3.2 Gen2 avec PowerDelivery (PD) et un port USB 3.2 Gen2 (sans PD). Une prise casque et un bouton Power lumineux complète la façade. Sur le côté droit du boitier, il y a uniquement l'aération du boitier, tandis que sur le côté gauche, une fente de verrouillage Kensington a été discrètement incrustée au maillage de l'aération. Le flux d'air entrant s'effectuera par la gauche et la droite du boitier.

Tout le reste de la connectique se situe à l'arrière du boitier. Il y a les deux ports USB4 au format USB-C avec PowerDelivery, ce qui est la norme USB la plus récente à ce jour. Le débit théorique de l'USB4 est de 40 Gbps. Il y a un autre port USB 3 ainsi qu'un port USB 2.0, soit un total de 6 ports USB. N'oublions pas les deux ports HDMI 2.0 et le port RJ45 2.5 GbE.

Ce modèle est équipé de la technologie de refroidissement IceBlast 1.0 de Geekom. Ceci se traduit par la présence d'un grand ventilateur et la présence de cuivre pour dissiper la chaleur. D'ailleurs, l'aération du dissipateur thermique pour permettre l'évacuation de l'air chaud est situé à l'arrière, au-dessus de la connectique.

Comme souvent sur les modèles de cette marque, la mention "Geekom" est présente sur le dessus du boitier. En dessous, il n'y a pas d'aération contrairement à ce que l'on pourrait penser, mais nous avons 2 patins antidérapants très larges, ainsi que 4 vis pour ouvrir très facilement le boitier. Elles restent « accrochées » à la partie amovible du boitier, ce qui évitera de les égarer... Et il n'y a pas de patins à décoller pour accéder aux vis.

Ce boitier est majoritairement en aluminium brossé, car il n'y a que la partie supérieure qui est en plastique blanc. Cette vue éclatée montre bien la conception du boitier du XT12 Pro :

Jetons un coup d'œil à l'intérieur du boitier. Nous aurons surement l'occasion d'en savoir plus sur les composants utilisés par Geekom. Voici ce que l'on peut apprendre :

• Un SSD NVMe de marque Kingston, avec la référence KINGSTON OM8PGP41024N-A0, d'une capacité de 2 To, en PCIe Gen4.0
• Deux barrettes de RAM de marque Lexar : 16 Go 1Rx8 - PC4-3200AA-SA2. Soit 32 Go au total. Il est possible de passer sur 64 Go de RAM, mais ceci implique de remplacer les deux barettes déjà présentes, car les deux slots sont occupés.
• Une carte MediaTek MT7922A22M pour le Wi-Fi et le Bluetooth

Contrairement au modèle Geekom IT13, celui-ci ne peut pas accueillir un disque SATA au format 2.5 pouces car le boitier est moins épais et n'est pas prévu pour cela. Néanmoins, nous pouvons ajouter un disque SSD SATA M.2 supplémentaire, grâce à l'emplacement disponible entre le SSD NVMe et les barrettes de RAM.

Avec ce modèle et compte tenu de la conception du boitier, les composants sont facilement accessibles, identifiables et remplaçables. Que ce soit en cas de panne ou pour une quelconque évolution, c'est important de le préciser.

IV. Évolutivité et performances

A. Mise en route et évolutivité

Mettons en route le mini PC XT12 Pro de chez Geekom ! Avant d'évoquer le système d'exploitation, regardons les options proposées dans le BIOS de la machine. Le moins que l'on puisse dire, c'est que c'est minimaliste. À part la possibilité de définir un mot de passe pour le BIOS, de gérer l'ordre de démarrage et de gérer le Secure Boot, nous n'avons pas grand-chose à notre disposition. C'est à prendre en compte pour ceux qui ont l'habitude de tuner le BIOS de leur PC. Par exemple, le Wake on LAN n'est pas proposé. Sinon, pour information, il n'y a pas d'options relatives à la prise en charge de la virtualisation, mais elle est bien prise en charge : vous pouvez installer un hyperviseur.

La mise en route passe par la finalisation de l'installation du système Windows 11 Pro ! Nous retrouvons les étapes et questions habituelles propres au fonctionnement du système Windows 11. Il est tout à fait possible d'utiliser un compte local ou un compte Microsoft, au choix.

Geekom utilise des images officielles de Windows 11 Pro et elles ne sont pas personnalisées. Il n'y a aucune application supplémentaire ajoutée. Malgré tout, ma recommandation reste la même, peu importe le modèle du PC : effectuer une réinstallation avec votre propre image, que ce soit Windows ou un autre système.

Le premier démarrage est aussi l'occasion de constater que ce mini PC ventile fort pendant 1 ou 2 minutes lorsqu'il est démarré. Ensuite, le silence est de mise : mais jusqu'à quand ? Je reviendrai sur ce point.

Le mini-PC est livré avec 32 Go de RAM en DDR4, mais une mise à niveau est possible. Le processeur i9 utilisé pour cette configuration supporte jusqu'à 64 Go de RAM au maximum, ce qui correspond au maximum pris en charge par ce modèle de mini PC. Par contre, vous devez remplacer les deux barrettes de RAM actuelles pour doubler la RAM. Si vous souhaitez utiliser ce PC pour de la virtualisation afin d'y installer un hyperviseur, ce sera peut-être nécessaire selon vos besoins.

Pour le CPU et la RAM, voici des détails techniques obtenus avec le logiciel CPU-Z :

La présence de deux ports HDMI 2.0 et deux ports USB4 permet de connecter jusqu'à 4 écrans sur ce mini PC ! La connexion HDMI propose un affichage 4K @ 60 Hz, tandis qu'on est sur un affichage à 8K @ 30 Hz sur les ports USB4.

Nous pouvons aussi noter la possibilité d'exploiter la connexion USB4 pour brancher un GPU externe (eGPU), c'est-à-dire une carte graphique externe. Du côté stockage, ce mini PC peut accueillir 1 SSD SATA au format M.2 (2242 - Jusqu'à 1 To) en plus du SSD NVMe intégré au boitier. Attention toutefois, le format M.2 2242, bien qu'adapté pour les formats compacts, n'est pas courant (22 mm de largeur et 42 mm de longueur) au contraire du format 2280 beaucoup plus répandu.

B. Performances

Ce mini PC est équipé d'un processeur Intel Core i9 de 12ème génération lancé au premier trimestre 2022. Le modèle i9-12900H a 14 cœurs et 20 threads, avec fréquence maximale en mode Turbo de 5,0 GHz.

Qu'en est-il des performances du disque SSD NVMe livré avec le mini PC ?

Un copier-coller de gros fichiers en local (de disque à disque, sur le même volume), est effectué avec une vitesse moyenne de 1.30 Go/s, ce qui est bon résultat ! Sur un autre test, en 1 minute et 34 secondes, j'ai pu dupliquer une bibliothèque d'images ISO de 101 Go !

Voici un benchmark du disque effectué avec Crystal Disk Mark :

• CrystalDiskInfo

Voici une analyse CrystalDiskInfo du disque SSD NVMe de marque Kingston monté en PCIe 4.0 présent dans ce PC :

• Geekbench

J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur ces pages :

• Geekbench - CPU - GEEKOM XT12 Pro
• Geekbench - GPU - GEEKOM XT12 Pro

Sans surprise, le processeur du modèle XT12 Pro est légèrement moins performant que celui du modèle IT13 : une génération d'écart, cela crée forcément une différence.

• Qu'en est-il du bruit du ventilateur ?

Comme je l'évoquais précédemment, lorsque l'ordinateur démarre, il ventile relativement fort. Une fois que la machine a finalisé son démarrage, cela s'arrête et le mini PC devient très silencieux. Utilisée pour de la bureautique, elle reste silencieuse, tout au long de son utilisation.

Par contre, si le mini PC est très sollicité (ce que j'ai pu constater avec les benchmarks, notamment), il se met à ventiler et là, ce sera difficile de ne pas l'entendre : ce qui pourra être plus ou moins gênant selon l'emplacement du mini PC vis-à-vis de l'utilisateur. C'est aussi une question de tolérance de l'utilisateur lui-même. Si le mini PC est derrière l'écran, le bruit sera un peu "étouffé". Le bruit généré fait penser à celui de la ventilation d'un ordinateur portable qui tourne à plein régime. Il y a pire, mais il y a aussi plus discret.

Cette ventilation semble avoir un impact positif sur la gestion de la température du matériel : le boitier est légèrement tiède et la température du CPU bien maitrisée.

• Que peut-on faire et ne pas faire avec ce modèle ?

Naviguer sur Internet, lire des vidéos, ouvrir et exécuter plusieurs applications en même temps, ce sont des tâches qui ne vont pas effrayer ce mini PC. Très à l'aise pour la bureautique et le multimédia, il montre ses limites lorsque l'on sollicite la partie graphique. C'est un perpétuel problème sur les machines avec une puce graphique intégrée au processeur, un iGPU "Intel Iris Xe" dans le cas présent.

Ce mini PC pourrait tout à fait être utilisé en tant que serveur pour faire tourner des machines virtuelles : le processeur Intel Core i9 et le 32 Go de RAM permettront de faire tourner plusieurs VMs simultanément.

Jouer à certains jeux n'est pas un problème si vous êtes prêts à diminuer les effets visuels et à réduire la qualité graphique de vos jeux. L'habituel test avec GTA V est un bon exemple : l'expérience en jeu est bonne, car c'est fluide, mais ceci oblige à ajuster les options liées aux graphismes.

V. Conclusion

Ce mini PC, très compact et performant pourrait mettre au placard de nombreux ordinateurs fixes beaucoup plus imposant que lui, moins bien équipé et moins performant. Geekom a pris l'habitude de miser sur l'Intel Core i9 pour plusieurs de ses modèles, dont celui-ci, et c'est à chaque fois une réussite. L'Intel Core i9 de 12ème génération offre de belles performances, et si vous avez besoin d'encore un peu plus, vous pouvez miser sur le Geekom IT13 équipé de la 13ème génération de Core i9.

Ce mini PC polyvalent, avec une configuration moderne, pourra satisfaire les besoins de nombreux utilisateurs pendant plusieurs années. La garantie de 3 ans du constructeur est également là pour nous rassurer.

Le Geekom XT12 Pro avec l'Intel Core i9 est proposé à 749,00 euros. Soit 100 euros de moins que le modèle Geekom IT13 équipé d'un processeur Intel Core i9 de 13ème génération, et un peu plus puissant.

Avantages

• Un très beau boitier en aluminium brossé : élégant et compact
• Une config convaincante et performante : Intel Core i9, 32 Go de RAM et 1 To de SSD
• Windows 11 Pro : image officielle, sans logiciels supplémentaires
• Connectique moderne et bien fournie (USB4, RJ45 2.5 GbE, etc.)
• Ouverture facile du boitier : 4 vis facilement accessibles

Inconvénients

• Disque SSD : le format M.2 2242 de l'emplacement supplémentaire
• Bruyant lorsqu'il est sollicité
• La puce graphique intégrée (iGPU) ne convient pas si vous souhaitez jouer sans faire de concession sur les graphismes

Offre spéciale sur le Geekom XT12 Pro

Profitez de 5% de réduction sur Amazon.fr ou sur la boutique officielle de Geekom, en utilisant les liens et codes ci-dessous.

• Sur Amazon.fr

Saisissez le code promo "tthpr5XT12" dans votre panier pour obtenir 5% de réduction.

Cliquez sur ce lien pour accéder à l'offre.

• Sur Geekom.fr

Saisissez le code promo "tthpr5" dans votre panier pour obtenir 5% de réduction. Ce code est valide sans limites de temps.

Cliquez sur ce lien pour accéder à l'offre.

Merci à Geekom de m'avoir fourni un exemplaire de ce PC afin de pouvoir réaliser ce test.

The post Test Geekom XT12 Pro – Un mini PC élégant et performant first appeared on IT-Connect.

Lorsque l’on modifie la configuration de Linux notamment en rajoutant un service, on peut avoir besoin que ce service s’exécute après la mise en veille de l’appareil.
Ce tutoriel vous guide dans les étapes pour créer un service qui se déclenche en retour de mise en veille.

Comment exécuter un service sur Linux après mise en veille

• Éditez le fichier de configuration du service suivant

sudo nano /etc/systemd/system/openvpn-reconnect.service

• Puis créez le contenu de la configuration du service

• La partie importante qui permet que à ce que le service s’exécute en retour de mise en veille est WantedBy=sleep.target de la section [Install]

[Unit]
Description=Restart OpenVPN after suspend

[Service]
ExecStart=/usr/bin/pkill --signal SIGHUP --exact openvpn

[Install]
WantedBy=sleep.target

• Enregistrez et quittez l’éditeur de texte
• Puis activez le service

systemctl enable /etc/systemd/system/openvpn-reconnect.service

• Enfin passez les commandes suivantes pour prendre en compte les modifications

sudo systemctl daemon-reload
sudo systemctl enable after-suspend

L’article Linux : exécuter un service après mise en veille / hibernation est apparu en premier sur malekal.com.

Canonical has just released Ubuntu 24.04 LTS (Long Term Support), known as Noble Numbat. This release introduces numerous new features and improvements throughout the operating system. This post covers the key highlights.

Un nouveau coup de filet majeur contre les cybercriminels : les autorités internationales sont parvenues à démanteler des infrastructures associées à plusieurs logiciels malveillants. Nom de l'opération ENDGAME. Voici ce que l'on sait.

Le 30 mai 2024, une vaste opération de démantèlement de plusieurs infrastructures cybercriminelles a été menée avec succès dans le cadre d’une coopération judiciaire internationale baptisée "ENDGAME". Il s'agit d'une opération indépendante de l'opération Cronos menée contre le gang LockBit : preuve que les autorités travaillent ardemment pour lutter contre la cybercriminalité.

Cette opération coordonnée a été menée par des autorités de plusieurs pays, notamment la France, l'Allemagne, les Pays-Bas, le Danemark, le Royaume-Uni et les États-Unis. La coordination globale a été assurée par Europol, qui a d'ailleurs publié un rapport à ce sujet.

En France, cette initiative a été menée par la section J3 de lutte contre la Cybercriminalité du Parquet de Paris en collaboration avec l’Office anti-cybercriminalité (OFAC). Par ailleurs, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a contribué à l'opération ENDGAME en participant à l’identification et à la notification des victimes.

L'opération visait spécifiquement à neutraliser des serveurs rattachés aux infrastructures utilisées par les cybercriminels. Résultat, les forces de l'ordre sont parvenues à saisir une centaine de serveurs et plus de 2 000 noms de domaines ! Les serveurs en question sont répartis dans différents pays : Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine.

"Les opérations menées par les forces de l’ordre se sont déployées sur plusieurs pays et ont mené à l’interpellation de 4 personnes dont 3 par les autorités françaises, à 16 perquisitions.", peut-on lire dans un post LinkedIn publié par le Parquet de Paris.

L'objectif était de cibler les infrastructures utilisées dans le fonctionnement de différents loaders : BumbleBee, IcedID, Smokeloader, Pikabot, Trickbot et SystemBCt. Ces logiciels malveillants sont généralement distribués via des campagnes de phishing. Une fois qu'une machine est infectée, ce code malveillant est utilisé pour télécharger et déployer d'autres malwares, dont des ransomwares.

Le Parquet de Paris précise que "L’administrateur du botnet Pikabot a été interpellé en Ukraine avec le concours des autorités ukrainiennes, l’un des acteurs principaux du dropper « Bumblebee » a été auditionné en Arménie."

Bravo aux forces de l'ordre !

The post Opération Endgame – Une action internationale contre les cybercriminels et les logiciels malveillants first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment extraire des données d’une partition endommagée avec le logiciel de récupération de données TestDisk !

Il peut arriver, pour une raison ou pour une autre (choc physique, obsolescence, panne de courant électrique, attaque virale, etc.), qu’une partition d’un support de stockage devienne inaccessible en lecture/écriture. En d’autres termes, la partition passe d’un système de fichiers utilisé par la plupart des systèmes d’exploitation usuels (NTFS, FAT32, ext4, etc.) au système de fichiers binaire (RAW). La seule option qui se propose généralement à nous en ce moment est un formatage pur et simple de ladite partition… Et, les données alors ?...

TestDisk qui est un logiciel libre proposé par Christophe GRENIER fonctionnant sous une interface austère et actuellement sous sa version 7.2 (la première datant de 1998). TestDisk fonctionne à la fois sur des plateformes Windows, Linux et MacOS, peut justement aider à sauver les données avant le formatage. Très populaire, cette application rend bien des services lorsqu'il s'agit de restaurer ou récupérer des données.

Dans cet article, on traitera principalement de la fonction « extractions des données » de TestDisk bien que ce dernier propose également d’autres fonctionnalités (réparation des partitions, récupération des données effacées, etc.).

II. Petit rappel sur les systèmes de fichiers

L’informatique actuelle fonctionnant essentiellement avec le système de numération binaire (0 et 1) les données stockées sur unité de stockage, peu importe leur nature (HDD, SSD, USB, etc.), ne dérogent pas à cette règle. Il se pose alors le problème de représentation de ces dernières de telle enseigne qu’elles soient perceptibles par l’Homme.

C’est à partir de cet instant que les systèmes de fichiers rentrent en jeu.

Un système de fichiers est une des fonctionnalités d’un système d’exploitation consistant à créer, organiser et gérer les fichiers sur une unité de stockage connectée au système en question. On parle alors ici de la manière dont :

• Les partitions sont créées et formatées (taille, type de table, etc.)
• Les fichiers sont créés et gérés en cluster (de la plus petite taille constitutive d’un fichier à la plus grande)
• Des méthodes et des outils utilisés pour créer et gérer ces partitions et ces fichiers au besoin
• Etc.

Les systèmes de fichiers les plus usuels sont bien sûr NTFS, exFat, Fat32, FAT pour Windows ; NTFS, ext3, ext4 pour Linux ; APFS, HFS pour Apple, etc. Et bien sûr le système de fichier binaire RAW qui lui n’est pratiquement pas interprété par les systèmes d’exploitation sus-cités.

Sans plus tarder, nous allons voir comment extraire les données d’une partition en utilisant TestDisk

III. Extraire les données d’une partition avec TestDisk

D’abord, il faut télécharger TestDisk (pour ce tuto, on va prendre celui pour Windows) via le lien TestDisk 7.2 et l’extraire dans un dossier de créé pour la cause.

En ouvrant le dossier d’extraction, on doit pouvoir parcourir l’ensemble de ses fichiers, puis localiser et cliquer sur l’exécutable « testdisk_win » qui lui, demandera naturellement des privilèges Administrateur pour s’exécuter (inutile de rappeler ici que vous devez être connecté en tant que tel, ou connaître un compte Administrateur sur la machine locale).

Une fois TestDisk lancé, on sélectionne « CREATE » avec la touche « ENTREE » du clavier. Il faut rappeler ici que la plupart des consignes à suivre et des touches à utiliser sont indiquées par le logiciel.

Ensuite, on sélectionne avec les touches directionnelles du clavier le disque à partir duquel on souhaite extraire les données, ici « Disk \\.\PhysicalDrive1 - 30 GB / 28 GiB - USB SanDisk 3.2Gen1 » (mon support USB-test pour la cause) et on valide avec « PROCEED » avec la touche « ENTREE » du clavier.

Puis, on sélectionne le type de table de partition en fonction du formatage préalable du disque à extraire, ici « Intel/PC partition » (TestDisk pouvant aussi le détecter automatiquement) et on valide avec « ENTREE ».

Ensuite, on choisit « Advanced ».

Puis, on sélectionne le système de fichiers correspondant à la partition à partir de laquelle on souhaite extraire les fichiers. Ici « NTFS » et on choisit l’option « List » en bas pour afficher la liste des dossiers et des fichiers à extraire. Enfin, on valide.

On sélectionne ensuite le(s) fichier(s) (ici le logo de MEISTER INFORMATIK) à l’aide des « : » du clavier. Puis, on valide la copie avec « C » on constate que le fichier sélectionné devient automatiquement coloré en vert. Si on avait voulu choisir l’ensemble des fichiers, on aurait simplement appuyé sur la lettre « a » du clavier comme décrit par TestDisk.

À l'étape suivante, on choisit le dossier destination de stockage du ou des fichier(s) extrait(s). Ici le dossier « Recup TestDisk » de mon bureau et on valide de nouveau avec « C »

Une fois l’extraction terminée, TestDisk envoie un message signalant que l’extraction s’est correctement terminée. On peut le voir à travers le message « Copy done ! 1 ok, 0 failed » renvoyé par ce dernier. Il aurait également produit un message d’erreur au cas échéant.

On peut désormais ouvrir le dossier destination « Recup TestDisk » et y retrouver le logo de "MEISTER INFORMATIK" extrait du support USB.

Enfin, on peut l’ouvrir pour effectivement se rassurer qu’il ne soit pas altéré par l’état de santé du disque source (la partition étant bien sûr endommagée).

IV. Conclusion

Nous venons de voir comment extraire un ou plusieurs fichiers d'une partition endommagée avec le logiciel gratuit TestDisk. Cependant, il faut savoir que plus les fichiers sont nombreux à extraire, plus cela prendra du temps et de l’espace disque, donc il faudra prévoir les ressources spatio-temporelles adéquates.

Un des autres avantages de ce logiciel, est qu’il restaure généralement les fichiers tout en gardant leur structure d’origine depuis leurs dossiers racines. Donc, pas d’inquiétude à se faire quant au fait de les ranger de nouveau comme au départ : TestDisk s'en occupe.

Une fois l’opération d’extraction terminée, que faire ? On peut alors envisager de supprimer, créer et formater la partition afin de la réutiliser ou alors de purement remplacer l’unité de stockage défectueuse. En effet, un disque passé sous RAW est un signe que ce dernier est en train de « rendre l’âme » et qu’on pourrait se retrouver dans la même situation par la suite et perdre définitivement les données stockées sur ce dernier...

The post Comment récupérer les données sur une partition endommagée (RAW) avec TestDisk ? first appeared on IT-Connect.

Il y a quelques jours, Microsoft a publié la mise à jour KB5037853 pour Windows 11 afin de permettre aux utilisateurs de tester les changements à venir en juin 2024, lorsque la nouvelle mise à jour cumulative sera disponible. Les premiers retours ne sont pas bons. Voici ce que l'on sait.

Le 29 mai 2024, Microsoft a mis en ligne la mise à jour optionnelle KB5037853 pour les appareils sous Windows 11. Étant optionnelle, cette mise à jour s'installe de façon automatique uniquement si l'on active l'option "Recevez les dernières mises à jour dès qu'elles sont disponibles" dans les paramètres de Windows Update.

Cette mise à jour permet de tester en avant-première les changements apportés par Microsoft, que ce soit les bugs corrigés ou les éventuelles nouvelles fonctionnalités. Ceci est un aperçu de ce qui attend les utilisateurs de Windows 11 dans la prochaine mise à jour cumulative obligatoire, c'est-à-dire celle qui sera publiée le 11 juin 2024 dans le cas présent.

Sur son site, Microsoft a révélé que cette mise à jour pouvait faire planter la barre des tâches sur les machines Windows 11 22H2 et Windows 11 23H2 où la mise à jour KB5037853 a été installée.

"Après l'installation de cette mise à jour, il se peut que vous rencontriez des problèmes lors de l'utilisation de la barre des tâches. Il se peut que la barre des tâches présente des dysfonctionnements temporaires, qu'elle ne réponde pas, qu'elle disparaisse et qu'elle réapparaisse automatiquement.", peut-on lire sur cette page. L'entreprise américaine précise également que ce plantage génère un événement avec l'ID 1000 dans les journaux Windows, évoquant "Explorer.exe" en tant qu'application en tant qu'application défectueuse. Une référence à "Taskbar.View.dll" est également présente.

La solution proposée par Microsoft

Microsoft a déjà remédié à ce bug impactant la barre des tâches en s'appuyant sur sa fonction Known Issue Rollback (KIR). L'application est automatique sur les appareils des particuliers ("non managés") même si le déploiement peut prendre 24 heures. Pour les appareils managés, il convient de s'appuyer sur une stratégie de groupe comme l'explique cette page de la documentation Microsoft. Dans le cas présent, il convient de déployer le package KIR que vous pouvez télécharger via ce lien.

En principe, la mise à jour cumulative qui sera publiée le 11 juin 2024 ne contiendra pas ce bug car Microsoft pourra le corriger d'ici-là. Merci à ceux qui ont essuyé les plâtres...

The post Attention à la mise à jour KB5037853 sur Windows 11 : elle fait planter la barre des tâches ! first appeared on IT-Connect.