Il y a un véritable match entre les autorités et les cybercriminels de LockBit ! Alors le groupe de ransomware a relancé ses activités malveillantes ces dernières semaines, leur site a été remis en ligne avec un message intrigant par les membres de l'opération Cronos ! Faisons le point.
Publication des données de l'Hôpital Simone Veil de Cannes
Ce leak contient 61 Go de données, dont des informations sensibles et personnelles, des cartes d'identité, des RIB et des bulletins de salaire. La direction de l'Hôpital Simone Veil a confirmé qu'il s'agissait bien des données du centre.
La suite de l'opération Cronos
Mais, ces dernières heures, il y a eu un nouveau rebondissement dans l’affaire Lockbit : la suite de l'opération Cronos. Souvenez-vous, en février dernier, une opération internationale, surnommée Opération Cronos, a été menée par les forces de l'ordre et organismes de 11 pays. D'ailleurs, la France a participé par l'intermédiaire de la Gendarmerie Nationale, tandis qu'il y a également eu une participation du FBI, l'Allemagne, le Japon, la Suède, le Canada, ou encore la Suisse.
Les autorités étaient parvenues à mettre à l'arrêt un total de 34 serveurs de LockBit et récupérer des données cruciales. Ceci avait permis la création d'un outil de déchiffrement pour permettre aux victimes de récupérer leurs données sans payer la rançon.
Le site vitrine de LockBit avait été remplacé par une page mise en ligne par les forces de l'ordre suite à cette opération. Depuis quelques heures, cette page est de retour, ce qui pourrait correspondre à la suite de l'opération Cronos.
Source : cybernews.com
Les autorités ont repris le principe du compte à rebours utilisé par les pirates pour indiquer que le 7 mai 2024 à 14:00 UTC, ils dévoileront l'identité du chef LockBitSupps et des autres membres de LockBit. Autrement dit, nous aurions enfin la réponse à cette question à 10 millions de dollars : qui se cache derrière le pseudo LockBitSupps ?
Pour le moment, tout cela est à prendre avec précautions puisque les forces de l'ordre n'ont pas communiqué sur le sujet. Les prochaines heures nous permettront surement d'en savoir plus... Peut-être d'ailleurs par l'intermédiaire du compte VX-underground sur X. D'après ce compte, un membre de LockBit a indiqué que tout cela était des mensonges... Les autorités ont-elles de nouvelles informations ou cherchent-elles à déstabiliser le groupe LockBit en lui mettant la pression ? À suivre...
Microsoft a dévoilé TypeSpec, un nouveau langage de programmation pour le développement d'API ! Il offre une approche moderne et devrait permettre aux développeurs de créer une API plus efficacement. Faisons le point.
Pour mettre au point TypeSpec, Microsoft s'est inspiré de C# ainsi que de son son langage de programmation open source TypeScript. L'objectif étant de proposer aux développeurs un langage moderne pour la création d'API, à l'heure où elles sont de plus en plus présentes et adoptées par les entreprises.
TypeSpec prend en charge les différents formats de sérialisation, dont le YAML. Ils sont familiers à de nombreux développeurs et professionnels de l'informatique, ce qui facilitera la compréhension des fichiers de configuration. De plus, la compilation de l'API pourra être effectuée en respectant plusieurs normes : OpenAPI 3.0, JSON Schema 2020-12 et Protobuf.
Microsoft utilise déjà le langage TypeSpec en interne, notamment pour certains services Azure, mais aussi pour le développement de Microsoft Graph. "En exploitant la puissance de TypeSpec, l'équipe Microsoft Graph a révolutionné le développement d'API au sein de Microsoft. Cette collaboration a permis d'améliorer la productivité et de simplifier la personnalisation, soulignant ainsi le potentiel de TypeSpec.", peut-on lire sur le blog officiel de TypeSpec.
La firme de Redmond invite les développeurs à rejoindre la communauté TypeSpec, notamment pour qu'il y ait de l'entraide, mais aussi pour remonter d'éventuels bugs et pouvoir faire des feedbacks à Microsoft. "Vos commentaires sont précieux pour façonner l'avenir de TypeSpec", précise l'entreprise américaine.
Comment utiliser TypeSpec ?
Ce nouveau langage est pris en charge par deux applications de Microsoft : l'éditeur de code Visual Studio Code et l'IDE Visual Studio. Ceci est utile pour bénéficier de certaines fonctions dont la coloration syntaxique et l'autocomplétion.
Pour commencer à jouer avec TypeSpec, vous pouvez accéder au site officiel typespec.io, car il regroupe à la fois la documentation et un playground pour commencer à manipuler ce langage.
Les passkeys, ou clés d'accès, sont désormais prises en charge par Microsoft pour s'authentifier à son compte personnel Microsoft. De plus, la prise en charge des passkeys a été introduite au service de gestion des identités Entra ID. Faisons le point.
Au fil des mois, de plus en plus d'éditeurs et services ajoutent la prise en charge des passkeys pour l'authentification à son compte. Nous pouvons citer Google, Amazon, Apple, Proton, ou encore WhatsApp. Microsoft était déjà sur le coup, et à l'occasion de la Journée mondiale des mots de passe, l'entreprise américaine a annoncé avoir étendu la prise en charge des passkeys.
De quoi mettre de côté le traditionnel mot de passe associé à l'authentification multifacteur. Cette méthode d'authentification dite "passwordless" s'appuie sur des clés générées en local sur l'appareil. Ensuite, l'authentification s'effectue à l'aide d'un code PIN, d'une clé matérielle, du capteur d'empreinte biométrique ou de la reconnaissance faciale.
Une fois configurée sur votre compte Microsoft, cette méthode d'authentification pourra être utilisée pour vous connecter aux différents services de Microsoft, dont Outlook, OneDrive, Xbox Live, ou encore Copilot. Précédemment, la firme de Redmond avait ajouté la prise en charge des passkeys à son système d'exploitation Windows 11, afin que cela puisse être utilisé sur les sites web et services qui le prennent en charge.
Comment configurer une passkey sur son compte Microsoft ?
Une fois que c'est en place, vous pouvez vous authentifier grâce à cette nouvelle d'authentification comme le montre les images ci-dessous :
Source : Microsoft
En principe, une clé d'accès devrait être créée sur un appareil et ne pas être partagée d'un appareil à un autre, mais Microsoft propose la synchronisation des passkeys pour le côté pratique : "Les passkeys peuvent également être synchronisés entre vos appareils. Ainsi, si vous perdez ou mettez à jour votre appareil, vos passkeys seront prêts et vous attendront lorsque vous configurerez votre nouvel appareil.", précise Microsoft.
Par ailleurs, la documentation de Microsoft précise que les systèmes suivants sont pris en charge :
Windows 10 et versions ultérieures.
macOS Ventura et versions ultérieures.
ChromeOS 109 et versions ultérieures.
iOS 16 et versions ultérieures.
Android 9 et versions ultérieures.
Il est également précisé que les clés de sécurité matérielles qui prennent en charge le protocole FIDO2 sont supportées.
La prise en charge des passkeys dans Microsoft Entra ID
Pour les utilisateurs professionnels, Microsoft a ajouté la prise en charge des passkeys à son service Entra ID (Azure AD) en s'appuyant sur son application Microsoft Authenticator, disponible sur Android et iOS. Là encore, Microsoft propose d'utiliser des passkeys synchronisées ou liées à l'appareil.
Dans ce tutoriel, nous allons apprendre à synchroniser manuellement un appareil Windows inscrit dans Microsoft Intune. Cette manipulation peut s'avérer utile si vous venez de créer une nouvelle stratégie sur Intune et que vous souhaitez vérifier son bon fonctionnement, sans avoir à attendre. Ceci peut être pratique également en phase de dépannage sur un appareil Windows (stratégie non redescendue, stratégie en erreur, etc.).
Si vous avez l'habitude de travailler avec un Active Directory et les stratégies de groupe, vous recherchez surement un équivalent à la célèbre commande "gpupdate". À l'heure actuelle, cette commande n'existe pas pour Intune, à moins d'utiliser PowerShell mais cela implique de s'appuyer sur le module Microsoft Graph.
Dans cet article, nous allons étudier différentes possibilités, que ce soit depuis l'appareil à synchroniser en lui-même ou à partir du Centre d'administration Intune. Ceci nous donnera aussi l'occasion d'évoquer les cycles de synchronisation par défaut d'Intune, pour Windows et les autres OS pris en charge.
II. Les cycles de synchronisation Intune
Le cycle d'actualisation ou fréquence d'actualisation par défaut pour les appareils inscrits sur Intune, et peu importe le système d'exploitation, est de 8 heures. Cela signifie que lorsqu'une nouvelle stratégie est créée, elle peut mettre jusqu'à 8 heures à "redescendre" sur les appareils.
Voici un tableau récapitulatif :
Plateforme
Fréquence d'actualisation
Android, AOSP
Environ toutes les 8 heures
iOS/iPadOS
Environ toutes les 8 heures
macOS
Environ toutes les 8 heures
Windows 10/11
Environ toutes les 8 heures
Windows 8.1
Environ toutes les 8 heures
Néanmoins, lorsqu'un appareil vient de s'inscrire dans Intune, la fréquence d'actualisation est un peu différente. Il y aura des synchronisations rapprochées au départ, comme le montre le tableau ci-dessous.
Plateforme
Fréquence d'actualisation
Android, AOSP
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
iOS/iPadOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
macOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
Windows 10/11
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Windows 8.1
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Les informations présentées dans les tableaux ci-dessus sont issues de la documentation Microsoft :
Certaines actions impliquent une synchronisation "dès que possible", où Intune notifie l'appareil qu'il doit se synchroniser maintenant. Voici ce que l'on peut lire sur cette page de la documentation Microsoft : "Les appareils se connectent à Intune lorsqu'ils reçoivent une notification de connexion ou lors de la connexion programmée. Lorsque vous ciblez un appareil ou un utilisateur avec une action, Intune notifie immédiatement l'appareil pour qu'il s'enregistre et reçoive ces mises à jour. Par exemple, une notification est envoyée lorsqu'une action de verrouillage, de réinitialisation du code d'accès, d'application ou d'attribution de stratégie est exécutée."
Par ailleurs, il n'est pas à exclure qu'il y ait quelques exceptions et des cycles d'actualisation différents sur certaines fonctionnalités spécifiques d'Intune. C'est le cas avec les stratégies d'App Protection comme l'explique cette page.
III. Synchroniser un appareil Windows
Nous allons nous intéresser à différentes façons de synchroniser un appareil Windows, que ce soit depuis l'appareil en lui-même, depuis le Centre d'administration Microsoft Intune ou à l'aide de PowerShell.
A. Synchroniser à partir des paramètres de Windows
La première méthode à connaître, et que nous avons déjà évoqué dans de précédents articles, consiste à utiliser l'interface de gestion des paramètres de Windows.
Ouvrez les "Paramètres" Windows, cliquez sur "Comptes" à gauche, puis sur "Accès Professionnel ou Scolaire". Cliquez sur la flèche (mise en évidence sur l'image ci-dessous), puis sur le bouton "Info".
Une nouvelle page apparaît. Sur celle-ci, vous devez cliquer sur le bouton "Synchroniser". Ceci va permettre de déclencher une synchronisation, et il ne vous reste plus qu'à patienter le temps qu'elle soit effectuée.
B. Synchroniser à partir du Portail d'entreprise
Parmi les fonctionnalités de l'application "Portail d'entreprise" appelée également "Company Portal", il y a la possibilité de lancer une synchronisation sans passer par les paramètres du système Windows. Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Une autre possibilité, c'est d'effectuer un clic droit sur "Portail d'entreprise" dans le menu Démarrer afin de cliquer sur le bouton "Synchroniser cet appareil". Le problème, c'est que cette entrée est visible seulement lorsque l'on effectue un clic droit à partir de la liste de toutes les applications (si l'application est épinglée au menu Démarrer et que l'on passe par ce raccourci, cela n'est pas proposé).
C. Synchroniser un appareil depuis le portail Intune
Désormais, nous allons basculer sur le Centre d'administration Intune puisqu'il intègre deux fonctionnalités permettant de lancer une synchronisation sur un ou plusieurs appareils.
Tout d'abord, quand vous accédez à la liste des "Appareils" et qu'ensuite, vous cliquez sur un appareil dans la liste, vous verrez apparaître un bouton nommé "Synchroniser" dans la "Vue d'ensemble". Il vous suffit de cliquer sur ce bouton.
Une fenêtre de confirmation apparaît, cliquez sur "Oui" et cela va envoyer un signal à la machine pour qu'elle se synchronise.
D. Synchroniser en masse des appareils depuis le portail Intune
Le Centre d'administration Intune vous offre aussi la possibilité d'effectuer des actions en masse sur une sélection d'appareils. La synchronisation fait partie des actions envisageables. Voici la marche à suivre :
1 - Cliquez sur "Appareils" dans le menu de gauche du portail Intune
2 - Cliquez sur "Tous les appareils".
3 - Cliquez sur le bouton "Actions d'appareil en bloc".
Un assistant va s'exécuter. Plusieurs options sont à configurer :
1 - Vous devez commencer par choisir le système d'exploitation, donc prenez "Windows".
2 - Sélectionnez le type d'appareil "Appareils physiques".
3 - Comme type d'action à exécuter, sélectionnez "Synchroniser".
Passez à l'étape suivante. Vous devrez alors cliquer sur "Sélectionner les appareils à inclure" afin de sélectionner un ou plusieurs appareils, dans la limite de 100 appareils (limite actuelle).
Ensuite, poursuivez jusqu'à la fin de la création de la tâche. Une notification au sein d'Intune vous indiquera si la tâche a été lancée, ou non.
E. Synchroniser un appareil avec PowerShell
Avec PowerShell, nous pouvons interagir avec les services Cloud de Microsoft tels qu'Azure et Intune par l'intermédiaire de Microsoft Graph. Il y a un ensemble de modules PowerShell disponibles et à utiliser en fonction des usages. Nous allons voir comment utiliser Microsoft Graph avec PowerShell pour synchroniser un appareil (puis plusieurs appareils).
Commencez par ouvrir une console PowerShell en tant qu'administrateur afin d'installer les modules Microsoft Graph. Vous pouvez tout installer, ou uniquement installer ceux dont vous avez besoin. Peut-être que vous avez déjà ces modules sur votre machine si vous avez l'habitude d'interagir avec les services Microsoft avec PowerShell.
Puis, exécutez la commande suivante pour basculer dans une console PowerShell avec la stratégie d'exécution "RemoteSigned", sinon vous allez obtenir des erreurs par la suite (si vous êtes en "Restricted", par exemple).
powershell.exe -ExecutionPolicy RemoteSigned
Installez tous les modules Microsoft Graph (alternative ci-dessous) :
Install-Module Microsoft.Graph
Si vous préférez limiter l'installation au strict minimum, installez ceci :
Le module "Microsoft.Graph.DeviceManagement" contient le cmdlet "Get-MgDeviceManagementManagedDevice" que nous allons utiliser par la suite pour récupérer des informations sur les appareils.
Le module "Microsoft.Graph.DeviceManagement.Actions" contient le cmdlet "Sync-MgDeviceManagementManagedDevice" que nous allons utiliser pour déclencher une synchronisation sur un appareil.
Ensuite, connectez-vous à Microsoft Graph avec PowerShell. Nous pourrions établir une connexion globale, mais nous allons plutôt limiter notre connexion à certains scopes correspondants à nos besoins. Ceci pour des raisons de sécurité et pour limiter les droits de la session que nous allons initier.
Suite à l'exécution de cette commande, vous êtes invités à vous authentifier auprès de votre tenant Microsoft 365. Puis, vous devez valider la demande d'autorisations émise par l'application Microsoft Graph.
Quand c'est fait, un message doit s'afficher dans la console : "Welcome to Microsoft Graph!". Il signifie en quelque sorte que vous pouvez commencer à interroger Intune à partir de PowerShell, car la connexion est établie.
Commençons par l'exécution d'une première commande qui va retourner la liste de tous vos appareils, aussi bien Windows que les autres plateformes, en retournant les propriétés "DeviceName" et "LastSyncDateTime" qui correspondent respectivement au nom de l'appareil et à sa date de dernière synchronisation. Le paramètre "-All" est important, car si vous avez beaucoup d'appareils, la liste sera incomplète s'il n'est pas précisé.
Si vous souhaitez obtenir ces informations uniquement pour les appareils Windows, vous devez ajouter un filtre sur la propriété "OperatingSystem". Il y a deux façons d'effectuer ce filtre :
Vous devez stocker le résultat du cmdlet "Get-MgDeviceManagementManagedDevice" dans une variable afin de récupérer l'ID de l'appareil à cibler. Dans l'exemple ci-dessous, nous allons ajouter un filtre basé sur l'opérateur "Contains" pour rechercher la machine "PC-ITC-02". C'est sur cette machine que nous souhaitons forcer une synchronisation.
Le résultat est stocké dans la variable "$Target". Elle contient un ensemble de propriétés au sujet de cet appareil, dont la propriété "Id" qui est requise par le cmdlet "Sync-MgDeviceManagementManagedDevice".
Ainsi, voici comment nous allons forcer la synchronisation sur cet appareil :
Cette commande ne retourne pas de résultat dans la console, mais l'ordre de synchronisation sera bien envoyé à l'appareil.
F. Synchroniser plusieurs appareils avec PowerShell
Grâce à l'utilisation de PowerShell, nous allons pouvoir cibler plusieurs appareils et créer des filtres sur-mesure.
Voici un premier exemple pour obtenir la liste de tous les appareils dont le nom commence par "PC-ITC", ce qui permettra de cibler les appareils nommés "PC-ITC-01", "PC-ITC-02", etc.
Voici un second exemple pour obtenir la liste de tous les appareils dont le nom contient la chaine de caractères "ITC" (peu importe si cela est au début, à la fin, au milieu, etc.).
Ensuite, nous pouvons stocker le résultat dans une variable et parcourir la liste d'appareils avec une boucle ForEach dans le but de déclencher une synchronisation sur chaque appareil.
$Targets = Get-MgDeviceManagementManagedDevice -Filter "Startswith(deviceName,'PC-ITC')"
ForEach ($Device in $Targets) {
try {
Sync-MgDeviceManagementManagedDevice -ManagedDeviceId $Device.id -ErrorAction Stop
Write-Host "$($device.DeviceName) - Synchronisation exécutée" -ForegroundColor Green
}
catch {
Write-Host "$($device.DeviceName) - Echec de l'opération avec l'erreur : $($_.Exception.Message)" -ForegroundColor Red
}
}
Pour chaque appareil, il y aura un retour dans la console pour indiquer si la commande "Sync-MgDeviceManagementManagedDevice" s'est exécutée correctement ou non. Attention, ceci n'indique pas réellement le résultat de la synchronisation.
PC-ITC-02 - Synchronisation exécutée
IV. Conclusion
Suite à la lecture de cet article, vous êtes capable de forcer la synchronisation d'un appareil Windows inscrit dans Intune pour qu'il récupère les dernières stratégies qui lui sont affectées !
Il y a deux autres méthodes que j'aurais pu indiquer et qui fonctionnent assez bien. La première, c'est le fait de redémarrer l'appareil Windows, mais ceci est un peu contraignant si un utilisateur travaille sur son ordinateur. La seconde, c'est le fait de redémarrer le service "IntuneManagementExtension" pour une actualisation liée aux applications et aux scripts.
Vous êtes à la recherche d'une station de recharge et vous souhaitez avoir un avis complet sur l'EcoFlow River 2 Pro ? Alors, vous êtes au bon endroit !
Dans cet article, nous allons passer en revue les caractéristiques de l'appareil, ainsi que de son design et l'application officielle EcoFlow. Je vous donnerai aussi mes impressions pour une utilisation au quotidien.
C'est la première fois qu'un test d'un appareil de la marque EcoFlow est publié sur IT-Connect, donc je vais également vous présenter cette entreprise. Créée en 2017 par un groupe d'ingénieurs spécialisés dans les batteries, EcoFlow est une marque chinoise innovante qui propose des stations de charge portables, mais aussi des panneaux solaires et des solutions pour la maison.
"Notre vision est d’alimenter le monde de demain, aujourd’hui. Nous rêvons d’un monde réinventé, porté par l’aspiration d’un futur numérisé, respectueux de l’environnement et partagé par tous."
II. Caractéristiques EcoFlow River 2 Pro
La station de recharge nomade RIVER 2 Pro fait partie de la famille EcoFlow River, au sein de laquelle il y a plusieurs modèles. La famille de produits EcoFlow Delta complète cette gamme de produits. La RIVER 2 Pro est un modèle du milieu de gamme.
Commençons par nous intéresser aux caractéristiques techniques de cette station de recharge :
Capacité : 768 Wh
Type de batterie : LiFePO4
Puissance en sortie : 800 Watts, et jusqu'à 1600 Watts pendant une courte durée avec le mode X-Boost
Sortie courant continu : 12.6V, 10A/3A/3A, 126W Max
Sortie courant alternatif : onde sinusoïdale pure, 800 W au total (surtension 1600 W), 230 V ~ 50 Hz/60 Hz
Sortie USB-A: 5V, 2.4A, 12W Max
Temps de charge : 0 à 100 % en 70 minutes
Durée de vie : 80%+ capacité après 3 000 cycles, soit 10 ans d'utilisation quotidienne
Poids : 7.8 kg
Dimensions : 270 x 260 x 226mm
Garantie : 5 ans par le constructeur
En complément, l'application officielle EcoFlow permet de gérer cet appareil, et les autres de la marque, en temps réel. Ceci offre aussi des capacités de gestion à distance et de nombreuses fonctionnalités, comme nous le verrons dans la suite de cet article.
Au sein de la boite sobrement estampillée "EcoFlow" et donnant un vague aperçu du produit, nous retrouvons la station de recharge parfaitement protégée et calée par un épais bloc de mousse moulé selon la forme de la RIVER. Elle est accompagnée par un guide de démarrage rapide, un câble pour la recharge sur le secteur, un câble pour la recharge sur allume-cigare et un câble de connexion "DC5521".
Sur la façade de la RIVER 2 Pro, nous retrouvons 3 modules distincts : un module avec les prises électriques AC pour la France, un module avec les ports USB et un dernier module avec l'alimentation 12V (allume-cigare et DC). Un bouton on/off permet d'activer ou désactiver l'alimentation des appareils connectés sur 2 des 3 modules d'alimentations. En complément, le bouton central (doré) sert à allumer ou éteindre totalement la RIVER 2 Pro. Il y a peu de boutons, donc le boitier n'est pas trop encombré et la prise en main s'annonce facile.
La façade intègre aussi un écran détaillé et lumineux qui est là pour fournir des informations utiles à l'utilisateur, notamment l'autonomie restante avec un pourcentage et une estimation en minutes ou heures. Le nombre de Watts en entrée et en sortie, est également précisé. Lorsque la batterie est elle-même en charge, l'écran indique le temps restant avant que la batterie soit complètement chargée. Comme nous le verrons par la suite, nous pouvons compter sur l'application mobile pour obtenir des informations supplémentaires.
Une imposante poignée est présente à l'arrière du boitier. Difficile de passer à côté ! Bien qu'elle soit utile pour faciliter le transport de la batterie et avoir une bonne prise en main, elle élargit l'arrière de la batterie, ce qui pourra s'avérer gênant pour la stocker. De plus, elle n'est pratique parce qu'à cause de son positionnement, le poids de la batterie est mal réparti.
Les différents ports et les prises ne sont pas protégés. Ils sont directement accessibles. Les finitions du boitier sont très bonnes et il me semble robuste.
Cette station de recharge est équipée d'un système de gestion de la batterie qui surveille en permanence la tension, le courant et la température. Ceci permet de protéger l'appareil contre la surtension, la surcharge, la surchauffe, le court-circuit, la basse température, la basse tension et la surintensité.
IV. Utilisation au quotidien
Désormais, nous allons évoquer l'utilisation au quotidien de cette station de recharge EcoFlow. Ce sera l'occasion de parler de l'application et de ses fonctionnalités.
A. L'application EcoFlow
L'application officielle s'appelle tout simplement "EcoFlow" et elle est accessible via le Google Play Store ou l'App Store selon votre appareil. Après avoir créé un compte, vous pouvez ajouter un nouvel appareil. À partir du moment où la RIVER 2 Pro est allumée et à proximité du smartphone, il n'y a rien à faire : la détection est immédiate et automatique. C'est appréciable.
La connexion entre votre smartphone équipé de l'application EcoFlow et la station de charge EcoFlow s'effectue au moyen du Wi-Fi ou du Bluetooth. D'ailleurs, le Bluetooth est utilisé pour la connexion initiale et lorsque vous n'êtes pas à votre domicile. Sinon, la RIVER peut se connecter à votre Wi-Fi. La connexion à votre réseau sans-fil doit être effectuée pendant le processus de mise en route afin que la RIVER puisse accéder à Internet et récupérer d'éventuelles mises à jour du firmware.
Au même titre que l'écran de la RIVER, l'application mobile fournie des informations utiles en temps réel, tout en étant plus précise. Pour chaque module d'alimentation, en entrée et en sortie, la RIVER indique la puissance actuelle en Watts. Le pourcentage de batterie est également précisé, tout comme une estimation en heures et la température de l'appareil. Nous pouvons aussi activer ou désactiver à distance les modules d'alimentation, comme avec les boutons physiques.
Au-delà de permettre de partager cet appareil avec un autre utilisateur ou de gérer les mises à jour du firmware, l'application EcoFlow intègre un ensemble de paramètres :
Limiter la vitesse de charge de la batterie
Configurer le courant sur l'entrée allume-cigare : 4A, 6A, 8A
Activer ou désactiver le mode X-Boost
Limiter la charge ou la décharge, pour empêcher la batterie de se charger complète, ou à l'inverse, de se décharger complètement. Par exemple, lorsqu'il reste 10% de batterie, elle peut arrêter de fournir de l'énergie.
Délai de mise en veille de l'appareil s'il est allumé, mais qu'il ne fournit pas d'énergie à un appareil.
Délai de mise en veille de l'écran
Délai de mise en veille de la sortie CA
L'application est bien pensée et elle offre un contrôle plus précis sur sa station de charge. Le fait que la batterie soit équipée du Bluetooth nous permet d'effectuer des réglages depuis n'importe où à condition d'être à proximité de la batterie. J'aimerais tout de même suggérer une amélioration à EcoFlow : l'envoi d'une notification sur le smartphone lorsque la batterie est faible, ou l'émission d'un bip sonore. Actuellement, il n'y a rien pour nous avertir donc si l'on ne surveille pas l'autonomie de la batterie, on peut se faire surprendre.
Remarque : la section "Automatisation" de l'application ne s'applique pas au modèle RIVER 2 Pro.
B. Tests en conditions réelles
Nous pouvons facilement imaginer de nombreux scénarios d'utilisation de cette station de recharge. Par exemple :
- En cas de coupure de courant à son domicile, que ce soit pour alimenter un ordinateur ou un autre appareil (le mode X-Boost sera particulièrement utile dans ce cas).
- En camping, en extérieur ou dans un van aménagé.
- Sur un chantier isolé où il n'y a pas d'électricité, cela peut permettre de connecter une lampe ou encore de recharger les batteries de votre outillage. L'alimentation de certains outils sera possible, mais la puissance en Watts peut être beaucoup trop élevé dans certains cas.
Désormais, nous allons évoquer son utilisation plus précisément.
Panne d'électricité : fournir l'alimentation à un ordinateur fixe avec deux écrans
Pour ce premier scénario, je vais utiliser la RIVER 2 Pro afin de connecter : un ordinateur fixe (avec carte graphique dédiée) et deux écrans Full HD de 27 pouces. Sur cet ordinateur, il y a également des périphériques alimentés par USB : un micro, une webcam et une paire haut-parleurs. L'objectif étant de voir combien de temps, il m'est possible de faire tourner mon setup avec cette RIVER 2 Pro, afin de pallier une éventuelle panne d'électricité. L'ordinateur étant mon outil de travail, il m'est important d'avoir cette solution de secours.
Au bout d'environ 13 minutes d'utilisation, la ventilation s'est activée pendant 2 minutes, avant de s'éteindre. Puis, elle s'est réactivée de façon cyclique et régulière afin de garder le contrôle sur la température de la batterie. Le ventilateur est plutôt bruyant.
Au bout d'une heure d'utilisation, il restait 77 % de batterie, puis au bout de 2 heures, il restait 59 % d'autonomie. Finalement, j'ai pu alimenter mon setup avec la RIVER 2 Pro pendant 4 h 33 avant que la batterie soit épuisée. Autrement dit, elle me permettrait de travailler un peu plus d'une demi-journée !
Ici, inutile d'activer le mode X-Boost, car la puissance totale consommée par les appareils connectés est bien inférieure à 800 watts. Néanmoins, en cas de besoin, nous pourrions activer le mode X-Boost pour que la batterie délivre jusqu'à 1 600 watts, pendant une durée plus courte.
Utilisation en tant qu'UPS
La RIVER 2 Pro peut être utilisée en tant qu'onduleur (UPS) en venant se positionner entre le réseau électrique et vos appareils, grâce à la fonction Pass-Through. Par exemple, la RIVER 2 Pro peut être connectée à la prise électrique murale et l'ordinateur et les deux écrans à la RIVER 2 Pro. Dans ce cas, le courant ne passe pas par l'onduleur, ni même la batterie, et s'il y a une coupure d'électricité, alors elle prendra le relais !
Il y a tout de même une interruption de 30 ms au moment de la bascule sur l'alimentation sur batterie. Bien que ce soit transparent pour nous, certains appareils n'apprécieront pas. Avec un onduleur digne de ce nom, cette interruption n'existe pas. Dans mon cas, c'est passé inaperçu pour mon ordinateur fixe et mes deux écrans : la bascule sur batterie a été transparente.
Recharger un ou plusieurs appareils
La RIVER 2 Pro peut-être utilisée pour recharger des appareils divers et variés, y compris votre smartphone, votre tablette et votre ordinateur portable. En fonction de la capacité de la batterie de vos appareils, celui-ci pourra être rechargé un certain nombre de fois. Pour ma part, j'ai pu recharger près de 7 fois intégralement mon PC Surface Pro 7 (tout en l'utilisant) avec une charge complète de RIVER 2 Pro.
C. La recharge de la RIVER
EcoFlow annonce 70 minutes pour recharger complètement la batterie (0 à 100 %). Avec la recharge sur secteur, c'est effectivement la durée nécessaire pour la recharger intégralement (entre 65 et 70 minutes, d'après mes tests).
C'est vraiment rapide et c'est un gros plus pour ce modèle, notamment si vous avez besoin de recharger la batterie à la dernière minute... Le bémol, c'est le bruit généré par la ventilation pendant que la batterie recharge : il est élevé et constant tout au long de la charge.
Pour recharger les batteries de la station, vous avez 4 modes de charge différents répondant à plusieurs scénarios : la connecter au secteur avec le cordon d'alimentation, la connecter à une prise allume-cigare (en voiture, par exemple), la connecter en USB-C, ou lui associer un panneau solaire pour bénéficier de l'énergie solaire.
V. Conclusion
Facile à transporter avec sa poignée de transport intégrée à la coque, la RIVER 2 Pro d'EcoFlow est facile à utiliser et remplie parfaitement sa mission : fournir de l'énergie à un ou plusieurs appareils. L'application est ergonomique et elle nous donne l'opportunité de configurer l'appareil, selon nos besoins. La fonction d'UPS évoquée dans cet article, ainsi que le X-Boost, sont deux fonctions qui rendent cette station de recharge plus polyvalente.
Lors de ce test, j'ai noté deux points négatifs : le bruit généré par la ventilation de l'appareil. Il est très gênant lorsque la batterie se recharge et l'est un peu moins lorsque la RIVER fournie de l'énergie à des appareils, car c'est plus par intermittence, même si cela dépend de votre utilisation : plus elle est sollicitée, plus elle aura besoin de ventiler pour se refroidir. Et, la poignée qui est mal positionnée bien qu'elle soit indispensable.
Enfin, le fait de pouvoir recharger la batterie à l'aide d'un panneau solaire externe (vendu séparément) offrira certainement un peu plus de liberté et d'autonomie ! Nul doute que ce sera très utile si vous avez l'habitude de partir en camping.
Où acheter la station EcoFlow RIVER 2 Pro ?
L'EcoFlow RIVER 2 Pro est vendue sur plusieurs sites d'e-commerce dont la boutique officielle d'EcoFlow ainsi qu'Amazon. Ci-dessous, vous pouvez utiliser notre lien Amazon pour acheter ce modèle :
Si vous rencontrez des erreurs pour monter ou accéder à une partition NTFS d’un disque dur ou d’une clé USB sur Linux, vous pouvez réparer les erreurs avec l’utilitaire ntfsfix du paquet ntfs-3g.
Dans ce tutoriel, je vous présente cet utilitaire et je vous montre comment l’utiliser à travers des exemples.
Qu’est-ce que ntfsfix
ntfsfix est un outil de réparation pour les systèmes de fichiers NTFS, généralement utilisé dans les environnements Linux. Le système de fichiers NTFS (New Technology File System) est le système de fichiers principal utilisé par les systèmes d’exploitation Microsoft Windows.
Cet outil fait partie du paquet ntfs-3g, un logiciel libre qui permet aux systèmes d’exploitation basés sur Linux de lire et d’écrire sur des systèmes de fichiers NTFS.
Les principales fonctions incluent :
Réparer des erreurs mineures : ntfsfix peut résoudre certaines erreurs mineures du système de fichiers NTFS, ce qui permet à un système Linux d’accéder correctement aux partitions NTFS.
Effacer les journaux d’erreurs : Il supprime les journaux d’erreurs marqués comme “bad” (mauvais), ce qui peut aider à résoudre certains problèmes.
Configurer pour une vérification complète par Windows : ntfsfix ne fait pas une réparation complète du système de fichiers NTFS. Au lieu de cela, il marque la partition NTFS pour une vérification par les outils de réparation natifs de Windows, tels que ntfsfix. Cela signifie qu’une fois que la partition NTFS est montée sur un système Windows, ce dernier effectuera une vérification complète du système de fichiers et pourra réparer toute erreur majeure.
Il est important de noter que ntfsfix ne doit pas être considéré comme un outil de réparation complet pour les systèmes de fichiers NTFS. Il est principalement conçu pour permettre l’accès immédiat à une partition NTFS depuis un environnement Linux, mais pour une réparation complète, il est recommandé d’utiliser les outils natifs de Windows.
Comment utiliser ntfsfix sur Linux
Sur les distributions Linux à base de Debian, Ubuntu, Mint, avec APT :
sudo apt-get install ntfs-3g
Pour les distributions Linux de type Fedora / Redhat :
Pour effectuer une simulation où ntfsfix n’écrit rien mais montre seulement ce qui aurait été fait, utilisez l’option -n ou –no-action. Remplacez /dev/sda4 par le lecteur de disque :
sudo ntfsfix -n /dev/sda4
Après cela, vous pouvez lancer la réparation sans option :
sudo ntfsfix /dev/sda4
ntfsfix dispose d’une autre option utile -b ou –clear-bad-sectors pour effacer la liste des secteurs défectueux. Cette fonctionnalité est particulièrement utile après le clonage d’un ancien disque contenant des secteurs défectueux sur un nouveau disque.
sudo ntfsfix -b /dev/sda4
De plus, ntfsfix permet d’effacer le drapeau de volume sale si le volume peut être fixé et monté. Vous pouvez invoquer cette fonctionnalité en contournant l’option -d comme indiqué.
sudo ntfsfix -d /dev/sda4
Remarque : ntfsfix ne peut réparer que certaines erreurs de partition NTFS. S’il échoue, chkdsk réussira probablement. Si Windows est installé, vous pouvez également charger Windows et exécuter son programme de vérification des disques, chkdsk.
Vous utiliser Linux et vous ne parvenez pas à monter une partition NTFS (New Technology File System). Cela peut se produire sur une partition de disque spécifique ou une clé USB. En général vous rencontrez une erreur mount et impossible d’accéder aux fichiers de la partition de disque ou clé USB : mount: wrong fs type, bad option, bad superblock, Failed to mount ou $MFTMirr does not match $MFT (record 3).
Dans ce tutoriel, je vous donne toutes les solutions pour résoudre les problèmes pour monter une partition NTFS sur Linux.
Pourquoi Linux ne parvient pas à monter une partition NTFS
Voici les principales raisons qui peuvent faire que vous rencontriez des problèmes pour accéder à un disque en NTFS sur Linux :
Le système de fichiers NTFS est endommagé
La partition de disque est corrompu. Par exemple elle est passée en RAW
Le disque présente un problème matériel, comme une corruption de disque
Un autre cas courant est que le système de fichiers n’est pas propre et doit être vérifié. Dans ce cas là, mount peut renvoyer l’erreur suivant :
$MFTMirr does not match $MFT (record 3). Failed to mount '/dev/sda1': Erreur d'entrée/sortie NTFS is either inconsistent, or there is a hardware fault, or it's a SoftRAID/FakeRAID hardware. In the first case run chkdsk /f on Windows then reboot into Windows twice. The usage of the /f parameter is very important! If the device is a SoftRAID/FakeRAID then first activate it and mount a different device under the /dev/mapper/ directory, (e.g. /dev/mapper/nvidia_eahaabcc1). Please see the 'dmraid' documentation for more details.
Comment résoudre les erreurs NTFS sur Linux
Faire un chkdsk (si Windows est disponible)
Si vous avez une installation Dual-boot (sinon passez au paragraphe suivant), vous pouvez utiliser l’utilitaire internet de Windows chkdsk (check disk). Comme son nom l’indique, il permet de réparer les erreurs du système de fichiers.
Redémarrez sous Windows
Sur votre partition de disque ou clé USB : faites un clic droit > Propriétés
Onglet Outils
Puis cliquez sur Vérifier
Il est aussi possible de lancer la commande depuis l’invite de commandes :
Si Windows n’est disponible, vous pouvez utiliser l’utilitaire de réparation NTFS de Linux nommé ntfsfix. Notez qu’il est réputé pour être moins performant que chkdsk mais il peut résoudre les problèmes mineurs.
Installez la suite d’utilitaires NTFS pour Linux :
sudo apt-get install ntfs-3g
Puis utilisez la commande suivante en spécifiant la lecteur de disque :
sudo ntfsfix /dev/sdaXX
Pour vérifier et réparer les secteurs défectueux, ajoutez l‘option -b. Pour effacer l’indicateur de volume sale, utilisez l’option -d :
sudo ntfsfix -b -d /dev/sda6
Monter la partition de disque manuellement
Si aucune des étapes ci-dessus n’a fonctionné, vous pouvez essayer de monter manuellement la partition. Ouvrez une fenêtre de terminal et tapez :
sudo mount -t ntfs /dev/sdXY /mnt
Remplacez /dev/sdXY par votre propre nom de périphérique ou l’emplacement de votre disque dur, et choisissez n’importe quel répertoire comme point de montage (dans ce cas, mon exemple utilise “/mnt”). Il est essentiel de garder à l’esprit que ces étapes ne peuvent réparer que quelques types d’erreurs NTFS.
Dans certains cas, la récupération d’une partition NTFS défectueuse peut nécessiter un formatage ou une restauration à partir de sauvegardes. Il est essentiel de toujours effectuer des sauvegardes régulières pour éviter de perdre des données importantes.
Vérifier les secteurs défectueux à l’aide de smartmontools
Si votre disque dur présente des secteurs défectueux, cela peut entraîner l’erreur “NTFS Partition Failed to Mount” (Échec du montage de la partition NTFS). Vous pouvez utiliser smartmontools pour vérifier la présence de secteurs défectueux sur votre disque dur.
Une fois installé, vous pouvez exécuter la commande “smartctl” avec les options appropriées pour vérifier l’état de votre disque dur. Si des secteurs défectueux sont détectés, vous devez remplacer votre disque dur dès que possible.
Si les solutions précédentes ne permettent pas de résoudre l’erreur NTFS Partition Failed to Mount, essayez d’utiliser des outils tiers tels que TestDisk et Photorec. Ces outils puissants permettent de récupérer les partitions perdues ou endommagées, de réparer les tables de partition et de récupérer les données perdues.
TestDisk est un outil de ligne de commande qui peut être utilisé pour restaurer des partitions supprimées, résoudre des problèmes de table de partition et rendre les disques non amorçables à nouveau amorçables.
Photorec est un outil de récupération de fichiers qui permet de récupérer des fichiers perdus sur des disques endommagés ou formatés. Ces deux outils sont des logiciels libres et gratuits qui fonctionnent sur plusieurs plateformes, y compris Linux.
In a previous post, I shared a bash script that enables you to effortlessly create an Amazon Machine Image (AMI) from an EC2 instance in AWS.
The bash script introduced in today's post allows you deregister an AMI and delete all associated snapshots in AWS.
Qui n'a jamais dupliqué des entrées KeePass ? Soit parce que l'auto-type diffère selon les applications qui utilisent un même identifiant/mot de passe, soit parce les URLs d'appel sont différentes.
Si comme moi vous utilisez le même compte sur plusieurs mires de connexion c'est un casse tête. C'est le cas avec les nombreuses URL de connexion d'Office 365, ou de façon générale dès que vous avez un Active Directory. Un seul compte pour plusieurs applications.
Avec une entrée pour chaque connexion il faut toutes les mettre à jour quand le mot de passe change. C'est fastidieux et chronophage.
Voyons comment régler ça pour tout soit dynamique : une fois le mot de passe changé dans l'entrée maître il se propage à toutes les entrées enfant de KeePass.
Le problème
Imaginons que j'utilise mon identifiant "[email protected]" avec 3 domaines/applications différents :
adminbackoffice.bm.fr
dashboard.blogm.net
sso.bm-vpn.com
On pourrait utiliser l'extension Kee pour mémoriser l'identifiant/mdp et renseigner tous les domaines... sauf qu'en pratique ça ne marche pas très bien. Les mires de connexions peuvent être exotiques et Kee aura du mal à pré-remplir les champs. Et puis on perd l'intérêt du CTRL+U qui n'ouvrira que le domaine principal de l'entrée.
En réalité cette solution est parfaite quand la même application web utilise plusieurs domaines avec un même identifiant, pas quand il s'agit d'applications différentes. Aussi quand la séquence d'auto-type est différente car on est obligé de créer une 2ème entrée.
La solution : les références
KeePass est un logiciel bourré d'options et de fonctionnalités, et répond nativement à cette problématique avec les références.
Le principe est simple : chaque champ d'une entrée contient un identifiant unique, qu'il est possible d'appeler depuis une autre entrée.
Tout d'abord il faudra créer une entrée mère avec au minimum ces 3 champs :
un mot de passe : {REF:P@I:B86EE0435A5A8E4B07D82BEA3864732A}
Il est possible de faire plein de choses dynamiques, recherche l'entrée mère par son nom, avoir un identifiant fixe et un mot de passe en provenance d'une entrée mère...
A partir du jour ou j'ai découvert les références tout s'est simplifié dans ma base KeePass. Terminé l'entrée dupliquée pour l'applicatif de déclaration RH qui utilise vos identifiants AD L'entrée existe toujours mais l'appel du mot de passe est dynamique. Quel plaisir de remplacer ces doublons par des références !
A noter que cela fonctionne aussi pour les identifiants qui sont parfois en domaine AD court (ex : MABOITE) et d'autres en domaine AD FQDN (ex : MABOITE.LOCAL). J'utilise aussi cette astuce pour avoir un autotype de mes identifiants AD qui fonctionnent avec Windows et Linux. J'ai créé une entrée dédiée pour chaque OS avec une référence vers mon entrée principale contenant mon couple d'identifiants/mdp AD. La séquence de touche est personnalisée pour chaque OS car il faut une tabulation pour passer de l'identifiant au mot de passe avec Windows, et ENTREE avec Linux en SSH.
Ainsi quand je change mon mot de passe AD toutes les entrées pointant vers cette référence sont automatiquement à jour. Pour ceux qui se posent la question, ce n'est pas plus lent, c'est totalement transparent à l'utilisation.
recALL est un programme gratuit qui permet de récupérer les mots de passe de plus de 300 programmes et les clés de licence de plus de 2 800 applications. Le programme peut récupérer les codes de série de nombreux logiciels, y compris Fast Picture Viewer, Newsbin ou des produits Microsoft tels qu’Office, Windows, courrier électronique, navigateurs web, messagerie instantanée, clients FTP, réseaux sans fil, etc. En outre, il peut récupérer les informations de connexion de nombreux programmes de communication, y compris les navigateurs Web, les clients FTP, les applications de messagerie ou les programmes de base de données. Il est compatible Windows 11, Windows 10 et même Windows 7 et 8. Enfin il est disponible en Français.
Dans ce tutoriel, je vous montre comment l’utiliser.
Comment utiliser recALL pour trouver les mots de passe et licences
Puis exécutez l’installeur et laissez vous guider dans les étapes du setup
Exécutez le logiciel. Il est possible que votre antivirus le détecte comme outil de piratage, outil à risque puisqu’un pirate peut l’utiliser pour récupérer vos mots de passe. Par exemple, Windows Defender le détecte en HackTool:Win32/Crack – Autorisez le fichier
Sur la page de bienvenue, laissez sur Récupération automatique et cliquez sur Suivant
L’utilitaire analyse le registre Windows et les fichiers pour rechercher les mots de passe et les clés produits de vos logiciels. Les mots de passe et licences s’ajoutent dans la liste. Patientez car cela va prendre du temps
Lorsque l’analyse est terminé, le bouton Suivant est disponible, cliquez dessus
Une fois terminé, vous pouvez exporter les résultats de récupération de mots de passe et clé produit. Vous pouvez le faire au format CSV, HTML, ZIP au pour KeePass. Cliquez sur l’icône à droite pour parcourr pour choisir l’emplacement puis indiquez le nom du fichier
Un message indique que vos données ont été sauvegardées avec succès
Si vous cherchez des alternatives, il existe WebBrowserPassView pour récupérer les mots de passe des navigateurs internet. Du côté des mots de passe, il existe aussi Licence Crawler, Passware Kit ou Elcomsoft Password Recovery Bundle.
Je vous propose dans cet article la résolution de la machine Hack The Box Devvortex de difficulté "Facile". Cette box est accessible via cette page.
Hack The Box est une plateforme en ligne qui met à disposition des systèmes vulnérables appelées "box". Chaque système est différent et doit être attaqué en adoptant la démarche d'un cyberattaquant. L'objectif est d'y découvrir les vulnérabilités qui nous permettront de compromettre les utilisateurs du système, puis le compte root ou administrateur.
Ces exercices permettent de s’entraîner légalement sur des environnements technologiques divers (Linux, Windows, Active directory, web, etc.), peuvent être utiles pour tous ceux qui travaillent dans la cybersécurité (attaquants comme défenseurs) et sont très formateurs
Je vais ici vous détailler la marche à suivre pour arriver au bout de cette box en vous donnant autant de conseils et ressources que possible. N'hésitez pas à consulter les nombreux liens qui sont présents dans l'article.
Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque la box en question sera indiquée comme "Retired".
Pour l'instant, nous ne disposons que de l'adresse IP (10.10.11.242) de notre cible, commençons par un scan réseau à l'aide de l'outil nmap pour découvrir les services exposés sur le réseau, et pourquoi pas leurs versions.
$ nmap --max-retries 1 -T4 -sS -A -v --open -p- -oA nmap-TCPFullVersion 10.10.11.242
Nmap scan report for 10.10.11.242
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://devvortex.htb/
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
Seuls deux services sont exposés sur le réseau. Nous pouvons également remarquer que l'outil nmap a été interroger le service web et que celui-ci lui a renvoyé une redirection vers http://devvortex.htb/. La commande suivante permet de l'ajouter à notre fichier /etc/hosts pour que notre système puisse le retrouver :
$ echo "10.10.11.242 devvortex.htb" |sudo tee -a /etc/hosts
Il s'agit d'un vhost (voir cet article : Les vHosts sous Apache2). Peut-être le service web en contient-il d'autres, mais comment le savoir ? Ceux-ci ne sont affichés ou indexés nulle part pour le moment. J'utilise donc une technique qui va me permettre d'énumérer les vhosts potentiels à l'aide d'un dictionnaire de mot :
La liste de mot (wordlist) utilisée ici est celle de la ressource SecLists, de Daniel Miessler. J'ai ajouté sur mon système une variable "s" qui contient le chemin d'accès vers ces listes (/usr/share/seclists) pour gagner en efficacité.
Via cette énumération de vhost, l'outil ffuf que j'utilise va effectuer des requêtes en changeant à chaque essai le sous domaine dans la requête suivante, mais en interrogeant toujours la même IP, le même service web :
GET / HTTP/1.1
host: FUZZ.devvortex.htb
En identifiant des variations dans la taille de la réponse, les codes de réponse HTTP ou le nombre de lignes/mots dans la réponse, nous pourrons identifier de nouveaux vhosts existants, car 99% des requêtes obtiendront la même réponse d'erreur, sauf pour les vhost existants. Ici, ffuf nous permet d'identifier le vhost dev.devvortex.htb. Que l'on rajoute également à notre fichier /etc/host :
echo "10.10.11.242 dev.devvortex.htb" |sudo tee -a /etc/hosts
Cela peut paraître contre-intuitif de s'intéresser à l'énumération de vhost plutôt que directement aller se renseigner sur ce que fait l'application web principale qui pourrait elle-même contenir des vulnérabilités. Néanmoins, foncer tête baissée sur la première brèche potentielle ou service croisé est un piège qu'il faut savoir éviter. Respecter une méthodologie est très important, notamment lors des phases d'énumération, afin de ne se fermer aucune porte et d'avoir encore de la matière à travailler lorsque nos premières attaques ne sont pas fructueuses.
Soyez sûr d'avoir toutes les cartes (informations) en main avant d'attaquer.
B. Exploitation d'un Joomla non à jour
Voyons à quoi ressemble ce site web en développement :
Il s'agit visiblement d'un site vitrine, dont l’apparence est plutôt commune. L'utilisation d'un CMS (Content Management System) comme WordPress, Joomla ou Drupal est très probable. Nous pouvons valider la présence de ces CMS par la présence de dossiers ou fichiers qui les caractérisent. Par exemple, le contenu du fichier robots.txt :
$ curl http://dev.devvortex.htb/robots.txt
# If the Joomla site is installed within a folder
# eg www.example.com/joomla/ then the robots.txt file
# MUST be moved to the site root
# eg www.example.com/robots.txt
# AND the joomla folder name MUST be prefixed to all of the
# paths.
# eg the Disallow rule for the /administrator/ folder MUST
# be changed to read
# Disallow: /joomla/administrator/
#
# For more information about the robots.txt standard, see:
# https://www.robotstxt.org/orig.html
User-agent: *
Disallow: /administrator/
Disallow: /api/
[...]
Pas de doute, il s'agit bien d'un CMS Joomla. En parallèle du déroulement de ma méthodologie propre à Joomla, je lance l'outil nuclei :
Nuclei est un scanner de vulnérabilité web open source très intéressant. Il se compose de nombreux modules créés par la communauté. Chaque module est propre à une fuite d'information, une CVE ou une mauvaise configuration précise. La détection se porte notamment sur la détection de mots-clés dans une réponse ou la présence d'un fichier caractéristique d'une CVE/défaut de configuration.
C'est un outil intéressant à lancer en parallèle des opérations manuelles puisqu'il peut vérifier un grand nombre de choses en peu de temps, même les plus improbables.
Manuellement, je récupère la version de Joomla, là aussi grâce à des fichiers qui contiennent classiquement cette information :
$ curl -s http://dev.devvortex.htb/administrator/manifests/files/joomla.xml | xmllint --format -
<?xml version="1.0" encoding="UTF-8"?>
<extension type="file" method="upgrade">
<name>files_joomla</name>
<author>Joomla! Project</author>
<authorEmail>[email protected]</authorEmail>
<authorUrl>www.joomla.org</authorUrl>
<copyright>(C) 2019 Open Source Matters, Inc.</copyright>
<license>GNU General Public License version 2 or later; see LICENSE.txt</license>
<version>4.2.6</version>
<creationDate>2022-12</creationDate>
La CVE impacte la version 4.2.8 (et probablement les précédentes) et notre version de Joomla est la 4.2.6, voilà qui est intéressant. Il s'agit d'une fuite d'information sans authentification. Si l'on regarde de plus près les résultats de nuclei, il a également remonté cette information (CVE) et nous indique le lien d'accès à la fuite d'information :
Un login et un mot de passe ! Mon premier réflexe est de les essayer sur l'accès SSH, mais ils donnent en fait accès au panel d'administration du Joomla :
L'administrateur du CMS peut naturellement tout faire, même rajouter un plugin qui lui donnera accès à un webshell PHP. Il en existe des prêts à l'emploi sur GitHub : https://github.com/p0dalirius/Joomla-webshell-plugin
Attention, dans un contexte réel de test d'intrusion (au sens prestation de service), évitez d'utiliser des codes tout fait trouvés sur Internet pour ce genre d'opération. Vous n'êtes pas à l'abri d'un malin qui en profiterait pour utiliser cet accès comme une backdoor pour lui-même, ou qui aurait injecté un code destructeur pour le système cible. Vous devez maîtriser les outils utilisés (faire une revue de code avant utilisation, ou faire votre propre plugin).
Je rajoute donc ce plugin, qui me donne accès à un webshell en PHP :
Vous devez vous interroger sur la deuxième commande. Il s'agit en fait d'une commande encodée en base64. Je génère une commande qui l'affiche avec echo, puis qui la décode et enfin qui exécute le résultat obtenu. Cela me permet d'injecter du code "complexe" sans me soucier des quotes, espaces et autres caractères spéciaux. La commande originale (décodée) est la suivante :
Cette commande crée un pipe et établie une connexion réseau vers l'adresse IP 10.10.16.21 sur le port 9001 (ma machine d'attaque), puis redirige un shell interactif vers cette connexion, permettant un accès distant au système.
L'utilisation de l'encodage base64 est une technique très commune et tellement connue que bon nombre de produits de sécurité considèrent maintenant l'utilisation de la commande base64 comme suspecte, ce qui entraîne des alertes de sécurité.
Après avoir mis un netcat en écoute sur le port 9001 de ma machine, je me retrouve donc avec un accès en tant que www-data sur le serveur :
$ nc -lvp 9001
listening on [any] 9001 ...
connect to [10.10.16.21] from devvortex.htb [10.10.11.242] 49096
sh: 0: can't access tty; job control turned off
$ whoami
www-data
D. Vol des identifiants de l'utilisateur logan
Maintenant que nous avons une première main sur le système, intéressons-nous aux processus et services exécutés. J'utilise la commande netstat pour récupérer les services qui ont un port en écoute :
$ netstat -petulan |grep "LISTEN"
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 23392 883/nginx: worker p
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 101 22905 -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 24155 -
tcp 0 0 127.0.0.1:33060 0.0.0.0:* LISTEN 114 25609 -
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 114 25611 -
tcp6 0 0 :::80 :::* LISTEN 0 23393 883/nginx: worker p
tcp6 0 0 :::22 :::* LISTEN 0 24166 -
Nous voyons, en plus de services que nous connaissons déjà, un service MySQL. Nous avons auparavant récupéré des identifiants que nous pouvons tester sur ce service. Par exemple, pour lister les données de la table "users" du CMS Joomla :
$ mysql -u lewis -p"P4ntherg0t1n5r3c0n##" -e "use joomla; select * from sd4fg_users"
mysql: [Warning] Using a password on the command line interface can be insecure.
id name username email password block sendEmail registerDate lastvisitDate activation params lastResetTime resetCount otpKey otep requireReset authProvider
649 lewis lewis [email protected] $2y$10$6V52x.SD8Xc7hNlVwUTrI.ax4BIAYuhVBMVvnYWRceBmy8XdEzm1u 0 1 2023-09-25 16:44:24 2023-11-26 10:34:39 0 NULL 0 0
650 logan paul logan [email protected] $2y$10$IT4k5kmSGvHSO9d6M/1w0eYiB5Ne9XzArQRFJTGThNiy/yBtkIj12 0 0 2023-09-26 19:15:42 NULL {"admin_style":"","admin_language":"","language":"","editor":"","timezone":"","a11y_mono":"0","a11y_contrast":"0","a11y_highlight":"0","a11y_font":"0"} NULL 0 0
Nous étions passés à côté de cette information lorsque nous avons eu accès au panel d'administration Joomla, un second utilisateur est présent et nous venons de récupérer le hash de son mot de passe.
Le code d'identification d'un hash, tel que le $2y$, est généralement utilisé pour indiquer l'algorithme de hachage et la version utilisés pour générer l'empreinte. Ici, $2y$ indique que l'empreinte a été générée à l'aide de l'algorithme bcrypt. Il n'est cependant pas obligatoire pour tous les algorithmes.
$ john --wordlist=/usr/share/seclists/Passwords/Leaked-Databases/rockyou.txt /tmp/x
Using default input encoding: UTF-8
Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
Cost 1 (iteration count) is 1024 for all loaded hashes
Will run 6 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
tequieromucho (?)
1g 0:00:00:05 DONE (2023-11-26 21:55) 0.1834g/s 257.6p/s 257.6c/s 257.6C/s dianita..harry
Use the "--show" option to display all of the cracked passwords reliably
Vous noterez que John The Ripper possède lui aussi sa propre méthode de reconnaissance des hash puisqu'il a deviné tout seul qu'il s'agissait de bcrypt. J'utilise également la wordlist "rockyou.txt" comme dictionnaire pour casser ce mot de passe.
Le fichier "rockyou.txt" est un dictionnaire de mots de passe qui a gagné en notoriété en raison de sa taille et de son utilisation fréquente dans les challenges cybersécurité. Son nom vient du fait qu'il a été créé à partir de données compromises de RockYou. En 2009, cette entreprise a subi une fuite d'information où des millions de mots de passe d'utilisateurs ont été compromis. Les données ont ensuite été rendues publiques sur Internet, et le fichier "rockyou.txt" a été créé en utilisant ces informations.
Il contient 14 344 391 mots de passe couramment utilisés, souvent faibles en complexité.
Nous avons donc le mot de passe de l'utilisateur "logan" sur le CMS Joomla, utilise-t-il également ce mot de passe pour son accès SSH ?
La réponse et oui, sans surprise l'utilisateur réutilise le même mot de passe entre plusieurs services. Nous voilà avec le premier flag et un accès utilisateur au système.
E. Élévation de privilèges via apport-cli et sudo
Quels pourraient être les privilèges et accès spéciaux de l'utilisateur logan ? Je remarque qu'il possède une dérogation d'utilisation de la commande /usr/bin/apport-cli en tant que root via sudo :
logan@devvortex:~$ sudo -l
[sudo] password for logan:
Matching Defaults entries for logan on devvortex:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User logan may run the following commands on devvortex:
(ALL : ALL) /usr/bin/apport-cli
Je ne connais pas du tout cette commande, regardons son aide avec l'option --help:
logan@devvortex:~$ /usr/bin/apport-cli --help
Usage: apport-cli [options] [symptom|pid|package|program path|.apport/.crash file]
Options:
-h, --help show this help message and exit
-f, --file-bug Start in bug filing mode. Requires --package and an
optional --pid, or just a --pid. If neither is given,
display a list of known symptoms. (Implied if a single
argument is given.)
[...]
-v, --version Print the Apport version number.
logan@devvortex:~$ /usr/bin/apport-cli -v
2.20.11
La lecture de l'aide de la commande (tronquée ci-dessus) ainsi que quelques recherches nous font comprendre qu'elle permet de remplir des tickets de bug à destination des développeurs. Elle dispose notamment d'un mode interactif à l'aide de l'option "-f". Nous pouvons également identifier sa version exacte avec l'option "-v". Je découvre que la CVE-2023-1326 (score CVSS3 : 7.8) affecte cette version :
Visiblement, apport-cli utilise less, une commande qui parait simple et inoffensive, mais qui est en réalité dangereuse lorsque utilisée avec sudo. Less dispose, en effet, d'une fonctionnalité d'exécution de commande :
Ressource : https://gtfobins.github.io/ est une excellente ressource à connaitre. Ce site liste les exploitations possibles des binaires connus sous Linux. C'est très utiles pour savoir quelles sont les fonctionnalités "cachées" et dangereuses d'un binaire exécuté via sudo ou un bit setuid (lire/ écrire dans un fichier privilégié ou pour exécuter des commandes). Ce site peut être utile également aux blue teams pour savoir si les binaires utilisés ou présents sur un système présentent un risque.
Le binaire apport-cli est donc exécuté en tant que root via sudo et utilise less, qui présente des exploitations possibles pour exécuter des commandes, voilà qui nous intéresse. La première étape consiste donc à lancer apport-cli via sudo, qui nous demande le mot de passe de logan. Ensuite, on utilise le mode interactif de apport-cli (-f) et un mode "view report" (-v) nous est proposé, c'est certainement à ce moment-là que less intervient :
Et nous voilà avec les droits root sur le système ! L'attaquant peut alors en faire ce qu'il veut, récupérer toutes les données et les identifiants qui y trainent, installer un keylogger ou l'utiliser comme rebond vers le SI interne, après tout, il est root !
III. Résumé de l'attaque
Voici une description de l'attaque réalisée en utilisant les TTP (Tactics, Techniques and Procedures) du framework MITRE ATT&CK :
Exploitation de l'utilisation cachée de less par le binaire apport-cli via sudo
IV. Notions abordées
A. Côté attaquant
L'énumération de vhost peut apparaitre comme une étape secondaire, mais elle doit faire partie de votre méthodologie d'énumération. Il est aujourd'hui rare de croiser un service Apache ne faisant tourner qu'un seul site. L'énumération de vhost peut notamment permettre de trouver des applications web non référencées comme celles en développement.
Il est important pour un attaquant de savoir récupérer le plus d'informations possibles sur sa cible afin d'avoir une vue la plus complète possible de la surface d'attaque d'un système, d'un simple script ou d'un réseau entier. Savoir identifier une version exacte et rechercher les CVE associées peut paraitre simple, mais il est très facile de passer à côté de ce type d'information pendant la phase d'énumération. Phase durant laquelle nous avons en général un grand nombre d'informations à vérifier et à collecter.
La collecte et la récupération d'identifiants est également une opération qui doit être réalisée avec minutie. Je vous recommande pendant vos challenges et prestations de scrupuleusement stocker les identifiants récupérés. Également, il est important de réutiliser ces identifiants sur tous les services croisés. La réutilisation des mots de passe entre différents services est quasiment la norme (malheureusement) en entreprise, sans compter les services de SSO qui sont faits pour n'avoir qu'un mot de passe à retenir. Cela peut sembler simple, mais la collecte d'identifiants étant réalisée tout au long de l'attaque, il est facile d'oublier de réutiliser ceux-ci sur tous les services disponibles.
Enfin, connaitre les bonnes ressources est primordiale. Vu le nombre d'informations stockées sur https://gtfobins.github.io/, vous constaterez vite qu'il est impossible de tout retenir et encore moins de se maintenir à jour. Plutôt que de retenir 1 000 informations, il est parfois plus efficace se rappeler les sources où les trouver.
B. Côté défenseur
Pour sécuriser ce système, nous pouvons proposer plusieurs recommandations :
Recommandation n°1 : nous pouvons recommander l'application stricte de la directive n°34 du Guide d'hygiène de l'ANSSI : Définir une politique de mise à jour des composants du système d’information. Les applicatifs et systèmes exposés sur le réseau ou sur Internet sont d'autant plus concernés par ce besoin de mise à jour rapide puisqu'ils peuvent être exploités par les attaquants dès la parution d'un code d'exploitation.
Recommandation n°2 : il doit également être recommandé d'utiliser un autre serveur web que le serveur web de production, exposé à internet, pour héberger le site web en développement. Les services en développement sont souvent moins bien protégés et sécurisés que les services en production (la sécurité est souvent le dernier wagon à être rattaché à un projet). Ces environnements en développement sont dans la réalité des cibles très recherchées par les attaquants et ne doivent donc pas être exposés à Internet et être strictement cloisonnés des services et réseau de production.
Recommandation n°3 : Il peut également être recommandé la mise en place d'une politique de mot de passe plus robuste. Pouvoir casser un hash, généré par algorithme de calcul robuste comme bcrypt, en quelques secondes via la wordlist la plus commune est un signal fort que les mots de passe utilisateur ne sont pas suffisamment contraints dans leur complexité. Cela va dans le sens de la directive n°10 du Guide d'hygiène de l'ANSSI : Définir et vérifier des règles de choix et de dimensionnement des mots de passe. Le guide Recommandations relatives à l'authentification multifacteur et aux mots de passe, de l'ANSSI, plus spécifique et complet sur ce sujet, peut également être une ressource à conseiller.
V. Conclusion
J’espère que cet article vous a plu ! N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord :).
Enfin, si vous voulez accéder à des cours et des modules dédiés aux techniques offensives ou défensives et améliorer vos compétences en cybersécurité, je vous oriente vers Hack The Box Academy, utilisez ce lien d'inscription (je gagnerai quelques points ) : Tester Hack the Box Academy
Vous utilisez Dropbox ? Mauvaise nouvelle : un pirate informatique est parvenu à s'introduire sur le système de Dropbox Sign et il a volé des informations correspondantes aux clients de l'entreprise américaine. Faisons le point.
Dropbox est mondialement connue pour son service de stockage et de partage de fichiers en ligne similaire à OneDrive, Google Drive, etc... Pourtant, ce n'est pas le seul service proposé puisqu'il y en a d'autres, notamment Dropbox Sign. Anciennement appelé HelloSign, il s'agit d'un service en ligne de signature électronique. C'est ce service qui est impacté par l'incident de sécurité.
En effet, le 24 avril 2024, Dropbox a détecté un accès non autorisé à l'environnement de production de son service Dropbox Sign. Un pirate est parvenu à mettre la main sur des identifiants valides ! Grâce à ce compte compromis, Dropbox précise que le pirate a pu accéder à la base de données clients.
Cet incident de sécurité affecte uniquement Dropbox Sign : "D'un point de vue technique, l'infrastructure de Dropbox Sign est largement distincte des autres services Dropbox.", peut-on lire sur le site de Dropbox.
Que contient cette base de données ?
Cette base de données contient des informations sensibles au sujet des utilisateurs, dont le nom d'utilisateur, l'adresse e-mail, le numéro de téléphone, ainsi que le mot de passe du compte. Le précieux sésame n'est pas accessible directement en clair, car une fonction de hachage cryptographique est utilisée avant de stocker l'information.
Ce n'est pas tout ! Le cybercriminel a pu également accéder aux réglages du compte, aux données liées à l'authentification multifacteurs, aux clés d'API et aux jetons oAuth. Des informations précieuses pour faire le pont avec d'autres applications et services.
Cette fuite de données concerne aussi les utilisateurs invités, qui n'ont pas forcément un compte Dropbox Sign : "Pour ceux qui ont reçu ou signé un document via Dropbox Sign, mais qui n'ont jamais créé de compte, les adresses électroniques et les noms ont également été exposés.", peut-on lire sur le site de Dropbox.
Comment se protéger ?
Si vous utilisez Dropbox Sign, vous devez changer votre mot de passe dès que possible et effectuer une nouvelle configuration de l'application MFA pour utiliser une nouvelle clé de génération des codes TOTP. Si vous utilisez ce mot de passe sur d'autres sites, nous vous recommandons de le renouveler également.
De son côté, Dropbox a déjà pris des mesures pour protéger les comptes de ses utilisateurs : "En réponse, notre équipe de sécurité a réinitialisé les mots de passe des utilisateurs, déconnecté les utilisateurs de tous les appareils qu'ils avaient connectés à Dropbox Sign, et coordonne la rotation de toutes les clés API et des jetons OAuth."
Enfin, comme toujours, soyez vigilant, car ces informations pourraient être utilisées pour mettre en place une campagne de phishing ciblée.
Bitwarden Authenticator, c'est le nom de la nouvelle application mobile lancée par Bitwarden ! Son objectif : générer des codes TOTP utilisables dans le cadre de l'authentification multifacteurs (MFA).
Bitwarden, éditeur du célèbre gestionnaire de mots de passe du même nom, a lancé une nouvelle application pour Android et iOS. Cette application sert à générer des mots de passe à usage unique basé sur le temps, c'est-à-dire des codes TOTP (Time-based one-time password), pour les comptes enregistrés dans l'application. Il peut s'agir d'un compte de n'importe quel service ou site web à condition que celui-ci propose l'authentification multifacteurs basée sur cette méthode très répandue.
Dans le gestionnaire de mots de passe Bitwarden, il y a déjà une fonctionnalité pour générer des codes TOTP, mais elle est réservée aux utilisateurs payants. D'ailleurs, cette fonctionnalité sera maintenue : "L'Authenticator intégré restera disponible avec les abonnements payants.", peut-on lire sur le site de Bitwarden.
A contrario, l'application Bitwarden Authenticator est gratuite pour tous les utilisateurs, y compris ceux qui n'utilisent pas Bitwarden. Elle vient s'ajouter à la longue liste des applications de gestion de comptes telles que Microsoft Authenticator, Google Authenticator, FreeOTP ou encore Authy.
Pour ajouter un compte à l'application Bitwarden Authenticator, l'utilisateur n'a qu'une chose à faire : scanner le QR code généré par le service ou le site web.
La feuille de route de Bitwarden Authenticator
Pour le moment, l'application, bien que stable, n'en est qu'à la phase 1 de son lancement. Cela signifie que cette première version est limitée en termes de fonctionnalités, et notamment vis-à-vis des applications concurrentes.
Comme le montre l'image ci-dessous, correspondante à la feuille de route de Bitwarden Authenticator, d'autres fonctionnalités seront ajoutées par la suite. Il y aura notamment la possibilité de synchroniser ses comptes Bitwarden Authenticator sur les serveurs de Bitwarden, et les retrouver dans son coffre-fort de mots de passe. Il est également prévu l'ajout d'un mode de restauration et la prise en charge du 2FA par notifications ("Push-based 2FA").
Source : Bitwarden
Bitwarden Authenticator : une application open source
Sachez que ces applications sont open source, donc leur code source sont disponibles sur GitHub (Android - iOS). Enfin, voici les liens pour télécharger cette application :
When organizations implement a lockout policy, it is common for users to lock themselves out and require assistance from the helpdesk. In such cases, helpdesk personnel without administrator rights require permission to unlock user accounts. This can be achieved through delegation.
La gestion de Microsoft Defender n’est pas un processus simple. Microsoft a déplacé de nombreuses options vers l’application Paramètres. Cette approche imbriquée rend la gestion de Defender difficile et longue. De nombreuses options et fonctionnalités ne sont pas accessibles via le Centre de sécurité Windows Defender, elles doivent être gérées via le Registre, la Stratégie de groupe ou PowerShell.
DefenderUI est une application gratuite de VoodooShield CyberLock qui se présente sous la forme d’une interface utilisateur compatible Windows 10 et Windows 11 pour gérer Windows Defender. Tout comme Configure Defender, il donne accès à la plupart des fonctionnalités de Windows Defender mais aussi ses paramètres cachés. Si vous cherchez une interface utilisateur unique pour accéder à l’ensemble des fonctionnalités et paramètres de Windows Defender, cet utilitaire peut répondre à vos besoins.
Dans ce tutoriel, je vous montre comment l’utiliser.
Au premier démarrage en haut, cliquez sur le menu déroulant pour sélectionner la langue Française
L’utilitaire répertorie les profils de sécurité lors de la première exécution que les utilisateurs sélectionnent comme configuration de base. Les quatre profils suivants sont actuellement pris en charge :
Profil recommandé — débloque certaines des fonctionnalités cachées de Microsoft Defender. Pour les utilisateurs occasionnels
Profil interactif — plus sûr que le profil recommandé. Pour les utilisateurs avancés
Profil agressif — profil le plus sûr
Profil par défaut — le profil par défaut de Microsoft Defender
Utiliser les fonctionnalités de Windows Defender avec WindowsDefenderUI
L’onglet Accueil contient des boutons pour plusieurs fonctionnalités, notamment la protection en temps réel, la protection fournie dans le nuage et le pare-feu Windows. Des boutons permettent également de démarrer Microsoft Defender avec Windows et de basculer entre les modes clair et foncé de l’interface utilisateur de Defender.
D’autres options permettent de désactiver la protection en temps réel, mettre à jour et de réinitialiser les signatures, d’exécuter des analyses, d’ajouter des éléments à la liste des exclusions et d’ouvrir certaines pages administratives, telles que Windows Update, l’historique de la protection et la quarantaine, ou le journal de sécurité de Defender.
La plupart des fonctionnalités sont aussi accessibles par un clic droit sur l’icône de WindowsDefenderUI disponible dans la zone de notifications de Windows.
Lancer un scan Windows Defender
Depuis l’accueil, vous pouvez lancer à tout moment une analyse antivirus de votre ordinateur. On retrouve tous les types de scan possibles :
Analyse rapide : L’antivirus analyse les emplacements du système les plus fréquemment utilisés par les logiciels malveillants
Analyse complète : Windows Defender analyse le système complètement. C’est l’analyse la plus longue mais vous vérifiez vraiment tout le système
Analyse personnalisée : Choisissez le dossier ou lecteur à analyser
Parfois Windows Defender est trop sensible et peut détecter des fichiers sains comme étant malveillants ou dangereux. Cela se nomme un faux-positif. Dans d’autres cas pour éviter que Windows Defender utilise trop les ressources systèmes, vous pouvez exclure des dossiers contenants beaucoup de fichiers ou provenant d’applications lourdes. Pour ce faire, vous pouvez mettre un fichier ou un dossier en exclusion.
WindowsDefenderUI donne la possibilité de gérer très facilement les exclusions. Depuis la section Utilitaire, cliquez sur ajouter une exclusion et choisissez le type depuis le menu déroulant.
Puis cochez les fichiers ou dossiers à mettre en exclusion :
Depuis le bouton Gérer les exclusoins, vous pouvez lister les éléments en exception et les retirer en cliquant sur le bouton moins.
Effacer historique de protection
L’historique de protection liste les dernières menaces détectées. Parfois, Windows Defender continue d’afficher une alerte sur une menace alors que celle-ci a été gérée. Si vous souhaitez effacer ou réparer l’historique de protection, cela est très simple puisque WindowsDefenderUI fournit un bouton.
Accéder aux paramétrage cachés, basiques et avancés de Windows Defender
Réglages basiques de Windows Defender
L’onglet Basique présente d’autres options réparties dans les groupes Général, Confidentialité et Notifications. La liste Général comprend des boutons pour de nombreuses fonctions de sécurité de Microsoft Defender, y compris la protection contre les PUA, la surveillance du comportement, la protection du réseau ou l’accès contrôlé aux dossiers.
Les options de confidentialité contrôlent, entre autres, les soumissions automatiques d’échantillons. Les notifications définissent enfin si et quand les notifications sont affichées à l’utilisateur du système.
Certaines fonctions comprennent des options supplémentaires. La protection PUA, par exemple, peut être configurée en mode audit uniquement, ou la soumission automatique d’échantillons peut être demandée, afin de permettre à l’utilisateur de contrôler la fonctionnalité.
Réglages avancés de Windows Defender
L’onglet Avancé répertorie les options d’analyse et les actions par défaut contre les menaces. Les options sont pour la plupart explicites. Les options d’analyse définissent les zones du système que Microsoft Defender inclut dans ses analyses. Des options permettant de modifier l’intervalle de vérification des mises à jour et l’utilisation moyenne de l’unité centrale pendant les analyses sont proposées.
Réglages ASR
ASR (Attack Surface Reduction) que l’on peut traduire par réduction de la surface d’attaque), est l’onglet suivant. Il est conçu pour bloquer les comportements potentiellement malveillants sur le système par défaut. Les exemples incluent le blocage de l’exécution de processus non fiables et non signés qui s’exécutent à partir de périphériques USB, le blocage de la création de processus enfants par les applications Adobe Reader et Office, ou le blocage de l’utilisation abusive de pilotes signés vulnérables exploités.
Windows Guard
Enfin, DefenderGuard permet aux utilisateurs de contrôler la réactivation automatique des fonctions de protection, de la protection en temps réel, de la protection fournie par le cloud et du pare-feu Windows. Ces fonctions peuvent être désactivées, de sorte qu’elles ne s’activent plus d’elles-mêmes après un certain temps.
Rejoindre un domaine Microsoft Active Directory à partir d'une machine Linux n'est pas toujours facile. Tout d'abord parce la méthode diffère en fonction des distributions, mais également parce qu'il existe plusieurs façons pour joindre un domaine AD.
J'ai découvert l'existance d'un générateur de script bash pour rejoindre un domaine AD avec Winbind ouSSSD.
SSSD vs Winbind ?
Pourquoi utiliser SSSD plutôt que Winbind ? Voilà une très bonne question.
Pour y répondre je vais prendre (volontairement) de gros raccourcis :
Si vous êtes en mono-domaine et mono-forêt alors SSSD est recommandé
En bref : préférez SSSD qui est plus récent que winbind, il est aussi plus sécurisé et s'appuie sur Kerberos. Notez aussi que SSSD ne sait pas dialoguer avec NTLM.
Le générateur de script (de RedHat)
Le script est compatible avec RHEL 7, RHEL 8 et RHEL 9 (et toutes les distributions dérivées de RHEL dans les mêmes versions: Rocky Linux, AlmaLinux, etc).
Malheureusement ce générateur est réservé aux personnes ayant une souscription RedHat. Même si vous profitez des 16 licences développeur gratuites cela ne fonctionnera pas. Mais tout n'est pas perdu. Déjà parce que la documentation officielle RHEL est accessible à tous :
Ce script n'a rien de magique mais il permet aux débutants de ne pas se prendre la tête, grâce aux valeurs saisies en formulaire web et injectés en variables bash. Il fait aussi un backup de vos configurations actuelles par précaution.
Rejoindre un domaine AD à la main avec RHEL 8
Il est tout à fait possible de faire la même chose sans script à la mano.
Dans mon exemple le nom FQDN de mon domaine AD est "BM.LAB", son nom court est "BM" et mon compte permettant de joindre le domaine est "moncompteadmin".
Si vous êtes arrivés à la fin de cet article et que vous vous demandez pourquoi faire rejoindre une machine Linux dans un domaine AD Microsoft ? c'est vrai que j'aurais du commencer par ça.
La réponse : permettre à des utilisateurs de votre domaine AD de se connecter à des machines Linux via SSH, sans devoir le communiquer le mot de passe root ni leur créer de compte locaux. Si vous êtes tout seul à administrer vos serveurs vous n'aurez probablement pas d'intérêt à réaliser cette jointure. En revanche si vous travaillez en équipe alors dès qu'un petit nouveau arrive il vous suffit de l'ajouter dans les bon groupes pour avoir accès aux machines.
D'un point de vue sécurité : si quelqu'un quitte l'entreprise (ou votre équipe) vous n'aurez pas besoin de changer tous les mots de passe root car il ne les connait pas. En effet il a toujours utilisé son compte nominatif pour se connecter
J'espère que cet article vous aura éclairé un peu, c'est un vaste sujet et il est difficile d'en parler sans rentrer dans les détails déjà présents dans la documentation RHEL.
En cas d'erreur de connexion jetez un oeil aus logs dans /var/log/secure sur RHEL ou /var/log/messages sur Debian. Je vous partagerai encore quelques commandes utiles dans un futur article (si j'y pense ^^).
If you are virtualizing critical workloads, you want to ensure they do not fail if a host goes offline. All common platforms offer the capability to operate VMs in a high-availability cluster. Proxmox allows you to install a cluster even in the free version.
Les contrôleurs de domaine Active Directory sous Windows Server sont affectés par un nouveau problème pouvant engendrer une augmentation significative du trafic associé à l'authentification NTLM. Faisons le point sur ce problème.
Une charge plus élevée et des échecs d'authentification NTLM en masse, voici les conséquences d'un nouveau problème découvert sur les contrôleurs de domaine Active Directory. Il est lié aux mises à jour publiées le 9 avril par Microsoft, à l'occasion du Patch Tuesday d'avril 2024.
Par l'intermédiaire d'un nouveau post sur son site Internet, Microsoft a confirmé l'existence de ce problème. L'entreprise américaine apporte la précision suivante : "Ce problème est susceptible d'affecter les organisations qui ont un très faible pourcentage de contrôleurs de domaine primaires dans leur environnement et un trafic NTLM élevé." - En principe, les entreprises qui ont déjà fait le nécessaire pour désactiver NTLM ou réduire son utilisation au minimum, ne sont pas affectées.
Ce problème est présent uniquement sur les contrôleurs de domaine Active Directory sous Windows Server. Voici la liste des versions de Windows concernées, ainsi que les mises à jour à l'origine du bug :
Microsoft travaille à la résolution de ce dysfonctionnement. Aucun correctif n'est disponible pour le moment. La solution temporaire consiste à désinstaller la mise à jour problématique, si vous ne pouvez pas attendre le futur correctif.
Par ailleurs, Windows Server est affecté par un autre problème, causé par les mêmes mises à jour, et qui impacte les connexions VPN. Ce dysfonctionnement concerne aussi Windows 10 et Windows 11, comme nous l'expliquions dans notre précédent article :
Les mises à jour d'avril 2024 pour les systèmes d'exploitation Windows peuvent « casser » les connexions VPN ! Microsoft a confirmé l'existence de ce problème ! Voici ce qu'il faut savoir.
Sur le site de Microsoft, un nouveau problème, intitulé "Les connexions VPN peuvent échouer après l'installation de la mise à jour de sécurité April 2024", a fait son apparition. Microsoft a pris connaissance de ce problème après avoir reçu de nombreux signalements de la part des utilisateurs de Windows. L'entreprise américaine ne donne pas plus de précision, ni même un code d'erreur.
Ce problème affecte aussi bien Windows que Windows Server. Il est lié aux mises à jour publiées par Microsoft le 9 avril dernier, à l'occasion du Patch Tuesday d'avril 2024. Voici un récapitulatif des systèmes impactés et des mises à jour à l'origine du problème :
Pour le moment, Microsoft ne propose pas de correctif : "Nous travaillons à une solution et fournirons une mise à jour dans une prochaine version.", peut-on lire. Des investigations sont en cours et la seule solution temporaire disponible pour les utilisateurs, c'est de désinstaller la mise à jour problématique. Disons que c'est un peu la solution par défaut.
Ce n'est pas la première fois que la fonction VPN de Windows est impactée par une mise à jour. En janvier 2022, une mise à jour pour Windows 10 et Windows 11 était déjà l'origine d'un dysfonctionnement sur le VPN. En effet, à la suite de l'installation de la mise à jour, les connexions VPN L2TP étaient inutilisables.
Vous rencontrez ce problème ? N'hésitez pas à nous le dire en commentant cet article !
Connexion
