Une clé produit (également appelée clé de licence ou clé d’activation) est une série de caractères alphanumériques utilisée pour activer et authentifier un logiciel, généralement lors de son installation. Cette clé est fournie par le fournisseur du logiciel et est unique pour chaque exemplaire du logiciel acheté ou obtenu légalement. Microsoft Office n’échappe pas à la règle et possède aussi une clé produit.
Dans ce tutoriel, je vous donne plusieurs méthodes pour récupérer la clé produit d’Office 2021, 2016, 2019, 2013 ou Microsoft 365.
Comment récupérer la clé produit Office 365, Office 2021, 2016, 2019, 2013
Méthode 1 : vérifier l’emballage du produit ou le reçu de l’e-mail
Dans le monde numérique, il est indispensable de trouver votre clé de produit Microsoft 365 pour pouvoir profiter de ses avantages. Un moyen facile de l’obtenir est de vérifier l’emballage ou le reçu de l’e-mail. Voici comment procéder :
Examinez l’emballage du produit :
Inspectez la boîte ou l’emballage de Microsoft 365 ou Microsoft Office
Vérifiez s’il y a un autocollant/étiquette avec la clé du produit
Décollez-le avec précaution pour obtenir le code
Vérifiez votre boîte de réception :
Ouvrez votre boîte de réception et recherchez un courriel provenant du magasin
Recherchez des mots-clés tels que “clé”, “licence” ou “série” dans l’objet ou le corps du message
Notez le code alphanumérique
Connectez-vous à votre compte :
Si vous l’avez acheté auprès de Microsoft, connectez-vous à votre compte
Allez dans le tableau de bord/l’historique des achats pour trouver la clé
Notez le code unique
Méthode 2 : ProduKey de NirfSoft
ProduKey est un petit utilitaire qui affiche la clé produit de Microsoft Office et Windows. Vous pouvez afficher ces informations pour votre système d’exploitation actuel ou pour un autre système d’exploitation/ordinateur en utilisant les options de la ligne de commande. Cet utilitaire peut être utile si vous avez perdu la clé de produit de votre Windows/Office et que vous souhaitez le réinstaller sur votre ordinateur.
Belarc Advisor est un logiciel gratuit conçu pour analyser un ordinateur et fournir des informations détaillées sur son matériel et son logiciel. Il examine divers aspects du système, tels que la configuration matérielle, les logiciels installés, les mises à jour manquantes, les vulnérabilités de sécurité, les clés de produit des logiciels, etc. Parmi les fonctionnalités, il est aussi capable d‘énumérer les clés produits depuis le menu Software Licences. Vous pouvez utiliser ce logiciel pour trouver la clé produit d’Office.
LicenceCrawler est un logiciel conçu pour aider les administrateurs informatiques et les professionnels de l’informatique à gérer les licences logicielles sur les réseaux d’entreprise. Il analyse les ordinateurs connectés au réseau et recueille des informations sur les licences logicielles installées, y compris les clés de produit, les numéros de série et les informations de licence associées à divers logiciels, tels que les systèmes d’exploitation, les applications bureautiques, les outils de développement, etc.
Dans le cas où vous avez acheté votre licence Office dans Microsoft Store, vous pouvez trouver la clé produit depuis ce dernier. Voici comment faire :
Allez sur www.microsoftstore.com. Dans le coin supérieur droit, sélectionnez “Se connecter” in et entrez l’identifiant et le mot de passe que vous avez utilisés pour acheter Office.
Une fois connecté, sélectionnez votre nom dans le coin supérieur droit, puis sélectionnez “Historique des commandes“.
Localisez l’achat unique d’Office ou l’application Office individuelle, puis sélectionnez “Installer Office” pour afficher votre clé de produit (cela n’installe pas réellement Office). Notez que cette clé de produit ne correspondra pas à la clé de produit affichée sur la page “Compte Microsoft“, services et abonnements. C’est normal.
Comment trouver la licence Office en invite de commandes ou PowerShell
Office 2021, 2016, 2019 et Office 2013
OSPP.VBS (Office Software Protection Platform) est un script utilisé par Microsoft Office pour gérer l’activation des produits Office, tels que Word, Excel, PowerPoint, etc. Il fait partie du système d’activation et de gestion des licences de Microsoft Office. Vous pouvez l’utiliser pour obtenir le statut d’activation de Microsoft Office. Voici comment faire :
Par exemple, sur une version crackée d’OffIce, le type de Licence est Retail Channel avec OOB_GRACE. De plus, le code erreur 0x4004F00C s’affiche.
LICENSE NAME: Office 19, Office19HomeBusiness2019R_Retail edition LICENSE DESCRIPTION: Office 19, RETAIL channel BETA EXPIRATION: 01/01/1601 LICENSE STATUS: ---OOB_GRACE--- ERROR CODE: 0x4004F00C ERROR DESCRIPTION: The Software Licensing Service reported that the application is running within the valid grace period Last 5 characters of installed product key: R62YT
Dans le cas de Microsoft 365, le script à utiliser pour obtenir les informations de licence est différent et se nomme vNextDiag.ps1. Voici comment faire :
Appuyez sur le raccourci clavier
+ X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez “Terminal Windows (admin)“. Plus d’informations : Comment ouvrir Windows Terminal
Puis utilisez les commandes suivantes, selon l’architecture de Windows
cd "c:\Program Files\Microsoft Office\Office16\" ; si Windows 32-bits
cd "c:\Program Files (x86)\Microsoft Office\Office16\" ; si Windows 32-bits
powershell -ep bypass -c ".\vNextDiag.ps1"
Vous utilisez un NAS QNAP ? Veillez à ce qu'il soit à jour, car plusieurs failles de sécurité critiques ont été corrigées ! Elles représentent une menace sérieuse pour votre NAS et vos données. Faisons le point.
En mars dernier, nous avons déjà publié un article au sujet de 3 failles de sécurité critiques découvertes dans le système d'exploitation utilisé par les NAS QNAP. Il s'avère que 3 autres vulnérabilités sont désormais mentionnées dans ce bulletin de sécurité et qu'une autre alerte mentionne 2 failles de sécurité découvertes à l'occasion d'une édition de la compétition de hacking Pwn2Own. L'exploitation de ces vulnérabilités peut permettre à un attaquant d'exécuter des commandes sur le NAS, ce qui pourrait lui permettre de compromettre l'appareil.
Commençons par évoquer les trois failles de sécurité critiques évoquées sur cette page :
CVE-2024-27124 :
Cette vulnérabilité d'injection de commande pourrait permettre à des utilisateurs d'exécuter des commandes sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 7.5 sur 10.
CVE-2024-32764 :
Cette vulnérabilité donne accès à une fonction critique du système sans authentification et pourrait permettre à des utilisateurs standards (sans privilèges élevés) d'accéder à certaines fonctions et de les utiliser, à distance. Ceci est lié au service myQNAPcloud Link. Elle est associée à un score CVSS de 9.9 sur 10.
"Un défaut de contrôle de l’authentification dans myQNAPcloud Link permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’accéder à certaines fonctionnalités critiques.", peut-on lire sur le site du CERT Santé.
CVE-2024-32766 :
Cette vulnérabilité d'injection de commande pourrait permettre à un attaquant non authentifié d'exécuter des commandes arbitraires sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 10 sur 10.
En plus de ces 3 vulnérabilités, voici 2 autres failles de sécurité importantes patchées il y a quelques jours par QNAP :
CVE-2023-51364, CVE-2023-51365 :
Il s'agit de deux vulnérabilités de type "path transversal" permettant à un attaquant de lire le contenu de fichiers protégés, et potentiellement, d'exposer des données sensibles via le réseau. Elles sont associées à un score CVSS de 8.7 sur 10.
Quelles sont les versions affectées ?
Voici la liste des versions affectées, pour chaque système :
QTS 5.x et QTS 4.5.x
QuTS hero h5.x et QuTS hero h4.5.x
QuTScloud c5.x
myQNAPcloud 1.0.x
myQNAPcloud Link 2.4.x
Comment se protéger ?
Pour vous protéger de l'ensemble de ces failles de sécurité, vous devez utiliser l'une de ces versions :
QTS 5.1.4.2596 build 20231128 et supérieur
QTS 4.5.4.2627 build 20231225 et supérieur
QuTS hero h5.1.3.2578 build 20231110 et supérieur
QuTS hero h4.5.4.2626 build 20231225 et supérieur
QuTScloud c5.1.5.2651 et supérieur
myQNAPcloud 1.0.52 (2023/11/24) et supérieur
myQNAPcloud Link 2.4.51 et supérieur
En complément, veillez à utiliser un mot de passe robuste sur vos comptes d'accès au NAS (activez le MFA également), sauvegardez régulièrement vos données et limitez les accès au NAS notamment l'exposition de l'appareil sur Internet.
La chaîne de magasins canadienne "London Drugs" est victime d'une cyberattaque majeure ! Plusieurs magasins sont actuellement fermés à cause de cet incident de sécurité ! Faisons le point.
London Drugs est une grande chaîne de magasins canadiens qui vend des produits divers et variés : des produits de beauté, des outils de jardinage ou encore des ordinateurs. Le site officiel mentionne 80 magasins pour un total de 8 000 employés.
Le 28 avril 2024, les équipes techniques de London Drugs ont fait la découverte d'une intrusion sur leur système informatique. L'information a été révélée dimanche soir dans un e-mail envoyé à CBC/Radio-Canada.
Suite à cette cyberattaque, qualifiée de problème opérationnel, des mesures ont été prises : "London Drugs a immédiatement pris des contre-mesures pour protéger son réseau et ses données", notamment en sollicitant l'aide d'experts externes. De plus, la direction a pris la décision de fermer temporairement tous ses magasins présents dans l'ouest du Canada, pour une durée indéterminée. Il s'agit d'une mesure de précaution et une conséquence de l'indisponibilité éventuelle d'une partie du système informatique. Rien qu'en Colombie-Britannique, London Drugs compte plus de 50 magasins.
Pour le moment, aucune information n'a été publiée quant à l'origine de cette attaque. Nous ignorons s'il s'agit d'un ransomware et s'il y a eu un vol de données.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a mis en ligne un nouveau guide au sujet de la sécurité de l'IA générative ! Un document probablement attendu par de nombreuses organisations et personnes compte tenu de la popularité du sujet !
Ce guide mis en ligne par l'ANSSI est le bienvenu ! Il devrait donc être consulté par toutes les entreprises qui envisagent d'utiliser ou de concevoir une IA générative.
D'ailleurs, c'est quoi exactement l'IA générative ? L'ANSSI nous propose sa définition dans les premières pages de son guide : "L’IA générative est un sous-ensemble de l’intelligence artificielle, axé sur la création de modèles qui sont entraînés à générer du contenu (texte, images, vidéos, etc.) à partir d’un corpus spécifique de données d’entraînement." - Autrement dit, il s'agit d'une IA destinée à différents cas d'usage tels que les Chatbots, la génération de code informatique ou encore l'analyse et la synthèse d'un document.
L'ANSSI insiste sur le fait que la mise en œuvre d'une IA générative peut se décomposer en trois phases :
1 - La phase d'entraînement, à partir d'ensembles de données spécifiquement sélectionnés.
2 - La phase d'intégration et de déploiement.
3 - La phase de production où l'IA est mise à disposition des utilisateurs.
Chacune de ces phases doit être associée à des "mesures de sécurisations spécifiques", notamment en tenant compte de "la sensibilité des données utilisées à chaque étape et de la criticité du système d’IA dans sa finalité.", peut-on lire. La confidentialité et la protection des données utilisées pour l'entraînement initial de l'IA est l'un des enjeux.
Au-delà de s'intéresser à l'IA générative dans son ensemble, ce guide traite de plusieurs scénarios concrets et qui font échos à certains usages populaires actuels.
Scénarios d'attaques sur un système d'IA générative
L'ANSSI évoque également des scénarios d'attaques sur l'IA générative, telles que les attaques par manipulation, infection et exfiltration. Le schéma ci-dessous met en lumière plusieurs scénarios où l'attaquant s'est introduit à différents emplacements du SI (accès à l'environnement de développement, accès à une source de données, accès à un plugin sollicité par le système d'IA, etc.).
Source : ANSSI
Sécurité de l'IA générative : les recommandations de l'ANSSI
Tout au long de ce guide, l'ANSSI a introduit des recommandations. Au total, il y a 35 recommandations à mettre en œuvre pour sécuriser l'intégralité d'un système d'IA générative. Il y a un ensemble de recommandations pour chaque phase du déploiement.
L'ANSSI insiste notamment sur l'importance de cloisonner le système d'IA, de journaliser et de filtrer les accès notamment car les plugins externes représentent un risque majeur, et de dédier les composants GPU au système d'IA. Autrement dit, l'ANSSI déconseille de mutualiser le matériel destinée à l'IA.
Pour consulter ce guide, rendez-vous sur le site de l'ANSSI :
Geekom propose aux lecteurs d'IT-Connect deux codes promotions pour deux modèles de PC : le GEEKOM FUN11 et le GEEKOM FUN9. Le premier bénéficie de 300 euros de remise, tandis que le second bénéficie de 200 euros de remise ! Faisons le point sur ces offres !
La très bonne marque Geekom propose de nombreux modèles de mini PC. Parmi ses différentes gammes, il y a la gamme "FUN" correspondante à des modèles plus imposants puisque leur boitier prend la forme d'un cube. L'avantage : ces boitiers permettent d'intégrer certaines cartes graphiques dédiées en comparaison des mini PC ultra-compacts.
Le Geekom Mini FUN11 est équipé d'un processeur Intel Core i9-11900KB (11 ème génération - 8 coeurs - 16 threads), de 32 Go de RAM (DDR4) et de 1 To de SSD NVMe. La RAM peut être augmentée jusqu'à 64 Go et il y a d'autres emplacements pour disques SSD NVMe. Bien qu'il soit livré sans carte graphique dédiée, il est compatible avec celles de la série AMD Radeon RX 6000 ou la série GeForce RTX 30 (jusqu’à 321 mm).
Par ailleurs, il est équipé du Wi-Fi 6E, du Bluetooth 5.2, d'un port Ethernet RJ45 en 2.5 Gbit/s, ainsi que plusieurs ports USB et USB-C. Il est livré avec le système d'exploitation Windows 11 Pro, que vous pouvez remplacer bien entendu.
Voici un aperçu de ce boitier dont les dimensions sont les suivantes : 386 x 153 x 219 mm.
L'offre spéciale : avec le code "ITPR300" obtenez 300 euros de réduction immédiate ! Le prix passe de 899.00 € à 599.00 € ! De plus, il y a un kit clavier-souris gaming (filaire) d'une valeur de 99.99 € offert ! Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.
200 euros de remise sur le Geekom FUN9
Le Geekom Mini FUN9 est un modèle d'ancienne génération, mais également moins onéreux, qui est tout de même équipé d'un processeur Intel Core i9-9980HK (9 ème génération - 8 coeurs - 16 threads), de 32 Go de RAM (DDR4) et de 1 To de SSD. Sur ce modèle, la RAM peut aussi être augmentée jusqu'à 64 Go et il y a aussi une évolution possible pour le stockage car la fiche technique mentionne ceci : "2 x M.2 2280 PCIe Gen3 * 4 ou SATA3 SSD, jusqu'à 2 To". Il n'est pas livré avec une carte graphique dédiée, mais il est compatible avec celles de la série AMD Radeon RX 6000 ou la série GeForce RTX 30 (jusqu’à 321 mm).
Par ailleurs, il est équipé du Wi-Fi 6, du Bluetooth 5.2, et deux ports Ethernet RJ45 en 1 Gbit/s (contre un seul port en 2.5 Gbit/s pour le premier modèle). À cela s'ajoutent des ports USB, un port USB-C, deux ports Thunderbolt 3, etc. Il est livré avec le système d'exploitation Windows 11 Pro, mais vous pouvez installer l'OS de votre choix.
L'offre spéciale : avec le code "ITPR200" obtenez 200 euros de réduction immédiate ! Le prix passe de 699.00 € à 499.00 € ! En complément, un ensemble clavier-souris sans-fil d'une valeur de 39.99 € est offert ! Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.
An essential step towards automating the Windows setup process is replacing the system drive's interactive partitioning with a script. Microsoft's examples for this purpose rely on batch files and Diskpart. However, installing PowerShell in Windows PE allows for a much more elegant solution.
Depuis janvier 2023, l'authentification basique a été supprimée pour les protocoles POP, IMAP et Active Sync dans Exchange Online. Pour l'envoi des e-mails, le protocole SMTP utilisant l'authentification basique est toujours en vigueur.
Cependant, Microsoft a annoncé la fin de l'authentification basique pour SMTP, prévue pour septembre 2025. Cette modification impactera smtp.office365.com et smtp-legacy.office365.com.
II. Authentification basique vs authentification moderne
A. Fonctionnement authentification basique
L’authentification basique (Basic Authentication en anglais) est une méthode permettant de s’authentifier à un service en envoyant son nom d’utilisateur et son mot de passe. Pour garantir la sécurité des données échangées, le chiffrement TLS est couramment utilisé pour assurer la confidentialité des communications.
L'authentification basique est parfois appelée "proxy authentication" car le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online, qui les transmet (ou "proxy") ensuite au fournisseur d'identités faisant autorité.
Dans un fonctionnement classique, l’authentification basique avec Exchange Online fonctionne comme suit :
Le client de messagerie/application envoie le nom d'utilisateur et le mot de passe à Exchange Online.
Exchange Online envoie le nom d'utilisateur et le mot de passe au fournisseur d’identités Microsoft Entra ID.
Microsoft Entra ID renvoie un ticket utilisateur à Exchange Online et l'utilisateur est authentifié.
Lorsque l'authentification basique est bloquée, elle est bloquée à l‘étape 1.
B. Risques de sécurité de l’authentification basique
L'utilisation de l'authentification basique implique l'envoi des identifiants à chaque requête, ce qui la rend vulnérable aux attaques de type man-in-the-middle. Afin de pouvoir être utilisés à chaque requête, ces identifiants sont donc souvent stockés sur le périphérique.
De plus, l’authentification basique complique, voire rend impossible l'application de l'authentification multifacteur (MFA) selon les cas.
L'authentification basique est donc fréquemment utilisée par les attaquants comme vecteur d'attaque pour contourner certaines politiques de sécurité, notamment pour réaliser des attaques de type brute force sans être bloqués par le MFA.
SMTP est aujourd’hui le dernier protocole Exchange Online qui utilise l’authentification basique. C'est pourquoi Microsoft prévoit de désactiver l’authentification basique pour SMTP en faveur de l’authentification moderne.
C. Authentification moderne
L'authentification moderne est un terme générique défini à l'origine par Microsoft, mais de nombreuses autres entreprises l'utilisent désormais pour décrire les éléments suivants :
- Méthodes d'authentification : vérifier que quelqu'un ou quelque chose est bien ce qu'il prétend être. Notamment via l’authentification multifacteur (MFA), l’authentification par carte à puce, authentification par certificat. OpenIDConnect est la norme la plus largement utilisée pour l’authentification.
- Méthodes d'autorisation : processus de sécurité qui détermine le niveau d'accès d'un utilisateur ou d'un service. OAuth2 est la norme utilisée pour l’autorisation.
- Stratégies d'accès conditionnel : stratégies qui définissent les conditions dans lesquelles certaines mesures supplémentaires doivent être prises pour accéder à une ressource.
À noter qu’il existe d’autres normes qui permettent l’authentification et/ou l’autorisation comme SAML, WS-FED.
III. Agenda étapes avant la désactivation
Microsoft a prévu un planning avant la désactivation afin de laisser le temps aux entreprises de réaliser les changements.
- Septembre 2024 : Microsoft met à jour les rapports pour indiquer si l'envoi SMTP a été réalisé via OAuth ou via l'authentification basique.
Le rapport qui sera mis à jour par Microsoft est celui présent dans le centre d'administration Exchange Online > "Rapports" > "Flux de courrier" > "Rapport sur les clients utilisant l’authentification SMTP".
- Janvier 2025 : les tenants utilisant encore l'authentification basique pour SMTP recevront une alerte dans le Centre de messages Microsoft 365.
- Août 2025 : 30 jours avant la désactivation de l'authentification basique pour SMTP, nouvelle alerte dans le Centre de messages Microsoft 365.
- Septembre 2025 : désactivation définitive de l'authentification basique pour SMTP.
IV. Impacts de la fin de l’authentification basique pour SMTP
Une fois que l'authentification basique est désactivée de manière permanente, tous les clients ou applications qui se connectent en utilisant l'authentification basique pour SMTP recevront cette réponse :
550 5.7.30 Basic authentication is not supported for Client Submission.
Sauf cas très précis, les client Outlook (bureau, web ou mobile) n’utilisent pas le SMTP, ils utilisent MAPI over HTTP. De ce fait, vos utilisateurs ne sont pas impactés par ce changement.
Cependant, il est possible que vous utilisiez SMTP pour différents usages :
Utilisation d’un outil de messagerie qui ne supporte pas MAPI over HTTP
Envoi d’e-mail depuis une application, une imprimante multi-fonction, etc.
Dans ces cas-là, si vous utilisez un compte Exchange Online avec authentification basique, vous êtes probablement à risque et vous devez agir avec l’un des cas suivants.
1. Si votre application prend en charge OAuth, reconfigurez-la en conséquence.
2. Si votre application ne prend pas en charge OAuth, envisagez une des solutions suivantes (liste non exhaustive) :
- Option 2 ou 3 de la documentation Microsoft sur la configuration des applications et multi-fonction. - High Volume Email for Microsoft 365 (pour les e-mails internes uniquement). - Azure Communication Services Email SMTP (pour les e-mails internes et externes). - Serveur de messagerie tiers (Microsoft Exchange, hMailServer ou équivalent sur les autres OS). - Solutions SaaS d'envoi d'e-mails (Brevo, Mailjet, SMTP2Go, PostMark, etc.).
Le code d’erreur Windows 0xc00000e5 fait partie d’une série d’erreurs d’application qui empêchent les utilisateurs de lancer et d’utiliser différentes applications sur leur PC. Il est généralement associé à un message d’erreur indiquant que “l’application n’a pas pu démarrer correctement“. Dans d’autres cas, ce code erreur peut aussi être associé à des problèmes de démarrage de périphérique visible dans le gestionnaire de périphériques.
Ce guide présente les méthodes de dépannage qui peuvent permettre à vos applications de fonctionner à nouveau.
Quelles sont les causes de l’erreur 0xc00000e5 sous Windows ?
Le code d’erreur 0xc00000e5 apparaît pour de nombreuses raisons, mais voici les plus courantes :
Un logiciel antivirus tiers, en particulier ceux de Comodo et d’AVG, bloque l’exécution de l’application, estimant qu’il s’agit d’une menace (faux positif)
Plusieurs programmes antivirus sont exécutés simultanément et des conflits entre eux provoquent l’erreur.
Windows Defender ou une autre application antivirus tierce bloque l’un des fichiers dont l’application a besoin pour fonctionner, ce qui l’empêche de fonctionner correctement
Certains fichiers système dont l’application que vous ouvrez a besoin sont inaccessibles.
Votre antivirus agit de manière anormale en raison d’une infection par un logiciel malveillant, bloquant même des applications et des processus dont l’exécution est tout à fait sûre
Pilotes matériels incompatibles : Des pilotes de matériel incompatibles peuvent provoquer une instabilité du système et faire apparaître le code d’erreur 0xc00000e5
Suivez les solutions suivantes pour résoudre ce problème.
Comment corriger l’erreur 0xc00000e5 dans Windows
Mettre l’application en exception sur votre Antivirus
Si vous ne voulez pas désactiver Windows Defender (ou un autre antivirus) chaque fois que vous voulez exécuter l’application, vous pouvez l’ajouter en tant qu’exclusion. Vous éviterez ainsi les faux positifs pour vos logiciels de confiance.
Chaque antivirus fonctionne différemment, de sorte que l’ajout d’une exclusion varie d’un logiciel à l’autre. La procédure suivante montre comment ajouter une exception dans le cadre de la sécurité Windows. Vous pouvez consulter la documentation d’assistance de votre suite de sécurité sur l’ajout d’exclusions.
Par exemple sur Windows Defender :
Double-cliquez sur l’icône bouclier en bas à droite de l’écran
Les logiciels de sécurité peuvent parfois perturber le fonctionnement de l’ordinateur et être à l’origine de message d’erreur. Si vous avez un antivirus tiers installés, il peut être la source de l’erreur 0xc00000e5 car il va bloquer l’exécution de l’application, par exemple dans le cas d’un faux positif.
Il est recommandé de tester l’exécution de l’antivirus en désactivant les protections ou en désinstallant ce dernier. En général, il suffit de faire un clic droit sur l’icône de l’antivirus en bas à droite de l’écran > Protection > Désactiver la protection en temps réel. Plus de détails dans ce guide : Comment désactiver son antivirus
Exécuter l’application en administrateur
Si le problème de l’application n’est pas lié à Windows Defender ou à un autre logiciel de sécurité, vous pouvez exécuter l’application en tant qu’administrateur. Cependant, l’exécution de l’application avec des droits élevés permet d’accéder aux fichiers système restreints dont elle a besoin pour fonctionner.
Faites un clic droit sur le raccourci ou l’exécutable
Puis “Exécuter en tant qu’administrateur“
Vous pouvez aussi forcer l’exécution d’une application en administrateur. Pour ce faire :
Faites un clic droit sur le raccourci
Puis Propriétés
Cliquez ensuite sur le bouton Avancé
Puis activer l’option Exécuter en tant qu’administrateur.
Une autre teste que vous pouvez essayer, si cela touche une application spécifique est d’exécuter l’application en mode sans échec : Comment démarrer Windows en mode sans échec Si c’est le cas, quelque chose être en conflit en mode normal, tentez de trouver la source.
Mettre à jour les pilotes
Via le gestionnaire de périphériques
via Windows Update depuis le gestionnaire de périphériques de Windows 10/11 :
Faites un clic droit sur le menu Démarrer ou utilisez le raccourci clavier +
X
Réparer les fichiers systèmes manquants ou endommagés
Pour réparer les fichiers systèmes de Windows 10 ou Windows 11, on utilise les utilitaires SFC (vérificateur de fichiers systèmes) et DISM. Ces deux outils s’utilisent en invite de commandes.
Ensuite on peut utiliser DISM pour réparer les images de Windows 10/11. Pour cela, utilisez la commande suivante :
Dism /Online /Cleanup-Image /CheckHealth
Puis enchaînez avec une vérification et réparation des fichiers corrompus et manquants avec l’outil SFC. Pour cela, saisissez :
sfc /scannow
Laisse le vérificateur de fichiers systèmes analyser Windows 10 ou Windows 11. Enfin si des fichiers systèmes sont corrompus, SFC tente de les réparer.
Tester l’exécution de l’application en mode sans échec
Le mode sans échec est un mode restreint et limité de Windows où l’essentiel du système est actif. C’est un bon moyen pour tester si quelque chose provoque des conflits ou des problèmes de fonctionnement. Vous pouvez tester l’exécution l’application en mode sans échec. Pour démarrer dans ce mode : Comment démarrer Windows en mode sans échec
Si cela fonctionne, démarrez en mode minimal — Le but est de désactiver les applications non essentiels pour parvenir à déterminer celle qui pose problème
Solutions générales
Si aucun des correctifs ci-dessus n’a permis de résoudre votre problème, essayez les solutions générales suivantes :
Exécutez une analyse chkdsk pour vous assurer que les secteurs défectueux du disque ne sont pas à l’origine de l’erreur
Maintenez votre système d’exploitation Windows à jour : Paramètres > Windows Update > Rechercher les mises à jour
Environ 1 000 serveurs exposés sur Internet sont vulnérables à une faille de sécurité critique présente dans l'application CrushFTP ! Elle a déjà été exploitée par les cybercriminels en tant que zero-day ! Voici ce qu'il faut savoir.
La faille de sécurité CVE-2024-4040 dans CrushFTP
Il y a quelques jours, une faille de sécurité critique a été découverte dans l'application CrushFTP, qui, comme son nom l'indique, permet de mettre en place un serveur FTP.
Associée à la référence CVE-2024-4040, elle permet à un attaquant distant et non authentifié de lire des fichiers présents sur le serveur, d'outrepasser l'authentification pour obtenir les droits admins et d'exécuter du code arbitraire sur le serveur. Autrement dit, si un serveur est vulnérable, il peut être totalement compromis par cette faille de sécurité et un attaquant peut en prendre le contrôle.
Un rapport publié par Rapid7 met en avant le fait que cette vulnérabilité est facilement exploitable : "L'équipe de recherche sur les vulnérabilités de Rapid7 a analysée la CVE-2024-4040 et a déterminé qu'elle ne nécessite aucune authentification et exploitable de manière triviale."
Par ailleurs, d'après CrowdStrike, cette vulnérabilité a déjà été exploitée en tant que faille de sécurité zero-day dans le cadre d'attaques, notamment pour compromettre les serveurs CrushFTP de plusieurs organisations aux États-Unis.
Quelles sont les versions vulnérables ? Comment se protéger ?
La vulnérabilité CVE-2024-4040 affecte toutes les versions de CrushFTP antérieures à 10.7.1 et 11.1.0, sur toutes les plateformes sur lesquelles l'application est prise en charge. Autrement dit, pour vous protéger, vous devez passer sur l'une des deux nouvelles versions publiées par CrushFTP : 10.7.1 ou 11.1.0.
"Les versions de CrushFTP v11 inférieures à 11.1 présentent une vulnérabilité qui permet aux utilisateurs d'échapper à leur VFS et de télécharger des fichiers système. Cette vulnérabilité a été corrigée dans la version 11.1.0.", peut-on lire sur le site officiel.
Environ 1 000 serveurs vulnérables
D'après le moteur Shodan.io, il y a 5 215 serveurs CrushFTP accessibles sur Internet, aux quatre coins du globe. Néanmoins, ceci ne donne pas le nombre de serveurs vulnérables.
Pour obtenir des informations plus précises, il faut se référer la carte publiée par The Shadowserver accessible à cette adresse. La carte a été actualisée le 27 avril 2024 et elle permet de connaître le nombre de serveurs CrushFTP vulnérables par pays.
Voici quelques chiffres clés :
États-Unis : 569
Allemagne : 110
Canada : 85
Royaume-Uni : 56
France : 24
Australie : 20
Belgique : 19
Suisse : 13
Tous les administrateurs de serveurs CrushFTP sont invités à faire le nécessaire dès que possible ! Cette vulnérabilité représente un risque élevé.
Git est un système de contrôle de version distribué, conçu pour suivre les modifications dans les fichiers et coordonner le travail sur ces fichiers entre plusieurs personnes
git clone est une commande Git utilisée pour créer une copie d’un dépôt distant sur votre machine locale. Elle télécharge essentiellement l’ensemble du dépôt, y compris tous ses fichiers, ses branches et l’historique des livraisons. Vous pouvez en avoir besoin pour récupérer un dépôt public sur GitHub ou si vous êtes un développeur pour obtenir une copie d’un projet.
Dans ce tutoriel, je vous explique comment utiliser la commande git clone.
Comment cloner un dépôt git
Voici la syntaxe générale de la commande git clone :
git clone <repository_URL>
Par exemple, si vous voulez cloner un dépôt hébergé sur GitHub, vous utiliserez :
git clone git://github.com/<nom dépôt>.git
Cette commande créera un nouveau répertoire sur votre machine locale avec le même nom que le dépôt et téléchargera tout son contenu dans ce répertoire.
Si vous souhaitez spécifier un nom de répertoire différent, vous pouvez le faire en l’ajoutant comme argument supplémentaire après l’URL du dépôt :
git clone <dépôt_URL> <nom_repertoire>
Comment cloner un dépôt, y compris ses sous-modules (récursif)
Un submodule (sous-module) est un référentiel Git intégré à un autre référentiel Git plus large. Lorsque vous clônez un référentiel qui contient des sous-modules, ces sous-modules sont initialement configurés pour pointer vers une version spécifique (commit) dans leur référentiel d’origine.
Si vous souhaitez cloner un dépôt git tout en clonant également ses sous-modules, vous devez ajouter l’option –recurse-submodules :
Si vous souhaitez cloner et mettre à jour les sous-modules à leur dernière révision, ajoutez la commande –remote-submodules. Celle-ci va mettre à jour les sous-modules d’un référentiel pour pointer vers les dernières révisions disponibles dans leurs référentiels distants. Cela signifie qu’au lieu de pointer vers une révision spécifique (commit) dans le même référentiel parent, les sous-modules pointeront vers les révisions les plus récentes de leur référentiel distant.
Pour cloner une branche spécifique avec Git, vous pouvez utiliser la commande git clone suivie de l’URL du référentiel, puis vous pouvez spécifier la branche que vous souhaitez cloner en utilisant l’option -b ou –branch suivi du nom de la branche.
Voici la syntaxe générale :
git clone -b <URL_du_référentiel>
Par exemple, si vous souhaitez cloner la branche develop d’un référentiel, vous pouvez utiliser la commande suivante :
Cela va cloner le référentiel et basculer automatiquement sur la branche develop après le clonage. Si vous ne spécifiez pas la branche à cloner, Git clonera automatiquement la branche par défaut, souvent master ou main , selon la configuration du référentiel.
Si vous avez déjà cloné le référentiel et que vous souhaitez basculer vers une branche spécifique après le clonage, vous pouvez utiliser la commande git checkout après avoir cloné le référentiel :
git clone https://github.com/utilisateur/nom_du_repos.git cd nom_du_repos git checkout
Cela va cloner le référentiel et basculer sur la branche spécifiée après le clonage.
Comment cloner un dépôt à distant par SSH
Vous pouvez aussi cloner un dépôt distant disponible par SSH. Voici la syntaxe générale :
Lorsque vous git clone, git fetch, git pull ou git push vers un référentiel distant à l’aide d’URL SSH, vous êtes invité à entrer un mot de passe et vous devez fournir la phrase secrète de votre clé SSH. Pour plus d’informations, consultez « Utilisation des phrases secrètes de clé SSH ».
Dans cet article, nous allons découvrir le Mini PC Geekom IT13 dans sa version la plus puissante dotée d'un processeur Intel Core i9 de 13ème génération, de 32 Go de RAM et de 2 To de SSD. D'autres versions de ce modèle sont proposées avec des processeurs Intel Core i5 et Intel Core i7.
Nous allons passer en revue les caractéristiques techniques, le design et la qualité du boitier, ainsi que les possibilités d'évolution. Forcément, cet article va évoquer les performances de ce Mini PC à la configuration très musclée !
Sur le marché des Mini PC, la marque Geekom est incontournable et elle s'est imposée comme un acteur majeur au niveau mondial. Elle a été créée en 2003 et la direction R&D de Geekom est située à Taiwan. En complément, la marque a plusieurs succursales dans différents pays du monde.
Commençons par découvrir les caractéristiques principales de ce modèle :
Processeur : Intel Core i9-13900H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,40 GHz)
GPU : Intel Iris Xe
RAM : 32 Go DDR4-3200, extensible jusqu'à 64 Go
Stockage : 2 To de SSD NVMe (Gen.4) + 1 emplacement pour SSD SATA au format M.2 (2242 - Jusqu'à 1 To) + 1 emplacement vide pour disque 2.5 pouces (2 To max.)
Connectique : 3 x ports USB 3.2 Gen 2 + 1 x port USB 2.0 + 2 x ports USB 4 + 1 prise casque Jack 3.5 mm + 1 x slot pour une carte SD + 1 x interface réseau LAN 2.5 GbE + 2 x ports HDMI 2.0 + 1 x port d'alimentation
Affichage : prise en charge jusqu'à 4 écrans.
WiFi 6E (AX211), Bluetooth 5.2
Alimentation : 19V, 6,32A DC - 120W
Poids : 652 grammes
Dimensions (L x W x H) : 117 mm x 112 mm x 49,2 mm
Système d'exploitation : Windows 11 Pro
Garantie : 3 ans
Comme vous le voyez, la fiche technique est très alléchante ! Entre l'Intel Core i9, l'interface réseau 2.5 GbE, l'USB4 et le WiFi 6E, nous sommes servis ! J'insiste aussi sur la présence d'une garantie constructeur de 3 ans.
Deux autres versions du modèle Geekom IT13 sont disponibles :
Intel Core i7-13700H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,00 GHz) avec 32 Go de DDR4 + un SSD NVMe de 1 To
Intel Core i5-13500H (12 Cœurs, 16 Threads, 24 Mo de cache, jusqu'à 4,70 GHz) avec 16 Go de DDR4 + un SSD NVMe de 512 Go
III. Package et design
Il est temps de déballer ce Mini PC pour voir à quoi ils ressemblent. L'emballage est très soigné et la boite nous donne un aperçu plus précis sur la connectique de ce modèle et le positionnement des différents ports. À l'intérieur, le Mini PC est parfaitement protégé par un bloc en mousse rigide. En dessous de lui, nous avons l'ensemble des accessoires.
Au final, voici les éléments inclus par Geekom : un Mini PC IT13, un câble HDMI, une alimentation externe et son câble, une plaque VESA (et les vis) permettant d'accrocher le mini PC à l'arrière d'un écran (support VESA), une notice (qui explique comment ajouter un disque, comment utiliser le support VESA, etc.), ainsi qu'une lettre de remerciement pour l'achat. Un kit complet !
Regardons de plus près ce boitier. Premier constat : les finitions sont excellentes et la qualité de fabrication rassurante. C'est vraiment un beau boitier. Ce boitier n'est pas gris : Geekoma fait le choix d'opter pour un boitier coloris gris-bleu.
Sur la façade, nous retrouvons deux ports USB, dont un port USB 3.2 Gen2 avec PowerDelivery (PD) et un port USB 3.2 Gen2 (sans PD). Ils sont accompagnés par la prise casque et le bouton Power. Sur le côté droit du boitier, nous avons une fente de verrouillage Kensington, tandis que sur le côté gauche, nous avons un slot pour insérer une carte SD.
À l'arrière du boitier, nous avons tout le reste de la connectique, dont les deux ports USB4 au format USB-C avec PowerDelivery. Pour rappel, le débit théorique de l'USB4 est de 40 Gbps. Au total, nous avons à notre disposition 6 ports USB, dont un port USB 2.0 (un intrus ?), ce qui est confortable et rare sur ce type de PC (c'est plus souvent 4).
La connectique est surplombée par l'aération du dissipateur thermique pour permettre l'évacuation de l'air chaud par l'arrière, tandis que l'air pourra rentrer de chaque côté du boitier grâce aux aérations. La technologie de refroidissement baptisée GEEKCOOL se veut particulièrement silencieuse : 43.6 dBA, lorsque le matériel est fortement sollicité.
Sur le dessus du boitier, la marque est inscrite, tandis qu'en dessous, nous avons une étiquette avec diverses informations (modèle, adresse MAC, numéro de série, etc.) et nous constatons la présence de patins antidérapants. Les 4 vis que vous apercevez permettent d'ouvrir le boitier facilement et rapidement. Elles restent « accrochées » au support amovible, ce qui évite de les égarer.
Il est important de préciser que ce boitier est à la fois en métal et en plastique. Les composants sont protégés par une cage métallique, tandis que la coque du boitier est en plastique. Cette illustration montre bien la conception de ce boitier :
Comme je l'évoquais précédemment, le boitier s'ouvre facilement puisqu'il y a seulement 4 vis à retirer et elles sont directement accessibles. C'est l'occasion de jeter un coup d'œil à l'intérieur du boitier et de connaitre le type de SSD et de RAM.
Un SSD NVMe de marque ACER, avec la référence N5000CN-2TB, d'une capacité de 2 To (pour lequel je ne suis pas parvenu à trouver d'informations supplémentaires).
Deux barrettes de RAM de marque Wooposit : 16 Go Rx8 - PC4-3200AA-S-11. Soit 32 Go au total. Il est possible de passer sur 64 Go de RAM, mais ceci implique de remplacer les deux barettes déjà présentes car les deux slots sont occupés.
L'ajout d'un disque SATA au format 2.5 pouces s'effectue directement au sein de la cage métallique intégrée à la partie amovible du boitier (partie de gauche sur la première photo ci-dessous). De plus, nous pouvons ajouter un disque SSD SATA M.2 supplémentaire, grâce à l'emplacement disponible entre le SSD NVMe et les barrettes de RAM.
Les composants sont facilement accessibles et identifiables, donc vous n'aurez aucun mal à remplacer la RAM ou la mémoire SSD, que ce soit en cas de panne ou pour passer sur d'autres références.
IV. Évolutivité et performances
A. Mise en route et évolutivité
Mettons en route le mini PC IT13 de chez Geekom ! La première chose à effectuer après avoir branché les périphériques, c'est finir l'installation du système Windows 11 Pro ! Nous retrouvons les étapes et questions habituelles propres au fonctionnement du système Windows 11. Il est tout à fait possible d'utiliser un compte local ou un compte Microsoft, au choix.
À première vue, il s'agit d'une image officielle de Windows 11 Pro qui n'a pas été personnalisée par Geekom. Nous retrouvons uniquement les applications natives ajoutées par Microsoft.
Le mini-PC est livré avec 32 Go de RAM en DDR4, mais une mise à niveau est possible. Le processeur i9 de ce modèle supporte 96 Go de RAM, et Geekom annonce une prise en charge jusqu'à 64 Go. Cela veut dire que nous pouvons doubler la RAM actuellement présente dans le mini PC, à condition de remplacer les deux barrettes de RAM. Si vous souhaitez utiliser ce PC pour de la virtualisation, cela peut s'avérer utile !
Voici des détails techniques obtenus avec le logiciel CPU-Z :
Sur ce mini PC, vous pouvez connecter jusqu'à 4 écrans en exploitant les deux ports HDMI et les deux ports USB4. Sur les deux ports HDMI 2.0, vous pouvez bénéficier d'un affichage 4K @ 60 Hz, tandis qu'on est sur un affichage à 8K @ 30 Hz sur les ports USB4.
Comme je l'évoquais précédemment, ce mini PC peut également accueillir 1 SSD SATA au format M.2 (2242 - Jusqu'à 1 To) et 1 disque 2.5 pouces (2 To max.).
En résumé, l'évolutivité est possible au niveau du stockage et de la RAM, tout en sachant que le processeur est très performant et qu'il y a un port Ethernet en 2.5 Gbit/s qui offre de belles possibilités !
B. Performances
Ce mini PC, avec un boitier très compact, est propulsé par un processeur Intel Core i9 de 13ème génération lancé au premier trimestre 2023. Le modèle i9-13900H a14 cœurs et 20 threads, 24 Mo de cache et sa fréquence maximale en mode Turbo est 5,40 GHz.
Commençons par mesurer les performances du disque SSD NVMe intégré à l'ordinateur.
Les performances de ce disque SSD NVMe sont excellentes ! Un copier-coller de gros fichiers en local (de disque à disque, sur le même volume), est effectué avec une vitesse moyenne de 1.82 Go/s ! En 56 secondes, j'ai pu dupliquer une bibliothèque d'images ISO de 101 Go !
Voici un benchmark du disque effectué avec Crystal Disk Mark :
CrystalDiskInfo
Voici une analyse CrystalDiskInfo du disque SSD NVMe présent dans ce PC :
Geekbench
J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur ces pages :
Pendant le stress test du CPU (charge à 100%), le ventilateur s'emballe de façon cyclique, de façon à gérer la température du CPU et du boitier. Le mini PC perd en discrétion à ce moment-là, et la soufflerie est clairement audible. Au ralenti, lorsque la machine est peu sollicitée, les ventilateurs sont vraiment très discrets et ne vous gêneront pas du tout. Il n'y a qu'au tout début du démarrage du PC où la ventilation n'est pas discrète, mais il est probable que ce soit un "auto-test" du matériel à son lancement.
D'après HWMonitor, lorsque le mini PC est allumé sans être sollicité, la température du CPU est de 40°C, dans une pièce où il fait 25 degrés. Pendant le stress test du CPU, la température du CPU monte en flèche jusqu'à 100.0°C (au bout de quelques secondes) puis elle descend jusqu'à 85°C et ensuite, c'est stable tout au long du stress CPU. La machine semble bien gérer le stress CPU, ce qui m'a plutôt rassuré. Geekom semble aussi confiant sur ce point grâce à sa technologie Geekcool.
Que peut-on faire et ne pas faire avec ce modèle ?
Grâce à son excellent processeur, ce mini PC est super à l'aide pour de la bureautique et le multimédia (tout dépend du niveau d'exigence pour le GPU). Que ce soit pour la lecture de vidéos, le montage vidéo basique, la navigation sur Internet, etc... Il fonctionne parfaitement, tout en étant silencieux. Grâce à ses 32 Go de RAM et son Intel Core i9, il est à l'aise avec le multi-tâches.
Sur un modèle comme celui-ci, dépourvu de GPU dédié, la principale limitation, c'est la puce graphique intégrée. Ici, un iGPU "Intel Iris Xe", tout de même plus performant que son prédécesseur Intel UHD Graphics. Si vous êtes prêts à faire quelques concessions sur les graphismes des jeux-vidéos, en diminuant la qualité et en désactivant certaines options, vous pourrez jouter en Full HD à certains jeux. J'ai testé GTA V et l'expérience est bonne. Le jeu est très fluide, avec la désactivation de certains effets visuels.
Voici un aperçu avec deux copies d'écran :
V. Conclusion
Ce mini PC, très compact et très léger, car il ne pèse que 652 grammes, est une excellente surprise ! À ce jour, le Geekom IT13 dans sa version avec un Core-i9 est probablement l'un des plus puissants des mini PC ! En attendant la prochaine génération !
Son design, son format et son Intel Core i9-13900H sont de gros atouts pour ce modèle ! À cela s'ajoutent une connectique ultra-complète et correspondante aux besoins actuels des utilisateurs les plus exigeants, ce qui en fait un mini PC polyvalent. Cette fiche technique solide fait que ce PC répondra aux besoins de nombreux utilisateurs pendant plusieurs années.
À l'inverse, la partie graphique (iGPU) est en retrait par rapport au reste, sans surprise, mais elle n'est pas mauvaise pour autant. Bien que le port USB 2.0 puisse surprendre, il peut être utile pour connecter un dongle USB sans utiliser un autre port. Enfin, si vous recherchez un appareil ultra-discret, sachez que son ventilateur a tendance à s'emballer par moment, notamment lorsqu'il est fortement sollicité (charge CPU élevée).
Le Geekom IT13 avec le Core i9 est proposé à 849,00 euros. C'est logique, compte tenu du tarif du processeur en lui-même. Une bonne alternative peut être de s'orienter vers la version équipée d'un Core i5.
Offre spéciale sur le Geekom IT13
Profitez de 5% de réduction sur Amazon.fr ou sur la boutique officielle de Geekom, en utilisant les liens et codes ci-dessous.
Dans cet article, nous allons évoquer un phénomène courant dans la majorité des organisations et qui représente un risque réel pouvant exposer une entreprise à une cyberattaque : le Shadow IT.
Nous commencerons par définir ce qu'est le Shadow IT, avant d'évoquer les risques associés pour une organisation. Puis, la dernière partie de l'article s'intéressera à l'analyse de la surface d'attaque externe d'une organisation pour démontrer son importance vis-à-vis du Shadow IT.
II. Qu'est-ce que le Shadow IT ?
Le Shadow IT appelé aussi Rogue IT, que l'on peut traduire en français par "Informatique fantôme" ou "Informatique parallèle", est un terme faisant référence à l'utilisation de logiciels et applications dans le dos du service informatique. Autrement dit, le service informatique n'est pas au courant que certains utilisateurs font usage de tel service ou telle application. Cela signifie que les processus de validation et d'implémentation ont été esquivés, volontairement ou non, par les utilisateurs.
Le Shadow IT fait également référence aux systèmes oubliés ou non référencés : il peut s'agir d'un PoC mené par le service informatique en lui-même, sous la forme d'un environnement de tests. Celui-ci peut rester actif bien au-delà de la phase d'expérimentation et s'il n'est pas correctement isolé de la production, ou pire encore, s'il est exposé sur Internet, peut représenter un risque.
En réalité, le Shadow IT est devenu un phénomène courant en raison de la prolifération des applications et services, dont certains sont très faciles à utiliser et à appréhender pour les utilisateurs. Les services Cloud, proposé en tant que solution SaaS, sont un bon exemple, pour ne pas dire le meilleur exemple.
Cependant, le Shadow IT est associé à un ensemble de risques, notamment en matière de sécurité, de conformité et de gestion de l'information. C'est ce que nous allons évoquer dans la prochaine partie de l'article.
III. Les risques associés au Shadow IT
La sécurité
Par définition, les applications déployées sans l'approbation du service informatique ne respecteront pas les normes de sécurité de l'entreprise. Autrement dit, ils ne seront pas correctement configurés, ni même sécurisés, et potentiellement, les données ne seront pas sauvegardées. Au fil du temps, si ces applications ne sont pas suivies, elles peuvent être vulnérables à une ou plusieurs failles de sécurité que les cybercriminels peuvent exploiter. Ceci est d'autant plus vrai et critique s'il s'agit d'un système exposé sur Internet.
Les données
Au-delà des risques relatifs à l'absence de contrôle de sécurité (configuration, suivi des mises à jour, etc.), le Shadow IT représente un réel risque pour la gestion des données de l'organisation. En effet, les données peuvent être stockées dans des endroits non sécurisés : absence d'authentification (dépôt public), connexion non chiffrée, mauvaise gestion des permissions, etc. Par ailleurs, l'entreprise peut perdre le contrôle des données concernées et ne plus savoir où elles se situent. Tôt ou tard, ceci peut engendrer une fuite de données si un tiers non autorisé parvient à accéder à ces données.
La conformité et le RGPD
Il existe également un lien étroit entre la notion de conformité et le Shadow IT, notamment vis-à-vis du RGPD. Pour rappel, le RGPD (Règlement Général sur la Protection des Données) est une législation de l'Union européenne qui vise à protéger les données personnelles des citoyens de l'UE. Il exige un suivi strict et précis des données personnelles traitées par les entreprises.
Cela signifie que l'organisation doit avoir connaissance de l'endroit où les données sont stockées et qui y a accès. Des principes contraires à la problématique du Shadow IT puisque les données peuvent être stockées sur des systèmes non approuvés ou peut-être même non conforme au RGPD. En cas de violation de données, l'entreprise peut être tenue responsable et être sanctionnée par une amende. L'aspect conformité peut également être associé à la gestion des licences et aux conditions d'utilisation d'un service ou d'une application.
En résumé
En résumé, avec le Shadow IT, il n'y a pas que des dommages techniques et cela peut être beaucoup préjudiciable pour l'entreprise. Le Shadow IT peut être à l'origine d'un problème de sécurité (intrusion, fuite de données, etc.) pouvant engendrer une indisponibilité de tout ou partie de l'infrastructure de l'entreprise. Dans ce cas, il y aura un impact financier pour l'organisation et son image de marque sera également entachée.
IV. L'analyse de la surface d'attaque externe
Compte tenu des risques représentés par le Shadow IT, il est crucial pour les entreprises de prendre les dispositions nécessaires pour protéger leurs données. Au-delà de mettre en place des procédures strictes, une organisation peut adopter un outil d'analyse de la surface d'attaque externe (EASM) afin d'obtenir une cartographie précise des assets exposés sur Internet. Ils représentent un risque important et peuvent être utilisés comme vecteur d'attaque initial, au même titre que les e-mails de phishing.
Nous pouvons voir plusieurs avantages à l'utilisation de l'EASM pour lutter contre le Shadow IT :
- Identifications des actifs (assets) non autorisés : l'analyse effectuée par l'outil EASM peut identifier tous les actifs associés à une organisation, qu'ils soient autorisés ou non. Autrement dit, cette analyse sera utile pour découvrir de façon proactive les systèmes, applications et services utilisés sans l'approbation de la direction informatique.
- Suivi continu : le processus de découverte régulier de la solution d'EASM assure une surveillance continue. C'est important pour réduire au maximum le délai entre le moment où l'actif est mis en ligne et le moment où il est détecté. Ainsi, l'organisation, par l'intermédiaire de son équipe technique, peut réagir rapidement pour minimiser les risques.
- Évaluation des risques : chaque actif identifié sera passé en revue et évalué pour déterminer les risques potentiels qui lui sont associés. Ceci permettra d'identifier ses faiblesses, notamment les problèmes de configuration, les vulnérabilités, etc... Comme le ferait un pentester.
En identifiant les vulnérabilités et les risques associés à chaque système et service exposé, l'outil EASM vous aidera à prendre les mesures nécessaires et les bonnes décisions. Dans le cas du Shadow IT, cela peut induire la désactivation du système non autorisé ou la conservation du système sous réserve que sa configuration soit révisée (hardening du système, par exemple).
En plus de l'analyse de la surface d'attaque externe, les organisations peuvent traquer le Shadow IT grâce à :
La formation des employés pour les informer des risques associés au Shadow IT, mais aussi, pour leur expliquer les processus de validation internes de l'entreprise. Par exemple, la procédure à respecter pour demander l'accès à une application ou un service. Ceci est valable aussi pour le service informatique en lui-même : aucun passe-droit et ils doivent veiller à la bonne application de ces processus.
La gestion des appareils et des autorisations : les outils de gestion des appareils et des applications mobiles peuvent aider à déployer des applications, mais aussi, des politiques pour accorder et refuser certaines actions. Cela peut aussi permettre de contrôler quels appareils et applications ont accès aux données de l'organisation.
La surveillance et audit du réseau et des systèmes pour détecter les flux et les événements inhabituels.
Le dialogue entre le service informatique et les salariés, ainsi que les responsables de service, joue un rôle important, au-delà des solutions techniques. L'origine du Shadow IT peut être lié à un contentieux entre un salarié et le service informatique.
V. Conclusion
Le Shadow IT doit être pris au sérieux. Ne fermez pas les yeux sur cette informatique déjà dans l'ombre par définition. Cherchez plutôt à mettre en lumière les services, les applications et les systèmes utilisés sans l'approbation de l'équipe IT afin de prendre les bonnes décisions. La formation, la sensibilisation et l'écoute pourront aussi permettre de limiter la tentation des utilisateurs.
Cet article contient une communication commerciale.
Pour utiliser Windows dans Linux, vous avez la solution VirtualBox. Mais grâce à Dockurr, nouveau projet open source, vous pouvez exécuter Windows à l’intérieur d’un conteneur Docker sans avoir à franchir de nombreuses étapes. De plus, le conteneur fournit une connexion VNC et RDP notamment accessible par un simple navigateur internet. Enfin les performances sont bonnes grâce à l’accélération KVM (Kernel Virtual Machine).
Dans ce tutoriel, je vous guide pour exécuter Windows, Tiny11, Tiny10 dans un conteneur Linux (Docker) avec Dockurr.
Qu’est-ce que Dockurr?
Dockurr est un projet libre et gratuit qui permet d’exécuter des installations de bureau Windows client et Windows Server dans un environnement de conteneur Docker. Il vous permet également de le faire sur un hôte Docker Linux qui ne pourrait normalement exécuter que des conteneurs Linux. En utilisant l’accélération KVM, il vous permet d’exécuter des conteneurs Windows sur un hôte de conteneur Linux sans avoir besoin d’installer et de démarrer Docker Desktop ou d’autres problèmes de compatibilité qui sont typiques avec le mélange de systèmes d’exploitation entre Linux et Windows.
Il fournit également une connexion VNC au conteneur pendant le processus d’installation. Il vous permet également de vous connecter via le protocole de bureau à distance (RDP) à l’installation Windows exécutée dans Docker.
Quelles sont les configurations de distribution Windows prises en charge ?
Windows 11 Pro
Windows 10 Pro
Windows 10 LTSC
Windows 8.1 Pro
Windows 7 SP1
Windows Vista SP2
Windows XP SP3
Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2008 R2
Tiny 11 Core
Tiny 11
Tiny 10
Installer la machine virtuelle à noyau (KVM)
Dans un premier temps, Docker doit être installé sur votre appareil en Linux. Si ce n’est pas le cas, vous pouvez consulter ce guide : Comment installer Docker sur Linux Ensuite, vous devez installer KVM (Kernel Virtual Machine) et qemu :
Exécutez la commande suivante à partir de la ligne de commande pour installer KVM. Assurez-vous d’être root ou de faire partie du groupe d’utilisateurs sudo :
Télécharger Dockurr dans un conteneur et lancer Windows dans un conteneur Docker
Après avoir installé KVM sur notre hôte Docker Linux, nous pouvons maintenant lancer le conteneur Docker appelé Dockurr, qui utilise l’isolation de KVM. Deux manières sont possibles, par docker run ou par docker compose.
La méthode docker run est la plus automatisé et rapide. Voici comment faire :
Dans mon cas, j’ai du passer la commande suivante pour autoriser les sockets Docker à être utilisé par les utilisateurs Linux
sudo chmod 666 /var/run/docker.sock
Vous pouvez utiliser la commande docker run à partir de l’interface de commande de docker pour exécuter le conteneur :
docker run -it --rm --name windows -p 8006:8006 --device=/dev/kvm --cap-add NET_ADMIN --stop-timeout 120 dockurr/windows
La méthode par docker compose vous permet de modifier le fichier de configuration si vous souhaitez installer une autre version de Windows ou modifier la configuration du réseau (voir fin de ce guide). Voici comment faire :
Cloner le dépôt Git :
git clone https://github.com/dockur/windows.git
Modifiez le fichier compose.yml si besoin (voir plus bas)
Puis exécutez le conteneur :
cd windows
docker-compose up -d
L’image de Windows se télécharge puis l’installation de l’OS s’effectue.
Après avoir utilisé les commandes ci-dessus pour installer la solution Dockurr, vous pouvez vous connecter au conteneur sur votre hôte de conteneur en vous connectant à votre hôte de conteneur dans un navigateur sur le port 8006 pour l’accès à l’interface utilisateur.
Lorsque vous démarrez la configuration de conteneur par défaut, elle tire une image Docker Windows 11. Notez l’exemple de configuration Docker compose ci-dessous :
Ensuite une phase d’extraction du fichier win11x64.esd
Puis l’image de Windows 11 est construire
Ensuite qemu exécute l’installeur de Windows 11, la copie de fichiers s’effectuent
Une fois l’installation terminée, l’utilisateur se connectera automatiquement en utilisant le nom d’utilisateur docker
Voila, Windows s’exécute dans un conteneur Docker.
Ici nous utilisons le navigateur internet pour se connecter via VNC, mais vous pouvez aussi prendre la main sur Windows par RDP, avec par exemple le bureau à distance. Le port utilisé est celui par défaut, à savoir le port 3389.
Exécuter différentes images du système d’exploitation Windows dans Docker
Comme mentionné en introduction, plusieurs versions de Windows sont supportés. Par défaut, c’est Windows 11 qui est installé, mais vous pouvez modifier la partie suivante du fichier compose.yml pour changer la version de Windows :
environment: VERSION: "win11"
Vous pouvez utiliser les désignateurs suivants dans la variable d’environnement pour indiquer la version de Windows que vous souhaitez lancer (win11, win10, ltsc10, win7, etc.) dans la liste d’informations ci-dessous :
Valeur
Description
Source
Transfert
Taille
win11
Windows 11 Pro
Microsoft
Rapide
6,4 Go
win10
Windows 10 Pro
Microsoft
Rapide
5,8 Go
ltsc10
Windows 10 LTSC
Microsoft
Rapide
4,6 Go
win81
Windows 8.1 Pro
Microsoft
Rapide
4,2 Go
win7
Windows 7 SP1
Bob Pony
Moyen
3,0 Go
vista
Windows Vista SP2
Bob Pony
Moyen
3,6 Go
winxp
Windows XP SP3
Bob Pony
Moyen
0,6 Go
2022
Windows Server 2022
Microsoft
Rapide
4,7 Go
2019
Windows Server 2019
Microsoft
Rapide
5,3 Go
2016
Windows Server 2016
Microsoft
Rapide
6,5 Go
2012
Windows Server 2012 R2
Microsoft
Rapide
4,3 Go
2008
Windows Server 2008 R2
Microsoft
Rapide
3,0 Go
core11
Tiny 11 Core
Archive.org
Lent
2,1 Go
tiny11
Tiny 11
Archive.org
Lent
3,8 Go
tiny10
Tiny 10
Archive.org
Lent
3,6 Go
Les versions de Windows supportées par Dockurr
Outre les versions de Windows que vous pouvez installer par défaut, vous pouvez également utiliser des images personnalisées pour vos supports Windows. Il suffit de définir l’emplacement web de l’ISO personnalisée de Windows comme suit :
Vous avez la possibilité de modifier la configuration de l’hôte Windows.
Configurer le réseau
Par défaut, les conteneurs utilisent un réseau ponté qui utilise l’adresse IP de l’hôte Docker. Cependant, selon les détails de la documentation. Si vous souhaitez connecter vos conteneurs Windows à un réseau spécifique en production, vous pouvez le faire avec une configuration supplémentaire. Vous pouvez changer cela manuellement :
Il y a quelques jours, une nouvelle version d'Harden AD a été publiée ! L'occasion d'évoquer les nouveautés intégrées à la version 2.9.8 de cette solution destinée à sécuriser votre infrastructure basée sur l'Active Directory.
Au fait, c'est quoi Harden AD ?
Harden AD est le projet phare de la communauté Harden, qui est représentée par une association loi 1901 (à but non lucratif). Depuis ses premières versions, son objectif reste le même : permettre aux organisations d'améliorer la sécurité de leur système d'information en s'appuyant sur l'Active Directory.
Harden AD est là pour faire gagner du temps aux équipes techniques, en plus de leur fournir une ligne directrice grâce à toutes les règles prédéfinies dans l'outil. Ces règles sont en adéquation avec les recommandations de l'ANSSI et de Microsoft, mais elles sont également basées sur l'expérience des experts Active Directory de la communauté Harden. Autrement dit, cet outil facilite le hardening de l'Active Directory.
Si cet outil est disponible pour tout le monde, c'est parce qu'il y a cette volonté de le rendre accessible à toutes les typologies d'organisation : la sécurité d'un SI n'est pas que l'affaire des grandes organisations, et trop de TPE et PME font l'impasse sur ce sujet par manque de budgets et connaissances. Pourtant, vous le savez, de par sa fonction, l'Active Directory est la pierre angulaire de nombreux systèmes d'information.
Intéressons-nous aux nouveautés introduites à la version 2.9.8 de l'édition communautaire d'Harden AD. Désormais, lors de l'exécution du script PowerShell principal, nommé "HardenAD.ps1", vous avez la possibilité de passer des paramètres ! Trois paramètres sont actuellement pris en charge :
-EnableTask : ceci vous permet d'activer une ou plusieurs séquences de tâches, sans modifier le fichier XML de configuration. Autrement dit, l'outil peut être exécuté afin d'effectuer la configuration d'un ou plusieurs "modules".
-DisableTask : sur le même principe que pour le paramètre précédent, mais dans le but de désactiver une ou plusieurs séquences de tâches. Si elle est combinée à l'activation, la désactivation l'emporte.
-NoConfirmationForRootDomain : évite de valider le nom de domaine.
Par ailleurs, la fonction destinée à gérer le groupe des administrateurs locaux des machines a été révisée afin d'être découpée en trois scripts PowerShell et d'être configurée via des fichiers au format XML. Ceci laisse le choix entre l'utilisation de la configuration prédéfinie dans l'outil et la déclaration d'une configuration sur-mesure.
L'équipe d'Harden AD a également entamé un gros travail d'optimisation et de rationalisation sur le fichier "TasksSequence_HardenAD.xml". Il joue un rôle clé dans le fonctionnement d'Harden AD, car il référence tous les paramètres de configuration et leur valeur. Cette simplification permettra de prendre en main l'outil plus facilement et d'avoir moins de valeur à adapter manuellement.
Enfin, une nouvelle GPO a été ajoutée et une autre GPO existante a été révisée.
HAD-UNC-Hardened-Path : une nouvelle GPO, liée à l'OU "Domain Controllers", dont l'objectif est d'activer les chemins UNC durcis pour les partages "SYSVOL" et "NETLOGON".
HAD-LoginRestrictions-{tier} : le paramètre "Deny Network Logon" a été remplacé afin de ne plus refuser les autres comptes Admin de Tier, mais seulement le compte Guest (Invité). L'objectif étant d'apporter un peu de souplesse aux équipes techniques, tout en maintenant un niveau de sécurité pertinent et adapté. Ce paramètre impactait "quotidiennement les actions techniques, telles que l'ajout d'une imprimante sur un ordinateur ou l'application d'un rafraîchissement des stratégies de groupe à partir de la console GPMC", peut-on lire dans le changelog.
Pour en savoir plus sur cette version, et pourquoi pas tester Harden AD, rendez-vous sur le GitHub officiel :
Microsoft will retire the Role-Based Access Control (RBAC) application impersonation role in Exchange Online in May 2024. Applications widely use this role in Exchange Online as it enables them to impersonate users in the tenant to perform actions on behalf of the users. You must migrate all your applications from using this role to other options. This article will explore Microsoft's reasoning behind this move and the current alternatives.
Sur le forum, dans les sujets de lenteurs de PC, on trouve souvent des utilisateurs qui ont plusieurs navigateurs internet tels Chrome, Firefox, Edge, Brave et parfois Opera. En fait, il existe de nombreuses bonnes raisons d’avoir deux navigateurs ou plus que vous utilisez régulièrement.
Dans ce guide, je vous donne les avantages mais aussi les désavantages d’installer plusieurs navigateurs internet.
Pourquoi installer plusieurs navigateurs internet
Multiplier les fonctionnalités
Même si les navigateurs internet on tendance à se copier entre eux pour proposer une forme de standard, il existe aussi beaucoup de différence en terme de fonctionnalités. Parfois ils ont leurs propres identités. Par exemple, Firefox et Brave sont très axés sur la protection de la vie privée. Chrome intègre les services Google de manière très poussé. Vivaldi propose le plus de personnalisation possible. Enfin Edge propose les services Microsoft et est réputé pour être le plus rapide.
De plus parfois, certaines extensions ne sont pas disponibles sur tous les navigateurs internet.
Séparer vos activités sur internet
Lorsque vous utilisez plusieurs navigateurs internet, les données du navigation (cookie, histoire de navigation, cache internet, …) sont séparés. C’est aussi le cas des comptes internet auxquels vous vous connectez. Ainsi, une autre raison qui peut vous pousser à installer différents navigateurs internet est la possibilité de compartimenter vos activités. Par exemple, vous pouvez avoir un navigateur internet pour surfer sur internet au quotidien avec des extensions de protection de la vie privée. Un autre navigateur internet avec des réglages plus permissifs pour se connecter à votre site de votre banque, effectuer des opérations administratives, …
Si vous avez une activité personnel et activité, utiliser deux navigateurs internet est aussi utile pour séparer vos activités. C’est particulièrement vrai si votre employeur vous donne une adresse électronique professionnelle et des identifiants de connexion à plusieurs services et outils. Si vous vous connectez à votre compte Gmail personnel et à votre compte Gmail professionnel dans le même navigateur, vous risquez de manquer des messages, d’envoyer des courriels à partir du mauvais compte ou de mélanger d’autres choses importantes parce que vous vous êtes connecté par inadvertance au mauvais compte Google. Cela est aussi vrai si vous utilisez YouTube à des fins personnels et professionnels, cela évite de mélanger votre historique de recherche.
Si vous n’utilisez qu’un seul navigateur pour stocker vos informations, vous risquez de rencontrer des difficultés pour supprimer certaines données lorsque cela est nécessaire. Vous devrez passer en revue chaque élément et supprimer les informations manuellement au lieu d’effacer toutes les données. En utilisant plusieurs navigateurs et en répartissant les activités entre eux, il est facile de supprimer certaines données d’un simple clic.
Améliorer votre vie privée
L’utilisation de plusieurs navigateurs permet de répartir tous ces traqueurs effrayants dans plusieurs endroits différents, ce qui réduit considérablement la marge de manœuvre des mineurs de données. De plus, si vous avez un pseudonyme en ligne pour des raisons de confidentialité, le fait d’avoir un navigateur à utiliser exclusivement pour ce personnage permet de réduire la quantité de données mélangées entre votre personnalité humaine réelle et votre identité en ligne. Toutefois, vous devriez envisager d’investir dans un VPN de qualité si vous souhaitez un masquage plus complet.
De plus, vous vous configurer un navigateur internet de manière très restrictives même si cela pose des problèmes d’affichages car vous ne l’utilisez que certains sites précis (banques, administratif, etc).
Pourquoi ne faut-il PAS installer plusieurs navigateurs internet
Le principal problème que pose la multiplications des navigateurs internet sont des lenteurs du PC. Lorsque vous installez un navigateur internet, ce dernier ajoute un service Windows de mise à jour qui consomme des ressources systèmes.. Ce dernier s’exécute en arrière-plan et les mises à jour peuvent intervenir à n’importe quel moment. Par exemple au démarrage de l’ordinateur ce qui peut ralentir le démarrage du PC. Ils peuvent aussi de déclencher pendant que vous jouez et poser des freez ou baisse des FPS.
Sur des ordinateurs qui commencent à vieillir, cela peut avoir un impact non négligeable.
Ainsi, si vous n’utilisez pas un navigateur internet, vous pouvez le désinstaller.
Mercredi 24 avril 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI : 10.0.15. Au-delà de corriger quelques bugs, cette mise à jour corrige également deux failles de sécurité ! Faisons le point.
Deux vulnérabilités de type "injection SQL" ont été découvertes dans l'application GLPI. Elles sont toutes les deux considérées comme importantes :
CVE-2024-31456 : injection SQL à partir de la fonction de recherche dans la carte (nécessite d'être authentifié)
CVE-2024-29889 : prise de contrôle d'un compte via une injection SQL présente dans la fonction de recherche sauvegardée
Une injection SQL peut permettre à un attaquant d'exécuter des requêtes SQL arbitraires dans la base de données de l'application. Cela peut lui permettre de lire, modifier ou supprimer des données dans l'application, et donc, de compromettre l'application.
Les versions 10.0.0 à 10.0.14 de GLPI sont affectés par ces vulnérabilités. Vous pouvez récupérer cette nouvelle version sur le GitHub du projet GLPI, via cette page, et consulter l'article publié sur le site de Teclib pour en savoir plus sur cette nouvelle version.
Les dernières mises à jour de GLPI
Voici un historique des dernières versions mineures les plus récentes de GLPI 10, avec de nombreuses failles de sécurité découvertes et corrigées :
GLPI 10.0.14 - Sortie le 14 mars 2024 - Cette version corrige un bug gênant introduit par la version 10.0.13
GLPI 10.0.13- Sortie le 13 mars 2024 - Cette version corrige 6 failles de sécurité
GLPI 10.0.12 - Sortie le 1er février 2024 - Cette version corrige 2 failles de sécurité
GLPI 10.0.11 - Sortie le 11 décembre 2023 - Cette version corrige 3 failles de sécurité
GLPI 10.0.10 - Sortie le 25 septembre 2023 - Cette version corrige 10 failles de sécurité
Comment effectuer la mise à jour de GLPI ?
Si vous avez besoin d'aide pour mettre à jour GLPI, référez-vous à notre tutoriel via le lien ci-dessous :
IBM a profité de la présentation de ses résultats financiers pour annoncer un rachat important : celui d'HashiCorp pour un montant de 6,4 milliards de dollars. Faisons le point sur cette annonce !
Si vous ne connaissez pas HashiCorp, sachez que c'est une entreprise américaine à l'origine plusieurs produits très populaires, notamment Terraform, Packer, Vagrant, ainsi qu'une solution de gestion des secrets HashiCorp Vault. Les spécialistes et amateurs d'Infrastructure-as-Code ne diront pas le contraire. HashiCorp se félicite de ses résultats : "Nous sommes fiers de compter plus de 450 millions de téléchargements des produits communautaires gratuits de HashiCorp au cours de notre exercice fiscal 2023.", peut-on lire sur le site officiel.
À l'occasion de la présentation des résultats de son 1er trimestre fiscal 2024, le géant IBM a annoncé un accord pour l'acquisition d'HashiCorp pour un montant de 6,4 milliards de dollars. Il est important de préciser que cette acquisition a été validée par les conseils d'administration des deux sociétés. Cette opération reste soumise à la validation des actionnaires et d'autres étapes administratives sont encore à effectuer : l'opération devrait être finalisée d'ici fin 2024.
Concrètement, HashiCorp va devenir une division à part entière, sous IBM Software. Des produits et services continueront d'être développés sous le nom d'HashiCorp, comme c'est le cas actuellement. Mais, alors, qu'est-ce que ça change ?
Pour IBM Software, l'acquisition d'HashiCorp sera un atout stratégique et Red Hat devrait en profiter pour aller encore plus loin dans la gestion automatisée des infrastructures. Cela devrait aussi renforcer ses capacités en matière de Cloud hybride. Red Hat qui est d'ailleurs impliqué dans le développement d'un autre outil très populaire : Ansible.
D'après Arvind Krishna, le CEO d'IBM, avec cette acquisition, IBM espère créer "une plateforme cloud hybride complète conçue pour l'ère de l'IA" en alliant ses forces à celles d'HashiCorp. Il semblerait que l'IA soit l'une des raisons pour lesquelles IBM a pris la décision d'effectuer l'acquisition d'HashiCorp.
Dans cet article, nous allons découvrir les fonctionnalités gratuites de la CrowdSec Console, qui se présente comme une solution de Threat Intelligence complète et simple d'utilisation accessible avec un tableau de bord en ligne.
Cette solution va, d'une part, nous permettre d'en savoir plus sur la réputation des adresses IP grâce à la Threat Intelligence. D'autre part, elle offre une vue d'ensemble sur les activités malveillantes détectées et bloquées par vos éventuelles instances CrowdSec protégées par cet IDS/IPS. Lisez la suite de cet article pour en savoir plus et effectuer une prise en main complète de cette console !
Avant de commencer, voici nos précédents articles au sujet de CrowdSec :
II. Les fonctionnalités gratuites de la console CrowdSec
A. Créer un compte
La première étape consiste à créer un compte CrowdSec Console : vous avez seulement besoin d'une adresse e-mail valide. Pour accéder directement à la page d'inscription, suivez ce lien :
Après avoir indiqué une adresse e-mail et un mot de passe, cliquez sur "Sign up" afin de recevoir un e-mail avec un lien de validation.
Dès que c'est fait, vous avez accès à la console CrowdSec à partir de votre nouveau compte ! Lors de la première connexion, on vous posera deux questions : le type de votre organisation et le nombre de salariés. Rien de plus.
B. Les fonctionnalités principales
Avant de créer un compte sur la Console CrowdSec, vous souhaitez probablement en savoir plus sur les fonctionnalités offertes par cette console ! Nous allons évoquer les fonctionnalités gratuites et accessibles à tous. Au-delà d'avoir une vue d'ensemble sur vos serveurs où CrowdSec est déployé, ce compte vous donne accès à la Cyber Threat Intelligence de CrowdSec, ainsi qu'à diverses listes d'adresses IP malveillantes que vous pouvez pousser vers vos instances CrowdSec.
Voici un récapitulatif :
Surveiller les serveurs où CrowdSec est déployé et inscrits à la console
Vous pouvez obtenir l'état et la version du moteur CrowdSec sur le serveur, obtenir la liste des scénarios actifs, ainsi que la liste des bouncers actifs sur ce serveur. Vous avez également accès à différentes métriques telles que le nombre d'alertes.
Synthèse des alertes sur l'ensemble de vos instances CrowdSec
La Console CrowdSec indique le nombre d'alertes par instance et donne accès à un ensemble de statistiques et graphes. Il est possible de visualiser les informations pour une instance ou plusieurs instances, sur une période plus ou moins longue, grâce à un système de filtres. La version gratuite donne accès aux données sur les 7 derniers jours (et 500 alertes).
Ainsi, vous pouvez en apprendre davantage sur le profil des attaquants : adresses IP, pays d'origine, fournisseurs de service, niveau d'agressivité, type d'attaques, etc. Ceci étant lié à la Threat Intelligence évoquée ci-dessous.
CrowdSec Threat Intelligence
La Console CrowdSec donne accès aux informations de la Cyber Threat Intelligence (CTI) de CrowdSec, appelée judicieusement CrowdSec Threat Intelligence. Ceci permet d'en savoir beaucoup plus sur les adresses IP malveillantes, grâce aux signaux collectés à partir des serveurs de CrowdSec et des milliers d'instances déployées par la communauté.
Ces informations sont précieuses et elles permettent de répondre à différentes questions. Par exemple : si une adresse IP s'attaque à votre serveur depuis plusieurs heures ou jours, s'agit-il d'une attaque ciblée à l'encontre de mon organisation ou tout simplement une adresse IP agressive à la recherche d'une opportunité ? Il pourrait s'agir d'une adresse IP qui effectue un scan constant d'Internet à la recherche de serveurs exposés et pas suffisamment sécurisés. Dans la CTI, si l'adresse IP est déjà connue, elle sera catégorie et vous pourrez en savoir plus à son sujet.
Il y a deux manières d'accéder à ces informations : effectuer une recherche sur l'adresse IP de votre choix, grâce à une zone de recherche, ou cliquer sur l'adresse IP associée à une alerte sur votre instance CrowdSec.
Les blocklists d'adresses IP
Quand vous installez CrowdSec, vos instances bénéficient des listes noires d'adresses IP détectées par la communauté CrowdSec. Ceci protège vos serveurs équipés de CrowdSec, mais bien que continuellement mises à jour, ces listes ne sont pas exhaustives. Aucune liste n'est exhaustive de toute façon, d'où l'intérêt de combiner plusieurs sources. C'est là que les blocklists tierces proposées par CrowdSec interviennent en complément de quelques blocklists estampillées "CrowdSec Premium" (réservées aux utilisateurs de la version Enterprise).
Avec la version gratuite, vous pouvez vous abonner à trois blocklists et les affecter à vos instances CrowdSec.
C. Quels sont les plus de la version Enterprise ?
Sans surprise, la version Enterprise fait sauter un ensemble de brides associées à la version gratuite. Nous pouvons citer quelques exemples : elle donne accès à la rétention des données sur 1 an au lieu de 7 jours, autorise la création de plusieurs utilisateurs et organisations, et permet de s'abonner à un nombre illimité de blocklists. De plus, vous avez accès à un support professionnel, en direct, et n'êtes pas limité au serveur Discord de la communauté CrowdSec.
Autre avantage de cette version payante, c'est qu'elle vous permet de gérer les décisions de vos instances à partir de la console CrowdSec. Ainsi, vous pouvez ajouter une adresse IP à la console CrowdSec pour pousser vers vos instances afin qu'elle soit bloquée. À l'inverse, vous pouvez supprimer une décision (c'est-à-dire le ban sur une adresse IP, par exemple), à partir de la console CrowdSec.
Pour comparer les différentes offres de CrowdSec et en savoir plus sur les tarifs, consultez cette page :
III. Les avantages de connecter ses instances CrowdSec à la console
Dans cette partie de l'article, nous allons déployer CrowdSec sur une machine Windows Server 2022 puis nous allons inscrire cette instance dans la Console CrowdSec pour voir quels bénéfices nous pouvons en tirer.
A. Déployer CrowdSec sur Windows Server 2022
Si vous n'avez jamais déployé CrowdSec, la Console est un bon point de départ, car elle vous guide dans ce déploiement qui s'effectue en trois étapes :
1 - Installer CrowdSec "Security Engine" sur le serveur (composant principal).
2 - Installer le "Bouncer" pour permettre le blocage des adresses IP.
3 - Enregistrer l'instance CrowdSec dans la console.
La console CrowdSec contient différents liens pour vous orienter dans la documentation.
Sur le serveur Windows Server 2022, nous allons installer CrowdSec après l'avoir téléchargé à partir du GitHub officiel. L'installation s'effectue en quelques clics.
Suite à l'installation, la configuration de CrowdSec sera accessible dans le répertoire suivant :
C:\ProgramData\CrowdSec
Ensuite, nous devons installer le bouncer "Windows Firewall", ce qui va permettre de bloquer les adresses IP malveillantes grâce à des règles de refus créées dans le pare-feu Windows Defender. Il a besoin du Runtime .NET en version 6 pour fonctionner.
Nous allons télécharger le fichier "cs_windows_firewall_installer_bundle.exe" dans sa dernière version, pour ensuite effectuer l'installation. Ce fichier, qui contient le mot "bundle", englobe à la fois le bouncer et le Runtime .NET. L'installation s'effectue en quelques clics.
Deux nouveaux services sont désormais présents sur la machine Windows :
B. Inscrire l'hôte à la console CrowdSec
Pour enregistrer la nouvelle instance dans la console CrowdSec, nous devons exécuter la commande fournie sur l'interface de la console :
cscli console enroll clv3tfwqb001fjv083qftmaxd
Sachez que vous pouvez compléter cette commande, notamment en précisant le nom sous lequel vous souhaitez effectuer cet enregistrement. Sinon, elle va remonter avec un nom aléatoire, ce qui peut être gênant si vous envisagez d'inscrire plusieurs instances. Néanmoins, sachez que le nom peut être changé à tout moment, comme nous le verrons par la suite.
Une fois que c'est fait, relancez le service CrowdSec :
Restart-Service CrowdSec
Voici un exemple :
Du côté de la console CrowdSec, nous devons approuver cette demande d'inscription via le bouton "Accept enroll".
Désormais, l'instance CrowdSec déployée sur le serveur Windows Server est inscrite dans la console. Nous pourrions en ajouter d'autres sur le même principe.
Le nom de l'instance n'étant pas très évocateur, nous allons le modifier en choisissant "Edit name or tags" après avoir cliqué sur le widget de l'instance.
Ici, nous allons choisir le nom "WS-2022-IIS" car c'est le nom d'hôte du serveur. Puis, nous pouvons ajouter des tags. Cette fonctionnalité est pratique pour catégoriser vos instances selon différents critères : système d'exploitation, rôle, etc.... Vous pouvez nommer ces tags comme vous le souhaitez. Dans l'exemple ci-dessous, je crée 2 tags : "OS" et "Type".
Il ne reste plus qu'à cliquer sur "Update" pour valider. C'est plus propre, désormais :
C. S'abonner à une blocklist d'adresses IP malveillantes
La prochaine étape va consister à nous abonner à une blocklist supplémentaire afin de bloquer des adresses IP malveillantes connues, avant même qu'elles aient une chance de s'en prendre à notre serveur. Après avoir cliqué sur l'instance, nous cliquer sur "Browse available blocklists" pour accéder à la liste des blocklists.
Ici, nous retrouvons une liste de blocklists, avec une description associée à chacune d'elles. Il y a également des statistiques intéressantes : le nombre total d'adresses IP dans cette blocklist et le nombre actuel d'abonnés, ce qui indique la popularité de cette blocklist.
Nous allons cliquer sur le bouton "Subscribe" au niveau de la blocklist nommée "Firehol cybercrime tracker list". Elle contient des adresses IP malveillantes associées à des serveurs de Command and Control (C2) utilisés par des attaquants.
Le fait de cliquer sur "Subscribe" nous donne accès à différents insights très intéressants au sujet de cette blocklist !
False positives : la liste est fiable, car il n'y a eu aucun faux positif signalé.
Already reported IPs : le pourcentage d'adresses IP présentes dans cette blocklist et déjà identifiée par des utilisateurs de CrowdSec.
Exclusivity : le pourcentage d'exclusivité, c'est-à-dire le pourcentage d'adresses IP présentes uniquement dans cette blocklist. Ici, c'est très élevé, donc nous avons tout intérêt à l'utiliser pour renforcer la protection de notre serveur.
Top behaviors / Top classifications : le top des attaques effectuées par les adresses IP présentes dans cette liste, et dans quel but.
Ces indicateurs permettent d'évaluer la pertinence d'une blocklist vis-à-vis d'une autre et ajoutent de la transparence à la Console CrowdSec.
Tout en bas de la page, nous allons cliquer sur le bouton "Add Security Engine(s)" puis sélectionner notre instance. Nous devons également choisir un type d'action à appliquer à ces adresses IP : "Ban" permet de bannir les adresses IP de cette blocklist. Une fois que c'est fait, il ne reste plus qu'à valider.
Voilà, notre serveur "WS-2022-IIS" est désormais abonné à cette blocklist ! Au passage, l'image ci-dessous nous permet de voir quels sont les pays les plus ciblés par les adresses IP contenues dans cette liste.
IV. Analyser une adresse IP avec CrowdSec Threat Intelligence
Au quotidien, la Console CrowdSec vous permettra d'avoir un œil sur les attaques et les scans identifiés et bloqués par vos serveurs. La liste des décisions et des alertes est accessible en mode console (via le jeu de commandes "cscli") mais aussi via l'interface de la console.
Dans l'exemple ci-dessous, nous pouvons constater que l'adresse IP "52.186.17.219" a été bannie par CrowdSec, car elle a effectué des actions suspectes sur le service Web de mon serveur, en plus d'un brute force sur le service RDP.
Pour en savoir plus sur cette adresse IP et notamment savoir "A quoi elle correspond" et si elle est connue pour effectuer de nombreuses attaques, il suffit de cliquer dessus. Autrement dit, nous allons pouvoir en apprendre plus sur la réputation de cette adresse IP.
Nous sommes directement redirigés vers la Threat Intelligence de CrowdSec où nous pouvons visualiser un ensemble d'insights associés à cette adresse IP. Ici, l'adresse IP apparaît comme inconnue et nous n'apprenons pas grand-chose à son sujet : c'est normal, j'ai effectué ce scan du service web à partir d'un serveur que je contrôle et cette adresse IP n'est pas utilisée à des fins malveillantes, sauf pour cette démonstration.
Néanmoins, dans un cas réel, cela ne veut pas dire que ce n'est pas une adresse IP dangereuse : si l'adresse IP en question remonte souvent dans les alertes et qu'elle semble cibler votre serveur en particulier, il pourrait s'agir d'une attaque ciblée. Méfiance, donc.
Les choses ont évoluées au bout de plusieurs heures. Après avoir effectué plusieurs tests de scans de port et tentatives de brute force, depuis cette adresse IP et à destination de mon serveur "WS-2022-IIS". Comme le montre l'image ci-dessous, nous pouvons voir que la Threat Intelligence de CrowdSec commence à dresser le profil de cette adresse IP. Par exemple, l'adresse IP est désormais connue pour effectuer des attaques par brute force.
Sans parler des alertes et décisions de notre instance, nous pouvons solliciter la Threat Intelligence de CrowdSec pour obtenir des informations sur une adresse IP. Prenons l'exemple de l'adresse IP suivante : "193.142.146[.]226".
Nous allons cliquer sur "CrowdSec Threat Intelligence" dans le menu, saisir cette adresse IP et cliquer sur le bouton "Search" pour lancer une recherche à son sujet. Dans ce nouvel exemple, nous utilisons l'interface Web de la console CrowdSec, mais il y a également une API et des intégrations avec d'autres solutions (OpenCTI, Splunk SIEM, TheHive, etc.).
Sur le même principe que pour l'exemple précédent, nous obtenons un ensemble d'indicateurs. Sauf qu'ici, il s'agit d'une adresse IP malveillante avec une très mauvaise réputation. Nous avons des informations plus précises et un historique très complet sur les activités malveillantes initiées depuis cette adresse IP.
Nous pouvons constater que cette adresse IP est très active et agressive depuis plusieurs mois. De plus, nous pouvons constater qu'elle est déjà référencée dans la blocklist "Firehol cybercrime tracker list" à laquelle notre serveur est abonné ! C'est une bonne nouvelle, puisque cela veut dire que cette adresse IP est déjà bloquée sur notre serveur grâce au fait qu'il soit abonné à cette liste.
Sachez que même si vous ne déployez pas CrowdSec sur vos serveurs, vous pouvez tout de même créer un compte CrowdSec Console pour solliciter la "CrowdSec Threat Intelligence" afin d'obtenir des renseignements sur une adresse IP. Vous pouvez effectuer 10 requêtes par cycle de 2 heures.
V. Conclusion
Suite à la lecture de cet article, vous avez une vue d'ensemble des principales fonctionnalités offertes par la CrowdSec Console ! Grâce à la Threat Intelligence, elle a une réelle valeur ajoutée dans le suivi des menaces et sur l'activité associée à chaque adresse IP publique. Que vous soyez ou non utilisateur de la solution CrowdSec Security Engine, elle peut vous être utile !
Cet article contient une communication commerciale.
Connexion
