FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 17 mai 2022IT-Connect

Comment sauvegarder et restaurer une base de données avec Mysqldump ?

17 mai 2022 à 09:30

I. Présentation

Dans ce tutoriel, nous allons voir comment sauvegarder et restaurer une base de données MySQL (ou plusieurs bases de données MySQL) à partir de l'utilitaire mysqldump. Il s'agit d'un utilitaire livré avec MySQL / MariaDB et qui s'utilise en ligne de commande.

Cet utilitaire est intéressant pour réaliser des sauvegardes d'une ou plusieurs bases de données d'une instance MySQL (ou MariaDB), mais également pour transférer une base de données d'un serveur MySQL à un autre (lors d'une migration, par exemple).

Pour cette démonstration, j'utilise MariaDB 10.5 sur un serveur Debian 11, mais cela fonctionne aussi avec les autres versions et d'autres distributions. Sachez également que mysqldump fonctionne sur Windows.

II. Sauvegarder une base de données avec mysqldump

Comme je le disais en introduction, mysqldump est inclus nativement avec MySQL et MariaDB, donc pour l'utiliser il suffit de l'appeler dans la console. À la suite du nom, il faudra préciser les options que l'on souhaite utiliser, et là, il y a du choix. Toutes les options sont listées dans la documentation officielle (lien).

mysqldump <options>

Voyons comment utiliser mysqldump au travers différents exemples....

A. Sauvegarder une BDD spécifique avec mysqldump

Partons du principe que l'on souhaite sauvegarder une base de données spécifique, identifiée par son nom, à l'aide de mysqldump. Dans cet exemple, je vais sauvegarder la base de données nommée "wordpress" de mon serveur MySQL, au sein d'un fichier SQL qui sera stocké dans "/home/flo", ce qui donne :

mysqldump -u root -p wordpress > /home/flo/wordpress.sql

Il faudra indiquer le mot de passe "root" afin de pouvoir réaliser la sauvegarde. On peut voir que l'on précise le fichier de sortie grâce au caractère ">" suivi du chemin vers le fichier. Dans le cas où l'authentification réussie, la sauvegarde sera effectuée. Si vous souhaitez que le nom soit daté avec la date du jour et que cela soit dynamique, c'est possible :

mysqldump -u root -p wordpress > /home/flo/wordpress-$(date +%Y%m%d).sql

Cela va donner le fichier suivant pour le 9 mai 2022 (le format est adaptable en jouant sur la structure de la commande date ci-dessus) :

wordpress-20220509.sql

Avec cette syntaxe, il sera nécessaire de créer la base de données avant de pouvoir réimporter les données (dans le cas où l'on restaure la BDD sur un autre serveur, ce sera indispensable). Si l'on souhaite que la base de données soit recréée automatiquement, il faut ajouter l'option "--databases" comme ceci :

mysqldump -u root -p --databases wordpress > /home/flo/wordpress-$(date +%Y%m%d).sql

Dans le même esprit, on peut supprimer la base de données existante pour qu'elle soit recréée lors de la restauration via l'option "--add-drop-dabatase" qui va permettre d'ajouter une requête "DROP DATABASE IF EXISTS" dans le dump SQL. Cette option doit être utilisée conjointement avec "--databases".

mysqldump -u root -p --databases wordpress --add-drop-dabatase > /home/flo/wordpress-$(date +%Y%m%d).sql

B. Sauvegarder plusieurs BDD spécifiques avec mysqldump

Dans le même principe, on peut sauvegarder non pas une, mais plusieurs bases de données spécifiques de notre instance MySQL. Pour cela, ce n'est pas utile d'exécuter plusieurs fois la commande mysqldump en modifiant le nom. Par exemple, on peut sauvegarder les bases de données "wordpress" et "moodle" dans le même fichier de sortie "wordpress-et-moodle.sql" de cette façon :

mysqldump -u root -p --databases wordpress moodle > /home/flo/wordpress-et-moodle.sql

Facile, n'est-ce pas ? Grâce à cette commande, on obtient un dump de nos deux bases de données dans un même fichier SQL.

C. Sauvegarder toutes les bases de données avec mysqldump

Il est possible d'aller encore plus loin : sauvegarder toutes les bases de données de notre instance MySQL en une seule fois ! Pour réaliser ce tour de magie, il suffit d'utiliser le paramètre "--all-databases" comme ceci :

mysqldump -u root -p --all-databases > /home/flo/all-databases.sql

Toujours sur le même principe, le mot de passe sera demandé, puis le dump sera effectué.

D. Comment créer des fichiers de sauvegardes indépendants ?

Je peux comprendre que ce ne soit pas très pratique d'avoir toutes les informations des bases de données dans le même dump (même si cela n'empêche pas de restaurer une seule base de données). Grâce à un petit script bash et une boucle for, on peut variabiliser le nom des bases de données et exécuter un mysqldump sur chaque base avec un fichier de sortie différent. En fait, on peut utiliser la commande ci-dessous pour récupérer le nom de toutes les bases de données de notre instance : une liste que l'on peut exploiter dans notre boucle for !

mysql -e 'show databases' -s --skip-column-names

Ensuite, voici un script Bash (à améliorer à votre convenance) pour réaliser la sauvegarde de chaque base de données dans le répertoire "/home/flo" au sein d'un fichier SQL indépendant :

#!/bin/bash
for database in $(mysql -e 'show databases' -s --skip-column-names); do
   echo "Sauvegarde de $database";
   mysqldump -u root -p $database > "/home/flo/$database.sql";
done

Pour ma part, ce fichier s'appelle "mysqldump-loop.sh" donc avant de l'exécuter, il faut lui ajouter les droits d'exécution :

cd /home/flo
chmod +x mysqldump-loop.sh

Puis, on l'exécute pour déclencher une sauvegarde :

./mysqldump-loop.sh

III. Restaurer une base de données avec mysqldump

Nous venons de voir différentes manières de sauvegarder une base de données avec mysqldump. Désormais, nous allons faire l'opération inverse afin de restaurer une base de données via mysqldump. Pour restaurer la base de données sur un serveur MySQL différent du serveur source, vous pouvez copier le fichier SQL au travers du réseau via SCP, à condition qu'un accès SSH vers le serveur distant soit possible.

A. Restaurer une seule base de données avec mysqldump

Tout d'abord, nous allons voir qu'il est possible de restaurer la base de données "wordpress" que l'on a sauvegardée précédemment. Pour restaurer la base de données, nous allons utiliser le fichier "wordpress.sql" qui est un dump uniquement de cette BDD.

mysql -u root -p wordpress < wordpress.sql

Il est possible que cette commande vous indique que la base de données n'existe pas (tout dépend comment est fait le dump). Dans ce cas, il faudra créer la base de données avant de pouvoir importer les données.

Sans ouvrir une console MySQL interactive, on peut exécuter une requête sur l'instance pour créer la base de données en amont :

mysql -u root -p -e "CREATE DATABASE wordpress";

Une fois que c'est fait, la requête précédente permettant d'importer les données du fichier "wordpress.sql" peut-être exécutée de nouveau :

mysql -u root -p wordpress < wordpress.sql

Bien sûr, cette opération sera plus ou moins longue en fonction de la taille du fichier SQL et des performances de votre serveur.

B. Restaurer une base de données à partir d'un dump complet

Maintenant, imaginons que l'on souhaite restaurer la base de données "wordpress" à partir du dump complet nommé "all-databases" et que l'on a créé précédemment. Il sera nécessaire de préciser le nom de la base de données à restaurer, comme ceci :

mysql -u root -p --one-database wordpress < all-databases.sql

IV. Conclusion

Nous venons de voir comment sauvegarder et restaurer une base de données MySQL / MariaDB avec mysqldump au travers différents exemples. Pour aller plus loin, notamment dans la gestion des identifiants pour ne pas avoir à préciser le login et le mot de passe à chaque fois, il est possible d'utiliser un fichier de configuration MySQL.

Le fichier de configuration peut-être créé dans le répertoire "home" de votre utilisateur Linux :

nano ~/.my.cnf

Puis, il contiendra un couple identifiant et mot de passe :

[client]
user = adm-wordpress
password = MotDePasseAdmBddWordPress

Ce fichier étant sensible, on va le sécuriser en ajustant les droits :

chmod 600 ~/.my.cnf

De cette façon, lorsque vous utilisez mysqldump avec cet utilisateur, le fichier "my.cnf" du répertoire "home" sera chargé automatiquement pour l'authentification, simplement en précisant le nom d'utilisateur. L'option "-u" est bien présente, mais plus l'option "-p" correspondante au mot de passe".

mysqldump -u adm-wordpress --databases wordpress > /home/flo/wordpress-$(date +%Y%m%d).sql

Voilà, cette astuce fait office de conclusion pour cet article ! Si vous connaissez d'autres options et astuces intéressantes pour bien utiliser mysqldump, n'hésitez pas à laisser un commentaire sur cet article ! 🙂

The post Comment sauvegarder et restaurer une base de données avec Mysqldump ? first appeared on IT-Connect.

Apple corrige une faille zero-day qui affecte macOS, watchOS et tvOS

17 mai 2022 à 08:56

Apple a publié de nouvelles mises à jour de sécurité pour protéger ses appareils contre une vulnérabilité zero-day qui peut-être exploitée par les pirates informatiques pour s'en prendre aux Mac et aux montres connectées Apple Watch.

Dans son bulletin de sécurité, Apple révèle que cette nouvelle faille zero-day "peut avoir été activement exploité", ce qui doit encourager les utilisateurs à passer par la case mise à jour sans attendre. Par précautions, les détails techniques ne sont pas mis en ligne par Apple.

Cette faille de sécurité, associée à la référence CVE-2022-22675, se situe dans AppleAVD, une extension du noyau qui est en charge de décoder l'audio et la vidéo.

Ce sont des chercheurs anonymes qui ont reporté cette faille de sécurité à Apple, et elle est désormais corrigée ! De ce fait, plusieurs mises à jour sont disponibles pour les différents systèmes concernés. Ce qui nous donne :

  • macOS Big Sur 11.6 et macOS Monterey 12.3.1 pour les Mac
  • watchOS 8.6 pour les montres connectées
  • tvOS 5.5 pour les boîtiers Apple TV

Pour être un peu plus précis, les montres connectées Apple Watch Series 3 et plus récentes sont concernées, ainsi que les boîtiers Apple TV suivants : Apple TV 4K, Apple TV 4K de 2ème génération et Apple TV HD. Concernant les Mac, tout dépend de votre version de macOS.

Les iPhone et les iPad semblent épargnés par cette faille de sécurité. Néanmoins, en regardant de plus près les bulletins de sécurité des différents systèmes, on peut voir que de nombreuses failles de sécurité sont corrigées avec les dernières versions de système.

En 2022, c'est déjà la 5ème faille de sécurité "zero-day" corrigée par Apple au sein de ses produits, donc l'histoire se répète tous les mois. L'occasion de vous rappeler, une énième fois, l'importance de maintenir à jour ses appareils afin de se protéger contre les failles de sécurité, d'autant plus lorsqu'il s'agit de zero-day.

Source

The post Apple corrige une faille zero-day qui affecte macOS, watchOS et tvOS first appeared on IT-Connect.

Quelles sont les nouveautés de Kali Linux 2022.2 ?

17 mai 2022 à 08:31

L'Offensive Security a mis en ligne une nouvelle version de la distribution Kali Linux ! Puisque Kali Linux 2022.2 est disponible, c'est l'occasion de faire le point sur les nouveautés apportées à cette nouvelle mouture.

Les nouveaux outils de Kali Linux 2022.2

De nouveaux outils sont disponibles dans Kali Linux 2022.2 ! Voici la liste des outils avec lesquels vous pourrez vous amuser :

  • BruteShark - Network Forensic Analysis Tool (NFAT)
  • Evil-WinRM - Shell WinRM basée sur la librairie Ruby WinRM
  • Hakrawler - Web crawler pensé pour être simple d'utilisation et permettre une découverte rapide
  • Httpx - Toolkit HTTP avec différentes fonctionnalités
  • LAPSDumper - Un outil pour récupérer les mots de passe LAPS à partir d'une machine Linux
  • PhpSploit - Framework C2 (porte dérobée) via PHP
  • PEDump - Dump de fichiers exécutables Win32
  • SentryPeer - Honeypot SIP (en peer-to-peer) pour la VoIP afin de collecter des adresses IP malveillantes
  • Sparrow-wifi - Outil d'analyse graphique du Wi-Fi
  • wifipumpkin3 - Framework pour des attaques "rogue access points"

Voilà en ce qui concerne les nouveaux outils intégrés à Kali Linux. Maintenant, intéressons-nous aux autres nouveautés.

Les principales nouveautés de Kali Linux 2022.2

Tout d'abord, sachez que des paquets sont passés en nouvelle version, notamment l'environnement de bureau GNOME 42, KDE Plasma 5.24, ainsi que Win-KeX 3.1. Grâce à GNOME 42, Kali Linux bénéficie d'une interface plus moderne, mais aussi d'un outil intégré de capture et d'enregistrement d'écran.

Kali Linux 2022.2

Les développeurs se sont amusés puisqu'ils ont intégré un nouvel écran de veille, digne des films hollywoodiens, et vraiment très cool (voir une vidéo ici) ! Pour l'installer et l'activer, il suffit d'exécuter ces deux commandes :

sudo apt -y install hollywood-activate
hollywood-activate

Cette version de Kali Linux apporte des changements pour l'utilisation via WSL, c'est-à-dire sous Windows. Grâce à la nouvelle version de Win-KeX, WSLG prend en charge l'exécution d'applications graphiques en tant que root, en ajoutant "sudo" au moment d'ouvrir l'application.

Par ailleurs, les utilisateurs de machines basées sur une architecture ARM, notamment le Raspberry Pi, vont être satisfaits puisque les développeurs ont apporté des améliorations et mis à jour certains paquets. De plus, le modèle Raspberry Pi Zero 2 W est officiellement pris en charge. Les développeurs ont également amélioré la prise en charge des modèles suivants : Pinebrook pro, USB Armory MKII, et Radxa Zero.

La liste complète des changements est disponible sur le site de Kali Linux. À vos mises à jour pour profiter des nouveautés !

Source

The post Quelles sont les nouveautés de Kali Linux 2022.2 ? first appeared on IT-Connect.
À partir d’avant-hierIT-Connect

Sophos Home génère un écran bleu suite à l’installation de la KB5013943 de Windows 11

16 mai 2022 à 18:25

La mise à jour KB5013943 semble causer quelques problèmes aux utilisateurs de Windows 11 et de l'antivirus Sophos Home. Résultat, la machine plante et génère un écran bleu de la mort (BSoD). La bonne nouvelle, c'est qu'une solution existe !

Sur son site, Sophos explique : "Les utilisateurs de Windows 11 qui utilisent Sophos Home peuvent rencontrer des erreurs BSoD après avoir installé la mise à jour KB5013943 et avoir redémarré leur machine". Sophos affirme que cette erreur est causée par "hmpalert.sys", un pilote Windows nécessaire au bon fonctionnement de l'antivirus Sophos Home. La bonne nouvelle, c'est que la correction de ce bug connu de l'éditeur s'appliquera automatiquement à toutes les machines concernées. Sophos précise que les utilisateurs seront invités à redémarrer leurs appareils dès que le correctif sera appliqué. Le pilote doit passer en version 3.8.4.46suite à l'installation du correctif.

Pour les utilisateurs qui ne bénéficient pas de ce correctif automatique, il existe deux solutions :

  • Renommer le fichier hmpalert.sys par un autre nom pour qu'il ne soit pas trouvable par Sophos Home

Cette opération peut s'effectuer via quelques commandes MS-DOS très simples (nécessite les droits administrateur) à exécuter dans une Invite de commandes :

# Se positionner dans le dossier des pilotes
cd c:\windows\system32\drivers
# Renommer le fichier
ren hmpalert.sys hmpalert.old
  • Désinstaller la mise à jour KB5013943 de Windows 11 (ce qui rend la machine vulnérable à certaines failles de sécurité)

Cette opération s'effectue aussi avec les droits administrateur grâce à la commande suivante :

wusa.exe /uninstall /kb:5013943 /norestart

Grâce à cette modification, votre machine Windows 11 doit retrouver une meilleure stabilité !

Ce n'est pas la seule mésaventure rencontrée par les utilisateurs de Windows 11 suite à l'installation de la mise à jour KB5013943. En effet, certains utilisateurs ne peuvent plus exécuter certaines applications sur leurs machines suite à l'installation de cette mise à jour, comme je l'évoquais la semaine dernière.

Source

The post Sophos Home génère un écran bleu suite à l’installation de la KB5013943 de Windows 11 first appeared on IT-Connect.

Test Ecovacs Deebot X1 Plus

16 mai 2022 à 17:09

I. Présentation

Dans ce test, je vais vous parler du robot intelligent DEEBOT X1 Plus, qui est capable d'aspirer et de laver en un seul passage. Nous verrons tout au long de ce test que ce nouveau modèle est boosté par de nombreuses fonctionnalités et une intelligence artificielle très évoluée et aboutie.

Il y a quelques semaines, Ecovacs Robotics a dévoilé sa nouvelle gamme de robots intelligents : DEEBOT X1. Ce sont les nouveaux appareils haut de gamme du fabricant. D'ailleurs, je vous ai présenté les trois appareils de la gamme dans un article dédié que vous pouvez retrouver ici. Le modèle DEEBOT X1 Plus a quelques fonctionnalités en moins par rapport aux deux autres modèles : DEEBOT X1 Omni et DEEBOT X1 Turbo. Je reviendrai sur quelques-unes de ces différences dans cet article.

Plus d'infos sur le site officiel :

II. Package et design

Comme à son habitude, Ecovacs propose un packaging soigné où chaque élément est soigneusement rangé et protégé. Et comme à chaque fois, le carton est imposant, car il y a beaucoup d'éléments à stocker ! En complément du robot aspirateur et de sa station de charge, nous avons le droit à deux brosses latérales, un outil de nettoyage, un câble d'alimentation, un module OZMO Pro 3.0 pour le lavage du sol, un module pour la fonction Air Freshener (utilisable quand le bloc Ozmo Pro n'est pas en place), un sac à poussières (préinstallé), ainsi que des lingettes de nettoyage jetables et une lingette lavable (faisant office de serpillière, en fait).

Personnellement, je suis un peu déçu sur le contenu du package, car il n'y a pas de brosse latérale de rechange ni de filtre de rechange et il n'y a pas non plus la moindre cartouche de parfum pour utiliser la fonction Air Freshener.

Regardons de plus près ce charmant robot, qui est très élégant. Pour avoir vu de nombreux robots aspirateurs, et en avoir testé un certain nombre, celui-ci est sans aucun doute le plus réussi d'un point de vue du design. Même si c'est une histoire de goût, Ecovacs a vraiment fait un effort particulier sur le design de ses robots de la gamme X1 ! En effet, Ecovacs a collaboré avec le studio danois Jacob Jensen Design (en relation avec Bang & Olufsen, notamment) pour dessiner ses nouveaux robots haut de gamme !

Sur le dessus de l'appareil, il y a un seul bouton, tactile, qui est utile pour lancer un nettoyage d'une simple pression. On voit également le capteur laser, qui est surélevé, et qui correspond au capteur de distance TrueMapping, utile pour la cartographie et la navigation. Nous verrons que pour naviguer de manière précise, le robot peut s'appuyer sur d'autres capteurs !

Chose assez étonnante, le dessus du robot est totalement amovible afin de donner accès au bouton d'alimentation, mais aussi au réservoir à poussière. Cela permet d'avoir un capot entièrement plat et design, tout en permettant l'accès au réservoir à poussière. Cet accès est nécessaire pour la maintenance de l'appareil et l'initialisation, mais vu que le robot se vide tout seul dans la station, on a rarement besoin d'accéder à cette zone du robot. Autre idée : peut-être qu'Ecovacs prévoit de mettre à la vente des coques personnalisées par la suite ? 🙂

Les finitions sont vraiment top ! Je vous laisse admirer les photos ci-dessous !

Le dessous du robot est classique, on retrouve les deux emplacements pour les deux brosses latérales, la route centrale directionnelle ainsi que les deux roues motrices qui se feront un plaisir de surmonter les petites marches et les tapis.

Les appareils de la gamme X1 intègrent la technologie AIVI 3D qui s'appuie sur une véritable caméra. Cette caméra permet à Ecovacs d'imaginer d'autres fonctionnalités et c'est ce que le fabricant a fait avec sa fonctionnalité de "vidéo à la demande". On découvrira cette fonctionnalité plus en détail par la suite. D'ailleurs, Ecovacs avait déjà intégré une fonction de vidéo à la demande avec son modèle Ecovacs Deebot Ozmo T8 AIVI. Ainsi, le module contient le capteur de la caméra, le capteur 3D TrueDetect et le capteur de détection visuelle AIVI. Concrètement, ces capteurs vont permettre au robot d'identifier les objets !

Ecovacs a également travaillé le design de sa station de charge. Elle est encore plus imposante, mais esthétiquement plus travaillée et elle fait la même largeur que le robot donc l'ensemble est plus harmonieux, à mon avis.

Pas de bouton, pas d'écran, tout se passe sous le capot positionné sur le dessus, et à l'arrière, nous pouvons connecter le câble d'alimentation et enrouler le surplus afin de faire une installation propre.

En soulevant le couvercle, on accède directement au sac à poussière. Sur la gauche, nous avons un petit espace de stockage qui est parfait pour ranger les lingettes nettoyantes ! Sur les modèles X1 Turbo et X1 Omni, la station de charge reprend les mêmes codes d'un point de vue esthétique, mais elle contient des réservoirs pour l'eau (eau usée et eau propre). Dans la pratique, je note une amélioration d'un point de vue sonore par rapport à la génération précédente : la station d'autovidage est moins bruyante.

Le dernier élément à présenter, la plaque à positionner sur le sol et sur laquelle viendra se positionner le robot. L'avantage, c'est que la lingette ne touche pas directement le sol, ce qui pouvait être gênant sur du paquet à cause de l'humidité. Au moins, là, le robot n'est pas directement en contact avec le sol lorsqu'il est stationné à sa base.

La station de charge est en place, le robot également, ce qui nous donne le résultat suivant :

Une belle évolution sur le plan du design, nous verrons si le robot X1 Plus fait tout aussi bien dans la pratique.

III. Installation, efficacité, autonomie, station de vidage

A. Installation

Avant l'ajout du robot dans l'application Ecovacs Home, il faut préparer le robot. Cela est assez simple puisqu'il suffit de mettre en place les deux brosses latérales, d'installer la station puis d'y positionner le robot. Cela sera l'occasion de le mettre à charger. Pour la suite, cela se passe dans l'application.

Une fois qu'il est ajouté dans l'application Ecovacs Home, il nous est proposé de démarrer la cartographique. Le robot ne va pas laver votre domicile, il va simplement faire un petit tour rapide afin de générer une première carte. La cartographie rapide et initiale est réalisée en moins de 10 minutes pour 40m² environ ! La carte est précise et correspond à la réalité, même si le découpage des pièces et à revoir, ce qui n'est pas évident avec des pièces ouvertes. De toute façon, l'éditeur de carte de l'application permet de fusionner ou diviser des pièces à notre convenance, mais également d'associer un rôle à chaque pièce (cuisine, couloir, salon, etc.).

Suite à cette opération, nous pouvons commencer à profiter de notre robot aspirateur !

B. Efficacité du nettoyage

Ce robot aspirateur est très précis dans sa navigation et il nettoie avec méthodologie. Tout d'abord, il va effectuer les contours d'une zone, en veillant à éviter les meubles et les autres objets qu'il pourrait rencontrer, avant de faire des aller-retour en S dans la zone et effectuer le nettoyage. Quand une zone est terminée, il se dirige vers une autre et ainsi de suite.

Sur les deux premières images ci-dessous, on voit très bien cette logique. Sur la troisième image, le mode "x2" était activé donc le robot aspirateur effectue le nettoyage deux fois sur chaque zone, et on peut voir que les aller-retour sont effectués "verticalement" alors que c'était "horizontalement" lors du premier passage. Quand ce mode est actif, la durée du nettoyage est quasiment doublée, ce qui est logique.

Grâce à ces différents capteurs et sa technologie avancée, je pense notamment à la technologie 3D TrueDetect, à la détection visuelle AIVI, et au capteur de distance TrueMapping, le robot parvient à bien nettoyer tout en étant impeccable dans sa navigation. Il parvient à bien contourner les obstacles, tout en passant relativement près, ce qui est important pour nettoyer à proximité des murs et des meubles.

Si vous souhaitez que le robot soit intraitable avec la moindre petite miette qui traîne au sol, il faudra utiliser le mode "Max+" pour avoir le plus de puissance (et c'est aussi le mode le plus bruyant), ou opter pour le mode avec deux passages.

La partie lavage est assurée par le système OZMO Pro 3.0 où la lingette de nettoyage est fixée sur une plaque qui effectue un mouvement de 600 vibrations par minutes afin d'améliorer le frottement. Il y a une lingette lavable et quelques lingettes jetables, mais par expérience, sachez que vous pouvez laver quelques fois ces lingettes pour éviter de les jeter à chaque fois. Sur les modèles Turbo et Omni, le système OZMO Pro 3.0 n'est pas présent puisqu'il y a un nouveau système ingénieux avec deux brosses rotatives.

C. Autonomie

L'autonomie de ce robot est annoncée à 140 minutes, et cela se vérifie dans la pratique : une autonomie dans la moyenne.

Pour vous donner un ordre d'idée, il met 33 ou 34 minutes pour nettoyer une zone de 29 m² même si cela peut monter à 56 minutes avec deux passages. Afin d'optimiser l'utilisation de la batterie, sachez que le nettoyage x2 peut être activé uniquement sur une pièce.

IV. L'application Ecovacs Home

Parlons un instant de l'application Ecovacs Home, alliée indispensable pour profiter de son robot aspirateur. Personnellement, je suis habitué à l'utilisation de l'application Ecovacs Home, alors je parviens à m'y retrouver facilement. Elle est assez intuitive pour l'utilisation des fonctionnalités de base, mais on peut se perdre un peu si l'on cherche à accéder aux fonctionnalités avancées.

Elle regroupe de nombreuses fonctionnalités, que j'ai déjà évoquées au sein de précédents tests, mais en voici une liste non exhaustive :

  • Gestion des cartes (jusqu'à 3 cartes, vue 3D avec positionnement des meubles, assigner un rôle à chaque pièce, redimensionner les pièces, créer des limites virtuelles, etc.)
  • Historique de nettoyage (date, heure, durée, surface nettoyée, et carte du nettoyage)
  • Maintenance pour accéder à l'état des différents accessoires et des pièces du robot
  • Nettoyage intelligent pour activer le nettoyage continu, la gestion automatique de la puissance d'aspiration (utile pour les tapis), etc.
  • Ne pas déranger : ne pas effectuer de nettoyage pendant une période donnée
  • Gestion des mises à jour
  • Gestion du mot de passe pour le gestionnaire vidéo
  • Etc...

Ce robot est doté d'une véritable caméra qui est utile pour la navigation, mais qui peut être exploitée pour effectuer de la vidéosurveillance à distance. À distance, vous pouvez contrôler vous-même le robot pour vérifier quelque chose... Comme ici, où je me suis amusé à vérifier ce que faisait cette grosse bête poilue... Il y a également un mode intitulé "Inspection du logement" qui va permettre de demander au robot de faire le tour de votre domicile, mais également d'une pièce précise. La fonction "Appel vocal" va permettre d'exploiter le haut-parleur du robot pour parler à distance.

Lorsque le robot effectue son tour de garde, il va prendre des photos, et cela sera accessible dans le journal de l'appareil au sein d'une section dédiée de l'application. Lorsque vous effectuez vous-même la surveillance via le pilotage manuel, vous pouvez prendre également des photos.

Note : sur cet exemple, l'image est assez sombre, car c'est en début de soirée, sans lumière.

Cette version de l'application permet également de configurer l'assistant vocal Yiko, une nouveauté apportée par Ecovacs au sein de sa gamme DEEBOT X1. Ainsi, le robot devient pilotable par la voix sans passer par un assistant vocal externe ni même utiliser l'application.

Au sein de l'application, on peut configurer l'assistant vocal Yiko pour ajuster le volume et la langue (français, anglais, allemand, italien, etc.). Cet assistant vocal comprend différentes commandes afin de démarrer un nettoyage automatique ou d'une ou plusieurs pièces spécifiques, augmenter le niveau d'aspiration ou le débit d'eau, etc... Tout cela est bien détaillé dans l'aide de Yiko accessible via l'application.

Bien que cet assistant vocal fonctionne bien, il faut un peu de temps pour le maîtriser et pouvoir l'apprécier. Parfois, il a manqué un peu de réactivité pour se déclencher, mais Ecovacs va sans aucun doute peaufiner son assistant vocal par la suite, notamment à coup de mises à jour.

V. Conclusion

Le robot aspirateur Ecovacs Deebot X1 Plus est un excellent compagnon au quotidien, et c'est un produit très abouti dopé avec de nombreuses technologies et de l'intelligence artificielle. Finalement, c'est probablement son tarif qui va refroidir certains acheteurs, ce qui peut se comprendre, mais en soi, c'est justifié même si je regrette qu'il n'y ait pas un peu plus d'accessoires au regard du prix. Même si la station d'autovidage est encombrante, même plus encombrante qu'avec la génération précédente, l'ensemble est plus harmonieux donc je trouve que cela est bénéfique au final.

Ce robot aspirateur est très précis lorsqu'il navigue dans votre domicile et il nettoie très bien, y compris le système de lavage qui parvient à éliminer certaines tâches et qui apporte un bon complément. Pour que ce soit encore plus efficace, le mode avec deux passages est recommandé.

The post Test Ecovacs Deebot X1 Plus first appeared on IT-Connect.

ODT : comment mettre à niveau Office 2016 vers Microsoft 365 Apps ?

16 mai 2022 à 16:33

I. Présentation

Dans ce tutoriel, nous allons apprendre à utiliser ODT (Office Deployment Tool) pour mettre à niveau Office 2016 vers Microsoft 365 Apps, même si cela s'applique à d'autres scénarios de mise à niveau, notamment Office 2016 vers Office 2021, par exemple. L'objectif ici est de vous montrer un cas pratique, en complément des indications déjà données dans ces articles :

Pour rappel, ODT est un outil mis à disposition par Microsoft qui va permettre d'installer et mettre à niveau Office (via une désinstallation de la version actuelle et installation de la nouvelle version) sur des postes Windows. Son fonctionnement s'appuie sur deux modes principaux :

- Un premier mode nommé "Download" qui sert à télécharger les sources d'installation depuis le site Microsoft
- Un second mode nommé "Configure" qui sert à réaliser l'installation de la suite Office sur un poste client

Le mode "Download" est utile uniquement si vous souhaitez utiliser une source locale pour déployer Office (par exemple, un partage SMB).

Avant de commencer, vous devez télécharger et installer Office Deployment Tool sur votre PC. En complément, vous devez aussi disposer d'un partage qui sera utile pour stocker ODT, le fichier de configuration XML et éventuellement les sources d'installation d'OFfice.

Voici le lien de téléchargement : Télécharger - ODT

II. Outil de personnalisation d'Office

L'outil de personnalisation d'Office se présente sous la forme d'un site Web dont l'objectif sera de nous permettre de définir notre cible, c'est-à-dire : quelle version d'Office doit être installée ? Est-ce qu'il faut exclure certaines applications ? Faut-il désinstaller une ancienne version ? Etc... Cet outil est accessible à cette adresse : config.office.com

Tout d'abord, il va falloir sélectionner l'architecture cible pour cette installation d'Office : 32 ou 64 bits, ainsi que la version de la suite Office. Dans mon cas, la cible c'est "Microsoft 365 Apps", mais vous pouvez très bien partir sur "Microsoft Office 2021".

Dans le cas d'une mise à niveau, la section "Options de mise à niveau" doit retenir votre attention. Il est indispensable d'activer l'option "Désinstaller les versions MSI d'Office, y compris Visio et Project". En complément, vous pouvez cocher les autres options qui vont permettre de désinstaller Visio, Project, etc... Si vous envisagez de déployer ces nouveaux outils en même temps (sélectionnables via la partie "Produits et versions" vue précédemment).

Sachez que si Office n'est pas installé sur la machine, il sera installé et que s'il est déjà présent, il sera désinstallé et la nouvelle version sera installée.

Upgrade Office avec ODT

Toujours dans "Options de mise à niveau", l'option "Effectuer automatiquement une mise à niveau vers l'architecture sélectionnée" est particulièrement intéressante. Si vous activez cette option, et qu'un Microsoft Office 32 bits est installé sur une machine, alors la nouvelle version sera installée en 64 bits.

Les autres options dépendent de vos besoins, de vos licences, etc.... À ce sujet, voir la vidéo pour plus de détails. Lorsque la configuration est prête, cliquez sur le bouton "Exporter". Une fenêtre nommée "Format de fichier par défaut" devrait s'afficher, cliquez sur "Formats Office Open XML" pour utiliser le format officiel recommandé par Microsoft.

Enfin, donnez un nom à la configuration et cliquez sur "Exporter" pour télécharger le fichier XML.

Pour ma part, le résultat suivant est obtenu :

Mise à niveau Office avec ODT

J'attire votre attention sur l'emplacement des sources :

  • Lorsque la directive "SourcePath" est définie (ligne n°2 au début du fichier), alors on s'appuie sur des sources locales pour récupérer Office

Dans ce cas, il faudra télécharger les sources du site de Microsoft vers un répertoire local. Grâce à ODT, cela s'effectue avec le mode "Download", comme ceci :

.\setup.exe /download Configuration-IT-Connect.xml

Cette commande aura pour effet de télécharger les sources d'installation dans le répertoire mentionné au sein de la variable "SourcePath". Ici, c'est un répertoire local, mais pensez à indiquer un répertoire réseau pour qu'il soit accessible par les postes clients, sinon ils vont rechercher en local...

  • Lorsque la directive "SourcePath" n'est pas définie (tout simplement supprimée de la ligne), alors chaque poste client va télécharger les sources en ligne

Note : pour supprimer les versions Click-to-run, ajoutez la ligne ci-dessous sous la directive "Configuration" de votre fichier XML (attention, cela supprimera aussi Visio, Project, etc.).

<Remove All="TRUE"/>

Maintenant que nous avons le fichier XML, et éventuellement les sources, il ne reste plus qu'à créer la GPO.

III. GPO pour mettre à niveau Office via ODT

Désormais, nous devons créer une GPO qui va exécuter un script au démarrage de Windows afin de mettre à niveau Office, ou l'installer s'il n'est pas présent sur la machine. Ce script doit simplement appeler ODT via son "setup.exe" à travers le réseau, en précisant le mode "/configure" et le fichier XML généré précédemment, à savoir "Configuration-IT-Connect.xml".

Ce qui me donne le script Batch (avec PowerShell, c'est possible aussi) nommé "upgrade-office.bat" avec une seule ligne :

start /wait \\SRV-ADDS-01.it-connect.local\Partage\ODT_Exe\setup.exe /configure \\SRV-ADDS-01.it-connect.local\Partage\ODT_Exe\Configuration-IT-Connect.xml

Il sera stocké dans "ODT_Exe", accessible via le réseau au travers du partage "Partage". Ce qui donne :

Ensuite, une stratégie de groupe doit être créée. Sur mon infrastructure, je nomme cette GPO "Upgrade-Office" et je crée une liaison avec l'OU "PC" qui contient mes ordinateurs. Au sein de cette GPO, il faut définir la configuration suivante :

Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage/arrêt) > Démarrage

Ici, il faut ajouter un script et indiquer le chemin réseau vers le fichier "upgrade-office.bat".

La stratégie de groupe est prête ! En complément, vous pouvez, si vous le souhaitez, ajuster le filtrage de sécurité pour appliquer cette GPO uniquement sur certains ordinateurs. Grâce à cela, vous pouvez effectuer la transissions en douceur, et petit à petit, en ajoutant les machines à migrer dans ce groupe.

IV. Tester la GPO

Afin de tester la GPO et la mise à niveau d'Office 2016 vers Microsoft 365 Apps, je me connecte sur le "PC-04". Il s'agit d'une machine sous Windows 10 équipée d'Office 2016. Pour commencer, j'effectue un "gpupdate" et je redémarre pour tester sans attendre que la GPO redescende d'elle-même.

gpupdate /force

Lorsque la machine redémarre, ODT se met à travailler... Office 2016 est bien supprimé, puis Microsoft 365 est bien ajouté, ce qui correspond au comportement attendu. Pendant cette opération, qui peut durer 5 minutes comme 20 minutes, selon les ressources matérielles de votre machine et votre réseau, la machine est fortement sollicitée :

Au bout du compte, Microsoft 365 Apps est installé sur mon poste Windows 10 "PC-04" : mission accomplie !


Si vous avez des questions complémentaires, vous pouvez publier un commentaire sur cet article, mais également regarder les liens ci-dessous qui mènent vers des pages spécifiques de la documentation Microsoft.

Quelques liens :

- Options de déploiement pour le fichier XML

- Désinstaller les versions MSI d'Office

- Désinstaller les versions Click-to-run d'Office

The post ODT : comment mettre à niveau Office 2016 vers Microsoft 365 Apps ? first appeared on IT-Connect.

Cryptomining : le botnet Sysrv-K cible les serveurs Windows et Linux

16 mai 2022 à 13:11

Microsoft a fait la découverte d'un nouveau variant du botnet Sysrv qui exploite des vulnérabilités de WordPress et de Spring Framework pour compromettre de nouvelles machines. Son objectif : déployer un logiciel malveillant de cryptomining sur des serveurs Windows et Linux.

Ce nouveau variant, surnommé Sysrv-K par Microsoft, est une évolution du botnet Sysrv qui intègre des capacités supplémentaires, notamment pour détecter les sites vulnérables à des failles de sécurité WordPress et Spring. Grâce à ses nouvelles capacités lui permettant la prise en charge d'exploits supplémentaires, il peut compromettre des serveurs, notamment des serveurs Web, aussi bien sous Linux que sous Windows. Microsoft a mis en ligne plusieurs tweets à son sujet.

En ce qui concerne les sites WordPress, le botnet Sysrv-K est capable d'exploiter des vulnérabilités au sein d'extensions, que ce soit des failles de sécurité anciennes ou récentes. Il va également scanner les sites WordPress à la recherche de fichiers de configuration, de backups, etc... Afin de récupérer les identifiants de connexion à la base de données.

Ensuite, pour la partie Spring Framework, il s'intéresse à la vulnérabilité CVE-2022-22947 permettant une injection de code malveillant à distance dans la librairie Spring Cloud Gateway. Pour rappel, Spring appartient à VMware et ce framework est utilisé au sein de certains produits VMware comme VMware Tanzu. Tout cela vient s'ajouter à ses capacités de détection existantes liés à PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic, et Apache Struts.

Relativement agressif sur Internet, ce botnet serait actif au moins depuis décembre 2020. Une fois qu'un hôte est compromis, il est infecté avec le logiciel de cryptomining Monero (XMRig). A partir d'une machine infectée, il va chercher à infecter d'autres hôtes, notamment en regardant l'historique de bash sur la machine, ainsi que la configuration SSH et le fichier known_host, dans le cas d'un hôte Linux.

Une belle piqûre de rappel quant à la nécessité de maintenir à jour ses applications et services !

Source

The post Cryptomining : le botnet Sysrv-K cible les serveurs Windows et Linux first appeared on IT-Connect.

Astuces pour personnaliser l’interface de Wireshark !

13 mai 2022 à 10:00
Par : Yohan

I. Présentation

Dans ce troisième tutoriel sur Wireshark, nous allons découvrir comment personnaliser son interface de capture ou d’analyse de paquets. Dernièrement, nous avons vu comment installer Wireshark, comment réaliser sa première capture et nous avons découvert l'interface graphique de l'application en elle-même.

Wireshark est un outil d’analyse complet, et ce qui fait la force de Wireshark, ce sont les filtres pour analyser une capture réseau (nous y reviendrons dans un prochain tutoriel) et la personnalisation de l’interface de capture, grâce à la disposition des différents panneaux ou bien l’ajout de colonnes, et la création de profils suivant le protocole que nous souhaitons analyser.

Avant de commencer, voici quelques liens :

II. Création d'un profil Wireshark

Les profils permettent de personnaliser un ensemble d’éléments sans toucher à l’interface par défaut. Il est possible d'exporter un profil pour l'importer sur une autre machine, mais il également possible de télécharger des profils existants sur Internet (une belle collection est disponible ici).

Grâce à ces profils, par exemple un profil par protocole, on va pouvoir faciliter l'analyse de certaines captures. Personnellement, j'en utilise une dizaine ! 🙂

Voici les éléments personnalisables au sein d'un profil :

  • La disposition des zones de l'interface (liste des paquets, détail des paquets…)
  • Ajouter/supprimer des colonnes dans la liste des paquets
  • Créer des boutons de filtre d’affichage
  • Règles de coloriage
  • Graphique I/O : graphique personnalisable en utilisant les filtres de Wireshark

Pour créer un profil, il suffit d’aller en bas à droite de l’interface de Wireshark au niveau de profile :

Donc, pour créer un profil, il faut faire un clic droit sur "Profile" et cliquer sur "New".

Création d'un profil Wireshark

Ensuite, une boîte de dialogue va apparaître. Ici, il faut rentrer un nom de profil que je vais appeler "diagram" pour ma part et cliquer sur OK.

Dès que vous avez appuyé sur OK, Wireshark va vous positionner sur le nouveau profil, en s’appuyant sur les valeurs par défaut.

Maintenant que nous avons créé notre profil, nous allons passer à la prochaine étape : la disposition des panneaux (des zones) dans Wireshark.

III. Personnaliser l'affichage dans Wireshark

Wireshark permet d’utiliser 3 panneaux au maximum dans l’interface d’affichage. Voici les types de panneaux (en gras, ceux par défaut) :

  • Liste des paquets
  • Détails des paquets
  • Octets de paquets (valeurs en hexadécimal)
  • Packet diagram : afficher les paquets en couches sous forme de diagramme (fonctionnalité disponible depuis la version 3.4.0 de Wireshark).

Tout en sachant que Wireshark propose 6 choix de dispositions de paquets :

Pour modifier la disposition des panneaux, il faut cliquer sur le menu "Editer" puis "Préférences", comme ceci :

Ensuite, vous arrivez dans l’ensemble des préférences de Wireshark, donc il faut aller dans Layout pour trouver le paramètre qui va nous intéresser.

Dans cet exemple, je vais choisir la disposition des panneaux de la manière suivante :

Il suffit de cliquer dessus pour la sélectionner. Maintenant, je vais choisir les panneaux que je souhaite avoir dans mon profil diagram :

  • Panneau 1 : liste des paquets
  • Panneau 2 : détails des paquets
  • Panneau 3 : Packet Diagram

Il suffit de faire sa sélection, comme ceci :

Puis, cliquez sur "OK" pour valider. Une fois que vous avez cliqué sur "OK", Wireshark va automatiquement modifier la disposition des panneaux selon vos préférences. Voici ma nouvelle disposition :

Avant de passer à la modification des colonnes, nous allons nous arrêter sur le panneau "Packet diagram" qui est à droite sur notre nouvelle configuration. Si vous cliquez sur une valeur, Wireshark va automatiquement vous positionner le champ dans le panneau détail du paquet qui correspond ! Voici un exemple avec le champ "Time To Live" de l’en-tête IP.

Les développeurs de Wireshark ont intégré la possibilité de mettre les valeurs correspondantes au détail du paquet directement dans le Packet diagram. Pour activer cette fonctionnalité, il suffit de faire un clic droit dans le panneau "Packet diagram" puis de cliquer sur "Show field values".

Voici le résultat :

Maintenant que nous avons vu que nous pouvons modifier la disposition des panneaux, en nous attardant sur le panneau "Packet diagram", nous allons passer à la dernière partie de ce tutoriel ! Nous allons voir comment ajuster les colonnes dans le panneau d’affichage "Liste des paquets".

IV. La gestion des colonnes dans Wireshark

Wireshark permet d’ajouter, modifier ou supprimer des colonnes, mais aussi de les réorganiser dans le panneau "Liste des paquets". Avant de commencer, sachez que pour faciliter l’ajout de colonne, j’ai retiré le panneau Packet diagram de la disposition des panneaux.

A. Ajouter une colonne

Pour ajouter une colonne, il suffit d’aller dans le détail du paquet, choisir le champ que nous souhaitons voir apparaître dans le panneau liste des paquets en tant que colonne, puis de faire un clic droit "Appliquer en colonne". Dans le cadre de ce tutoriel, nous allons ajouter les colonnes adresses MAC source et destination.

Répéter la même opération pour l'adresse MAC source. Vous devez maintenant voir deux autres colonnes dans la liste des paquets.

Voilà, nous venons d'ajouter deux colonnes !

B. Modifier une colonne

On peut modifier une colonne afin de renommer la colonne pour lui donner un autre nom que celui par défaut, modifier le filtre associé, et gérer l'alignement des valeurs dans la colonne.

Dans cet exemple, nous allons seulement renommer les colonnes et centrer le texte dans les colonnes @mac source et destination.

Pour modifier le nom de la colonne, effectuez un clic droit sur l’en-tête de la colonne et cliquez sur "Edit Column".

Ensuite, vous pouvez modifier la valeur Titre pour modifier le nom de la colonne et appuyer sur OK pour valider.

Dès que vous avez modifié le nom de la colonne, Wireshark met à jour directement le changement du titre de la colonne.

Pour modifier l’alignement du texte dans la colonne, effectuez un clic droit sur l’en-tête de la colonne, et sélectionnez "Align center" pour mettre le texte au centre de la colonne.

Vous pouvez agrandir la colonne pour voir toute la valeur et le rendu final.

 

C. Réorganiser les colonnes

Pour réorganiser les colonnes, vous pouvez cliquer sur le nom de la colonne à déplacer, et tout en maintenant le clic appuyé, faire glisser la colonne vers la gauche ou la droite pour modifier sa position.

Voici le résultat :

D. Masquer une colonne

Il est également possible de masquer une colonne ! Pour cela, vous devez accéder au menu "Editer" puis cliquer sur "Préférences". Ensuite, cliquez sur "Appearence" puis "Columns". Il ne reste plus qu'à décocher la colonne que vous souhaitez masquer et cliquer sur OK.

Voici le résultat, la colonne "length" à disparue !

Pour remettre la colonne, soit vous passez par le menu éditer ou bien vous faites un clic droit sur un en-tête de colonne et vous sélectionnez la colonne que vous souhaitez voir apparaître (vous pouvez aussi masquer une colonne par ce raccourci).

La colonne "length" apparaît de nouveau : facile !

E. Supprimer une colonne

Pour supprimer une colonne, vous pouvez passer par le menu "Editer" puis "Préférences" afin de cliquer sur "Appearence" puis "Columns" comme pour masquer une colonne... Sauf que là, vous sélectionnez la colonne et cliquez sur le bouton "-".

L'alternative consiste à faire un clic droit sur la colonne afin de cliquer sur "Remove column".

Maintenant la colonne length a été supprimée et elle n’apparaît plus dans la liste des colonnes actives/masquées.

Vous savez comment ajouter une colonne donc je vous laisse retrouver le champ dans le panneau "détails du paquet" : n'hésitez pas à laisser un commentaire pour me dire si vous avez réussi ou non ! 🙂

V. Conclusion

Nous venons de voir comment personnaliser l’interface de Wireshark en créant un profil, en modifiant la disposition des panneaux et en jouant avec les colonnes dans Wireshark. Si vous retournez sur le profil par défaut, vous verrez que rien n’a changé !

Le prochain article sera sur les filtres de capture et d’affichage de Wireshark, qui montre toute la puissance de Wireshark pour l’analyse de paquets.

The post Astuces pour personnaliser l’interface de Wireshark ! first appeared on IT-Connect.

Windows : les mises à jour de mai 2022 à l’origine de problèmes d’authentification !

12 mai 2022 à 18:13

Suite à l'installation des mises à jour Mai 2022 sortie à l'occasion du Patch Tuesday, certains utilisateurs rencontrent des problèmes d'authentification. Des investigations sont en cours chez Microsoft à ce sujet.

Sur Reddit, la discussion "Patch Tuesday Megathread" de ce mois-ci fait référence à des problèmes d'authentification, notamment via l'Active Directory, ou les utilisateurs et ordinateurs ne parviennent plus à s'authentifier alors que les informations d'identification sont valides. Par ailleurs, Quentin, un lecteur d'IT-Connect a publié un commentaire avec le message suivant : "ATTENTION : sur Server 2016, cette KB a eu pour effet sur notre infra de « casser » le NPS (802.1X). L’authentification par certificat ne fonctionnait plus, obligé de désinstaller cette KB.". Microsoft a listé plusieurs fonctionnalités impactées, ce qui semble aller dans ce sens : Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), and Protected Extensible Authentication Protocol (PEAP).

D'après les différents signalements, ces dysfonctionnements touchent l'ensemble des versions de Windows, aussi bien du Windows Server 2012 R2, du Windows Server 2016 que du Windows Server 2022. De son côté, Microsoft indique que ce problème spécifique n'est déclenché qu'après l'installation des mises à jour sur les serveurs avec le rôle "contrôleur de domaine". Toujours d'après l'entreprise américaine, les mises à jour n'auront pas d'impact négatif lorsqu'elles seront déployées sur des périphériques Windows (desktop) et des serveurs Windows qui ne sont pas des contrôleurs de domaine.

Il est très fréquent d'installer le rôle NPS sur un serveur avec le rôle contrôleur de domaine, ce qui explique les problèmes rencontrés si l'on se réfère aux affirmations de Microsoft. Sur le site de Microsoft, le statut est mis à jour sur cette page : Microsoft Docs. Quant aux numéros de KB pour Windows Server, les voici :

  • Windows Server 2022 : KB5013944
  • Windows Server 2019 : KB5013941
  • Windows Server 2016 : KB5013952
  • Windows Server 2012 R2 : KB5014011
  • Windows Server 2012 : KB5014017

Les entreprises sont actuellement dans une situation délicate : attendre pour éviter de perturber le bon fonctionnement de son infrastructure, au risque de ne pas être protégé pour le moment contre les dernières failles de sécurité, notamment la faille zero-day exploitée dans le cadre d'attaques et associée à PetitPotam.

Pour rappel, certains utilisateurs de Windows 11 ont également rencontré des problèmes suite à l'installation de la dernière mise à jour puisque des applications ne veulent plus se lancer.

Source

The post Windows : les mises à jour de mai 2022 à l’origine de problèmes d’authentification ! first appeared on IT-Connect.

Le NAT et le PAT pour les débutants

12 mai 2022 à 16:00

I. Présentation

Dans cet article, je vais vous parler de réseau informatique, et plus précisément de NAT, de PAT et de redirections de port car ces trois concepts sont liés. Il s'agit de notions très importantes qu'il faut maîtriser lorsque l'on s'intéresse au fonctionnement d'un réseau informatique car nous utilisons tous le NAT au quotidien ! C'est également un sujet auquel vous devez vous intéresser si vous souhaitez une façon simple de rendre accessible certaines ressources de votre réseau local depuis Internet (un NAS, un serveur, etc...).

En complément de cet article, je vous recommande la lecture de ceux-ci (vidéo incluse) :

II. Le principe du NAT

Tout d'abord, il faut savoir que l'acronyme NAT correspond à Network Address Translation, c'est-à-dire en français une traduction d'adresse réseau. Il s'agit d'un mécanisme mis en place sur les routeurs afin de remplacer l'adresse IP privée source d'une machine par l'adresse IP publique du routeur dans un paquet réseau lorsqu'une machine tente de communiquer avec un serveur situé sur Internet.

A. Pourquoi inventer un tel mécanisme ?

A la base, le NAT a été inventé afin d'apporter une réponse à la future pénurie d'adresses IPv4 ! Je vous rappelle que le nombre d'adresses IPv4 n'est pas illimité, puisqu'une adresse IP est codée sur 4 octets (soit 32 bits car 1 octet = 8 bits) et que cela nous donne 2^32 adresses IP disponibles au maximum, soit 4 294 967 296 d'adresses IP. On va dire, un peu plus de 4 milliards. Ainsi, il y a des adresses IP dites privées que l'on utilise seulement sur les réseaux locaux (et qui sont réutilisables d'un réseau local à un autre), et les adresses IP dites publiques utilisées pour les communications sur Internet.

Le NAT est une réponse à cette problématique ! A la base, cela devait être une réponse temporaire... Car la véritable réponse, ce sont les adresses IPv6 (codées sur 16 octets, soit 128 bits) ! Même si depuis plusieurs années, nous avons la possibilité d'utiliser les adresses IPv6, les adresses IPv4 restent les plus exploitées et nous utilisons plus souvent des adresses IPv4 que des adresses IPv6, il faut l'avouer.

Grâce au NAT tel que nous l'utilisons à la maison, notamment par l'intermédiaire de notre box Internet, plusieurs appareils peuvent partager la même adresse IP publique donc on fait des économies en terme d'utilisation des adresses IP publiques ! Par définition, une adresse IP privée telle que "192.168.1.10/24" n'est pas utilisable directement sur Internet mais grâce au NAT, on va pouvoir accéder à Internet malgré tout.

B. Le fonctionnement du NAT

Pour bien comprendre, prenons l'exemple suivant : mon "Ordinateur 1" est connecté au réseau de mon domicile, où se situe ma box Internet (et donc où il y a du NAT en place). Je souhaite accéder à un serveur Web ayant pour adresse IP publique 50.50.50.50 afin d'accéder au site it-connect.fr. Que se passe-t-il ?

Premièrement, mon ordinateur avec l'adresse IP "192.168.1.10" va tenter de se connecter au serveur Web "50.50.50.50", donc une requête va être envoyée à destination de ce serveur Web, en passant par mon routeur, c'est-à-dire la box. On passe par le routeur car c'est la passerelle par défaut (route par défaut) de mon réseau local, et qu'elle est définie sur ma machine.

Deuxièmement, au moment où ma requête émise de mon ordinateur à destination du serveur Web arrive à mon routeur, le mécanisme du NAT va entrer en jeu ! Autrement dit, ma requête n'est pas directement envoyée au serveur Web. Puisque le NAT est actif, le routeur va modifier le paquet réseau avant de l'envoyer au serveur Web, afin de remplacer l'adresse IP source "192.168.1.10" par "61.61.61.61" qui est l'adresse IP publique de ma box. Une fois que cette opération est effectuée, le paquet est émis au serveur Web "50.50.50.50".

Troisièmement, la requête arrive jusqu'au serveur Web, et ce dernier voit que la requête provient de l'adresse IP "61.61.61.61". Autrement dit, il associe mon ordinateur 1 à l'adresse IP publique "61.61.61.61", et à aucun moment il n'aura connaissance de mon adresse IP privée, à savoir "192.168.1.10/24".

Le NAT pour les débutants

Passons à la phase retour, lorsque le serveur Web va répondre au client pour lui indiquer le contenu de la page Web du site, par exemple.

Quatrièmement, le serveur Web va répondre à l'ordinateur 1 en envoyant sa réponse sur l'adresse IP publique "61.61.61.61", ce qui est logique. Le paquet est réceptionné par le routeur (la box), en provenance de 50.50.50.50.

Cinquièmement, la box a mémorisée cette connexion (grâce à une table de translation) et donc elle sait qu'elle doit adresser le paquet reçu de la part du serveur Web à notre ordinateur 1. A partir de son adresse IP "192.168.1.1", le routeur envoie la réponse à ordinateur 1, mais l'ordinateur 1 voit la réponse comme si elle provenait directement du serveur Web "50.50.50.50".

Le principe du NAT

Le mécanisme de NAT sert d'intermédiaire entre le réseau local et Internet. Il présente l'avantage de masquer les machines du réseau local vis-à-vis d'Internet car elles ne sont pas directement accessibles d'Internet vers le réseau local, ce qui peut-être intéressant niveau sécurité. Néanmoins, nous verrons par la suite que l'on peut permettre cet accès par l'intermédiaire d'une redirection de ports.

III. Les types de NAT

Dans la suite de cet article, nous verrons qu'il y a plusieurs types de NAT, et nous allons identifier facilement le type de NAT que nous utilisons tous au quotidien, à la maison.

A. NAT statique

L'objectif du NAT statique est de traduire une adresse IP privée en une adresse IP publique, en fonctionnant par association statique, c'est-à-dire un pour un. Autrement dit, une adresse IP privée est associée à une adresse IP publique ! Prenons le tableau suivant comme exemple :

Appareils Adresse IP privée Adresse IP publique
Ordinateur 1 192.168.1.10 61.61.61.61
Ordinateur 2 192.168.1.11 61.61.61.62

Ainsi, lorsque notre ordinateur 1 accédera à Internet, son adresse IP privée "192.168.1.10" sera automatiquement remplacée par "61.61.61.61". D'un autre côté, lorsque l'ordinateur 2 accédera à Internet, son adresse IP privée "192.168.1.11" sera remplacée par "61.61.61.62". Cela est également vrai pour l'inverse, une requête envoyée sur l'adresse IP "61.61.61.61" sera automatiquement transmise à "Ordinateur 1" puisqu'il est associé à cette adresse IP publique.

Ce mécanisme montre rapidement ses limites car chaque machine du réseau interne doit disposer à la fois d'une adresse IP privée et d'une adresse IP publique. Le NAT statique, appelé également "NAT one-to-one" peut servir à rendre accessible un serveur Web en lui attribuant (en quelque sorte) une adresse IP publique. Cependant, pour publier un serveur Web sur Internet de façon sécurisée, il est préférable d'utiliser un reverse proxy, ou éventuellement une règle de redirection de port pour autoriser uniquement les flux HTTPS, par exemple.

Pour finir, sachez qu'avec du NAT statique, l'équipement du réseau local est accessible depuis Internet via son adresse IP publique puisqu'il y a un mappage entre les deux adresses IP (privée et publique).

B. NAT dynamique

Le NAT dynamique est différent du NAT statique car les associations entre une adresse IP privée correspondante à une machine et une adresse IP publique disponible sur le routeur seront dynamiques et temporaires ! Ainsi, si l'on a 50 ordinateurs, 10 smartphones et 20 tablettes connectés à son réseau local, et que l'on dispose de 4 adresses IP publiques, elles seront exploitées dynamiquement par nos machines afin de permettre un accès à Internet.

Lorsqu'une connexion vers Internet est effectuée par une machine, le routeur associe temporairement l'adresse IP privée à l'adresse IP publique. Pour cela, une adresse IP appartenant à votre pool d'adresses IP publiques est utilisée. Quand la connexion est terminée, l'adresse IP est libérée et potentiellement attribuable à une autre machine.

Schéma réseau NAT dynamique

C. PAT

Le PAT pour Port Address Translation est une forme de NAT dynamique, que l'on appelle "NAT overlay" ou "Masquerade NAT", avec quelques différences très intéressantes, qui font du PAT le mode le plus couramment utilisé ! Comme le NAT dynamique, le PAT va effectuer une association dynamique et temporaire entre une adresse IP privée et une adresse IP publique, sauf qu'il va ajouter à cette association une autre information : un numéro de port, d'où le terme "PAT".

Grâce au PAT, une seule et même adresse IP publique peut-être utilisée par X machines connectées sur le réseau local. C'est exactement ce qu'il se passe à la maison : votre ordinateur, votre smartphone, votre tablette, voire même vos prises connectées et votre robot aspirateur sont connectées à votre réseau local et utilisent tous la même adresse IP publique pour accéder à Internet ! Pour vous en convaincre, il suffit de regarder votre adresse IP publique à partir de différents appareils connectés à votre réseau local : vous verrez que c'est la même ! Pour cela, il suffit d'accéder à un site tel que mon-ip.com.

Voici un schéma qui illustre ce fonctionnement, avec deux ordinateurs sur le même réseau local et qui accèdent à Internet via une même connexion Internet, c'est-à-dire via la même box. Si ces deux ordinateurs se connectent au même serveur Web car les utilisateurs ont tous les deux envie de visiter le même site, le serveur Web distant verra deux connexions différentes en provenance de l'adresse IP publique "61.61.61.61" grâce au mécanisme PAT.

Afin de pouvoir identifier ces connexions et de retourner chaque réponse du serveur Web au bon ordinateur, un numéro de port est associé à chaque connexion : c'est ce qui constitue la table de traduction (table de translation).

Schéma réseau PAT

IV. DNAT pour les redirections de ports

Parlons maintenant de la notion de "Redirection de port" appelée aussi "port forwarding", qui correspond au "DNAT" c'est-à-dire au "Destination NAT". En fait, on parle de "Source NAT" quand c'est l'adresse IP source du paquet qui est modifiée (par exemple : un PC du réseau local accède à un site Internet) et de "Destination NAT" quand c'est l'adresse IP de destination du paquet qui est modifiée (par exemple : un PC connecté à Internet accède à un NAS connecté à notre réseau local).

Grâce à une règle de redirection de port, une machine connectée au réseau local et qui dispose d'une adresse IP privée pourra être accessible depuis l'extérieur, c'est-à-dire depuis Internet, sur un ou plusieurs ports spécifiques, via l'adresse IP publique du routeur (box).

Par exemple :

  • Un serveur Web connecté au réseau local pourra être joignable depuis l'extérieur sur le port TCP/443 correspondant au HTTPS, en accédant à l'adresse IP publique de la box
  • Un serveur Linux connecté au réseau local pourra être joignable en SSH depuis l'extérieur sur le port TCP/22 (ou un autre port autre que celui par défaut), en accédant à l'adresse IP publique de la box
  • Etc...

A. Exemple de redirection de port

Pour bien comprendre ce principe, prenons le schéma suivant :

Schéma réseau règle de redirection de ports

Dans cet exemple, c'est un NAS connecté sur mon réseau local qui est accessible depuis Internet. Je décide d'associer le port 65001/TCP pour accéder à ce NAS, ce qui signifie que si j'ouvre un navigateur que j'indique dans la barre d'adresses "https://mon-ip-publique-de-ma-box:65001" (on peut aussi utiliser un nom de domaine) alors je vais accéder à mon NAS grâce à cette règle de redirection de port !

Premièrement, mon ordinateur connecté à Internet, et qui n'est pas à la maison, envoie une requête sur l'adresse IP publique de ma box, à savoir "61.61.61.61" sur le port "65001" : https://61.61.61.61:65001.

Deuxièmement, ma box réceptionne cette requête. En temps normal, cette requête serait rejetée car elle provient d'Internet, mais là c'est différent car il y a une règle explicite qui explique comment traiter cette requête. Ma box voit que l'adresse IP de destination est "61.61.61.61" avec le port "65001", et qu'elle doit transmettre cette requête à l'adresse IP privé "192.168.1.12" (sur le port 65001) correspondante au NAS.

Troisièmement, ma box décide de remplacer l'adresse IP de destination du paquet pour indiquer la véritable destination de ce paquet, donc "61.61.61.61" est remplacé par "192.168.1.12", tandis que l'adresse IP source ne change pas (c'est toujours celle de mon client connecté à Internet). Enfin, le NAS réceptionne la requête en provenance d'Internet et doit la traiter, pour ensuite retourner une réponse au client situé sur Internet. Lorsque la réponse sera émise, le client distant verra toujours l'adresse IP publique de ma box, à savoir "61.61.61.61" : il ne verra jamais mon adresse IP privée.

Grâce à cet exemple, on peut voir qu'une machine connectée sur un réseau local peut être facilement rendu accessible depuis l'extérieur. Il ne faut pas oublier que cela expose directement sur Internet votre équipement (NAS, PC, Serveur, etc.) ! La première des choses à faire quand cela est possible, c'est d'utiliser un port différent du port par défaut. Par exemple, pour accéder à un NAS via un navigateur, la règle de redirection de port n'utilisera pas le port par défaut permettant d'accéder à l'interface du NAS afin qu'elle ne soit pas facilement détectable : des robots passent leur temps à scanner Internet et les adresses IP publiques à la recherche de services exposés.

B. Une seule règle par port TCP/UDP

Il faut savoir qu'il ne peut y avoir qu'une seule règle par port TCP/UDP ! Autrement dit, s'il y a deux serveurs Web avec deux adresses IP privées différentes, ils ne pourront pas tous les deux être accessibles en HTTPS sur le port 443, car le port 443 en extérieur peut être associé à une seule adresse IP privée. Donc, le second serveur Web devra utiliser un autre port tel que 4443. Cette limitation s'applique par adresse IP publique, ce qui est le cas bien souvent car de nombreuses entreprises ont qu'une seule adresse IP publique (et c'est le cas aussi à la maison).

Dans ce cas, il sera nécessaire de passer par un reverse proxy (ce qui est recommandé de toute façon) pour travailler niveau HTTP/HTTPS directement et identifier le nom de domaine dans les requêtes.

C. Le port mapping

Dans l'exemple précédent, le numéro de port 65001 est utilisé sur la règle de DNAT aussi bien pour le port source que pour le port de destination. Il faut savoir que ce n'est pas obligatoire d'utiliser le même numéro de port pour la source et la destination.

Le NAS sur le réseau local peut être accessible via le port 443, mais on peut décider de le rendre accessible depuis l'extérieur sur le port 65001. Dans ce cas, on parle de port mapping : c'est le même principe que le port forwarding sauf que l'on utilise deux numéros de port différents.

Il faut savoir que :

  • Le port externe impacte le client connecté à Internet
    • Si l'on met le port 65001 pour une interface Web, il devra saisir https://ip-publique:65001
  • Le port interne impacte le serveur / la machine de destination
    • Si l'on met le port 443, le service sur le serveur de destination devra être en écoute sur ce port, donc on ne peut pas le choisir au hasard, il faut que ce soit cohérent.

Même si le numéro de port n'est pas le même, le client ne verra pas la différence si l'on fait une correspondance 65001:65001 ou 65001:443.

V. Conclusion

Suite à la lecture de cet article, vous connaissez les différents types de NAT, mais aussi le très populaire PAT ainsi que les incontournables règles de redirection de port ! Néanmoins, vous devez rester vigilant quand vous configurez ces options sur un appareil, que ce soit un routeur, un pare-feu ou autre chose.... Car, en fonction des fabricants, les systèmes changent, et les appellations également ! Ainsi, le "SNAT" qui correspond à "Source NAT" peut correspondre à "Static NAT" (soit "NAT statique") dans certains cas : un joli piège ! Tout cela pour dire qu'il faut bien regarder les documentations constructeurs avant de mettre en oeuvre le NAT sur un appareil pour éviter les confusions et assurer le passage de la théorie à la pratique en douceur. 😉

Quelques tutoriels pour la mise en pratique, notamment sur PfSense :

The post Le NAT et le PAT pour les débutants first appeared on IT-Connect.

C’est officiel : Synology lance le routeur Wi-Fi RT6600ax et SRM 1.3 !

12 mai 2022 à 14:27

Voilà, c'est fait ! Synology vient de commercialiser son nouveau routeur : le Synology RT6600ax ! Il va bénéficier d'un nouveau système puisqu'il tourne sur SRM 1.3. Faisons le point.

Attendu depuis longtemps par la communauté Synology, il faut savoir que le Synology RT6600ax est le premier modèle de la marque à intégrer le Wi-Fi 6 (et non le Wi-Fi 6E), et qu'il est équipé de 6 antennes qui vont lui permettre de travailler sur 3 bandes de fréquences : 2,4 GHz, 5 GHz et 5.9 Ghz. D'un point de vue technique, cela lui permet d'utiliser de nouveaux canaux : 169, 173, 177 et 181, comme le montre le schéma ci-dessous. Au final, on peut s'attendre à un débit pouvant atteindre 6,6 Gb/s sur un ensemble d'appareils.

En ce qui concerne les connectiques, ce routeur hérite d'une interface réseau en 2,5 Gbit/s qu'il sera possible d'utiliser pour le LAN ou le WAN, ce qui peut intéresser les personnes qui ont un abonnement Internet avec plus 1 Gbit/s de débit. En complément, cette seule et unique interface 2,5 Gbit/s sera accompagnée par trois ports en 1 Gbit/s pour la partie LAN, et un port 1 Gbit/s pour la partie WAN (il y a donc deux options possibles pour le WAN). On remarque également la présence d'un port USB 3.0 à l'arrière: le strict minimum, mais peut-être contraignant selon les besoins.

Synology RT6600ax

Parlons maintenant de son nouveau système : SRM 1.3.

Tout d'abord, cette nouvelle version apporte une fonctionnalité attendue : la gestion des VLANs ! Il va être possible de segmenter son réseau avec la prise en charge de 5 VLANs, où chaque VLAN pourra bénéficier de diverses fonctions permettant de créer des réseaux séparés : un SSID et un mot de passe unique, les règles de pare-feu (y compris les règles one-way), etc... A la maison, vous pouvez isoler vos objets connectés dans un réseau, et avoir votre NAS dans un autre réseau.

SRM intègre également Safe Access, une fonctionnalité de sécurité très intéressante pour protéger son réseau local et gérer les périphériques connectés à votre réseau. Cette fonctionnalité permet aussi de gérer un profil par utilisateur, d'associer des périphériques à ce profil, et d'appliquer des règles : limiter le temps d'accès à Internet, planning d'accès à Internet, filtrage des recherches, etc... Enfin, et c'est pertinent, les périphériques inconnus ou nouveaux, auront un profil spécifique qui peut permettre de les restreindre avant d'être, en quelque sorte, approuvé.

Synology SRM Safe Access

Pour la partie VPN, c'est relativement classique puisque les protocoles habituels sont pris en charge au travers de Synology VPN Plus : Synology WebVPN, Synology SSL VPN, VPN site à site, VPN SSTP, OpenVPN, L2TP et PPTP. Par contre, WireGuard ne semble pas de la partie... En tout cas, ce n'est pas mentionné, dommage. Au sujet du VPN, sachez que ce nouveau modèle est capable de supporter 40 clients VPN en simultanés, contre 20 pour le modèle RT2600ac.

Note : SRM 1.3 n'est actuellement disponible que sur le modèle RT6600ax. D'après Synology, la disponibilité sera étendue aux autres routeurs Synology (MR2200ac et RT2600ac) dans le courant de l'année.

Le routeur Synology RT6600ax est disponible sur différents sites de e-commerce, notamment le site LDLC où l'on peut le retrouver à 324,95 euros. Retrouvez toutes les informations sur le site officiel : Synology RT6600ax.

Synology RT6600ax

The post C’est officiel : Synology lance le routeur Wi-Fi RT6600ax et SRM 1.3 ! first appeared on IT-Connect.

HP corrige 2 vulnérabilités dans le BIOS d’une centaine de modèles !

12 mai 2022 à 08:58

Le fabricant HP a mis en ligne de nouveaux BIOS pour de nombreux modèles de PC et PC portables afin de corriger deux failles de sécurité importantes. En exploitant ces vulnérabilités, un attaquant peut exécuter du code malveillant avec les privilèges du noyau Windows. Néanmoins, vous allez voir que c'est une attaque difficile à mener.

Associées aux références CVE-2021-3808 et CVE-2021-3809, ces deux failles de sécurité héritent d'un score CVSS 3.1 de 8,8 sur 10, ce qui montre qu'il s'agit de problèmes de sécurité sérieux. Afin de protéger ses utilisateurs, HP a mis en ligne de nouveaux firmwares (BIOS/UEFI) pour les machines concernées, et il faut dire que la liste est longue ! Nous retrouvons une bonne centaine de modèles, de différentes gammes et de plusieurs générations, notamment :

  • HP Elite X2
  • HP EliteBook (exemple : HP EliteBook 735 G6)
  • HP ProBook (exemple : HP ProBook 450 G6)
  • HP Zbook (exemple : HP ZBook Studio x360 G5)
  • HP ZHAN
  • HP EliteDesk
  • HP Elite Slice
  • HP EliteOne
  • HP ProDesk
  • HP ProOne
  • HP Z1
  • HP Z2
  • Etc...

La liste complète est disponible sur le site de HP. À chaque fois, HP a mis le lien vers la nouvelle version du BIOS mais on peut rapidement constater que toutes les références ne sont pas encore traitées. En effet, la mise à jour n'est pas disponible pour certains modèles, donc il faudra se montrer patient dans certains cas.

Des vulnérabilités difficiles à exploiter ?

C'est le chercheur en sécurité Nicholas Starke qui a fait la découverte de ces deux vulnérabilités en novembre 2021, reportées dans la foulée à HP. Contrairement à HP qui n'a pas communiqué d'informations techniques sur le sujet, il a mis en ligne un article où il donne des détails techniques sur ces deux failles de sécurité (voir ici).

C'est intéressant, car on apprend que pour exploiter ces vulnérabilités, il faut déjà bénéficier des autorisations "SYSTEM" sur la machine Windows, ce qui est déjà un niveau de privilèges très élevé. Finalement, le but n'est pas de compromettre la machine, car à cet instant, c'est probablement déjà fait.

L'objectif ultime d'une telle attaque serait d'écraser le firmware UEFI (BIOS) de la machine avec une image BIOS spécifique et contrôlée par l'attaquant. Cela signifie qu'un attaquant pourrait implanter des logiciels malveillants persistants qui ne peuvent pas être supprimés par les antivirus, ni même avec des réinstallations du système d'exploitation.

En complément, certaines machines HP sont équipées de HP Sure Start, ce qui complexifie encore un peu plus l'exploitation des deux vulnérabilités.

Finalement, nous sommes face à deux vulnérabilités importantes, mais qui sont vraiment en bout de chaîne puisqu'il faut déjà que la machine de la victime soit compromise.

Source

The post HP corrige 2 vulnérabilités dans le BIOS d’une centaine de modèles ! first appeared on IT-Connect.

Windows 11 : la KB5013943 fait planter de nombreuses applications !

12 mai 2022 à 08:28

Suite à l'installation de la mise à jour KB5013943 sur Windows 11, de nombreux utilisateurs ne parviennent plus à lancer certaines applications sur leur PC. Une erreur 0xc0000135 s'affiche. Que se passe-t-il ?

À l'occasion de la sortie du Patch Tuesday de Mai 2022, Microsoft a mis en ligne de nouvelles mises à jour pour Windows Server, Windows 10 et Windows 11. La mise à jour pour Windows 11, estampillée KB5013943, est là pour corriger des failles de sécurité, ainsi que des bugs fonctionnels.

Comme je le disais dans mon article dédié à cette mise à jour, Microsoft a corrigé un bug qui empêchait les applications .NET Framework 3.5 de s'ouvrir. Plus précisément, seules les applications qui utilisent les composants WCF (Windows Communication Foundation) et WWF (Windows Workflow) pouvaient être victime de ce problème.

Alors même si ce bug est corrigé, désormais le problème semble bien plus grave puisque de nombreuses applications ne veulent plus s'ouvrir et le message "The application was unable to start correctly (0xc0000135). Click OK to close the application." ("L'application n'est pas en mesure de démarrer correctement (0xc0000135). Cliquez sur OK pour fermer l'application") s'affiche à l'écran.

Voici le genre de copie d'écran que l'on peut voir sur le forum Microsoft Answers :

Windows 11 0xc0000135

D'après les utilisateurs qui ont pu constater ce problème, les applications concernées sont diverses et variées : ProtonVPN, PowerShell, Observateur d'événements, Sound Blaster Command, KeePass, Visual Studio, Discord, ShareX, etc. Ce problème concerne aussi des applications qui sont configurées en démarrage automatique.

Comment corriger l'erreur 0xc0000135 de Windows 11 ?

La méthode la plus radicale, c'est de désinstaller la mise à jour, mais ce n'est pas l'idéal, car cela implique de se passer des derniers correctifs de sécurité.

Par ailleurs, certains utilisateurs affirment qu'ils ont pu résoudre le problème en installant ou réinstallant .NET Framework 3.5 et .NET Framework 4.8 sur leur PC. Pour cela, recherchez "Fonctionnalités" dans le menu Démarrer et cliquez sur "Activer ou désactiver des fonctionnalités de Windows" afin de cocher les options correspondantes.

Comment corriger l'erreur 0xc0000135 de Windows 11 ?

Avez-vous rencontré ce problème de votre côté ?

Source

The post Windows 11 : la KB5013943 fait planter de nombreuses applications ! first appeared on IT-Connect.

Relais NTLM : cette faille zero-day touche toutes les versions de Windows !

11 mai 2022 à 12:01

Microsoft a corrigé une faille de sécurité zero-day qui touche toutes les versions de Windows, que ce soit les versions desktop ou les versions server. En l'exploitant, un attaquant non authentifié peut intercepter des requêtes d'authentification légitimes et les réutiliser pour s'authentifier à son tour auprès d'un annuaire Active Directory. On parle d'une attaque de type relais NTLM.

Même si j'ai déjà évoqué cette vulnérabilité au sein de mon article dédié au Patch Tuesday de Mai 2022, je souhaite insister sur cette faille, car elle est particulièrement dangereuse dans les environnements où l'authentification s'appuie sur un annuaire Active Directory. Elle touche le protocole d'authentification NTLM (NT Lan Manager) et LSA (Local Security Authority) associé au processus d'identification des utilisateurs "lsass.exe" sous Windows.

Associée à la référence CVE-2022-26925, cette faille de sécurité semble être un nouveau vecteur exploitable pour réaliser une attaque par "relais NTLM" comme PetitPotam (une faille de sécurité découverte en juillet 2021 par Lionel Gilles). Cette fois-ci, c'est Raphael John de l'entreprise allemande Bertelsmann Printing Group qui a reporté cette faille de sécurité à Microsoft. PetitPotam est une vulnérabilité bien connue des pirates informatiques et elle est utilisée dans le cadre d'attaques, y compris par certains ransomwares tels que LockFile.

Pour exploiter ce nouveau vecteur, le pirate n'a pas besoin d'être authentifié, mais c'est tout de même une attaque relativement complexe à mener. L'objectif étant d'intercepter des requêtes d'authentification entre un client et un contrôleur de domaine afin de pouvoir les rejouer, donc l'attaquant doit réaliser une attaque de type man-in-the-middle (MITM). Dans le cas où il réussit son coup, il peut s'authentifier auprès du contrôleur de domaine dans le but de compromettre le domaine.

Au sein de son bulletin de sécurité, Microsoft précise : "Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit.".

Comment se protéger de la vulnérabilité CVE-2022-26925 ?

En mettant à jour vos machines ! Cette mise à jour doit être installée dès que possible sur vos machines sous Windows, en traitant en priorité les contrôleurs de domaine. Toutes les versions de Windows sont touchées, de Windows 7 à Windows 11, et de Windows Server 2008 à Windows Server 2022.

Selon votre version de Windows Server, le numéro de KB n'est pas le même. Voici une liste :

  • Windows Server 2022 : KB5013944
  • Windows Server 2019 : KB5013941
  • Windows Server 2016 : KB5013952
  • Windows Server 2012 R2 : KB5014011
  • Windows Server 2012 : KB5014017

En complément, et pour se protéger contre les attaques par relais NTLM, voici quelques liens utiles :

Concernant les mises à jour de mai 2022 pour Windows 10 et Windows 11, voici le lien vers mes articles :

The post Relais NTLM : cette faille zero-day touche toutes les versions de Windows ! first appeared on IT-Connect.

Windows 11 KB5013943 : quoi de neuf ?

11 mai 2022 à 11:20

Microsoft a mis en ligne la mise à jour KB5013943 pour Windows 11 dans le but de corriger des bugs, mais également des failles de sécurité. C'est un rituel tous les mois, et comme Windows 10, le système Windows 11 a également le droit à sa mise à jour mensuelle. Quoi de neuf dans cette mise à jour ? Réponse dans cet article.

Au total, ce sont 27 changements qui sont apportés à Windows 11, et Microsoft met en avant les améliorations et correctifs suivants :

  • Microsoft a corrigé un bug qui empêchait les applications .NET Framework 3.5 de s'ouvrir. Plus précisément, seules les applications qui utilisent les composants WCF (Windows Communication Foundation) et WWF (Windows Workflow) avaient ce problème.
  • Microsoft a corrigé un problème qui provoquait le scintillement de votre écran, dans le cas où Windows 11 est démarré en mode sans échec (notamment dans l'Explorateur de fichiers et la barre des tâches).
  • Microsoft a corrigé un problème de sous-titres vidéo partiellement coupés ou mal alignés à l'écran.
  • Si vous positionnez la barre des tâches sur la gauche, Windows 11 affiche désormais la température au-dessus de l'icône météo.
  • Les boutons pour réduire, agrandir ou fermer une fenêtre fonctionnent désormais correctement dans les applications.

Pour en savoir plus sur les changements, il faut se référer à un ancien article mis en ligne sur le site de Microsoft en avril dernier et disponible à cette adresse, ainsi qu'à la vidéo de cet article officiel. Personnellement, sur ma machine Windows 11, deux mises à jour sont arrivées ce matin :

  • KB5013943 : 2022-05 Mise à jour cumulative pour Windows 11 pour les systèmes x64
  • KB5013628 : 2022-05 Mise à jour cumulative pour .NET Framework 3.5 pour et 4.8 pour Windows 11 pour les systèmes x64

Après l'installation, le numéro de version de Windows 11 passe sur 22000.675. Désormais, c'est à vous de jouer : à vos mises à jour !

Pour les correctifs de sécurité, retrouvez des informations sur le Patch Tuesday de Mai 2022 dans cet article : Patch Tuesday - Mai 2022. En ce qui concerne Windows 10, j'ai également publié des informations au sujet des mises à jour KB5013942 et KB5013945.

Source

The post Windows 11 KB5013943 : quoi de neuf ? first appeared on IT-Connect.

Mises à jour Windows 10 de mai 2022 : KB5013942 et KB5013945

11 mai 2022 à 11:04

Dans le but de corriger des failles de sécurité et des bugs, Microsoft a mis en ligne de nouvelles mises à jour cumulatives pour Windows 10, en ce qui concerne les versions toujours sous support.

Microsoft a mis en ligne les mises à jour KB5013942 et KB5013945 afin de couvrir les versions suivantes de Windows 10 : Windows 10 version 1909,  Windows 10 20H2, Windows 10 21H1 et Windows 10 21H2. Par ailleurs, Windows 10 20H1 (version 2004) va également recevoir une mise à jour pour les éditions Entreprise et Education uniquement car cette version n'est plus supportée depuis le 14 décembre 2021.

Sur son site, Microsoft précise qu'il s'agit de la dernière mise à jour pour les versions 1909 et 20H2, car le support a pris fin le 10 mai 2022. Pour Windows 10 version 1909, cela concerne toutes les versions y compris Entreprise et Education, tandis que pour Windows 10 version 20H2, cette fin du support s'applique aux éditions suivantes : Pro, Education, et Pro for Workstations.

En résumé :

- KB5013942 pour Windows 10 20H2, Windows 10 21H1 et Windows 10 21H2
- KB5013945 pour Windows 10 version 1909

Quels sont les changements apportés ?

Bon, sinon, quelles sont les changements "majeurs" apportés par ces mises à jour ? Tout d'abord, Microsoft a corrigé un bug qui se produisait au démarrage de certaines machines et qui rendait le démarrage lent. Ensuite, nous retrouvons les corrections de bug suivantes déjà évoquées par Microsoft dans une mise à jour "preview" :

  • Mise à jour de la maintenance du composant Secure Boot de Windows pour inclure de nouvelles améliorations.
  • Bug entraînant un plantage d'Internet Explorer lors d'un copier-coller de texte à partir d'un IME.
  • Bug qui provoque un écran noir pour certains utilisateurs lorsqu'ils se connectent et se déconnectent de Windows.
  • Bug où la sélection d'un fichier OneDrive est perdue après avoir renommé le fichier et appuyé sur Entrée.
  • Bug à cause duquel le panneau Nouvelles et Intérêts s'ouvre tout seul.
  • Bug qui vous empêche de modifier un mot de passe expiré lorsque vous vous connectez à Windows.

Ces mises à jour sont disponibles par l'intermédiaire des canaux habituels, notamment les serveurs WSUS, Windows Update mais aussi le Catalogue Microsoft Update.

Pour les correctifs de sécurité, retrouvez des informations sur le Patch Tuesday de Mai 2022 dans cet article : Patch Tuesday - Mai 2022.

Source

The post Mises à jour Windows 10 de mai 2022 : KB5013942 et KB5013945 first appeared on IT-Connect.

Windows 10 : comment épingler des icônes à la barre des tâches par GPO ?

11 mai 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à personnaliser la barre des tâches de Windows 10 et Windows 11, par GPO, afin d'ajouter des icônes d'applications qui seront épinglés par défaut dans les sessions des utilisateurs. Lorsqu'un utilisateur se connecte la première fois sur un ordinateur Windows 10, il a plusieurs icônes épinglés à la barre des tâches : Microsoft Edge, l'Explorateur de fichiers, le Microsoft Store et l'application Courrier. C'est déjà ça, mais en entreprise, on peut avoir envie d'autre chose notamment pour épingler Word, Outlook, un lecteur PDF voire même un autre navigateur.

De la même façon qu'il est possible de personnaliser le menu Démarrer afin d'intégrer certains icônes par défaut, il est possible de personnaliser la barre des tâches pour intégrer des applications afin qu'elles soient épinglées par défaut. À la place de la disposition par défaut, telle qu'elle est présentée ci-dessous, nous allons pouvoir épingler les applications que l'on souhaite ! 🙂

Note : en ajoutant des applications à la barre des tâches, vous n'empêchez pas l'utilisateur d'épingler des applications supplémentaires.

Voici les grandes étapes à suivre pour atteindre notre objectif du jour :

  • Épingler au menu Démarrer les applications à épingler à la barre des tâches
  • Exporter la disposition du menu Démarrer au format XML pour récupérer les ID d'applications
  • Constituer le fichier XML correspondant à la disposition cible pour la barre des tâches
  • Déposer le fichier XML sur un partage accessible par les utilisateurs (pour l'application de la GPO)
  • Créer la GPO pour configurer le paramètre "Disposition de l'écran de démarrage"

Pour cette démonstration, je vais utiliser un contrôleur de domaine et un poste de travail sous Windows 10, intégré au domaine, et sur lequel je vais me connecter avec un utilisateur standard.

II. Créer le fichier XML pour la barre des tâches

Tout d'abord, nous devons créer le fichier XML correspondant à la future disposition de la barre des tâches. Concrètement, le contenu de ce fichier XML, on ne va pas le deviner... Microsoft met à disposition un modèle dans sa documentation, et on sait qu'il y a plusieurs possibilités :

  • Ajouter nos icônes personnalisés, en supplément des icônes par défaut
  • Ajouter nos icônes personnalisés, en remplaçant les icônes par défaut

Dans cet exemple, je vais faire en sorte d'avoir une barre des tâches avec trois icônes :

  • Microsoft Word
  • Microsoft Edge
  • Explorateur de fichiers

On peut considérer que c'est une configuration un peu hybride puisqu'il y a Microsoft Word qui est là en supplément, et les deux autres sont des applications par défaut. Néanmoins, comme je décide de retirer tous les icônes par défaut, il faut que je précise ces deux applications pour les intégrer à ma barre des tâches.

A. Épingler les applications au menu Démarrer

Nous devons récupérer les chemins et identifiants d'applications correspondants aux applications à ajouter à la barre des tâches. Pour cela, le plus simple, c'est de prendre une machine, d'ouvrir une session, et d'épingler au menu Démarrer (oui, j'ai bien dit au menu Démarrer) les applications que l'on souhaite épingler à la barre des tâches.

B. Exporter la disposition avec Export-StartLayout

Ensuite, grâce à la commande Export-StartLayout, on va pouvoir exporter au format XML la disposition de notre menu Démarrer et ainsi récupérer les informations dont on a besoin.

Toujours sur la même machine, nous devons exécuter la commande ci-dessous pour créer un fichier "W10-Apps.xml" sur le Bureau.

Export-StartLayout -Path "$env:userprofile\Desktop\W10-Apps.xml"

Le fichier W10-Apps.xml contient de nombreuses lignes, et notamment la déclaration de chaque application du menu Démarrer. Je retrouve bien Edge, Word et l'Explorateur. Ici, ce qui m'intéresse, c'est la valeur de la propriété "DesktopApplicationLinkPath", car elle donne le chemin vers le lien qui permet d'appeler l'application.

Gardons ces valeurs de côté, car nous allons en avoir besoin juste après.

C. Constituer le fichier XML

Pour le fichier XML qui permet de configurer la barre des tâches, j'ai repris un modèle de base de Microsoft au sein duquel j'ai ajouté la déclaration des trois applications : Word, Edge, Explorateur. Il est à noter qu'un seul fichier XML peut permettre de configurer le menu Démarrer et la barre des tâches, dans le cas où vous souhaitez configurer les deux par GPO (c'est le même paramètre de GPO).

Voici le fichier XML que nous devons appliquer :

<?xml version="1.0" encoding="utf-8"?>
<LayoutModificationTemplate
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
    xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
    xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
    Version="1">
   <CustomTaskbarLayoutCollection PinListPlacement="Replace">
    <defaultlayout:TaskbarLayout>
     <taskbar:TaskbarPinList>
      <taskbar:DesktopApp DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\File Explorer.lnk" />
      <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk" />
      <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Word.lnk"/>
     </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
   </CustomTaskbarLayoutCollection>
</LayoutModificationTemplate>

On remarque la présence des lignes "taskbar:DesktopApp" afin de déclarer les applications à épingler à la barre des tâches : vous pouvez en ajouter d'autres, à votre convenance. Petite précision : la valeur "taskbar:DesktopApp" doit être remplacée par "taskbar:UWA" lorsqu'il s'agit d'une application moderne qui doit être ouverte.

Quant à l'option "PinListPlacement="Replace"", vous devez l'intégrer uniquement si vous souhaitez remplacer la disposition par défaut, sinon vous devez la retirer afin de conserver les icônes par défaut.

Voilà pour les explications : enregistrez le fichier au format XML avant de passer à la suite.

III. Héberger le fichier XML

Le fichier XML doit être mis à disposition sur un partage afin de pouvoir être lu par les utilisateurs et être appliqué dans les sessions. Dans le cadre de cet exemple, je positionne le fichier "W10-Taskbar.xml" directement dans le partage SYSVOL de mon domaine Active Directory, mais vous pouvez choisir un autre emplacement.

Ce qui donne :

Le fichier étant accessible via le réseau, il ne reste plus qu'à créer la GPO.

IV. Configurer la barre des tâches par GPO

Il est temps de configurer la stratégie de groupe qui va exploiter le fichier XML. Pour ma part, je nomme cette GPO "Icones barre des tâches" et je crée une liaison avec l'OU "Personnel" qui contient tous mes utilisateurs. Vous pouvez aussi utiliser une GPO existante, en fait.

Modifiez la GPO et parcourez les paramètres de cette façon :

Configuration utilisateur > Stratégies > Modèles d'administration > Menu Démarrer et barre des tâches

Ici, vous allez trouver le paramètre "Disposition de l'écran de démarrage" que nous allons configurer.

GPO - Disposition de l'écran de démarrage

Cochez l'option "Activé" et renseignez l'option "Fichier de disposition de démarrage" pour préciser le chemin réseau (commençant par "\\") vers le fichier XML. Si vous avez l'option "Réappliquer la mise en page à chaque connexion", vous pouvez l'activer, mais d'après ce que j'ai pu constater, cela ne fonctionne pas pour la barre des tâches (je vais revenir sur ce point).

La GPO est prête : nous pouvons tester !

V. Tester sur un poste client

À partir d'un poste sous Windows 10, intégré au domaine, je me connecte avec la session d'un utilisateur membre de l'OU "Personnel" de mon AD. Et là, c'est magique : ma barre des tâches intègre bien les trois icônes que j'ai déclaré dans mon fichier de configuration au format XML !

Barre des tâches personnalisée par GPO

L'utilisateur est en mesure d'ajouter d'autres applications à la barre des tâches, mais aussi de supprimer celles que vous avez épinglées. Même si l'on a coché l'option "Réappliquer la mise en page à chaque connexion", cela ne semble pas fonctionner, car les icônes ne reviennent pas !

D'après mes tests, le fichier XML est réappliqué uniquement lorsqu'il est modifié ! Ainsi, si on veut simuler une modification, on peut exécuter cette commande sur un serveur ayant des droits d'écriture sur le fichier XML afin de modifier la date de dernière modification (LastWriteTime).

(ls \\it-connect.local\sysvol\it-connect.local\scripts\W10-Taskbar.xml).LastWriteTime = Get-Date

À la prochaine ouverture de session, vos icônes vont revenir, en plus de ceux de l'utilisateur ! Cela est un point faible, mais ce n'est pas gênant si vous souhaitez que cette disposition soit une configuration par défaut et que vous souhaitez laisser complètement la main à l'utilisateur. Si vous souhaitez que ce soit toujours réappliqué, vous pouvez créer une routine sur le serveur pour qu'il modifie l'attribut "LastWriteTime" du fichier à intervalle régulier (je n'ai pas mieux à vous proposer à ce jour).

Pour approfondir le sujet, notamment parce que l'on peut imaginer une disposition de barre des tâches différentes selon le pays de l'utilisateur, je vous recommande de lire cette documentation de Microsoft : Microsoft Docs - Barre des tâches.

The post Windows 10 : comment épingler des icônes à la barre des tâches par GPO ? first appeared on IT-Connect.

Patch Tuesday – Mai 2022 : 75 vulnérabilités et 3 zero-day dont une exploitée !

11 mai 2022 à 08:49

Microsoft a mis en ligne son Patch Tuesday de Mai 2022 ! Au programme, nous avons le droit 75 failles de sécurité et 3 failles zero-day dont une qui serait activement exploitée. Faisons le point.

Pour une fois, il n'y a pas de faille de sécurité corrigée dans Microsoft Edge ! Ensuite, parmi ces 75 vulnérabilités, il y en a 8 qui sont considérées comme critiques et qui correspondent à des failles de type "exécution de code à distance" ou "élévation de privilèges". Au total, il y a 26 vulnérabilités de type "exécution de code à distance" et 21 vulnérabilités de type "élévation de privilèges".

De manière générale, les produits touchés par des vulnérabilités critiques sont : Azure SHIR (ADV220001), le client Bureau à distance de Windows (CVE-2022-22017), Magnitude Simba Amazon Redshift ODBC Driver (CVE-2022-29972), l'Active Directory (CVE-2022-26923), Windows Kerberos (CVE-2022-26931), Windows NFS (CVE-2022-26937) et Windows PPTP par deux fois (CVE-2022-23270 et CVE-2022-21972).

D'autres produits sont également concernés par ce Patch Tuesday, parmi lesquels : .NET et Visual Studio, Microsoft Exchange Server, Microsoft Office, Hyper-V (trois vulnérabilités importantes), BitLocker, Windows Cluster Shared Volume, l'implémentation du protocole LDAP dans Windows (dix vulnérabilités importantes), Windows NTFS, le Spouleur d'impression de Windows (quatre vulnérabilités importantes), etc.

Trois failles 0-day dans le Patch Tuesday de Mai 2022

Parlons des trois failles 0-day corrigées par ce Patch Tuesday de Mai 2022. Tout d'abord, les deux vulnérabilités ci-dessous sont connues publiquement et elles viennent d'être patchée :

  • CVE-2022-22713 - Déni de service dans Hyper-V
    • OS : Windows Server version 20H2 (Core), Windows 10 version 21H2, Windows 10 version 21H1 et Windows 10 version 20H2
  • CVE-2022-29972 - Exécution de code à distance dans le pilote ODBC de Redshift, ce qui peut impacter certains produits Microsoft

Quant à la faille 0-day qui est actuellement exploitée dans le cadre d'attaques informatiques, il s'agit de la CVE-2022-26925 ! Cette vulnérabilité permet une nouvelle attaque de type "relais NTLM" dans le même esprit que la faille de sécurité PetitPotam découverte en 2021. Toutes les versions de Windows (desktop et server) sont affectées.

A son sujet, Microsoft précise : "Un attaquant non authentifié pourrait appeler une méthode sur l'interface LSARPC et contraindre le contrôleur de domaine à s'authentifier auprès de l'attaquant en utilisant NTLM. Cette mise à jour de sécurité détecte les tentatives de connexion anonyme dans LSARPC et les interdit.".

Grâce à cela, l'attaquant peut intercepter des requêtes d'authentification légitimes et les réutiliser pour s'authentifier à son tour dans le but d'effectuer une élévation de privilèges. Une vulnérabilité particulièrement dangereuse pour les entreprises qui utilisent un Active Directory !

On se retrouve un peu plus tard pour parler des mises à jour cumulatives pour Windows 10 et Windows 11 qui viennent de sortir...

Source

The post Patch Tuesday – Mai 2022 : 75 vulnérabilités et 3 zero-day dont une exploitée ! first appeared on IT-Connect.

Générer une demande de certificat (CSR) avec OpenSSL

10 mai 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment générer un CSR avec OpenSSL sous Linux, afin de pouvoir faire une demande de certificat SSL.

Il m'arrive assez régulièrement de commander des certificats SSL, qui sont ensuite mis en place sur des serveurs Web pour utiliser le protocole HTTPS afin d'accéder à des applications Web ou des sites Web. Pendant le processus d'achat du certificat SSL, il est demandé de préciser le CSR, c'est-à-dire les informations associées à la demande de certificat. Sans le CSR, la demande de certificat ne pourra pas aboutir. La création du CSR sera associée à la génération d'une clé privée, qu'il faudra conserver sur le serveur qui héberge l'application Web.

Après une présentation de cette notion de CSR, nous verrons comment générer une demande de certificat. Pour ma part, je vais utiliser une machine sous Linux pour utiliser OpenSSL même si l'on pourrait l'installer sous Windows, ou passer par WSL.

II. À quoi sert la demande de signature de certificat ?

Par l'intermédiaire d'OpenSSL, nous allons générer une clé publique ainsi que la clé privée associée. Grâce à cette clé privée, nous allons pouvoir signer la demande de certificat, ce qui sera utile pour l'autorité de certification. Cette demande de certificat contiendra la clé publique ainsi que des informations sur l'entité à l'origine de la demande, notamment les coordonnées, ainsi que le nom de l'hôte ou du domaine. Le terme "demande de certificat" correspond en fait à une demande de signature de certificat : CSR pour Certificate Signing Request.

Ensuite, l'autorité de certification va signer le CSR avec sa propre clé privée afin de donner lieu au certificat final qu'il faudra déployer sur le site Web.

Pour approfondir le sujet du HTTPS et des certificats, je vous recommande de lire cet article : du HTTP au HTTPS.

III. Générer un CSR avec OpenSSL

Tout d'abord, connectez-vous à votre serveur en SSH ou en console directement. Sous Linux, l'emplacement par défaut où sont stockés les certificats est le répertoire "/etc/ssl/certs", donc je vais utiliser ce répertoire dans le cadre de cet exemple. Commençons par se positionner dans ce répertoire :

cd /etc/ssl/certs

Une fois dans ce dossier, nous allons utiliser OpenSSL pour générer une nouvelle clé privée et une demande de certificat associée. Le CSR sera transmis à l'autorité de certification qui doit nous fournir le certificat SSL, tandis que la clé privée restera sur le serveur Web. En général, on génère le CSR depuis l'hôte qui va recevoir le certificat au final, mais ce n'est pas obligatoire.

Voici la commande à exécuter :

sudo openssl req -sha256 -nodes -newkey rsa:2048 -keyout domaine.fr.key -out domaine.fr.csr

Cette commande va créer deux fichiers :

  • La clé privée RSA domaine.fr.key de 2048 bits (taille de la clé)
  • Le CSR domaine.fr.csr

Vous pouvez utiliser d'autres noms pour les fichiers, mais je vous recommande de préciser le nom de domaine (ou le nom d'hôte selon l'usage) afin que ce soit parlant. Lorsque l'on va exécuter cette commande, les deux fichiers ne seront pas générés immédiatement. En effet, il faudra répondre à une série de questions afin d'indiquer le pays, le nom de l'entreprise, etc... Ces informations seront visibles dans le certificat final.

Vous devez être vigilant au moment où la question "Common Name (e.g. server FQDN or YOUR name)" s'affiche ! Si vous générez un certificat pour un site Web (ou une application Web), il est impératif que le nom de domaine que vous indiquez corresponde au nom de domaine utilisé par le site Web qui va bénéficier de ce certificat.

Par exemple avec "domaine.fr" :

Générer un CSR avec OpenSSL

À la fin du processus, on peut vérifier l'existence des deux fichiers avec la commande suivante :

ls domaine.fr.*

Puis, on peut afficher le contenu de notre demande de certificat :

cat domaine.fr.csr

Aperçu d'un CSR

Avant de transmettre la demande à l'autorité de certification, vous pouvez vérifier les informations contenues dans le CSR, si vous le souhaitez. Ce n'est pas obligatoire, mais cela pourra rassurer certaines personnes. Pour cela, on utilise encore OpenSSL, en précisant en entrée le fichier CSR précédemment généré :

openssl req -in domaine.fr.csr -noout -text

On obtient, par exemple :

Afficher le contenu d'un CSR

Votre demande de certificat est prête ! Copiez l'intégralité de la sortie, y compris la première et la dernière ligne, et fournissez cette information à l'autorité de certificat auprès de laquelle vous demandez votre certificat SSL. Ensuite, le processus va pouvoir aboutir et votre certificat sera généré ! 🙂

The post Générer une demande de certificat (CSR) avec OpenSSL first appeared on IT-Connect.
❌