Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierIT-Connect

Bon plan chez GoDeal24 : Office 2021 Pro à partir de 15€, Windows 11 Pro à partir de 11€

7 mars 2024 à 13:07

Notre partenaire GoDeal24 vient de lancer une nouvelle vente flash spéciale "Microsoft Office" ! A cela s'ajoutent d'autres offres synonymes de tarifs réduits sur les licences Windows 10, Windows 11, mais aussi sur certains logiciels (hors Microsoft).

Si vous aviez manqué les précédentes ventes flash, alors voilà l'occasion de vous rattraper. Sachez que vous pouvez retrouver toutes les offres de cette vente flash spéciale Office sur cette page. Il y a également des offres pour des licences pour 50 ou 100 machines, ce qui est assez rare.

⭐ Microsoft Office pour 1, 2 ou 5 ordinateurs, pour Windows ou Mac

⭐ Windows 10 ou Windows 11 : à vous de choisir !

Voici les offres pour Windows 11 :

Voici les offres pour Windows 10 :

A ce jour, la mise à niveau de Windows 10 vers Windows 11 reste gratuite et Windows 10 est pris en charge par Microsoft jusqu'en octobre 2025.

⭐ Bundles Windows + Office

Vous devez utiliser le code promo "GG62" pour bénéficier de ces tarifs.

⭐ Des licences pour 50 ou 100 PC

⭐ Visio, Project, Visual Studio 2022 et Windows Server

Pour bénéficier des offres ci-dessus, veuillez utiliser le code suivant : GG50.

⭐ Bonus : des logiciels à prix réduits

Plus d'offres sur les logiciels sur cette page !

Au sujet des licences

GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieue la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.

Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 94% d'évaluations 5 étoiles pour GoDeal24.

Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante : [email protected]

The post Bon plan chez GoDeal24 : Office 2021 Pro à partir de 15€, Windows 11 Pro à partir de 11€ first appeared on IT-Connect.

Nouvelles offres chez GoDeal24 : Office 2021 Pro à 26.75€, Windows 11 Pro à 13.55€

20 mars 2024 à 17:00

Célébrons l'arrivée du printemps 2024 avec cette nouvelle vente flash de notre partenaire GoDeal24 ! A cette occasion, le tarif des licences Microsoft et de certains logiciels est très intéressant !

Les offres sont très nombreuses, que ce soit sur les produits Microsoft Office, Windows 10, Windows 11, etc... Et GoDeal24 propose même des packages de 50 ou 100 clés de licences pour Windows et Office ! Sachez que vous pouvez retrouver toutes les offres de cette vente flash sur cette page.

⭐ Microsoft Office, Visio et Project en tête d'affiche !

Pour profiter des offres ci-dessus, utilisez le code promo "GG62".

⭐ Windows 10 ou Windows 11 : faites votre choix, mais souvenez-vous que la mise à niveau de Windows 10 vers Windows 11 est toujours gratuite !

Pour profiter des offres ci-dessus, utilisez le code promo "GG50".

⭐ Bundles Windows + Office

Vous devez utiliser le code promo "GG62" pour bénéficier de ces tarifs.

⭐ Ventes en gros, prix imbattables !

⭐ Windows Server, Visual Studio 2022 et Windows 10 Enterprise LTSC

Pour profiter des offres ci-dessus, utilisez le code promo "GG50".

⭐ Bonus : des logiciels à prix réduits

Plus d'offres sur les logiciels sur cette page !

Au sujet des licences

GoDeal24 propose des licences commerciales (plusieurs ordinateurs) et des licences OEM (associées au matériel sur lequel l'activation aura lieue la première fois). Le mode d'activation est différent, mais les fonctionnalités sont les mêmes. Conformément à la décision de la Cour de justice de l'Union européenne, les clés de logiciels d'occasion peuvent être vendues dans l'Union européenne en toute légalité.

Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 98% d'évaluations positives.

Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante : [email protected]

The post Nouvelles offres chez GoDeal24 : Office 2021 Pro à 26.75€, Windows 11 Pro à 13.55€ first appeared on IT-Connect.

Linux : comment utiliser grep pour rechercher un mot dans plusieurs fichiers et dossiers ?

25 janvier 2024 à 18:19

I. Présentation

Dans ce tutoriel, nous allons utiliser la commande "grep" sous Linux pour rechercher la présence d'un mot dans plusieurs fichiers et dossiers, sur une machine Linux (Debian 12, pour cet exemple).

La commande "grep" fait partie des commandes indispensables lorsqu'il est question d'administration de machines Linux. D'ailleurs, vous avez peut-être déjà utilisé la commande grep pour rechercher une chaine de caractère dans un fichier. Cette fois-ci, nous irons plus loin puisque nous allons effectuer une recherche dans plusieurs fichiers ou dossiers.

Les cas d'utilisation sont nombreux :

  • Rechercher les occurrences d'une adresse IP dans des fichiers
  • Rechercher les occurrences d'un nom d'utilisateur
  • Rechercher les occurrences d'une fonction dans un ensemble de scripts
  • Etc...

Sur un environnement Windows, vous pouvez utiliser le cmdlet PowerShell "Select-String" pour effectuer des recherches similaires :

Version d'origine de l'article : 15 août 2012

II. La commande grep et la récursivité

Pour que la commande grep recherche dans les fichiers et dossiers de façon récursive, nous devons utiliser l'option "-r". La syntaxe de la commande sera la suivante :

grep -r "mot à rechercher" /chemin/vers/le/dossier

Par exemple, si nous voulons rechercher tous les fichiers contenants le mot "it-connect" sur tout le système (la racine "/" est notre point de départ), nous allons utiliser cette commande :

grep -r "it-connect" ./

Nous pouvons également rechercher à partir d'un autre répertoire. Par exemple, si l'on souhaite rechercher dans tous les fichiers et dossiers sous "/home", nous utiliserons cette commande :

grep -r "it-connect" /home/

Voici le résultat obtenu :

Grep rechercher mot dans plusieurs fichiers dossiers

Cela signifie qu'après avoir analysé le contenu de tous les fichiers présents dans "/home/" et dans tous les sous-dossiers présents sous cette racine, grep a trouvé uniquement un seul résultat. Il s'agit du fichier "/home/flo/document.txt" et grep a identifié la chaine "www.it-connect.fr" à l'intérieur.

III. Quelques options supplémentaires

A. Grep : ne pas tenir compte de la casse

Pour étendre légèrement votre recherche, vous pouvez utiliser l'option "-i" au lancement de votre commande pour rendre grep insensible à la casse. Sinon, sans cette option, la commande est sensible à la casse, ce qui signifie qu'elle fait la distinction entre les minuscules et les majuscules, ce qui peut influencer le résultat de la recherche (c'est un mode plus strict).

grep -r -i "it-connect" /home/
# ou
grep -ri "it-connect" /home/

Cela donnera le résultat suivant:

Nous pouvons voir que la commande retourne un résultat supplémentaire, dans une page HTML où grep a pu identifier la chaine "IT-Connect".

B. Grep : afficher seulement les noms de fichiers

Vous pouvez simplifier le résultat de votre recherche en y ajoutant l'option "-l". Ainsi, seuls les noms des fichiers apparaitront. Sans cette option, et comme nous l'avons vu précédemment, vous aurez le nom du fichier ainsi que le contenu de la ligne contenant le mot recherché, ce qui peut rendre le résultat de la recherche peu lisible s'il y a beaucoup de résultats.

grep -r -i -l "it-connect" /home/
# ou
grep -ril "it-connect" /home/

Cela donnera le résultat suivant :

C: Grep : afficher les numéros de ligne

Nous pouvons afficher le numéro de ligne où une chaîne a été trouvée en utilisant l'option "-n" avec la commande grep. Cette option ne peut pas être utilisée conjointement avec l'option "-l".

grep -r -i -n "it-connect" /home/
# ou 
grep -rin "it-connect" /home/

Ainsi, nous pouvons que pour le premier résultat, la chaine a été identifiée sur la ligne n°1, tandis que pour le second résultat, la chaine a été identifié sur la ligne n°3.

grep avec numero de ligne

Une fois de plus, nous pouvons constater que grep contient beaucoup d'options d'exécution, ce qui en fait un outil très puissant !

IV. Conclusion

Grâce à cette commande facile à utiliser, nous pouvons effectuer une recherche rapidement sur un système Linux. Ceci peut permettre de gagner un temps précieux...!

The post Linux : comment utiliser grep pour rechercher un mot dans plusieurs fichiers et dossiers ? first appeared on IT-Connect.

Les pirates exploitent une faille dans une extension WordPress avec plus d’un million d’installations

26 janvier 2024 à 07:00

Une campagne de cyberattaque est actuellement menée par des pirates dans le but de compromettre des sites WordPress grâce à l'exploitation d'une faille de sécurité critique présente dans l'extension "Better Search Replace". Faisons le point sur cette menace.

Tout d'abord, parlons de l'extension Better Search Replace pour WordPress en elle-même. Elle facilite les opérations de modifications massives dans la base de données d'un ou plusieurs sites WordPress, notamment avec une puissante fonction de type "Rechercher et remplacer". C'est une extension relativement populaire puisqu'elle compte plus d'un million d'installations !

Il y a quelques jours, WP Engine, l'éditeur de cette extension, a mis en ligne la version 1.4.5 de cette extension dans le but de corriger la faille de sécurité critique associée à la référence CVE-2023-6933 et de type "PHP object injection".

D'après une publication de Wordfence, une solution spécialisée dans la sécurité des sites WordPress, cette vulnérabilité pourrait permettre l'exécution de code à distance, de récupérer des données sensibles ou de supprimer des fichiers. Toujours d'après Wordfence, cette faille de sécurité n'est pas directement exploitable via l'extension Better Search Replace, mais par l'intermédiaire d'un autre plugin ou thème installé sur le même site et qui contiendrait une chaîne POP (Property Oriented Programming).

Comment se protéger ?

La vulnérabilité affecte toutes les versions de l'extension "Better Search Replace" jusqu'à la version 1.4.4. Vous l'aurez compris, si vous utilisez cette extension, il est fortement recommandé d'effectuer la mise à jour vers la version 1.4.5 dès que possible. C'est urgent, car au cours des dernières 24 heures, le système de Wordfence a bloqué plus de 2 000 tentatives d'exploitation de cette vulnérabilité.

Cette extension a été beaucoup téléchargée au cours des 7 derniers jours, ce qui pourrait être un signe que de nombreux administrateurs ont fait le nécessaire pour se protéger. Mais, il y a encore plusieurs milliers de sites vulnérables, car au moins 18.7% des sites Web utilisent une version antérieure à la version majeure 1.4. Sans compter les sites qui utilisent une version 1.4.X inférieure à la version 1.4.5, mais WordPress ne fournit pas de statistiques sur les versions mineures utilisées, donc c'est difficile de le savoir.

Source

The post Les pirates exploitent une faille dans une extension WordPress avec plus d’un million d’installations first appeared on IT-Connect.

Ransomware Akira : une cyberattaque d’envergure perturbe la vie quotidienne des Suédois !

26 janvier 2024 à 07:24

La Suède est actuellement victime d'une cyberattaque d'envergure qui impacte de nombreuses organisations et administrations du pays, ce qui complique également la vie quotidienne des Suédois. Faisons le point sur cet incident.

Dans la nuit du 19 au 20 janvier 2024, un centre de données de l'entreprise Suédois-Finlandaise Tietoevry a été ciblé par une cyberattaque lors de laquelle les pirates ont utilisé le ransomware Akira pour chiffrer une partie des systèmes, notamment des serveurs de l'infrastructure de virtualisation. Il s'agit d'une cyberattaque attribuée au gang de ransomware Akira, en lien avec la Russie.

Suite à cette intrusion, les systèmes impactés ont été isolés pour limiter la propagation de l'attaque et désormais les équipes techniques de Tietoevry travaillent sur la restauration des systèmes.

"Actuellement, Tietoevry ne peut pas dire combien de temps durera le processus de restauration dans son ensemble - compte tenu de la nature de l'incident et du nombre de systèmes spécifiques au client à restaurer, le délai total peut s'étendre sur plusieurs jours, voire plusieurs semaines.", peut-on lire dans le dernier communiqué publié par la société de service. Pendant ce temps, le quotidien des Suédois est perturbé.

Une cyberattaque avec des conséquences à l'échelle du pays

La cyberattaque en Suède est un événement grave puisque l'indisponibilité des services de Tietoevry fait que de nombreux systèmes d'achat en ligne de cinémas, de boutiques, de grands magasins, ont été rendus inopérants. Suite à cet incident, certaines enseignes ont été contraintes de baisser le rideau temporairement...

Par ailleurs, certains services administratifs suédois mais également des écoles et des hôpitaux sont perturbés par cette cyberattaque. Statens Servicecenter, le système centralisé de ressources humaines utilisées par les administrations, a été paralysé, ce qui empêche les employés d'effectuer certaines actions administratives (la prise de congés, par exemple). Au total, on parle de 60 000 employés affectés et 120 administrations.

Une fois de plus, cet incident majeur montre bien que toutes les organisations et toutes les administrations doivent renforcer la sécurité de leur système pour se protéger des cyberattaques et limiter les impacts éventuels de celles-ci. N'importe quel pays peut être pris pour cible, que ce soit la Suède, la France, ou une autre nation...

Source

The post Ransomware Akira : une cyberattaque d’envergure perturbe la vie quotidienne des Suédois ! first appeared on IT-Connect.

GPO – Désactiver l’option « Interrompre les mises à jour » de Windows Update

26 janvier 2024 à 17:00

I. Présentation

Dans ce tutoriel, nous allons voir comment créer une stratégie de groupe (GPO) pour désactiver l'option "Interrompre les mises à jour" présente dans Windows Update, sur Windows 10 et Windows 11.

Sans cette action de notre part, un utilisateur peut décider de suspendre les mises à jour pendant 1 semaine ou plusieurs semaines (maximum 5 semaines) sur sa machine Windows. Ce n'est pas souhaitable, car les administrateurs doivent garder le contrôle sur le comportement des appareils. Ainsi, grâce à cette GPO, un utilisateur ne pourra pas prendre la décision de désactiver temporairement les mises à jour.

En fait, je fais référence à cette option :

Windows Update - Désactiver option Interrompre les mises à jour

II. Créer la GPO

Ouvrez la console de gestion des stratégies de groupe et créez une nouvelle GPO. Vous pouvez aussi ajouter à ce paramètre à une GPO existante. Dans cet exemple, la stratégie sera la suivante :

GPO - Windows Update - Désactiver interrompre mise à jour

Ensuite, effectuez un clic droit sur la stratégie de groupe afin de la modifier. Puis, parcourez les paramètres de GPO de cette façon :

  • Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Windows Update > Gérer l'expérience utilisateur final

Il est possible que vous n'ayez pas le dossier "Gérer l'expérience utilisateur final" : tout dépend quelle version des modèles d'administration vous utilisez. Dans ce cas, ce n'est pas si grave : vous devriez retrouver le paramètre à configurer directement dans "Windows Update".

GPO - Windows Update - Bloquer interruption des updates

En ce qui concerne le paramètre à configurer, il porte le nom suivant : "Supprimer l'accès à la fonctionnalité Interrompre les mises à jour".

Vous devez le configurer de façon à définir son statut "Activé", comme ceci :

GPO - Supprimer l'accès à la fonctionnalité Interrompre les mises à jour

Voilà, validez. La GPO est prête ! Il ne reste plus qu'à l'associer aux bonnes unités d'organisation pour l'appliquer à vos appareils Windows.

III. Tester la GPO

Pour tester, nous devons accéder à une machine Windows concernée par la stratégie de groupe et effectuez la commande habituelle nous permettant de rafraichir les GPO :

gpupdate /force

Ensuite, après redémarrage, nous pourrons constater que l'option est bien désactivée ! Même en tant qu'administrateur, nous n'avons plus la possibilité de suspendre les mises à jour Windows Update :

IV. Conclusion

Voilà, grâce à ce paramètre de GPO très simple à mettre en pratique, vous pouvez verrouiller la fonctionnalité "Interrompre les mises à jour" de Windows Update.

S'il y a des amateurs de Registre Windows, sachez que ce paramètre correspond à la configuration de la valeur "SetDisablePauseUXAccess" (de type DWORD (32-bit") dans le Registre (positionnée à "1" pour désactiver la fonctionnalité) :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

The post GPO – Désactiver l’option « Interrompre les mises à jour » de Windows Update first appeared on IT-Connect.

iPhone : Apple va vous proposer de remplacer Safari par l’un de ces 11 navigateurs !

26 janvier 2024 à 18:00

Apple, à l'instar de Microsoft, doit se mettre en conformité avec le Digital Markets Act (DMA) européen. Pour cela, le navigateur Safari ne pourra plus être imposé aux utilisateurs sur iPhone afin de leur laisser le choix. Voici ce qu'il faut savoir sur cette annonce !

Depuis plusieurs mois, les annonces de Microsoft, Apple, Meta, etc.... s'enchainent afin d'effectuer des changements dans leurs applications et systèmes qui visent à se mettre en conformité avec le Digital Markets Act. Ce nouveau règlement entrera en vigueur le 6 mars 2024. D'ailleurs, cette semaine, Microsoft a commencé à déployer une mise à jour pour qu'il soit possible de désinstaller le navigateur Edge et les autres applications natives Microsoft au sein de Windows 10 et Windows 11.

Cette fois-ci, c'est au tour d'Apple de faire une annonce : offrir la possibilité à l'utilisateur de choisir un autre navigateur Internet à la place de Safari lors de la première utilisation de...Safari sur l'iPhone ! L'expérience sera donc différente vis-à-vis de ce que Google propose avec Android puisque la question est posée lors de l'initialisation de l'appareil.

La question que l'on se pose, et elle est légitime : quels seront les choix offerts aux utilisateurs d'iPhone ?

Tout d'abord, il faut savoir que tous les utilisateurs européens n'auront pas les mêmes choix : Apple va s'adapter à chaque pays et ce changement sera intégré à iOS 17.4.

Si l'on prend l'exemple de la France, voici la liste de navigateurs qui sera proposée aux propriétaires d'iPhone (liste obtenue par Numerama auprès d'Apple) :

  • Safari
  • Aloha
  • Brave
  • Chrome
  • DuckDuckGo
  • Ecosia
  • Edge
  • Firefox
  • Onion Browser
  • Opera
  • Private Browser Deluxe
  • Qwant

Certains noms sont plus familiers que d'autres, et il faut savoir qu'il n'y aura pas de favoritisme : Safari ne sera pas toujours proposé en première position. En fait, Apple va présenter cette liste dans un ordre aléatoire. Dans tous les cas, le navigateur que vous choisissez pourra remplacer complètement Safari !

Par ailleurs, Apple a également annoncé qu'il sera possible d'installer des applications à partir d'autres magasins d'applications que l'App Store (pas sûr que ce soit une bonne nouvelle ?) et que la puce NFC de l'iPhone serait ouverte aux alternatives à Apple Pay.

Qu'en pensez-vous ?

Source

The post iPhone : Apple va vous proposer de remplacer Safari par l’un de ces 11 navigateurs ! first appeared on IT-Connect.

Microsoft a publié la première version preview de Windows Server 2025 !

26 janvier 2024 à 22:35

Microsoft a mis en ligne la première version "Preview" de Windows Server 2025 ! Elle est accessible aux membres du programme Windows Server Insider !

Pour finir la semaine en beauté, Microsoft a publié une nouvelle version de Windows Server : "Windows Server Insider Preview 26040" ! Il s'agit de la première version "Preview" de Windows Server 2025, la future version majeure de cet OS. "Nous avons repris le programme Windows Server Insider après notre pause hivernale et il y a une nouvelle version, de nouvelles fonctionnalités et, enfin, la marque officielle : Windows Server 2025.", peut-on lire sur le site de Microsoft.

Les nouveautés de Windows Server 2025

Microsoft en a profité pour donner un aperçu des premières nouveautés qui seront présentes dans Windows Server 2025 ! Il y a quelques informations dans cet article, au sein duquel nous pouvons lire ce qui suit :

"Voici quelques domaines dans lesquels nous investissons :

  • Windows Server Hotpatching pour tous
  • Active Directory et SMB de nouvelle génération
  • Données et stockage critiques
  • Hyper-V et IA
  • Et bien plus encore…"

En ce qui concerne les évolutions pour le SMB, Microsoft évoque la possibilité d'utiliser un port alternatif pour le SMB, l'ajout de SMB over QUIC, la désactivation de NTLM pour les connexions SMB sortantes, l'activation de la signature SMB par défaut, une meilleure gestion des flux dans le pare-feu, ou encore le fait de pouvoir forcer l'utilisation du chiffrement SMB.

Windows Server 2025 - Nouveautés SMB
Source : Microsoft

En ce qui concerne la gestion des mises à jour, il semblerait que tout le monde puisse bénéficier du Hotpatching, c'est-à-dire de l'installation des mises à jour à chaud sur Windows Server (sans redémarrage) alors que jusqu'ici, c'était réservé aux instances sur Azure. Microsoft évoque également la possibilité de migrer de Windows Server 2022 vers Windows Server 2025 simplement via Windows Update (comme pour Windows 11).

Par ailleurs, sachez que le Wi-Fi sera activé par défaut sur Windows Server 2025, à condition d'avoir du matériel compatible. Jusqu'ici, le composant Wi-Fi devait être activé manuellement par un administrateur. Il y aura également une meilleure prise en charge des GPU au travers d'Hyper-V (support GPU-P), ce qui devrait plaire aux amateurs d'Intelligence Artificielle.

Enfin, Windows Server 2025 sera commercialisé sous la forme de licence perpétuelle, mais également selon le modèle "Pay-as-you-Go" (PayGo).

Windows Server 2025 pay-as-you-go

Si vous souhaitez en savoir plus, vous pouvez regarder cette session de la dernière édition de Microsoft Ignite.

Dans un précédent article, nous avions parlé des nouveautés à venir pour l'Active Directory :

Comment télécharger la preview de Windows Server 2025 ?

Si certains d'entre vous souhaitent déjà installer cette version preview pour avoir un premier aperçu des nouveautés de Windows Server 2025, voici les étapes à effectuer :

1 - Vous devez rejoindre le programme Windows Server Insider avec un compte Microsoft (professionnel ou personnel)

2 - Quand c'est fait, vous devez accéder à cette page pour télécharger l'image ISO de Windows Server Preview

Une fois que l'image ISO est en votre possession, il ne reste plus qu'à faire l'installation !

Microsoft fournit également les clés de licence suivantes pour activer cette version preview :

  • Windows Server 2025 Standard : MFY9F-XBN2F-TYFMP-CCV49-RMYVH
  • Windows Server 2025 Datacenter : 2KNJJ-33Y9H-2GXGX-KMQWH-G6H67

Si vous testez, n'hésitez pas à faire vos premiers retours en commentaire !

The post Microsoft a publié la première version preview de Windows Server 2025 ! first appeared on IT-Connect.

GitLab (CVE-2023-7028) – Plus de 5 000 serveurs exposés à des attaques, dont près de 300 en France !

27 janvier 2024 à 08:00

Depuis une dizaine de jours, une faille de sécurité critique a été dévoilée et corrigée dans GitLab : la CVE-2023-7028. Le problème, c'est qu'il y aurait encore plus de 5 000 instances exposées sur Internet et vulnérables !

La faille de sécurité CVE-2023-7028 peut être exploitée à distance par un attaquant pour réinitialiser le mot de passe d'un compte utilisateur afin d'en prendre le contrôle, sans aucune action de la part de l'utilisateur. Il suffit d'avoir accès à l'instance GitLab et de connaître le nom d'un utilisateur afin de le compromettre et d'en prendre le contrôle, à moins que le MFA soit activé et configuré sur le compte en question.

Pour corriger cette vulnérabilité, GitLab a mis en ligne de nouvelles versions pour GitLab Community Edition (CE) et Enterprise Edition (EE) : 16.7.2, 16.6.4 et 16.5.6. Pour les versions plus anciennes, GitLab a également publié d'autres correctifs dans un second temps : 16.1.6, 16.2.9 et 16.3.7.

Comme souvent, TheShadowServer a mis en ligne une carte interactive qui permet de se faire une idée de la quantité de serveurs vulnérables à l'échelle mondiale. A l'heure actuelle, on compte plus de 5 000 serveurs GitLab exposés sur Internet et vulnérable à la CVE-2023-7028. Voici quelques chiffres clés :

  • Etats-Unis : 964 serveurs
  • Allemagne : 730
  • Russie : 721
  • Chine : 503
  • France : 298
  • Canada : 99
  • Suisse : 53
  • Belgique : 38

Si vous utilisez GitLab, ne trainez pas pour patcher votre instance : la compromission d'une instance peut être lourde de conséquences puisse qu'elle peut donner lieu à la fuite de code source, de clés d'API, ou encore permettre à l'attaquant d'infecter le code source d'une application afin de mettre en place une attaque de la chaine d'approvisionnement (supply chain attack).

De plus, il existe déjà au moins un exploit PoC disponible sur GitHub, notamment à cette adresse.

Que faire si mon instance est compromise ?

Dans le cas où votre instance GitLab est compromise, vous devez effectuer la modification des mots de passe de tous les utilisateurs, vérifier que le MFA est bien activé, mais aussi renouveler tous les certificats et clés d'API associés à vos projets afin de limiter l'impact d'une éventuelle fuite de données.

Vous pouvez approfondir ce point en lisant cette page de la documentation GitLab.

Source

The post GitLab (CVE-2023-7028) – Plus de 5 000 serveurs exposés à des attaques, dont près de 300 en France ! first appeared on IT-Connect.

Test HOVER Air X1 – Un drone compact et autonome

28 janvier 2024 à 13:00

I. Présentation

La découverte de nouveautés est toujours une aventure passionnante, et le HOVERAir X1 de Zero Zero Robotics en est un parfait exemple. C'est un appareil étonnant que l'on pourrait qualifier de "selfie stick volant" et que le fabricant qualifie de "caméra volante de poche" ! En effet, ce drone est conçu pour réaliser des captures sur des plans statiques et mobiles en suivant diverses trajectoires de vol intelligentes ! Si vous recherchez un drone manuel, vous devriez passer votre chemin, mais si vous recherchez un drone pour débutant qui peut vous permettre très facilement de réaliser de belles prises de vue, vous devriez lire la suite de cet article !

L'HOVERAir X1, que nous allons découvrir dans cet article, ne cherche pas à être le drone le plus performant du marché, ni même à avoir le plus de fonctionnalités. Il cherche avant tout à être pratique et facile à utiliser, tout en prenant en charge plusieurs scénarios pour les captures de photos ou de vidéos.

Pour avoir un aperçu, en vidéo, des différents modes disponibles, je vous encourage à regarder cette vidéo :

II. Package et design

Commençons par nous intéresser au packaging. Une boite en carton toute simple contient elle-même plusieurs boites au sein desquelles nous allons retrouver le drone, un chargeur pour batterie, ainsi qu'une batterie. Il est à noter qu'un câble USB-C est également fourni, ainsi qu'un petit sac de transport, une notice (en français) et que le drone est déjà équipé avec une batterie. Il y a donc deux batteries.

Attention tout de même, il y a différents packs commercialisés, donc vous n'avez pas toujours la deuxième batterie. Lorsqu'il est vendu seul, il n'y a qu'une seule batterie, un câble USB-C pour la recharge, et un sac de transport.

Disponible en noir et en blanc, ce drone tient parfaitement dans la paume de la main ! Il est vraiment très léger et ultra compact, d'autant plus qu'il est pliable ! Ainsi, quand il est plié, ses dimensions sont les suivantes : 127 x 86 x 31 mm, tandis qu'il fera 127 x 145 x 30 mm lorsqu'il est déplié et prêt à voler ! Son poids est de 125 grammes, en tenant compte du poids de la batterie !

Ce drone est équipé de 4 hélices qui vont lui permettre de voler et d'assurer sa stabilité dans les airs. D'ailleurs, les hélices sont "enfermées" de façon permanente dans le cadre en plastique du drone : ce qui crée une barrière physique entre les hélices et vos mains, par exemple.

Sur le dessus, nous avons également des LEDs pour indiquer le niveau de batterie, ainsi qu'un bouton pour allumer ou éteindre l'appareil, et un bouton accompagné par une série d'icône. Ce bouton est utilisé pour passer d'un mode à l'autre, c'est-à-dire pour sélectionner la trajectoire de vol intelligente souhaitée, et la LED est allumée au niveau du mode actif.

Sur la face avant du drone, nous pouvons constater la présence de la caméra. Sa position n'est pas fixe, ce qui lui permet de s'ajuster en temps réel afin que la prise de vue soit réussie.

III. Utilisation du drone HOVERAir X1

Le drone s'utilise et se configure à partir de l'application mobile officielle baptisée "Hover X1". Afin de pouvoir l'utiliser, vous devez créer un compte utilisateur, ce qui vous permettra ensuite d'effectuer la détection du drone. Ce processus est assez fluide, bien que l'anglais puisse être un frein pour certains utilisateurs. À chaque étape du processus d'initialisation, qui se déroule en 8 étapes, il y a des instructions ainsi qu'une image : c'est un très bon complément si l'on a du mal avec l'anglais.

Pour sélectionner un mode, vous pouvez utiliser l'application ou directement effectuer la sélection depuis le drone grâce au bouton présent sur le dessus. Toutefois, il est recommandé d'utiliser l'application le temps de bien prendre en main la bête et de comprendre le fonctionnement de chaque mode. Là encore, l'Hover se veut accessible grâce à des animations et des vidéos qui permettent de voir à quoi correspond le mode sélectionné et comment il fonctionne. L'approche à la fois pédagogique et ludique est appréciable !

Par exemple, avec le mode "Follow", le drone va vous suivre tout en filmant, que vous soyez à pied, en trottinette électrique, etc. Il le fait vraiment très bien et c'est très facile à prendre en main. Il y aussi le mode "Orbit" où le drone va tourner autour de vous tout en prenant une vidéo (ce qui donne un rendu très sympa et professionnel !).

En ce qui concerne la personnalisation de la trajectoire, sachez que certains paramètres peuvent être modifiés à partir de l'application, comme la distance et la hauteur. Toutefois, cela reste limitée et il n'y a pas d'options de personnalisation plus approfondie.

Ce drone est conçu pour être autonome et se stabiliser automatiquement afin d'optimiser la capture de la photo ou de la vidéo, contrairement à un drone que l'on pilote manuellement. Afin de vous suivre de façon précise, le drone s'appuie sur un système de positionnement VIO (Visual Inertial Odometry) très efficace.

Le drone est équipée d'une mémoire interne de 32 Go destinée à stocker les photos et les vidéos. A partir de l'application mobile, vous pourrez télécharger sur votre smartphone vos prises de vue et vos vidéos.

En pratique, comment il s'utilise ? Voici en quelques étapes clés :

1 - Vous allumez le drone en appuyant sur le gros bouton

2 - Vous choisissez le mode de prise de vue que vous souhaitez, avec le petit bouton

3 - Vous dépliez le drone, vous le positionnez sur la paume de votre main et vous tendez le bras (le drone face à vous, ainsi il vous regarder)

4 - Vous appuyez sur le gros bouton : le drone va prendre quelques secondes pour analyser l'environnement, vous détecter, et il va s'envoler pour effectuer la prise de vue ! Grâce à son haut-parleur, il pourra "vous parler" afin de vous guider si quelque chose ne lui convient pas.

5 - C'est terminé, le drone retourne à sa position initiale : il vous suffit de venir mettre la main en dessous, à quelques centimètres. Il va détecter votre main et s'arrêter afin que vous puissiez le réceptionner sans vous blesser.

6 - Vous pouvez, si vous le souhaitez, utiliser votre smartphone pour ouvrir l'application et télécharger la vidéo en local

Voilà : c'est tout ! Ce n'est pas plus compliqué !

Avec le mode "Bird's Eye", en principe vous devez vous allonger au sol pour être face au drone lorsqu'il va s'élever au-dessus vous pour prendre une vidéo (en orientant sa caméra vers le sol). Par défaut, il va s'élever à 5 mètres au-dessus de vous, mais cette valeur est personnalisable (7m, 9m, 15m). Il y a quelques ajustements possibles également pour la qualité des vidéos, notamment le choix entre : 1080p @ 30 fps + HDR, 1080p @ 60 fps et 2.7K @ 30 fps.

Personnellement, je vous recommande d'opter pour le kit Combo afin d'avoir deux batteries car l'autonomie est tout de même limitée (comme sur de nombreux drones). En vol, comptez une autonomie d'environ 10 minutes. Même si c'est rapide, cela laisse le temps d'effectuer plusieurs prises de vues.

IV. Conclusion

Vous n'avez pas besoin de savoir piloter un drone pour utiliser le drone HOVERAir X1 et prendre de très belles photos ou vidéos. Et ça, pour le coup, c'est génial ! Puisqu'il y, a un ensemble de scènes intelligentes prédéfinies, il est également autonome : pas besoin d'avoir forcément son smartphone avec soi pour le piloter (sauf si l'on souhaite personnaliser une scène).

De plus, le drone HOVERAir X1 est très léger et compact : nous pouvons l'emporter avec nous très facilement car il ne prendra que très peu de place dans un sac, voire même dans la poche d'un manteau...! C'est vraiment une belle surprise et j'ai apprécié la découverte de ce drone.

Finalement, mon seul regret, c'est que l'application soit entièrement en anglais et que la voix de la synthèse vocale soit également en anglais également (ou chinois). Une mise à jour du firmware pourrait corriger ce point à l'avenir.

Le drone HOVERAir X1 est disponible sur Amazon et d'autres marchands depuis fin septembre 2023. Voici les tarifs proposés :

Actuellement, il y a des coupons à activer sur Amazon afin d'obtenir 80 euros ou 90 euros de réduction selon la version. Vous pouvez utiliser les liens ci-dessus pour en profiter.

The post Test HOVER Air X1 – Un drone compact et autonome first appeared on IT-Connect.

Comment installer pfSense dans VMWare Workstation pour créer un lab virtuel ?

28 janvier 2024 à 17:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer Pfsense au sein d'une VM VMWare Workstation dans le but de créer un lab. Cette VM assurera le rôle de routeur et pare-feu virtuel. Grâce à cette machine virtuelle Pfsense, vous allez pouvoir vous exercer sur différents sujets notamment : la gestion d'un pare-feu (autoriser ou refuser les flux du réseau local vers Internet, et inversement), faire du NAT, créer des règles de redirection de ports, monter un serveur DHCP, effectuer la mise en place d'un proxy, d'un reverse proxy, la création d'une DMZ, etc...

L'objectif va être de créer un réseau interne (192.168.100.0/24), qui pourra accéder à internet ,par l'intermédiaire du pare-feu pfSense et un réseau DMZ (192.168.200.0/24) qui hébergera un serveur web IIS qui sera accessible en dehors de notre réseau interne.

L'interface WAN, qui nous permettra de simuler l'évasion vers internet sera rattachée (en mode bridge) à une interface physique du PC sur lequel est déployé VMware Workstation. Cette interface WAN se verra attribuer une configuration IP (Adresse IP, masque de sous-réseau, passerelle et serveur DNS) par le service DHCP de notre box internet.

Pour en savoir plus sur ce qu'est une DMZ, je vous recommande à lire cet article :

* Informatique : c’est quoi une DMZ ?

Le schéma de notre lab virtuel est présenté ci-dessous :

Schéma du lab virtuel pfSense VMWare Workstation
Schéma du lab virtuel pfSense VMWare Workstation

II. Prérequis

Pour réaliser ce lab virtuel, vous aurez besoin :

  • Un hôte sur lequel VMWare Workstation Pro est installé (version d'essai disponible ici).
  • Le fichier d'installation de pfSense à télécharger depuis le site officiel.
  • Une machine virtuelle depuis laquelle tester notre configuration réseau, sous l'OS de votre choix.
  • Une machine virtuelle sous Windows Serveur 2022 pour y installer IIS.

Nous vous recommandons de lire les articles ci-dessous si vous débutez avec VMware Workstation :

III. Installer pfSense sur VMware Workstation

A. Télécharger le fichier d'installation de pfSense

Sur l'hôte où est installé VMWare Workstation Pro, ouvrez votre navigateur internet pour accéder à la page de téléchargement de pfSense.

Renseignez les paramètres de téléchargement suivants puis cliquer sur Download :

  • Architecture : AMD 64 (64-bit)
  • Installer : DVD Image (ISO) Installer
  • Mirror : Frankfurt, Germany

Le fichier téléchargé est une archive GZ contenant l'image ISO. Décompressez l'archive GZ (à l'aide de 7-zip, par exemple) et conservez l'espace de stockage de l'image ISO récupérée.

B. Créer une machine virtuelle pour pfSense

Dans VMWare Workstation Pro, ouvrez l'assistant de création d'une machine virtuelle depuis le menu "File > New Virtual Machine".

Une fois l'assistant lancé, nous allons sélectionnez le mode de création "Typical" et cliquez sur "Suivant".

A cette étape, nous allons sélectionner l'option d'installation depuis une image ISO et renseigner l'emplacement de l'image.

Remarque : VMWare Workstation Pro a automatiquement détecté le type de système d'exploitation à utiliser pour cette VM : "FreeBSD version 10 and earlier 64-bit."

Ensuite, nous allons nommer notre machine virtuelle et définir l'emplacement où stocker les données de la VM (fichier de configuration, disque dur virtuel, etc.).

Nous allons pouvoir configurer le disque dur virtuel de la VM. Dans notre cas, nous sommes dans un lab virtuel donc je vais conserver les paramètres par défaut proposés par l'assistant de création de VM, et cliquer sur "Suivant".

Enfin, nous allons finaliser la création de la VM en s'assurant qu'elle ne démarre pas automatiquement une fois créée. Nous allons modifier sa configuration, notamment les interfaces réseaux nécessaires. Voici l'option à décocher avant de cliquer sur "Finish" :

C. Configurer la machine virtuelle et ses interfaces réseaux

Les paramètres à modifier sur notre machine virtuelle sont les suivants :

  • Passer la RAM à 2 Go (2048 Mo), minimum
  • Passer le nombre de cœur de CPU à 2, minimum

Nous allons créer 2 "LAN Segment" qui vont permettre d'avoir plusieurs réseaux virtuels au sein de VMWare Workstation distincts les uns des autres. Pour ce faire, lorsque vous êtes sur les paramètres d'une interface réseau, cliquez sur "LAN Segment". Ensuite, cliquer sur "Add" et nommez-le.

Dans notre cas, nous allons créer 2 LAN Segment : LAN et DMZ.

Ensuite, il faut modifier le type de connexion au réseau de la première interface afin de s'assurer qu'elle soit sur "Bridge". Ensuite, cliquez sur "Add" pour ajouter 2 interfaces réseau supplémentaires.

L'interface réseau n°2 sera rattaché au LAN Segment "LAN" et l'interface réseau n°3 a LAN Segment "DMZ".

Pour terminer, enregistrez l'ensemble des modifications.

D. Installer pfSense sur la VM VMware Workstation

Maintenant que notre VM est configurée selon notre besoin, nous allons pouvoir la démarrer. Cliquer sur "Power on this virtual machine". La VM va automatiquement démarré sur le fichier d'installation ISO de pfSense.

L'installeur de pfSense va d'abord analyser la configuration matérielle de la VM et charger l'assistant d'installation.

Une fois le chargement terminé, veuillez accepter le contrat d'utilisation de pfSense (Tapez sur Entrée).

Pour poursuive l'installation, sélectionnez "Install pfSense" et appuyez sur Entrée.

A l'étape de partitionnement du disque, nous allons utiliser le mode "Auto (ZFS)" présélectionné et appuyer sur Entrée.

A cette étape, un récapitulatif du partitionnement automatique ZFS est présenté, appuyez sur Entrée pour valider.

Au travers du système de fichier ZFS, pfSense peut-être installé sur de multiple disques pour assurer une disponibilité accrue du pare-feu. Pour en savoir plus sur le RAID, je vous invite à consulter cet article Wikipédia - un article sur IT-Connect arrive bientôt 🙂 !

Dans notre cas, nous allons faire une installation sans redondance (mode stripe). Appuyez sur Entrée.

Pour sélectionner le disque dur virtuel, appuyez sur Espace puis sur Entrée et sélectionner "Yes" (flèche gauche et Entrée).

L'installation est relativement rapide. Une fois achevé, validez le redémarrage de la VM.

E. Premier démarrage de pfSense

Au premier démarrage, pfSense détecte automatiquement les interfaces réseau. La plupart du temps, vous verrez l'interface WAN rattachée à l'interface em0 correspondant à la première interface ajoutée. L'interface LAN quant à elle sera rattachée à l'interface em1, correspondant à la deuxième interface ajoutée à la VM.

Comme on peut le voir, la configuration IP de l'interface WAN a été attribuée par le serveur DHCP de mon réseau. Nous allons configurer l'interface LAN avec sa configuration IP adéquate.

Pour modifier la configuration IP de notre interface LAN, nous allons procéder comme suit :

Choisissez l'option 2.

Ensuite, nous allons sélectionner l'interface LAN en entrant l'option 2 et indiquer que nous n'allons pas configurer l'interface via DHCP.

Enfin, nous allons définir la configuration IP de notre interface manuellement :

  • Adresse IP de l'interface LAN : 192.168.100.1
  • Masque de sous-réseau (en notation CIDR) : 24 = 255.255.255.0
  • Pas de passerelle
  • Pas de configuration IPv6
  • Pas de serveur DHCP IPv4 - il pourra être configuré par la suite depuis l'interface Web

Une fois terminé, l'URL pour accéder à l'interface Web d'administration de pfSense s'affiche et faire "Entrée" pour terminer.

IV. Première connexion à l'interface d'administration de pfSense

A. Se connecter à l'interface web de PfSense

Depuis le poste client (c'est-à-dire depuis notre réseau LAN virtuel), nous allons nous connecter à l'interface Web d'administration de pfSense à l'adresse IP "https://192.168.100.1/".

Au préalable, il est nécessaire de configurer l'interface réseau de la machine virtuelle cliente comme suit :

  • Adresse IPv4 : 192.168.100.2
  • Masque : 255.255.255.0 ou /24
  • Passerelle : 192.168.100.1
  • Serveur DNS : 1.1.1.1 ou celui de votre choix

Le certificat de sécurité SSL utilisé pour la connexion HTTPS est auto-signé, il est donc normal d'avoir un avertissement de sécurité. Il est possible, selon vos besoins de définir un certificat provenant d'une autorité de certification d'entreprise ou publique.

Pour vous connecter à l'interface Web d'administration, il est nécessaire de saisir l'identifiant et le mot de passe prédéfini à l'installation. Voici les identifiants par défaut :

  • Identifiant : admin
  • Mot de passe : pfsense (à modifier par la suite)

B. L'assistant de configuration Web

Une fois connecté, l'assistant de configuration Web s'ouvrira. Cliquez sur "Next".

Cliquez à nouveau sur "Next" pour valider les modalités de support fourni par l'éditeur.

Ici, nous allons préciser les serveurs DNS de notre firewall pfSense, à savoir "1.1.1.1" et "8.8.8.8", et cliquer sur "Next". Adaptez ces valeurs si vous le souhaitez.

A cette étape, nous allons configurer le serveur de temps qui est important pour bénéficier de logs à jour. Sélectionnez le fuseau horaire correspondant à votre emplacement puis cliquez sur "Next".

A l'étape 4, conservez les paramètres prédéfinis par pfSense pour la configuration de l'interface WAN en veillant à décocher les 2 options suivantes : "Block private networks form entering via WAN" et "Block non-internet routed networks from entering via WAN". Ces deux paramètres, lorsque pfSense est installé dans un réseau local existant (lab virtuel), permet de ne pas bloquer le trafic reposant sur des adresses IP privée. Ici, entre notre box internet et pfSense.

A l'étape 5 de l'assistant, conservez la configuration de l'interface LAN que nous avons fait en amont.

A l'étape 6 de l'assistant, définissez un nouveau mot de passe et cliquer sur "Next".

A l'étape 7, cliquez sur "Reload" afin de recharger la configuration de pfSense avec les informations que nous venons de définir.

Après quelques secondes, nous arrivons à la fin de l'assistant de configuration. Nous pouvons cliquer sur "Finish" pour accéder au tableau de bord.

C. PfSense : ajouter une interface DMZ

Pour ajouter l'interface DMZ à PfSense, accédez au menu "Interfaces" puis "Assignments".

On constate que l'interface "em2" peut être ajoutée : cliquez sur "Add" puis "Save".

En cliquant sur le nom de l'interface sur la page précédente, nous pouvons accéder à sa configuration. Ici, nous allons activer l'interface et la nommer DMZ au lieu de OPT1 afin de l'identifier facilement. Nous allons également définir la configuration IPv4 statique.

Pour terminer, cliquer sur "Save" et "Apply Changes".

Désormais, PfSense est initialisé et les trois interfaces réseau sont prêtes. A partir des réseaux "LAN" et "DMZ" nous pouvons accéder à Internet grâce aux règles de NAT dynamiques créées par défaut par PfSense.

V. Installer un serveur Web

Comme indiqué en introduction de cet article, nous allons installer un serveur Web dans la zone DMZ.

L'installation des rôles et services de serveur Web sous Windows Serveur est présentée dans la vidéo associée à ce tutoriel, et vous pouvez également vous référer à cet article :

La suite de cet article est à adapter à votre besoin. En effet, vous pouvez aussi utiliser une distribution Linux sur laquelle vous installez Apache pour publier votre site internet.

Dans le cadre de notre lab virtuel, la configuration IP du serveur Web (pouvant être adaptée) est la suivante :

  • Adresse IPv4 : 192.168.200.2
  • Masque : 255.255.255.0 ou /24
  • Passerelle : 192.168.200.1
  • Serveur DNS : 1.1.1.1 ou celui de votre choix

VI. Les règles de pare-feu avec pfSense

Une fois votre serveur Web prêt à être utilisé, nous allons définir les règles de pare-feu permettant d'accéder à serveur Web sur pfSense. L'objectif étant de limiter les flux au strict nécessaire, notamment pour que depuis le LAN, nous puissions accéder à la DMZ uniquement pour contacter le serveur Web en HTTP.

Nous allons créer les règles de flux suivantes :

InterfaceActionSourceDestinationProtocole(s) & Port(s)
LANBloquerLAN netDMZ netTous
LANAutoriserLAN netServeur Web (192.168.200.2)TCP - IPv4 - 80 (HTTP)
DMZBloquerDMZ netLAN netTous
DMZAutoriserDMZ netTousTCP - IPv4 - 80 (HTTP)
DMZAutoriserDMZ netTousTCP - IPv4 - 443 (HTTPS)
DMZAutoriserDMZ netTousTCP/UDP - IPv4 - 53 (DNS)

La création d'une nouvelle règle se fait depuis l'interface Web d'administration pfSense, dans le menu suivant : Firewall > Rules.

Ensuite, sélectionnez l'interface sur laquelle créer la règle puis cliquez sur "Add".

A. LAN - Bloquer les flux vers la DMZ

D'abord, sélectionnez l'interface LAN puis cliquez sur "Add", puis renseignez les paramètres de règle suivants :

  • Action : Block
  • Interface : LAN
  • Address Family : IPv4+IPv6
  • Protocol : Any
  • Source : LAN net
  • Destination : DMZ net
  • Description : Bloquer les flux LAN vers la DMZ

Ce qui donne :

B. LAN - Autoriser l'accès au serveur Web sur la DMZ

Sélectionnez l'interface LAN puis cliquez sur "Add", puis renseignez les paramètres de règle suivants :

  • Action : Pass
  • Interface : LAN
  • Address Family : IPv4
  • Protocol : TCP
  • Source : LAN net
  • Destination : Single host or alias - 192.168.200.2
  • Description : Accès serveur Web en DMZ depuis le LAN

Ce qui donne :

C. DMZ - Bloquer les flux vers le LAN

Cette fois-ci, sélectionnez l'interface DMZ puis cliquez sur "Add", puis renseignez les paramètres de règle suivants :

  • Action : Block
  • Interface : DMZ
  • Address Family : IPv4+IPv6
  • Protocol : any
  • Source : DMZ net
  • Destination : LAN net
  • Description : Bloquer les flux de la DMZ vers le LAN

Ce qui donne :

D. DMZ - Autoriser l'accès à internet (HTTP)

Sélectionnez l'interface DMZ puis cliquez sur Add, puis renseignez les paramètres de règle suivants :

  • Action : Pass
  • Interface : DMZ
  • Address Family : IPv4
  • Protocol : TCP
  • Source : DMZ net
  • Destination : any - HTTP (80)
  • Description : Autoriser l'accès à internet depuis la DMZ

Ce qui donne :

E. DMZ - Autoriser l'accès à internet (HTTPS)

Sélectionnez l'interface DMZ puis cliquez sur Add, puis renseignez les paramètres de règle suivants :

  • Action : Pass
  • Interface : DMZ
  • Address Family : IPv4
  • Protocol : TCP
  • Source : DMZ net
  • Destination : any - HTTPS (443)
  • Description : Autoriser l'accès à internet depuis la DMZ (HTTPS)

Ce qui donne :

F. DMZ - Autoriser la résolution DNS

Pour que notre serveur web puisse accéder à Internet, il doit pouvoir effectuer de la résolution de noms vers Internet (si l'on utilise un résolveur DNS externe). Sélectionnez l'interface DMZ puis cliquez sur "Add", puis renseignez les paramètres de règle suivants :

  • Action : Pass
  • Interface : DMZ
  • Address Family : IPv4
  • Protocol : TCP/UDP
  • Source : DMZ net
  • Destination : any - DNS (53)
  • Description : Autoriser la résolution DNS depuis la DMZ

L'ensemble de ces règles vont nous permettre de gérer les flux de façon stricte entre nos trois réseaux, conformément au tableau présenté ci-dessus.

VII. La règle de NAT pour le serveur Web

Dans cette dernière partie, nous allons mettre en place une règle de NAT pour permettre l'accès au serveur Web hébergé sur notre DMZ depuis l'extérieur du réseau local de notre lab virtuel, au travers de l'interface WAN. Cette règle doit être adaptée en fonction de l'adresse IP du serveur web et du port utilisé (HTTP / HTTPS / ou numéro de port exotique).

Si vous avez besoin d'approfondir la notion de NAT, lisez cet article :

Pour ce faire, naviguez dans le menu "Firewall > NAT" puis cliquez sur "Add".

Voici la configuration de notre règle de NAT :

  • Type de règle : Port Forward
  • Interface : WAN
  • Adress Family : IPv4
  • Protocol : TCP
  • Destination : WAN address
  • Destination port range : HTTP (80)
  • Redirect target IP : Adress or Alias - 192.168.200.2
  • Redirect target port : HTTP

Ce qui donne :

Suite à la mise en place de cette règle de NAT, une machine située à l'extérieur du réseau de notre Lab (côté WAN, donc votre machine physique, par exemple) doit pouvoir accéder au serveur Web ! Dans le navigateur, il faut indiquer l'adresse IP de l'interface WAN du Pfsense et grâce à la règle de NAT, le flux sera redirigé vers le serveur Web.

Ci-dessous, nous pouvons voir que j'ai bien accès à la page par défaut du serveur web IIS.

VIII. Conclusion

Nous arrivons à la fin de ce tutoriel dans lequel nous avons vu comment mettre en place un firewall virtuel avec VMWare Workstation Pro sur un environnement de Lab. Ensuite, nous avons configuré pfSense, les règles de firewall et de NAT afin de rendre disponible le serveur Web en DMZ depuis l'extérieur.

N'hésitez pas à partager vos remarques et questions en commentaire, et vous pouvez regarder la vidéo YouTube sur le même sujet réalisée par Florian 🙂 !

The post Comment installer pfSense dans VMWare Workstation pour créer un lab virtuel ? first appeared on IT-Connect.

Patchez Jenkins : des exploits disponibles pour ces failles permettant l’exécution de code à distance

29 janvier 2024 à 08:56

La solution open source Jenkins est affectée par plusieurs failles de sécurité critiques pour lesquelles il y a déjà des exploits PoC disponibles sur Internet. Voici ce qu'il faut savoir sur ces vulnérabilités déjà exploitées au sein d'attaques.

Pour rappel, Jenkins est une solution open source très appréciée par les développeurs et les DevOps, notamment pour mettre en place un pipeline CI/CD.

Les chercheurs en sécurité de SonarSource ont fait la découverte de deux failles de sécurité dans Jenkins : CVE-2024-23897 et CVE-2024-23898. Jenkins a été informé de la découverte de ces vulnérabilités le 13 novembre 2023.

En lisant le rapport qu'ils ont mis en ligne, on apprend que l'exploitation de ces deux vulnérabilités permet à un attaquant d'accéder aux données hébergées sur le serveur Jenkins. Dans certains cas, l'attaquant pourrait même exécuter des commandes à distance sur le serveur vulnérable.

Il y a déjà plusieurs exploits PoC disponibles pour ces vulnérabilités, et d'après certains honeypots mis en place par des chercheurs en sécurité, des cybercriminels tentent déjà d'exploiter ces failles de sécurité.

Jenkins - CVE-2024-23897

Commençons par évoquer la faille de sécurité CVE-2024-23897 jugée comme critique et qui permet à un attaquant non authentifié, et disposant de la permission "overall/read", de lire les données des fichiers présents sur le serveur. Sans cette permission, il est possible de lire les premières lignes des fichiers. SonarSource précise qu'un attaquant pourrait utiliser cette technique pour consulter le fichier "/etc/passwd" afin d'obtenir la liste des utilisateurs présents sur le système.

Ce problème de sécurité réside dans la bibliothèque args4j utilisée par Jenkins. À ce sujet, Jenkins précise : "Cet analyseur de commandes dispose d'une fonctionnalité qui remplace le caractère @ suivi d'un chemin de fichier dans un argument par le contenu du fichier (expandAtFiles). Cette fonctionnalité est activée par défaut et Jenkins 2.441 et antérieurs, LTS 2.426.2 et antérieurs ne la désactive pas."

Jenkins - CVE-2024-23898

En ce qui concerne la vulnérabilité CVE-2024-23898, elle permet à un attaquant d'exécuter des commandes à distance en incitant un utilisateur à cliquer sur un lien malveillant. Cette vulnérabilité de type "cross-site WebSocket hijacking (CSWSH)" est moins grave que la première vulnérabilité découverte par SonarSource.

En principe, les navigateurs doivent atténuer les risques liés à l'exploitation de cette vulnérabilité, mais tous les navigateurs n'appliquent pas les mêmes règles de sécurité par défaut.

Comment se protéger ?

Pour protéger votre serveur et vos données, vous devez mettre à jour Jenkins afin d'utiliser l'une de ces deux versions :

  • Jenkins 2.442
  • Jenkins LTS 2.426.3

En complément, vous pouvez consulter le bulletin de sécurité de Jenkins sur cette page, car l'éditeur donne des informations sur les scénarios d'attaques envisageables, ainsi que des mesures d'atténuation possibles (en attendant d'installer le patch).

Source

The post Patchez Jenkins : des exploits disponibles pour ces failles permettant l’exécution de code à distance first appeared on IT-Connect.

Vie privée aux Etats-Unis : la NSA achète illégalement des données au sujet des utilisateurs !

29 janvier 2024 à 14:46

Nouvelle interrogation autour de la protection de la vie privée aux Etats-Unis : la NSA achète des informations personnelles sur les Internautes américains auprès de courtiers en données.

Le 25 janvier 2024, Ron Wyden, un sénateur américain, a publié une lettre ouverte au sein de laquelle il mentionne que la NSA achète des informations au sujet des citoyens américains auprès de courtiers en données. Pour rappel, la NSA est l'agence nationale américaine spécialisée dans le renseignement cyber.

Au travers de cette lettre adressée à Avril Haines, directeur du renseignement national, Ron Wyden souhaite dénoncer cette pratique illégale : "Le gouvernement américain ne devrait pas financer et légitimer une industrie douteuse dont les violations flagrantes de la vie privée des Américains sont non seulement contraires à l'éthique, mais aussi illégales.", précise-t-il dans sa lettre.

Il en a profité pour demander à ce que cette pratique soit interdite et que la NSA, ainsi que les autres agences, ne puissent pas acquérir ces données auprès de sociétés spécialisées. Il en profite pour rappeler que ceci ne peut être fait qu'après avoir obtenu le consentement des personnes concernées.

En l'occurrence ici, il s'agirait d'ensemble de données personnelles faisant référence aux habitudes de navigation des utilisateurs américains, mais aussi d'informations associées à des numéros de téléphone. La NSA s'appuierait sur ces informations dans le cadre de ses enquêtes, pour du renseignement ou de la cybersécurité.

Si Ron Wyden a publié cette lettre il y a quelques jours, ce n'est surement pas un hasard du calendrier. En effet, ceci intervient dans la foulée d'une décision de la Commission fédérale du commerce (FTC) d'interdire aux entreprises Outlogic et InMarket Media de vendre des informations de localisation précises d'utilisateurs sans leur consentement explicites. Ceci sous-entend que cette vente de données soit effectuée à des fins de ciblage publicitaire ou pour les revendre aux agences américaines, il faut le consentement de l'utilisateur.

Voilà, bien que cette annonce ne surprendra personne ou presque, Ron Wyden, lui, a mis les pieds dans le plat.

Source

The post Vie privée aux Etats-Unis : la NSA achète illégalement des données au sujet des utilisateurs ! first appeared on IT-Connect.

Microsoft Teams : deux pannes en trois jours, que s’est-il passé ?

29 janvier 2024 à 21:39

Du côté de Microsoft Teams, cette nouvelle semaine débute comme la fin de la précédente : c'est-à-dire mal, car en l'espace de trois jours, certains utilisateurs de Teams ont fait face à deux pannes ! Que s'est-il passé ? Voici ce que l'on sait !

Première panne : vendredi 26 janvier 2024

Vendredi 26 janvier 2024, en fin de journée, Microsoft Teams a connu une première panne mondiale qui a affecté les utilisateurs un peu partout dans le monde, notamment en Amérique du Nord, en Europe, en Afrique et au Moyen-Orient. Ce problème était lié au réseau, et il a eu pour conséquence un impact sur une partie de l'infrastructure de bases de données utilisées par plusieurs API de chez Microsoft.

Du côté des utilisateurs, ce problème a été à l'origine de plusieurs dysfonctionnements : impossible de se connecter au serveur ou d'ouvrir une session, les messages Teams qui ne partent plus, etc...

Les équipes de Microsoft ont passé du temps sur cette panne puisque le problème a été résolu environ 12 heures plus tard. D'ailleurs, certains utilisateurs ont rencontré des perturbations encore pendant plusieurs heures après la résolution du problème. En France, nous pouvons constater qu'il y a eu des signalements sur le site Down Detector :

Deuxième panne : lundi 29 janvier 2024

Ce lundi, en plein milieu de journées, une nouvelle panne a touché les utilisateurs de Microsoft Teams. Cette fois-ci, les utilisateurs européens semblent épargnés puisque la panne affecte plutôt les utilisateurs situés en Amérique du Nord, au Canada et au Brésil, comme le précise ce tweet de Microsoft.

Effectivement, si l'on se réfère au site Down Detector une nouvelle fois, nous pouvons constater énormément de signalements aux États-Unis depuis quelques heures :

Microsoft Teams - Panne lundi 29 janvier 2024

Comme pour la première panne, les utilisateurs signalent des problèmes de connexion à Teams, mais également pour envoyer et recevoir des messages où il y a un délai inhabituel. Ceci est visible aussi bien sur mobile que sur desktop.

Les utilisateurs concernés peuvent suivre l'évolution de ce problème à partir du portail d'administration Microsoft 365, grâce à l'ID "TM710900". Pour le moment, Microsoft travaille toujours à la résolution du problème et son origine n'est pas indiquée.

Source

The post Microsoft Teams : deux pannes en trois jours, que s’est-il passé ? first appeared on IT-Connect.

Cyberattaque : Schneider Electric, nouvelle victime du ransomware Cactus

30 janvier 2024 à 08:36

L'entreprise Schneider Electric a été victime du ransomware Cactus ! Lors de cette cyberattaque, les pirates sont parvenus à voler des données sur les serveurs de l'entreprise. Voici ce que l'on sait sur cet incident.

Pour rappel, Schneider Electric est un groupe industriel français spécialisé dans les solutions énergétiques, que ce soit pour la fourniture de matériel électrique, de produits basés sur des énergies renouvelables, etc... C'est une entreprise mondialement connue, avec plus de 150 000 salariés.

Le 17 janvier 2024, la branche de Schneider Electric dédiée aux activités de développement durable a été impactée par une cyberattaque qui a eu pour conséquence de rendre indisponible la plateforme Cloud "Resource Advisor" de Schneider Electric. Ce service de Schneider Electric a pour objectif de fournir des services de conseil aux entreprises, notamment en les conseillant sur les solutions disponibles en matière d'énergies renouvelables. Bien que l'attaque s'est déroulée il y a une dizaine de jours, la plateforme reste toujours inaccessible pour les utilisateurs.

Lors de cette cyberattaque, les cybercriminels sont parvenus à voler des téraoctets de données de l'entreprise, en plus de demander le paiement d'une rançon. Le principe de la double extorsion est appliqué par les pirates : si la rançon n'est pas payée, les données seront publiées sur le Dark Web. Schneider Electric précise que les autres services ne sont pas impactés par cette cyberattaque.

Même si nous ne savons pas à quoi correspondent les données données lors de cette attaque, elles pourraient correspondre à des informations sensibles sur les systèmes de contrôle et d'automatisation industriels des clients de Schneider Electric. Parmi les clients de la branche développement durable de Schneider Electric, il y a plusieurs grandes entreprises comme Walmart, Lexmark, DHL ou encore PepsiCo.

Cette attaque a été orchestrée par le gang de ransomware Cactus, lancé en mars 2023 et particulièrement actif depuis son lancement. En effet, plus de 80 entreprises sont répertoriées sur le site de fuite de données de Cactus !

Ce n'est pas la première fois que Schneider Electric est victime d'une cyberattaque, et la précédente est relativement récente ! En effet, Schneider Electric a déjà subi un vol de données lorsque le gang de ransomware Clop a exploité une faille de sécurité critique dans MOVEit Transfer.

Source

The post Cyberattaque : Schneider Electric, nouvelle victime du ransomware Cactus first appeared on IT-Connect.

Voici Locknest, le tout nouveau gestionnaire de mots de passe physique et il est français !

30 janvier 2024 à 09:24

Les écossais ont le Loch Ness, et nous, français, nous avons le Locknest, et ce n'est pas qu'une légende ! Et oui, Locknest, c'est le nom d'un nouveau gestionnaire de mots de passe physique. Il vient d'être lancé sur le marché par LockNest Group, une jeune entreprise spécialisée dans la cybersécurité. Présentation de ce produit innovant.

Le Locknest prend la forme d'une grosse clé USB qui tient dans la paume de la main et qui va vous permettre de stocker vos identifiants de façon sécurisée. Le boitier est doté d'un connecteur USB-C et du Bluetooth pour permettre une prise en charge sur divers appareils, tout en étant autonome : il n'y a aucune dépendance au Cloud ! De plus, lorsque le boitier Locknest est éteint, les données qu'il contient sont inaccessibles.

En termes de sécurité, sachez que les données stockées sur le boitier Locknest sont chiffrées avec de l'AES 256 bits, les communications bénéficient du chiffrement de bout en bout, et le boitier s'appuie sur un microcontrôleur sécurisé.

Gestionnaire de mots de passe physique Locknest

Comment déverrouiller le Locknest ?

Dans le même esprit qu'un gestionnaire de mots de passe "classique", que ce soit KeePass, ou une autre solution comme Bitwarden, 1Password ou encore LastPass, vous devez déverrouiller votre coffre-fort de mots de passe pour accéder à son contenu. Mais, là, vous oubliez l'utilisation d'un mot de passe maitre très long puisque Locknest nécessite uniquement un code PIN de 7 chiffres !

"Locknest vise à modifier le comportement des utilisateurs en intégrant le moins de complexité possible. Plutôt que de miser sur une révolution technologique, les créateurs de Locknest ont préféré s’attaquer au frein le plus courant : le facteur humain. L’aspect hardware de la solution permet d’absorber une grande partie de la complexité de ce type de solutions, notamment en ne demandant qu’un PIN de 7 chiffres pour le déverrouiller, là où les solutions purement en ligne nécessitent un secret maître long et complexe.", peut-on lire dans le communiqué de presse officiel.

En cas de perte ou de vol, que se passe-t-il ?

Lorsque l'on utilise le Locknest, tous nos identifiants sont stockés sur ce boitier et uniquement sur celui-ci. Forcément, on s'interroge : que se passe-t-il si le boitier est perdu, volé ou tout simplement s'il ne fonctionne plus ?

Sachez que vous pouvez réaliser un export chiffré de votre coffre-fort, afin d'en avoir une copie externalisée. Pour le moment, c'est à l'utilisateur de trouver une solution fiable et sécurisée pour stocker cette sauvegarde. Toutefois, la feuille de route 2024-2025 de Locknest précise : "ouverture du service de sauvegarde des données sur un serveur sécurisé, privé et français.", qui sera utilisé pour sauvegarder votre coffre-fort, et non pour la lecture des données à chaud.

Par ailleurs, le Locknest intègre un système de verrouillage automatique pour se "mettre en sécurité" et refuser les tentatives de déverrouillage lorsqu'il y a trop de tentatives infructueuses à la suite : "A la manière d’une carte bancaire, Locknest applique une pénalité sous forme de bannissement temporaire à partir de 3 erreurs de secret maître, et ce, jusqu’à ce que le bon secret maître ait été utilisé. Durant ces 10 minutes de bannissement, toute tentative d’ouverture de session sera purement ignorée."

Les autres informations à retenir

En complément, voici d'autres informations importantes à savoir au sujet de Locknest :

  • Cette première version peut accueillir jusqu'à 512 entrées (une entrée contient un nom d'utilisateur, un mot de passe, une URL, un titre et une description)
  • Lorsque le boitier est déverrouillé, l'utilisateur peut accéder au tableau de bord de son Locknest, sur l’application mobile ou l’application web, enregistrer des données et générer des mots de passe robustes.
  • Le tarif : 120 € TTC pour un Locknest (+ son câble USB-A vers USB-C), sans aucuns frais supplémentaires à prévoir (pas d'abonnement)
  • Autonomie de la batterie : Locknest tient une dizaine de jours (utilisation de 1h20 par jour). Concernant le temps de recharge, il faut compter un peu plus d’une heure.
  • Compatible avec Windows, Linux, et Android. Compatibilité attendue courant 2024 pour iOS et macOS.

Vous pouvez l'acheter sur le site officiel de Locknest, mais également sur Amazon.fr via ce lien, par exemple.

Les alternatives au LockNest

Sur le marché des clés physiques pouvant assurer la fonction de gestionnaire de mots de passe physique ou de gestionnaire d'identité numérique physique, il y a d'autres alternatives qui sont à prendre en considération. Voici quelques noms :

Qu'en pensez-vous ?

Article mis à jour le 31/01/2024 à 14h45, pour apporter des précisions sur les alternatives existantes au LockNest.

Source

The post Voici Locknest, le tout nouveau gestionnaire de mots de passe physique et il est français ! first appeared on IT-Connect.

Le Japon a attendu 2024 pour abandonner la disquette. Pourquoi ?

30 janvier 2024 à 13:36

Nous sommes en 2024 et le Japon s'apprête à abandonner l'utilisation de la disquette. Pourquoi avoir attendu aussi longtemps ? Cela peut surprendre tant ce pays semble avoir toujours un coup d'avance en matière d'innovation technologique.

Si le Japon continue à utiliser certains supports physiques comme la disquette et le CD-ROM, c'est parce qu'il s'agit de supports officiellement autorisés par les autorités japonaises pour les transmissions de données entre les entreprises et l'administration publique. Par exemple, lorsqu'une entreprise doit transmettre une information au ministère de l'Économie, elle doit utiliser une disquette ou un CD-ROM.

Cette situation est surprenante puisque nous vivons dans un monde où beaucoup de procédures doivent être effectuées via Internet, en complétant un formulaire. Sous l'impulsion de Tarō Kōno, ministre de la Réforme numérique, la situation va évoluer au Japon : depuis 2022, il demande à ce que les différentes entités gouvernementales abandonnent les supports physiques. Il a été entendu.

D'ailleurs, les collaborateurs de Tarō Kōno ont analysé l'ensemble des protocoles utilisés au sein des entités gouvernementales japonais, et d'après eux, il y a 1 900 procédures qui impliquent l'utilisation des disquettes, des CD-ROM et même des MiniDiscs.

Pourtant, pour le Japon, ce changement est en quelque sorte inévitable puisque Sony a arrêté la fabrication de disquettes en 2010. Depuis une dizaine d'années, les disquettes ne sont plus fabriquées et le stock finira bien par être épuisé...

Au-delà du stock de disquettes, il y a d'autres contraintes associées à l'utilisation de ce support physique : ce n'est pas le plus fiable, et surtout sa capacité est très faible : 1,44 Mo. Dans certains cas, cela peut être insuffisant pour stocker un seul document PDF ou une image.

Finalement, ce n'est probablement pas un cas isolé : certaines entreprises utilisent surement des disquettes, notamment dans l'industrie, dans l'aviation et peut-être même dans le médical. Abandonner la disquette peut signifier qu'il faut également abandonner le système ou le matériel associé, ce qui peut s'avérer très coûteux. Il n'y a pas si longtemps (2019), l'armée américaine utilisait encore les disquettes pour la gestion de son arsenal nucléaire.

Source

The post Le Japon a attendu 2024 pour abandonner la disquette. Pourquoi ? first appeared on IT-Connect.

Comment installer l’hyperviseur VMware ESXi 8.0 sur une machine virtuelle dans Workstation 17 ?

Par : Luc BRETON
30 janvier 2024 à 17:45

I. Présentation

Dans ce tutoriel, nous allons voir comment déployer un hôte ESXi 8.0 sur une machine virtuelle dans VMware Workstation Pro. Cette approche se nomme "virtualisation imbriquée" et vous permettra de créer un lab VMware sur votre poste de travail.

Vous pouvez suivre ce tutoriel au format vidéo, en complément de cet article :

Workstation Pro offre la possibilité d’installer ESXi pour faire l’essai et, éventuellement, d’installer vSphere, le produit phare de VMware.

Pour compléter ce tutoriel, vous aurez besoin d’un compte VMware Customer Connect afin de télécharger une version d’évaluation de ESXi 8.0. Lorsque votre compte sera créé, vous pourrez naviguer dans la section vSphere et sélectionner l’ISO VMware vSphere Hypervisor (ESXi ISO) image à la version 8.0U2 au moment d’écrire ces lignes.

Télécharger VMware ESXi 8

Si vous n’avez pas Workstation d’installé sur votre PC, vous pouvez consultez le tutoriel suivant :

Prenez note que le type d’installation proposé dans ce tutoriel n’est pas supporté par VMware et ne devrait pas être utilisé pour un environnement de production.

II. La virtualisation imbriquée

L’environnement que vous vous apprêtez à mettre en place consiste à créer un hyperviseur de type 1 (ESXi) sur une machine virtuelle qui va être exécutée sur un hyperviseur de type 2 (Workstation). Pour comprendre cette imbrication, voici un bref rappel des types d’hyperviseur :

  • Un hyperviseur de type 1 (dit aussi bare metal) s'installe directement sur le matériel. Il s’agit en général d’un logiciel de niveau entreprise installé sur des serveurs physiques très performants configurés en cluster pour offrir une solution de haute disponibilité. Dans cette catégorie, on retrouve bien sûr ESXi de VMware, mais aussi Hyper-V Server de Microsoft ou AHV de Nutanix.
  • Un hyperviseur de type 2 s'exécute sur un système d'exploitation et il est couramment utilisé sur des postes de travail pour créer des machines virtuelles de test ou de développement. Les principaux exemples de ce type de logiciel sont Oracle VM VirtualBox, VMware Workstation ou VMware Fusion pour macOS et Parallels Desktop.

Pour en savoir davantage sur les différents types d'hyperviseurs, voir l'article suivant :

La figure suivante représente l’environnement de virtualisation imbriquée que nous allons créer dans ce tutoriel :

Virtualisation imbriquée VMware Workstation et ESXi

III. Créer une VM pour installer ESXi sous Workstation

Lorsque votre installation de Workstation 17 est complétée, ouvrez la console pour créer une nouvelle machine virtuelle.

Dans le menu principal, appuyez sur « File », puis sur « New Virtual Machine ».

L’assistant de création d’une nouvelle VM s’ouvre, cochez « Custom » et appuyez sur « Next ».

Sous « Hardware Compatibility », sélectionnez « ESXi 7.0 » qui fonctionne aussi pour ESXi 8.0 et appuyez sur « Next ». Ce choix vous permet de voir les produits compatibles et les limitations (largement suffisantes pour un lab VMware !).

Notons au passage que Hardware Compatibility (compatibilité matérielle) fait référence à la capacité de l’hyperviseur à prendre en charge et à utiliser les ressources matérielles de la machine hôte pour s’assurer d’avoir des performances optimales pour les machines virtuelles. Cette notion est spécifique aux produits VMware.

Sous « Installer disc image file (iso) », naviguez dans votre système de fichier pour sélectionner le média d’installation de ESXi 8.0 que vous avez téléchargé et appuyez sur « Next ».

Le nom du fichier devrait ressembler à ceci : VMware-VMvisor-Installer-8.0-20513097.x86_64.iso.

Nommez votre machine virtuelle et indiquez l’emplacement où vous souhaitez stocker les fichiers de celle-ci et appuyez sur « Next ».

Laissez le nombre de processeurs (2) par défaut et appuyez sur « Next ».

Si votre poste de travail vous le permet, n’hésitez pas à assigner 4 CPUs à votre machine virtuelle, surtout si vous souhaitez mettre en place un lab vSphere.

Par défaut, l’assistant recommande 4 Go de mémoire, mais, encore une fois, si vous pouvez vous rendre à 8 Go, ce sera mieux pour l’installation de l’hyperviseur et plus performant pour un lab VMware. Appuyez sur « Next ».

Le choix de la connexion réseau dépend de l’accès que vous souhaitez donner à votre machine virtuelle. Vous pouvez laisser l’option par défaut (Use network address translation, NAT) et vous pourrez la modifier plus tard. Appuyez sur « Next ».

Pour mieux comprendre les types de réseau, consultez le tutoriel suivant :

Laissez le type de « I/O Controller » à « Paravirtualized SCSI », tel que recommandé et appuyez sur « Next ».

Pour en savoir davantage sur ces options, vous pouvez vous rendre sur la page Selecting the I/O Controller Type for a Virtual Machine de la documentation officielle de VMware.

Laissez l’option « Disk Type » à « SCSI » et appuyez sur « Next ».

Laissez l’option « Create a new virtual disk » par défaut et appuyez sur « Next. »

À l’étape « Specify Disk Capacity », ne tenez pas compte de la taille de disque recommandée de 148 Go pour ESXi 8.0. En fait, VMware recommande un minimum de 32 Go pour son hyperviseur de type 1, mais vous pouvez très bien en allouer beaucoup moins.

En réalité, ESXi fait environ 150 Mo et peut être déployé sur une carte SD, mais cette installation ne serait pas supportée en production. Après avoir indiqué la taille du disque, sélectionnez la manière dont vous souhaitez stocker le disque virtuel et appuyez sur « Next ».

Indiquez l’emplacement désiré pour le nouveau disque (.vmdk) et appuyez sur « Next ».

Vous êtes maintenant prêt à créer votre nouvelle machine virtuelle. Validez les paramètres et appuyez sur « Finish ».

Contrairement à Workstation qui utilise seulement une portion d'un disque local pour chaque disque virtuel qui est créé, VMware ESXi a besoin d'un espace logique nommé datastore (ou banque de données) pour stocker les fichiers des machines virtuelles. Si vous voulez aller plus loin, vous pouvez donc ajouter un disque virtuel local à votre VM ESXi dans Workstation, ce qui vous permettra ensuite de créer un datastore dans la console ESXi Host Client.

Ce nouveau datastore pourra être utilisé pour créer des machines virtuelles sur votre hôte ESXi... qui est lui-même une machine virtuelle. C'est un niveau supplémentaire d'imbrication : une VM qui s'exécute sur la VM ESXi représentée plus haut dans le schéma. Mais rassurez-vous, un tutoriel à venir vous indiquera les étapes à suivre au besoin.

Passons à l'installation de l'hyperviseur.

IV. Installer un hôte ESXi 8.0

Après avoir terminé la création de votre machine virtuelle, elle sera mise sous tension dans Workstation 17. Le chargement de ESXi installer peut prendre quelques minutes, selon les ressources que vous avez allouées à la VM.

Lorsque vous verrez le message « Welcome to the VMware ESXi 8.0.0 Installation » s’afficher, appuyez sur « Enter ».

Acceptez les conditions de la licence en appuyant sur « F11 ».

Comme vous avez installé un seul disque, vous pouvez appuyer sur « Enter » pour continuer l’installation.

Sélectionnez la disposition du clavier et appuyez sur « Enter » pour continuer.

La capture d’écran indique un clavier QWERTY (ce que l’auteur utilise), mais vous pouvez sélectionner "French" (France) pour un clavier AZERTY FR. Il suffit de monter dans le menu avec la flèche en haut pour retrouver cette option.

Saisissez un mot de passe complexe pour l’utilisateur « root » et appuyez sur « Enter » pour continuer.

Appuyez sur « F11 » pour démarrer l’installation.

L’installation de ESXi 8.0 prend quelques minutes. Lorsque ce sera terminé, un message « Installation Complete » va s’afficher. Félicitations, vous avez installé un hyperviseur de type 1 dans une machine virtuelle sur un hyperviseur de type 2. Vous venez de créer un environnement de virtualisation imbriquée !

Appuyez sur « Enter » pour redémarrer votre serveur hôte ESXi.

Lorsque le redémarrage sera complété, vous verrez l’interface DCUI (Direct Console User Interface). Au besoin, vous pouvez personnaliser la configuration réseau en appuyant sur « F2 », mais vous voulez sûrement découvrir l’interface web de ESXi avant !

Dans la section jaune, notez l’adresse assignée automatiquement via le DHCP et entrez-la dans votre navigateur préféré.

Acceptez l’avertissement du navigateur (il n’y a pas de certificat) et vous aurez accès à ESXi Host Client.

Connectez-vous avec le compte root pour découvrir l’interface web de votre hyperviseur.

Félicitations, vous pouvez maintenant explorer ESXi ! À vous maintenant de découvrir comment créer une banque de données (datastore) et de déployer une machine virtuelle… sur une machine virtuelle.

Pour aller plus loin, vous pouvez aussi tenter d’installer une appliance vCenter pour faire l’essai de vSphere, mais vous aurez besoin d’environ 600 Go de stockage et 14 Go de RAM !

V. Conclusion

Dans ce tutoriel, nous avons passé en revue les étapes permettant de créer un hyperviseur VMware ESXi 8.0 sur une machine virtuelle dans Workstation 17. Nous avons commencé par le déploiement de la VM pour ensuite faire l’installation de l’hyperviseur.

Cette expérience nous a permis de mettre en œuvre la notion de virtualisation imbriquée et de voir son potentiel pour mettre en place un lab VMware.

Dans un prochain article, nous verrons comment personnaliser la configuration de ESXi 8.0. En attendant, n’hésitez pas à explorer la console ESXi Host Client et découvrir les fonctionnalités très riches de cet hyperviseur de type 1 de VMware.

Vous avez complété la première étape pour éventuellement découvrir vSphere 8.0 que vous pouvez installer sur votre machine virtuelle ESXi et ajouter une nouvelle couche de virtualisation à votre environnement imbriqué.

The post Comment installer l’hyperviseur VMware ESXi 8.0 sur une machine virtuelle dans Workstation 17 ? first appeared on IT-Connect.

Mercedes-Benz a exposé par erreur des données sensibles sur GitHub

31 janvier 2024 à 07:00

Voilà une erreur qui aurait pu coûter cher à Mercedes-Benz : un jeton d'authentification correspondant à un employé du fabricant automobile a été découvert dans un dépôt GitHub public ! Grâce à lui, n'importe qui aurait pu accéder au serveur GitHub Enterprise de Mercedes-Benz.

Au cours du mois de janvier 2024, les chercheurs en sécurité de RedHunt Labs ont découvert que Mercedes-Benz avait involontairement laissé un jeton d'authentification sur un dépôt GitHub public. Autrement dit, ce jeton était à la portée de tout le monde... Mercedes-Benz a été informé de cette découverte le 22 janvier 2024 par RedHunt Labs, avec l'aide du média TechCrunch. Il semblerait qu'il était accessible depuis septembre 2023.

Shubham Mittal, cofondateur de RedHunt Labs, a déclaré : "Le jeton GitHub donnait un accès "illimité" et "non surveillé" à l'ensemble du code source hébergé sur le serveur interne GitHub Enterprise Server". Il affirme également que les dépôts comprennent de nombreuses informations sensibles, notamment des clés d'accès Cloud, des clés d'API, des documents d'études, des codes sources, ou encore des identifiants.

Au passage, Shubham Mittal a pu prouver qu'il avait en sa possession des identifiants Microsoft Azure et AWS, ainsi qu'une base de données Postgres, appartenant à Mercedes-Benz. À ce jour, rien ne prouve que des données de clients ont été exposées dans le cadre de cet incident.

Heureusement que cela n'est pas tombé entre de mauvaises mains... Deux jours après avoir eu connaissance de ce problème de sécurité, Mercedes-Benz a révoqué le jeton d'authentification exposé et a procédé à la suppression du dépôt GitHub public.

Le constructeur automobile en a profité pour s'exprimer publiquement : "Nous pouvons confirmer qu'un code source interne a été publié sur un dépôt GitHub public par erreur humaine. Ce jeton donnait accès à un certain nombre de dépôts, mais pas à l'ensemble du code source hébergé sur le serveur interne GitHub Enterprise Server.".

Source

The post Mercedes-Benz a exposé par erreur des données sensibles sur GitHub first appeared on IT-Connect.

❌
❌