Veeam vient d'annoncer officiellement la prise en charge de l'hyperviseur Proxmox VE au sein de sa solution Veeam Data Platform, ce qui va permettre aux organisations de sauvegarder et de restaurer leurs machines virtuelles Proxmox avec la solution Veeam !
Il y a moins d'un mois, Veeam avait ajouté la prise en charge de la sauvegarde et la restauration des machines virtuelles exécutées sur l’hyperviseur Linux KVM d’Oracle pour sa solution Veeam Data Platform. Désormais, Proxmox VE vient s'ajouter à la liste des plateformes prises en charge, même s'il faudra attendre encore un peu pour en profiter : la fonctionnalité sera disponible au troisième trimestre 2024.
À l'heure actuelle, Veeam prend en charge les solutions VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Oracle Linux Virtualization Manager et Red Hat Virtualization, ainsi que les environnements AWS, Azure et Google Cloud. Cette liste va s'étoffer suite à l'annonce très attendue par la communauté IT et les organisations qui s'apprêtent à laisser de côté VMware au profit de Proxmox, notamment du côté des PME : vous allez pouvoir protéger vos machines virtuelles Proxmox VE avec la solution Veeam.
« La prise en charge attendue de l’environnement virtuel Proxmox par Veeam témoigne de la valeur que l’hyperviseur Proxmox VE apporte à ses utilisateurs dans un contexte marqué par la transformation du marché », ajoute Martin Maurer, CEO de Proxmox.
La prise en charge de Proxmox VE en quelques fonctionnalités clés
Voici quelques points clés quant à la prise en charge de Proxmox VE par Veeam :
Sauvegardes immuables des machines virtuelles Proxmox VE, sur site et dans le Cloud.
Performances de sauvegardeavec l’intégration des fonctions de suivi avancé des blocs modifiés (CBT — Changed Block Tracking) et d’ajout de sauvegardes à chaud.
Veeam BitLooker pour exclure automatiquement les blocs inutilisés sur les disques de sauvegarde, afin d'économiser de l'espace disque sur l'emplacement de stockage des sauvegardes.
Flexibilité du stockage : la prise en charge de tous les types de référentiels de sauvegarde Veeam Backup & Replication, y compris le stockage objet.
Liberté de restauration complète des machines virtuelles : les machines virtuelles associées aux plateformes de virtualisation les plus courantes (VMware vSphere ou Microsoft Hyper-V, par exemple) ou à des environnements de cloud publics peuvent être rapidement restaurées sur l’hyperviseur Proxmox VE et inversement.
Capacités de restauration granulaire avancées afin de pouvoir restaurer facilement les fichiers modifiés ou supprimés.
Désormais, il convient de patienter, même si nous aurons bientôt l'occasion de voir en action la prise en charge de Proxmox VE. À l'occasion de son événement VeeamON, qui se déroulera du 3 au 5 juin 2024, Veeam va présenter cette nouveauté en exclusivité !
Microsoft Places, c'est le nom de la nouvelle solution dévoilée par Microsoft. Propulsée par de l'intelligence artificielle, elle a pour objectif de faciliter l'organisation des réunions et du lieu de travail dans les organisations adeptes du mode hybride.
La solution Microsoft Places pour Microsoft 365 s'adresse aux organisations où les salariés sont parfois au bureau, parfois en télétravail, afin de leur permettre d'organiser plus facilement leur agenda : quand mes collègues seront-ils au bureau ? Quel est le meilleur moment pour aller au bureau cette semaine, et pourquoi ? Voici des questions auxquelles peut répondre Places.
"Avec Microsoft Places, une application qui réimagine le travail flexible, l'IA peut rendre encore plus facile la coordination du temps passé au bureau et la connexion avec les collègues.", c'est ainsi que Microsoft présente sa solution Places.
Si vous souhaitez organiser une réunion sur site avec vos collègues, Microsoft Places pourra vous indiquer quand ils seront sur site, ce qui vous permettra de choisir plus facilement le bon créneau. De plus, il facilitera la réservation d'une salle de réunion ou d'un bureau. L'outil a aussi pour objectif de vous inciter à aller au bureau quand vos collègues ou votre responsable sont également sur place, afin de favoriser les échanges et les relations sociales sur site.
Source : Microsoft
Comme le permet déjà Outlook, Places permettra d'indiquer d'où vous travailler actuellement. D'ailleurs, Places sera pleinement intégré dans Outlook, ce qui est cohérent puisqu'il est lié à l'organisation de votre emploi du temps. Ensuite, l'intelligence artificielle par l'intermédiaire de Microsoft Copilot pourra vous guider et vous conseiller, notamment pour identifier un lieu pour votre prochaine réunion. "Dans le courant du second semestre 2024, vous pourrez utiliser Copilot pour savoir quels sont les meilleurs jours pour venir au bureau.", précise Microsoft dans son article.
Places sera aussi utile pour les responsables de service parce qu'ils pourront informer les employés de l'heure à laquelle ils seront au bureau et des priorités à respecter pour chaque journée de travail. Enfin, le service informatique pourra s'appuyer sur Places pour obtenir des statistiques sur l'utilisation des salles.
Source : Microsoft
Quand sera disponible Microsoft Places ? À quel coût ?
Dès maintenant, Microsoft Places est disponible en préversion publique ("Public Preview") et il sortira probablement en version stable dans la seconde partie de l'année 2024. Microsoft n'a pas donné de date précise à ce sujet.
Microsoft Places n'est pas gratuit, car il sera proposé dans le cadre de la licence Microsoft Teams Premium, cette dernière étant facturée 6,60 € HT par utilisateur/mois.
Dans cet article, nous allons découvrir Zircolite, un outil d'investigation numérique simple d'utilisation capable de détecter des évènements de sécurité suspects dans différents formats de journaux d'évènements (logs), dont le format .evtx (Windows), les logs Auditd Linux, le format JSON, etc.
Cet outil peut être utilisé lors d'une suspicion d'intrusion sur un composant du système d'information, lors d'un contrôle de routine (threat hunting) sur les journaux ou lors d'une investigation numérique en bonne et due forme. L'intérêt de Zircolite est qu'il est standalone, il ne nécessite pas de serveur web ou base de donnée. Il peut être exécuté sur n'importe quel système Linux munit de Python3, ou sous Windows en tant que simple exécutable. Également, il est très simple d'utilisation et repose sur un standard pour la détection des évènements suspects : les règles Sigma.
II. Détection, investigation numérique et règles Sigma
A. Sigma : règles de détection pour les journaux d'évènements
À l'instar des règles Yara (pour les fichiers) et des règles Snort (pour les trames réseaux), les règles Sigma sont un format unifié de règles de détection orienté sur les journaux d'évènements. Ce format propose une manière uniforme de définition d'un évènement de sécurité à rechercher dans les journaux à l'aide de conditions qui seront utilisées comme critères de recherche et de catégorisation d'un évènement.
Les règles Sigma sont donc prises en compte par un grand nombre d'outils et disposent d'un autre avantage très important : la conversion.
L'écosystème des règles Sigma est, en effet, très intéressant, car il intègre des outils capables de convertir les règles Sigma en requêtes ou commandes spécifiques à certains produits. Par exemple, une requête KQL (pour ELK), Splunk, ou même une requête PowerShell en utilisant le cmdlet "Get-WinEvent". Bref, un sujet très intéressant là aussi. Voici un exemple :
Je viens de convertir la règle de détection Sigma "sysmon_file_block_executable.yml" en requête Splunk. Dans les faits, Zircolite utilise activement cette possibilité afin de convertir les évènements et les règles de recherche au format SQL/SQLite :
L'occasion ici de rappeler l'importance des journaux d'évènements, tant dans leur configuration, journaliser les bons évènements, notamment ceux de sécurité, que dans leur centralisation/externalisation : ne pas laisser les journaux sur le système qui les a générés, en faire une copie, une sauvegarde, dans un endroit sûr. En cas d'attaque, une équipe d'investigation numérique ou de remédiation aura du mal à vous aider si les journaux permettant de retracer le dérouler d'une cyberattaque ne sont pas complets et à disposition, voire n'ont jamais été produits.
Pour en apprendre plus, je vous recommande notre article sur le sujet de la centralisation des logs :
Pour l'exemple, voici une règle Sigma issue du Github SigmaHQ/Sigma, l'une des places centrales de la collaboration autour des règles de détection Sigma :
title: Suspicious PowerShell Download
id: 3236fcd0-b7e3-4433-b4f8-86ad61a9af2d
related:
- id: 65531a81-a694-4e31-ae04-f8ba5bc33759
type: derived
status: test
description: Detects suspicious PowerShell download commandreferences:
- https://www.trendmicro.com/en_us/research/22/j/lv-ransomware-exploits-proxyshell-in-attack.html
author: Florian Roth (Nextron Systems)
date: 2017/03/05
modified: 2023/10/27
tags:
- attack.execution
- attack.t1059.001
logsource:
product: windows
category: ps_classic_start
detection:
selection_webclient:
Data|contains: 'Net.WebClient'
selection_download:
Data|contains:
- '.DownloadFile('
- '.DownloadString('
condition: all of selection_*
falsepositives:
- PowerShell scripts that download content from the Internet
level: medium
Une explication détaillée des règles Sigma, de leur fonctionnement et de leur utilisation pourrait faire l'objet d'un cours entier, mais nous pouvons au moins nous intéresser aux points suivants :
logsource:
product: windows
category: ps_classic_start
Ces instructions permettent de spécifier dans quel type de logs, nous allons chercher notre information, ici pour les produits Windows et la catégorie "ps_classic_start", c'est-à-dire les journaux PowerShell. Une liste complète des logsource et catégories utilisables peut être trouvées sur la documentation officielle Sigma.
Viennent ensuite les conditions de notre recherche :
detection:
selection_webclient:
Data|contains: 'Net.WebClient'
selection_download:
Data|contains:- '.DownloadFile('- '.DownloadString('
condition: all of selection_*
Nous pouvons noter deux conditions ("selection_webclient" et "selection_download") qui doivent toutes deux être remplies ("condition: all of selection_*"). La première indique que le champ "Data" (le contenu de la commande PowerShell analysée) doit contenir "Net.WebClient" et la seconde qu'il doit contenir ".DownloadFile(" ou ".DownloadString('".
Les nombreuses autres instructions de cette règle permettent de spécifier son auteur, son niveau de criticité, d'obtenir des références externes, etc.
Zircolite propose ses propres règles Sigma, mais n'importe quel jeu de règle utilisant ce format peut être utilisé, c'est ce qui fait la grande puissance de l'outil. Vous pouvez retrouver les règles inclus dans Zircolite ici : Github - Zircolite-Rules et localement dans le sous-répertoire d'installation de Zircolite "rules" :
Ces deux sources vous donneront largement de quoi faire, utilisez les notamment pour comprendre le format des règles Sigma et commencer à jouer avec. Gardez en tête cependant que même en utilisant comme base un jeu de règles à jour et éprouvé, les règles les plus efficaces sont celles qui ont été adaptées à votre contexte métier et technique.
Maintenant que nous avons une idée légèrement meilleure de ce que sont les règles Sigma, largement utilisées par les blue teams (équipe de défense et détection) et par Zircolite, passons à l'action.
III. Zircolite : détection d'évènements suspects
A. Installation de Zircolite
Si vous souhaitez utiliser Zircolite depuis un système Windows, il suffit de télécharger l'archive Release du projet et de la décompresser sur votre système :
L'utilisation depuis Windows peut sembler la plus simple si vous souhaitez analyser des journaux Windows. Cependant, Zircolite peut aussi être utilisé en tant que script Python de la même façon. Dès lors, il faut télécharger le code source depuis Github et installer les dépendances Python :
cd /opt
git clone https://github.com/wagga40/Zircolite.git
cd Zircolite
pip install -r requirements.full.txt
Dans le cadre de l'article, je l'installe sur un système Kali Linux Purple, basé sur Debian.
B. Exporter ses logs Windows
Nous sommes prêts à analyser nos journaux d'évènements, mais commençons par les récupérer depuis un système qui nous intéresse. Sur un système Windows, les journaux d'évènements sont nativement stockés dans des fichiers ".evtx". Ceux-ci sont situés dans le répertoire "C:\Windows\System32\winevt\Logs" :
Répertoire par défaut d'un système Windows contenant les journaux d'évènements.
Si l'on souhaite analyser seulement une partie nos journaux, par exemple, d'une date à une autre ou certains évènements ID, nous pouvons effectuer les filtres qui nous intéressent dans l'Observateur d'évènements, puis exporter le résultat. Il faut pour cela se positionner dans le journal à exporter, puis cliquer sur "Enregistrer tous les évènements sous…" dans le panneau droit :
Export des journaux d'évènements "Sécurité" depuis l'Observateur d'évènements.
Il est également possible d'exporter les journaux d'évènements dans un fichier ".evtx" via la ligne de commande grâce à l'utilitaire "wevtutil.exe", présent nativement sous Windows. Voici un exemple pour exporter le journal "Sécurité" :
wevtutil export-log Security Z:\Security.evtx
Dans ces deux derniers cas, nous aurons en résultat un fichier ".evtx" à analyser.
Si vous ne souhaitez pas analyser vos propres journaux Windows ou que vous n'en avez pas sous la main, pas de panique. Voici une source qui propose des journaux Windows contenant des évènements de sécurité, des traces d'attaques, etc. :
Enfin, certains challenges Sherlocks de Hack The Box proposent également des fichiers ".evtx" contenant des traces de cyberattaque. Il s'agit là aussi d'un très bon moyen de s’entraîner.
C. Analyse les logs Windows avec Zircolite
Maintenant que nous avons tout à notre disposition, nous pouvons utiliser Zircolite pour mener une analyse sur ces journaux à l'aide de règles de détection Sigma :
python3 zircolite.py --evtx XXXX.evtx
Sous Windows, le format de la commande est le même :
Il est possible de fournir en entrée à Zircolite un fichier ".evtx," ou un dossier complet contenant un ensemble de fichiers ".evtx". Par exemple, si vous ne savez pas très bien où et quoi chercher et que vous avez copié tout le contenu du répertoire "C:\Windows\System32\winevt\Logs" :
python3 zircolite.py --evtx monRepertoire\
Voici le résultat obtenu lors de l'exécution de Zircolite sous Linux :
Résultat de l'exécution de Zircolite sur des journaux d'évènements Windows.
Zircolite nous indique ici dans un premier temps le jeu de règles Sigma qu'il va utiliser ("rules/rules_windows_generic_py_sigma.json"). Puis, il va analyser les journaux d'évènements fournit en entrées avec ces règles Sigma et nous afficher les évènements découverts, leur sévérité (High, Medium, Low), et leur nombre d’occurrences.
Parmi les éléments notables de l'exemple ci-dessus, on peut noter l'utilisation de "mimikatz", la réalisation d'une attaque DCSync, une opération de suppression des journaux d'évènements... Pas de doute ici, un attaquant est passé par là !
Si l'on souhaite utiliser un autre jeu de règles (des règles personnalisées par exemple), il est possible de le spécifier avec l'option "-r" :
Ce second jeu de règle utilisé me remonte par exemple 155 évènement suspects contre 47 avec le jeu de règle "par défaut". Une différence assez nette qui montre l'importance de disposer d'un jeu de règles complet et adapté à son contexte et aux évènements recherchés.
Vous remarquerez ici que j'ai utilisé les règles Sigma spécifiques aux évènements Sysmon, je vous invite à consulter notre article dédié pour en savoir plus sur ce qu'est Sysmon et son apport en termes de sécurité :
L'avant-dernière ligne nous indique qu'un fichier de sortie au format JSON a été créé : "detected_events.json". Ce fichier au format JSON est intéressant si l'on souhaite aller plus loin dans l'investigation des évènements découverts :
Extrait du fichier JSON d'évènements suspect généré par Zircolite.
Le contenu de cette sortie contient de nombreux détails techniques qui permettent d'en savoir plus sur les évènements suspects. Tous ne peuvent être affichés dans la sortie terminale de Zircolite pour des raisons de lisibilité. Dans ce fichier, vous n'aurez donc que des évènements suspects qui méritent une investigation. Zircolite a fait le tri parmi vos milliers de journaux pour n'en sortir que les évènements suspects d'après un ensemble de règle de détection Sigma.
Si vous n'êtes pas familier de la cybersécurité, l'élément principal sur lequel vous pourrez vous baser pour mieux comprendre les évènements suspectés relevés et les règles de détection sont le contenu des champs "references" (souvent des liens vers des blogposts) et les "tags". Ce dernier champ utilise les identifiants TTP du framework MITRE ATT&CK qui contient beaucoup d'informations sur les différents types d'attaques et modes opératoires des attaquants.
N'hésitez pas à utiliser un moteur de recherche ou le site du framework MITRE ATT&CK pour en apprendre plus sur une attaque identifiée par son TTP. Par exemple T1548 - Abuse Elevation Control Mechanism.
Il est aussi possible de ne s'intéresser qu'aux journaux d'évènements au-delà ("--after" ou "-A") ou avant ("--before" ou "-B") une certaine date, ce qui permet de filtrer ces derniers et d'améliorer les performances de recherche :
python3 zircolite.py --evtx /tmp/EVTX-ATTACK-SAMPLES/ -r /opt/Zircolite/rules/rules_windows_sysmon_full.json -A 2019-05-11T17:58:00 -B 2021-06-02T23:00:00
Le format à respecter pour spécifier une date est le suivant "<AAA-MM-DD>T<HH:MM:SS>", le "T" étant une valeur fixe. C'est notamment utile lorsque nous disposons de premières informations temporelles nous permettant d'orienter nos recherches.
D. Traiter la sortie JSON de Zircolite
Le format JSON étant un standard pris en charge par de nombreux outils, cela permet de faciliter la lecture et le traitement de ces données. Pour une utilisation et investigation immédiate sur ces évènements, nous pouvons, par exemple, utiliser la commande "jq", qui permet de parser, trier et filtrer les données JSON :
Lister tous les évènements suspects, les tags associés (TTP), ainsi que l'heure et l'hôte pour chaque occurrence :
Cette dernière commande est la plus parlante, puisque l'on commence à avoir un ordonnancement dans le temps des évènements suspects sur un système précis. Comme vous le voyez, connaître les subtilités du format JSON et manier "jq" est nécessaire ici. Sachez également que Zircolite peut directement envoyer les journaux obtenus par son analyse à différents composants comme un serveur Splunk ou ELK.
III. Utiliser le rapport web de Zircolite
Un dernier point important qu'il faut mentionner lorsque l'on parle de Zircolite est son interface web (autonome, elle aussi). Celle-ci peut être générée pour chaque analyse et contient une présentation graphique des évènements de sécurité relevés. Pour générer ce rapport au format web, il faut utiliser l'option "--package" :
python3 zircolite.py --evtx /tmp/EVTX-ATTACK-SAMPLES/ -r /opt/Zircolite/rules/rules_windows_sysmon_full.json --package
[...]
[+] Results written in : detected_events.json
[+] Generating ZircoGui package to : zircogui-output-6QYQ.zip
[+] Cleaning
Zircolite crée alors une archive contenant des fichiers .css, .js, et .html, qu'il faut décompresser :
Dès lors, la page web peut-être ouverte avec n'importe quel navigateur. La première vue que nous obtenons est une synthèse des évènements suspects identifiés par Zircolite dans les journaux analysés. On y trouve notamment une catégorisation de ces évènements basée sur le framework MITRE ATT&CK et par niveau de criticité :
Synthèse des évènements suspects relevés par Zircolite dans sa vue web.
Plus bas dans cette même page, nous pouvons obtenir une timeline des évènements relevés. Cette vue est très intéressante pour obtenir rapidement une vue d'ensemble de l'attaque (si l'on dispose de tous les journaux et des bonnes règles Sigma bien sûr) :
Vue timeline des évènements de sécurité suspects identifiés par Zircolite dans son rapport web.
Chaque évènement est positionné dans le temps par rapport aux autres (grâce à l'horodatage de chacun) et catégorisé en fonction de sa typologie avec les catégories du framework MITRE ATT&CK.
Dans le cadre d'une investigation numérique, l'établissement d'une timeline de l'attaque est l'un des objectifs principaux de l'équipe forensic. L'idée de pouvoir identifier très rapidement le séquençage des évènements pour mieux comprendre l'objectif de l'attaquant et son mode opératoire, ce qui permet de prendre les bonnes décisions concernant la suite des évènements.
Nous pouvons alors sélectionner n'importe lequel de ces évènements pour avoir des informations plus précises sur celui-ci (cliquez sur l'image pour zoomer) :
Tableau "Sigma alerts" du rapport web Zircolite concernant un évènement sélectionné.
Ce tableau contient de nombreuses colonnes et vous avez la possibilité de les étudier en utilisant la barre de défilement horizontale. Ces colonnes contiennent l'ensemble des informations de l'évènement sélectionné et initialement stocké dans le fichier ".evtx". Il s'agit des mêmes informations que celles présentes dans le fichier JSON étudié précédemment, mais affichées de manière plus lisible dans une page web (cliquez sur l'image pour zoomer) :
Vue en tableau filtrable des évènements suspects dans le rapport web Zircolite.
Cette simple vue nous permet, par exemple, de savoir que le processus "MSSQL" a exécuté un script via "cmd.exe" avec les droits de l'utilisateur "sqlsvc" sur le poste "MSEDGEWIN10". Cette vue par tableau permet également d'effectuer de nombreux filtres, à l'instar de ce que nous avons fait via "jq" sur le fichier JSON généré par Zircolite.
Le dernier élément notable de ce rapport web est la matrice du framework MITRE ATT&CK, qui montre tous les TTP détectés dans l'ensemble de journaux fournis en entrées (cliquez sur l'image pour zoomer) :
Vue d'ensemble des TTP identifiés par Zircolite dans son rapport web.
Là aussi, cette vue d'ensemble aide à se faire très rapidement une idée de la portée de l'attaque et des différentes opérations de l'attaquant sur les systèmes concernés.
IV. Conclusion
Dans cet article, nous avons fait le tour de Zircolite au travers des cas concrets sur des journaux d'évènements Windows. Nous avons notamment vu que Zircolite peut être utilisé de façon très simple en ligne de commande afin d'identifier des évènements suspects, d'étudier les détails de ces évènements et d'offrir une vue d'ensemble avec timeline d'une cyberattaque.
Il reste naturellement beaucoup de choses à découvrir au sujet de l'investigation numérique (forensic), des règles Sigma et de Zircolite. Néanmoins, le contenu de l'article devrait vous donner les bases de son utilisation, utiles pour l'étudier plus en profondeur et l'utiliser quotidiennement ou occasionnellement. Également, n'oubliez pas que Zircolite permet de traiter d'autres formats de journaux comme les journaux Sysmon for Linux, auditd, JSON, JSONL, etc... Même si cela n'a pas été traité dans l'article.
Au-delà de l'outil, cet article a permis de rappeler un grand nombre d'éléments concernant la sécurité d'un système unique ou de tout un système d'information : le durcissement des configurations pour permettre la journalisation des évènements importants de sécurité, la sauvegarde et centralisation de ces évènements, la capacité à pouvoir intervenir rapidement suite à une cyberattaque et commencer les premières investigations, etc.
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Ce lundi 13 mai 2024, à l'occasion de son événement "Spring Update", OpenAI a fait plusieurs annonces dont l'arrivée d'une application desktop officielle pour deux systèmes d'exploitation : Windows et macOS. Faisons le point.
Lors de son événement "Spring Update", très attendu par les amateurs d'IA, OpenAI a dévoilé son nouveau modèle de langage GPT-4o, accessible gratuitement aux utilisateurs dans une certaine limite, ainsi que deux applications desktop: l'une pour Windows, l'autre pour macOS. Cela signifie qu'il n'est plus nécessaire d'utiliser systématiquement un navigateur pour converser avec le chatbot.
Les utilisateurs de macOS ont le privilège de pouvoir installer et télécharger cette application dès maintenant. Mais, attention, l'accès à cette application est réservé aux utilisateurs ayant un abonnement ChatGPT Plus, pour le moment. Ceci devrait évoluer par la suite.
Tandis que les utilisateurs de Windows vont devoir patienter, comme nous pouvons le lire sur le site d'OpenAI : "Nous prévoyons également de lancer une version Windows dans le courant de l'année." - Vous l'aurez compris, OpenAI a officialisé cette application, mais elle n'est pas encore disponible sur Windows. Ceci est quand même étonnant quand on sait que Microsoft a investi des milliards de dollars pour financer les projets d'OpenAI...
OpenAI a également dévoilé une nouvelle interface pour ChatGPT conçue pour être plus conviviale et rendre plus agréable les conversations avec le chatbot. "Vous remarquerez un nouvel écran d'accueil, une nouvelle présentation des messages et bien plus encore.", précise OpenAI.
Comment télécharger ChatGPT sur macOS ?
L'application ChatGPT n'est pas disponible sur l'App Store officiel. En effet, l'installeur pour Mac est accessible depuis le site d'OpenAI, au sein de votre compte.
OpenAI a travaillé sur une application complète, bien intégrée à macOS, et qui n'est pas une adaptation de la version Web de ChatGPT. Par exemple, les utilisateurs peuvent solliciter l'IA à tout moment en utilisant le raccourci clavier "Option + Espace" qui affiche un menu similaire à Spotlight.
Lors de son événement "Spring Update", OpenAI a dévoilé son nouveau modèle de langage : GPT-4o. Dérivé de GPT-4, il est accessible à tout le monde et gratuitement ! Faisons le point.
GPT-4o est en quelque sorte une évolution du modèle de langage GPT-4, ce dernier étant déjà accessible depuis plusieurs mois aux abonnés payants de ChatGPT. OpenAI affirme que GPT-4o est plus rapide et plus "intelligent", mais aussi meilleur en multimodal. D'ailleurs, c'est de là que vient son nom, car le "o" signifie "omnimodel", faisant référence au fait que c'est un modèle multimodal.
GPT-4o est plus pertinent dans l'analyse de données et il est doté de meilleures capacités en interprétation de texte, d’image et d’audio. "Par exemple, vous pouvez maintenant prendre une photo d'un menu dans une autre langue et parler à GPT-4o pour le traduire, en apprendre davantage sur l'histoire et la signification de la nourriture, et obtenir des recommandations.", peut-on lire dans l'annonce officielle.
Jusqu'à présent, il convenait de disposer d'un abonnement payant à ChatGPT Plus pour pouvoir utiliser le modèle GPT-4 par l'intermédiaire de ChatGPT ou de son API. Les utilisateurs gratuits, quant à eux, étaient limités à l'utilisation de GPT-3.5.
Désormais, GPT-4o est disponible gratuitement et pour tout le monde : une excellente nouvelle pour tester sans frais ce nouveau modèle. Ceux qui paient seront moins limités et priorisés : "Les utilisateurs Plus auront une limite de messages jusqu'à 5 fois supérieure à celle des utilisateurs gratuits, et les utilisateurs Team et Enterprise auront des limites encore plus élevées.", peut-on lire sur le site d'OpenAI.
Évolution de ChatGPT Voice
OpenAI a également annoncé des nouveautés pour ChatGPT Voice, la fonction vocale de ChatGPT. Plutôt que de converser à l'écrit avec ChatGPT, vous pouvez l'utiliser avec la voix, comme les autres assistants vocaux du marché. La nouvelle version sera plus rapide et plus naturelle, avec un temps de réponse moyen de 320 millisecondes, similaire à celui d'un humain dans une conversation. Dans les prochaines semaines, elle sera disponible en version alpha pour les abonnés à ChatGPT Plus.
OpenAI veut frapper fort en s'appuyant sur GPT-4o pour ChatGPT Voice, de façon à ce que le même réseau neuronal soit utilisé pour traiter, en temps réel, les entrées et sorties pour le texte, l'audio et la vision. De plus, il sera capable de détecter les émotions des humains.
"Par exemple, vous pourriez montrer à ChatGPT un match de sport en direct et lui demander de vous en expliquer les règles.", peut-on lire. OpenAI a effectué plusieurs démonstrations impressionnantes en direct et mis en ligne cette vidéo :
Say hello to GPT-4o, our new flagship model which can reason across audio, vision, and text in real time: https://t.co/MYHZB79UqN
Text and image input rolling out today in API and ChatGPT with voice and video in the coming weeks. pic.twitter.com/uuthKZyzYx
D'ailleurs, dans quelques heures, Google doit annoncer des nouveautés pour son IA générative, Gemini, alors forcément, l'entreprise américaine est attendue au tournant...
Dell a envoyé un e-mail à ses clients pour les avertir d'une fuite de données : un pirate est parvenu à voler les informations de 49 millions de clients. Voici ce qu'il faut savoir !
Il y a quelques jours, Dell a alerté ses clients qu'un tiers non autorisé était parvenu à accéder et à exfiltrer les informations personnelles de 49 millions de clients. Par l'intermédiaire de ce portail Dell, le pirate est parvenu à accéder aux informations suivantes : nom, adresse physique et des données sur le matériel Dell. En effet, pour chaque client, il y a un récapitulatif des commandes Dell, avec le nom du produit, la date de la commande, les détails sur la garantie ou encore le Service Tag de chaque produit, c'est-à-dire le numéro de série.
Cette notification envoyée par e-mail fait suite à l'annonce publiée sur Breach Forums le 28 avril dernier, par un cybercriminel surnommé Menelik. C'est à cette date qu'il a mis en vente la base de données avec les clients de Dell. D'après lui, il s'agit d'informations correspondantes aux clients Dell entre 2017 et 2024. Voici un aperçu de cette annonce :
Source : Daily Dark Web
L'origine de cette fuite de données
Les journalistes du site BleepingComputer sont parvenus à échanger avec Menelik, le cybercriminel à l'origine de cette fuite de données. Il a indiqué qu'il avait découvert et utilisé un portail Dell dédié aux partenaires et aux revendeurs pour accéder aux données.
Pour obtenir un accès à ce portail, il a créé plusieurs comptes avec des noms d'entreprises fictifs et il a eu accès dans les 48 heures. D'après lui, il suffit de compléter un formulaire et de patienter que la demande soit approuvée. Ce qui interroge sur le processus de vérification de Dell...
Il a créé un programme pour générer des codes Service Tag sur 7 caractères afin de pouvoir interroger le portail par l'intermédiaire de l'API. Résultat, il a pu récolter les informations de 49 millions de clients en générant 5 000 requêtes par minute pendant trois semaines. Dell n'a jamais bloqué les tentatives effectuées via l'API.
Il a également notifié Dell pour avertir l'entreprise américaine de la présence de cette vulnérabilité dans son système. Néanmoins, l'entreprise américaine n'a pas répondu. D'ailleurs, Dell a indiqué avoir détecté cet incident de sécurité avant de recevoir l'e-mail de Menelik. Une enquête judiciaire serait ouverte pour mener des investigations et tenter d'identifier l'auteur.
Google a mis en ligne une nouvelle mise à jour de sécurité pour son navigateur Chrome dans le but de protéger les utilisateurs de la vulnérabilité CVE-2024-4671. Il s'agit de la 5ème faille de sécurité zero-day exploitée dans le cadre d'attaques patchée depuis le début de l'année 2024 dans Google Chrome.
Associée à la référence CVE-2024-4671, cette vulnérabilité de type "use after free" est présente dans le composant Visuals de Google Chrome. Ce composant est utilisé pour le rendu et l'affichage du contenu au sein des onglets et fenêtres de Google Chrome.
Reporté à Google le 07 mai 2024 par un utilisateur anonyme, Google a corrigé cette faille de sécurité déjà exploitée et pour laquelle il existerait déjà un exploit : "Google sait qu'il existe un programme d'exploitation pour CVE-2024-4671 dans la nature.", peut-on lire dans le bulletin de sécurité de l'entreprise américaine. Comme à son habitude, et dans le but de protéger ses utilisateurs, Google n'a pas fourni d'autres précisions ni détails techniques.
Cette vulnérabilité de type "use after free" est liée à l'utilisation de la mémoire par le programme. Même s'il ne s'agit que d'hypothèses, cette vulnérabilité pourrait permettre une exécution de code à distance, une fuite d'informations ou un déni de service.
Comment se protéger de la CVE-2024-4671 ?
Les utilisateurs de Google Chrome sur Windows, macOS et Linux sont affectés par cette faille de sécurité. Google a mis en ligne les versions 124.0.6367.201/.202 pour Mac et Windows, ainsi que la version 124.0.6367.201 pour Linux. Ces versions sont disponibles depuis le 9 mai 2024.
Désormais, il ne vous reste plus qu'à effectuer la mise à jour du navigateur Chrome sur votre machine. Rendez-vous dans le menu avec les trois points verticaux, puis sous "Aide", cliquez sur "A propos de Google Chrome".
En 2024, c'est la 5ème faille de sécurité zero-day corrigée par Google dans son navigateur. La précédente a été découverte et exploitée à l'occasion de la compétition de hacking Pwn2Own 2024, comme nous l'évoquions dans cet article publié sur notre site.
Dans ce tutoriel, nous allons apprendre à exporter et importer une stratégie Intune basée sur le "Catalogue des paramètres", ce qui va permettre de transférer facilement un profil de configuration d'un tenant à un autre. Ceci peut aussi être utile pour sauvegarder une stratégie avant d'effectuer des modifications importantes. Une astuce bien pratique.
Depuis octobre 2023 et la mise à jour de service Intune 2310, Intune offre la possibilité aux administrateurs Intune d'exporter et d'importer facilement des stratégies Intune. C'est un gain de temps et peut éviter de devoir créer des stratégies "from scratch".
Mais, attention, pour le moment, la méthode disponible via le Centre d'administration Intune s'applique uniquement sur les profils de configuration basés sur le "Catalogue des paramètres". Autrement dit, sur le type de profil "Catalogue des paramètres" (Catalog settings) visible sur l'image ci-dessous. Si vous avez besoin d'aller plus loin dans l'export/import de configuration Intune : consultez le lien présent à la fin de cet article.
II. Exporter un profil de configuration Intune
Pour cette démonstration, nous allons exporter la stratégie "Windows Update - Désactiver option "Interrompre les mises à jour" présente sur un tenant Microsoft 365 puis l'importer sur un autre tenant Microsoft 365. Il s'agit d'une stratégie pour Windows, mais ceci fonctionne aussi avec les autres plateformes.
Tout d'abord, connectez-vous au Centre d'administration Intune puis cliquez sur "Appareils" dans le menu latéral.
2 - Repérez la stratégie à exporter dans la liste.
3 - Au bout de la ligne correspondante à la stratégie à exporter, cliquez sur le bouton "...".
4 - Cliquez sur "Exporter JSON". Il y a aussi une autre option nommée "Dupliqué", qui permet, comme son nom l'indique, de créer une copie d'une stratégie.
Un pop-up nommé "Télécharger la stratégie" apparaît l'écran. Cliquez sur "Télécharger" pour valider.
Quelques secondes plus tard, un nouveau fichier au format JSON a été téléchargé sur votre machine. La notification "Exporter Azure Policy" est également visible dans le portail Intune.
Par curiosité, vous pouvez ouvrir ce fichier JSON si vous le souhaitez.
III. Importer un profil de configuration Intune
Désormais, nous allons voir comment importer notre stratégie sur un nouveau tenant Microsoft 365, ce qui évite de repartir de zéro ! Sachez que vous pouvez aussi exporter une stratégie et la réimporter sur le même tenant, ce n'est pas un problème. Mais, dans ce cas, pensez aussi à l'option "Dupliqué".
Toujours à partir du portail Intune, suivez le chemin suivant :
1 - Cliquez sur "Appareils" dans le menu de gauche.
Un panneau latéral va s'ouvrir sur la droite. À ce moment-là, vous pourrez sélectionner le fichier JSON à importer. Ce sera l'occasion de sélectionner le fichier de stratégie obtenu quelques minutes auparavant.
Vous devez également nommer la stratégie en remplissant le champ "Nouveau nom" et associer une description. Puis, cliquez sur le bouton "Enregistrer".
Voilà, la stratégie a été importée :
Cliquez sur cette stratégie dans la liste afin de visualiser ses propriétés et son contenu. Vous pourrez constater que l'ensemble des paramètres configurés dans la stratégie sont bien présents. Néanmoins, et c'est plutôt logique, les affectations ne sont pas copiées. C'est à vous d'éditer la stratégie pour l'affecter à un ou plusieurs groupes.
Voilà, vous venez d'importer une stratégie Intune !
IV. Conclusion
À l'avenir, il est fort probable que Microsoft améliore les capacités d'export et d'import intégrées au Centre d'administration Intune. En attendant, vous devez vous satisfaire de la méthode évoquée dans cet article, ou passer par PowerShell grâce au module "Microsoft Graph".
Vous pouvez aussi utiliser l'outil open source IntuneManagement présenté dans l'article ci-dessous et qui permet d'exporter et d'importer toute sa configuration Intune !
Dans ce tutoriel, nous allons découvrir un outil communautaire baptisé IntuneManagement, créé par Mikael Karlsson. Cet outil très puissant s'appuie sur PowerShell pour interroger Microsoft Graph et les API Azure pour permettre une gestion complète de ses configurations Intune !
L'outil IntuneManagement va se connecter à l'environnement Intune de votre tenant Microsoft 365 dans le but de vous permettre d'accomplir certaines tâches non prises en charge ou partiellement prises en charge par le Centre d'administration Intune. Vous pouvez l'utiliser pour exporter et importer vos configurations (ou sauvegarder et restaurer), que ce soit des stratégies de conformité, des stratégies personnalisées, des scripts PowerShell, des applications Intune, ou même des stratégies d'accès conditionnels. Cet outil très puissant et complet peut être utile dans différents scénarios, y compris pour la migration d'un tenant vers un autre.
Vous devez commencer par télécharger la dernière release d'IntuneManagement à partir du GitHub officiel du projet. Vous obtiendrez une archive ZIP qu'il faudra décompresser afin d'obtenir un répertoire avec l'ensemble des fichiers du projet, notamment un ensemble de scripts.
Il existe plusieurs scripts permettant de lancer l'outil : "Start.cmd", "Start-WithApp.cmd", "Start-WithConsole.cmd", "Start-WithJson.cmd", et "Start-IntuneManagement.ps1". Tout dépend de l'usage que vous souhaitez faire de l'outil et j'avoue ne pas avoir testé l'ensemble de ces scripts. Ici, nous allons exécuter le script nommé "Start-IntuneManagement.ps1" (j'ai rencontré des problèmes de connexion via "Start.cmd" avec la version 3.9.6).
.\Start-IntuneManagement.ps1
L'outil va se charger et ouvrir une interface graphique intitulée "Intune Manager". Commencez par accepter les conditions d'utilisation en cochant la case "Accept conditions", puis validez.
Ensuite, vous aurez accès à l'interface de l'application, mais à aucune donnée, car il faut s'authentifier auprès du tenant Microsoft 365. Cliquez sur le bouton en haut à droite afin de lancer la connexion. Connectez-vous à votre tenant. L'outil prend en charge les comptes protégés par MFA.
Une fois que la connexion est effectuée, vous obtiendrez une erreur parce que l'outil n'a pas les permissions pour accéder aux données de votre environnement, notamment via Microsoft Graph. C'est pour cette raison que tous les intitulés sont en rouge dans le menu présent sur la gauche. Cliquez sur votre avatar en haut à droite puis sur "Request consent".
Ensuite, vous devrez valider l'accès pour que cette application ait les permissions suffisantes pour récupérer les données de configuration Intune de votre tenant. Depuis la version 3.9.6, l'outil s'appuie sur Microsoft Graph pour se connecter aux services Microsoft.
III. Prise en main d'IntuneManagement
Désormais, vous pouvez naviguer dans les différentes sections du menu latéral présent sur la gauche. Comme vous pouvez le constater, la liste est longue. À chaque fois, l'outil vous propose plusieurs actions dont la possibilité d'exporter, d'importer et de documenter.
A. Exporter des configurations
Si nous prenons l'exemple de la section "Settings Catalog", elle permet d'obtenir la liste des stratégies de ce type présente sur votre environnement Intune. Vous pouvez exporter chaque stratégie, comme le propose le Centre d'administration Intune, à la différence que là, vous pouvez faire un export en masse de vos stratégies.
Nous pouvons sélectionner toutes les stratégies à exporter puis cliquer sur "Export".
Ensuite, nous devons choisir le répertoire dans lequel effectuer l'export, et se chargera de l'alimenter. L'option "Add company name to path" permet de créer un dossier avec le nom de l'entreprise (définie sur le tenant) afin de stocker les données exportées. Nous avons aussi la possibilité d'exporter les affectations, contrairement à ce que propose l'outil d'export de Microsoft intégré à Intune, via l'option "Export Assignments".
Pour déclencher l'export, il convient de cliquer sur le bouton "Export Selected", ou alors sur "Export All" pour exporter toutes les stratégies (peu importe la sélection effectuée au préalable).
Au final, nous obtenons un répertoire nommé "IT-Connect Lab" (nom de l'entreprise) avec un sous-répertoire "SettingsCatalog" qui contient un fichier JSON par stratégie.
Pour chaque section, nous pouvons visualiser la configuration et l'exporter en quelques clics. C'est vraiment la grande force de cet outil ! Ci-dessous, nous pouvons voir qu'il est possible d'exporter les stratégies de configuration d'appareil, via la section "Device Configuration", ce qui n'est pas possible via le portail Intune.
B. Importer des configurations Intune
L'application Intune Manager est capable aussi d'importer des configurations sur votre environnement Intune. Pour explorer cette fonctionnalité, nous allons importer des stratégies Intune qui correspondent aux bonnes pratiques de configuration de Windows issues des guides CIS Benchmark.
Nous allons télécharger les fichiers de stratégies, au format JSON, depuis ce dépôt GitHub communautaire :
Ces stratégies vont nous permettre de renforcer la sécurité de nos appareils Windows 10 et Windows 11 (à tester avant d'appliquer en production, bien entendu).
Il s'agit de stratégies de type "Catalogue des paramètres", donc nous pourrions les importer via le portail Intune. Néanmoins, Intune Manager va nous permettre un import en masse.
Il suffit de se rendre dans "Settings Catalog" dans l'application puis de cliquer sur "Import". Ensuite, nous devons sélectionner le dossier qui contient les fichiers JSON à importer. Plusieurs options sont proposées, notamment pour décider d'importer ou non les tags et les affectations.
Remarque : l'option "Compare" de l'outil vous permet de comparer une stratégie existante avec une stratégie au format JSON, ce qui permet de comparer facilement deux versions d'une même stratégie. Vous pouvez visualiser facilement les différences entre les deux versions.
Quelques secondes plus tard, ces stratégies sont importées dans Intune et visibles à partir du portail. Il ne reste plus qu'à en profiter !
C. Export en masse de la configuration Intune
Pour finir sur les fonctionnalités d'export (et d'import), nous allons évoquer la fonctionnalité de "Bulk Export" de l'outil, accessible via le menu "Bulk" ! Elle va vous permettre d'exporter tout ou partie de la configuration de votre tenant Intune en quelques clics !
Vous pouvez sélectionner ce que vous souhaitez exporter ou non, et l'outil s'occupe du reste ! Attention, pour les applications, les packages MSI, Intunewin, etc... ne sont pas exportés, mais les scripts le seront.
Une fois l'export terminé, vous obtenez un répertoire avec toutes vos configurations. Il est possible de tout réimporter sur un autre tenant, ce qui peut être utile si vous migrez d'un tenant à un autre. Nous pouvons aussi utiliser cette fonction pour faire une sauvegarde à l'instant t de nos configurations.
D. Générer une documentation Intune
Terminons par la cerise sur le gâteau : la possibilité de générer une documentation de votre configuration ! Pour cela, vous pouvez utiliser le bouton "Document" présent dans chaque section d'Intune Manager, ou utiliser le menu "Bulk" puis "Document Types".
Plusieurs options s'offrent à vous, comme le format du rapport : CSV, HTML, Markdown et même Word (s'il est installé sur la machine depuis laquelle Intune Manager est exécuté). Vous pouvez aussi sélectionner la langue, parmi un large choix, dont l'anglais, le français, l'espagnol, l'italien et l'allemand.
Ensuite, vous laissez travailler l'outil et il va générer une documentation complète pour résumer votre configuration, en intégrant une table des matières. Que ce soit pour documenter son SI ou effectuer un audit, cette fonctionnalité est redoutable.
Voici un exemple de rapport HTML :
IV. Conclusion
IntuneManagement est vraiment un excellent outil que tout administrateur d'Intune doit connaître ! Il a une réelle valeur ajoutée et facilite les opérations d'export, d'import, voire même de sauvegarde et de restauration d'une certaine façon, en plus de vous permettre de générer une documentation à la volée de votre configuration.
Dans ce tutoriel, nous allons apprendre à créer, restaurer et supprimer des points de restauration sur Windows 11. Cette fonctionnalité de Windows joue un rôle important puisqu'elle facilite le retour à un état antérieur en cas de dysfonctionnement. Que ce soit en tant qu'utilisateur final ou en tant qu'administrateur système, vous avez tout intérêt à avoir connaissance de cette fonctionnalité de Windows.
Remarque : sur Windows Server, vous ne pouvez pas créer directement de point de restauration de la même façon que sur Windows 10 et Windows 11. Vous devez installer la fonctionnalité "Sauvegarde Windows" (Windows Backup) et effectuer une sauvegarde de l'état du système par ce biais.
II. Qu'est-ce qu'un point de restauration ?
Un point de restauration système est une fonctionnalité de Windows, présente depuis des années, et toujours accessible sur Windows 11 qui permet à votre ordinateur de revenir à un état antérieur, connu comme "point de restauration", sans affecter vos fichiers personnels.
Cette fonctionnalité est extrêmement utile si vous rencontrez des problèmes après avoir installé une mise à jour, une application ou un nouveau pilote, ou après avoir apporté des modifications importantes à votre système (dans la base de Registre Windows, par exemple).
Pour vous donner un exemple concret, imaginons que vous ayez installé un nouveau logiciel sur votre PC et que celui-ci a causé des problèmes au point de rendre votre machine instable... Vous pouvez utiliser la fonction de restauration du système pour revenir à un point de restauration antérieur à l'installation du logiciel (à condition d'en avoir créé un, bien entendu). Une fois la restauration effectuée, votre système reviendra à l'état dans lequel il était à ce moment-là, comme si le logiciel problématique n'avait jamais été installé !
Un point de restauration comprend un ensemble d'éléments, dont une copie de l'état du système, ce qui inclut les paramètres du système, les applications installées et le contenu de la base de Registre Windows. Cependant, il ne sauvegarde pas vos fichiers personnels (documents, images, etc.).
J'insiste bien sur le fait qu'un point de restauration ne protège pas vos données et n'altère pas vos données lors de la restauration.
Remarque : la fonctionnalité de point de restauration de Windows s'appuie sur le service VSS (Shadow Copies). Les points de restauration seront stockés dans le répertoire "System Volume Information" présent à la racine de chaque volume.
III. Créer, restaurer et supprimer un point de restauration Windows
A. Créer un point de restauration
Tout d'abord, nous allons apprendre à créer un point de restauration sur une machine Windows 11. Mais, avant cela, nous devons également vérifier la configuration de cette fonctionnalité : est-elle activée ?
Sur votre PC Windows 11, ouvrez les "Paramètres", cliquez sur "Système" à gauche puis sur "Informations système" afin de cliquer sur "Protection du système" dans la section avec les liens connexes. Vous pouvez aussi appeler le raccourci suivant dans la zone de recherche de Windows :
systempropertiesprotection
Au sein de l'onglet "Protection du système", vous verrez vos différents lecteurs, et pour chacun d'entre eux, l'état de la protection. Par défaut, cette protection est activée uniquement sur le disque C sur lequel est installé le système Windows. Si vous avez un autre disque sur votre machine, il ne sera pas protégé, mais vous pouvez activer la protection à cet endroit.
1 - Sélectionnez le lecteur Windows dans la liste.
2 - Cliquez sur le bouton "Configurer..."
3 - Ici, vous pouvez activer ou désactiver la protection du système, veillez à ce que l'option "Activer la protection du système" soit sélectionnée. Vous pouvez également voir l'espace disque consommé par cette fonctionnalité, et autoriser l'utilisation de plus ou moins d'espace disque.
Ensuite, pour créer un nouveau point de restauration, sélectionnez le lecteur Windows dans la liste, puis cliquez sur le bouton "Créer". Vous devez nommer ce point de restauration : utilisez un nom explicite, car si vous devez le restaurer par la suite, il sera visible avec ce nom-là.
Il ne vous reste plus qu'à patienter : Windows va créer le point de restauration.
À titre informatif, sachez que cette action crée plusieurs événements visibles dans le journal "Application" de Windows, via l'Observateur d'événements. Ceci permet d'en savoir plus sur le déroulement de l'opération. Lorsqu'un point de restauration est correctement créé, un événement avec l'ID "8194" est ajouté. Voici un exemple :
B. Restaurer un point de restauration système
Plusieurs méthodes sont à votre disposition pour restaurer le système à un état antérieur à partir d'un point de restauration. En fait, ceci dépend notamment de l'état de votre machine : est-elle encore opérationnelle ou devez-vous revenir à un état antérieur suite à un crash complet ?
Tout d'abord, partons du principe que la machine est en ligne, mais que nous souhaitons revenir à un état antérieur suite à un problème de stabilité ou de performances, faisant suite à une modification récente.
Toujours à partir de "Protection du système", cliquez sur "Restauration du système". Un assistant s'exécute, sélectionnez l'option "Choisir un autre point de restauration" et cliquez sur "Suivant".
À l'étape suivante, vous devez sélectionner le point de restauration à sélectionner. Windows liste les points de restauration disponibles, avec la date et l'heure, et leur nom. Windows utilise aussi cette fonctionnalité pour ses propres besoins, donc vous pouvez visualiser aussi d'autres points de restauration que vous n'avez pas créés manuellement.
Sélectionnez le point de restauration à restaurer, puis cliquez sur "Rechercher les programmes concernés" pour comparer la liste des applications, des services et des pilotes présents dans l'image Windows en ligne avec la liste de ces éléments dans le point de restauration sélectionné. C'est plutôt pratique. Ensuite, poursuivez...
Cliquez sur "Terminer" pour lancer la restauration du système.
Laissez Windows travailler. La machine va automatiquement redémarrer afin d'effectuer le retour-arrière. Une fois que ce sera fait, un message sera visible sur l'écran de votre PC pour vous indiquer si tout s'est bien passé, ou pas.
Dans le cas où Windows ne parviendrait plus à s'exécuter correctement, vous pouvez passer par le mode de récupération pour effectuer la restauration du système à un état antérieur. Dans les "Options avancées" de la section "Dépannage", vous pouvez utiliser la fonctionnalité "Restauration du système".
Ici, il vous suffira de sélectionner le point de restauration à restaurer et de lancer l'opération.
C. Supprimer un point de restauration Windows
Si vous souhaitez supprimer un ou plusieurs points de restauration de Windows, sachez qu'il y a un bouton "Supprimer" accessible via les paramètres de configuration, dans la section "Protection du système". L'inconvénient, c'est qu'il va supprimer l'ensemble des points de restauration présents sur votre PC, pour le lecteur sélectionné. L'alternative consiste à utiliser l'outil de "Nettoyage de disque" de Windows, mais le résultat sera le même.
Pour supprimer un point de restauration spécifique, comment faire ? Vous devez utiliser la ligne de commande.
Tout d'abord, exécutez la commande ci-dessous pour lister tous les points de restauration disponibles sur votre PC, pour le lecteur "C".
vssadmin list shadows /for=c:
Le problème, c'est que cette commande ne retourne pas les noms des points de restauration, donc il faudra essayer de s'appuyer sur la date et l'heure pour identifier le point de restauration à supprimer. Ensuite, pour supprimer le point de restauration, vous devez spécifier son identifiant, c'est-à-dire son "ID du cliché instantané".
Imaginons que nous souhaitions supprimer le point de restauration avec l'identifiant "{b4c22461-1325-4adf-9621-572575b04faa}", ceci donnera la commande suivante :
Vous devez confirmer la suppression en indiquant "O" puis en appuyant sur Entrée.
Si vous souhaitez supprimer le point de restauration le plus ancien présent sur le lecteur "C", sachez que vous pouvez utiliser cette commande :
vssadmin delete shadows /for=C: /oldest
À ce jour, il n'existe pas de cmdlet PowerShell pour effectuer la suppression d'un point de restauration. Sachez tout de même qu'il y a deux cmdlets relatifs à la manipulation des points de restauration :
Suite à la lecture de ce tutoriel, vous devriez être en mesure de prendre en main la fonctionnalité de points de restauration présente dans Windows ! Si vous êtes adepte de scripts PowerShell, sachez que le cmdlet "Checkpoint-Computer" vous permet de créer un point de restauration : ce qui peut être utile si votre script est amené à modifier en profondeur la configuration du système.
Dans ce tutoriel, nous allons découvrir iVentoy, un serveur PXE très léger et simple à utiliser capable de déployer des images Windows, Linux, mais aussi VMware ESXi. À l'heure actuelle, il prend en charge de nombreux systèmes et 170 images différentes ont été testées !
iVentoy a été développé par la même personne que Ventoy, le célèbre outil de création de clés USB bootable. Sauf qu'iVentoy est un serveur PXE clé en main qui intègre à la fois le serveur DHCP et le boot PXE, tout en proposant un ensemble d'options et fonctionnalités. iVentoy est une alternative à d'autres solutions comme le rôle Windows Deployment Services (WDS) de Windows Server.
Le principe est simple : vous stockez sur votre serveur iVentoy différentes images ISO (Windows 11, Debian, Ubuntu, Windows Server, etc.) et vous démarrez iVentoy de façon à pouvoir déployer ces images ISO via le réseau local. Autrement dit, l'installation du système d'exploitation est effectuée par le réseau et vous pouvez installer plusieurs machines en même temps.
iVentoy est gratuit pour une utilisation personnelle et il est facturé 49 dollars pour une utilisation commerciale. C'est un tarif plus que raisonnable et ceci permettra de soutenir le projet. La version gratuite permet de déployer jusqu'à 20 machines simultanément, tandis que la version commerciale n'a aucune limite. Vous pouvez consulter le site d'iVentoy pour en savoir plus.
Pour approfondir le sujet du boot PXE et de WDS, voici des lectures recommandées :
iVentoy peut être installé sur Linux, mais également Windows et Windows Server. Dans cet exemple, nous allons l'installer sur un poste de travail Windows 11 : l'outil fonctionnera parfaitement et n'a aucune dépendance vis-à-vis de Windows Server.
L'installation est vraiment simple ! Rendez-vous sur le GitHub officiel et téléchargez la dernière version correspondante à votre système d'exploitation. Ici, le fichier "iventoy-1.0.220-win64-free.zip" est téléchargé.
Quand c'est fait, décompressez l'archive ZIP sur votre PC. Puis, accédez au dossier obtenu afin d'exécuter le fichier nommé "iVentoy_64". Il va permettre de lancer le serveur iVentoy ! Une notification apparaîtra à l'écran pour vous demander d'autoriser iVentoy dans le pare-feu : acceptez. Il y a également une alerte SmartScreen parce que l'exécutable n'est pas signé, mais vous pouvez l'exécuter (ce serait bien que le développeur améliore ce point).
Si nécessaire, cliquez sur "Open Link" pour accéder à l'interface de gestion d'iVentoy. Il s'agit d'une interface web accessible en locale à l'adresse suivante :
http://127.0.0.1:26000/
Voici un aperçu :
Voilà, le serveur iVentoy n'attend plus qu'une chose : être configuré pour vous permettre de déployer vos premières machines !
III. Configurer le serveur iVentoy
La première chose à effectuer, c'est alimenter la bibliothèque d'images ISO d'iVentoy. C'est très simple, il vous suffit de copier-coller vos images ISO dans le répertoire "iso" de l'application. Dans cet exemple, deux images ISO pour Windows 11 et Debian sont copiées. La liste des images ISO testées est disponible sur cette page.
Ensuite, à partir de l'interface web, cliquez sur "Image Management". Vous devriez voir apparaître vos images ISO. En cliquant sur une image ISO, nous accédons à plusieurs options, notamment pour :
Définir l'image sélectionnée comme image de démarrage par défaut ("Set as default boot file").
Protéger le démarrage sur cette image par un mot de passe ("Boot Password").
Injecter des pilotes ou des scripts ("Injection File")
Utiliser un script d'auto-installation, c'est-à-dire un fichier Unattend.xml pour Windows, un fichier preseed.cfg pour Debian, un modèle Cloud-init pour Ubuntu, etc. ("Auto Install Script")
Basculer vers l'onglet "Configuration" qui donne accès aux options pour les serveurs TFTP et DHCP. iVentoy intègre son propre serveur DHCP, mais vous pouvez utiliser un serveur DHCP externe, sur Windows Server, par exemple. Si vous utilisez un autre serveur DHCP, veillez à bien le configurer. Pour cette démonstration, le serveur DHCP intégré à iVentoy est utilisé.
Pour utiliser un serveur DHCP externe, vous devez configurer l'option "DHCP Server Mode" et ne pas utiliser le mode "Internal". Vous devez alors configurer l'option DHCP 66 avec l'adresse IP du serveur iVentoy et l'option DHCP 67 avec la valeur "iventoy_loader_16000". Pour information, le "16000" dans le nom correspond au numéro de port par défaut de l'interface web.
Basculez vers l'onglet "Boot Information" afin de démarrer le serveur iVentoy. Mais avant cela, nous devons configurer la partie "IP Configuration" afin de définir un masque de sous-réseau, une adresse IP de passerelle, un serveur DNS, ainsi qu'une plage d'adresses IP à distribuer aux machines clientes à déployer.
Voici un exemple :
Une fois que c'est fait, vous pouvez cliquer sur le bouton vert "Lecture" pour démarrer le serveur iVentoy.
Remarque : la section "MAC Filter" du menu permet de configurer le filtrage MAC pour autoriser uniquement certaines machines, via leur adresse MAC.
Désormais, nous allons pouvoir tester notre serveur iVentoy, car il est - déjà - prêt !
IV. Déployer une machine via le réseau
Pour tester le déploiement via le réseau, vous pouvez utiliser un ordinateur physique ou une machine virtuelle. Pour ma part, je vais utiliser une machine virtuelle sur VMware Workstation. Elle a bien démarré sur le réseau en iPXE et j'arrive sur une interface avec le logo iVentoy où je vois bien mes deux images : Debian et Windows 11 !
Avec les flèches directionnelles du clavier, il suffit de choisir l'image correspondante au système que nous souhaitons déployer et d'appuyer sur "Entrée".
La machine va charger l'image ISO par le réseau. Nous arrivons sur le programme d'installation de Debian 12 :
Dans le même temps, côté serveur iVentoy, la section "Device List" présente dans "Boot Information" liste toutes les machines en cours de déploiement. La colonne "Status" est intéressante, car elle indique où en est la machine et notamment l'image de démarrage sélectionnée.
Par ailleurs, il est tout à fait possible d'installer Windows 11, toujours via le boot iVentoy !
Il ne reste plus qu'à patienter pendant l'installation du système !
V. Conclusion
L'application iVentoy est à la fois simple à utiliser et très efficace ! Elle offre la possibilité de déployer facilement des images Linux, Windows, etc... Très facilement car il suffit de copier-coller l'image ISO dans le répertoire "iso" de l'application ! Si vous en avez assez de vos clés USB Ventoy, vous pouvez vous orienter sur iVentoy pour effectuer du déploiement par le réseau !
Vous recherchez un bureau assis-debout électrique et élégant ? Vous devriez lire ce test puisque nous allons découvrir le modèle FlexiSpot E7 Pro ! Un modèle très robuste, personnalisable et esthétiquement réussi ! Ce sera peut-être l'occasion de laisser tomber votre bureau traditionnel utilisable uniquement en position fixe...
Cela fait environ un an que je suis passé sur un bureau assis-debout et cela a changé mon quotidien, car je peux facilement changer de posture tout en continuant à travailler. Rester assis au bureau pendant plusieurs heures, c'est mon quotidien, et c'est également celui de beaucoup de personnes... Notamment dans le domaine de l'IT mais pas seulement. Sur le long terme, cette position assise peut créer des tensions musculaires et autres douleurs. L'utilisation d'un bureau assis-debout, d'une souris verticale et d'un bon siège permettent de se préserver...
Du 13 mai au 17 mai 2024, de nombreux bureaux et autres produits de chez FlexiSpot sont en promotions à l'occasion d'une vente spéciale !
Le bureau FlexiSpot E7 Pro, présenté dans cet article, est proposé à 349.99 euros au lieu de 599.99 euros ! Une réduction importante même si le tarif final pourra varier selon les options choisies. Pour en profiter, suivez ce lien :
Le modèle E7 Pro est entièrement personnalisable, car vous pouvez choisir la couleur du châssis (blanc ou noir), le type de plateau et sa taille, ainsi que sélectionner différents accessoires. Vous avez notamment le choix entre un plateau en bambou, en érable, en noyer, ou encore en chêne massif. Le prix définitif variera en fonction de la taille du plateau, mais aussi du type : le chêne massif sera naturellement beaucoup plus coûteux que le bambou.
Le modèle présenté dans cet article a un cadre noir, un plateau en érable de taille 180*80 avec une fourchette de réglage en hauteur de 63.5 à 128.5 cm. Ce modèle présente l'avantage d'être associé à une garantie de 10 ans, contre 7 ans ou 5 ans pour d'autres modèles. Ce qui donne l'aperçu suivant :
Si l'on regarde les caractéristiques techniques, on peut lire :
Nombre de moteurs : 2 (un dans chaque pied)
Capacité de charge : 160 kg
Vitesse de montée : 4 cm/s au maximum
Système anti-collision : oui
Sécurité enfant : oui, pour verrouiller les touches de l'écran
Certifications : CE, FCC, UL, BIFMA
Garantie : 10 ans
En comparaison du modèle FlexiSpot E7, celui-ci supporte une charge plus importante (160 kg contre 125 kg), et il monte légèrement plus rapidement à la montée. Il peut aussi être réglé en hauteur jusqu'à 128.5 cm contre 123 cm pour l'autre modèle. Ceci peut faire la différence dans certaines configurations et pour les personnes très grandes.
Une fois que ce bureau sera installé, je ferai l'installation de mon setup actuel afin que vous puissiez avoir un aperçu de l'espace occupé par deux écrans 27 pouces, un poste de travail fixe (assez imposant), des haut-parleurs, un clavier, une souris, et un micro.
Sans surprise, le bureau assis-debout de FlexiSpot est livré en deux colis différents : un premier carton contenant le plateau et un second carton contenant le châssis du bureau, ainsi que la notice, les vis, etc. Ceci est logique compte tenu du fait que la configuration est personnalisable.
Le plateau est très bien protégé, avec d'importants renforts dans les angles du carton, à l'extérieur ainsi qu'à l'intérieur. Des mousses sont également présentes à l'intérieur du carton. Le second carton, avec le châssis en métal, bénéficie aussi des protections nécessaires.
Le bois utilisé par FlexiSpot bénéficie du label FSC, ce qui signifie que le bois utilisé est issu d'une exploitation forestière légale associée à une gestion durable. Le plateau est très beau, avec d'excellentes finitions et les angles arrondis le rendent encore plus élégant. L'épaisseur du plateau est de 2.5 cm.
Le carton contient une notice en plusieurs langues dont le français et chaque étape est accompagnée par un schéma. En complément, FlexiSpot propose des vidéos de montage sur sa chaine YouTube, ce qui permet de lever un éventuel doute pendant le montage. Pour nous faciliter la tâche, FlexiSpot a inclus un outil multifonction pour le montage et chaque sachet de vis est identifié par une lettre que nous pourrons retrouver sur la notice. Le montage m'a pris environ 1h15, en étant seul, sans compter le temps nécessaire pour remettre en place tout le matériel.
FlexiSpot a eu la bonne idée d'ajouter une bande de velcro de 2 mètres, à découper soi-même pour attacher les câbles, ainsi qu'un petit accessoire à coller à l'emplacement de votre choix pour accrocher jusqu'à 4 câbles (pratique pour laisser plusieurs câbles en attente).
La majorité des trous sont prépercés, ce qui nous sert de repère pour le montage (ce n'est pas le cas pour la fixation du passe-câble). Il en va de même pour les câbles puisqu'ils sont étiquetés et qu'il y a un code couleur : difficile de se tromper. Le montage prend du temps, mais il s'effectue sans grande difficulté.
L'écran de réglage pourra être positionné sur la droite ou la gauche du bureau, selon vos préférences. Le cache câble estampillé "FlexiSpot" est recouvert par du tissu et il se positionne très facilement : grâce à des aimants, il vient se coller au châssis et masque ainsi tous les câbles liés du bureau en lui-même. À l'arrière, nous viendrons fixer le chemin de câbles. Il fait 12 cm de largeur, ce qui permet de positionner une multiprises et de connecter les câbles de vos appareils. C'est un plus de ce modèle car ce chemin de câbles est inclus d'origine avec le châssis et il est très pratique pour bien organiser les câbles.
Le fait de pouvoir manager les câbles sous le bureau grâce au support de câbles permet de faire une installation très propre. Surtout, vous pouvez augmenter ou diminuer la hauteur du bureau sans vous soucier des longueurs de câbles : vous devez simplement à veiller à ce que le câble d'alimentation de la multiprise soit, quant à lui, suffisamment long. Sur la photo de droite ci-dessous, vous pouvez également apercevoir l'organisateur Pedboard de FlexiSpot, vendu séparément.
L'ensemble des éléments du bureau, du plateau au châssis, me semblent d'excellente qualité et très robuste. Je n'ai pas de doute sur la qualité de ce bureau, ni même sur sa résistance dans le temps. Malgré la présence de deux écrans et de la tour sur le bureau, les dimensions très confortables du plateau (80 x 180 cm) me permettent d'avoir encore un espace suffisant pour ajouter un ordinateur portable, des documents, etc. De plus, le bureau continue de s'élever parfaitement sans broncher : preuve qu'il est prêt à supporter une charge plus lourde. 160 kg, au maximum, c'est énorme.
Remarque : les moteurs d'entraînements utilisés par FlexiSpot sont brevetés. "Les concepteurs de FlexiSpot ont investi 8 millions de dollars dans la recherche et le développement de leurs produits afin d'avoir accès aux matériaux les meilleurs et les plus durables du marché, créant ainsi des produits qui ont résisté à 100 000 tests.", peut-on lire sur le site officiel.
IV. Utilisation du bureau au quotidien
Le bureau est installé et raccordé au secteur, le matériel est en place, il ne reste plus qu'à en profiter. Au quotidien, ce bureau assis-debout change la vie et nous offre la possibilité de travailler debout lorsque le besoin s'en fait sentir. Il faut un temps d'adaptation, afin de prendre l'habitude en quelque sorte.
Grâce à l'écran de contrôle situé sur la gauche ou la droite du bureau, selon l'emplacement retenu, on peut ajuster la hauteur du bureau. Pour faciliter le passage du mode assis au mode debout et inversement, le bureau peut mémoriser 4 positions. La configuration est très simple : on positionne le bureau une première fois dans la position souhaitée, on appuie sur la touche "M" puis sur la touche de mémorisation souhaitée. Ensuite, un simple appui sur un bouton mémoire et le bureau s'ajuste en fonction de la configuration.
Vous pouvez enregistrer plusieurs positions assises, car ceci permet de jouer sur la posture. Le fait de pouvoir régler la hauteur encourage le changement de position : on peut régler la hauteur de son siège et ajuster le bureau en conséquence, ce qui permet de ne pas avoir les jambes positionnées de la même façon tout en restant assis. Ça, c'est nouveau.
Remarque : le bruit généré par les moteurs lorsque l'on ajuste la hauteur du bureau est très faible. Ce n'est pas gênant du tout : on parle d'un niveau de bruit inférieur à 50 dB.
Enfin, sachez qu'un port USB-A est positionné sur le côté droit de l'écran de contrôle. Étant donné que le bureau est alimenté, ce port USB l'est aussi. Je le trouve utile pour recharger des batteries, par exemple, celle d'un appareil photo, ou encore une batterie externe, ou éventuellement son smartphone.
Et alors, debout, est-ce vraiment bien ?
La grande nouveauté, c'est de pouvoir travailler debout tout en utilisant le même setup : clavier, souris, écrans, etc... En pratique, c'est effectivement l'occasion de se dégourdir un peu les jambes et solliciter ses muscles d'une façon différente. Toutefois, les phases en position debout sont plus courtes qu'en étant assis. On peut passer des heures assis, tandis que si l'on passe 1 heure à travailler debout devant l'écran, c'est déjà bien. L'avantage, c'est que quelques secondes suffisent pour passer d'une poste à une autre. Un réel changement.
Rester debout très longtemps, de façon statique, ce n'est pas si évident que cela... Ce n'est donc surement pas un hasard si FlexiSpot propose un tapis anti-fatigue que l'on positionne sous ses pieds. Il doit être acheté en complément et il est vendu 45,99 euros sur le site officiel (voir ici). Personnellement, alterner entre des phases assises plutôt longues et des phases debout plus courtes me convient bien.
V. Conclusion
Comme je le disais en introduction, j'utilise un bureau assis-debout un an et je me vois mal revenir en arrière. C'est appréciable au quotidien et ce n'est pas du tout "un gadget". Il y a un réel intérêt à changer de posture à plusieurs reprises tout au long de la journée. Ce bureau est très fonctionnel !
Mis à part le tarif qui peut être un réel frein, ce bureau n'a pas de point négatif : il est super élégant, avec des finitions impeccables, tout en offrant une surface de travail importante. Si vous décidez d'acheter un FlexiSpot E7 Pro, il ne vous reste plus qu'à choisir le coloris du châssis ainsi que les dimensions et le type de plateau. Enfin, vous pouvez tout à fait acheter le châssis et installer votre propre plateau !
La configuration présentée est commercialisée au prix de 819.98 euros sur le site officiel de FlexiSpot. Comptez 699.98 € pour une combinaison avec le châssis et un plateau 120 x 60 cm en érable.
Information cruciale dans la lutte contre le cybercrime : les autorités ont dévoilé l'identité de LockBitSupp, l'un des leaders du gang de cybercriminels LockBit ! Voici ce que l'on sait !
Par l'intermédiaire d'un communiqué, le FBI, l’Agence Nationale du Crime du Royaume-Uni et Europol ont révélé l'identité de celui qui se cache derrière le pseudo de LockBitSupp : Dmitry Khoroshev, un ressortissant russe, qui est l'un des leaders du gang de ransomware LockBit. Il n'a pas de pull à capuche, et pourtant, c'est bien lui le cybercriminel le plus recherché au monde.
Source : NCA
"Khoroshev, alias LockBitSupp, qui vivait dans l'anonymat et offrait une récompense de 10 millions de dollars à quiconque révélerait son identité, fera désormais l'objet d'une série de mesures de gel des avoirs et d'interdiction de voyager.", peut-on lire sur le site de la NCA. C'est également le montant promis en guise de récompense à celui ou celle qui fournira des informations nécessaires permettant d'arrêter LockBitSupp. Une véritable chasse à l'homme est lancée.
Ces dernières semaines, le gang de ransomware LockBit avait décidé de faire son retour et de frapper fort. Ils sont notamment à l'origine de la cyberattaque ayant frappée l'Hôpital Simone Veil de Cannes. Il y aurait également plusieurs dizaines de victimes, dont l'Agence des Espaces Verts d’Île-de-France, la commune de Bouchemaine dans le département de Maine-et-Loire ou encore l’Université Québécoise de Sherbrooke, d'après un article publié par le site Zataz.
Cette annonce des forces de l'ordre devrait perturber sérieusement l'activité du gang de ransomware et mettre une pression maximale sur LockBitSupp et ses fidèles.
LockBit : quelques chiffres clés sur les affiliés
Au sein de son article, la National Crime Agency a donné quelques chiffres clés sur l'activité autour du ransomware LockBit et de ses affiliés. En effet, LockBit fournit ce que l'on appelle un ransomware-as-a-service (RaaS) : les pirates, appelés affiliés, paient et en contrepartie, ils peuvent bénéficier des outils et de l'infrastructure permettant de réaliser des attaques.
L'article précise ceci : "Sur les 194 affiliés identifiés comme utilisant les services de LockBit jusqu'en février 2024 :
148 ont élaboré des attaques.
119 ont entamé des négociations avec les victimes, ce qui signifie qu'ils ont définitivement déployé des attaques.
Sur les 119 qui ont entamé des négociations, 39 semblent n'avoir jamais reçu de paiement de rançon.
75 n'ont pas entamé de négociations et ne semblent donc pas avoir reçu de paiement de rançon."
Ceci est intéressant, et signifie que des affiliés paient LockBit mais n'exploitent pas le service de Ransomware-as-a-service.
Microsoft a dévoilé Zero Trust DNS, appelé aussi ZTDNS, une nouvelle fonctionnalité destinée à renforcer la sécurité des réseaux grâce au DNS. Elle être intégrée à Windows par la suite. Faisons le point sur cette annonce.
Microsoft veut renforcer l'implémentation et l'utilisation de DNS dans Windows pour qu'il puisse s'aligner sur le modèle de sécurité Zero Trust. Modèle qui implique d'authentifier et de vérifier l'activité du réseau, que ce soit sur le périmètre interne ou externe. Avec Zero Trust DNS, Microsoft veut lutter contre les abus du protocole DNS et offrir une meilleure protection contre les cybermenaces.
ZTDNS va intégrer Windows 11
"ZTDNS sera utile à tout administrateur qui tente d'utiliser les noms de domaine comme identifiant fort du trafic sur le réseau.", précise Microsoft dans son article. Au sein de Windows, ZTDNS va intégrer le client DNS du système d'exploitation ainsi que la plateforme de filtrage Windows (WFP).
Dans la pratique, l'objectif étant de forcer la machine Windows 11 à communiquer uniquement avec des serveurs DNS approuvés et sécurisés, via l'utilisation du DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT). Ceci permet de s'assurer que les échanges DNS entre la machine et le serveur DNS sont chiffrés.
De plus, la machine ne pourra pas communiquer avec un autre serveur DNS : "Windows bloque tout le trafic IPv4 et IPv6 sortant, à l'exception des connexions aux serveurs DNSainsi que du trafic DHCP, DHCPv6 et NDP nécessaire pour découvrir les informations de connectivité du réseau.", peut-on lire.
La requête DNS sert de validation pour autoriser ou non l'accès à un hôte. ZTDNS permettra de bloquer les flux suspects ou inhabituels. "Lorsque des applications et des services tentent d'envoyer du trafic IPv4 ou IPv6 à une adresse IP qui n'a pas été apprise par ZTDNS (et qui ne figure pas sur la liste des exceptions manuelles), le trafic est bloqué.", précise Microsoft.
Source : Microsoft
Une sélection stricte de serveurs DNS
La liste de "Protective DNS servers", c'est-à-dire de serveurs DNS protégés et de confiance, pourra uniquement contenir des serveurs DNS compatibles DoH ou DoT. Pour mettre au point son mécanisme de sécurité ZTDNS, Microsoft s'est appuyé sur des protocoles existants tout en veillant à l'interopérabilité.
À ce sujet, il est précisé : "Dans tous les cas, le ZTDNS n'introduit pas de nouveaux protocoles de réseau, ce qui en fait une approche interopérable prometteuse pour le verrouillage basé sur les noms de domaine. - Microsoft évoque Windows 11 sur ses différents schémas, mais pour le moment, une éventuelle prise en charge par Windows 10 ou par Windows Server n'est pas évoquée.
Dès à présent, Zero Trust DNS est accessible à certaines personnes dans le cadre d'une préversion privée. Par la suite, Zero Trust DNS devrait être disponible pour les membres du programme Windows Insiders. Pour approfondir le sujet, vous pouvez lire cet article.
Maester est un projet communautaire créé en avril 2024 par Merill Fernando, chef de produit chez Microsoft et deux MVP Security Fabian Bader et Thomas Naunheim. C’est un outil PowerShell conçu pour vous aider à comprendre la configuration de votre tenant Microsoft 365.
Il vous permet d’avoir une vision de votre configuration par rapport aux bonnes pratiques de sécurité, et ainsi, surveiller la posture de sécurité de votre tenant Microsoft 365. Cet outil fournit un rapport, mais ne réalise aucune action de correction.
À l’heure actuelle, l’outil contient 92 vérifications de sécurité, toutes concentrées sur la partie Microsoft Entra. Ces vérifications proviennent de plusieurs sources :
Maester utilise l'API Microsoft Graph pour accéder aux informations de votre tenant Microsoft 365. Cet outil vérifie la conformité de votre configuration par rapport aux bonnes pratiques de sécurité. L’originalité de cet outil réside dans l’utilisation de Pester pour vérifier cette conformité.
Pester est un module PowerShell conçu pour les tests unitaires. Bien qu’il soit souvent utilisé pour valider des scripts ou des fonctions, son mode de fonctionnement permet à chacun d’écrire ses propres tests unitaires.
Dans le cas de Maester, Pester est employé pour s'assurer que la configuration de votre tenant Microsoft 365 correspond aux critères définis dans des fichiers. Ces fichiers, appelés fichiers detests dans la suite de l’article, permettent de réaliser des vérifications sur la conformité de votre configuration. L’appellation tests provient du fait que Pester suit une nomenclature stricte concernant les fichiers qu’ils utilisent : xxxx.Tests.ps1.
Cela permet ainsi une vérification rigoureuse et continue de la sécurité d’un tenant.
Il est important de comprendre que Maester, utilisant Pester, ne fournit pas de valeurs directes de votre tenant, mais indique plutôt si vos configurations respectent les normes établies dans les fichiers Tests.
Par exemple, au lieu de spécifier le nombre d'administrateurs globaux, Maester vous informera si la configuration est conforme aux bonnes pratiques définies dans les tests. Cette méthode peut représenter une nouvelle approche pour certains qu’il est essentiel de comprendre.
B. Installation
Maester est publié dans la PowerShell Gallery, son installation peut être réalisée en seulement deux Cmdlets :
Sur votre PC, il faut ensuite créer un dossier et installer les fichiers de tests. Dans notre cas, nous installerons les fichiers Tests dans "C:\temp", mais tout autre chemin fonctionnera.
cd c:\temp
mkdir maester-tests
cd maester-tests
Install-MaesterTests .\tests
Les fichiers de tests sont installés dans C:\Temp\maester-tests\tests.
C. Utilisation
Dans un premier temps, il faut se connecter :
Connect-Maester
Comme indiqué plus haut, Maester s’appuie sur Microsoft Graph. Si vous n’avez pas les autorisations requises, il faudra autoriser les autorisations OAuth pour l’application Microsoft Graph Command Line Tools.
Ensuite, vous pouvez exécuter les tests :
Invoke-Maester
À la fin de l'exécution des tests par Maester, un bref résumé est affiché dans la console.
Ce résumé indique les résultats des tests avec le nombre de tests réussis, échoués ou ignorés, fournissant ainsi un aperçu rapide de l'état de la configuration de sécurité de votre tenant Microsoft 365.
Un fichier de rapport HTML est aussi créé, il est stocké dans le dossier "tests-results" et s’ouvre automatiquement dans votre navigateur :
Un élément en "Passed" indique que la configuration de votre tenant respecte le test en question.
Un élément en "Failed" indique que la configuration de votre tenant ne respecte le test. Cependant, selon les contraintes de votre entreprise, il convient de statuer si c’est un réel problème, ou bien un risque accepté.
Pour chaque élément du rapport, vous retrouverez :
L’identifiant
L’URL vers la documentation Maester concernant ce test
Le résultat du test
Les détails du test qui contiennent les actions à réaliser pour passer ce test
Les catégories
Les tags
La source du fichier de test Pester
Pour la majorité des tests, il est évident de comprendre pourquoi un test échoue, comme une fonctionnalité non activée ou un nombre excessif d'utilisateurs non conformes.
Cependant, il peut être plus complexe de déterminer la cause d'un échec dans certains cas, où le problème pourrait ne pas résider dans la non-conformité, mais plutôt dans un bug au sein du code PowerShell du test lui-même. Dans ces situations, il sera nécessaire d'examiner en détail les fichiers "*.Tests.ps1" pour identifier et résoudre l'erreur.
D. Création de ses propres tests
Le gros intérêt de Maester est que ce n’est qu’un framework, c’est-à-dire qu’il peut être étendu pour correspondre à vos besoins avec des tests personnalisé.
Pour créer un test personnalisé dans Maester, vous devez suivre une certaine structure. Par exemple, nous allons créer un test pour vérifier qu'un groupe contient exactement deux membres.
Pour cela, créez un fichier nommé "Test-CustomITConnect.Tests.ps1" dans le répertoire "<chemin>\maester-tests\Custom". Pester recherche les fichiers se terminant par ".Tests.ps1" pour les exécuter comme des tests.
Dans notre cas, nous créons un fichier" Test-CustomITConnect.Tests.ps1" dans "C:\temp\maester-tests".
Pour le contenu du fichier "Test-CustomITConnect.Tests.ps1", nous devons suivre la syntaxe Pester, ce qui donne :
Describe "Test-MyGroupMembership" -Tag "Group" {
It "Check 'MyGroup1' Members" {
$groupID = "cc831d2a-6e92-4988-903c-1799de3a9aa1"
$members = Get-MgGroupMember -GroupId $groupID
# Test if the group has exactly 2 members
$members.Count | Should -BeExactly 2
}
}
Il est alors possible d’exécuter Maester avec uniquement notre test :
cd c:\temp\maester-test
Invoke-Maester .\tests\Custom\
Le rapport contient uniquement notre test personnalisé.
À noter qu’il est aussi possible de simplement exécuter "Invoke-Maester", pour exécuter tous les tests, y compris les tests personnalisés.
E. Exécution régulière
Maester peut être configuré pour surveiller en permanence la configuration de votre tenant à l'aide de service DevOps comme Azure DevOps Pipeline, GitHub Actions et Azure Automation.
Avec ces solutions, il est possible de recevoir un e-mail régulier avec les informations concernant la sécurité du tenant.
Source : maester.dev
La configuration de cette automatisation n’est pas détaillée dans cet article, mais vous pouvez retrouver toutes les informations dans la documentation de Maester.
III. Mise à jour des tests Maester
L'équipe Maester ajoute de nouveaux tests au fil du temps, il faut donc penser à mettre à jour le module et les tests de temps en temps.
Tous les tests personnalisés dans le dossier "/Custom" seront conservés.
Les fichiers de test des autres dossiers, notamment "/EIDSCA", "/Maester" et "/CISA", seront remplacés par les tests les plus récents :
IV. Contribuer à l’amélioration du produit
Maester est une solution récente et se focalise pour le moment uniquement sur les tests Microsoft Entra ID. Cependant, compte tenu de son fonctionnement et de sa flexibilité, il est tout à faire possible de créer ses propres tests et de participer à ce projet communautaire.
Pour approfondir le sujet de l'audit Microsoft 365, vous pouvez consulter cet article :
TunnelVision, c'est le nom de la nouvelle vulnérabilité et technique d'attaque mise au point par des chercheurs en sécurité et qui permet de détourner le trafic des tunnels VPN ! Voici ce qu'il faut savoir !
Lorsqu'un appareil se connecte à un réseau distant via un tunnel VPN, le trafic réseau de la machine passe par ce tunnel chiffré et sécurité. En fonction de la configuration du VPN, tout le trafic pourra passer par le tunnel VPN (full VPN) ou uniquement certains flux (split VPN).
Par ailleurs, le VPN peut être utilisé pour naviguer sur Internet tout en masquant son adresse IP publique : c'est l'une des "fonctions" des VPN grands publics. C'est ce cas d'usage qui est directement affecté par la technique évoquée dans cet article.
Les chercheurs en sécurité de chez Leviathan Security ont mis en ligne un nouveau rapport au sujet d'une technique d'attaque baptisée TunnelVision. D'après eux, cette technique est exploitable depuis 2002 et elle fonctionnerait avec l'ensemble des solutions VPN.
TunnelVision et l'option DHCP 121
Pour exploiter cette vulnérabilité associée à la référence CVE-2024-3661, un attaquant doit mettre en place une configuration bien particulière sur un serveur DHCP. En effet, il doit configurer l'option DHCP n°121 nommée "Classless static route" et dont l'objectif est de distribuer une ou plusieurs routes statiques supplémentaires au client DHCP, en plus de l'adresse IP, de la passerelle, etc.
Ainsi, l'attaquant peut créer ces routes avec une priorité plus élevée que celles définies par la connexion VPN, et ainsi, détourner le trafic VPN vers la passerelle de son choix. À ce sujet, les chercheurs précisent : "TunnelVision est une technique de fuite de VPN sur le réseau local qui permet à un attaquant de lire, d'interrompre et parfois de modifier le trafic VPN à partir d'une cible sur le réseau local." - L'attaquant doit se situer sur le même réseau local que sa victime, et il doit pouvoir modifier la configuration du serveur DHCP (ou utiliser un serveur Rogue DHCP).
Le fait de détourner le trafic ne semble pas empêcher le tunnel VPN d'être actif et cela n'a pas non plus alerté la fonctionnalité de protection "kill switch" intégrée à certains VPN : "Lors de nos tests, le VPN a toujours continué à signaler qu'il était connecté, et le kill switch n'a jamais été enclenché pour interrompre notre connexion VPN.", peut-on lire.
Quels sont les systèmes impactés ? Comment se protéger ?
Windows, Linux, iOS et MacOS sont des systèmes vulnérables à cette attaque. Android, quant à lui, n'est pas concerné. Pourquoi ? Et bien parce que l'option 121 du DHCP n'est pas prise en charge !
"Nous avons observé une mesure d'atténuation de la part de certains fournisseurs de VPN qui éliminent le trafic vers les interfaces non VPN par le biais de règles de pare-feu.", peut-on lire dans le rapport. La création de règles de pare-feu sur l'appareil local est donc une façon de se protéger de cette attaque. De plus, il peut s'avérer utile d'activer certaines protections comme le DHCP Snooping.
Enfin, sachez que TunnelVision ne dépend pas du protocole VPN utilisé, donc il n'y a pas un protocole à prioriser plus qu'un autre (OpenVPN, IPsec, WireGuard, etc.). Pour approfondir le sujet, vous pouvez consulter cette page sur GitHub.
Vous utilisez des équipements réseau de chez HPE Aruba Networking ? Alors, vous devriez lire cet article avec attention : plusieurs failles de sécurité critiques ont été corrigées dans le système ArubaOS. Voici ce qu'il faut savoir.
Très populaires en entreprise, les équipements HPE Aruba Networking sont affectés par plusieurs failles de sécurité. L'éditeur a corrigé 10 vulnérabilités dans le système ArubaOS, dont 4 failles de sécurité critiques qui méritent une attention particulière. En exploitant ces vulnérabilités, un attaquant pourrait exécuter du code à distance en tant qu'utilisateur privilégié sur l'équipement vulnérable.
Voici la liste des vulnérabilités critiques, toutes associées à un score CVSS de 9.8 sur 10.
CVE-2024-26305
CVE-2024-26304
CVE-2024-33511
CVE-2024-33512
Il s'agit de faiblesses de type "Buffer overflow" exploitables par l'intermédiaire du protocole PAPI. Ceci implique que l'attaquant puisse communiquer avec l'attaquant sur le port 8211 en UDP afin d'envoyer une requête spéciale sur l'interface PAPI (Performance Application Programming Interface).
Aruba : quels sont les produits et versions affectés ?
Aruba Central pour gérer les passerelles WLAN et les passerelles SD-WAN
Les versions suivantes d'ArubaOS sont vulnérables :
ArubaOS 10.5.x.x : 10.5.1.0 et antérieure
ArubaOS 10.4.x.x : 10.4.1.0 et antérieure
ArubaOS 8.11.x.x : 8.11.2.1 et antérieure
ArubaOS 8.10.x.x : 8.10.0.10 et antérieure
Il est également précisé que certaines versions vulnérables ne sont plus prises en charge et qu'elles ne recevront pas de mises à jour de sécurité. Voici la liste des versions en question :
ArubaOS 10.3.x.x
ArubaOS 8.9.x.x
ArubaOS 8.8.x.x
ArubaOS 8.7.x.x
ArubaOS 8.6.x.x
ArubaOS 6.5.4.x
SD-WAN 8.7.0.0-2.3.0.x
SD-WAN 8.6.0.4-2.2.x.x
Comment se protéger ?
Pour se protéger de ces vulnérabilités, le système ArubaOS doit être mis à jour vers une version qui contient les correctifs de sécurité. Voici les versions à installer pour vous protéger :
ArubaOS 10.6.x.x : 10.6.0.0 et supérieur
ArubaOS 10.5.x.x : 10.5.1.1 et supérieur
ArubaOS 10.4.x.x : 10.4.1.1 et supérieur
ArubaOS 8.11.x.x : 8.11.2.2 et supérieur
ArubaOS 8.10.x.x : 8.10.0.11 et supérieur
Sur ArubaOS 8.X, il existe une solution alternative autre que le patch de sécurité. Elle consiste à configurer la fonction de sécurité "Enhanced PAPI" pour ne pas utiliser la clé par défaut.
Pour le moment, rien n'indique que ces vulnérabilités soient exploitées dans le cadre de cyberattaques.
Dans ce tutoriel, nous allons apprendre à déployer la suite Microsoft 365 Apps sur des appareils Windows 10 et Windows 11 à l'aide de la solution Intune. Ceci va permettre d'installer les applications de la suite Office sur les machines des utilisateurs : Word, Outlook, Excel, PowerPoint, Access, etc... Et même Visio et Project, si vous avez besoin et que vous disposez des abonnements adaptés.
Nous allons voir que Microsoft a tout prévu pour faciliter le déploiement de la suite Microsoft 365 Apps à partir d'Intune. Vous n'aurez qu'à vous laisser guider par ce tutoriel pour atteindre votre objectif final : automatiser le déploiement des applications Office sur vos PC Windows.
D'autres articles sur le sujet du déploiement d'applications avec Intune sont disponibles sur notre site :
Commençons par évoquer les prérequis nécessaires pour suivre ce tutoriel.
Système d'exploitation des appareils Windows : Windows 10 version 1703 (ou supérieure) ou Windows 11
Des abonnements Microsoft 365 avec les applications Microsoft 365 Apps intégrées : Business Standard, Business Premium, E3, E5, etc.
Des appareils inscrits dans Entra ID et Intune : Join et Hybrid Join
Plusieurs déploiements Microsoft 365 Apps ne sont pas pris en charge. Un seul déploiement sera distribué à l’appareil (donc attention à l'affectation de la stratégie, notamment si vous créez plusieurs stratégies pour cette même application).
Bien entendu, vous devez aussi disposer d'une licence Microsoft Intune : le "Plan 1" de base sera suffisant.
III. Déployer les applications Microsoft 365 Apps avec Intune
Commencez par vous connecter au Centre d'administration Microsoft Intune.
Une fois connecté au portail Intune, suivez ce chemin :
1 - Cliquez sur "Applications" sur la gauche puis sur "Windows".
2 - Cliquez sur le bouton "Ajouter".
3 - Choisissez la valeur "Windows 10 et ultérieur" sous "Applications Microsoft 365" car Microsoft a créé un type d'application spécifique pour faciliter le déploiement de Microsoft 365 Apps.
Cliquez sur le bouton "Sélectionner" pour valider.
Un assistant s'exécute. Il va vous permettre de personnaliser le déploiement de la suite Microsoft 365 Apps. Vous devez commencer par définir les informations globales sur l'application. J'attire votre attention sur ces options :
Nom de la suite : vous pouvez corriger la valeur afin d'indiquer "Microsoft 365 Apps pour Windows".
Catégorie : choisissez la catégorie que vous souhaitez, même si "Productivité" qui est présélectionné me semble adapté.
Afficher ceci en tant qu'application à la une dans le Portail d'entreprise : choisissez "Oui" si vous désirez que cette application soit visible dans l'application Portail d'entreprise (voir ce tutoriel à ce sujet), ce qui sera utile si vous voulez mettre à disposition cette application en libre-service.
Cliquez sur "Suivant". Éventuellement, vous pouvez modifier les autres valeurs, selon vos besoins.
L'étape "Configurer la suite d'applications" se présente à vous. Vous avez le choix entre deux formats pour les paramètres de configuration :
Concepteur de configuration : utiliser les paramètres de configuration proposés par l'interface Intune, c'est ce que nous allons faire.
Entrer des données XML : ceci permet d'avoir une zone de saisie dans laquelle vous pouvez coller le code XML obtenu à l'aide de l'outil "Office Deployment Tool (ODT)", afin de personnaliser la configuration d'Office.
Le fait de choisir "Concepteur de configuration" donne accès à différentes options. Tout d'abord, nous pouvons choisir les applications Office que nous souhaitons installer. Dans cet exemple, seules 5 applications seront installées : Excel, Outlook, PowerPoint, Teams et Word. Via l'option "Sélectionner d'autres applications Office (licence obligatoire)", vous pouvez ajouter Visio et/ou Project, en supplément.
Puis, nous devons sélectionner le type d'architecture, ici "64 bits" sera sélectionné. Aujourd'hui, la quasi-majorité des machines utilisent une architecture 64 bits. De plus, vous devez choisir :
Le format de fichier par défaut : le format "Office Open XML Format" correspond au format officiel de la suite Office.
Canal de mise à jour : permet d'indiquer sur quel canal de mise à jour, vous souhaitez "vous brancher" pour recevoir les mises à jour. Pour la production, je vous recommande : "Canal d'entreprise mensuel" ou "Canal Entreprise semi-annuel". Dans les deux cas, vous bénéficiez chaque mois des correctifs pour la sécurité et la résolution de bugs. Avec le "Canal d'entreprise mensuel", vous avez accès aux nouvelles fonctionnalités tous les mois, tandis qu'avec le "Canal Entreprise semi-annuel", vous avez accès aux nouvelles fonctionnalités deux fois par an (tous les 6 mois, environ).
En complément, voici d'autres options à configurer :
Supprimer les autres versions : sélectionnez "Oui" pour que les autres versions de Microsoft Office soient automatiquement supprimées.
Version à installer / version spécifique : vous pouvez sélectionner une version spécifique à installer, ou tout simplement déployer la dernière en date (vis-à-vis du canal sélectionné).
Utiliser l'activation de l'ordinateur partagé : ceci est utile lorsque plusieurs utilisateurs utilisent le même ordinateur, afin d'éviter qu'une activation soit décomptée sur le compte de l'utilisateur (voir cet article pour cette notion : Microsoft Office - Shared computers). Sélectionnez "Non", sauf si vous avez un besoin spécifique.
Accepter les termes du contrat de licence.... : choisissez "Oui" pour ne pas être perturbé par cette étape lors du premier lancement d'une application Office.
Langues : par défaut, Office va se caler sur la langue du système, mais vous pouvez ajouter un ou plusieurs langues supplémentaires si vous le souhaitez.
Quand c'est bon pour vous, poursuivez.
L'étape "Affectations" se présente à l'écran. Il s'agit de l'étape habituelle pour affecter la stratégie à un ou plusieurs groupes. Ici, l'application Microsoft 365 Apps sera obligatoire pour les appareils membres du groupe "PC_Windows" donc elle sera installée automatiquement.
Poursuivez, vérifiez votre configuration et validez la création de la stratégie.
IV. Tester sur un appareil
Désormais, la stratégie doit être testée sur un appareil qui rentre dans le périmètre de celle-ci. Après synchronisation, la suite Microsoft 365 Apps est correctement déployée par l'intermédiaire du composant Intune Management Extension.
Les applications ne seront pas épinglées dans le menu Démarrer, mais elles sont visibles dans la liste de toutes les applications.
En parallèle, le déploiement de l'application peut être suivi à l'aide du portail Intune.
V. Conclusion
En suivant ce tutoriel pas à pas, vous devriez être en mesure de déployer la suite Microsoft 365 Apps sur vos appareils Windows ! Microsoft a fait le nécessaire pour rendre le déploiement des applications Microsoft Office relativement simplement, et nous n'allons pas nous plaindre.
Pour obtenir des informations supplémentaires et prendre connaissances des "problèmes connus" relatifs à ce déploiement, consultez la documentation de Microsoft :
Il y a un véritable match entre les autorités et les cybercriminels de LockBit ! Alors le groupe de ransomware a relancé ses activités malveillantes ces dernières semaines, leur site a été remis en ligne avec un message intrigant par les membres de l'opération Cronos ! Faisons le point.
Publication des données de l'Hôpital Simone Veil de Cannes
Ce leak contient 61 Go de données, dont des informations sensibles et personnelles, des cartes d'identité, des RIB et des bulletins de salaire. La direction de l'Hôpital Simone Veil a confirmé qu'il s'agissait bien des données du centre.
La suite de l'opération Cronos
Mais, ces dernières heures, il y a eu un nouveau rebondissement dans l’affaire Lockbit : la suite de l'opération Cronos. Souvenez-vous, en février dernier, une opération internationale, surnommée Opération Cronos, a été menée par les forces de l'ordre et organismes de 11 pays. D'ailleurs, la France a participé par l'intermédiaire de la Gendarmerie Nationale, tandis qu'il y a également eu une participation du FBI, l'Allemagne, le Japon, la Suède, le Canada, ou encore la Suisse.
Les autorités étaient parvenues à mettre à l'arrêt un total de 34 serveurs de LockBit et récupérer des données cruciales. Ceci avait permis la création d'un outil de déchiffrement pour permettre aux victimes de récupérer leurs données sans payer la rançon.
Le site vitrine de LockBit avait été remplacé par une page mise en ligne par les forces de l'ordre suite à cette opération. Depuis quelques heures, cette page est de retour, ce qui pourrait correspondre à la suite de l'opération Cronos.
Source : cybernews.com
Les autorités ont repris le principe du compte à rebours utilisé par les pirates pour indiquer que le 7 mai 2024 à 14:00 UTC, ils dévoileront l'identité du chef LockBitSupps et des autres membres de LockBit. Autrement dit, nous aurions enfin la réponse à cette question à 10 millions de dollars : qui se cache derrière le pseudo LockBitSupps ?
Pour le moment, tout cela est à prendre avec précautions puisque les forces de l'ordre n'ont pas communiqué sur le sujet. Les prochaines heures nous permettront surement d'en savoir plus... Peut-être d'ailleurs par l'intermédiaire du compte VX-underground sur X. D'après ce compte, un membre de LockBit a indiqué que tout cela était des mensonges... Les autorités ont-elles de nouvelles informations ou cherchent-elles à déstabiliser le groupe LockBit en lui mettant la pression ? À suivre...
Connexion
