I. Présentation

Dans ce tutoriel, nous allons parler de la mise à niveau d'un pare-feu pfSense en version 2.6.0 vers la version 2.7.0 qui est la dernière version de l'édition communautaire, dispose depuis quelques jours.

Il y a de nombreux changements entre pfSense 2.6.0 et pfSense 2.7.0 et cette mise à jour ne semble pas s'y évidente que cela à installer... Pour ma part, cela ne s'est pas passé comme prévu sur le firewall de mon lab... Alors, cet article est là pour vous avertir des risques, mais aussi de vous donner quelques indications pour vous accompagner dans le processus de mise à jour.

II. Les nouveautés de pfSense 2.7.0

Tout d'abord, pfSense 2.7.0 est associé à des changements majeurs au niveau du système FreeBSD et de PHP :

• Il y a un passage de PHP 7.4 à PHP 8.2.6
• Le système d'exploitation de base est FreeBSD 14 au lieu de FreeBSD 12.3

C'est une bonne nouvelle, car désormais, l'édition communautaire de pfSense s'appuie sur des versions à jour et récentes !

A cela s'ajoute d'autres changements comme le passage sur OpenVPN 2.6.4, une nouvelle interface pour la capture de paquets, la prise en charge du chiffrement ChaCha20-Poly1305 avec IPSec, ou encore plusieurs correctifs de sécurité.

Sur son site, Netgate met en avant les risques liés au passage sur cette nouvelle version. L'éditeur évoque un conflit potentiel entre les paquets applicatifs et le nouveau système. Avant de mettre à jour Pfsense, Netgate recommande de désinstaller tous les paquets !

Pour en savoir plus sur toutes les nouveautés de pfSense 2.7.0, vous pouvez lire l'annonce officielle :

• Pfsense 2.7.0

III. Avant de passer à pfSense 2.7.0

Avant de passer à pfSense 2.7.0, plusieurs actions sont à mener par précaution afin de pouvoir revenir en arrière en cas de crash. Cela est d'autant plus vrai que j'ai tenté la mise à jour à plusieurs reprises, et que mon firewall a crashé à chaque fois... Pour d'autres utilisateurs, cela se passe bien.

• Vous devez impérativement effectuer une sauvegarde de votre configuration
  • Menu : Diagnostics > Backup & Restore > Download configuration as XML
• Si c'est une machine virtuelle, effectuez un snapshot avant de lancer la mise à jour
• Désinstallez l'ensemble des paquets tiers installés sur votre pfSense
  • Menu : System > Package Manager > Installed Packages > Désinstaller chaque package un par un

Pour ma part, j'ai fait plusieurs essais de mises à niveau, notamment :

• Avec tous les paquets encore installés : le pfSense crash au premier redémarrage suite à la mise à niveau
• Après avoir désinstallé tous les paquets : le pfSense crash également au premier redémarrage suite à la mise à niveau

Impossible de le relancer... J'arrive sur un prompt FreeBSD précédé par de nombreuses erreurs telles que :

/usr/local/share/:unexpected error
/usr/local/libexec/pfSense-upgrade: /usr/local/sbin/: Permission denied
Fatal error: Uncaught TypeError: Return value of g_get().....
Etc...

Résultat, réinstallation complète du système, sur la même machine virtuelle, avec import de la configuration existante. Dans ce cas, c'est passé sans encombre.

IV. Mise à niveau vers pfSense 2.7.0

A. Méthode classique

Après avoir fait une sauvegarde (et un snapshot si vous travaillez sur une VM) et désinstallé les packages additionnels, vous pouvez lancer la mise à niveau de pfSense.

En page d'accueil de l'interface web, le widget "System Information" qui affiche la version actuelle de pfSense doit vous proposer de passer sur la version 2.7.0. Il suffit de cliquer sur l'icône en forme de nuage. Sinon, passez par le menu "System" puis "Update".

Une nouvelle page s'affiche, vous devez confirmer l'installation de la mise à jour en cliquant sur le bouton "Confirm".

Il ne vous reste plus qu'à patienter environ 10 minutes.... Le temps que les sources soient téléchargées et installées sur votre pare-feu. Pendant ce temps, brulez un cierge : tout va se jouer au redémarrage.

Si tout se passe bien, la console doit afficher le menu principal avec vos adresses IP. L'occasion de constater que vous êtes bien passé sur pfSense 2.7.0. Il ne restera plus qu'à passer sur l'interface web pour vérifier l'état de tous vos services et remettre en place vos paquets.

B. Réinstallation complète

Désormais, passons à la seconde méthode basée sur une réinstallation complète. Il s'agit de la méthode appliquée dans mon cas car la première méthode ne fonctionnait pas.

La première étape (après avoir fait une sauvegarde, etc.) consiste à télécharger l'image ISO de pfSense 2.7.0 depuis le site officiel :

• Télécharger pfSense 2.7.0

Une fois que c'est fait, l'image ISO doit être associée au lecteur CD virtuel de la VM. Ceci s'effectue dans les paramètres de VM. Sur VMware ESXi, il s'agit de l'option "Support CD/DVD".

Ensuite, la VM doit être démarrée de manière à booter sur l'image ISO pour procéder à l'installation. Si cela ne fonctionne pas et que vous êtes sur VMware ESXi, redémarrez la VM et appuyez sur "F2" pour accéder au BIOS de la VM. Ici, vous pourrez changer l'ordre de démarrage pour que le lecteur CD (valeur "CD-ROM Drive") soit prioritaire sur le disque dur (il faudra ré-inverser par la suite).

Lorsque l'étape "Welcome to pfSense!" s'affiche, ne choisissez pas "Install" ! Vous devez prendre "Recover config.xml" de manière à charger un fichier config.xml provenant de pfSense 2.6.0.

Ensuite, vous devez sélectionner la partition qui contient votre configuration "config.xml". Sélectionner le disque système, sur lequel pfSense 2.7.0 va être installé. Puisque pfSense effectue des sauvegardes automatiques, l'assistant sera en mesure de récupérer votre dernière configuration.

Validez et sur le menu principal choisissez "Install" cette fois-ci. Laissez-vous guider par l'assistant...

Une fois l'installation terminée, vous devriez arriver sur le menu principal de pfSense !

Du côté de l'interface Web, on peut constater aussi que c'est bien pfSense 2.7.0 qui est exécutée. Avec cette méthode, j'ai pu constater aussi que pfSense avait conservé tous mes paquets et qu'ils avaient même installés les dernières versions. Finalement, c'est plutôt appréciable et moins contraignant que de devoir désinstaller puis réinstaller les paquets.

V. Conclusion

Grâce aux instructions contenues dans cet article, vous devriez être en mesure d'effectuer la mise à niveau de votre pare-feu pfSense vers la version 2.7.0 un peu plus sereinement. Quoi que, le crash que j'ai rencontré ne va peut être pas vous rassurer... Mais, pour certains utilisateurs, tout s'est bien passé.

N'hésitez pas à poster un commentaire si vous avez une question ou si vous souhaitez faire un retour d'expérience sur le sujet.

The post Comment mettre à niveau pfSense 2.6.0 vers 2.7.0 ? first appeared on IT-Connect.

Une nouvelle vulnérabilité surnommée StackRot a été découverte dans plusieurs versions du noyau Linux ! En l'exploitant, un attaquant peut élever ses privilèges sur la machine Linux. Faisons le point.

Associée à la référence CVE-2023-3269, la vulnérabilité StackRot affecte plusieurs les versions suivantes du noyau Linux : 6.1 à 6.4. Le chercheur en sécurité Ruihan Li a découvert cette vulnérabilité qui affecte le sous-système du noyau en charge de la gestion de la mémoire, notamment pour gérer la mémoire virtuelle et la pagination. Il a reporté cette faille de sécurité le 15 juin 2023 à l'équipe de développement, et la bonne nouvelle, c'est qu'il y a un correctif depuis le 1er juillet 2023 !

Ainsi, les versions stables du noyau Linux qui intègrent le correctif de sécurité pour la vulnérabilité StackRot sont les suivantes : 6.1.37, 6.3.11 et 6.4.1.

Sur le GitHub de Ruihan Li, il y a une page dédiée à cette vulnérabilité au sein de laquelle on peut obtenir des détails techniques. Même si ce n'est qu'un aperçu, car Ruihan Li a prévu de publier des détails techniques complets et un exploit Proof-of-Concept d'ici la fin du mois de juillet. D'après l'auteur de cette découverte, la vulnérabilité StackRot est difficile à exploiter.

Quelles sont les distributions Linux vulnérables ?

Toutes les distributions Linux qui utilisent un noyau Linux basé sur une version comprise entre la 6.1 et la 6.4 sont potentiellement vulnérables, en attendant que le correctif soit déployé. À partir du site Distrowatch, on peut effectuer une recherche pour obtenir la liste des distributions qui utilisent au moins la version 6.1 du Noyau Linux. Par exemple, la distribution Debian 12, disponible depuis peu, tourne sur le noyau Linux 6.1.

Ce n'est pas étonnant que cette version soit choisie, malgré la présence de versions plus récentes : le noyau Linux 6.1 est une version LTS, ce qui signifie qu'il y a un support longue durée sur cette version majeure.

Source

The post Elévation de privilèges : StackRot, une nouvelle faille de sécurité dans le noyau Linux first appeared on IT-Connect.

I. Présentation

J'ai eu l'opportunité de tester le nouveau robot haut de gamme de chez Ecovacs : le DEEBOT X1 Plus. Un robot autonome capable de nettoyer votre logement en combinant deux fonctions : l'aspiration et le lavage à l'aide de deux serpillières rotatives. Voici mon avis détaillé !

Au sein du catalogue de produits d'Ecovacs, il s'agit du premier modèle capable de chauffer l'eau à 55 degrés ! Grâce à cette nouveauté et à l'effet de l'eau chaude, il est capable de mieux éliminer les tâches sur le sol et c'est aussi plus hygiénique. Une innovation intéressante de la part d'Ecovacs qui continue de faire les efforts nécessaires pour challenger la concurrence.

Plus d'infos sur le site officiel :

• Ecovacs DEEBOT T20 OMNI

Retrouvez aussi mon test du modèle DEEBOT X1 Plus, petit frère du DEEBOT X1 OMNI.

II. Package et design

A. Qu'avons-nous dans le carton ?

Dans l'énorme carton, les différents éléments sont rangés soigneusement et protégés à l'aide de plastique et mousse. Le robot a le droit à sa propre boite cartonnée, tout comme les accessoires qui sont rangés dans un boite cartonnée distincte. Entre l'imposante station, le robot et les accessoires, il y avait du monde à mettre dans le carton.

Au-delà de la station et du robot que je vais présenter en détail par la suite, nous avons le droit aux accessoires suivants :

• Un guide utilisateur, en plusieurs langues, dont le français
• Deux brosses latérales, à positionner sur le robot
• Deux serpillières de lavage lavables, à positionner également sur le robot
• Un câble d'alimentation pour la station de charge
• Un outil de nettoyage
• Une brosse de nettoyage

B. Aperçu de la station OMNI du robot

Commençons par nous intéresser à la station de charge, qui fait bien plus que simplement recharger le robot. Tout d'abord, parlons de son apparence : elle est entièrement blanche avec seulement la partie supérieure qui en gris argent, elle est particulièrement imposante ! Pour être plus précis, voici les dimensions de la base : 448 x 430 x 578 mm ! Avec une telle taille, difficile de passer inaperçu : c'est un point à prendre en considération au moment de faire votre achat. Sur le dessus de la base, il y a un bouton qui sert à démarrer, suspendre ou reprendre le nettoyage.

Vous allez me dire : pourquoi la base est-elle si imposante ?

Déjà, parce que le robot pourra vider sa poussière dans le sac à poussière de 3 litres qui est intégré à la station et auquel on accède en appuyant sur un bouton caché au niveau du bac de nettoyage.

Ensuite, cette base intègre deux réservoirs de 4 litres chacun pour la gestion de l'eau : l'eau propre d'un côté, l'eau sale de l'autre. Alors forcément, le stockage de l'eau nécessite un espace physique important. Ces deux réservoirs d'eau sont utiles pour l'auto-nettoyage de la station et des serpillières du robot, avec l'eau qui sera chauffée. Pour accéder à ces deux réservoirs, il faut soulever le capot de la base. Un flotteur présent dans le réservoir d'eau sale permet d'avoir une notification sur son smartphone lorsqu'il faut le vider. Dans le même esprit, on recevra une notification s'il n'y a plus d'eau propre.

Enfin, cette base intègre une fonction de séchage automatique pour les serpillières. Un petit détail qui a son importance pour éviter que l'humidité des serpillières soit à l'origine de mauvaises odeurs.

Note : dans la base, entre les deux réservoirs d'eau, il y a un emplacement prévu pour ranger la brosse de nettoyage, mais aussi pour stocker la bouteille de solution de nettoyage Ecovacs (flacon non fourni avec le robot ; dommage). Ce produit de nettoyage peut être ajouté directement au réservoir d'eau propre.

C. Découverte du robot DEEBOT T20

Passons à la présentation du robot DEEBOT T20 en lui-même ! De forme arrondie, le corps principal du robot est blanc tandis que la partie supérieure est en gris argent, comme la base OMNI. La coque supérieure est amovible et elle a un effet bombé très sympa. Le design de ce robot est au top : il est travaillé, avec de belles finitions et montre que l'on a entre les mains un appareil premium.

Sur le dessus, une tourelle surplombe le robot : il s'agit du capteur LiDAR, qui correspond à la technologie TrueMapping d'Ecovacs et utilisé par le robot pour détecter son environnement. Pour la navigation et la détection de l'environnement, ce capteur est associé à la technologie TrueDetect 3D qui correspond au bloc noir sur la face avant du robot. Ces technologies doivent permettre au robot de détecter les murs, les meubles, les petits objets sur le sol, ainsi que les câbles, le tout grâce à l'imagerie 3D.

À proximité du capteur LiDAR, il y a un bouton que l'on peut utiliser pour démarrer une session de nettoyage.

Si l'on soulève le capot du robot, on peut accéder au réservoir à poussières : ce que l'on ne devrait pas faire souvent puisque le robot se vide dans la base de façon automatique. Toutefois, ce sera utile pour changer le filtre d'ici quelques mois... C'est aussi en retirant le capot que l'on accède au bouton de réinitialisation et au bouton de gestion de l'alimentation. J'en profite pour préciser qu'il n'y a pas de réservoir d'eau dans le robot : l'eau est stockée uniquement dans la base.

Allez, hop, on retourne le robot ! L'occasion de visualiser les emplacements pour les brosses latérales et les plaques qui vont accueillir les serpillières rotatives qu'il faudra clipser.

Justement, la brosse centrale en caoutchouc est accompagnée par les deux brosses latérales qui sont là pour ramener les miettes vers la zone d'aspiration. Par expérience, une brosse centrale en caoutchouc s'emmêle moins avec les poils d'animaux qu'une brosse centrale avec des poils en nylon : un avantage quand on a un chien à poils long à la maison. Ce nouveau modèle bénéficie d'une puissance d'aspiration importante : jusqu'à 6 000 Pa, selon le mode sélectionné.

À cela s'ajoutent deux roues motrices capables de franchir des seuils d'une hauteur de 2 cm maximum et une roue directionnelle. Tout autour du robot, il y a des capteurs antichute : 6 pour être précis.

Quand le robot est en place dans sa base, il ne touche pas le sol directement, car il y a une véritable place de parking qui l'attend.

Au final, quand tout est en place, on obtient un ensemble imposant, mais harmonieux. Une nouvelle fois, Ecovacs propose un produit avec de belles finitions.

III. Installation, nettoyage, autonomie...

A. Installation

Une fois mis en place sur sa base et en charge, la mise en route du robot s'effectue à partir de son smartphone et de l'application Ecovacs Home. L'assistant de l'application permet d'initialiser le robot sans difficulté particulière. Pendant ce processus, il sera nécessaire de connecter le robot au Wi-Fi de votre maison à l'aide du QR code présent sur le robot.

La première fois que l'on accède au robot dans l'application, il y a un assistant qui est là pour guider l'utilisateur afin de lui expliquer comment utiliser le robot. Il pourrait être amélioré, mais ce sont déjà de premières indications pour accompagner les nouveaux utilisateurs. Le panneau d'accès rapide intitulé "Préférence de nettoyage" permet d'accéder à l'essentiel pour personnaliser l'expérience de nettoyage. Ensuite, on peut utiliser d'autres fonctions pour aller plus loin (ce sera détaillé dans la suite de l'article).

La première fois, le robot demande à effectuer une cartographie rapide de votre logement. Ceci ne prend que quelques minutes et permet de générer une première carte qui sera affinée par la suite lors d'un nettoyage complet. D'ailleurs, et c'est étonnant, la carte rapide générée par le robot était très loin de la réalité. J'ai supprimé la carte et j'ai relancé le processus, et cette fois-ci c'était bon. Je n'avais pas eu ce souci avec les autres modèles DEEBOT.

Il est temps de parler de l'efficacité du robot, de voir son comportement sur le terrain !

B. Efficacité du nettoyage

Ce robot est très bien équipé : puissance d'aspiration de 6000 Pa, deux brosses latérales, une brosse centrale en caoutchouc et un système de lavage innovant. En principe, il devrait être redoutable : mais tout dépend de la configuration, car il y a plusieurs modes de nettoyage et plusieurs puissances d'aspiration accessibles.

Au-delà du séchage automatique et du lavage à l'eau chaude, le système de lavage OZMO Turbo 2.0, basé sur deux serpillières rotatives (jusqu'à 180 tours par minute), va aussi bénéficier d'une autre nouveauté : l'élévation automatique des serpillières de 9 mm lorsqu'un tapis ou obstacle est détecté par le capteur à ultrasons. Il n'est plus nécessaire de retirer les tapis du sol avant de lancer une session... Le robot va s'adapter tout seul.

Pendant le nettoyage, que va-t-il se passer ?

Le robot va nettoyer votre logement, en aspirant et en lavant en même temps (ou l'un ou l'autre, selon le mode actif). Avant de partir en nettoyage, l'eau de la base va être chauffée et elle va servir à mouiller les serpillières. Ensuite, le robot sera prêt pour commencer à nettoyer.

Toutes les 10 minutes environ, il va revenir à la base pour laver les serpillières à l'eau chaude, et poursuivre le nettoyage... Jusqu'à ce qu'il a terminé de nettoyer l'intégralité du logement, ou la zone sélectionnée ; tout dépend du mode en cours d'utilisation.

Une fois qu'il aura terminé, il va rentrer à sa base pour recharger sa batterie, vider le réservoir à poussières, mais aussi laver et sécher les serpillières. Le séchage est effectué automatiquement à la fin du nettoyage, cette action ne peut pas être différée.

Avec le DEEBOT T20 OMNI, vous n'avez rien à faire : le robot va se mettre en condition pour être prêt pour une prochaine session de nettoyage. Enfin, il faudra tout de même gérer les deux réservoirs d'eau, mais il y a une autonomie de plusieurs sessions avec les réservoirs de 4 litres.

Remarque : les allers-retours répétés à la base vont allonger la durée du nettoyage, mais aussi consommer de la batterie.

Pendant le nettoyage, si vous constatez que les serpillières sèchent et n'humidifient plus le sol, ou que l'efficacité n'est plus la même que quelques minutes auparavant, vous pouvez ajuster la fréquence à laquelle le robot retourner laver et humidifier ses serpillières. Ceci permettra de poursuivre avec des patins propres et imbibés d'eau chaude.

Ce nouveau système de nettoyage est performant et parvient à nettoyer des taches sur le sol, y compris des tâches sèches. L'eau chaude apporte un vrai plus à la qualité du nettoyage, en plus du système par rotation qui est plus performant que les systèmes par vibration. En ce qui me concerne, c'est le système de nettoyage le plus performant que j'ai pu voir en œuvre sur un robot laveur de sols.

Le robot navigue avec précision et il est méthodique : les pièces sont nettoyées les unes après les autres. Il parvient à bien faire le tour des meubles, des jouets, etc... Même s'il peut lui arriver de commettre quelques erreurs. En soi, ce n'est pas gênant : on s'approche de la perfection.

C. Autonomie

L'autonomie de ce robot est annoncée à 170 minutes, sur le site de l'Ecovacs. Pour nettoyer une surface de 30m², il faut compter entre 45 et 50 minutes. Et à la fin, il lui reste encore les deux tiers de sa batterie. Au final, l'autonomie en mode d'aspiration standard est plutôt comprise entre 135 et 150 minutes.

Pour une charge complète, il faut compter 6,5 heures, ce qui est relativement long.

IV. L'application Ecovacs Home

Pour finir, parlons de l'application Ecovacs Home, un allié indispensable pour piloter votre robot DEEBOT. Personnellement, je suis habitué à utiliser cette application depuis plusieurs années, car j'ai pu tester de nombreux modèles de chez Ecovacs. Pour l'utilisation des fonctions de base, l'application est intuitive. Il ne faudra pas hésiter à parcourir les différents menus pour atteindre les fonctions avancées.

Voici une liste non exhaustive des fonctions clés de ce robot :

• Gestion des cartes (cartes multi-étages, vue 3D avec positionnement des meubles et des tapis, rôle de chaque pièce, fusionner/diviser les pièces, créer des limites virtuelles, etc.)
• Personnalisation du nettoyage
  • Mode de nettoyage : automatique, personnalisé, zone
  • Type de nettoyage : rapide, standard ou en profondeur
  • Paramètres du mode serpillière : débit d'eau, durée entre chaque lavage de serpillières, temps de séchage, etc.
  • Méthodes de nettoyage : aspiration + serpillière, uniquement aspiration ou uniquement serpillière
  • Plusieurs modes d'aspiration : silencieux, standard, max et max+
  • Mode ménage où le robot recherche lui-même les zones à nettoyer
• Historique de nettoyage (date, heure, durée, surface nettoyée, et parcours du robot sur la carte)
• Maintenance pour accéder à l'état des différents accessoires et des pièces du robot
• Programmer un nettoyage : certains jours, à quelle heure, quelles zones
• Ne pas déranger : ne pas effectuer de nettoyage pendant une période donnée
• Verrouillage enfant pour désactiver les boutons physiques
• Gestion des mises à jour
• Etc...

Pendant que le robot nettoie, son parcours s'affiche en temps réel sur la carte. Cette vue peut être personnalisée puisque l'on peut passer du mode 2D au mode 3D. En mode 3D, on peut afficher des éléments supplémentaires comme les portes et les tapis. Cette même carte pourra être personnalisée pour que le découpage des pièces soit au plus proche de la réalité.

Pour les adeptes du contrôle vocal, sachez que le DEEBOT est équipé d'un micro, mais aussi d'un haut-parleur, le tout étant exploité par un assistant vocal mis en au point par Ecovacs : Yiko. Il est intégré directement au robot et il prend en charge plus de commandes que les assistants Amazon Alexa et Google Assistant. Il prend en charge plusieurs langues, dont le français. Par contre, il reste encore un peu difficile à utiliser. Disons qu'il est un peu capricieux : il ne répond pas toujours à nos appels lorsqu'on le réveil avec la commande vocale "OK Yiko". Espérons qu'une mise à jour firmware permette de l'améliorer.

V. Conclusion

L'Ecovacs DEEBOT T20 OMNI offre une expérience de nettoyage complète, avec un système à la fois efficace et autonome. Même si la base du DEEBOT est imposante, elle est tellement polyvalente que l'on apprécie et on oublie rapidement cet inconvénient. Le robot quant à lui, déjà il est élégant, mais au-delà de ça, il effectue du bon travail grâce au système de lavage à l'eau chaude et à sa puissante aspiration. Par contre, il est assez bruyant (même si c'est variable selon le mode utilisé).

L'autre avantage de ce robot, c'est que l'application permet de personnaliser son comportement quand il va nettoyer votre logement. De ce fait, vous pouvez lui demander d'aspirer plus fort, ou de nettoyer ses patins de lavage plus fréquemment, si vous estimez que c'est bénéfique pour nettoyer vos sols. Ces ajustements sont intéressants, car les résultats pourront différer d'un type de sol à un autre.

Même si c'est un réel investissement, car il est commercialisé au prix de 1 099,99 euros (cohérent par rapport aux concurrents de la même gamme), ce robot DEEBOT T20 OMNI est l'un des meilleurs et des plus complets du moment !

The post Test Ecovacs DEEBOT T20 OMNI – Un robot laveur tout-en-un innovant first appeared on IT-Connect.

I. Présentation

Cet article aborde le sujet des sauvegardes immuables puisqu'elles sont devenues à la fois cruciales et tendance, en quelques années. C'est une notion à connaître et qui mérite d'être expliquée à l'heure où les cyberattaques, notamment par ransomware, sont monnaies courantes.

• Voir la vidéo sur YouTube

II. Qu'est-ce qu'une sauvegarde immuable ?

Avant de parler des sauvegardes immuables, parlons des sauvegardes en elles-mêmes.

Une sauvegarde ou backup consiste à effectuer une copie préventive d'un ensemble de données vers un emplacement de destination indépendant de l'emplacement source. Par exemple :

• A la maison, les données d'un ordinateur vont être sauvegardées vers un disque externe connecté en USB
• En entreprise, les données d'un serveur vont être sauvegardées vers un NAS

L'objectif étant de pouvoir protéger les données en cas d'incident ou de mauvaises manipulations afin de pouvoir les restaurer. Si un fichier est supprimé par inadvertance, on peut le récupérer grâce à la sauvegarde effectuée en amont.

Les sauvegardes classiques sont stockées sur un emplacement de stockage accessible en lecture et écriture. Ainsi, le logiciel de sauvegarde peut supprimer les données et un utilisateur qui dispose d'un accès à l'espace de stockage peut aussi modifier ou supprimer les fichiers de sauvegarde. On s'expose à plusieurs risques de la simple erreur humaine, à la cyberattaque par ransomware.

Ce qui change avec les sauvegardes immuables...

Si l'on regarde la définition de l'adjectif "immuable" dans le dictionnaire Larousse, on peut lire : "Qui, par nature, n'est pas sujet au changement et demeure identique à soi-même" ou encore "Qui demeure inchangé, ne subit pas ou ne paraît pas subir de modification pendant un temps relativement long".

Par définition, une sauvegarde immuable est inaltérable ! Elle ne peut pas être modifiée, écrasée ou supprimée. Par contre, elle peut être lue autant de fois qu'on le souhaite, car c'est la technique de stockage WORM qui s'applique : Write Once Read Many. Soit, en français : Ecrire une fois, lire plusieurs fois.

Le fait qu'elle soit lisible plusieurs fois est important pour permettre la restauration des données de la sauvegarde. Mais, pourquoi est-ce important qu'elle soit inaltérable ?

III. Pourquoi les sauvegardes immuables sont-elles cruciales ?

Malheureusement, les cyberattaques sont de plus en plus fréquentes, notamment les attaques de type ransomware qui sont devenues le cauchemar des responsables informatiques et des dirigeants d'entreprise. Lorsqu'une entreprise est victime d'un ransomware, les données sur les serveurs de production sont chiffrées, voire même les serveurs eux-mêmes, car parfois ce sont les machines virtuelles qui sont chiffrées.

Ce n'est pas tout, car lors de certaines attaques, les sauvegardes sont également ciblées et sont chiffrées par le ransomware ! Avec un système de sauvegarde classique, accessible en lecture et écriture, c'est possible. C'est dramatique, car on se retrouve dans une situation où les données de production et les sauvegardes sont chiffrées, ce qui remet en cause notre capacité à restaurer les systèmes et leurs données. C'est ce que cherchent les cybercriminels pour que l'on paie la rançon.

Par contre, si la sauvegarde est immuable, elle ne peut pas être chiffrée ! Donc, le ransomware pourra s'en prendre aux données et serveurs en production, mais il ne pourra altérer nos sauvegardes. On peut affirmer qu'une sauvegarde immuable est immunisée contre les cyberattaques de ransomware. Forcément, cela change tout, car on a la certitude de pouvoir restaurer les données sans devoir payer la rançon !

IV. Solutions de sauvegarde compatibles avec les sauvegardes immuables

Désormais, vous devez surement vous poser la question suivante : quelles sont les solutions de sauvegardes compatibles avec les sauvegardes immuables (ou inaltérables, si vous préférez) ?

Sans vouloir promouvoir une solution plus qu'une autre, voici une liste de solutions disponibles sur le marché :

• Veeam Backup & Replication
• Hornetsecurity VM Backup
• NAKIVO Backup & Replication
• Commvault Backup & Recovery
• Rubrik
• Etc...

Généralement, ces éditeurs proposent d'utiliser des fournisseurs de Cloud comme AWS, Microsoft Azure ou Wasabi Cloud pour stocker les sauvegardes immuables.

V. Conclusion

En matière de bonnes pratiques pour mettre en place une stratégie de sauvegarde efficace, vous devez vous fixer l'objectif d'avoir au moins une copie de sauvegarde immuable, que ce soit en local ou dans le Cloud, en fonction des possibilités offertes par votre solution de sauvegarde. À défaut d'avoir une sauvegarde immuable, vous devez envisager une sauvegarde hors ligne (ou isolée selon le principe "air gap").

The post Les sauvegardes immuables pour les débutants first appeared on IT-Connect.

Administrateurs de serveurs Mastodon, c'est une mise à jour importante qui vous attend pour commencer cette nouvelle semaine : en l'exploitant, un attaquant peut compromettre le serveur Mastodon. Faisons le point.

Pour rappel, Mastodon est une alternative libre et open source au réseau social Twitter ! Il se présente comme un réseau social décentralisé et les utilisateurs peuvent héberger leur propre instance Mastodon, sur un serveur en local ou en ligne. D'ailleurs, à ce jour, on compte environ 13 000 instances dans le monde, hébergées par la communauté pour servir plusieurs millions d'utilisateurs.

L'entreprise Cure53 a fait la découverte de quatre failles de sécurité dans Mastodon, désormais corrigées dans la dernière version de l'application : CVE-2023-36459, CVE-2023-36460, CVE-2023-36461 et CVE-2023-36462.

Parmi ces vulnérabilités, il y a une faille de sécurité critique associée à la référence CVE-2023-36460 et surnommée TootRoot. Elle hérite d'un joli score CVSS de 9.9 sur 10 ! En l'exploitant, un attaquant peut compromettre le serveur Mastodon. Le problème de sécurité réside dans la fonction qui traite les médias associés dans les toots (l'équivalent des tweets), au moment de l'importation. Grâce à un fichier spécialement conçu, l'attaquant peut avoir l'ambition de faire planter le serveur Mastodon, mais aussi d'exécuter du code à distance sur le serveur.

Pire encore, le chercheur en sécurité Kevin Beaumont affirme que la faille de sécurité TootRoot peut être utilisée pour déposer une porte dérobée sur un serveur Mastodon. Ainsi, le serveur sera compromis et le pirate pourra accéder aux données du serveur, ce qui inclut des informations sur les utilisateurs.

Les quatre vulnérabilités concernent toutes les versions de Mastodon à partir de la version 3.5.0 ! La bonne nouvelle, comme je l'évoquais ci-dessus, c'est qu'elles sont déjà corrigées ! Plusieurs versions intègrent les correctifs de sécurité pour ces versions : 3.5.9, 4.0.5 et 4.1.3.

Il ne vous reste plus qu'à mettre à jour votre instance Mastodon pour protéger votre serveur et votre communauté !

Source

The post Avec la faille de sécurité TootRoot, un attaquant peut compromettre un serveur Mastodon first appeared on IT-Connect.

Des chercheurs en sécurité ont mis la main sur un nouveau ransomware surnommé Big Head, qui se diffuse par le biais de campagnes publicitaires malveillantes pour promouvoir une fausse mise à jour Windows. Faisons le point sur cette menace.

D'abord repéré par Fortinet, puis récemment analysé par les équipes de chez Trend Micro, le ransomware Big Head circule sous plusieurs variantes. Son principal vecteur de diffusion, ce sont des publicités malveillantes, dans le cadre d'une campagne de malvertising. L'objectif est clair : apparaître dans le top des résultats sur les moteurs de recherche dans le but de piéger l'utilisateur. Récemment, cette technique a également était utilisée dans une campagne qui utilisait le logiciel WinSCP comme leurre.

Le ransomware Big Head se présente sous la forme d'un exécutable .NET et il installe trois fichiers différents sur la machine compromise. Pour l'une des variantes, cela donne :

• 1.exe qui se copie lui-même sur la machine pour déployer le ransomware, sous le nom "discord.exe" dans le répertoire "AppData\Local" de la session
• archive.exe pour communiquer avec les cybercriminels à partir d'un bot Telegram
• Xarch.exe pour chiffrer les fichiers et afficher une fausse mise à jour Windows à l'écran

Chaque victime est associée à un ID unique, et avant d'entrer en action, le ransomware veille à supprimer les clichés instantanés de manière à ne pas permettre le retour en arrière via ce biais. En complément, il met fin à certains processus qui pourraient interférer avec le processus de chiffrement (verrouillage sur un fichier, par exemple). Ensuite, les fichiers sont chiffrés et terminent avec l'extension ".poop".

Les chercheurs ont aussi remarqué que le ransomware chiffre les fichiers uniquement sur les machines où le langage utilisé n'appartient pas à un pays membre du Commonwealth. Autrement dit, la France peut être impactée par ce ransomware. Bien que ce soit surprenant, ce n'est pas la première fois qu'un ransomware filtre les victimes de cette façon.

Enfin, pendant le processus de chiffrement, le ransomware affiche un écran qui laisse penser qu'il y a une mise à jour Windows en cours d'installation. Alors, qu'en fait, les fichiers sont chiffrés pendant ce temps-là. À la fin, une note de rançon est déposée sur le serveur et le fond d'écran est modifié aussi : ce qui ne laisse pas de place aux doutes.

Trend Micro estime que ce n'est pas un ransomware très sophistiqué et qu'il est facilement détectable avec les outils de sécurité. Le ransomware Big Head va plutôt chercher à abuser des personnes qui ne sont pas suffisamment méfiantes ou averties sur le sujet, en prenant une mise à jour Windows comme leurre.

Source

The post Le ransomware Big Head se fait passer pour une mise à jour Windows first appeared on IT-Connect.

Si vous souhaitez profiter des promos Amazon Prime Day pour vous offrir une serrure connectée, sachez que Nuki propose une remise importante sur son modèle phare ! On parle bien de Nuki, le leader européen de la serrure connectée !

Sur la boutique Amazon de Nuki, la serrure connectée Smart Lock 3.0 Pro, que ce soit en noir ou en blanc, voit son prix chuter à 209 euros au lieu de 279 euros ! Soit une remise importante de 25% !

Grâce à la serrure connectée de Nuki, vous pouvez verrouiller et déverrouiller la porte d'entrée de votre domicile avec votre smartphone. Grâce à l'application Nuki, vous pouvez accorder des autorisations à vos proches, à vos enfants, etc... En fonction de vos besoins. Idéal pour créer une autorisation temporaire que ce soit à votre voisin, à un artisan ou encore pour de la location temporaire style Airbnb.

L'installation est évolutive dans le sens où vous pouvez ajouter un capteur d'ouverture/fermeture sur la porte, ainsi qu'un clavier à l'extérieur (Keypad) afin de pouvoir déverrouiller la porte d'entrée avec un code confidentiel (possibilité de gérer plusieurs codes). Récemment, Nuki a même lancé un nouveau Keypad avec lecteur d'empreintes.

Pour en savoir plus sur la serrure connectée Nuki Smart Lock 3.0 Pro, que ce soit l'installation, l'utilisation ou les intégrations possibles avec les systèmes tiers (Jeedom, Home Assistant, etc.), vous pouvez lire notre test détaillé (lien ci-dessous). La version "Pro", concernée par cette offre, intègre le WiFi contrairement à la version standard (à laquelle il faut ajouter un bridge)

• Test de la serrure connectée Nuki Smart Lock 3.0 Pro

Pour consulter l'offre, suivez ce lien :

• Nuki Smart Lock 3.0 Pro - Amazon

Avant de vous lancer dans l'achat de ce produit, et bien qu'il soit compatible avec la majorité des portes et serrures, vérifiez qu'il soit bien compatible avec votre porte d'entrée (voir le site de Nuki).

Je vous rappelle que vous pouvez essayer Amazon Prime pendant 30 jours sans frais (et annuler à tout moment), en suivant ce lien : Amazon Prime.

N'hésitez pas à consulter les autres articles de la section "Bons plans" du site !

The post Une remise de 25% sur la serrure connectée Nuki Smart Lock 3.0 Pro ! first appeared on IT-Connect.

Est-ce que Razer, le spécialiste du matériel pour gamers, est victime d'une cyberattaque ? La question se pose depuis ce week-end, suite à la publication d'un message de la part d'un cybercriminel qui affirme détenir de nombreuses données appartenant à l'entreprise Razer. Faisons le point.

Razer est une marque très populaire auprès des joueurs, notamment parce qu'elle vend du matériel de bonne qualité, comme des souris, des claviers, des barres de son, des PC portables, des écrans, etc... À destination des gamers. À cela, s'ajoutent des services accessibles aux utilisateurs, ce qui permet d'accéder à des jeux, par exemple, en payant avec la monnaie virtuelle Razer Gold inventée par l'entreprise elle-même.

Parlons de l'éventuelle fuite de données.

Samedi 8 juillet 2023, une personne a publié un message avec le titre suivant sur un forum de hacking : "Razer.com - Source code, database, encryptions keys, etc". Cette personne prétend détenir du code source de chez Razer, mais aussi une base de données, des clés de chiffrement ainsi qu'un accès à l'interface d'administration du site officiel razer.com.

Des données mises en vente par l'auteur qui réclame l'équivalent de 100 000 dollars en cryptomonnaie Monero. Chaque personne qui paiera cette somme pourra obtenir les données volées à l'entreprise Razer. Reste à savoir si ces données appartiennent bien à Razer, si elles sont récentes et si un pirate s'est réellement infiltré sur les systèmes de la marque.

Pour le moment, Razer mène des investigations de son côté en analysant ses systèmes à la recherche d'une éventuelle trace de compromission. Dans les prochains jours, Razer va communiquer publiquement pour donner les résultats de son enquête.

Preuve que cette histoire est prise au sérieux, Razer a pris la décision de réinitialiser l'ensemble des mots de passe des comptes utilisateurs du site Razer. Donc, ne soyez pas surpris si vous devez changer votre mot de passe à la prochaine connexion, d'autant plus que vous serez forcé de vous reconnecter.

Source

The post Une importante fuite de données chez Razer ? Une enquête est en cours… first appeared on IT-Connect.

L'événement Amazon Prime Days est de retour du 11 au 12 juillet 2023 ! Pendant ces deux jours, de nombreuses promotions sont attendues sur Amazon, en plus de celles déjà en cours puisque nous sommes en période de soldes ! Voici une sélection de quelques offres...

Il y a des chances pour que des offres soient ajoutées dans la journée, alors n'hésitez pas à revenir sur cette page !

Informatique

Logitech MX Master 2S

La souris sans-fil Logitech MX Master 2S est compatible avec le Bluetooth mais aussi le dongle USB Unifying. Cette souris ergonomique intègre 7 boutons. A l'occasion du Prime Day, son prix passe de 64,99 euros à 45,99 euros !

• Voir l'offre sur Amazon

Samsung Galaxy Book 3

Le Samsung Galaxy Book 3 est un ordinateur portable avec un écran de 15 pouces en Full HD, un processeur Intel Core i7 de 13ème génération (puce graphique Intel Iris XE), 16 Go de RAM et un SSD NVMe de 512 Go ! Modèle avec clavier Azerty et sous Windows. Son prix passe à 749,00 euros au lieu de 899,99 euros habituellement.

• Voir l'offre sur Amazon

Crucial P3 Plus 2 To

Le disque SSD NVMe Crucial P3 Plus (CT2000P3PSSD8), d'une capacité de 2 To est proposé à 89,99 euros au lieu de 99,99 euros. Compatible PCIe 4.0, on annonce jusqu'à 5 000 Mo/s en lecture séquentielle et 4 200 Mo/s en écriture séquentielle.

• Voir l'offre sur Amazon

 

Corsair MM300 PRO

Le tapis de souris Corsair MM300 PRO propose des dimensions confortables : 93 cm sur 30 cm, avec une épaisseur de 3 mm pour un confort optimal. Son prix chute à 16,99 euros au lieu de 34,99 euros.

• Voir l'offre sur Amazon

Corsair Vengeance RGB - RAM 32 Go

Très sympathique pour équiper un PC gamer grâce à ses effets lumineux, le kit Corsair Vengeance RGB avec 2 x 16 Go, soit 32 Go au total, passe de 145 euros à 119,99 euros ! Il s'agit de barrettes de RAM en DDR5 (6000 MHz CL36).

• Voir l'offre sur Amazon

devolo Magic 2 LAN Starter Kit

Spécialiste du CPL, l'entreprise allemande devolo propose une réduction sur son kit Magic 2 LAN Starter Kit. Il comprend deux boitiers CPL, chacun avec une prise Ethernet RJ45 en 1 Git/s et une prise électrique (pour ne pas sacrifier la prise électrique sur laquelle est connectée le boitier).

Ce kit bénéficie d'une réduction importante de 29% ! Ainsi, son prix passe ainsi de 139,90 € à seulement 99,99 €.

• Voir l'offre sur Amazon

Maison intelligente

Les robots aspirateurs de chez Ecovacs

Ecovacs est l'un des leaders sur le marché des robots aspirateurs, avec de nouvelles innovations à chaque fois qu'une nouvelle génération d'appareils est proposée à la vente. Le dernier en date, c'est le modèle DEEBOT T20 OMNI qui est ultra-complet et autonome : sa station de charge sert aussi à vider le sac à poussières, à nettoyer les serpillières rotatives avec de l'eau chaude (ce qui permet aussi de laver le sol à l'eau chaude) et à les sécher à la fin du nettoyage. Sur Amazon, son prix baisse de 100 euros : il est proposé à 999,00 euros au lieu de 1 099,99 euros. Vous pouvez lire mon test à son sujet.

• Voir l'offre sur Amazon

Par ailleurs, le modèle DEEBOT N8+ capable de laver et d'aspirer en seul lavage, et accompagné par une station dans laquelle il peut vider les poussières collectées, est proposé à 369 euros au lieu de 439 euros. Retrouvez aussi mon test de ce produit pour obtenir des détails.

• Voir l'offre sur Amazon

Les robots aspirateurs de chez Yeedi

Le fabricant Yeedi, propriétaire du groupe Ecovacs Robotics, propose des réductions intéressantes sur ses robots ! Moins connues que certaines marques, Yeedi est un fabricant sérieux qui propose des appareils de bonne qualité. Sur IT-Connect, il y a d'ailleurs quelques tests de leurs modèles (ici et là).

Le modèle Yeedi vac 2 Pro, capable d'aspirer et de laver en un seul passage (serpillière fixe), est proposé à 299,99 euros au lieu de 399,99 euros, soit une remise de 38%.

• Voir l'offre sur Amazon

Pour une première expérience avec un robot aspirateur, vous pouvez vous laisser tenter par le modèle Yeedi vac hybrid proposé à 169,99 euros au lieu de 239,99 euros. Même s'il est plus basique que les autres modèles de la marque (notamment le système de navigation qui est moins précis), il peut tout de même aspirer et laver en un seul passage et bénéficier des fonctions de l'application officielle telle que la cartographie.

• Voir l'offre sur Amazon

Si vous recherchez un modèle plus complet, le Yeedi Floor 3 Station devrait vous plaire : il abandonne le système de lavage basé sur un serpillière fixe pour passer sur un système plus moderne avec deux serpillières rotatives. Sa station de charge intègre deux réservoirs d'eau pour nettoyer les serpillières et un système de séchage à l'air chaud intervient à la fin du nettoyer pour sécher les serpillières afin d'éviter les mauvaises odeurs. A l'occasion de cette vente flash, son prix passe de 799,99 euros à 579,99 euros.

• Voir l'offre sur Amazon

Les robots aspirateurs de chez Dreame

Le robot aspirateur Dreame D10 Plus voit son prix chuter de quelques dizaines d'euros puisqu'il est proposé aujourd'hui à 299,00 euros, alors que son prix habituel est plutôt aux alentours de 340 euros. Récemment, j'ai eu l'occasion de le tester alors n'hésitez pas à lire mon article pour en savoir plus au sujet de cet appareil avec un très bon rapport qualité/prix.

• Voir l'offre sur Amazon

Amazon Echo Show 5 (3ème génération)

Comme à chaque fois, Amazon propose des remises intéressantes sur ses propres appareils, que ce soit ceux de la gamme Echo ou sur ses caméras Blink (voir ici). Par exemple, l'appareil Echo Show 5 qui intègre l'assistant vocal Alexa et un écran de 5 pouces voit son prix passer de 109,99 euros à 49,99 euros ! Grâce à cet écran, il est possible de visualiser la météo, de suivre une recette, de gérer la musique, ou encore de regarder un film sur Netflix ou Amazon Prime Video.

• Voir l'offre sur Amazon

La version avec un écran de 8 pouces est aussi en promotion, avec un prix qui passe de 129,99 euros à 79,99 euros.

Eufy Security S220 SoloCam

Destinée à un usage en extérieur, la caméra S220 SoloCam de chez Eufy Security (résolution 2K) est entièrement autonome et sans-fil : elle fonctionne en Wi-Fi et elle intègre un batterie capable de se recharger grâce au panneau solaire présent sur le dessus de la caméra. Elle intègre une mémoire interne pour stocker les enregistrements : il n'y a pas de frais cachés. Un modèle très sympa dont le prix passe de 99,99 euros à 69,99 euros à l'occasion du Prime Day.

• Voir l'offre sur Amazon

Je vous rappelle que vous pouvez essayer Amazon Prime pendant 30 jours sans frais (et annuler à tout moment), en suivant ce lien : Amazon Prime.

The post Amazon Prime Day : sélection de bons plans high-tech du 11 juillet 2023 first appeared on IT-Connect.

Microsoft et Amazon continuent de travailler main dans la main pour permettre aux utilisateurs de profiter d'applications Android sur Windows 11. Désormais, tous les développeurs peuvent accéder à l'AppStore sur Windows 11, ce qui va permettre d'ajouter la prise en charge de nombreuses applications.

Sous Windows, lorsque l'on installe le sous-système pour Android (Windows Subsystem for Android - WSA), il faut utiliser l'Amazon AppStore pour télécharger des applications et jeux Android de manière officielle. Jusqu'ici, il n'était pas accessible à tous les développeurs, ce qui ne permettait pas l'ajout de toutes les applications, mais les choses vont évoluer !

En effet, voici ce que l'on peut lire dans l'annonce d'Amazon : "Amazon Appstore sur Windows 11 est désormais disponible pour tous les développeurs", ce qui signifie que d'autres applications vont être mises en ligne. À ce sujet, Amazon précise : "Les applications et jeux Android les plus populaires, comme Audible, TikTok, Lords Mobile, Hungry Shark Evolution et Epic Seven, atteignent désormais de nouveaux utilisateurs sur PC sans qu'il soit nécessaire de créer une version de bureau distincte pour Windows."

Désormais, les développeurs doivent tester leurs applications Android sur Windows 11 pour vérifier le bon fonctionnement avant la mise en ligne sur l'Amazon AppStore. Pour cela, Amazon recommande d'utiliser une machine Windows 11 avec au moins 8 Go de RAM afin de pouvoir installer WSA et l'Amazon AppStore.

Les développeurs doivent prêter attention à certains points comme la gestion de la souris, du clavier, le redimensionnement de la fenêtre de l'application, afin que l'expérience sur PC soit bonne. À cela s'ajoute la gestion des composants graphiques, mais aussi de l'espace de stockage. Enfin, les développeurs doivent proposer une "véritable" application Android, et pas une application générée rapidement et basée sur du HTML5.

Au sein de l'annonce d'Amazon, il y a des liens vers plusieurs ressources utiles pour les développeurs, notamment au sujet de l'Amazon Input SDK.

Source

The post L’Amazon AppStore pour Windows 11 s’ouvre à tout le monde et va accueillir de nouvelles apps Android ! first appeared on IT-Connect.

Les iPhone, iPad et Mac de chez Apple sont impactés par une faille de sécurité zero-day exploitée dans le cadre de cyberattaques ! Apple a mis en ligne un correctif en urgence afin de protéger ses utilisateurs.

C'est un chercheur en sécurité anonyme qui a signalé cette vulnérabilité à Apple. Désormais associée à la référence CVE-2023-37450, cette faille de sécurité doit être installée dès que possible sur les iPhone, iPad et Mac et elle concerne tous les appareils totalement à jour puisqu'ils sont vulnérables.

La faille de sécurité en question a été découverte dans le moteur WebKit développé par Apple. En l'exploitant, un attaquant peut exécuter du code arbitraire sur l'appareil pris pour cible. Pour cela, il doit au préalable inciter l'utilisateur à visiter une page web contenant du code malveillant. D'après Apple, il s'agit d'une vulnérabilité probablement déjà exploitée dans le cadre de cyberattaques : "Apple a eu connaissance d'un rapport selon lequel cette vulnérabilité pourrait avoir été activement exploitée."

Pour proposer la mise à jour de sécurité à ses utilisateurs, Apple s'appuie sur son système Rapid Security Response (RSR). Ce système est conçu pour proposer des correctifs de sécurité sur iPhone, iPad et Mac, sans avoir besoin d'attendre la prochaine mise à jour complète du système. Il permet à Apple d'être réactif lorsqu'il y a une faille de sécurité à patcher rapidement, comme c'est le cas ici. Pour autant, ce correctif sera intégré à la prochaine mise à jour du système afin que tout le monde en profite.

Ce n'est pas la première fois qu'une faille zero-day est corrigée par Apple, on peut même dire que c'est assez fréquent, mais Apple n'utilise pas le système RSR à chaque fois.

Pour finir, voici la liste des correctifs mis en ligne par Apple ce lundi 10 juillet 2023 :

• macOS Ventura 13.4.1 (a)
• iOS 16.5.1 (a)
• iPadOS 16.5.1 (a)
• Safari 16.5.2 pour macOS Big Sur et macOS Monterey

Apple a pris la décision de retirer cette mise à jour

[ Mise à jour du 12 juillet 2023 ]

Suite aux retours négatifs de ses utilisateurs, Apple a pris la décision de suspendre l'accès au téléchargement de ce correctif de sécurité. En effet, après avoir installé cette mise à jour, certains utilisateurs n'étaient plus en mesure d'accéder à certains sites ou services comme Zoom, Facebook, Instagram ou encore WhatsApp en utilisant Safari. En fait, il s'agit d'un problème lié au user-agent : la nouvelle valeur n'est pas reconnue par les sites, alors ils refusent l'accès et indiquent un message qui indique que le navigateur n'est pas pris en charge.

Source

The post Apple publie un correctif en urgence pour protéger les iPhone, les iPad et les Mac d’une faille zero-day ! first appeared on IT-Connect.

Tout est dans le titre : Azure AD, ou Azure Active Directory, devient Microsoft Entra ID ! Au-delà du changement sur le nom du produit et sur les licences, rien ne change et vous n'avez pas d'action à entreprendre !

À partir du mois d'août 2023, ce qui va venir très vite, le nom "Azure AD" va laisser place à Microsoft Entra ID ! Ce sera fait progressivement dans les différents produits et interfaces de Microsoft, et ceci devrait être terminé à la fin de l'année 2023. Microsoft tient à rassurer ses clients sur le fait qu'il n'y a que le nom qui va changer "Toutes les configurations et intégrations continueront à fonctionner comme aujourd'hui, sans aucune action de votre part."

Pour être plus précis à ce sujet, Microsoft affirme que "aucune modification n'est apportée aux fonctionnalités Azure AD", ni même aux API, aux URL de connexion, aux cmdlets PowerShell, à l'outillage, etc... Tout va rester identique.

Certaines fonctionnalités vont aussi bénéficier d'un nouveau nom :

• Azure AD MFA devient Microsoft Entra MFA
• Azure AD Conditional Access devient Microsoft Entra Conditional Access

Facile à deviner, n'est-ce pas...?

Licences Azure AD : les noms vont changer !

Enfin, il y a tout de même un autre changement de noms à prévoir au niveau des licences. L'entreprise américaine ne va pas toucher aux noms des licences Microsoft 365, mais les licences Azure AD vont bénéficier d'un nouveau nom à compter du 1er octobre 2023. Ce qui donne :

• Azure AD Free devient Microsoft Entra ID Free
• Azure AD Premium P1 devient Microsoft Entra ID P1
• Azure AD Premium P2 devient Microsoft Entra ID P2
• Azure AD External Identities devient Microsoft Entra External ID

Si l'on prend l'exemple d'une licence Azure AD Premium P1, même après le changement de nom, elle restera intégrée aux licences Microsoft 365 E3. Dans le même esprit, la licence Azure AD Premium P2 restera intégrée à Microsoft 365 E5.

Pourquoi ce changement de nom ?

Pour justifier ce changement, la firme de Redmond précise : "Cela fait un an que nous avons présenté Microsoft Entra comme une nouvelle famille de produits pour tous nos produits d'identité et d'accès, concrétisant ainsi notre vision élargie de l'accès sécurisé." - Il est donc logique qu'Azure AD trouve une place dans cette nouvelle famille de produits.

Microsoft explique aussi avoir la volonté d'intégrer le terme "ID" à l'ensemble de ses produits liés à l'identité, afin que ce soit standardisé. Par exemple, Microsoft Entra ID est accompagné de ID Protection, de ID Governance ou encore de Verified ID.

Désormais, nous ne pourrons plus penser qu'Azure Active Directory c'est comme un Active Directory, mais dans le Cloud, car il y aura une véritable différence au niveau des noms. Ce changement de nom est aussi bénéfique pour cette raison, à mon sens.

Source

The post Azure AD devient Microsoft Entra ID, et les licences vont aussi changer de noms ! first appeared on IT-Connect.

Le Patch Tuesday de juillet 2023 mis en ligne par Microsoft est très chargé : il corrige 132 vulnérabilités dont 6 failles de sécurité zero-day activement exploitées dans le cadre d'attaques. Faisons le point.

Par rapport au Patch Tuesday du mois de mai 2023 qui ne contenait pas de correctif pour une faille zero-day, dans celui-ci on est servi puisqu'il y en a 6. A cela s'ajoutent 9 failles de sécurité critiques corrigées par Microsoft, dont voici la liste :

• Microsoft Office SharePoint : CVE-2023-33160, CVE-2023-33157
• Windows Layer-2 Bridge Network Driver : CVE-2023-35315
• Windows Message Queuing : CVE-2023-32057
• Windows PGM : CVE-2023-35297
• Windows Remote Desktop : CVE-2023-35352
• Windows Routing and Remote Access Service (RRAS) : CVE-2023-35365, CVE-2023-35366 et CVE-2023-35367

Par ailleurs, ce Patch Tuesday concerne d'autres produits et composants de chez Microsoft tels que Azure Active Directory (qui va changer de nom), Microsoft Dynamics, Microsoft Office (Access, Excel, Outlook), Power Apps, les pilotes d'impression PostScript et PCL6, Paint 3D, le rôle Serveur DNS, le rôle ADCS, Windows Admin Center, le rôle WDS, le rôle WSUS, le composant Windows Installer, ou encore le noyau Windows. Pour une fois, le navigateur Microsoft Edge n'a pas eu le droit à la moindre mise à jour de sécurité.

Le point sur les failles zero-day

Toutes les failles de sécurité zero-day corrigées par Microsoft sont déjà exploitées dans le cadre de cyberattaques. L'une de ces failles est même déjà connue publiquement.

CVE-2023-32046 - Windows MSHTML

Découverte en interne par le Microsoft Threat Intelligence Center, cette faille de sécurité dans Windows MSHTML permet d'effectuer une élévation de privilèges sur la machine Windows. Pour l'exploiter, l'attaquant doit faire en sorte que sa victime ouvre un fichier malveillant qu'il aura envoyé par e-mail ou hébergé sur un site Internet. Microsoft donne cet exemple : "Dans le cas d’une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l’utilisateur et en persuadant celui-ci d’ouvrir le fichier."

Toutes les versions de Windows et Windows Server sont vulnérables.

CVE-2023-32049 - Windows SmartScreen

Découverte également par le Microsoft Threat Intelligence Center, cette faille de sécurité permet de contourner la protection SmartScreen de Windows. Autrement dit, l'avertissement qui doit s'afficher lorsque l'on exécute un fichier inconnu provenant d'Internet ne s'apparaîtra pas à l'écran. Là encore, l'exploitation passe par une URL qui mène à un fichier malveillant.

Toutes les versions de Windows et Windows Server à partir de Windows 10 v1607 et Windows Server 2016 sont vulnérables.

CVE-2023-36874 - Service de rapport d'erreur Windows

Découverte par Vlad Stolyarov et Maddie Stone de l'équipe Google Threat Analysis Group, cette faille de sécurité permet de devenir administrateur de la machine Windows ! Autrement dit, elle permet une élévation de privilèges. Toutefois, l'attaquant doit disposer d'un accès local à la machine : "Un attaquant doit disposer d’un accès local à l’ordinateur ciblé et l’utilisateur doit être en mesure de créer des dossiers et des traces de performance sur l’ordinateur, avec des privilèges restreints attribués par défaut à tous les utilisateurs."

Toutes les versions de Windows et Windows Server sont vulnérables.

CVE-2023-35311 - Microsoft Outlook

Cette nouvelle faille de sécurité affecte Microsoft Outlook et permet de contourner certaines mesures de protection. Le volet de prévisualisation intégré à Outlook est un vecteur d'attaque, comme l'indique Microsoft : "Le volet de prévisualisation est un vecteur d’attaque, mais une interaction supplémentaire avec l’utilisateur est requise."

Les versions de Microsoft Office affectées sont : Office 2013, Office 2016, Office 2019, Office LTSC 2021, Microsoft 365 Apps for Enterprise.

ADV230001 - Utilisation malveillante de pilotes signés par Microsoft

Ce bulletin d'alerte fait référence à l’utilisation malveillante de pilotes signés par Microsoft dans le cadre d'activités de post-exploitation. En fait, il s'agissait de pilotes signés par un compte développeur approuvé par Microsoft et appartenant au Microsoft Windows Hardware Developer Program.

Pour protéger les utilisateurs, Microsoft a introduit un correctif pour Windows qui vise à ne plus faire confiance aux pilotes et aux certificats de signature des pilotes pour les fichiers concernés. Par ailleurs, l'entreprise américaine a suspendu les comptes compromis.

Pour le moment, il n'y a pas de référence CVE attribuée.

CVE-2023-36884 - Office et Windows HTML

Pour finir, parlons de la faille de sécurité CVE-2023-36884, déjà rendue publique et qui n'a pas encore de correctif pour le moment ! J'insiste sur le fait que Microsoft n'a pas encore mis en ligne de correctif pour cette faille.

Cette vulnérabilité permet d'exécuter du code sur la machine Windows à partir d'un document malveillant. Cette attaque fonctionne uniquement si l'utilisateur ouvre le document, et le code sera exécuté dans le contexte de l'utilisateur, c'est-à-dire avec les droits de l'utilisateur.

Microsoft sait qu'il y a des attaques en cours : "Microsoft a connaissance d'attaques ciblées qui tentent d'exploiter ces vulnérabilités en utilisant des documents Microsoft Office spécialement conçus." - L'entreprise américaine parle même du groupe de pirates RomCom, connu pour avoir déployé le ransomware Industrial Spy dans de précédentes cyberattaques.

Puisqu'il n'y a pas encore de correctif pour cette faille de sécurité, Microsoft propose des mesures d'atténuation détaillées dans cet article. On peut lire :

• Les clients qui utilisent Microsoft Defender pour Office 365 sont protégés contre les pièces jointes qui tentent d'exploiter la CVE-2023-36884.
• Dans les chaînes d'attaque actuelles, l'utilisation de la règle de réduction de la surface d'attaque "Block all Office applications from creating child processes" empêche l'exploitation de la vulnérabilité
• Les organisations qui ne peuvent pas bénéficier de ces protections peuvent définir la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION pour éviter l'exploitation. Veuillez noter que si ces paramètres de registre permettent d'atténuer l'exploitation de ce problème, ils peuvent affecter le fonctionnement normal de ces applications, dans certains cas d'utilisation spécifiques.

Toutes les versions de Windows et Windows Server sont vulnérables.

D'autres articles au sujet des mises à jour pour Windows 10 et Windows 11 vont arriver dans la journée !

Source

The post Patch Tuesday – Juillet 2023 : 132 failles de sécurité corrigées, dont 6 failles zero-day ! first appeared on IT-Connect.

De nouvelles mises à jour cumulatives pour Windows 10 sont disponibles pour tout le monde : KB5028166 et KB5028168, selon la version de Windows 10. Quels sont les changements ?

Au-delà des correctifs de sécurité contenus dans le Patch Tuesday de ce mois-ci, cette mise à jour va aussi corriger quelques bugs sur le système. Pour en savoir plus sur les changements apportés par Microsoft, il faut se référer à ce document. Tout d'abord, Microsoft a introduit des nouveautés et améliorations pour Microsoft Defender for Endpoint. A cela s'ajoute :

• Cette mise à jour ajoute la possibilité de partager des cookies entre le mode Internet Explorer de Microsoft Edge et le navigateur Microsoft Edge lui-même en mode natif.
• Toujours sur le mode IE de Microsoft Edge, dans certains cas le site ne passe pas en mode Internet Explorer. Microsoft a résolu le problème.
• La mise à jour résout un problème intermittent qui affecte les flux audio (arrêt brutal du flux audio).
• Cette mise à jour résout un problème connu qui affecte les profils d’appareils en mode kiosque. Si vous avez activé l’ouverture de session automatique, cela risque de ne pas fonctionner, lorsque le provisionnement est fait avec Autopilot.

Puis, Microsoft a aussi corrigé des problèmes un peu plus spécifiques :

• La mise à jour corrige une fuite de mémoire dans MSCTF.dll (lorsque le focus est modifié dans les contrôles d’édition)
• Cette mise à jour résout un problème qui affecte NCryptGetProperty(). Lorsque vous l’appelez avec NCRYPT_KEY_TYPE_PROPERTY, le système retourne 0x1 au lieu de 0x20. Cela se produit lorsque la clé est une clé de machine.
• La mise à jour résout un problème aléatoire qui affecte svchost.exe. Il y a une croissance significative de la mémoire dans un système. Cela se produit lorsque svchost.exe contient le service de journalisation de l’accès utilisateur (UALSVC).
• La mise à jour résout un problème qui affecte win32kfull.sys. Il déréférence une entrée de file d’attente déjà libérée. Cela provoque une erreur d’arrêt.
• Cette mise à jour résout un problème qui affecte un pilote tib.sys . Il ne se charge pas. Cela se produit lorsque l’intégrité du code protégée par hyperviseur (HVCI) est activée.

Utilisez le lien ci-dessous pour avoir toute la liste des changements.

Windows 10 : les KB de Juillet 2023

Voici un résumé des mises à jour publiées le mardi 11 juillet 2023 par Microsoft :

• Windows 10 versions 21H1, 21H2 et 22H2 : KB5028166
• Windows 10 version 20H2 : Fin du support
• Windows 10 version 2004 : Fin du support
• Windows 10 version 1909 : Fin du support
• Windows 10 version 1903 : Fin du support
• Windows 10 version 1809 : KB5028168
• Windows 10 version 1803 : Fin du support
• Windows 10 version 1709 : Fin du support
• Windows 10 version 1703 : Fin du support
• Windows 10 version 1607 : KB5028169
• Windows 10 version 1507 : KB5028186

Comme à chaque fois, les mises à jour mentionnées ci-dessus sont disponibles via plusieurs canaux : Windows Update, WSUS, etc. À partir d'une machine locale, une recherche à partir de Windows Update permettra de récupérer la nouvelle mise à jour.

• Patch Tuesday - Juillet 2023 : 132 failles de sécurité corrigées, dont 6 zero-day !

The post Mise à jour Windows 10 de juillet 2023 : KB5028166, quoi de neuf ? first appeared on IT-Connect.

Ce mercredi 12 juillet 2023, l'événement Amazon Prime Day se poursuit ! Jusqu'à ce soir minuit, les offres vont continuer à être nombreuses sur le site Amazon ! Voici une sélection de quelques offres...

Pensez à consulter cet article pour accéder à d'autres offres repérées hier matin et qui restent valides encore pour aujourd'hui ! A cela, on peut ajouter cette promotion sur la serrure connectée Nuki à l'occasion de l'événement Amazon Prime Day.

Informatique

Apple MacBook Air 2020

Si vous recherchez un MacBook Air avec une puce fabriquée par Apple, c'est peut-être le moment de se laisser tenter ! Même s'il s'agit d'un modèle de 2020, la configuration est plutôt sympathique : Puce M1, 8 Go de RAM, 256 Go de stockage et un écran Retina de 13 pouces ! L'offre du jour : 929 euros !

• Voir l'offre sur Amazon

Intel Core i5-12400F

Le processeur Core i5 est une valeur sûre, et le modèle i5-12400F, assez récent puisqu'il est de la 12ème génération, propose une configuration intéressante : une fréquence de base à 2,5 GHz (et jusqu'à 4,40 GHz), 6 coeurs, 12 threads, 18 Mo de cache. Son prix passe à 147 euros alors qu'il est vendu plus de 170 euros habituellement.

• Voir l'offre sur Amazon

Logitech MX Anywhere 2S

La souris Logitech MX Anywhere 2S, que l'on peut connecter en Bluetooth ou via un dongle USB Unifying, intègre une batterie rechargeable et 7 boutons. Son prix passe à 34.99 euros alors qu'elle est plutôt vendu aux alentours de 45 euros en temps normal.

• Voir l'offre sur Amazon

Invision Support Écran PC

Ce support pour deux écrans de PC, de 19 à 32 pouces et équipé de deux bras avec un ressort à gaz que l'on peut régler en hauteur, incliner et pivoter. Il est compatible avec les écrans équipés d'un support VESA de 75 mm ou 100mm. Son prix : 48,86 euros au lieu de 74,99 euros !

• Voir l'offre sur Amazon

Dell Inspiron 15 3520

Ce PC portable Dell Inspiron est équipé d'un écran 15,6 pouces en Full HD, d'un processeur Intel Core i5-1135G7, de 8 Go RAM, d'un disque SSD de 256 Go et il tourne sous Windows 11 Famille. Son prix est cassé : 379 euros au lieu de 509 euros.

• Voir l'offre sur Amazon

Maison intelligente

eufy security, eufyCam 2C Pro

Les caméras de chez Eufy Security sont une valeur sûre, et ce pack, constitué d'une HomeBase de deuxième génération et de 4 caméras est très bien pour démarrer ! Il n'y a pas de frais cachés, car tous les enregistrements sont stockés sur la base. Une seule et même base peut gérer jusqu'à 16 caméras. Le modèle eufyCam 2C Pro est entièrement sans-fil (Wi-Fi + 180 jours d'autonomie sur batterie) et le capteur a une résolution de 2K, ce qui permet d'avoir une belle image.

Le tarif du pack jusqu'à ce soir minuit : 299,99 euros !

• Voir l'offre sur Amazon

Dreame L10s Ultra

Le Dreame L10s Ultra, c'est le robot le plus haut de gamme de chez Dreame ! C'est un excellent modèle, capable à la fois de laver (système basé sur deux serpillières rotatives) et d'aspirer (jusqu'à 5300 Pa) en un seul passage. Sa station de charge intègre aussi d'autres fonctions : vidage automatique des poussières et deux réservoirs d'eau pour laver les serpillières, de façon automatique. Autant vous dire que c'est un appareil autonome.

Jusqu'à ce soir minuit, il est proposé à 767,59 euros sur Amazon ! Habituellement, il est vendu un peu plus de 1 000 euros ! C'est clairement une très belle offre !

• Voir l'offre sur Amazon

The post Amazon Prime Day (suite) : sélection de bons plans high-tech du 12 juillet 2023 first appeared on IT-Connect.

Microsoft a mis en ligne de nouvelles mises à jour pour les deux versions majeures de Windows 11 ! Pour Windows 11 version 22H2, cette mise à jour est synonyme d'activation des nouvelles fonctionnalités Moment 3 ! A cela, s'ajoutent des correctifs de sécurité et de bugs.

Cette nouvelle mise à jour va activer les nouvelles fonctionnalités Moment 3 dans Windows 11 22H2. Désormais, tous les utilisateurs de Windows 11 vont pouvoir en profiter sans manipulation supplémentaire.

Si vous ne savez pas quelles sont les nouveautés, retrouvez la liste complète dans cet article déjà en ligne sur notre site.  On peut citer par exemple :

• Gestion de la confidentialité : ajout de paramètres pour autoriser ou bloquer l'accès au capteur de présence (fonction utilisée pour verrouiller/déverrouiller automatiquement la session)
• Amélioration de la barre des tâches et des notifications : ajout d'un nouvel icône qui viendra s'ajouter sur celui de la connexion réseau pour indiquer si un VPN est actif et d'un bouton pour copier les codes 2FA depuis les notifications. Il sera aussi possible de réactiver l'affichage des secondes en plus de l'heure
• Menu démarrer : l'icône de votre compte Microsoft pourra hériter d'un badge spécifique si vous devez prêter attention à point de sécurité spécifique sur votre compte Microsoft
• Fonction de sous-titrage en direct étendue à dix langues supplémentaires dans 21 régions, dont le français, l'espagnol, l'italien et l'allemand
• Etc.

Par ailleurs, Microsoft met en avant les corrections de bugs suivants :

• Cette mise à jour résout un problème qui affecte le clavier visuel à l'écran. Ce problème empêche le clavier de s'ouvrir après le verrouillage de l'ordinateur.
• Cette mise à jour résout un problème susceptible d'affecter votre ordinateur lorsque vous jouez à un jeu. Des erreurs de détection et de récupération du délai d'attente (TDR) peuvent se produire.
• Cette mise à jour résout un problème affectant certaines applications. Dans certains cas, un scintillement vidéo se produit.
• Cette mise à jour résout un problème affectant l'explorateur de fichiers (explorer.exe). Il cesse de fonctionner.
• Cette mise à jour résout un problème affectant certains écouteurs. Ils cessent de diffuser de la musique.
• Cette mise à jour corrige un problème affectant la section Recommandé du menu Démarrer. Lorsque vous cliquez avec le bouton droit de la souris sur un fichier local, celui-ci ne se comporte pas comme prévu.

Pour retrouver tous les détails, il faut se référer à cette page du site Microsoft, où l'on peut voir aussi que Microsoft Defender for Endpoind bénéficie de nouveautés, comme sur Windows 10.

Windows 11 : les mises à jour de juillet 2023

Voici la liste avec les deux mises à jour Windows 11 de juillet 2023 :

• Windows 11 22H2 : KB5028185
• Windows 11 21H2 : KB5028182

Les KB mentionnées pour Windows 11 ci-dessus sont disponibles via les canaux habituels, comme Windows Update, WSUS, etc.

Si vous souhaitez en savoir plus sur les nouveaux correctifs de sécurité de chez Microsoft, vous pouvez consulter cet article :

• Patch Tuesday Microsoft - Juillet 2023

Et pour les mises à jour Windows 10 :

• Mises à jour Windows 10 de Juillet 2023

Source

The post Mises à jour Windows 11 de juillet 2023 : KB5028185 et KB5028182, quoi de neuf ? first appeared on IT-Connect.

Au sein de son Patch Tuesday de juillet 2023, Microsoft évoque une faille de sécurité non patchée à ce jour et qui s'avère pourtant redoutable ! Dernièrement, des pirates ont tenté d'exploiter cette vulnérabilité pour cibler les participants au sommet de l'OTAN !

Même si Microsoft a mis en ligne de nouvelles mises à jour de sécurité pour Windows, Windows Server et d'autres de ses produits comme Microsoft Office, la faille de sécurité zero-day CVE-2023-36884 n'est pas corrigée à l'heure où ces lignes sont écrites.

Un attaquant non authentifié sur la machine cible peut exploiter cette vulnérabilité à distance à partir d'un document Office malveillant dans le but d'exécuter du code à distance sur la machine. Le bulletin de sécurité de Microsoft précise : "Un pirate peut créer un document Microsoft Office spécialement conçu pour lui permettre d'exécuter un code à distance dans le contexte de la victime. Cependant, il doit convaincre la victime d'ouvrir le fichier malveillant."

Dans un article plus complet qui évoque cette vulnérabilité et les campagnes d'attaques associées, Microsoft explique qu'au mois de juin dernier, les cybercriminels ont visé des organisations participant au sommet de l'OTAN à Vilnius, en Lituanie. Cet événement important a débuté hier et se termine aujourd'hui.

Pour cela, les cybercriminels ont mis en place une campagne de phishing en imitant l'identité du Congrès mondial ukrainien dans le but d'infecter les machines avec une porte dérobée présentant des similitudes avec RomCom. Parmi les destinataires de cette campagne, il y avait des entités gouvernementales et de défense d'Europe et d'Amérique du Nord. Voici un exemple d'e-mail :

À l'origine de cette attaque, un groupe de cybercriminels nommé RomCom, basé en Russie, et qui est adepte des attaques par ransomware, mais qui effectue aussi de la collecte de données, probablement dans le cadre de missions de renseignements.

Comment se protéger de cette faille de sécurité ?

Comme je le disais en introduction, il n'y a pas encore de correctif pour cette faille de sécurité, que faire ?

En attendant, Microsoft propose des mesures d'atténuation détaillées dans cet article. Voici ce que l'on peut lire :

• Les clients qui utilisent Microsoft Defender pour Office 365 sont protégés contre les pièces jointes qui tentent d'exploiter la CVE-2023-36884.
• Dans les chaînes d'attaque actuelles, l'utilisation de la règle de réduction de la surface d'attaque "Block all Office applications from creating child processes" empêche l'exploitation de la vulnérabilité
• Les organisations qui ne peuvent pas bénéficier de ces protections peuvent définir la clé de registre FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION pour éviter l'exploitation. Veuillez noter que si ces paramètres de registre permettent d'atténuer l'exploitation de ce problème, ils peuvent affecter le fonctionnement normal de ces applications, dans certains cas d'utilisation spécifiques.

Toutes les versions de Windows, Windows Server et Microsoft Office sont vulnérables à cette faille de sécurité.

A suivre (de près).

The post La faille zero-day non corrigée dans Windows utilisée pour cibler le sommet de l’OTAN first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment protéger les données d'un NAS Synology contre les ransomwares et les différents actes malveillants.

Pour atteindre cet objectif, nous allons utiliser les nouvelles fonctionnalités du système DSM 7.2, ce dernier étant le système propriétaire de Synology. En effet, il intègre des fonctionnalités pour rendre le stockage immuable, c'est-à-dire que l'on va pouvoir écrire les données une seule fois et les lire plusieurs fois (WORM : Write Once, Read Many). Autrement dit, les données ne peuvent pas être supprimées ni modifiées. Ceci signifie que les données ne pourront pas être chiffrées par un ransomware. Même en tant qu'administrateurs du NAS, nous ne pourrons pas supprimer ces données !

• Voir la vidéo sur YouTube

DSM 7.2 intègre deux fonctionnalités pour le stockage immuable :

• Les instantanés immuables, ou snapshots immuables si vous préférez - Ce qui fait l'objet de cette démonstration
• La fonctionnalité WriteOnce pour rendre immuables les données sur un partage de fichiers stocké sur le NAS

Au-delà d'avoir un NAS Synology qui tourne sous DSM 7.2, vous devez aussi utiliser un modèle compatible avec ces nouvelles fonctionnalités et le volume de votre NAS doit utiliser le système de fichiers Btrfs.

Quelques liens utiles :

• Comment installer DSM 7.2 sur son NAS Synology ?
• Snapshots immuables et WriteOnce : les NAS compatibles

En ce qui me concerne, j'utilise le modèle suivant : Synology DS220+.

II. Snapshots immuables : quel intérêt ?

Sur votre NAS, vous disposez surement de plusieurs partages ou LUN, en fonction de l'usage que vous faites de cet espace de stockage réseau. Quoi qu'il en soit, votre NAS contient des données, que ce soit des sauvegardes, des machines virtuelles, des sources d'installations, les fichiers des utilisateurs de votre entreprise ou encore des fichiers multimédias si vous en faites un usage personnel. Le NAS peut assumer un rôle différent au sein d'une infrastructure.

Si vous êtes victime d'une cyberattaque (de type ransomware, par exemple), les données de votre NAS peuvent être chiffrées (voire même effacées). Et là, c'est le drame.... Si vous n'avez pas sauvegardé les données de votre NAS, vous risquez de tout perdre. Dans le même esprit, si vos serveurs sont chiffrés et que le NAS qui stocke vos sauvegardes est chiffré à son tour, vous êtes dans une situation embarrassante.

• Sauvegarder les données de son NAS dans Azure

Depuis plusieurs années, DSM intègre une fonction de snapshots (ou instantanés en français), ce qui permet de prendre une photo de vos données à un instant t. Si un fichier est supprimé par erreur, ou qu'il est modifié (chiffré, par exemple), il est possible de le restaurer à partir d'un snapshot existant.

Seulement, ces snapshots peuvent être supprimées à partir de l'interface de DSM, et le partage qui contient les données peut être supprimé à son tour. Enfin, c'était vraiment avant, mais ce n'est plus forcément vrai aujourd'hui...

Grâce à la nouvelle fonctionnalité de snapshots immuables :

• Un snapshot immuable ne peut pas être supprimé pendant la période de rétention, y compris par un administrateur
• Un partage protégé par un snapshot immuable ne peut pas être supprimé

Ainsi, si un ransomware chiffre les données de votre espace de stockage, vous êtes certain de pouvoir restaurer les données à partir du snapshot immuable car ce dernier ne peut pas être altéré.

III. Installer le paquet Snapshot Replication

Tout d'abord, connectez-vous à l'interface de DSM pour installer le paquet "Snapshot Replication" à partir du "Centre de paquets". Sans ce paquet, il ne sera pas possible de créer des snapshots immuables sur votre NAS.

Quand c'est fait, passez à la suite.

IV. Configurer les snapshots immuables

Ouvrez l'application Snapshot Replication sur DSM. Un avertissement s'affiche à la première connexion, cliquez sur "OK". La première étape consiste à cliquer sur l'élément que vous souhaitez protéger avec des snapshots immuables : soit un dossier partagé, soit un LUN. La configuration est à effectuer pour chaque élément de façon indépendante. Vous pouvez aussi faire un dossier partagé "demo" pour faire des tests.

Dans cet exemple, le répertoire partagé "IT-Connect" présent sur le NAS doit être protégé par des instantanés immuables.

Pour créer un instantané, qu'il soit immuable ou non, il y a deux options :

• Prendre un instantané unique, là, maintenant
  • Procédure : Instantanés > Prendre un instantané > Effectuer la configuration
• Configurer la planification pour prendre un instantané à intervalle régulier, selon un calendrier précis
  • Procédure : Paramètres > Effectuer la configuration

Pour la suite de cet article, j'ai pris l'option planification afin de créer un instantané immuable quotidien sur mon partage "IT-Connect". Après avoir cliqué sur le partage dans la liste, on doit cliquer sur "Paramètres".

Ici, il y a plusieurs options à configurer :

• "Activer le calendrier d'instantané" pour choisir la fréquence à laquelle vous souhaitez créer un instantané (une fois par jour, toutes les heures, toutes les 2 heures, etc.) et à quelle heure.
• Activer l'option "Instantanés immuables" pour empêcher la suppression de cet instantané pendant une durée de X jours, ici 14 jours dans cet exemple.

Puis, dans l'onglet "Conservation", vous devez configurer la politique de rétention des snapshots immuables. Sinon, ils ne seront jamais supprimés. Vous avez le choix entre une stratégie basée sur un nombre de snapshots, un nombre de jours ou un mode avancé qui reprend le principe d'archivage GFS. Attention à l'espace de stockage consommé...

Dans cet exemple, les snapshots seront conservés pendant 14 jours, ce qui signifie que chaque snapshot sera immuable tout au long de sa période de conservation.

Une fois que c'est fait, cliquez sur "OK" pour valider. Ces paramètres sont modifiables par la suite.

Note : si vous passez la période de protection des snapshots immuables de 14 jours à 7 jours (par exemple...), cela n'impactera pas la durée de verrouillage des snapshots immuables existants.

Il ne reste plus qu'à attendre que le prochain snapshot immuable planifié soit créé.

V. Peut-on supprimer un snapshot immuable ?

Voilà, nous sommes le lendemain, il y a bien un premier instantané immuable sur le partage "IT-Connect". Au-delà de vérifier la présence de cet instantané, on peut se poser la question suivante : peut-on supprimer ce snapshot immuable ? D'après mes propos en introduction, la réponse est non en principe.

Pour lister les snapshots d'un partage (ou d'un LUN), il faut :

Ouvrir l'application Snapshot Replication, sélectionner le partage dans la liste et cliquer sur "Instantané" puis "Liste d'instantané". Deux éléments attirent mon attention (et ils sont rassurants) sur cette interface (visible ci-dessous) :

• Le bouton "Supprimer" est grisé, ce qui m'empêche de supprimer le snapshot alors que je suis connecté à DSM avec un compte "super-administrateur"
• La colonne "Instantanés immuables" contient un bouclier qui indique la présence d'un verrouillage pour une durée restante de 13 jours et 16 heures (le décompte a commencé à 14 jours d'après notre configuration).

Visiblement, le snapshot est bien immuable, ce qui est une bonne nouvelle.

Pour ruser un peu, on pourrait essayer de supprimer le dossier partagé directement. Toutefois, ce n'est pas possible ! Là encore, DSM empêche la suppression avec le message suivant : "Impossible d'effectuer cette opération car certains dossiers partagés contiennent des instantanés immuables."

D'ailleurs, en ligne de commande à partir d'un accès SSH, même constat : impossible de supprimer le répertoire partagé, ni même le snapshot immuable (dans le doute, j'ai fait mes tests sur un autre dossier partagé nommé "DEMO" et configuré de la même façon).

Par contre, le contenu du répertoire peut être supprimé, que ce soit via DSM, la ligne de commande ou un accès distant, c'est logique. Le dossier partagé n'est pas immuable, c'est le snapshot qui est immuable.

VI. Conclusion

Sans aucun doute, la fonctionnalité de Snapshots immuables intégrée à DSM 7.2 apporte une protection supplémentaire efficace aux données stockées sur votre NAS. Que ce soit sur un espace partagé qui stocke des données de production ou des sauvegardes, cette méthode est applicable.

Si les données du partage sont chiffrées, il sera possible de les restaurer en quelques clics, via l'application Snapshot Replication.

Même si les données peuvent être chiffrées ou supprimées, vous avez la certitude de pouvoir les restaurer grâce à ces instantanés qui, eux, ne peuvent pas être supprimés. Pour rendre les données d'un dossier partagé immuable, utilisez la fonction WriteOnce. Celle-ci s'active sur un dossier partagé (au moment de la création).

The post NAS Synology : protégez vos données des ransomwares avec les snapshots immuables first appeared on IT-Connect.

L'histoire se répète : Fortinet a mis en ligne une nouvelle alerte de sécurité pour FortiOS et FortiProxy au sujet d'une faille de sécurité critique ! Une alerte relayée aussi par l'agence américaine CISA. Faisons le point.

Découverte par l'entreprise Watchtowr, cette vulnérabilité critique est associée à la référence CVE-2023-33308 et elle hérite d'un score de CVSS v3 de 9.8 sur 10.

En exploitant cette faille de sécurité, un attaquant peut exécuter du code à distance sur l'équipement Fortinet (un firewall Fortigate, par exemple) afin d'en prendre le contrôle. D'ailleurs, c'est clairement précisé dans l'alerte de la CISA : "Un attaquant distant peut exploiter cette vulnérabilité pour prendre le contrôle d'un système affecté."

Il s'agit d'une vulnérabilité de type stack-based overflow, que l'attaquant peut exploiter à distance en envoyant des paquets spécifiques à destination de l'équipement Fortinet. Ensuite, c'est au moment où ces paquets seront traités par les règles de firewall ou de proxy que l'exploitation pourra avoir lieu. Ceci est possible dans certaines conditions comme l'explique Fortinet dans son bulletin de sécurité.

Quelles sont les versions vulnérables ?

En ce qui concerne les versions vulnérables à cette faille de sécurité, voici la liste :

• FortiOS versions 7.2.0 à 7.2.3
• FortiOS versions 7.0.0 à 7.0.10
• FortiProxy versions 7.2.0 à 7.2.2
• FortiProxy versions 7.0.0 à 7.0.9

Comment se protéger ?

Une mise à jour est déjà disponible depuis plusieurs semaines, même si le bulletin de sécurité vient d'être mis en ligne récemment. Pour vous protéger, vous devez mettre à jour le système FortiOS ou FortiProxy de votre équipement vers l'une des versions suivantes :

• FortiOS version 7.4.0 ou une version plus récente
• FortiOS version 7.2.4 ou supérieure
• FortiOS version 7.0.11 ou supérieure
• FortiProxy version 7.2.3 ou supérieure
• FortiProxy version 7.0.10 ou supérieure

La bonne nouvelle, c'est que vous êtes peut-être déjà protégé ! En effet, si vous avez déjà mis à jour votre firewall Fortigate suite à la découverte de la faille de sécurité dans la fonction VPN-SSL (CVE-2023-27997), vous devriez déjà être dans une version supérieure à celles citées ci-dessus. Sinon, vous avez maintenant une raison de plus de passer à l'action...

Ne partez pas en vacances sans mettre à jour votre matos Fortinet !

The post Fortinet émet une alerte pour une nouvelle faille de sécurité critique dans FortiOS et FortiProxy first appeared on IT-Connect.