Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 11 juin 2024IT-Connect

Serveur web : installation et configuration de Caddy sur Debian 12

11 juin 2024 à 14:00

I. Présentation

Comment déployer le serveur web Caddy sur une machine Linux ? Ce tutoriel répond à cette question, car nous allons installer et configurer Caddy sur Debian 12 ! Nous verrons quelques options de configuration, ainsi que l'ajout de PHP-FPM, pour vous permettre de faire vos premiers pas avec Caddy.

Qu'est-ce que Caddy Web Server ?

Écrit en Go, Caddy est un serveur web open source créé par ZeroSSL. Il représente une alternative aux autres serveurs Web, notamment Apache2 et Nginx que vous connaissez probablement. Vous pouvez utiliser ce lien pour accéder au site officiel.

Voici quelques caractéristiques clés pour décrire Caddy :

  • Caddy prend en charge le HTTPS automatique, c'est-à-dire qu'il va obtenir un certificat TLS automatiquement pour votre site Web. Ce certificat TLS valide est obtenu auprès de Let's Encrypt et sera renouvelé automatiquement. Possibilité d'avoir du HTTPS sur localhost également, grâce à une autorité de certification locale. C'est un gros point positif pour ce serveur Web.
  • Son fichier de configuration Caddyfile peut-être rédigé en mode déclaratif ou au format JSON. ll y a ce que Caddy appelle des "Config Adapter" permettant la prise en charge de différents formats : une configuration rédigée au format Nginx sera interprétée par Caddy.
  • Son API native sert à gérer la configuration du serveur web.
  • Caddy est rapide à installer et à configurer pour publier un simple site web.
  • Caddy peut gérer plusieurs sites web, avec un système de "virtual hosts" par nom de domaine et port.
  • Caddy peut jouer le rôle de reverse proxy.

Si vous souhaitez également vous intéresser à d'autres serveurs, voici nos tutoriels :

II. Installer Caddy sur Debian

Nous allons commencer par installer Caddy sur notre machine Debian. La configuration réseau de celle-ci a été préparée en amont.

Commençons par installer des paquets nécessaires à la suite des opérations, notamment pour ajouter le dépôt sur lequel se situe le paquet d'installation de Caddy.

sudo apt update
sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https curl

Puis, ajoutons le dépôt en question après avoir récupéré sa clé GPG :

curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | sudo tee /etc/apt/sources.list.d/caddy-stable.list

Nous n'avons plus qu'à mettre à jour le cache des paquets et à installer le paquet "caddy" en lui-même.

sudo apt update
sudo apt install caddy

Ces étapes sont celles présentées dans la documentation officielle. Vous pouvez vous référer à cette page pour obtenir les instructions pour d'autres distributions.

Systemctl peut gérer le service Caddy et nous allons pouvoir activer son démarrage automatique.

sudo systemctl enable caddy
sudo systemctl start caddy

Dès à présent, nous devons pouvoir accéder à la page par défaut de Caddy. Suite à l'installation, il est actif sur le port 80 en HTTP.

http://<adresse IP du serveur>
http://<Nom de domaine>

Voici la page obtenue :

Pour connaître la version de Caddy, voici la commande à exécuter :

caddy version
v2.7.6 h1:w0NymbG2m9PcvKWsrXO6EEkY9Ru4FJK8uQbYcev1p3A=

Remarque : il y a un jeu de commandes complet associé à la commande "caddy" en elle-même.

L'installation étant terminée, nous allons aborder la configuration de Caddy dans la suite de l'article.

III. Créer sa première configuration Caddy

Comment configurer un premier site web sur Caddy ? Bonne question. Ici, notre objectif sera de configurer le serveur web pour héberger le site "webcad.it-connect.tech" : un enregistrement DNS public a été créé au préalable, ce qui va permettre à Caddy d'obtenir un certificat TLS pour ce site.

A. Configurer le Caddyfile

En mode texte, la configuration de Caddy passe par l'édition du fichier "/etc/caddy/Caddyfile". Dans ce fichier, un ou plusieurs sites web peuvent être déclarés et configurés.

sudo nano /etc/caddy/Caddyfile

Voici le contenu par défaut de ce fichier. Nous retrouvons bien l'instruction ":80" indiquant que Caddy écoute sur le port 80 par défaut, sur son adresse IP et pour tous les noms de domaine éventuel.

Fichier de configuration par défaut de Caddy Web Server

Avant de vous présenter la configuration à définir, quelques explications s'imposent :

  • La directive "root" sert à indiquer la racine du site web, c'est-à-dire le chemin vers le répertoire qui contient les fichiers du site web.
  • La directive "file_server" sert à activer la distribution des fichiers statiques (fichiers HTML, par exemple) pour ce site web.
  • La directive "encode" sert à activer la compression pour délivrer les fichiers statiques, en activant Zstandard et Gzip (l'ordre est important pour prioriser un algorithme de compression).

Ce qui donne :

webcad.it-connect.tech {
        # Racine du site web
        root * /var/www/webcad

        # Activer la compression Zstandard et Gzip
        encode zstd gzip

        # Activer la distribution de fichiers statiques
        file_server
}

Enregistrez le fichier.

Avant de redémarrer Caddy, créez le dossier du site web et attribuez l'utilisateur "caddy" comme propriétaire :

mkdir -p /var/www/webcad
chown caddy:caddy /var/www/webcad

Puis, créez une page web à la racine du site. Pour ma part, j'ai créé le fichier "/var/www/webcad/index.html" avec le contenu suivant :

<html>
<head>
</head>
<body>
<h1>Caddy - IT-Connect</h1>
</body>
</html>

Redémarrez Caddy :

sudo systemctl restart caddy

Sachez que nous pouvons demander à Caddy de vérifier le fichier de configuration avant de redémarrer le service. Ici, comme nous utilisons le fichier "Caddyfile", nous allons utiliser l'Adapter du même. Ce qui donne la commande suivante :

caddy validate --adapter caddyfile --config /etc/caddy/Caddyfile

Désormais, testons ! Le site Web est accessible en HTTPS ! Le certificat TLS est valide, et pourtant, je n'ai pas fait la moindre manipulation ! Caddy a géré seul la partie certificat et il prend en charge aussi la redirection HTTP vers HTTPS.

Serveur Web Caddy avec HTTPS automatique

Dans la suite de cet article, nous allons découvrir des directives supplémentaires et peauffiner notre configuration. En complément, voici le lien vers la documentation officielle :

B. Configurer le logs de Caddy

Comme pour tout système, la journalisation des accès et des erreurs est importante. C'est pourquoi nous allons configurer notre serveur Caddy pour qu'il journalise les actions associées au site "webcad.it-connect.tech". Ceci passe par l'utilisation de la directive "log" qui elle-même accepte différentes options.

Voici le code à ajouter (sous la partie "# Logging") :

webcad.it-connect.tech {
        # Racine du site web
        root * /var/www/webcad

        # Activer la distribution de fichiers statiques
        file_server

        # Activer la compression Zstandard et Gzip
        encode zstd gzip

        # Logging
        log {
                output file /var/log/caddy/access.log {
                        roll_size 1gb
                        roll_keep 5
                        roll_keep_for 720h
                }
        }

}

Pour que vous puissiez mieux comprendre ces lignes, voici quelques explications :

  • Le fichier de log utilisé par Caddy sera "/var/log/caddy/access.log". Caddy gère un seul fichier de log pour les accès et les erreurs, contrairement à Apache2 où nous avons l'habitude d'avoir "access.log" et "error.log".
  • roll_size : taille d'un fichier de log avant de créer un nouveau fichier (sans supprimer l'ancien le plus récent - dépend de la suite de la configuration).
  • roll_keep : nombre de fichiers de logs à conserver sur le serveur.
  • roll_keep_for : durée de conservation des fichiers de logs (en heures).

Il est à noter que par défaut, les logs sont au format JSON. Ceci n'est pas habituel, mais rend les logs facilement "parsables".

C. Ajouter PHP-FPM à Caddy

Lors de la mise en place d'un serveur web, il est très fréquent d'ajouter un moteur PHP. Caddy prend en charge PHP, et nous allons pouvoir installer PHP-FPM comme nous l'avions fait avec Apache2 (Tutoriel : Apache2 et PHP-FPM).

Nous devons installer le paquet PHP-FPM, dans la version de notre choixi. Ici, pour PHP 8.2.

sudo apt-get install php8.2-fpm

Puis, nous devons éditer le fichier "Caddyfile" pour que Caddy s'appuie sur PHP-FPM pour exécuter les scripts PHP. Voici la ligne à ajouter :

webcad.it-connect.tech {
        # Racine du site web
        root * /var/www/webcad

        # Activer la distribution de fichiers statiques
        file_server

        # Activer la compression Zstandard et Gzip
        encode zstd gzip

        # Utiliser PHP-FPM
        php_fastcgi unix//run/php/php-fpm.sock

        # Logging
        log {
                output file /var/log/caddy/access.log {
                        roll_size 1gb
                        roll_keep 5
                        roll_keep_for 720h
                }
        }

}

Enregistrez le fichier et redémarrez Caddy. Pour vérifier la configuration, nous pouvons créer la page PHP de notre choix. Par exemple, nous pouvons - temporairement - créer une page "/var/www/webcad/caddyphp.php" pour afficher les informations sur la configuration de PHP active sur notre serveur.

<?php

phpinfo();

?>

Puis, nous pouvons accéder à cette page :

PHP est bien intégré à Caddy sinon la page ne s'afficherait pas correctement. Il ne reste plus qu'à personnaliser la configuration et à installer les modules PHP nécessaires en fonction du projet que vous cherchez à déployer.

Remarque : Caddy est le serveur Web utilisé par FrankenPHP, une implémentation du PHP.

D. Activer l'Explorateur de fichiers de Caddy

Pour finir, nous allons aborder une fonctionnalité de Caddy plutôt original : l'explorateur de fichiers intégré. En effet, il s'agit d'un explorateur de fichiers moderne bien loin de ce qui est proposé par Apache2.

Pour l'activer, la directive "file_server" doit être configurée en mode "browse" dans le fichier Caddyfile. Nous devons aussi ajouter la directive "hide" pour masquer certains fichiers : il ne faudrait pas que l'explorateur de fichiers permettent de lire le contenu éventuel d'un fichier PHP !

        # Enable the static file server.
        file_server browse {
                hide *.php
        }

Une fois que c'est fait, il suffit de redémarrer Caddy et d'accéder à notre serveur Web. Dans le cas présent, j'ai déposé des fichiers textes et une image dans le répertoire "/docs/" du site web. Voici ce que ça donne :

Nous pouvons prévisualiser les images (de quoi créer facilement une galerie) et le fait de cliquer sur un fichier texte l'ouvre dans un nouvel onglet. Une fonctionnalité à utiliser avec parcimonie et à bien configurer, car elle peut exposer des données sensibles (un fichier de configuration, par exemple).

IV. Conclusion

Ce tutoriel d'introduction à Caddy touche à sa fin ! Nous avons vu comment effectuer l'installation de ce serveur web sur Debian 12, puis nous avons mis en place notre première configuration. La gestion automatique du HTTPS est un gros plus pour Caddy, ce qui évite de gérer Let's Encrypt soi-même que ce soit avec ACME ou Certbot.

Habitué à configurer Apache2 depuis de nombreuses années, et de temps à autre Nginx et IIS, j'avoue que j'étais un peu perdu au moment de faire mes premiers pas avec Caddy. Comme pour tout service, il faut du temps pour comprendre son fonctionnement : la documentation est une aide précieuse. La communauté ne semble pas encore très importante, contrairement à Apache2 ou Nginx où l'on trouve de nombreux articles, posts sur les forums, etc... Ceci devrait s'améliorer avec le temps : Caddy est un projet mature et très intéressant qui mérite qu'on s'intéresse à lui.

N'hésitez pas à commenter cet article pour poser vos questions et partager votre avis sur Caddy.

The post Serveur web : installation et configuration de Caddy sur Debian 12 first appeared on IT-Connect.

Apple lance son IA baptisée « Apple Intelligence », en partenariat avec OpenAI

11 juin 2024 à 07:12

Apple Intelligence, c'est le nom de l'intelligence artificielle d'Apple dédiée à tout l'écosystème de la marque ! C'est désormais officiel, Apple lance son IA et va tenter de rattraper son retard sur la concurrence. Faisons le point sur cette annonce.

À l'occasion de sa keynote WWDC24, Apple a dévoilé plusieurs nouveautés et fait plusieurs annonces importantes, dont le système d'exploitation iOS 18, la mise en vente de son casque Apple Vision Pro en France à partir du 12 juillet 2024, mais aussi et surtout Apple Intelligence, l'IA d'Apple.

Apple établit un partenariat avec OpenAI pour son IA

Derrière le nom "Apple Intelligence" se cache un partenariat entre Apple et OpenAI, l'entreprise à l'origine de ChatGPT. Ainsi, le modèle de langage d'OpenAI va être intégré à Siri, qui devrait être beaucoup plus pertinent et puissant, ainsi qu'aux autres applications. Au même titre que ChatGPT, Siri va pouvoir s'appuyer sur le modèle de langage le plus récent d'OpenAI : GPT-4o.

Si l'assistant vocal juge qu'il peut obtenir une réponse plus précise en sollicitant ChatGPT, alors il va vous demander la permission avant de procéder à l'interrogation de l'IA. "Siri peut se servir des connaissances de ChatGPT lorsque c’est utile.", précise Apple.

L'arrivée de l'IA va permettre aux utilisateurs d'appareils Apple de bénéficier de fonctions de réécriture de texte (reformuler un e-mail, par exemple), de synthèse de documents, et elle pourra aussi créer des diaporamas personnalisés ainsi que des images. Ces fonctions seront intégrées directement à l'interface des OS d'Apple.

Apple Intelligence ChatGPT

Apple Intelligence sera mis à disposition gratuitement des utilisateurs d'iOS 18, d'iPadOS 18 et de macOS Sequoia. Autrement dit, ce sera gratuit sur les versions les plus récentes des systèmes Apple, qui viennent d'être présentées. En complément, Apple devrait aussi proposer des abonnements payants pour rendre accessible l'IA à un maximum d'utilisateurs, à condition de passer à la caisse. De plus, les abonnés à ChatGPT Plus pourront se connecter à leur compte directement à partir de leur appareil Apple.

La confidentialité des données avec l'IA Apple Intelligence

Dans son communiqué de presse, Apple évoque aussi la confidentialité de cette IA. Comme à son habitude, la firme de Cupertino cherche à garder la maitrise de son environnement, donc ses propres serveurs avec des puces Apple seront utilisés pour les traitements dans le Cloud : "Grâce à Private Cloud Compute, Apple établit une nouvelle norme de confidentialité dans l’IA, avec la possibilité d’adapter et de faire évoluer la capacité de calcul entre le traitement sur l’appareil et les modèles plus larges qui s’exécutent sur des serveurs dédiés alimentés par des puces Apple."

Apple explique également que de nombreuses demandes pourront être traitées en local, sur l'appareil en lui-même. Il n'y a que pour les tâches complexes nécessitant plus de puissance de traitement qu'Apple Intelligence sollicitera le Private Cloud Compute d'Apple. "Ces modèles fonctionnent sur des serveurs alimentés par les puces Apple, fournissant une base qui permet à Apple de s'assurer que les données ne sont jamais conservées ou exposées.", peut-on lire.

Avec son IA, Apple mise sur la sécurité des échanges et des données afin de protéger ses utilisateurs, mais aussi les rassurer. D'ailleurs, la firme de Cupertino précise vouloir proposer une IA en laquelle les utilisateurs peuvent avoir confiance.

Quand sera disponible Apple Intelligence ?

Une première version de l'IA Apple Intelligence sera disponible aux États-Unis durant l'été 2024. Néanmoins, elle ne sera pas disponible en France aussi rapidement et il faudra attendre encore plusieurs mois avant de pouvoir en profiter. Par ailleurs, ceci est conditionné à l'utilisation d'iOS 18, d'iPadOS 18 et de macOS Sequoia.

Qu'en pensez-vous ?

Source

The post Apple lance son IA baptisée « Apple Intelligence », en partenariat avec OpenAI first appeared on IT-Connect.

Bon plan – Le mini PC Geekom Air 12 à moins de 250 euros !

10 juin 2024 à 23:00

À l'occasion de son 21ème anniversaire, Geekom propose une réduction de 50 euros sur son mini PC Geekom Air 12 ! Voici ce qu'il faut savoir sur cette offre et ce modèle à moins de 250 euros !

Chez Geekom, la série de mini PC "Air" correspond à des modèles avec un processeur Intel conçu pour faire tourner les applications du quotidien, en particulier pour la bureautique, tout en proposant un très bon rapport qualité/prix.

50 euros de remise sur le Geekom Air 12

Avec le code "it50air12" obtenez 50 euros de réduction immédiate sur le mini PC Geekom Air 12 en passant par le site officiel de Geekom ! Son prix passe de 299,00 euros à 249,00 euros !

Il est expédié directement depuis l'Europe (Allemagne) et la livraison est effectuée en quelques jours. Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.

Les caractéristiques du modèle Geekom Air 12

Le Geekom Mini Air 12 embarque un processeur Intel Alder Lake N100 (12 ème génération - 4 coeurs - 4 threads), de 16 Go de RAM (DDR5) et 512 Go de stockage SSD (M.2 2280 - Gen3x4). La RAM ne peut pas être augmentée, car il s'agit de la capacité maximale supportée par ce CPU.

Parlons de la connectique en commençant par la connectivité sans-fil. Ce mini PC est équipé du Wi-Fi 6 et du Bluetooth 5.2. De plus, il intègre un total de 5 ports USB dont 2 ports USB-C ainsi qu'une interface réseau 1 GbE, un port HDMI 2.0 et un port mini DisplayPort 1.4. Au total, ce modèle peut gérer jusqu'à 3 écrans. Grâce à son support VESA, ce boitier peut être accroché à l'arrière d'un écran ou sur un support compatible.

Le Geekom Air 12 est livré avec le système d'exploitation Windows 11 Pro, que vous pouvez remplacer bien entendu. Une belle configuration pour moins de 250 euros !

Voici un aperçu complet de sa connectique :

Connectique Geekom Air12

Vous recherchez un modèle plus puissant ? Regardez nos tests de mini PC Geekom :

The post Bon plan – Le mini PC Geekom Air 12 à moins de 250 euros ! first appeared on IT-Connect.

Veeam Backup Enterprise Manager : un exploit PoC a été publié pour une faille de sécurité critique !

11 juin 2024 à 06:00

Vous utilisez Veeam Backup & Replication ainsi que Veeam Backup Enterprise Manager ? Sachez qu'un exploit PoC a été publié pour une faille de sécurité critique permettant à un attaquant d'outrepasser l'authentification. Faisons le point.

Pour rappel : Veeam Backup Enterprise Manager est une console Web de gestion et reporting pour la célèbre solution Veeam Backup & Replication. Elle offre l'avantage de permettre de gérer plusieurs instances Veeam à partir d'une console unique. Il est important de préciser qu'elle n'est pas activée par défaut, donc toutes les organisations ne sont pas exposées à ce risque de sécurité.

La faille de sécurité CVE-2024-29849 présente dans Veeam Backup Enterprise Manager a déjà été corrigée par Veeam puisqu'un bulletin de sécurité a été publié à son sujet le 21 mai 2024. Nous avions repris cette alerte de sécurité dans l'un de nos précédents articles pour vous avertir. Si vous n'avez pas encore fait le nécessaire pour vous protéger, il va être temps de passer à l'action : un exploit PoC a été publié pour cette vulnérabilité.

Un exploit PoC pour la CVE-2024-29849

Le chercheur en sécurité Sina Kheirkhah a mis en ligne un rapport technique au sujet de la faille de sécurité CVE-2024-29849. Ce rapport est accompagné par un exploit PoC publié sur son GitHub, et qui prend la forme d'un script Python.

Dans son rapport, il explique que la faille de sécurité se situe dans "Veeam.Backup.Enterprise.RestAPIService.exe" qui est en écoute sur le serveur, sur le port TCP 9398. D'un point de vue de l'application web principale, il agit comme un serveur API REST. L'exploitation consiste à envoyer un jeton de signature VMware (SSO) spécialement conçu au service vulnérable, en utilisant l'API de Veeam. Finalement, l'attaquant peut usurper l'identité d'un compte administrateur et accéder à l'application sans avoir besoin de s'authentifier.

Le rapport de Sina Kheirkhah est très détaillé et contient toutes les informations techniques nécessaires à la compréhension et l'exploitation de cette vulnérabilité.

Comment se protéger ?

La meilleure façon de se protéger, c'est d'installer le correctif de sécurité publié par Veeam. Le 21 mai 2024, l'éditeur américain a publié la version 12.1.2.172 pour corriger plusieurs vulnérabilités, dont celle-ci.

De plus, il semble judicieux de limiter à certaines adresses IP les accès à l'application sur le port TCP 9398, mais aussi d'activer le MFA sur l'ensemble des comptes de l'application. Enfin, si vous n'utilisez pas Veeam Backup Enterprise Manager, vous pouvez le désinstaller comme l'explique cette page de la documentation Veeam.

Source

The post Veeam Backup Enterprise Manager : un exploit PoC a été publié pour une faille de sécurité critique ! first appeared on IT-Connect.

NAS Synology – Prise en main de Container Manager pour créer des conteneurs Docker

10 juin 2024 à 18:00

I. Présentation

Vous souhaitez apprendre à utiliser l'application "Container Manager" disponible sur les NAS Synology ? Vous êtes au bon endroit, car dans ce tutoriel, nous allons effectuer un tour d'horizon de cette application permettant d'exécuter des containers Docker !

II. Synology : qu'est-ce que Container Manager ?

Le centre des paquets du système d'exploitation DSM contient une application nommée "Container Manager". Depuis environ un an et suite à la mise en ligne de DSM 7.2, il s'agit du nouveau de l'application "Docker". Son objectif est de vous permettre de créer et d'exécuter des containers Docker sur votre NAS Synology, ce qui ouvre de nombreuses possibilités, tout en consommant peu de ressources.

Vous pouvez créer vos propres containers à partir du référentiel d'images Docker où il y a des milliers d'images différentes. Ainsi, vous pouvez exécuter sur votre NAS diverses applications, au sein de containers isolés du système DSM. D'ailleurs, nous avions déjà mis en ligne des tutoriels pour déployer certaines applications :

Avant de commencer, vérifiez si votre modèle de NAS Synology est compatible avec le paquet "Container Manager" en consultant cette page :

III. Tour d'horizon de l'interface Container Manager

A. Installation de Container Manager

La première étape consiste à installer le paquet "Container Manager" car il n'est pas préinstallé sur DSM. Vous pourrez le trouver dans le "Centre de paquets".

Il suffit de cliquer sur "Tous les paquets", de rechercher le terme "container" pour localiser l'application "Container Manager", puis de cliquer sur le bouton "Installer".

Ensuite, l'application "Container Manager" sera accessible dans le menu principal de DSM.

B. Découverte de l'interface

L'interface de "Container Manager" contient un ensemble de sections accessibles dans un menu vertical présent sur la gauche. Lorsque l'application est lancée, nous arrivons dans la "Vue d'ensemble", qui est un tableau de bord proposant un aperçu global sur l'état de vos containers et les ressources consommées.

Pour le reste, voici à quoi correspondent les autres entrées présentes dans le menu latéral :

  • Projet

La section "Projet" est directement liée à l'utilisation de Docker Compose. Cet outil va faciliter le déploiement d'un nouveau conteneur grâce à un fichier de configuration au format YAML.

Autrement dit, vous importez le fichier "docker-compose.yml" dans Container Manager et vous validez pour lancer le téléchargement de l'image du conteneur, ainsi que la création et la configuration du conteneur en lui-même. Ceci vous évite de créer le conteneur pas-à-pas en suivant l'assistant de Synology. Désormais, j'ai pris l'habitude d'utiliser cette méthode pour déployer une nouvelle application conteneurisée sur un NAS Synology.

Il est important de préciser que cela améliore la gestion et la portabilité des conteneurs Docker. En effet, ce fichier de configuration contient toutes les informations relatives à l'exécution de ce conteneur : version de Docker nécessaire, image, mode du réseau, stockage, etc. De plus, un projet peut correspondre à une application multi-conteneurs.

  • Conteneur

La section "Conteneur" contient la liste de tous les conteneurs présents sur votre NAS Synology, ainsi que leur statut. C'est également ici que vous pouvez créer un nouveau conteneur à l'aide de l'assistant graphique de DSM, obtenir des détails sur un conteneur, modifier sa configuration, etc....

En passant par la section "Conteneur", vous effectuez la création manuelle d'un conteneur en faisant abstraction sur le fait de pouvoir utiliser Docker Compose (via la section "Projet"). Avant que l'application Docker devienne Container Manager, c'était la seule option.

  • Image

La section "Image" contient la liste de toutes les images Docker présentes sur votre NAS Synology. À chaque fois, plusieurs informations sont indiquées : nom de l'image, la version, la taille de l'image et l'heure de création de l'image Docker (ce qui ne correspond pas à la date et l'heure à laquelle vous avez effectué le téléchargement).

La première colonne indique le statut : quand c'est bleu, c'est que l'image est utilisée, c'est-à-dire associée à un conteneur, alors que quand c'est blanc, elle n'est pas utilisée.

  • Registre

La section "Registre" donne accès à la liste des images que vous pouvez télécharger sur votre NAS et exploiter ensuite dans des conteneurs Docker. Par défaut, Container Manager s'appuie sur le dépôt officiel "Docker Hub", mais en cliquant sur le bouton "Paramètres", vous pouvez ajouter des dépôts privés. Le nombre d'étoiles indique la popularité de l'image, c'est donc un indicateur important.

  • Réseau

La section "Réseau", comme son nom l'indique, donne accès à la gestion du réseau pour les conteneurs. Par défaut, Docker sur Synology est accompagné par deux réseaux : "host" et "bridge", mais il est possible d'en créer d'autres.

En mode "bridge", les conteneurs peuvent communiquer avec le réseau local sur lequel est connecté le NAS tout en étant isolé. Tous les conteneurs connectés à un même réseau bridge peuvent également communiquer entre eux. Docker s'occupe de faire le pont entre le réseau du conteneur et le réseau local. Il s'agit du type de réseau par défaut.

Un conteneur connecté en mode "host" partage directement le réseau de l'hôte Docker, c'est-à-dire du NAS. Le conteneur utilise l'adresse IP de l'hôte directement. Il n'y a pas un réseau virtuel permettant d'interconnecter plusieurs conteneurs comme avec le mode "bridge". En complément, nous avons le pilote "macvlan" qui permet au conteneur d'avoir son adresse MAC ainsi que son adresse IP, et ainsi d'être visible sur le réseau local comme un hôte à part entière (cette configuration est utile dans certains cas, notamment si le conteneur hébergeur un serveur PXE).

  • Journal

La section "Journal" contient l'historique des actions effectuées via l'interface de "Container Manager" : téléchargement d'une image, création d'un conteneur, création d'un projet, démarrage ou arrêt d'un conteneur, etc... Il est possible de filtrer le journal par sévérité (Infos, avertissements, erreurs).

IV. La gestion des données des conteneurs Docker

Chaque conteneur déployé a besoin de pouvoir stocker ses données. Je vous recommande de créer un sous-dossier par conteneur dans le répertoire "docker" créé par Container Manager. Par exemple, si vous souhaitez déployer "Homer" dans un conteneur, vous créez un répertoire "homer" sous "docker" et dans la configuration du conteneur Homer, il faudra pointer vers ce répertoire.

Voici un exemple :

Ceci vous permettra d'organiser données associées à vos conteneurs Docker déployés sur votre NAS Synology. Dans le répertoire du conteneur, il pourra y avoir d'autres dossiers (data, config, etc...) en fonction des besoins du conteneur en lui-même.

V. Créer un utilisateur dédié pour exécuter les conteneurs Docker

Lors de la configuration d'un conteneur Docker, notamment à partir d'une configuration Docker Compose, il est très fréquent de devoir préciser avec quel utilisateur nous souhaitons exécuter le conteneur.

Pour des raisons de sécurité, évitez d'exécuter le conteneur avec un compte utilisateur qui est administrateur du NAS. À la place, utilisez un compte utilisateur dédié pour Docker, par exemple, nommé "docker" et qui aura des permissions de lecture et écriture sur le répertoire "docker" et son contenu. C'est tout. Il n'aura pas accès aux autres applications, ni même à l'interface de DSM.

Remarque 1 : dans cet exemple, le compte "docker" sera membre du groupe "users" présent par défaut et nous lui refuserons l'accès à toutes les applications de façon explicite. Vous pouvez aussi créer un groupe "docker" et configurer les permissions sur le groupe, puis ajouter l'utilisateur "docker" uniquement à ce groupe à la place de "users".

Remarque 2 : toutes les images et les scénarios ne permettant pas de spécifier l'utilisateur avec lequel vous souhaitez exécuter le conteneur. En effet, cela dépend des privilèges requis par le conteneur.

Pour créer ce nouveau compte utilisateur, suivez la procédure suivante :

1 - Cliquez sur "Panneau de configuration" puis "Utilisateur et groupe".

2 - Cliquez sur le bouton "Créer" à partir de l'onglet "Utilisateur".

3 - Indiquez un nom, par exemple "docker", ainsi qu'une description et un mot de passe (que vous stockez dans votre coffre-fort de mots de passe). Cochez également l'option "Ne pas autoriser l'utilisateur à changer le mot de passe du compte".

4 - Ajoutez l'utilisateur au groupe "users" (ou à votre groupe "docker" si vous l'avez créé en amont).

5 - Attribuer les permissions de lecture et écriture sur le dossier partagé "docker" à cet utilisateur.

6 - Passez l'étape correspondante à la gestion du quota.

7 - Refusez l'accès, de façon explicite, à toutes les applications. Cet utilisateur n'a aucune raison d'avoir accès à l'interface DSM ou à d'autres fonctions.

8 - Poursuivez jusqu'à la fin pour créer l'utilisateur.

Voilà, le compte utilisateur pour Docker a été créé ! Il ne restera plus qu'à récupérer l'UID et le GID pour les spécifier dans un conteneur qui doit être exécuté avec ce compte. Pour cela, référez-vous à ce tutoriel :

Voici un exemple pour le mappage du répertoire de données dans un conteneur, ainsi que de l'utilisation de l'utilisateur "docker" pour exécuter un conteneur Docker :

VI. Déployer un premier conteneur

Pour que vous puissiez faire vos premiers pas avec le déploiement d'un conteneur Docker sur un NAS Synology, nous allons faire simple et déployer un conteneur basé sur l'image "httpd". Ceci correspond à un serveur web Apache2.

Nous allons créer un répertoire nommé "httpd" dans "docker". Puis, dans le répertoire "httpd", nous allons créer le répertoire "websites" qui sera destiné à stocker les données de notre site web statique. Notre conteneur sera basé sur l'image "httpd" visible sur l'image ci-dessous.

Désormais, nous allons pouvoir créer ce nouveau conteneur Apache2. Suivez les étapes suivantes :

1 - À partir de l'interface "Container Manager", cliquez sur "Projet" puis sur le bouton "Créer".

2 - Nommez ce projet "apache2_httpd" puis indiquez "/docker/httpd" comme chemin.

Vous devez également indiquer le contenu de votre fichier "docker-compose.yml". Pour déployer un serveur Apache à partir de l'image la plus récente ("image: httpd:latest") dans un conteneur nommé "httpd-website", voici le code à utiliser :

version: '3.9'
services:
  apache:
    image: httpd:latest
    container_name: httpd-website
    ports:
    - '9090:80'
    volumes:
    - /volume1/docker/httpd/websites:/usr/local/apache2/htdocs

Il y a également deux directives pour effectuer le mappage du port et du stockage :

  • Le conteneur sera accessible sur le port 9090 en externe, tandis que le port interne est 80 (http).
    ports:
    - '9090:80'
  • Le répertoire "/usr/local/apache2/htdocs" du conteneur et correspondant à la racine du serveur Web, sera mappé avec le répertoire "/volume1/docker/httpd/websites" du NAS.
    volumes:
    - /volume1/docker/httpd/websites:/usr/local/apache2/htdocs

Ce qui donne :

Remarque : pour obtenir le fichier de configuration Docker Compose d'une application, consultez la documentation officielle de l'application en question. En général, il y a des instructions puisque ce type de configuration tend à se démocratiser.

Vous pouvez continuer jusqu'à la fin et valider.

Container Manager va télécharger l'image associée à notre projet et construire le conteneur associé.

Une fois que ce sera terminé, le conteneur Apache2 sera actif et accessible. Le statut global du projet est visible dans "Projet", tandis que le statut du conteneur "httpd-website" est visible dans "Conteneur". Cette section permet d'afficher le statut par conteneur, car un projet peut regrouper plusieurs conteneurs. Dans la section "Image", celle correspondante au conteneur Apache2 a bien été téléchargée.

À partir de "Projet", si vous cliquez sur le nom du projet, vous pouvez obtenir des informations très intéressantes :

  • Conteneurs : la liste des conteneurs associés à ce projet avec le statut correspondant
  • Statistiques : les ressources consommées (CPU, RAM, réseau)
  • Configurations YAML : le code du fichier docker-compose.yml de ce projet. Vous pouvez l'éditer quand le projet (et donc les conteneurs) est arrêté.
  • Paramètres : publier ce conteneur via l'application Web Station de DSM. Pour avoir des paramètres avancés, il faut cliquer sur le conteneur via le menu "Conteneur", sans passer par "Projet".

Désormais, nous allons tenter d'accéder à la page d'accueil de notre serveur web Apache2.

À partir d'un navigateur, il est possible d'accéder à notre serveur web Apache2. Il suffit de saisir l'adresse IP du NAS, suivie par le numéro de port 9090. Actuellement, il n'y a aucun fichier, donc la page web affiche la directive "Index of /".

Dans le répertoire "websites" de votre NAS, vous pouvez déposer un ou plusieurs fichiers.

Par exemple, voici un fichier nommé "index.html" avec le code suivant :

<html>
<body>
<h1>Demo IT-Connect</h1>
</body>
</html>

Le fichier "index.html" a été copié dans le répertoire "/docker/httpd/websites". Désormais la page retournée est différente :

Notre conteneur Apache2 est opérationnel !

VII. Conclusion

J'espère que cet article d'introduction à Container Manager vous permettra de bien prendre en main la gestion des conteneurs Docker ! C'est une fonctionnalité très utile du système DSM et qui ouvre la porte à l'hébergement de nombreuses applications sur votre NAS ! Il y a beaucoup à dire et chaque conteneur peut avoir ses particularités, donc il y aura probablement des articles complémentaires à celui-ci, ainsi que des articles spécifiques pour déployer diverses applications.

N'hésitez pas à commenter cet article si vous avez des questions ou des idées d'amélioration.

The post NAS Synology – Prise en main de Container Manager pour créer des conteneurs Docker first appeared on IT-Connect.

Windows 11 : finalement, la fonction Recall ne sera pas obligatoire !

10 juin 2024 à 17:00

Suite à l'annonce de sa fonctionnalité Recall pour Windows 11, Microsoft a suscité de l'inquiétude chez ses utilisateurs. L'entreprise américaine est revenue sur sa décision : Recall ne sera pas activé par défaut.

Fin mai, à l'occasion de son événement Windows 11 AI, Microsoft a dévoilé son programme de PC Copilot+ pour l'IA, ainsi qu'une nouvelle fonctionnalité : Recall pour Windows 11.

Une fonctionnalité à la fois innovante et inquiétante qui est comme une seconde mémoire pour l'utilisateur : elle va enregistrer en continu les actions effectuées sur le PC, de façon à analyser et à classer les informations pour vous permettre d'y accéder plus facilement. Il est même question que Recall effectue des captures d'écran pour permettre à l'utilisateur de naviguer dans l'historique de ses actions de façon chronologique. L'objectif étant de permettre à l'utilisateur de retrouver facilement une information, un fichier, etc.

Forcément, ceci a posé de nombreuses questions autour de la confidentialité et du traitement des données, bien que Microsoft assure que tout est effectué et stocké en local. L'entreprise américaine a également indiqué qu'il serait possible de créer une liste noire de sites web à ne pas capturer, au sein de Microsoft Edge. Les sessions de navigation privée sont aussi exclues.

Recall : ce qu'il faut savoir pour le lancement prévu le 18 juin 2024

Microsoft souhaite réussir le lancement de Recall, prévu pour le 18 juin 2024, sur les PC Copilot+ (une simple manipulation donne accès à cette fonction sur les autres appareils). Afin de rassurer ses utilisateurs, la firme de Redmond a pris une décision forte : Recall ne sera pas activé par défaut, ce sera à l'utilisateur de prendre la décision de l'activer. C'est un changement de position vis-à-vis de ce qui était prévu initialement.

Activation de Recall sur Windows 11
Source : Microsoft

De plus, Microsoft a pris la décision d'associer Windows Hello à Recall pour protéger l'accès aux informations enregistrées. Pour rappel, Windows Hello est la fonction de reconnaissance biométrique intégrée à Windows. Cela signifie que pour activer Recall, l'utilisateur devra configurer Windows Hello.

Par la suite, lorsque l'utilisateur souhaitera accéder à son historique Recall, il devra également s'authentifier avec Windows Hello. Ce n'est qu'une fois que l'authentification sera réussie que les données de Recall seront déchiffrées. Effectivement, Microsoft a pris la décision de chiffrer les données associées à Recall, ce qui est indispensable compte tenu des précieuses informations que peut contenir cette base de données.

"L'inscription à Windows Hello est nécessaire pour activer Recall. En outre, une preuve de présence est également requise pour afficher votre chronologie et effectuer des recherches dans Recall." - Ceci implique d'avoir un ordinateur avec une caméra compatible Windows Hello, ce qui est loin d'être le cas de tous les modèles. Les propriétaires d'appareils Microsoft Surface bénéficient de cet avantage, bien que ce ne soient pas les seuls.

Enfin, Microsoft insiste sur le fait que les instantanés de vos actions sont enregistrés en local, ne sont pas partagés et "vous pouvez mettre en pause, filtrer et supprimer ce qui est enregistré à tout moment."

Qu'en pensez-vous ?

Source

The post Windows 11 : finalement, la fonction Recall ne sera pas obligatoire ! first appeared on IT-Connect.

Hier — 10 juin 2024IT-Connect

La Marketplace de Visual Studio Code est truffée d’extensions malveillantes installées par millions !

10 juin 2024 à 08:50

La marketplace de Visual Studio Code est très utile pour ajouter des fonctionnalités à l'éditeur de code de Microsoft et le personnaliser, notamment avec des thèmes. Néanmoins, c'est aussi un nid à malwares : des chercheurs en sécurité ont identifié des milliers d'extensions malveillantes ! Faisons le point.

Pour rappel, Visual Studio Code est un éditeur de code gratuit et open source développé par Microsoft. Il prend en charge de nombreux langages, notamment PowerShell et Python, et il est très utilisé par les professionnels de l'IT.

Par l'intermédiaire de la marketplace pour Visual Studio Code, Microsoft distribue des extensions pour VSCode afin de lui ajouter des fonctionnalités et de personnaliser son apparence. Les membres de la communauté peuvent, eux aussi, publier du contenu sur cette marketplace : les cybercriminels l'ont bien compris et en profitent également.

Visual Studio Code et la menace du typosquatting

Récemment, trois chercheurs en sécurité israéliens, Amit Assaraf, Itay Kruk, et Idan Dardikman, ont mené une expérience. Ils ont créé une version malveillante du thème "Dracula Official", l'un des éléments de la marketplace les plus populaires (plus de 7 millions de téléchargements).

Ils ont repris le code d'origine de l'extension et ils ont ajouté un script supplémentaire pour collecter des informations sur le système de l'utilisateur. Les informations collectées sont envoyées sur un serveur via HTTPS. Leur version de ce thème ne s'appelle pas "Dracula Official" mais "Darcula Official" (subtile !) et elle reprend le même logo, ainsi que le domaine "darculatheme.com" qui ajoute de la crédibilité. Ils sont parvenus à publier cette extension sur la marketplace de Visual Studio Code.

24 heures plus tard, il y avait déjà plus de 100 installations, c'est-à-dire 100 ordinateurs qui pourraient potentiellement être compromis s'il y avait un réel code malveillant. "Nous avons remarqué qu'une victime avait été identifiée comme étant une machine Windows dans le domaine et le réseau d'une société cotée en bourse dont la capitalisation boursière s'élève à 483 milliards de dollars.", précise les chercheurs en sécurité.

Étant donné que Visual Studio Code est destiné à exécuter du code divers et variés, à exécuter des processus, etc... Il est difficile de déterminer si son activité est malveillante ou non.

À ce sujet, les chercheurs en sécurité apportent des précisions au sein de leur article disponible sur Medium : "Malheureusement, les outils traditionnels de sécurité des terminaux (EDR) ne détectent pas cette activité (comme nous l'avons montré pour certaines organisations dans le cadre du processus de divulgation responsable). VSCode est conçu pour lire de nombreux fichiers, exécuter de nombreuses commandes et créer des processus enfants, de sorte que les EDR ne peuvent pas déterminer si l'activité de VSCode est une activité de développeur légitime ou une extension malveillante."

Attention à la marketplace de Visual Studio Code

À l'aide d'un outil qu'ils ont développé, les trois chercheurs sont parvenus à analyser en profondeur le contenu publié sur la marketplace de Visual Studio Code. Ils sont parvenus à identifier :

  • 1 283 extensions contenant des dépendances malveillantes connues, pour un total de 229 millions d'installations
  • 87 extensions qui tentent de lire le fichier /etc/passwd sur le système hôte.
  • 8161 extensions qui communiquent avec une adresse IP codée en dur à partir d'un code JS.
  • 1 452 extensions qui exécutent un binaire exécutable inconnu ou une DLL sur la machine hôte.
  • 267 extensions contiennent des secrets vérifiés codés en dur.
  • Le code et les ressources de 145 extensions ont été signalés comme malveillant par VirusTotal.
  • 2 304 extensions qui utilisent le dépôt Github d'un autre éditeur comme dépôt officiel, ce qui implique des extensions copiées.

Des chiffres alarmants et qui montrent qu'il faut être vigilant avant d'installer une extension sur sa machine. Il est temps que Microsoft améliore son processus de validation et effectue un nettoyage sur cette marketplace... En attendant, l'outil d'analyse des chercheurs en sécurité devrait être publié dans les prochaines semaines.

Finalement, l'ensemble des marketplaces et plateformes de dépôts officielles peuvent être utilisées pour distribuer des logiciels malveillants : PyPI pour les projets Python, Docker Hub pour les images de conteneurs, ou encore le catalogue de Visual Studio Code sont des exemples parmi d'autres....

Source

The post La Marketplace de Visual Studio Code est truffée d’extensions malveillantes installées par millions ! first appeared on IT-Connect.

Cette faille de sécurité critique dans PHP fait trembler les serveurs Web sous Windows

10 juin 2024 à 06:50

Une nouvelle faille de sécurité critique a été découverte dans PHP : CVE-2024-4577 ! En l'exploitant, un attaquant peut exécuter du code malveillant à distance sur le serveur Windows utilisé en tant que serveur Web. Faisons le point sur cette menace.

L'équipe de développement de PHP a corrigé plusieurs failles de sécurité dans son moteur de scripts PHP. L'une de ces vulnérabilités, associées à la référence CVE-2024-4577 mérite une attention particulière.

Découverte par le chercheur en sécurité Orange Tsai de DEVCORE, cette vulnérabilité d'injection d'arguments dans CGI affecte toutes les versions de PHP lorsque ce dernier est installé sur un serveur Windows. Pour être plus précis, toutes les versions de PHP, de 5.X à la dernière version 8.3.X sont vulnérables. Le problème, c'est que de nombreuses versions vulnérables ne sont plus prises en charge et ne pourront pas bénéficier d'un correctif de sécurité.

"Lors de l'implémentation de PHP, l'équipe n'a pas remarqué la fonctionnalité Best-Fit de conversion d'encodage dans le système d'exploitation Windows. Cette omission permet à des attaquants non authentifiés de contourner la protection précédente de CVE-2012-1823 par des séquences de caractères spécifiques.", précise le chercheur en sécurité dans son rapport.

Vous l'aurez compris, cette nouvelle vulnérabilité permet d'outrepasser un correctif de sécurité introduit il y a plus de 10 ans pour corriger la faille de sécurité CVE-2012-1823 présente dans PHP-CGI. En exploitant cette vulnérabilité, un attaquant peut compromettre le serveur Web.

Qui est vulnérabilité à cette faille de sécurité ?

Au-delà de la version de PHP utilisée, pour être vulnérable à la faille de sécurité CVE-2024-4577, le moteur de scripts PHP doit être utilisé sur Windows. L'article évoque un cas d'utilisation de PHP avec un serveur Web XAMPP sous Windows, mais ce n'est pas le seul moyen d'utiliser PHP-CGI sur Windows. En effet, il est tout à fait possible d'avoir un serveur IIS avec PHP-CGI actif, et dans ce cas, le serveur Web est également vulnérable. Nous pourrions aussi citer WAMP.

De plus, bien que cette vulnérabilité soit liée à PHP-CGI, elle peut être exploitée même si PHP n'est pas configuré en mode CGI. La seule condition, c'est que les exécutables PHP ("php.exe" ou "php-cgi.exe") soient stockés dans des répertoires accessibles par le serveur web. Ceci est la configuration par défaut de XAMPP, donc il y a probablement une grande majorité de serveurs XAMPP vulnérables.

Ce problème de sécurité est exploitable lorsque l'une de ces "locales" est utilisée dans la configuration de PHP : chinois traditionnel, chinois simplifié et japonais. Attention, les autres "locales" sont potentiellement vulnérables : Orange Tsai affirme qu'il n'a pas évalué toutes les configurations possibles.

Remarque : CGI pour Common Gateway Interface, est une interface utilisée sur les serveurs Web pour permettre l'exécution de programmes externes via des requêtes HTTP. Ceci est notamment utile au bon fonctionnement de certaines applications.

Comment se protéger de la CVE-2024-4577 ?

Le meilleur moyen de se protéger de cette vulnérabilité, c'est de passer sur les dernières de PHP, publiées il y a quelques jours, car elles contiennent un correctif. Il s'agit des versions suivantes : PHP 8.3.8PHP 8.2.20, et PHP 8.1.29.

Si vous ne pouvez pas mettre à jour PHP maintenant, ou que vous utilisez une version de PHP qui n'est plus supportée, il existe une solution. En effet, une règle de réécriture d'URL basée sur l'utilisation du module PHP "mod_rewrite" permet de bloquer les attaques (mais ceci s'appliquerait uniquement aux locales évoquées ci-dessus).

RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? – [F,L]

Par ailleurs, à la place de cette règle, si vous êtes certain que vous n'utilisez pas PHP-CGI et que vous utilisez XAMPP, vous pouvez désactiver la fonctionnalité sur votre serveur Web. Éditez le fichier suivant :

C:/xampp/apache/conf/extra/httpd-xampp.conf

Puis, commentez la ligne présentée ci-dessous en ajoutant un "#" au début de la ligne :

#ScriptAlias /php-cgi/ "C:/xampp/php/"

Enfin, sachez qu'un exploit PoC est déjà disponible (voir cette page). Cette vulnérabilité représente un risque important, donc mettez à jour si vous le pouvez.

Source

The post Cette faille de sécurité critique dans PHP fait trembler les serveurs Web sous Windows first appeared on IT-Connect.

Comment créer un GIF sur Windows 11 avec Peek Screen Recorder ?

9 juin 2024 à 07:00

I. Présentation

Dans ce tutoriel, nous allons utiliser l'outil Peek Screen Recorder, alias Peek, pour faire un GIF sous Windows. Cet outil est gratuit et accessible via le Microsoft Store depuis Windows.

Si vous recherchez une application simple et légère pour enregistrer des GIF animés sur votre PC Windows, cette application devrait vous plaire. Elle permet aussi de prendre des captures d'écran (PNG ou JPEG) et d'enregistrer l'écran (MP4), mais ce sont des fonctions disponibles avec l'Outil capture de Windows. D'ailleurs, actuellement, il ne permet pas de créer des GIF mais il n'est pas improbable que Microsoft lui ajoute cette fonctionnalité par la suite...

En attendant, Peek Screen Recorder est là pour nous rendre service. Vous pouvez le télécharger en utilisant ce lien officiel :

Peek Screen Recorder pour Windows

Dans cet exemple, Peek Screen Recorder est utilisé sur Windows 11, mais il devrait fonctionner aussi sur Windows 10.

Il y a également une version de Peek sur Linux, que nous avions évoqué dans un précédent article. J'ignore si c'est le même développeur, mais la similitude dans le nom laisse penser que c'est le cas.

II. Utiliser Peek Screen Recorder

Suite à l'installation de l'application, comment créer un premier GIF animé ? Le bouton "GIF" tout à gauche sert à déclencher l'enregistrement du GIF. Avant de cliquer dessus, sachez que vous pouvez créer un GIF de tout l'écran ou seulement d'une zone grâce à ce bouton :

Bien souvent, nous allons plutôt capturer une zone spécifique de l'écran. Ce qui est pratique, c'est de pouvoir redimensionner à la volée la zone, tout en ayant une visibilité précise sur la zone capturée grâce à la transparence de l'interface de Peek. Par exemple :

Quand vous êtes prêts, cliquez sur le bouton "GIF", patientez 3 secondes avant que la capture se déclenche puis passez à l'action ! Cliquez de nouveau sur ce bouton pour arrêter la capture.

En bonus, Peek Screen Recorder intègre quelques outils pour effectuer des annotations sur l'image, y compris sur un GIF. Vous pouvez dessiner, ajouter des formes, et même ajouter du texte.

Voici un exemple de GIF réalisé avec cette application :

Vous pouvez aussi consulter les paramètres de l'application. Plusieurs options sont disponibles :

  • Capturer le curseur de la souris (oui / non)
  • Nombre de captures par seconde (15 par défaut)
  • Limite pour les enregistrements (en secondes)
  • Délai avant le démarrage de la capture (en secondes)
  • Etc...

III. Conclusion

Peek Screen Recorder est une solution parmi tant d'autres pour créer des GIF sur Windows. Elle est simple à utiliser et fait ce qu'on lui demande : créer des GIFs animés. Personnellement, elle m'a bien rendu service et ce sera encore le cas à l'avenir !

The post Comment créer un GIF sur Windows 11 avec Peek Screen Recorder ? first appeared on IT-Connect.

À partir d’avant-hierIT-Connect

Test NiPoGi GK3 Plus – Un mini PC avec un Intel N97, 16 Go de RAM et un SSD NVMe

8 juin 2024 à 11:00

I. Présentation

Le mini PC NiPoGi GK3 Plus équipé d'un processeur Intel N97, épaulé par 16 Go de RAM et 512 Go de stockage va être évalué dans cet article ! Quelle est sa configuration complète ? Quelles sont les possibilités d'évolution ? Qu'en est-il des performances ? Nous répondrons à ces différentes interrogations.

Plusieurs versions et variantes du NiPoGi GK3 Plus sont disponibles sur le marché, dont l'une avec un processeur Intel N95 et une autre avec le processeur N97. Ici, c'est bien la version avec un CPU Intel N97 et 16 Go de RAM qui est évaluée.

Retrouvez également nos autres tests de mini PC NiPoGi :

Les modèles GK3 Plus et AK1 Plus sont relativement proches, donc nous en profiterons pour évoquer les différences.

II. Caractéristiques du NiPoGi GK3 Plus

Commençons par découvrir les caractéristiques principales de ce modèle :

  • Processeur : Intel Alder Lake N97 (4 cœurs, 4 threads, 6 Mo de cache, jusqu'à 3.60 GHz en mode boost)
  • GPU : Intel UHD Graphics (intégrée au processeur) - Fréquence 1.20 GHz
  • RAM : 16 Go DDR4 - 3200 MHz
  • Stockage : 512 Go SSD NVMe (M.2 - PCIe Gen3*4) + 1 emplacement pour disque SATA 2.5 pouces
  • Connectique en façade : 2 x USB 3.0, 1 x USB 2.0, et le bouton Power
  • Connectique sur le côté gauche : 1 x USB 2.0, 2 x HDMI 2.0, 1 x RJ45 1 Gbit/s, 1 x prise audio Jack 3.5mm et 1 fente de verrouillage Kensington
  • Connectique à l'arrière : 1 x VGA
  • Affichage : prise en charge de trois écrans grâce aux deux ports HDMI et au port VGA
  • WiFi 6, Bluetooth 5.2 avec une carte RealTek 8852BE
  • Alimentation (sortie) : 12V/2.5A - 30W
  • Dimensions (L x W x H) : 13 x 13 x 5 cm
  • Système d'exploitation : Windows 11 Famille
  • Prix : 259.99 euros - Rendez-vous en fin d'article pour notre offre bon plan

Le modèle AK1 Plus est équipé d'un disque SSD SATA, tandis que le modèle GK3 Plus est équipé d'un SSD NVMe. À chaque fois, la capacité est identique : 512 Go, mais il y aura bien une différence au niveau des performances à l'avantage du GK3 Plus.

NiPoGi GK3 Plus - Caractéristiques

III. Package, design et conception

NiPoGi ne fait pas de fioriture sur le packaging de ses mini PC : la boite reste identique, et il faut regarder à l'arrière pour savoir quelle est la référence incluse dans la boite. Ici, nous pouvons constater que c'est bien un GK3 Plus avec 16 Go de RAM et 5121 Go de stockage. À l'intérieur, le mini PC et les accessoires sont correctement emballés et protégés par du carton et une plaque de mousse.

Qu'avons-nous à l'intérieur de la boite ? Le mini PC est accompagné par l'alimentation externe compacte, un câble HDMI, une plaque jouant le rôle de support VESA, une notice d'utilisation (en français, utile si vous envisagez d'utiliser le support VESA pour fixer le PC à l'arrière d'un écran), ainsi qu'un ensemble de vis (pour le support VESA et l'emplacement de disque supplémentaire).

Le boitier gris de ce mini PC NiPoGi est intégralement en plastique. Au niveau de l'encombrement, il s'agit d'un carré de 13 cm de côté, et une hauteur d'à peine 5 cm. À quelques millimètres près, ce sont des dimensions à d'autres modèles de chez NiPoGi : ce ne sont pas les modèles les plus compacts du marché, bien que cela reste très petit.

Au niveau du design et de la conception, NiPoGi essaie toujours d'apporter un peu d'originalité à ses boitiers. Ici, la partie supérieure du boitier, toujours en plastique, est de couleur bronze. L'assemblage est propre. Ce qui m'embête plus, ce sont les différents stickers présents sur le boitier.

En façade, nous retrouvons le bouton Power, ainsi que trois ports USB. Le principal de la connectique, avec les ports HDMI et le port RJ45 Ethernet, ne se situe pas à l'arrière du boitier, mais sur la gauche : si l'on considère que le bouton Power doit être face à nous. Ainsi, à l'arrière se situe le port VGA : bien qu'il puisse surprendre, il ravira certains utilisateurs et permettra de connecter facilement des écrans un peu vieillissants. Sur le côté droit, nous pouvons voir un sticker ainsi qu'une bande lumineuse qui s'illumine en bleue lorsque la machine est allumée.

Le dessus du boitier est assez élégant, mais à mon sens, cela est gâché par les deux stickers. Il y a un sticker Intel Inside et un autre avec un QR code qui renvoie vers une page pour rejoindre le club VIP de NiPoGi. L'intérêt étant de s'inscrire pour tenter de gagner de nouveaux produits ou une extension de garantie de 12 mois.

Lorsque le boitier est à plat, il est surélevé de 6 mm vis-à-vis de la surface sur laquelle le mini PC est posé. Ceci est important, car l'extraction de l'air chaud s'effectue par le dessous du boitier. L'air froid quant à lui rentre par le dessus du boitier et par les côtés.

Pour ouvrir le boitier et accéder à l'intérieur, ne cherchez pas de vis sous le boitier : le mécanisme d'ouverture est bien différent. En fait, il y a une vis à retirer sur le côté gauche du boitier, au-dessus de la connectique, permettant de déverrouiller un bouton, qui lorsqu'on le coulisse vers la droite, soulève le capot supérieur du boitier.

Ceci va nous permettre d'accéder en premier à l'emplacement pour disque SATA, au format 2.5 pouces. Pour accéder à la RAM et au disque NVMe, il y a trois autres vis à retirer, car ils sont tous les deux situés sous la cage prévue pour le disque SATA.

Voici ce que l'on peut apprendre suite à l'ouverture du boitier :

  • Il y a un seul slot pour la mémoire vive (RAM)
  • La barrette mémoire installée est de marque FORESEE et correspondant au modèle suivant : 16 Go 1Rx8 PC4-3200AA-SA2
  • Il y a un disque SSD NVMe au format M.2 2280 de marque Netac et correspondant au modèle suivant : G938E en 512 Go

Difficile d'en apprendre plus sur les autres composants, car ils sont masqués et difficilement accessibles. Mais, nous avons accès à l'essentiel : le stockage et la RAM. C'est généralement ce que l'on est susceptible de faire évoluer sur un mini PC.

Voici les entrailles du GK3 Plus en photos :

Nous constatons que si le bouton Power et la connectique en façade sont face à nous, les câbles sur le côté sont forcément visibles. Cela ne plaira pas à tout le monde, à moins de positionner face à soit la bande lumineuse. Vous aurez au moins le câble d'alimentation et éventuellement un câble vidéo (HDMI) selon l'usage que vous en fait. Cette disposition peut surprendre, mais elle s'avère surtout intéressant si l'ordinateur est accroché derrière un écran.

IV. Évolutivité et performances

A. Mise en route et évolutivité

Le premier démarrage du mini PC est l'occasion d'aller faire un tour dans le BIOS. Ce dernier est complet et donne à l'utilisateur un bon contrôle sur la configuration de son ordinateur, grâce à la présence d'options de configuration avancées. Les photos offrent un aperçu du BIOS de la machine.

Ce mini PC est livré avec le système Windows 11 Famille, en version 22H2, donc il y aura des mises à jour à installer. Pour rappel, l'édition "Famille" est plus limitée en fonctionnalités que les autres éditions, notamment la version "Pro". Par exemple, l'accès "Bureau à distance" n'est pas disponible. A titre de comparaison, le modèle AK1 Plus est équipé de Windows 11 Pro.

Nous devons finaliser la mise en route, mais cela est très rapide puisque nous devons seulement choisir la langue et définir le nom d'utilisateur. Il s'agit très certainement d'une image personnalisée par NiPoGi. Il n'y a pas de logiciel préinstallé sur le mini PC, mis à part ceux intégrés à Windows par Microsoft.

Remarque : comme à chaque fois, et peu importe la marque du PC, je vous recommande de réinstaller la machine avec une image propre et téléchargée depuis le site de Microsoft, si vous souhaitez continuer sur Windows. La configuration présentée ici est compatible Windows 11, donc la réinstallation ne posera pas de problème. Pensez à sauvegarder les pilotes au préalable pour faciliter leur réinstallation.

Le mini-PC est livré avec 16 Go de RAM en DDR4, sans qu'il soit possible d'effectuer une mise à niveau. Il n'y a qu'un seul slot sur la carte mère et il est occupé par une barrette de RAM de 16 Go. Ceci correspond à la quantité de RAM maximale supportée par le CPU.

Concernant l'évolution du stockage, sachez qu'il est possible d'ajouter un disque SATA 2.5 pouces et de remplacer le SSD NVMe intégré par un autre modèle d'une capacité de 2 To (maximum). Autrement dit, ce modèle de mini PC peut accueillir 2 disques. La situation est identique avec le modèle AK1 Plus.

B. Performances

Ce mini PC est propulsé par un processeur Intel N97 lancé sur le marché des processeurs au premier trimestre 2023.

Commençons par mesurer les performances du disque SSD NVMe intégré à l'ordinateur. Le SSD NVMe présent dans ce mini PC NiPoGi offre de belles performances : un copier-coller de gros fichiers en local (de disque à disque, sur le même volume), est effectué avec une vitesse moyenne de 968 Mo/s.

En complément, voici un benchmark du disque effectué avec Crystal Disk Mark :

Ainsi qu'un aperçu du disque dans Crystal Disk Info :

J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur ces pages :

Comment réagit le PC lors d'un stress CPU ?

D'après HWMonitor, la température du CPU est de 45°C lorsque l'ordinateur est allumé. Lors d'un stress test, c'est-à-dire que le CPU est sollicité à 100% pendant plusieurs minutes, la température maximale du CPU est de 63°C. Et surtout, l'ordinateur reste silencieux, ce qui m'a agréablement surpris.

Que l'ordinateur soit simplement démarré ou fortement sollicité, le dessus du boitier est légèrement tiède. Il n'y a pas de différence notable à ce niveau-là. Le système de refroidissement semble faire son travail de façon satisfaisante.

Des performances décevantes en Wi-Fi

Ce mini PC est équipé d'une carte RealTek 8852BE (Wi-Fi 6) dont les performances m'ont vraiment déçue. Pour effectuer un téléchargement à partir d'Internet, le débit est d'environ 2 Mo/s lorsque le PC est connecté en 2.4 GHz et de 5.2 Mo/s lorsque le PC est connecté en 5 GHz. Un débit très faible, tout en sachant qu'un autre pareil situé à quelques centimètres parvient à faire le même téléchargement avec un débit d'environ 60 Mo/s.

Que peut-on faire et ne pas faire avec ce modèle ?

Cet ordinateur est adapté pour effectuer de la bureautique basique et naviguer sur Internet de façon confortable grâce à ses 16 Go de RAM.

Un autre cas d'usage intéressant, c'est l'utilisation pour en faire une box domotique avec une solution comme Jeedom ou Home Assistant : il a 4 ports USB prêts à accueillir différents dongles. Ceci est d'autant plus intéressant qu'il est peu gourmand en électricité : 12 Watts maximum.

V. Conclusion

Si vous recherchez un mini PC à moins de 260 euros (ou même moins de 200 euros avec l'offre ci-dessous) pour faire de la bureautique ou créer une box domotique, ce PC NiPoGi devrait parfaitement vous convenir ! Sa basse consommation est également un avantage.

Sa connectique relativement fournie et diversifiée pourra satisfaire certains utilisateurs même si elle n'intègre pas les dernières technologies : le VGA et les ports USB 2.0 sont un bon exemple, même s'il y a bien sûr 2 ports HDMI et des ports USB 3.0.

Quelques dizaines d'euros plus coûteux que le modèle NiPoGi AK1 Plus, ce modèle a le même CPU, la même quantité de RAM et de stockage. Néanmoins, il est plus performant grâce à son disque SSD NVMe, en comparaison du SSD SATA du modèle AK1 Plus. Cet écart de prix est donc justifié.

👍 Avantages

  • Bon rapport qualité/prix pour de la bureautique
  • Un disque SSD NVMe
  • Mini PC silencieux
  • Configuration avec une faible consommation énergétique
  • Connectique originale et adaptée à certains besoins (dont le VGA)

👎 Inconvénients

  • Un design gâché par les nombreuses étiquettes
  • Des dimensions - un peu trop - généreuses pour les espaces restreints (13 cm x 13 cm x 5 cm)

Bon plan : offre spéciale sur le NiPoGi GK3 Plus

🎁 Profitez de notre offre spéciale pour acheter ce mini PC au meilleur prix !

Grâce au code "5HV83RZK", vous pouvez bénéficier de 7% de réduction sur ce mini-PC ! Ce code est valide jusqu'au 30 juin 2024, à 23:59 (heure française).

Le tarif passe de 259,99 € à 194,37 € grâce à ce code promo et à une vente flash en cours

Vous devez saisir ce code dans votre panier, sur Amazon.fr. Voici le lien qui mène à l'offre :

Bon plan NiPoGi GK3 Plus

* Le lien ci-dessus intègre notre identifiant d'affiliation Amazon.

The post Test NiPoGi GK3 Plus – Un mini PC avec un Intel N97, 16 Go de RAM et un SSD NVMe first appeared on IT-Connect.

Linux : Comment créer une arborescence de répertoires avec mkdir ?

7 juin 2024 à 05:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à créer une arborescence de répertoires sous Linux avec la commande mkdir. Autrement dit, nous allons créer plusieurs répertoires avec leurs répertoires parents en une seule ligne de commande.

Nous pourrions imaginer l'arborescence suivante, sur plusieurs niveaux. Elle sera créée dans la racine "/DEMO" de la machine Linux.

  • Partage
    • Utilisateurs
      • Florian
        • Perso
        • Documents
      • Mickael
        • Perso
        • Documents
      • Guy
        • Perso
        • Documents
      • Jean
        • Perso
        • Documents

Remarque : la méthode présentée dans cet article ne s'applique pas avec l'utilisation de mkdir sous Windows.

Version originale de l'article : 22 décembre 2012.

II. Créer un ensemble de répertoires avec mkdir

Pour répondre à ce besoin, nous allons utiliser l'option "-p" de la commande mkdir. Cette option signifie "parents" et elle va nous permettre de créer une arborescence complète de répertoires imbriqués, en créant tous les dossiers manquants.

De plus, nous allons devoir utiliser la commande mkdir de la façon suivante :

mkdir -p /<dossier racine>/{dossier 1, dossier 2, dossier 3}

Le fait d'utiliser des accolades sert à spécifier plusieurs répertoires de même niveau à créer en une seule commande mkdir. L'exemple ci-dessus permettrait de créer les 3 dossiers dans le dossier racine au même niveau. De plus, l'option "-p" est également essentiel sinon nous allons obtenir une erreur si le dossier racine n'existe pas (ou n'importe quel répertoire du chemin).

Donc, pour répondre à notre cahier des charges initial, voici la commande magique à exécuter :

mkdir -p /DEMO/Partage/Utilisateurs/{Florian,Mickael,Guy,Jean}/{Perso,Documents}

Après ça, quelques secondes, voir même quelques millisecondes plus tard, tous les dossiers sont créés sur la machine. La commande tree permet de voir que l'arborescence générée correspond exactement à notre besoin !

Linux - Créer arborescence de répertoires avec mkdir

Par la suite, si nous avons besoin de créer les répertoires pour un nouvel utilisateur, il suffira d'exécuter la commande ci-dessous en précisant un autre nom d'utilisateur.

mkdir -p /DEMO/Partage/Utilisateurs/Jacques/{Perso,Documents}

Remarque : l'option "-m" de la commande mkdir sert à spécifier les permissions au moment de la création d'un dossier.

III. Conclusion

Simple et efficace : en appliquant cette méthode, vous pouvez facilement gagner du temps et des lignes de commandes ! En effet, sans cette syntaxe et cette option, nous serions obligés d'utiliser la commande mkdir pour chaque dossier à créer (soit une dizaine de commandes dans le cas présent).

Pour finir, sachez que pour la gestion des répertoires, et notamment déplacer ou renommer un répertoire, la commande mv de Linux est également à connaître.

The post Linux : Comment créer une arborescence de répertoires avec mkdir ? first appeared on IT-Connect.

Ransomware LockBit 3.0 : le FBI détient 7 000 clés de déchiffrement !

7 juin 2024 à 08:25

Le FBI continue sa lutte contre le gang de ransomware LockBit et ses affiliés : les autorités américaines auraient en leur possession pas moins de 7 000 clés de déchiffrement de LockBit 3.0. Si vous avez été victime de ce ransomware, vous êtes invité à prendre contact avec le FBI...

La bonne nouvelle du jour est probablement est liée à l'opération Cronos menée par les forces de l'ordre de 11 pays en février 2024. D'ailleurs, lors de cette opération importante, les autorités étaient parvenues à mettre la main sur 34 serveurs de l'infrastructure LockBit ainsi qu'à des clés de chiffrement (1000 dans un premier temps, puis environ 2500 au total). Désormais, le FBI détiendrait une quantité beaucoup plus importante de clé de déchiffrement...

En effet, à l'occasion d'une conférence sur la cybersécurité organisée à Boston aux États-Unis, Bryan Vorndan, a dévoilé que le FBI détenait 7 000 clés de déchiffrement pouvant profiter aux victimes du ransomware LockBit 3.0 : "En outre, grâce à la perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données et à se remettre en ligne.", peut-on lire. La transcription de son allocution est disponible sur cette page.

Désormais, le message du FBI est clair : si vous avez été victime de LockBit, vous devez entrer en contact avec les autorités, car une clé de déchiffrement est sûrement disponible pour vous permettre de déchiffrer vos données gratuitement. "Nous nous adressons aux victimes connues de LockBit et encourageons toute personne qui pense en avoir été victime à se rendre sur le site de l'Internet Crime Complaint Center, à l'adresse ic3.gov.", a précisé Bryan Vorndan du FBI.

Finalement, malgré tous les efforts des forces de l'ordre, et l'identification récente de LockBitSupp, l'un des leaders du gang de ransomware LockBit, ce groupe de cybercriminels reste toujours très actif et redoutable. Espérons que de nombreuses victimes puissent bénéficier de ces clés de déchiffrement.

Source

The post Ransomware LockBit 3.0 : le FBI détient 7 000 clés de déchiffrement ! first appeared on IT-Connect.

Veeam Data Cloud Vault : un nouveau service Cloud pour stocker et sécuriser vos sauvegardes !

7 juin 2024 à 06:00

À l'occasion de son événement VeeamON 2024, l'éditeur américain Veeam a dévoilé son nouveau coffre-fort de sauvegarde Cloud : Veeam Data Cloud Vault. Faisons le point sur cette annonce !

L'événement VeeamON 2024 était attendu par tous les aficionados des solutions de chez Veeam. À cette occasion, le service "Data Cloud Vault" a été dévoilé. Derrière ce nom se cache un service de type Storage-as-a-Service (STaaS) correspondant à un service de stockage de sauvegarde "toujours immuable" et chiffrée basé sur le Cloud.

Dans un article publié sur son site, Veeam explique ce service a été conçu pour permettre aux organisations de "stocker, gérer et accéder aux données sans avoir à concevoir, mettre en œuvre et gérer une infrastructure de stockage cloud ou physique alignée sur les principes du Zero Trust."

Veeam Data Cloud Vault est également conçu pour faciliter la mise en œuvre d'un plan de sauvegarde respectant la règle des 3-2-1-1-0. "Cela représente trois copies des données, deux types de supports différents, une copie hors site, une copie hors ligne ou immuable, et zéro erreur de récupération.", rappelle Veeam. Ce service est prêt à accueillir les sauvegardes de Veeam Data Platform notamment pour vous permettre d'avoir une copie hors site puisque celle-ci sera dans le Cloud. Mais, pas n'importe quel Cloud puisque ce service de stockage s'appuie sur le Cloud Azure de Microsoft pour fonctionner.

Dans son communiqué, Veeam met en avant trois avantages à l'utilisation de Data Cloud Vault :

  • Sécurisé : sauvegarde des données sur un stockage Zero Trust immuable, chiffré et logiquement isolé de la production.
  • Facile : accéder et utiliser à la demande le stockage Azure entièrement géré sans aucune complexité de configuration, de gestion ou d'intégration.
  • Prévisible : éliminez les chocs de facturation grâce à une tarification forfaitaire par To qui répond aux besoins d'une organisation aujourd'hui et demain - y compris les appels API, les frais de restauration et de sortie. L'objectif étant les mauvaises surprises au niveau des coûts.

Veeam accueille l'IA Microsoft Copilot

Enfin, Veeam a révélé qu'un chatbot allait prendre place au sein de la console d'administration de Veeam ONE. Là encore, Veeam s'est appuyé sur les services de Microsoft puisque c'est l'IA Copilot de l'entreprise américaine qui sera utilisée. Elle permettra notamment de diagnostiquer et gérer les problèmes de sécurité associés aux sauvegardes.

Qu'en pensez-vous ?

The post Veeam Data Cloud Vault : un nouveau service Cloud pour stocker et sécuriser vos sauvegardes ! first appeared on IT-Connect.

Phishing : vérifiez les liens douteux avec le portail Orange Cybersecure

6 juin 2024 à 10:35

À partir d'aujourd'hui, jeudi 6 juin 2024, le portail Orange Cybersecure est accessible à tout le monde ! Son objectif : vous permettre de vérifier facilement et rapidement les liens douteux que vous êtes susceptible de recevoir par e-mail ou SMS.

Avec la solution Orange Cybersecure, les français vont pouvoir vérifier si un lien ("URL") est dangereux ou non. Pour mettre au point cet outil, Orange s'est appuyé sur l'expertise de sa filiale Orange Cyberdefense, spécialisée dans la cybersécurité.

"Sur le portail Cybersecure, toute personne, quel que soit son opérateur, pourra vérifier, gratuitement, par un simple copier/coller, la légitimité d’un site, d’un lien, d’un email ou d’un SMS qui lui semble suspect.", peut-on lire dans le communiqué de presse d'Orange.

Le principe est simple : vous copiez-coller le lien à vérifier, et s'il est déjà connu par la base de données du service, alors la réponse est immédiate. Sinon, cela implique une analyse de la part des experts d'Orange Cyberdefense avant d'avoir une réponse. Ce service sera connecté à une intelligence artificielle capable d'apprendre au fur et à mesure que la base est enrichie par les utilisateurs.

"Comme une application communautaire, plus le moteur est utilisé plus la base de données s’enrichit au bénéfice de tous les français.", précise Orange. Ce service participatif me fait penser au service Waze où les automobilistes peuvent signaler des événements, bien que ce soit dans un tout autre registre.

L'accès à ce service en ligne sera gratuit, bien qu'Orange prévoit une offre payante pour ses clients Orange et Sosh.

Une offre payante pour les clients Orange et Sosh

Le pack Orange Cybersecure est proposé pour ceux qui veulent une solution de protection plus complète. Proposé à 7 euros par mois et sans engagement, cet abonnement intègre la solution de sécurité Orange Cybersecure pour lutter "contre les messages malveillants comme les arnaques sur internet, virus, sites frauduleux, usurpation d’identité etc.", précise Orange qui présente sa solution comme étant plus qu'un simple antivirus.

Un seul abonnement peut être utilisé pour protéger jusqu'à 10 appareils d'un même foyer : tablette, ordinateur, smartphone. Cette offre donne aussi accès à un accompagnement où l'utilisateur peut solliciter l'aide des spécialistes Cyber d'Orange en cas de doute.

"Des spécialistes Cyber qui répondent et les accompagnent 7 jours sur 7 en cas de doute sur la fiabilité d’un site ou d’une application, de piratage de données, de fraude avérée, une aide à l’installation ou toutes autres questions.", peut-on lire.

Après avoir conquis les entreprises, Orange souhaite séduire les particuliers avec sa filiale Orange Cyberdefense. Cette nouvelle offre Cybersecure est lancée en France pour le moment, mais elle devrait être lancée en Europe par la suite, de façon progressive.

Pour tester ce nouveau service, rendez-vous sur cette page :

Comment vérifier si un lien est malveillant avec Orange Cybersecure ?

Comme le montre l'image ci-dessous, il suffit de se rendre sur le portail Orange Cybersecure, de copier-coller le lien à vérifier puis d'appuyer sur le bouton "Vérifier la fiabilité". Après avoir vérifié un captcha, le verdict tombe !

J'ai fait un test avec le lien suivant, associé à un e-mail de phishing aux couleurs du Crédit Mutuel et que j'ai reçu hier midi.

[https://]tracking-clientprofessionel[.]com/S4FD5sf

Voici l'e-mail en question :

Le portail Orange Cybersecure m'indique, qu'en effet, il s'agit bien d'un lien malveillant. À noter également la source "avis fourni par Google", qui laisse entendre que ce lien a déjà été reporté par d'autres utilisateurs.

J'ai fait un autre test avec le texte d'un e-mail ne contenant pas de liens, mais une pièce jointe malveillante, et le portail m'a retourné une erreur.

En complément, le portail donne accès à différents guides et articles pour accompagner les internautes afin de les sensibiliser et les former aux risques de la cybersécurité. Orange semble même également proposer des ateliers en ligne, accessible sur inscription. Par exemple, il y a un atelier nommé "Atelier : Eviter les arnaques en ligne - atelier en ligne".

Qu'en pensez-vous ?

The post Phishing : vérifiez les liens douteux avec le portail Orange Cybersecure first appeared on IT-Connect.

Kali Linux 2024.2 : 18 nouveaux outils et correction du bug de l’an 2038

6 juin 2024 à 07:28

L'Offensive Security a publié la deuxième version de l'année 2024 de sa distribution Kali Linux ! L'occasion de faire le point sur les changements apportés à Kali Linux 2024.2, ainsi que sur les 18 nouveaux outils !

Le bug de l'an 2038

Le bug de l'an 2038 a été corrigé dans Kali Linux ! Il s'agit d'un problème similaire au bug de l'an 2000 qui affecte les systèmes informatiques qui comptent le temps en secondes depuis le 1er janvier 1970. C'est notamment le cas de différents systèmes d'exploitation et logiciels, dont les systèmes Linux.

Ce bug doit se déclencher le 19 janvier 2038 à 3 heures 14 minutes et 8 secondes, et à ce moment-là, les systèmes affectés par le bug considéreront alors être le 13 décembre 1901 à 20 heures 45 minutes et 52 secondes. Un retour en arrière brutal et problématique, bien entendu.

Ceci est appelé la transition "t64" : "Pour éviter le problème de l'an 2038, la taille du type time_t a dû être modifiée pour être de 64 bits sur les architectures où elle était de 32 bits.", peut-on lire sur le site de Kali Linux.

Les nouveaux outils de Kali Linux 2024.2

Cette nouvelle version est très riche en nouveaux outils, puisqu'il y a eu 18 nouveaux outils ajoutés à la distribution Kali Linux 2024.2.

Voici la liste de ces outils :

  • autorecon - Outil de reconnaissance réseau multi-thread, pour énumérer les services.
  • coercer - Un script Python pour forcer un serveur Windows à s'authentifier sur une machine arbitraire.
  • dploot - Réécriture en Python de SharpDPAPI.
  • getsploit - Utilitaire en ligne de commande pour rechercher et télécharger des exploits.
  • gowitness - Utilitaire de capture d'écran web utilisant Chrome Headless, écrit en Golang.
  • horst - Outil de balayage radio pour le Wi-Fi.
  • ligolo-ng - Outil de tunneling/pivoting avancé et utilisant une interface TUN.
  • mitm6 - Pwning IPv4 via IPv6 (réponse aux messages DHCPv6).
  • netexec - Outil d'exploitation de services réseau aidant à évaluer la sécurité des grands réseaux.
  • pspy - Surveiller les processus Linux sans permissions root.
  • pyinstaller - Compile les programmes Python en exécutables autonomes.
  • pyinstxtractor - Extracteur PyInstaller.
  • sharpshooter - Framework de génération de payload.
  • sickle - Outil de développement de payload.
  • snort - Système de détection d'intrusion réseau.
  • sploitscan - Rechercher des informations sur les CVE, à partir de plusieurs bases officielles.
  • vopono - Exécuter des applications via des tunnels VPN avec des espaces de noms réseau temporaires.
  • waybackpy - Accéder à l'API de la Wayback Machine en utilisant Python.

Enfin, l'équipe de Kali Linux a mis à jour les environnements de bureau Xfce et GNOME. Ceci se traduit par le passage à GNOME 46, ainsi qu'une mise à jour de Xfce particulièrement pour les modes Kali-Undercover et HiDPI.

Kali Linux 2024.2 - GNOME 46
Source : Kali.org

Pour obtenir des informations supplémentaires, consultez l'annonce officielle sur le site de Kali.

The post Kali Linux 2024.2 : 18 nouveaux outils et correction du bug de l’an 2038 first appeared on IT-Connect.

Une nouvelle variante Linux du ransomware TargetCompany cible VMware ESXi !

6 juin 2024 à 06:57

Les environnements VMware ESXi sont pris pour cible par une nouvelle variante du ransomware TargetCompany, qui vient s'ajouter à la liste des menaces capables de chiffrer les VM des hyperviseurs de VMware. Faisons le point.

Le ransomware TargetCompany, aussi connu sous les noms de Mallox, FARGO et Tohnichi, a été repéré pour la première fois en juin 2021. Dans un premier temps, il a surtout été utilisé pour mener des attaques contre les serveurs de gestion de base de données, que ce soit MySQL, SQL Server ou encore Oracle, en Corée du Sud, en Thaïlande, en Inde et à Taïwan.

Puis, en février 2022, Avast a publié un outil de déchiffrement pour TargetCompany afin d'aider les victimes de ce ransomware à récupérer leurs données gratuitement. Malgré ce coup porté par Avast, le gang de ransomware TargetCompany est rapidement revenu sur le devant de la scène... Notamment en s'attaquant aux serveurs Windows.

Mais, désormais, Trend Micro nous apprend qu'une nouvelle variante de TargetCompany pour Linux cible particulièrement les hyperviseurs VMware ESXi.

VMware ESXi dans le viseur du ransomware TargetCompany

C'est par l'intermédiaire d'un script shell exécuté sur l'hôte compromis que le logiciel malveillant effectue un ensemble de vérifications, pour déterminer sur quel environnement il se situe. Il cherche à déterminer s'il s'exécute sur un serveur VMware ESXi grâce à l'exécution de la commande "uname" à la recherche du mot clé "vmkernel".

Schéma - Ransomware TargetCompany - VMware ESXi
Source : Trend Micro / Chaîne d'infection du ransomware TargetCompany

"Le groupe de ransomwares TargetCompany emploie désormais une nouvelle variante Linux qui utilise un script shell personnalisé comme moyen de diffusion et d'exécution de la charge utile, une technique que l'on ne retrouvait pas dans les variantes précédentes.", précise Trend Micro dans son rapport.

En complément, il génère un fichier nommé "TargetInfo.txt" qui recense des informations sur la victime telles que le nom d'hôte, l'adresse IP, l'OS du serveur, l'utilisateur utilisé par le malware, etc.... Et ce fichier est envoyé vers le serveur C2 des attaquants.

S'il est exécuté sur un hyperviseur VMware ESXi, le ransomware passe à l'action dans le but de chiffrer les machines virtuelles. TargetCompany chiffre tous les fichiers relatifs aux machines virtuelles : VMDK, VMEM, VSWP, VMX, VMSN, NVRAM. Les fichiers chiffrés héritent de l'extension ".locked".

Enfin, une demande de rançon nommée "HOW TO DECRYPT.txt" est déposée sur le serveur et le malware termine en supprimant ses traces pour rendre plus difficile les futures investigations. "Une fois que le ransomware a exécuté sa routine, le script supprime la charge utile TargetCompany à l'aide de la commande "rm -f x".", précise Trend Micro.

Consultez le rapport de Trend Micro pour obtenir des détails supplémentaires, notamment les indicateurs de compromission et les URL utilisées par les attaquants.

Source

The post Une nouvelle variante Linux du ransomware TargetCompany cible VMware ESXi ! first appeared on IT-Connect.

Cyberattaque Zadig & Voltaire : les données personnelles de 600 000 clients publiées sur le Dark Web

5 juin 2024 à 13:35

L'enseigne de prêt-à-porter française Zadig & Voltaire est victime d'une importante fuite de données : un cybercriminel a publié une base de données avec les données personnelles de plus de 600 000 clients. Faisons le point.

Rappel - Créée en 1997, Zadig & Voltaire est une marque française de prêt-à-porter, aussi bien pour les femmes que pour les hommes.

Ce mercredi 5 juin, au petit matin, un cybercriminel a publié sur un forum de hacking une base de données appartenant à l'enseigne de prêt-à-porter Zadig & Voltaire. Il s'agit de données publiées sur BreachForums, la principale "place de marché" pour l'achat et la revente de données issues de cyberattaques. Preuve que BreachForums est bien de retour après avoir été malmené par les forces de l'ordre ces dernières semaines.

Cette fuite de données contient les données personnelles de 638 726 clients de l'enseigne française. Selon les informations fournies par le cybercriminel à l'origine de la divulgation des données, ces données auraient été volées en novembre 2023. Ceci laisse entendre que la cyberattaque s'est déroulée dans les jours ou semaines précédant le vol de données.

À quoi correspondent ces données personnelles ?

Dans cette base de données, nous retrouvons diverses informations au sujet des clients de Zadig & Voltaire, notamment des noms et prénoms, des adresses e-mails, des numéros de téléphone, des adresses postales, ainsi que des dates de naissance. C'est typiquement le genre d'informations que l'on retrouve dans un fichier client.

Si vous êtes client de Zadig & Voltaire, nous vous recommandons de modifier le mot de passe de votre compte client, par précaution. Méfiez-vous également des e-mails que vous recevez, car une campagne de phishing pourrait être organisée à partir de ces informations.

En 2024, ce n'est pas la première enseigne de prêt-à-porter à subir une cyberattaque associée à une fuite de données. En avril 2024, c'est la marque "Le Slip français" qui a été victime d'un incident similaire. Un peu plus tôt dans l'année, c'était au tour d'une filiale de l'enseigne Benetton.

Source

The post Cyberattaque Zadig & Voltaire : les données personnelles de 600 000 clients publiées sur le Dark Web first appeared on IT-Connect.

Comment arrêter ou redémarrer Debian 12 ?

5 juin 2024 à 06:00

I. Présentation

Dans ce tutoriel, je vais vous expliquer comment arrêter Debian 12 ou comment redémarrer Debian 12 à l'aide de la commande systemctl intégrée à Systemd. Deux actions basiques, mais indispensables.

Comme d'autres distributions, Debian 12 intègre Systemd et hérite par conséquent de nombreux outils pour manipuler le système. On retrouve notamment l'utilitaire "systemctl" qui va permettre de gérer les services, mais aussi l'alimentation du système, comme nous allons le voir.

Version originale de l'article : 14 avril 2021.

II. Commande pour arrêter Debian 12

Que ce soit pour arrêter ou redémarrer le système Debian 12, il faut disposer des droits nécessaires. Vous pouvez utiliser le compte "root" ou sinon "sudo" avec votre utilisateur, à condition d'avoir la délégation nécessaire pour utiliser ces commandes.

Pour arrêter Debian 12, on va utiliser l'option "poweroff", ce qui donne :

systemctl poweroff
# ou
sudo systemctl poweroff

Suite à l'exécution de cette commande, la machine va arrêter tous les processus et services dans le but de s'éteindre complètement. Disons qu'elle va se mettre hors tension. Par contre, si l'on utilise "halt" à la place de "poweroff", la machine va s'arrêter et interrompre l'exécution du système, mais sans s'éteindre complètement.

Voici la commande à titre indicatif, mais préférez celle ci-dessus :

systemctl halt
# ou
sudo systemctl halt

Enfin, pour planifier un arrêt, je n'ai pas connaissance d'une option avec "systemctl poweroff", ce qui nous obligerait à jouer avec une tâche planifiée... Mais ce ne sera pas nécessaire parce que vous pouvez utiliser la commande "shutdown" si elle est disponible sur votre système.

Il suffit de spécifier l'heure à laquelle vous souhaitez arrêter le système. Par exemple, pour éteindre le serveur à 23:00 :

shutdown --poweroff 23:00
# ou
sudo shutdown --poweroff 23:00

La machine s'éteindre complètement à l'heure que vous le souhaitez !

Nous pourrions aussi planifier un arrêt de Debian dans 15 minutes, de cette façon :

shutdown -h +15
# ou
sudo shutdown -h +15

Voici le résultat obtenu :

Debian 12 - Planifier arrêt du système

Si vous souhaitez annuler un arrêt planifié, vous pouvez utiliser la commande suivante :

shutdown -c
# ou
sudo shutdown -c

III. Commande pour redémarrer Debian 12

Dans le même esprit, on va simplement remplacer "poweroff" par "reboot" pour redémarrer Debian 12 :

systemctl reboot
# ou
sudo systemctl reboot

Vous pouvez tout à fait planifier un redémarrage à une heure spécifique :

shutdown -r 23:00
# ou
sudo shutdown -r 23:00

Mais également planifier un redémarrage dans 15 minutes :

shutdown -r +15
# ou
sudo shutdown -r +15

IV. Conclusion

Quelques commandes très simples, mais qu'il faut connaître ! Pensez à utiliser l'option "poweroff" plutôt que l'option "halt" qui n'éteint pas complètement la machine. Bien entendu, il est possible d'arrêter ou redémarrer Debian à partir de l'interface graphique, à condition qu'un environnement de bureau soit installé. L'image ci-dessous illustre la procédure.

Redémarrer ou arrêter Debian 12 en interface graphique

The post Comment arrêter ou redémarrer Debian 12 ? first appeared on IT-Connect.

Comment compresser et décompresser des archives tar.bz2 sous Linux ?

4 juin 2024 à 17:45

I. Présentation

Dans ce tutoriel, nous allons voir ensemble une astuce sous Linux : comment compresser et décompresser les fichiers tar.bz2 sous Linux, notamment Debian, Ubuntu ou CentOS. Une archive tar.bz2 s'appuie sur l'algorithme de compression bzip2. Cet algorithme est plus puissant, le poids des archives sera inférieur vis-à-vis du gzip mais la création de l'archive avec ce format nécessite plus de ressources système.

Personnellement, c'est surtout la commande pour décompresser une archive de ce type que j'utilise fréquemment, plutôt que la création d'une archive dans ce format. Néanmoins, nous verrons les deux opérations.

Version originale de l'article : 15 octobre 2020.

II. Compresser tar.bz2 sous Linux

Pour créer l'archive via l'algorithme bzip2, nous allons utiliser la commande tar avec plusieurs options, notamment l'option "j" pour spécifier l'algorithme bzip2, l'option "c" pour indiquer qu'il s'agit d'une archive à créer, l'option "f" indique que le nom de l'archive suit, tandis que l'option "v" sert à activer le mode verbeux.

Voici un exemple pour créer l'archive "MonArchive.tar.bz2" en intégrant dans cette archive "MonFichier1.txt" et "MonFichier2.txt" :

tar -jcvf MonArchive.tar.bz2 MonFichier1.txt MonFichier2.txt

Il est à noter que l'option "-r" ou "--append" peut-être utilisée pour ajouter des fichiers à une archive existante. Sinon, l'archive est écrasée si elle existe déjà.

Passons maintenant à la phase de décompression...

III. Décompresser tar.bz2 sous Linux

Comment décompresser une archive tar.bz2 ? Là encore, nous allons utiliser la commande tar avec les options adéquates.

Avant même de décompresser l'archive tar.bz2, sachez que nous pouvons regarder son contenu. Ceci permet d'avoir un aperçu des données présentes dans l'archive avant même de la décompresser.

tar -tvjf MonArchive.tar.bz2

Ensuite, nous pouvons passer à l'étape suivante : décompresser cette archive. Pour cela, l'option "j" est indispensable pour spécifier qu'il s'agit d'une archive compressée via l'algorithme bzip2. Ensuite, nous avons les options classiques, notamment "x" pour l'extraction.

Voici un exemple pour extraire le contenu de l'archive nommée "MonArchive.tar.bz2":

tar -jxvf /home/MonArchive.tar.bz2

Le contenu de l'archive sera extrait dans le dossier courant au niveau du shell Unix. Si l'on veut décompresser le contenu de l'archive vers un répertoire de destination spécifique, par exemple "/tmp/", nous devons utiliser une option supplémentaire :

tar -jxvf /home/flo/MonArchive.tar.bz2 -C /tmp/

Remarque :

Si vous obtenez un message d'erreur du type "tar (child): bzip2 : exec impossible: Aucun fichier ou dossier de ce type" lors de l'extraction, c'est qu'il vous manque le paquet "bzip2" sur votre machine. Voici comment l'installer sur CentOS avec yum :

yum install bzip2

Ensuite, vous pouvez réessayer d'extraire les données. Il ne vous reste plus qu'à exploiter vos données ! Si vous avez besoin d'aide pour utiliser une option supplémentaire, je vous invite à lire la page man de tar.

IV. Conclusion

Voilà, nous avons appris les bases pour compresser et décompresser des fichiers tar.bz2 sous Linux en utilisant la commande tar, décidément très utile sur Linux lorsqu'il s'agit de manipuler des archives compressées. Nous avons vu comment créer une archive, afficher son contenu avant de la décompresser, et bien sûr comment décompresser cette archive.

The post Comment compresser et décompresser des archives tar.bz2 sous Linux ? first appeared on IT-Connect.

❌
❌