Dans ce tutoriel, nous allons voir comment configurer une adresse IP statique sur un système Ubuntu 24.04 ou Debian 12 à l'aide de Netplan. Cette opération basique est essentielle pour qu'une machine soit en mesure de se connecter au réseau local, et ainsi accéder à Internet. L'attribution d'une adresse IP fixe ou statique est une action de configuration courante sur les serveurs.
Pour suivre ce tutoriel, vous devez disposer d'un accès "root" à la machine ou d'un utilisateur ayant accès à "sudo" afin de disposer de suffisamment de privilèges.
II. Qu'est-ce que Netplan sous Linux ?
Netplan est un outil de configuration du réseau sous Linux, positionné au dessus des gestionnaires de configuration réseau "systemd-networkd" et "NetworkManager.
Netplan est disponible depuis plusieurs années sur Ubuntu, mais aussi Debian (non installé par défaut) et son fichier de configuration déclaratif au format YAML va permettre de configurer le réseau sur la machine par l'intermédiaire du gestionnaire réseau ("NetworkManager" ou "systemd-networkd"). La configuration décrite au format YAML sera générée au format attendue par le gestionnaire de réseau utilisé par le système.
C'est une alternative à la modification du fichier "/etc/network/interfaces" évoquée dans cet article :
Remarque : Netplan est l'outil de configuration réseau par défaut sur Ubuntu depuis la version 17.10. Actuellement, nous sommes en version 24.04. Sur Debian 12, il est intégré sur certaines images de fournisseurs Cloud, mais il n'est pas installé par défaut dans l'image officielle.
II. Comment installer Netplan sur Debian ?
Sur Ubuntu, Netplan est installé par défaut puisqu'il sert à gérer le réseau. Sur Debian, notamment Debian 12, ce n'est pas le cas. Pour installer Netplan, voici les commandes à exécuter :
Pour mettre en place des configurations réseau complexes avec Netplan, Open vSwitch doit être installé sur la machine. Il n'est pas utile pour configurer une adresse IP statique sur une ou plusieurs interfaces, ou simplement pour configurer une interface en DHCP.
III. Configuration réseau avec Netplan
Sur Ubuntu, la configuration réseau se fait principalement via Netplan pour les versions récentes. Nous allons modifier le fichier de configuration Netplan pour définir notre adresse IP statique.
Ouvrez un terminal et exécutez la commande suivante pour éditer le fichier de configuration (sous Debian, ce fichier doit être créé) :
Ajoutez les lignes indiquées ci-dessous dans le fichier pour configurer votre adresse IP statique.
Ceci va permettre de configurer l'interface réseau "ens33" avec l'adresse IP statique "192.168.14.130/24", la passerelle par défaut "192.168.14.2", les serveurs DNS "1.1.1.1" et "9.9.9.9" et le domaine de recherche "it-connect.local". Nous voyons bien que ce fichier de configuration utilise le format YAML.
L'instruction "renderer" sert à indiquer le nom du backend à utiliser pour configurer le réseau, soit NetworkManager, soit "networkd" de Systemclt.
Quand c'est fait, enregistrez et fermez ce fichier.
Note : sur Debian, continuez d'utiliser le fichier "/etc/resolv.conf" pour gérer le DNS, car Netplan semble récupérer les informations dans ce fichier, malgré la déclaration des DNS dans le fichier YAML. Si vous savez comment déléguer la gestion du DNS à Netplan, je suis preneur de l'information.
Puis, nous allons modifier les permissions sur ce fichier de configuration. Sinon, Netplan renverra l'avertissement "Permissions for /etc/netplan/01-network-manager-all.yamlare too open. Netplan configuration should NOT be accessible by others." au moment d'appliquer la configuration (ceci n'empêche pas la configuration de s'appliquer).
Désormais, nous devons appliquer les changements pour qu'ils prennent effet. Utilisez les commandes suivantes pour générer la configuration et l'appliquer auprès du gestionnaire de réseau du système :
sudo netplan generate
sudo netplan apply
Cette commande reconfigure toutes les interfaces réseau mentionnées dans le fichier de configuration. Si tout est correct, votre interface réseau utilisera maintenant l'adresse IP statique que vous avez définie. Sinon, un message d'erreur est susceptible d'être retourné dans la console.
Sachez que vous pouvez tester la configuration avant de l'appliquer :
sudo netplan try
V. Comment vérifier la configuration ?
Pour afficher et vérifier votre nouvelle configuration réseau, vous pouvez utiliser les options spécifiques de Netplan, à la place de la traditionnelle commande "ip a". Voici plusieurs commandes pour afficher la configuration complète ou celle d'une carte réseau spécifique.
sudo netplan get
sudo netplan status ens33
sudo netplan status --all
Voici un aperçu du résultat obtenu. Nous pouvons constater que l'interface "ens33" est bien gérée par Netplan par l'intermédiaire de NetworkManager.
L'alternative, ce serait d'utiliser "ip address" comme ceci :
ip a show ens33
Si la configuration n'est pas correcte, essayez le mode debug lors de l'application de la nouvelle configuration :
sudo netplan --debug apply
VI. Conclusion
Vous savez maintenant configurer une adresse IP statique sur Ubuntu ou Debian à l'aide de l'outil Netplan ! Pour toute modification future, vous pouvez modifier le fichier de configuration Netplan et réappliquer les changements avec des deux commandes appropriées, comme nous l'avons fait dans cet exemple.
Montrer que les ransomwares ne sont pas invincibles, voilà la devise de l'outil open source RansomLord ! Cet outil de cybersécurité est capable de détecter et de neutraliser les ransomwares avant même que les données ne soient chiffrées ! Comment est-ce possible ? Voici ce qu'il faut savoir !
Développé par John Page alias "hyp3rlinx", RansomLord est un outil ingénieux et innovant qui a pour objectif de venir court-circuiter le processus de chiffrement de nombreux ransomwares, y compris les plus redoutables. Ce nouvel outil anti-ransomware disponible sur GitHub est une nouvelle arme à disposition des entreprises et des particuliers dans la lutte contre les ransomwares ! Lors d'une attaque, le ransomware est neutralisé avant même de pouvoir chiffrer les données grâce au piège tendu par RansomLord.
Pour cela, RansomLord se présente comme une solution proactive pour faire face aux ransomwares. En effet, il va venir interférer avec le ransomware lors du processus de "pre-encryption" lorsque la menace va chercher à charger des bibliothèques (DLL) sur le système Windows. Il crée ses propres versions de DLL, que le ransomware va charger, et il va ainsi pouvoir mettre fin à l'exécution du ransomware grâce à un code spécial intégré dans les DLL de RansomLord. Autrement dit, il utilise la technique de "DLL hijacking", parfois elle-même utilisée par les cybercriminels !
Source : GitHub - RansomLord
La version 3.1 de RansomLord, publiée il y a quelques jours, est capable de mettre fin au processus de nombreux ransomwares, dont : LockBit, WannaCry, HelloKitty, BlackCat (ALPHV), Royal, ainsi que d'autres moins connus tels que StopCrypt, RisePro, RuRansom, ou encore MoneyMessage.
"RansomLord intercepte désormais les ransomwares testés par 49 groupes de menaces différents et y met fin.", peut-on lire sur le GitHub officiel. Grâce à des mises à jour régulières, l'auteur ajoute la prise en charge de nouveaux ransomwares.
Depuis plusieurs années, les ransomwares représentent une menace croissante pour les entreprises et les particuliers. D'ailleurs, le dernier rapport sur les menaces publié par Red Canary indique que les ransomwares sont la principale menace de ces derniers mois.
VirtualGHOST, c'est le nom d'un nouvel outil publié par CrowdStrike dont l'objectif de mettre en évidence ce que l'on pourrait appeler des machines virtuelles fantômes, cachées sur les hôtes VMware ESXi. Leur présence fait suite à une intrusion par un attaquant. Faisons le point !
À plusieurs reprises, les équipes de CrowdStrike ont identifié des machines virtuelles suspectes sur des infrastructures VMware. Suspectes, car il s'agit de machines virtuelles cachées, en cours d'exécution, et invisibles à partir de l'interface utilisateur utilisée pour administrer la plateforme VMware.
Autrement dit, la VM créée par les attaquants n'apparaît pas dans l'inventaire de VMware ESXi, ni dans celui du vCenter. Pour démarrer la machine virtuelle de façon discrète, l'attaquant doit opérer à partir de la ligne de commande d'un hyperviseur ESXi compromis. En réponse à cette nouvelle technique émergente, l'entreprise américaine CrowdStrike a développé un outil de détection nommé VirtualGHOST ! C'est d'ailleurs le surnom donné par CrowdStrike à ces fameuses machines virtuelles.
Cet outil, disponible sur GitHub, s'appuie sur un script PowerShell nommé "Detect-VirtualGHOST.ps1" qui compare la liste des machines virtuelles enregistrées dans l'inventaire avec celles qui sont effectivement allumées. Ceci permet d'identifier les machines en cours d'exécution, mais non enregistrée sur l'hôte. Lorsqu'une VM suspecte est détectée, l'outil collecte des informations supplémentaires à son sujet, notamment la configuration réseau.
Ce script s'utilise depuis un poste de travail ou un serveur distant et nécessite la présence du module VMware PowerCLI, ce dernier permettant d'exécuter des commandes "esxcli" et donc de vérifier l'état des machines virtuelles.
Remarque : pour fonctionner, le script Detect-VirtualGHOST.ps1 attend deux informations. Le nom DNS du serveur à analyser ou son adresse IP, ainsi que des identifiants pour s'authentifier sur l'API de management VMware.
Voici un exemple de sortie mettant en évidence la présence d'une VM cachée :
Cet outil a été testé par CrowdStrike sur VMware vCenter 8.0.2, ainsi que plusieurs versions de VMware ESXi (6.5.0, 7.0.3, 8.0.0).
Pour plus de détails, vous pouvez consulter le dépôt GitHub de CrowdStrike :
Compte tenu des nombreuses menaces capables de compromettre les hyperviseurs VMware ESXi, il peut s'avérer judicieux d'exécuter cet outil pour analyser son infrastructure.
Des versions piratées de la suite Microsoft Office diffusées via sites de torrents sont utilisées par les cybercriminels pour diffuser plusieurs logiciels malveillants : Cheval de Troie d'accès à distance, mineur de cryptomonnaie, etc... ! Faisons le point.
Une nouvelle campagne malveillante identifiée par le Security Intelligence Center d'AhnLab (ASEC) alerte sur les dangers du téléchargement de logiciels piratés. Malheureusement, ce n'est pas une évidence pour tout le monde et les adeptes de téléchargements illégaux restent très nombreux dans le monde entier. Les cybercriminels l'ont bien compris... Et, ils exploitent des versions piratées de Microsoft Office diffusées sur des sites de torrents pour distribuer un ensemble de malwares.
Les utilisateurs qui téléchargent et installent ces versions piratées de Microsoft Office se retrouvent infectés par divers types de logiciels malveillants, notamment des chevaux de Troie d'accès à distance (RATs), des mineurs de cryptomonnaie, etc.
Un programme d'installation trompeur !
Le programme de la version piratée de Microsoft Office présente une interface bien conçue, et plutôt trompeuse pour les utilisateurs. Nous pourrions même dire qu'elle est plutôt rassurante, car elle permet aux utilisateurs de choisir la version, la langue et la variante (32 ou 64 bits) qu'ils souhaitent installer.
Voici un aperçu :
Source : ASEC
Cependant, ce n'est que la face visible de ce programme d'installation. En effet, pendant ce temps, en arrière-plan, il lance un malware qui se connecte à un canal Telegram ou Mastodon, à partir duquel il pourra obtenir un lien menant vers Google Drive ou GitHub pour télécharger des logiciels malveillants. Ces services légitimes présentes l'avantage de ne pas alerter les solutions de sécurité.
Des charges utiles dangereuses...
Lors de leurs analyses, les chercheurs Coréens sont parvenus un ensemble de malwares, dont voici la liste :
Orcus RAT : permet un contrôle à distance complet, incluant la capture des frappes au clavier, l'accès à la webcam de l'ordinateur, la possibilité de prendre des captures d'écran ou encore d'exfiltrer des données.
XMRig : un mineur de cryptomonnaie utilisant les ressources du système pour miner du Monero. Pour éviter d'être détecté, le minage est arrêté lorsque l'utilisateur sollicite de façon intensive les ressources de la machine.
3Proxy : convertit les systèmes infectés en serveurs proxy, permettant aux attaquants de router du trafic malveillant, par l'intermédiaire du port 3306.
PureCrypter : télécharge et exécute des charges malveillantes supplémentaires à partir de sources externes.
AntiAV : désactive ou reconfigure les logiciels de sécurité en place sur la machine infectée, de façon à diminuer son niveau de sécurité et à la rendre vulnérable aux autres menaces.
Persistance des logiciels malveillants
Même si l'utilisateur découvre et supprime certains de ces malwares, le module "Updater", exécuté au démarrage du système, les réintroduit. Bien entendu, à l'occasion de la publication de cette étude, les chercheurs d'ASEC mettent en garde les utilisateurs contre les risques de téléchargement de logiciels depuis des sources non officielles et illégales, dans le but d'obtenir des logiciels piratés. Autant que possible, pensez également à vérifier l'intégrité de vos images ISO et autres sources.
Microsoft Office étant un exemple parmi tant d'autres... En effet, des campagnes similaires ont été utilisées pour propager le ransomware STOP.
Dans ce tutoriel, nous allons voir comment supprimer la prise en charge de Visual Basic Script (VBScript) sur une machine sous Windows 11 24H2. Quelques clics suffisent pour se débarrasser de VBScript !
À partir de Windows 24H2, VBScript devient une fonctionnalité facultative installée par défaut. Ceci signifie que nous avons la main pour activer ou désactiver cette fonctionnalité selon nos besoins. D'ici quelques années, Microsoft prévoit de supprimer complètement VBScript de Windows 11 et ce changement correspond à la première étape de la feuille de route de l'entreprise américaine.
Si vous n'utilisez pas VBScript et que vous utilisez Windows 11 24H2, il est pertinent de désactiver cette fonctionnalité. En effet, ce langage de script est souvent utilisé par les cybercriminels pour exécuter des malwares et d’autres programmes malveillants sur les appareils Windows. S'il est désactivé, il ne peut plus être exploité à des fins malveillantes.
Sa désactivation peut aussi perturber l'administrateur système de la machine, car ceci va rendre inopérant certains outils bien pratiques, mais basés sur VBScript. Nous pensons notamment à l'outil en ligne de commande slmgr. Désormais, Microsoft recommande de s'orienter vers des solutions plus modernes, notamment JavaScript et PowerShell, selon les scénarios.
II. Comment désinstaller VBScript ?
Nous devons accéder à l'interface de gestion des fonctionnalités facultatives. Vous pouvez utiliser la fonction de recherche de Windows, ou naviguez dans les paramètres en suivant de chemin :
Paramètres > Système > Fonctionnalités facultatives
Ensuite, nous devons localiser "VBSCRIPT" dans la liste afin de cliquer dessus pour faire apparaître le bouton "Supprimer". Il suffit de cliquer une fois sur ce bouton et VBScript sera supprimé de la machine !
Dans la liste des "Actions récentes", nous pouvons constater que l'action a été effectuée :
Voilà, nous venons de supprimer VBScript de la machine Windows 11 !
III. Comment désinstaller VBScript en ligne de commande ?
Si vous désirez plutôt utiliser la ligne de commande, sachez que l'outil DISM peut être utilisé pour ajouter ou supprimer une fonctionnalité facultative. Ceci fonctionne très bien pour VBScript.
Voici la commande à exécuter en tant qu'administrateur pour effectuer la suppression :
Quelques clics ou une commande suffisent pour supprimer VBScript de Windows 11. Si vous n'utilisez pas ce langage de script, cette action est recommandée. Si vous n'utilisez pas Windows 11 24H2, vous ne pouvez pas supprimer VBScript de cette façon pour le moment.
Dans cet article, nous allons découvrir le Mini PC ultra-compact Geekom XT12 Pro équipé d'un processeur Intel Core i9 de 12ème génération, de 32 Go de RAM et de 1 To de SSD. Envie d'en savoir plus sur ce modèle ? Lisez la suite de notre article !
Cet article va présenter ce modèle dans sa globalité, en commençant par les caractéristiques, le design et la qualité du boitier. Puis, nous parlerons des possibilités d'évolution et des performances de ce Mini PC.
Rappel : sur le marché des Mini PC, la marque Geekom est incontournable et elle s'est imposée comme un acteur majeur au niveau mondial. Elle a été créée en 2003 et la direction R&D de Geekom est située à Taiwan. En complément, la marque a plusieurs succursales dans différents pays du monde.
Commençons par découvrir les caractéristiques principales de ce modèle :
Processeur : Intel Core i9-12900H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,00 GHz)
GPU : Intel Iris Xe
RAM : 32 Go DDR4-3200, extensible jusqu'à 64 Go
Stockage : 1 To de SSD NVMe (Gen.4) + 1 emplacement pour SSD SATA au format M.2 (2242 - Jusqu'à 1 To)
Connectique : 3 x ports USB 3.2 Gen 2 + 1 x port USB 2.0 + 2 x ports USB 4 + 1 prise casque Jack 3.5 mm + 1 x slot pour une carte SD + 1 x interface réseau LAN 2.5 GbE + 2 x ports HDMI 2.0 + 1 x port d'alimentation
Affichage : prise en charge jusqu'à 4 écrans.
WiFi 6E (AX211), Bluetooth 5.2
Alimentation : 19V, 6,32A DC - 120W
Poids : 545 grammes
Dimensions (L x W x H) : 117 x 111 x 38.5mm
Système d'exploitation : Windows 11 Pro
Garantie : 3 ans
Même si le processeur Core i9 n'est pas le plus récent, Geekom a préparé une belle fiche technique pour ce modèle déjà sur le marché depuis plusieurs mois. En effet, entre l'Intel Core i9, l'interface réseau 2.5 GbE, l'USB4 et le WiFi 6E, nous pouvons nous attendre à de belles performances ! La présence d'une interface réseau 2.5 GbE est toujours un point positif, selon moi. Et surtout, ce mini PC est ultra-compact et pourra être emporté partout sans difficultés.
Ce modèle est proposé par Geekom en une seule et unique version qui est celle proposée dans cet article. La série XT se démarque par la finesse de son design et son esthétique très soignée.
III. Package et design
La boite de ce mini PC est très soignée, tout en étant sobre, car il faudra l'ouvrir pour avoir un aperçu du mini PC ! C'est d'ailleurs lui que l'on découvre à l'ouverture de la boite. Il est protégé par un bloc en mousse rigide et après l'avoir retiré, nous retrouvons l'ensemble des accessoires.
Qu'avons-nous dans la boite ? Au-delà d'avoir un Mini PC XT12 Pro, il y a aussi un câble HDMI, une alimentation externe et son câble, une plaque VESA (et les vis) permettant d'accrocher le mini PC à l'arrière d'un écran (support VESA), une notice et une lettre de remerciement pour l'achat.
Fidèle à la gamme XT, le boitier de ce modèle XT12 Pro est beau et élégant. Geekom a apporté un soin particulier au design et à la qualité de fabrication de ce boitier en aluminium. Seul le dessus est une coque en plastique blanche estampillée "Geekom". La finesse de ce boitier me plait également : moins de 4 cm de hauteur (38.5 mm). À titre de comparaison, ce boitier est moins épais et plus compact que celui du modèle Geekom IT13, il est moins encombrant disons. J'ai vraiment apprécié le design de ce modèle !
Sur la façade, nous retrouvons deux ports USB, dont un port USB 3.2 Gen2 avec PowerDelivery (PD) et un port USB 3.2 Gen2 (sans PD). Une prise casque et un bouton Power lumineux complète la façade. Sur le côté droit du boitier, il y a uniquement l'aération du boitier, tandis que sur le côté gauche, une fente de verrouillage Kensington a été discrètement incrustée au maillage de l'aération. Le flux d'air entrant s'effectuera par la gauche et la droite du boitier.
Tout le reste de la connectique se situe à l'arrière du boitier. Il y a les deux ports USB4 au format USB-C avec PowerDelivery, ce qui est la norme USB la plus récente à ce jour. Le débit théorique de l'USB4 est de 40 Gbps. Il y a un autre port USB 3 ainsi qu'un port USB 2.0, soit un total de 6 ports USB. N'oublions pas les deux ports HDMI 2.0 et le port RJ45 2.5 GbE.
Ce modèle est équipé de la technologie de refroidissement IceBlast 1.0 de Geekom. Ceci se traduit par la présence d'un grand ventilateur et la présence de cuivre pour dissiper la chaleur. D'ailleurs, l'aération du dissipateur thermique pour permettre l'évacuation de l'air chaud est situé à l'arrière, au-dessus de la connectique.
Comme souvent sur les modèles de cette marque, la mention "Geekom" est présente sur le dessus du boitier. En dessous, il n'y a pas d'aération contrairement à ce que l'on pourrait penser, mais nous avons 2 patins antidérapants très larges, ainsi que 4 vis pour ouvrir très facilement le boitier. Elles restent « accrochées » à la partie amovible du boitier, ce qui évitera de les égarer... Et il n'y a pas de patins à décoller pour accéder aux vis.
Ce boitier est majoritairement en aluminium brossé, car il n'y a que la partie supérieure qui est en plastique blanc. Cette vue éclatée montre bien la conception du boitier du XT12 Pro :
Jetons un coup d'œil à l'intérieur du boitier. Nous aurons surement l'occasion d'en savoir plus sur les composants utilisés par Geekom. Voici ce que l'on peut apprendre :
Un SSD NVMe de marque Kingston, avec la référence KINGSTON OM8PGP41024N-A0, d'une capacité de 2 To, en PCIe Gen4.0
Deux barrettes de RAM de marque Lexar : 16 Go 1Rx8 - PC4-3200AA-SA2. Soit 32 Go au total. Il est possible de passer sur 64 Go de RAM, mais ceci implique de remplacer les deux barettes déjà présentes, car les deux slots sont occupés.
Une carte MediaTek MT7922A22M pour le Wi-Fi et le Bluetooth
Contrairement au modèle Geekom IT13, celui-ci ne peut pas accueillir un disque SATA au format 2.5 pouces car le boitier est moins épais et n'est pas prévu pour cela. Néanmoins, nous pouvons ajouter un disque SSD SATA M.2 supplémentaire, grâce à l'emplacement disponible entre le SSD NVMe et les barrettes de RAM.
Avec ce modèle et compte tenu de la conception du boitier, les composants sont facilement accessibles, identifiables et remplaçables. Que ce soit en cas de panne ou pour une quelconque évolution, c'est important de le préciser.
IV. Évolutivité et performances
A. Mise en route et évolutivité
Mettons en route le mini PC XT12 Pro de chez Geekom ! Avant d'évoquer le système d'exploitation, regardons les options proposées dans le BIOS de la machine. Le moins que l'on puisse dire, c'est que c'est minimaliste. À part la possibilité de définir un mot de passe pour le BIOS, de gérer l'ordre de démarrage et de gérer le Secure Boot, nous n'avons pas grand-chose à notre disposition. C'est à prendre en compte pour ceux qui ont l'habitude de tuner le BIOS de leur PC. Par exemple, le Wake on LAN n'est pas proposé. Sinon, pour information, il n'y a pas d'options relatives à la prise en charge de la virtualisation, mais elle est bien prise en charge : vous pouvez installer un hyperviseur.
La mise en route passe par la finalisation de l'installation du système Windows 11 Pro ! Nous retrouvons les étapes et questions habituelles propres au fonctionnement du système Windows 11. Il est tout à fait possible d'utiliser un compte local ou un compte Microsoft, au choix.
Geekom utilise des images officielles de Windows 11 Pro et elles ne sont pas personnalisées. Il n'y a aucune application supplémentaire ajoutée. Malgré tout, ma recommandation reste la même, peu importe le modèle du PC : effectuer une réinstallation avec votre propre image, que ce soit Windows ou un autre système.
Le premier démarrage est aussi l'occasion de constater que ce mini PC ventile fort pendant 1 ou 2 minutes lorsqu'il est démarré. Ensuite, le silence est de mise : mais jusqu'à quand ? Je reviendrai sur ce point.
Le mini-PC est livré avec 32 Go de RAM en DDR4, mais une mise à niveau est possible. Le processeur i9 utilisé pour cette configuration supporte jusqu'à 64 Go de RAM au maximum, ce qui correspond au maximum pris en charge par ce modèle de mini PC. Par contre, vous devez remplacer les deux barrettes de RAM actuelles pour doubler la RAM. Si vous souhaitez utiliser ce PC pour de la virtualisation afin d'y installer un hyperviseur, ce sera peut-être nécessaire selon vos besoins.
Pour le CPU et la RAM, voici des détails techniques obtenus avec le logiciel CPU-Z :
La présence de deux ports HDMI 2.0 et deux ports USB4 permet de connecter jusqu'à 4 écrans sur ce mini PC ! La connexion HDMI propose un affichage 4K @ 60 Hz, tandis qu'on est sur un affichage à 8K @ 30 Hz sur les ports USB4.
Nous pouvons aussi noter la possibilité d'exploiter la connexion USB4 pour brancher un GPU externe (eGPU), c'est-à-dire une carte graphique externe. Du côté stockage, ce mini PC peut accueillir 1 SSD SATA au format M.2 (2242 - Jusqu'à 1 To) en plus du SSD NVMe intégré au boitier. Attention toutefois, le format M.2 2242, bien qu'adapté pour les formats compacts, n'est pas courant (22 mm de largeur et 42 mm de longueur) au contraire du format 2280 beaucoup plus répandu.
B. Performances
Ce mini PC est équipé d'un processeur Intel Core i9 de 12ème génération lancé au premier trimestre 2022. Le modèle i9-12900H a 14 cœurs et 20 threads, avec fréquence maximale en mode Turbo de 5,0 GHz.
Qu'en est-il des performances du disque SSD NVMe livré avec le mini PC ?
Un copier-coller de gros fichiers en local (de disque à disque, sur le même volume), est effectué avec une vitesse moyenne de 1.30 Go/s, ce qui est bon résultat ! Sur un autre test, en 1 minute et 34 secondes, j'ai pu dupliquer une bibliothèque d'images ISO de 101 Go !
Voici un benchmark du disque effectué avec Crystal Disk Mark :
CrystalDiskInfo
Voici une analyse CrystalDiskInfo du disque SSD NVMe de marque Kingston monté en PCIe 4.0 présent dans ce PC :
Geekbench
J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur ces pages :
Sans surprise, le processeur du modèle XT12 Pro est légèrement moins performant que celui du modèle IT13 : une génération d'écart, cela crée forcément une différence.
Qu'en est-il du bruit du ventilateur ?
Comme je l'évoquais précédemment, lorsque l'ordinateur démarre, il ventile relativement fort. Une fois que la machine a finalisé son démarrage, cela s'arrête et le mini PC devient très silencieux. Utilisée pour de la bureautique, elle reste silencieuse, tout au long de son utilisation.
Par contre, si le mini PC est très sollicité (ce que j'ai pu constater avec les benchmarks, notamment), il se met à ventiler et là, ce sera difficile de ne pas l'entendre : ce qui pourra être plus ou moins gênant selon l'emplacement du mini PC vis-à-vis de l'utilisateur. C'est aussi une question de tolérance de l'utilisateur lui-même. Si le mini PC est derrière l'écran, le bruit sera un peu "étouffé". Le bruit généré fait penser à celui de la ventilation d'un ordinateur portable qui tourne à plein régime. Il y a pire, mais il y a aussi plus discret.
Cette ventilation semble avoir un impact positif sur la gestion de la température du matériel : le boitier est légèrement tiède et la température du CPU bien maitrisée.
Que peut-on faire et ne pas faire avec ce modèle ?
Naviguer sur Internet, lire des vidéos, ouvrir et exécuter plusieurs applications en même temps, ce sont des tâches qui ne vont pas effrayer ce mini PC. Très à l'aise pour la bureautique et le multimédia, il montre ses limites lorsque l'on sollicite la partie graphique. C'est un perpétuel problème sur les machines avec une puce graphique intégrée au processeur, un iGPU "Intel Iris Xe" dans le cas présent.
Ce mini PC pourrait tout à fait être utilisé en tant que serveur pour faire tourner des machines virtuelles : le processeur Intel Core i9 et le 32 Go de RAM permettront de faire tourner plusieurs VMs simultanément.
Jouer à certains jeux n'est pas un problème si vous êtes prêts à diminuer les effets visuels et à réduire la qualité graphique de vos jeux. L'habituel test avec GTA V est un bon exemple : l'expérience en jeu est bonne, car c'est fluide, mais ceci oblige à ajuster les options liées aux graphismes.
V. Conclusion
Ce mini PC, très compact et performant pourrait mettre au placard de nombreux ordinateurs fixes beaucoup plus imposant que lui, moins bien équipé et moins performant. Geekom a pris l'habitude de miser sur l'Intel Core i9 pour plusieurs de ses modèles, dont celui-ci, et c'est à chaque fois une réussite. L'Intel Core i9 de 12ème génération offre de belles performances, et si vous avez besoin d'encore un peu plus, vous pouvez miser sur le Geekom IT13 équipé de la 13ème génération de Core i9.
Ce mini PC polyvalent, avec une configuration moderne, pourra satisfaire les besoins de nombreux utilisateurs pendant plusieurs années. La garantie de 3 ans du constructeur est également là pour nous rassurer.
Le Geekom XT12 Pro avec l'Intel Core i9 est proposé à 749,00 euros. Soit 100 euros de moins que le modèle Geekom IT13 équipé d'un processeur Intel Core i9 de 13ème génération, et un peu plus puissant.
Avantages
Un très beau boitier en aluminium brossé : élégant et compact
Une config convaincante et performante : Intel Core i9, 32 Go de RAM et 1 To de SSD
Windows 11 Pro : image officielle, sans logiciels supplémentaires
Connectique moderne et bien fournie (USB4, RJ45 2.5 GbE, etc.)
Ouverture facile du boitier : 4 vis facilement accessibles
Inconvénients
Disque SSD : le format M.2 2242 de l'emplacement supplémentaire
Bruyant lorsqu'il est sollicité
La puce graphique intégrée (iGPU) ne convient pas si vous souhaitez jouer sans faire de concession sur les graphismes
Offre spéciale sur le Geekom XT12 Pro
Profitez de 5% de réduction sur Amazon.fr ou sur la boutique officielle de Geekom, en utilisant les liens et codes ci-dessous.
Un nouveau coup de filet majeur contre les cybercriminels : les autorités internationales sont parvenues à démanteler des infrastructures associées à plusieurs logiciels malveillants. Nom de l'opération ENDGAME. Voici ce que l'on sait.
Le 30 mai 2024, une vaste opération de démantèlement de plusieurs infrastructures cybercriminelles a été menée avec succès dans le cadre d’une coopération judiciaire internationale baptisée "ENDGAME". Il s'agit d'une opération indépendante de l'opération Cronos menée contre le gang LockBit : preuve que les autorités travaillent ardemment pour lutter contre la cybercriminalité.
Cette opération coordonnée a été menée par des autorités de plusieurs pays, notamment la France, l'Allemagne, les Pays-Bas, le Danemark, le Royaume-Uni et les États-Unis. La coordination globale a été assurée par Europol, qui a d'ailleurs publié un rapport à ce sujet.
En France, cette initiative a été menée par la section J3 de lutte contre la Cybercriminalité du Parquet de Paris en collaboration avec l’Office anti-cybercriminalité (OFAC). Par ailleurs, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a contribué à l'opération ENDGAME en participant à l’identification et à la notification des victimes.
L'opération visait spécifiquement à neutraliser des serveurs rattachés aux infrastructures utilisées par les cybercriminels. Résultat, les forces de l'ordre sont parvenues à saisir une centaine de serveurs et plus de 2 000 noms de domaines ! Les serveurs en question sont répartis dans différents pays : Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine.
"Les opérations menées par les forces de l’ordre se sont déployées sur plusieurs pays et ont mené à l’interpellation de 4 personnes dont 3 par les autorités françaises, à 16 perquisitions.", peut-on lire dans un post LinkedIn publié par le Parquet de Paris.
L'objectif était de cibler les infrastructures utilisées dans le fonctionnement de différents loaders : BumbleBee, IcedID, Smokeloader, Pikabot, Trickbot et SystemBCt. Ces logiciels malveillants sont généralement distribués via des campagnes de phishing. Une fois qu'une machine est infectée, ce code malveillant est utilisé pour télécharger et déployer d'autres malwares, dont des ransomwares.
Le Parquet de Paris précise que "L’administrateur du botnet Pikabot a été interpellé en Ukraine avec le concours des autorités ukrainiennes, l’un des acteurs principaux du dropper « Bumblebee » a été auditionné en Arménie."
Il y a quelques jours, Microsoft a publié la mise à jour KB5037853 pour Windows 11 afin de permettre aux utilisateurs de tester les changements à venir en juin 2024, lorsque la nouvelle mise à jour cumulative sera disponible. Les premiers retours ne sont pas bons. Voici ce que l'on sait.
Le 29 mai 2024, Microsoft a mis en ligne la mise à jour optionnelle KB5037853 pour les appareils sous Windows 11. Étant optionnelle, cette mise à jour s'installe de façon automatique uniquement si l'on active l'option "Recevez les dernières mises à jour dès qu'elles sont disponibles" dans les paramètres de Windows Update.
Cette mise à jour permet de tester en avant-première les changements apportés par Microsoft, que ce soit les bugs corrigés ou les éventuelles nouvelles fonctionnalités. Ceci est un aperçu de ce qui attend les utilisateurs de Windows 11 dans la prochaine mise à jour cumulative obligatoire, c'est-à-dire celle qui sera publiée le 11 juin 2024 dans le cas présent.
Sur son site, Microsoft a révélé que cette mise à jour pouvait faire planter la barre des tâches sur les machines Windows 11 22H2 et Windows 11 23H2 où la mise à jour KB5037853 a été installée.
"Après l'installation de cette mise à jour, il se peut que vous rencontriez des problèmes lors de l'utilisation de la barre des tâches. Il se peut que la barre des tâches présente des dysfonctionnements temporaires, qu'elle ne réponde pas, qu'elle disparaisse et qu'elle réapparaisse automatiquement.", peut-on lire sur cette page. L'entreprise américaine précise également que ce plantage génère un événement avec l'ID 1000 dans les journaux Windows, évoquant "Explorer.exe" en tant qu'application en tant qu'application défectueuse. Une référence à "Taskbar.View.dll" est également présente.
La solution proposée par Microsoft
Microsoft a déjà remédié à ce bug impactant la barre des tâches en s'appuyant sur sa fonction Known Issue Rollback (KIR). L'application est automatique sur les appareils des particuliers ("non managés") même si le déploiement peut prendre 24 heures. Pour les appareils managés, il convient de s'appuyer sur une stratégie de groupe comme l'explique cette page de la documentation Microsoft. Dans le cas présent, il convient de déployer le package KIR que vous pouvez télécharger via ce lien.
En principe, la mise à jour cumulative qui sera publiée le 11 juin 2024 ne contiendra pas ce bug car Microsoft pourra le corriger d'ici-là. Merci à ceux qui ont essuyé les plâtres...
La cybersécurité est un enjeu crucial pour les petites et moyennes entreprises (TPE/PME). Comment sécuriser son réseau ? C'est la question que se posent les dirigeants d'entreprises. Nous allons voir comment répondre à cette question grâce à l'utilisation des fonctionnalités de la solution TP-Link Omada.
Nous vous proposons un tour d'horizon des fonctionnalités de sécurité offertes par la solution TP-Link Omada, autour de 3 grands axes, en commençant aujourd'hui par le premier :
La sécurité du réseau : détectez et bloquez les menaces
L'authentification réseau et la sécurité du Wi-Fi
La gestion d'un portail captif et la centralisation des logs
Ceci nous permettra d'évoquer un ensemble de fonctionnalités techniques à configurer pour renforcer la sécurité d'un réseau. Ces mesures viennent s'ajouter aux autres recommandations telles que la sensibilisation des utilisateurs, les sauvegardes régulières, l'application des mises à jour, utiliser des mots de passe robustes, etc.
Pour rappel, la solution TP-Link Omada est entièrement gratuite : 0 licence pour le contrôleur en lui-même, 0 licence pour les périphériques réseau et 0 licence pour les mises à jour logicielles. Autrement dit, il vous suffit d'acheter les appareils de la gamme TP-Link Omada : routeurs, switchs, points d'accès Wi-Fi, etc. Le contrôleur TP-Link Omada peut être un boitier physique ou une machine virtuelle que vous pouvez auto-héberger.
Pour approfondir ce point, consultez notre précédent article (inclus une vidéo) sur le sujet :
II. La sécurité du réseau : détectez et bloquez les menaces
En informatique, une menace désigne un danger potentiel en mesure de compromettre la sécurité de l'infrastructure d'une organisation. Ces menaces peuvent prendre différentes formes et être présentes aussi bien en interne qu'en externe. Ceci conduit les entreprises à sécuriser leur accès à Internet, mais également leur réseau local.
La base de la sécurité d'un réseau passe par l'implémentation de règles de filtrage afin de limiter et de contrôler les flux entrants et sortants. Aujourd'hui, face à la diversité des usages et la complexité des menaces, les organisations doivent effectuer du filtrage réseau et du filtrage applicatif pour garder la maitrise de leur réseau. Ces différentes règles, que l'on peut appeler "ACL", vont permettre de déterminer ce que peut faire ou ne pas faire un équipement connecté au réseau.
Quelle est la différence entre le filtrage réseau et le filtrage applicatif ? Le filtrage réseau se concentre sur les ports et les paquets IP, tandis que le filtrage applicatif intervient au niveau des applications et de leurs protocoles spécifiques. Autrement dit, nous ne travaillons pas sur la même couche du modèle OSI. Ceci fait référence à la fonction de pare-feu dont l'implémentation est recommandée par l'ANSSI dans plusieurs de ses guides, y compris dans celui intitulé "La cybersécurité pour les TPE/PME en 13 questions".
Le trafic du réseau ne doit pas seulement être filtré de façon statique. Ce n'est pas suffisant pour assurer la sécurité du réseau. Les flux en transit sur le réseau doivent être analysés pour détecter et bloquer les comportements suspects et malveillants. C'est pour cette raison que nous pouvons recourir à un système de détection d'intrusion (IDS) et un système de prévention d'intrusion (IPS). En effet, l'IDS va analyser les paquets de données à la recherche de schémas anormaux tandis que l'IPS va bloquer les attaques en temps réel.
A. Les fonctions de TP-Link Omada
Avec la solution TP-Link Omada, nous allons pouvoir déployer un ensemble de fonctionnalités pour sécuriser un réseau par le filtrage des flux ainsi que la détection et le blocage des menaces.
La Deep Packet Inspection (DPI) analyse en profondeur le contenu des paquets pour bloquer des applications et des services indésirables et/ou malveillants.
Le blocage par DNS Proxy permet de filtrer le trafic DNS malveillant par l'utilisation d'un DNS prévu à cet effet.
Le filtrage IP, MAC et URL permet de bloquer l’accès à des sites Web, adresses IP ou mots clés spécifiques.
La création d'ACL (Access Control List) pour restreindre l'accès aux ressources réseau, au niveau du routeur, des switchs et des bornes WiFi.
La restriction géographique (GeoIP) via les listes de contrôle d’accès (ACL) permet de limiter l’accès en fonction de la localisation géographique.
Le blocage des attaques par déni de service (DoS).
La protection contre l'ARP spoofing (ou empoisonnement de cache ARP).
Etc....
En combinant l'utilisation de ces fonctionnalités, les entreprises peuvent renforcer la sécurité de leur réseau, et ainsi mieux protéger leurs données.
B. Scénario de déploiement
Pour cette démonstration, nous allons mettre en œuvre une configuration dont l'objectif sera de :
Bloquer les flux entrants en provenance de la Russie et de la Chine, grâce au filtrage géographique.
Renforcer la sécurité de la navigation Internet grâce à l'utilisation d'un proxy DNS, ce dernier pouvant filtrer les contenus malveillants. Le DNS sécurisé "https://security.cloudflare-dns.com/dns-query" sera utilisé pour bloquer les malwares.
Bloquer les applications et les services relatifs au P2P, aux tunnels VPN, au partage de fichiers en ligne, et à la prise en main à distance.
Activer les mécanismes de protection contre les attaques DoS et l'ARP Spoofing.
Détecter et bloquer les flux malveillants (P2P, User-agents suspects, etc...) grâce à l'IDS/IPS.
C. La vidéo de mise en œuvre
Ci-dessous, la vidéo de mise en œuvre technique de cette configuration avec la solution TP-Link Omada.
L'interface intuitive de TP-Link Omada permet de configurer des fonctionnalités de sécurité simplement, aussi bien sur les réseaux filaires que Wi-Fi. En effet, la plateforme TP-Link Omada permet l'administration des routeurs, des switchs et des points d'accès, que ce soit pour un ou plusieurs sites, ainsi que un ou plusieurs clients lors de l'utilisation du mode MSP.
Visitez le site TP-Link Omada pour en savoir plus :
Sachez que des nouveautés sont attendues pour la version 5.15 qui sera disponible cet été :
Prise en charge du filtrage de contenu, y compris le filtrage DNS et le filtrage d'URL
Prise en charge de la base de données de signatures d'URL, mise à jour régulière
Prise en charge du filtrage DNS pour deux catégories (Travail et Domicile)
Prise en charge de la liste noire et de la liste blanche de filtrage de contenu
Fonctionnalités de SD-WAN
Rendez-vous prochainement pour la seconde partie de cette série intitulée "L'authentification réseau et la sécurité du Wi-Fi" ! En attendant, vous pouvez commenter cet article pour donner votre avis ou poser vos questions.
La sortie de Windows 11 24H2 est proche et certains changements effectués par Microsoft pourraient perturber l'accès à des fichiers partagés sur les NAS. En effet, la configuration par défaut des accès réseau basés sur l'utilisateur du protocole SMB a été renforcée.
Ceci va impacter l'accès aux données hébergées sur des partages de fichiers, notamment sur les NAS, que ce soit des modèles de chez Synology, Asustor, QNAP ou encore TerraMaster. Microsoft a mis en ligne un article à ce sujet pour avertir ses utilisateurs. Nous allons évoquer ces changements ainsi que les solutions possibles.
II. Windows 11 24H2 : ce qui change avec le protocole SMB
A. Les modifications apportées par Microsoft
Microsoft a apporté deux changements importants dans la configuration des connexions SMB sur Windows 11 24H2. L'objectif étant de renforcer la sécurité de Windows et de lutter contre certaines attaques associées au protocole SMB (dont le "SMB relay").
Par défaut, la signature SMB sera requise et obligatoire pour toutes les connexions. Dans le cadre d'une connexion SMB, où le client est représenté par le PC Windows 11 et le serveur par le NAS (ou un autre périphérique), si le serveur SMB ne prend pas en charge la signature des échanges, alors la connexion échouera.
"Nous ne savons pas faire la différence entre un NAS qui n'a pas activé la signature SMB et un serveur malveillant qui ne veut pas que la signature SMB soit activée.", voilà une phrase qui résume bien l'intérêt d'avoir la signature SMB activée, et le problème de ne pas l'utiliser.
Le basculement vers l'accès invité, appelé "guest fallback", lors de la connexion à des partages SMB sera désactivé sur Windows 11 Pro. L'accès invité sert à se connecter sur un partage réseau en tant qu'invité, c'est-à-dire de façon anonyme, sans avoir besoin de préciser un identifiant et un mot de passe. Cette possibilité va être désactivée.
À ce sujet, Microsoft précise : "La signature SMB est disponible dans Windows depuis 30 ans mais, pour la première fois, elle est désormais requise par défaut pour toutes les connexions. La fonction d'invité est désactivée dans Windows depuis 25 ans et la fonction SMB guest fallback est désactivée depuis Windows 10 dans les éditions Enterprise, Education et Pro for Workstation."
Ces changements concernent principalement les connexions SMB sortantes depuis votre appareil Windows 11 vers d’autres serveurs SMB. Autrement dit, lorsque votre appareil Windows 11 se connecte à un autre serveur, notamment un partage réseau situé sur un NAS.
B. Les erreurs que vous pouvez rencontrer
Microsoft a précisé un ensemble de messages d'erreur et de codes d'erreur que vous pouvez rencontrer avec Windows 11 24H2 lors de l'accès à un NAS. Voici les messages en question.
Si la signature SMB n'est pas prise en charge par le NAS.
0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
The cryptographic signature is invalid / La signature cryptographique n'est pas valide
Si le NAS exige une connexion en tant qu'invité (ce qui est plus rare).
You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network / Vous ne pouvez pas accéder à ce dossier partagé car les règles de sécurité de votre entreprise bloquent l'accès des invités non authentifiés. Ces stratégies permettent de protéger votre ordinateur contre les périphériques dangereux ou malveillants présents sur le réseau.
0x80070035
0x800704f8
The network path was not found / Le chemin d'accès au réseau n'a pas été trouvé
System error 3227320323 has occurred / L'erreur système 3227320323 s'est produite
Que faire pour résoudre ces erreurs ?
III. Comment configurer son NAS ?
Nous n'allons pas voir comment autoriser l'accès invité, car je considère que le risque de sécurité est trop important, autant pour votre appareil Windows 11 que pour les données hébergées sur votre NAS. Néanmoins, nous allons nous intéresser à la signature SMB.
Vous avez deux solutions :
Configurer le NAS pour activer la signature SMB et ainsi permettre la connexion des appareils Windows 11 24H2 tout en renforçant la sécurité des accès.
Configurer l'appareil Windows 11 24H2 pour ne pas rendre la signature SMB obligatoire, ce qui d'avoir une configuration identique à celle de Windows 11 23H2 et les versions antérieures.
A. Activer la signature SMB sur un NAS Synology
La signature SMB est prise en charge par le système DSM des NAS Synology. Il s'agit d'une fonctionnalité supportée dans DSM 6.2 et les versions supérieures (bien que pas située au même endroit dans toutes les versions). Voici où trouver cette option dans DSM 7.2.
Connectez-vous à DSM et accédez au "Panneau de configuration" afin de parcourir l'interface de cette façon :
1 - Cliquez sur "Services de fichiers".
2 - Cliquez sur l'onglet "SMB".
3- Cliquez sur le bouton "Paramètres avancés".
4 - Configurez l'option "Activer la signature serveur" de façon à choisir le mode "Défini par le client". La valeur par défaut est "Désactiver". Ceci permettra d'accepter les connexions des appareils Windows 11 24H2, tout en continuant d'autoriser les clients qui ne supportent pas la signature SMB, ou pour lesquels, elle n'est pas activée. Dans un second temps, il pourrait être utile de sélectionner le mode "Forcer".
Il ne vous reste plus qu'à cliquer sur "Sauvegarder" pour valider.
Ce simple changement va permettre aux appareils Windows 11 24H2 de se connecter à un partage de fichiers situés sur un NAS Synology, via le protocole SMB. À condition, bien entendu, de s'authentifier avec un nom d'utilisateur et un mot de passe. La configuration du NAS, c'est-à-dire du serveur SMB, est l'option à privilégiée.
Remarque : la signature SMB est prise en charge sur d'autres marques de NAS. L'idée générale reste la même, donc "il suffira" de naviguer dans les menus pour trouver une option équivalente à celle présentée ici.
B. Activer ou désactiver la signature SMB sur Windows 11
Pour activer ou désactiver la signature SMB sur Windows 11, il convient d'éditer la stratégie de sécurité locale ou d'utiliser PowerShell. Cette action doit être effectuée uniquement si le NAS, ou en tout cas le serveur SMB, ne supporte pas la signature SMB.
Voici la marche à suivre à partir de l'interface graphique :
Appuyez sur Win + R, tapez "gpedit.msc"et appuyez sur Entrée.
Dans l’arborescence, accédez à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
Double-cliquez sur le paramètre nommé "Client réseau Microsoft : communications signées numériquement (toujours)", ou "Microsoft network client: Digitally sign communications (always)", en anglais.
Sélectionnez "Désactivé" et cliquez sur "OK".
Ce qui donne :
Remarque : ce paramètre est configurable dans une stratégie de groupe (GPO) Active Directory afin de modifier la configuration sur un ensemble d'appareils.
Si vous souhaitez opérer en ligne de commande, vous pouvez utiliser les commandes suivantes pour configurer la signature SMB à l'aide de PowerShell. Commencez par ouvrir une console PowerShell en tant qu'administrateur.
La commande ci-dessous sert à indiquer si votre PC est actuellement configuré pour exiger ou non la signature SMB. Si la valeur retournée "true", c'est que c'est le cas. Sinon, la valeur "false" sera retournée.
Ce changement va permettre à votre appareil Windows 11 24H2 de se connecter à un partage SMB, en faisant une croix sur la signature SMB.
IV. Conclusion
Voilà, nous venons de traiter cette problématique intéressante et qui devrait perturber de nombreux utilisateurs, que ce soit les particuliers ou les professionnels. En effet, les NAS sont très répandues et nous sommes susceptibles de les croiser aussi bien dans une baie informatique que dans un salon...
Ce qui est évoqué dans cet article, en prenant le cas d'un NAS, s'applique aussi pour Windows Server. En fait, la signature SMB doit être activée sur Windows Server pour que l'appareil Windows 11 24H2 puisse se connecter à un partage de fichiers. Ce cas de figure sera abordé dans un autre article.
La configuration évoquée ici est celle attendue dans la version stable de Windows 11 24H2. De mon côté, j'ai installé une machine Windows 11 24H2 en version "Preview" et la signature SMB n'était pas forcée : j'ignore pourquoi. Si vous faites des tests de votre côté, n'hésitez pas à faire un retour en commentaire.
Qu'est-ce que le tableau de bord Google My Activity ? Peut-on désactiver l'historique sur son compte Google ? Est-il possible de supprimer les données collectées par Google ? Nous allons répondre à ces trois questions !
À partir du moment où l'on utilise les services de Google, nos faits et gestes sont intégrés au sein d'un historique. Ceci est vrai pour les recherches sur le moteur de recherche, le streaming de vidéos sur YouTube ou encore la navigation avec Maps. Google essaie de jouer la carte de la transparence grâce à une interface en ligne que chacun peut utiliser pour visualiser son activité : Google My Activity.
II. Qu'est-ce que l'outil My Activity ou Mon Activité de Google ?
Google My Activity, ou en français, Mon Activité Google, se présente sous la forme d'un centre de contrôle accessible à partir de son compte Google, à l'adresse suivante : myactivity.google.com. Même s'il n'est pas connu de tous les utilisateurs, il n'est pas nouveau, car il existe depuis 2016.
Au-delà de vous, donner l'accès à votre historique sur les différents services Google, c'est aussi un moyen de brider la collecte de données. En effet, lorsque l'on arrive sur la page d'accueil de "Mon activité Google", on peut voir en un coup d'œil l'état des fonctions suivantes :
Activité sur le Web et dans les applications,
Historique des positions,
Historique YouTube
Tout cela correspond aux recherches effectuées sur le moteur de recherche Google et sur YouTube, mais aussi aux vidéos que vous regardez en étant connecté à votre compte Google. Ainsi, vous pouvez visualiser l'historique des recherches effectuées et des pages visitées sur tous vos appareils, car ces informations sont stockées sur les serveurs de Google. Sans surprise, ces différentes options sont activées par défaut. Vous pouvez lire cet article détaillé pour en savoir plus sur l'historique de my activity.
Google décrit l'historique de YouTube de cette façon : "L'historique YouTube répertorie les vidéos que vous avez visionnées ainsi que les recherches que vous avez effectuées sur YouTube. En conservant votre historique YouTube, vous pouvez bénéficier d'une expérience plus personnalisée, comme de meilleures recommandations ou la possibilité de reprendre là où vous en étiez."
La collecte de données des utilisateurs et Google, c'est un sujet de longue date. Ainsi, si l'on souhaite utiliser les services de Google sans pour autant donner le maximum d'informations à Google, cela me semble indispensable d'aller faire un tour dans cette interface. Vous pourriez bien être surpris de voir à quel point Google trace l'ensemble de vos actions. Même si l'on sait que Google "se fait plaisir", c'est l'occasion d'avoir un aperçu, car on peut imaginer, légitimement, que ces données sont exploitées par le géant américain.
Pour désactiver l'enregistrement de données, cliquez sur chaque section et désactivez toutes les options disponibles. Par la même occasion, vous pourrez supprimer l'historique relatif à la section en cours de configuration.
L'exemple ci-dessous montre comment désactiver l'enregistrement de votre activité pour le Web et les applications Google. Vous devez cliquer sur le bouton "Désactiver" puis choisir entre, simplement désactiver, ou alors désactiver et supprimer les données actuelles. Faites le choix que vous préférez et laissez-vous guider par l'assistant. Profitez-en également pour désactiver les paramètres secondaires.
III. Comment supprimer les données de son compte Google ?
Google My Activity offre la possibilité à l'utilisateur de supprimer les données de son historique, que ce soit pour Android (historique d'utilisation des applications !), la navigation Google Maps, les recherches Google, ou encore l'utilisation de l'assistant Google.
Tout d'abord, le bouton "Supprimer" présent sur la page d'accueil du tableau de bord Google My Activity peut vous permettre de supprimer rapidement les données, notamment celles les plus récentes (dernière heure, dernier jour), sur une période personnalisée ou sur toute la période.
Le fait de choisir "Toute la période" permet de sélectionner les services et applications pour lesquels vous souhaitez supprimer les données. Ceci est efficace à condition de désactiver également l'historique, sinon, Google va continuer à collecter les données.
Plus intéressant encore, il est possible, à partir du menu "Commandes relatives à l'activité" (présent dans le menu latéral, sur la gauche) de configurer la suppression automatique des activités Google de plus de 3 mois, de plus de 18 mois ou de plus de 36 mois.
IV. Conclusion
En conclusion, je dirais que Google My Activity est un outil utile pour savoir tout ce que Google sait de vous (et qu'on a le droit de savoir). Chaque internaute qui utilise les services de Google devrait s'y connecter au moins une fois pour définir ses préférences. Malheureusement, je doute que ce soit utilisé majoritairement, sauf par les utilisateurs avertis et ceux qui souhaitent volontairement améliorer la protection de leurs données personnelles.
Retenez que My Activity est un outil pratique pour contrôler et personnaliser votre expérience avec les services Google en gardant un œil sur votre activité en ligne. En effet, l'historique est exploité par Google pour personnaliser votre expérience à différents niveaux, y compris pour les publicités.
Pour se protéger totalement contre ce phénomène, la meilleure solution reste d'utiliser des services alternatifs en remplacement de ceux de Google. Pour la recherche sur le Web, vous pouvez utiliser les moteurs de recherche Qwant et DuckDuckGo en remplacement de Google (mais sachez qu'ils s'appuient sur l'API de Bing, le moteur de recherche de Microsoft). Pour la messagerie électronique, il y a également des alternatives, notamment ProtonMail, un service suisse en perpétuelle évolution, ainsi que d'autres tels que kMail d'Infomaniak.
Connaissiez-vous cette interface de gestion Google ?
Le gang de ransomware Monti a frappé fort dans le Sud de la France en faisant 3 victimes d'un coup : l'aéroport de Pau-Pyrénées, l'école de commerce de Pau ainsi que le campus numérique de la ville. Faisons le point !
Dans la nuit du dimanche 12 au lundi 13 mai 2024, un groupe de pirates nommé Monti Ransomware a mené des cyberattaques à l'encontre de trois institutions de la ville de Pau. Les pirates sont parvenus à s'introduire sur l'infrastructure de l'aéroport de Pau-Pyrénées, l'école de commerce Eklore (ex-CNPC) et le campus numérique de la ville de Pau. Il s'agit de trois institutions liées à la Chambre de Commerce et d'Industrie (CCI) Pau Béarn.
Les journalistes de Sud-Ouest sont parvenus à obtenir des informations auprès de la CCI : « Les activités ne sont pas arrêtées mais simplement en mode dégradé. Il n’y a aucun souci sur les vols à l’aéroport. Idem à l’école de commerce, où les cours ont lieu mais sans une partie des outils numériques. », peut-on lire. Une plainte a été déposée.
Des données publiées sur le Dark Web
Sur son site accessible via le Dark Web, le gang de ransomware Monti a mis en ligne des données volées lors de cette cyberattaque. Il serait question de plusieurs milliers de documents, dont des documents administratifs, des factures, des bilans RH ainsi que des informations personnelles relatives aux salariés et aux étudiants. Des données précieuses pouvant être utilisées pour mener des campagnes de phishing ou tenter d'usurper l'identité des personnes concernées.
La divulgation des données par les pirates n'est pas une surprise : en France, les établissements publics ont pour consigne de ne pas payer la rançon demandée par les cybercriminels. Ceci est la bonne décision, mais généralement cela en résulte à la mise en ligne des données exfiltrées lors de l'attaque.
Le gang de ransomware Monti a été repéré pour la première fois en juin 2022. S'il porte un nom proche du ransomware Conti, ce n'est surement pas un hasard : le ransomware Monti partage certaines tactiques avec Conti, ce dernier ayant "fermé ses portes" en mai 2022. Ce qui a donné lieu à la naissance d'autres groupes de cybercriminels.
Grosse alerte de sécurité chez Check Point : un correctif de sécurité a été publié en urgence pour corriger une faille zero-day présente dans la fonction VPN des firewalls Check Point. Le problème : cette vulnérabilité est massivement exploitée par les pirates. Faisons le point.
En début de semaine, Check Point a mis en ligne un rapport pour évoquer une vague d'attaques visant ses firewalls. À ce moment-là, l'entreprise américaine évoquait une campagne basée sur l'utilisation de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.
Ces dernières heures, Check Point a fait une autre découverte à ce sujet : les pirates exploitent une faille de sécurité zero-day présente dans la fonction VPN pour compromettre les firewalls.
Désormais associée à la référence CVE-2024-24919, cette vulnérabilité est décrite de cette façon par Check Point : "La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur les passerelles connectées à Internet dont l'accès à distance VPN ou l'accès mobile est activé.", peut-on lire dans le bulletin de sécurité de l'éditeur. Elle est associée à un score CVSS v3.1 de 7.5 sur 10.
Une faille zero-day exploitée depuis le 30 avril
Cette faille de sécurité zero-day est exploitée depuis, au moins, le 30 avril 2024 : date à laquelle la société mnemonic a constaté des tentatives d'exploitation chez certains de ses clients.
D'ailleurs, le rapport mis en ligne par mnemonic apporte des précisions sur les risques associés à cette vulnérabilité qui "permet à un attaquant d'énumérer et d'extraire des hashs de mots de passe pour tous les comptes locaux, y compris le compte utilisé pour se connecter à Active Directory." - On comprend mieux l'attirance des cybercriminels pour cette faille de sécurité.
Check Point recommande d'ailleurs de renforcer la sécurité du compte permettant de lier l'appliance firewall à l'annuaire Active Directory. À juste titre, voici ce que l'on peut lire dans l'article de mnemonic : "Les mots de passe faibles peuvent être compromis, ce qui entraîne d'autres abus et des mouvements latéraux potentiels au sein du réseau."
Qui est affecté ? Comment se protéger ?
D'après le site de Check Point, les produits suivants sont affectés : CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances. Pour que l'appliance soit vulnérable, il doit y avoir une ou plusieurs fonctions d'accès distance activée (Access VPN ou Mobile Access Software Blades).
Un hotfix a été publié pour diverses versions de système, y compris pour certaines versions en fin de vie.
Check Point a publiéun article de support pour guider ses clients dans l'installation du correctif de sécurité, dit "hotfix", permettant de se protéger de la CVE-2024-24919. Référez-vous à cette page pour accéder au téléchargement propre à votre version et lire les instructions de l'éditeur.
Aujourd'hui, le tracking web joue un rôle fondamental pour les entreprises cherchant à optimiser leurs ressources de manière efficiente. En analysant et en comprenant minutieusement le comportement des utilisateurs en ligne, le tracking web offre aux entreprises des informations précieuses pour allouer judicieusement leurs ressources. Dès lors, il permet de cibler les investissements marketing, de renforcer les stratégies d'acquisition et d'améliorer l'expérience utilisateur, offrant ainsi un avantage concurrentiel significatif.
Dans la suite de l’article, nous vous expliquons à quoi correspond précisément le tracking web ainsi que pourquoi et comment le mettre en place.
Qu’est-ce que le tracking web ?
Le tracking web fait référence à la partie collecte de données du web analytics. Ce dernier est une pratique visant à suivre et à comprendre le comportement des visiteurs sur un site web ainsi que les performances des stratégies d’acquisition. Cela implique la collecte, l'analyse et l'interprétation des données générées par un site. Son objectif principal est d'évaluer la performance des sources d'acquisition et d'améliorer les résultats en comprenant le comportement des utilisateurs.
Le tracking web (tracking client-side ou tracking server-side) est la composante de la collecte de données du web analytics. Il désigne la méthode spécifique utilisée pour collecter des informations sur le comportement des utilisateurs en ligne. Ce processus implique l’élaboration d’un plan de taggage et l'utilisation de diverses technologies telles que les cookies, les balises pixels et les scripts pour enregistrer les actions des utilisateurs sur un site web. Ainsi, le tracking web permet de recueillir des données détaillées sur les interactions des utilisateurs telles que les mouvements de souris, les clics et les interactions avec les éléments de la page.
Ce tracking peut être mis en place pour des outils d'analyse web, mais également pour des plateformes publicitaires telles que Google Ads, Meta Ads, etc. Les données collectées grâce au tracking web peuvent être de nature quantitative (taux, nombre d'utilisateurs, etc.) ou qualitative (appareils utilisés, source de trafic, etc.).
Pourquoi mettre en place un tracking web ?
Les deux objectifs principaux du tracking web sont de comprendre les performances des efforts d'acquisition marketing et d'appréhender le comportement des utilisateurs sur un site. Cela se traduit par l'analyse des résultats des campagnes marketing, incluant le trafic, les taux de conversion, les chiffres d'affaires, le ROAS, etc. Cette analyse peut être effectuée dans le temps ou en comparant différentes campagnes, annonces, etc.
La mise en place du tracking web doit permettre de comprendre qui sont les profils de visiteurs les plus actifs en termes de trafic et de conversions, ainsi que ceux qui quittent rapidement le site. Il est également important de déterminer la provenance des visiteurs afin de cibler efficacement les canaux les plus performants et allouer judicieusement les ressources.
Finalement, le tracking web offre une vue détaillée et précise des performances sur site des entreprises, permettant ainsi d'ajuster les stratégies pour optimiser les résultats et l'expérience utilisateur.
Comment mettre un en place un tracking web ?
Le tracking web implique plusieurs étapes essentielles pour assurer une collecte de données précise et utile.
Étape 1 : Réaliser un plan de mesure
En premier lieu, il peut être intéressant de réaliser un plan de mesure. Ce dernier permet de réaliser un cadrage détaillé du tracking web. Ce plan rassemble ainsi les informations cruciales pour orienter la collecte de données de manière efficace (liste des KPI et dimensions associées, informations sur la gestion du consentement, etc).
Étape 2 : Réaliser un plan de taggage
L'étape suivante consiste en la réalisation d’un plan de taggage dans lequel sont définis précisément les éléments qui doivent être traqués (actions utilisateurs). Il fournit des instructions sur la manière dont le tracking doit être réalisé. Ce document aligne toutes les parties prenantes autour d'une stratégie commune de collecte de données, tout en guidant les développeurs chargés de l'implémentation. Le plan de taggage, également connu sous le nom de plan de tracking, est donc d’une importance capitale dans les projets de tracking web. C’est pourquoi il doit nécessairement être créé avant l’implémentation du tracking.
Étape 3 : Déployer le plan de taggage
Le déploiement du plan de taggage se fait généralement par le biais d'un développeur qui implémente un code permettant l'envoi des données dans le dataLayer. Une vérification rigoureuse est ensuite nécessaire pour s'assurer que les données remontent correctement dans le dataLayer.
Étape 4 : Configurer les outils du tracking web
La configuration des outils de collecte de données, tels que Google Analytics 4 (GA4), Google Tag Manager (GTM), ou des plateformes de gestion de consentement (CMP), constitue une autre étape cruciale. Cela implique la création de variables, balises, déclencheurs dans GTM, ainsi que la mise en place des flux de données, la création de métriques personnalisées, etc., dans GA4. Une vérification rigoureuse est ensuite nécessaire pour s'assurer du bon fonctionnement et de la précision des données collectées par ces outils.
Cette étape consiste à configurer les différents outils utilisés pour la collecte, à savoir :
La CMP envisagée (Axeptio, Didomi, OneTrust, etc) ;
Le TMS envisagé (Google Tag Manager, Commanders Act, etc) - Création des variables, des déclencheurs, des balises, etc ;
L’outils web analytics envisagé (par exemple : Google Analytics 4) - Création de la propriété, activation ou non des signaux Google, création des conversions, création des dimensions personnalisées, connexion à BigQuery, connexion à Google Ads, connexion à Google Search Console, etc (+ 20).
Étape 5 (optionnelle) : Mettre en place des dashboards analytics
Enfin, bien que cela sorte de la sphère du tracking web, pour compléter ce dernier, il est possible de mettre en place des dashboards analytics. Il s’agit d’une autre étape du web analytics, dans la continuité du tracking web. Les dashboards offrent une visualisation claire et interprétable des données collectées, permettant aux entreprises de mieux comprendre et exploiter les informations. La mise en place de dashboard analytics va au-delà du simple suivi web : elle transforme les données en visualisations pertinentes pour une analyse approfondie de l'acquisition marketing et du comportement des utilisateurs sur un site web.
Quel est le rôle d’une CMP dans un tracking web ?
Chaque jour, des millions d'utilisateurs parcourent le web, laissant derrière eux une traînée numérique d'informations personnelles. Dans cette ère de données omniprésentes, la gestion du consentement devient une pièce maîtresse pour les entreprises souhaitant rester en conformité avec des lois telles que le RGPD, la Loi 25, et le CCPA.
Les Consent Management Platforms (CMP) sont les boucliers permettant aux entreprises de naviguer plus sereinement à travers ces réglementations évolutives.
Une CMP est un outil permettant de gérer le consentement donné par les utilisateurs du site web concerné. Cette solution permet aux entreprises de collecter, stocker et gérer le consentement de leurs utilisateurs de façon claire, transparente et en restant en conformité avec la législation en vigueur dans les différentes zones géographiques. En effet, la législation n’est pas la même en fonction du pays dans lequel se trouve l’utilisateur.
Au cours des trois derniers mois, les cybercriminels derrière le botnet CatDDoS ont utilisé plus de 80 failles de sécurité différentes pour compromettre des appareils ! Ce botnet est ensuite utilisé pour effectuer des attaques DDoS. Faisons le point.
Le botnet CatDDoS, apparu pour la première fois en août 2023 et qui est considéré comme une variante du botnet Mirai, a été observé par l'équipe de chercheurs QiAnXin XLab. Il s'avère que le botnet a été utilisé pour cibler jusqu'à 300 appareils par jour et que pour la compromission de ces derniers, il s'appuie sur pas moins de 80 vulnérabilités différentes. Certaines n'ont pas encore été identifiées et il pourrait s'agir de zero-day, d'après le rapport publié par QiAnXin XLab.
Certaines vulnérabilités sont récentes, tandis que d'autres ont été découvertes il y a plusieurs années. Parmi les produits pris pour cible, nous pouvons citer : Apache Log4j, Apache ActiveMQ, Cacti, Jenkins, les routeurs Linksys, Netgear, TP-Link et D-Link, les NAS Seagate, les contrôleurs de gestion Wi-Fi Ruckus, des équipements de chez Zyxel ou encore différents modèles de caméras notamment chez Avtech. Il y a une réelle diversité dans cette liste.
Source : QiAnXin XLab
Toujours d'après ce rapport, la France fait partie des pays les plus impactés par les attaques DDoS orchestrées par CatDDoS : "Nous pouvons constater que les cibles des gangs liés à CatDDoS sont réparties dans le monde entier, en particulier aux États-Unis, en France, en Allemagne, au Brésil et en Chine." - Il peut s'agir de fournisseurs de services Cloud, d'industries, d'administrations publiques ainsi que d'organisations dans différents domaines comme la recherche scientifique, la construction, ou encore l'éducation.
Les chercheurs expliquent également que d'autres botnets sont similaires à CatDDoS et qu'ils partagent certains éléments. On pourrait presque dire qu'il y a un modèle de fonctionnement et de code qui est partagé entre plusieurs botnets.
Nous pourrions qualifier le botnet CatDDoS de botnet polymorphe, car il est capable d'effectuer des attaques DDoS en utilisant UDP, TCP et d'autres méthodes. Il n'est pas à exclure qu'il exploite la nouvelle technique baptisée DNSBomb.
DNSBomb, c'est le nom d'une nouvelle technique d'attaque révélée récemment et associée à la vulnérabilité CVE-2024-33655. Cette technique repose sur l'utilisation du DNS pour effectuer des attaques DoS avec un facteur d'amplification de x20 000. Voici ce qu'il faut savoir.
Qualifiée d'attaque Pulsing Denial-of-Service (PDoS), cette technique d'attaque baptisée DNSBomb correspond à la vulnérabilité CVE-2024-33655. Elle a été découverte par des chercheurs de l'université de Tsinghua (Chine) et vise à manipuler le trafic DNS. En effet, sa mise en œuvre repose sur l'exploitation des requêtes et des réponses du système DNS.
"DNSBomb exploite plusieurs mécanismes DNS largement mis en œuvre pour accumuler les requêtes DNS envoyées à faible débit, amplifier les requêtes en réponses de grande taille et concentrer toutes les réponses DNS en une courte salve d'impulsions périodiques de grand volume afin de submerger simultanément les systèmes cibles.", peut-on lire sur le site dédié à cette technique. L'objectif étant d'accumuler les réponses DNS pour les libérer simultanément vers une cible : ce qui fait l'effet d'une bombe.
Voici un schéma pour illustrer l'attaque DNSBomb :
Cette technique pourrait être beaucoup plus efficace que les autres déjà connues. Les chercheurs de l'université de Tsinghua ont effectué différents tests qui permettent d'affirmer que le facteur d'amplification de la bande passante peut être multiplié par 20 000. "Des expériences à petite échelle montrent que l'amplitude maximale des impulsions peut approcher 8,7 Gb/s et que le facteur d'amplification de la bande passante peut être multiplié par 20 000.", peut-on lire. Largement suffisant pour faire tomber la cible et notamment des infrastructures critiques.
Quels sont les services vulnérables ?
Il y a deux types de services particulièrement vulnérables à l'attaque DNSBomb : les services DNS et les services CDN (réseau de diffusion de contenu). Nous pensons notamment à des services comme ceux de Cloudflare et Akamai. Voici les conclusions des chercheurs de l'université de Tsinghua suite aux différents tests effectués :
"Grâce à une évaluation approfondie de 10 logiciels DNS grand public, de 46 services DNS publics et d'environ 1,8 million de résolveurs DNS ouverts, nous démontrons que tous les résolveurs DNS peuvent être exploités pour mener des attaques DNSBomb plus pratiques et plus puissantes que les attaques DoS à impulsions précédentes."
Pour limiter ou réduire l'impact de DNSBomb sur un serveur DNS, il convient d'adapter sa configuration pour implémenter des limites, notamment le nombre de requêtes maximales par client. Si vous utilisez Bind9, vous pouvez consulter cet article mis en ligne pour vous guider.
Un exploit PoC a été publié pour une faille de sécurité critique présente dans la solution de SIEM de chez Fortinet, c'est-à-dire FortiSIEM : quels sont les risques ? Faisons le point dans cet article.
Découverte par Zach Hanley de chez Horizon3, cette vulnérabilité associée à la référence CVE-2024-23108 a une sévérité maximale, soit un score CVSS de 10 sur 10. En exploitant cette faille de sécurité présente dans FortiSIEM, un attaquant non authentifié et situé à distance peut exécuter du code en tant que root sur le système. Dans son bulletin de sécurité, Fortinet précise que l'exécution de commandes s'effectue via des requêtes spéciales à destination de l'API de FortiSIEM.
La faille de sécurité CVE-2024-23108 est en fait liée à deux autres vulnérabilités : la CVE-2024-23109, corrigée le 8 février 2024, ainsi que la CVE-2023-34992 corrigée en octobre 2023. Dans un premier temps, Fortinet a nié l'existence des deux nouvelles CVE en affirmant qu'il s'agissait en fait de doublons de la faille de sécurité CVE-2023-34992. Pourtant, il s'agit bel et bien de variantes plus récentes permettant l'exploitation de la vulnérabilité avec des requêtes différentes.
Horizon3 a publié un rapport technique complet ainsi qu'un exploit PoC sur GitHub. Il permet d'exécuter des commandes en tant que root sur toutes les appliances FortiSIEM exposées à Internet et non patchées. La disponibilité de cet exploit PoC pourrait pousser les cybercriminels à exploiter cette faiblesse dans FortiSIEM.
Qui est affecté ? Comment se protéger ?
Différentes versions de FortiSIEM sont affectées par ces vulnérabilités. Voici la liste :
Versions comprises entre 7.1.0 et 7.1.1
Versions comprises entre 7.0.0 et 7.0.2
Versions comprises entre 6.7.0 et 6.7.8
Versions comprises entre 6.6.0 et 6.6.3
Versions comprises entre 6.5.0 et 6.5.2
Versions comprises entre 6.4.0 et 6.4.2
Pour se protéger, il convient de mettre à jour FortiSIEM vers la version 7.1.3, 7.0.3, 6.7.9 ou ultérieure. À l'heure actuelle, il existe des versions plus récentes, mais ceci vous permet de savoir quelle est la version minimale à utiliser.
Pour rappel, en mars dernier, Horizon3 avait publié un exploit PoC pour la faille de sécurité critique CVE-2023-48788 présente dans Fortinet EMS (Enterprise Management Server). Désormais, elle est activement exploitée dans des attaques...
Une faille de sécurité critique a été corrigée dans le firmware du routeur TP-Link Archer C5400X. En l'exploitant, un attaquant non authentifié peut compromettre l'équipement à distance. Faisons le point sur cette menace.
Le C5400X est un routeur Wi-Fi populaire appartenant à la gamme Archer de chez TP-Link. Il s'agit d'un modèle dans l'esprit gaming, avec un module Wi-Fi tri-bandes et des fonctionnalités avancées pour les jeux. Le problème, c'est qu'il est affecté par une faille de sécurité critique.
Cette vulnérabilité, associée à la référence CVE-2024-5035, hérite d'un score CVSSv4 de 10 sur 10, soit le score maximal. Et pour cause, les chercheurs en sécurité de chez OneKey ont fait la découverte de cette vulnérabilité pouvant permettre à un attaquant d'exécuter des commandes à distance sur le routeur, et ce, sans authentification.
"En exploitant avec succès cette faille, un attaquant distant non authentifié peut exécuter des commandes arbitraires sur l'appareil avec des privilèges élevés.", peut-on lire dans le rapport. Pour être plus précis, et toujours d'après le rapport de OneKey, l'élément en cause est le binaire "rftest" qui expose un service réseau vulnérable à l'injection de commandes sur les ports TCP 8888, 8889 et 8890.
Le routeur étant un équipement exposé sur Internet, cette faille de sécurité représente un risque élevé pour les utilisateurs. Néanmoins, voici ce que précisent les chercheurs en sécurité : "On ne sait pas si le binaire est toujours lancé et s'il est toujours exposé sur les interfaces LAN/WAN."
Comment se protéger ?
Pour éviter de prendre des risques, il est préférable de se protéger de cette faille de sécurité CVE-2024-5035. Le 25 mai 2024, TP-Link a mis en ligne un nouveau firmware intitulé "Archer C5400X(EU)_V1_1.1.7 Build 20240510" sur son site, dans le but de corriger cette vulnérabilité.
En fait, tous les routeurs Archer C5400X avec un firmware en version "1_1.1.6" ou antérieure sont potentiellement vulnérables. Si vous utilisez ce routeur, la mise à jour est plus que recommandée. Pour le moment, rien n'indique que cette faille de sécurité soit exploitée dans le cadre d'attaques.
Check Point a publié une alerte de sécurité pour avertir ses utilisateurs qu'une campagne de cyberattaques ciblait les accès VPN sur les firewalls Check Point, via la fonction de Remote Access. Faisons le point sur cette menace.
De part leur fonction, les accès VPN mis à disposition des organisations pour les salariés sont exposés sur Internet. Ceci en fait une cible de choix pour les cybercriminels, car ils peuvent l'utiliser comme porte d'entrée pour s'introduire sur le réseau des entreprises. Dans le cas de Check Point, c'est la fonction Remote Access intégrée à tous les firewalls Check Point qui est prise pour cible.
En effet, cette nouvelle campagne d'attaques révélée par Check Point ciblent directement les firewalls de la marque, mais pas uniquement. L'objectif des attaquants : parvenir à s'authentifier à l'aide de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.
"Le 24 mai 2024, nous avons identifié un petit nombre de tentatives de connexion à l'aide d'anciens comptes locaux VPN reposant sur une méthode d'authentification par mot de passe uniquement non recommandée.", peut-on lire sur le site de Check Point.
D'ailleurs, Check Point a surveillé de près les activités sur ses équipements après avoir constaté des compromissions d'accès VPN sur des firewalls Check Point mais aussi d'autres marques : "Nous avons récemment assisté à la compromission de solutions VPN, y compris de divers fournisseurs de cybersécurité.", précise le communiqué. Nous pensons notamment à Fortinet ainsi qu'aux accès VPN Cisco.
Dans le cas présent, les pirates ne semblent pas exploiter une vulnérabilité dans le système des firewalls Check Point. Ici, c'est plutôt l'erreur de configuration qui est recherchée.
Comment se protéger ?
Pour se protéger, il est recommandé de désactiver les comptes locaux inutilisés. Pour les comptes qui doivent rester actifs, Check Point recommande de renforcer leur sécurité : "Si vous disposez de comptes locaux que vous souhaitez utiliser et qui ne sont authentifiés que par mot de passe, ajoutez une autre couche d'authentification (comme des certificats) pour renforcer la sécurité informatique de votre environnement."
Par ailleurs, Check Point a publié un Hotfix à installer sur le firewall pour bloquer l'utilisation de comptes avec authentification par mot de passe sur les accès VPN Remote Access. Cette méthode est détaillée sur cette page dédiée aux recommandations.
Connexion
