I. Présentation

Dans cet article, nous allons découvrir le Mini PC ultra-compact Geekom XT12 Pro équipé d'un processeur Intel Core i9 de 12ème génération, de 32 Go de RAM et de 1 To de SSD. Envie d'en savoir plus sur ce modèle ? Lisez la suite de notre article !

Cet article va présenter ce modèle dans sa globalité, en commençant par les caractéristiques, le design et la qualité du boitier. Puis, nous parlerons des possibilités d'évolution et des performances de ce Mini PC.

Rappel : sur le marché des Mini PC, la marque Geekom est incontournable et elle s'est imposée comme un acteur majeur au niveau mondial. Elle a été créée en 2003 et la direction R&D de Geekom est située à Taiwan. En complément, la marque a plusieurs succursales dans différents pays du monde.

• Fiche produit sur le site GEEKOM

II. Caractéristiques du Geekom XT12 Pro

Commençons par découvrir les caractéristiques principales de ce modèle :

• Processeur : Intel Core i9-12900H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,00 GHz)
• GPU : Intel Iris Xe
• RAM : 32 Go DDR4-3200, extensible jusqu'à 64 Go
• Stockage : 1 To de SSD NVMe (Gen.4) + 1 emplacement pour SSD SATA au format M.2 (2242 - Jusqu'à 1 To)
• Connectique : 3 x ports USB 3.2 Gen 2 + 1 x port USB 2.0 + 2 x ports USB 4 + 1 prise casque Jack 3.5 mm + 1 x slot pour une carte SD + 1 x interface réseau LAN 2.5 GbE + 2 x ports HDMI 2.0 + 1 x port d'alimentation
• Affichage : prise en charge jusqu'à 4 écrans.
• WiFi 6E (AX211), Bluetooth 5.2
• Alimentation : 19V, 6,32A DC - 120W
• Poids : 545 grammes
• Dimensions (L x W x H) : 117 x 111 x 38.5mm
• Système d'exploitation : Windows 11 Pro
• Garantie : 3 ans

Même si le processeur Core i9 n'est pas le plus récent, Geekom a préparé une belle fiche technique pour ce modèle déjà sur le marché depuis plusieurs mois. En effet, entre l'Intel Core i9, l'interface réseau 2.5 GbE, l'USB4 et le WiFi 6E, nous pouvons nous attendre à de belles performances ! La présence d'une interface réseau 2.5 GbE est toujours un point positif, selon moi. Et surtout, ce mini PC est ultra-compact et pourra être emporté partout sans difficultés.

Ce modèle est proposé par Geekom en une seule et unique version qui est celle proposée dans cet article. La série XT se démarque par la finesse de son design et son esthétique très soignée.

III. Package et design

La boite de ce mini PC est très soignée, tout en étant sobre, car il faudra l'ouvrir pour avoir un aperçu du mini PC ! C'est d'ailleurs lui que l'on découvre à l'ouverture de la boite. Il est protégé par un bloc en mousse rigide et après l'avoir retiré, nous retrouvons l'ensemble des accessoires.

Qu'avons-nous dans la boite ? Au-delà d'avoir un Mini PC XT12 Pro, il y a aussi un câble HDMI, une alimentation externe et son câble, une plaque VESA (et les vis) permettant d'accrocher le mini PC à l'arrière d'un écran (support VESA), une notice et une lettre de remerciement pour l'achat.

Fidèle à la gamme XT, le boitier de ce modèle XT12 Pro est beau et élégant. Geekom a apporté un soin particulier au design et à la qualité de fabrication de ce boitier en aluminium. Seul le dessus est une coque en plastique blanche estampillée "Geekom". La finesse de ce boitier me plait également : moins de 4 cm de hauteur (38.5 mm). À titre de comparaison, ce boitier est moins épais et plus compact que celui du modèle Geekom IT13, il est moins encombrant disons. J'ai vraiment apprécié le design de ce modèle !

Sur la façade, nous retrouvons deux ports USB, dont un port USB 3.2 Gen2 avec PowerDelivery (PD) et un port USB 3.2 Gen2 (sans PD). Une prise casque et un bouton Power lumineux complète la façade. Sur le côté droit du boitier, il y a uniquement l'aération du boitier, tandis que sur le côté gauche, une fente de verrouillage Kensington a été discrètement incrustée au maillage de l'aération. Le flux d'air entrant s'effectuera par la gauche et la droite du boitier.

Tout le reste de la connectique se situe à l'arrière du boitier. Il y a les deux ports USB4 au format USB-C avec PowerDelivery, ce qui est la norme USB la plus récente à ce jour. Le débit théorique de l'USB4 est de 40 Gbps. Il y a un autre port USB 3 ainsi qu'un port USB 2.0, soit un total de 6 ports USB. N'oublions pas les deux ports HDMI 2.0 et le port RJ45 2.5 GbE.

Ce modèle est équipé de la technologie de refroidissement IceBlast 1.0 de Geekom. Ceci se traduit par la présence d'un grand ventilateur et la présence de cuivre pour dissiper la chaleur. D'ailleurs, l'aération du dissipateur thermique pour permettre l'évacuation de l'air chaud est situé à l'arrière, au-dessus de la connectique.

Comme souvent sur les modèles de cette marque, la mention "Geekom" est présente sur le dessus du boitier. En dessous, il n'y a pas d'aération contrairement à ce que l'on pourrait penser, mais nous avons 2 patins antidérapants très larges, ainsi que 4 vis pour ouvrir très facilement le boitier. Elles restent « accrochées » à la partie amovible du boitier, ce qui évitera de les égarer... Et il n'y a pas de patins à décoller pour accéder aux vis.

Ce boitier est majoritairement en aluminium brossé, car il n'y a que la partie supérieure qui est en plastique blanc. Cette vue éclatée montre bien la conception du boitier du XT12 Pro :

Jetons un coup d'œil à l'intérieur du boitier. Nous aurons surement l'occasion d'en savoir plus sur les composants utilisés par Geekom. Voici ce que l'on peut apprendre :

• Un SSD NVMe de marque Kingston, avec la référence KINGSTON OM8PGP41024N-A0, d'une capacité de 2 To, en PCIe Gen4.0
• Deux barrettes de RAM de marque Lexar : 16 Go 1Rx8 - PC4-3200AA-SA2. Soit 32 Go au total. Il est possible de passer sur 64 Go de RAM, mais ceci implique de remplacer les deux barettes déjà présentes, car les deux slots sont occupés.
• Une carte MediaTek MT7922A22M pour le Wi-Fi et le Bluetooth

Contrairement au modèle Geekom IT13, celui-ci ne peut pas accueillir un disque SATA au format 2.5 pouces car le boitier est moins épais et n'est pas prévu pour cela. Néanmoins, nous pouvons ajouter un disque SSD SATA M.2 supplémentaire, grâce à l'emplacement disponible entre le SSD NVMe et les barrettes de RAM.

Avec ce modèle et compte tenu de la conception du boitier, les composants sont facilement accessibles, identifiables et remplaçables. Que ce soit en cas de panne ou pour une quelconque évolution, c'est important de le préciser.

IV. Évolutivité et performances

A. Mise en route et évolutivité

Mettons en route le mini PC XT12 Pro de chez Geekom ! Avant d'évoquer le système d'exploitation, regardons les options proposées dans le BIOS de la machine. Le moins que l'on puisse dire, c'est que c'est minimaliste. À part la possibilité de définir un mot de passe pour le BIOS, de gérer l'ordre de démarrage et de gérer le Secure Boot, nous n'avons pas grand-chose à notre disposition. C'est à prendre en compte pour ceux qui ont l'habitude de tuner le BIOS de leur PC. Par exemple, le Wake on LAN n'est pas proposé. Sinon, pour information, il n'y a pas d'options relatives à la prise en charge de la virtualisation, mais elle est bien prise en charge : vous pouvez installer un hyperviseur.

La mise en route passe par la finalisation de l'installation du système Windows 11 Pro ! Nous retrouvons les étapes et questions habituelles propres au fonctionnement du système Windows 11. Il est tout à fait possible d'utiliser un compte local ou un compte Microsoft, au choix.

Geekom utilise des images officielles de Windows 11 Pro et elles ne sont pas personnalisées. Il n'y a aucune application supplémentaire ajoutée. Malgré tout, ma recommandation reste la même, peu importe le modèle du PC : effectuer une réinstallation avec votre propre image, que ce soit Windows ou un autre système.

Le premier démarrage est aussi l'occasion de constater que ce mini PC ventile fort pendant 1 ou 2 minutes lorsqu'il est démarré. Ensuite, le silence est de mise : mais jusqu'à quand ? Je reviendrai sur ce point.

Le mini-PC est livré avec 32 Go de RAM en DDR4, mais une mise à niveau est possible. Le processeur i9 utilisé pour cette configuration supporte jusqu'à 64 Go de RAM au maximum, ce qui correspond au maximum pris en charge par ce modèle de mini PC. Par contre, vous devez remplacer les deux barrettes de RAM actuelles pour doubler la RAM. Si vous souhaitez utiliser ce PC pour de la virtualisation afin d'y installer un hyperviseur, ce sera peut-être nécessaire selon vos besoins.

Pour le CPU et la RAM, voici des détails techniques obtenus avec le logiciel CPU-Z :

La présence de deux ports HDMI 2.0 et deux ports USB4 permet de connecter jusqu'à 4 écrans sur ce mini PC ! La connexion HDMI propose un affichage 4K @ 60 Hz, tandis qu'on est sur un affichage à 8K @ 30 Hz sur les ports USB4.

Nous pouvons aussi noter la possibilité d'exploiter la connexion USB4 pour brancher un GPU externe (eGPU), c'est-à-dire une carte graphique externe. Du côté stockage, ce mini PC peut accueillir 1 SSD SATA au format M.2 (2242 - Jusqu'à 1 To) en plus du SSD NVMe intégré au boitier. Attention toutefois, le format M.2 2242, bien qu'adapté pour les formats compacts, n'est pas courant (22 mm de largeur et 42 mm de longueur) au contraire du format 2280 beaucoup plus répandu.

B. Performances

Ce mini PC est équipé d'un processeur Intel Core i9 de 12ème génération lancé au premier trimestre 2022. Le modèle i9-12900H a 14 cœurs et 20 threads, avec fréquence maximale en mode Turbo de 5,0 GHz.

Qu'en est-il des performances du disque SSD NVMe livré avec le mini PC ?

Un copier-coller de gros fichiers en local (de disque à disque, sur le même volume), est effectué avec une vitesse moyenne de 1.30 Go/s, ce qui est bon résultat ! Sur un autre test, en 1 minute et 34 secondes, j'ai pu dupliquer une bibliothèque d'images ISO de 101 Go !

Voici un benchmark du disque effectué avec Crystal Disk Mark :

• CrystalDiskInfo

Voici une analyse CrystalDiskInfo du disque SSD NVMe de marque Kingston monté en PCIe 4.0 présent dans ce PC :

• Geekbench

J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur ces pages :

• Geekbench - CPU - GEEKOM XT12 Pro
• Geekbench - GPU - GEEKOM XT12 Pro

Sans surprise, le processeur du modèle XT12 Pro est légèrement moins performant que celui du modèle IT13 : une génération d'écart, cela crée forcément une différence.

• Qu'en est-il du bruit du ventilateur ?

Comme je l'évoquais précédemment, lorsque l'ordinateur démarre, il ventile relativement fort. Une fois que la machine a finalisé son démarrage, cela s'arrête et le mini PC devient très silencieux. Utilisée pour de la bureautique, elle reste silencieuse, tout au long de son utilisation.

Par contre, si le mini PC est très sollicité (ce que j'ai pu constater avec les benchmarks, notamment), il se met à ventiler et là, ce sera difficile de ne pas l'entendre : ce qui pourra être plus ou moins gênant selon l'emplacement du mini PC vis-à-vis de l'utilisateur. C'est aussi une question de tolérance de l'utilisateur lui-même. Si le mini PC est derrière l'écran, le bruit sera un peu "étouffé". Le bruit généré fait penser à celui de la ventilation d'un ordinateur portable qui tourne à plein régime. Il y a pire, mais il y a aussi plus discret.

Cette ventilation semble avoir un impact positif sur la gestion de la température du matériel : le boitier est légèrement tiède et la température du CPU bien maitrisée.

• Que peut-on faire et ne pas faire avec ce modèle ?

Naviguer sur Internet, lire des vidéos, ouvrir et exécuter plusieurs applications en même temps, ce sont des tâches qui ne vont pas effrayer ce mini PC. Très à l'aise pour la bureautique et le multimédia, il montre ses limites lorsque l'on sollicite la partie graphique. C'est un perpétuel problème sur les machines avec une puce graphique intégrée au processeur, un iGPU "Intel Iris Xe" dans le cas présent.

Ce mini PC pourrait tout à fait être utilisé en tant que serveur pour faire tourner des machines virtuelles : le processeur Intel Core i9 et le 32 Go de RAM permettront de faire tourner plusieurs VMs simultanément.

Jouer à certains jeux n'est pas un problème si vous êtes prêts à diminuer les effets visuels et à réduire la qualité graphique de vos jeux. L'habituel test avec GTA V est un bon exemple : l'expérience en jeu est bonne, car c'est fluide, mais ceci oblige à ajuster les options liées aux graphismes.

V. Conclusion

Ce mini PC, très compact et performant pourrait mettre au placard de nombreux ordinateurs fixes beaucoup plus imposant que lui, moins bien équipé et moins performant. Geekom a pris l'habitude de miser sur l'Intel Core i9 pour plusieurs de ses modèles, dont celui-ci, et c'est à chaque fois une réussite. L'Intel Core i9 de 12ème génération offre de belles performances, et si vous avez besoin d'encore un peu plus, vous pouvez miser sur le Geekom IT13 équipé de la 13ème génération de Core i9.

Ce mini PC polyvalent, avec une configuration moderne, pourra satisfaire les besoins de nombreux utilisateurs pendant plusieurs années. La garantie de 3 ans du constructeur est également là pour nous rassurer.

Le Geekom XT12 Pro avec l'Intel Core i9 est proposé à 749,00 euros. Soit 100 euros de moins que le modèle Geekom IT13 équipé d'un processeur Intel Core i9 de 13ème génération, et un peu plus puissant.

Avantages

• Un très beau boitier en aluminium brossé : élégant et compact
• Une config convaincante et performante : Intel Core i9, 32 Go de RAM et 1 To de SSD
• Windows 11 Pro : image officielle, sans logiciels supplémentaires
• Connectique moderne et bien fournie (USB4, RJ45 2.5 GbE, etc.)
• Ouverture facile du boitier : 4 vis facilement accessibles

Inconvénients

• Disque SSD : le format M.2 2242 de l'emplacement supplémentaire
• Bruyant lorsqu'il est sollicité
• La puce graphique intégrée (iGPU) ne convient pas si vous souhaitez jouer sans faire de concession sur les graphismes

Offre spéciale sur le Geekom XT12 Pro

Profitez de 5% de réduction sur Amazon.fr ou sur la boutique officielle de Geekom, en utilisant les liens et codes ci-dessous.

• Sur Amazon.fr

Saisissez le code promo "tthpr5XT12" dans votre panier pour obtenir 5% de réduction.

Cliquez sur ce lien pour accéder à l'offre.

• Sur Geekom.fr

Saisissez le code promo "tthpr5" dans votre panier pour obtenir 5% de réduction. Ce code est valide sans limites de temps.

Cliquez sur ce lien pour accéder à l'offre.

Merci à Geekom de m'avoir fourni un exemplaire de ce PC afin de pouvoir réaliser ce test.

The post Test Geekom XT12 Pro – Un mini PC élégant et performant first appeared on IT-Connect.

Un nouveau coup de filet majeur contre les cybercriminels : les autorités internationales sont parvenues à démanteler des infrastructures associées à plusieurs logiciels malveillants. Nom de l'opération ENDGAME. Voici ce que l'on sait.

Le 30 mai 2024, une vaste opération de démantèlement de plusieurs infrastructures cybercriminelles a été menée avec succès dans le cadre d’une coopération judiciaire internationale baptisée "ENDGAME". Il s'agit d'une opération indépendante de l'opération Cronos menée contre le gang LockBit : preuve que les autorités travaillent ardemment pour lutter contre la cybercriminalité.

Cette opération coordonnée a été menée par des autorités de plusieurs pays, notamment la France, l'Allemagne, les Pays-Bas, le Danemark, le Royaume-Uni et les États-Unis. La coordination globale a été assurée par Europol, qui a d'ailleurs publié un rapport à ce sujet.

En France, cette initiative a été menée par la section J3 de lutte contre la Cybercriminalité du Parquet de Paris en collaboration avec l’Office anti-cybercriminalité (OFAC). Par ailleurs, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a contribué à l'opération ENDGAME en participant à l’identification et à la notification des victimes.

L'opération visait spécifiquement à neutraliser des serveurs rattachés aux infrastructures utilisées par les cybercriminels. Résultat, les forces de l'ordre sont parvenues à saisir une centaine de serveurs et plus de 2 000 noms de domaines ! Les serveurs en question sont répartis dans différents pays : Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine.

"Les opérations menées par les forces de l’ordre se sont déployées sur plusieurs pays et ont mené à l’interpellation de 4 personnes dont 3 par les autorités françaises, à 16 perquisitions.", peut-on lire dans un post LinkedIn publié par le Parquet de Paris.

L'objectif était de cibler les infrastructures utilisées dans le fonctionnement de différents loaders : BumbleBee, IcedID, Smokeloader, Pikabot, Trickbot et SystemBCt. Ces logiciels malveillants sont généralement distribués via des campagnes de phishing. Une fois qu'une machine est infectée, ce code malveillant est utilisé pour télécharger et déployer d'autres malwares, dont des ransomwares.

Le Parquet de Paris précise que "L’administrateur du botnet Pikabot a été interpellé en Ukraine avec le concours des autorités ukrainiennes, l’un des acteurs principaux du dropper « Bumblebee » a été auditionné en Arménie."

Bravo aux forces de l'ordre !

The post Opération Endgame – Une action internationale contre les cybercriminels et les logiciels malveillants first appeared on IT-Connect.

Il y a quelques jours, Microsoft a publié la mise à jour KB5037853 pour Windows 11 afin de permettre aux utilisateurs de tester les changements à venir en juin 2024, lorsque la nouvelle mise à jour cumulative sera disponible. Les premiers retours ne sont pas bons. Voici ce que l'on sait.

Le 29 mai 2024, Microsoft a mis en ligne la mise à jour optionnelle KB5037853 pour les appareils sous Windows 11. Étant optionnelle, cette mise à jour s'installe de façon automatique uniquement si l'on active l'option "Recevez les dernières mises à jour dès qu'elles sont disponibles" dans les paramètres de Windows Update.

Cette mise à jour permet de tester en avant-première les changements apportés par Microsoft, que ce soit les bugs corrigés ou les éventuelles nouvelles fonctionnalités. Ceci est un aperçu de ce qui attend les utilisateurs de Windows 11 dans la prochaine mise à jour cumulative obligatoire, c'est-à-dire celle qui sera publiée le 11 juin 2024 dans le cas présent.

Sur son site, Microsoft a révélé que cette mise à jour pouvait faire planter la barre des tâches sur les machines Windows 11 22H2 et Windows 11 23H2 où la mise à jour KB5037853 a été installée.

"Après l'installation de cette mise à jour, il se peut que vous rencontriez des problèmes lors de l'utilisation de la barre des tâches. Il se peut que la barre des tâches présente des dysfonctionnements temporaires, qu'elle ne réponde pas, qu'elle disparaisse et qu'elle réapparaisse automatiquement.", peut-on lire sur cette page. L'entreprise américaine précise également que ce plantage génère un événement avec l'ID 1000 dans les journaux Windows, évoquant "Explorer.exe" en tant qu'application en tant qu'application défectueuse. Une référence à "Taskbar.View.dll" est également présente.

La solution proposée par Microsoft

Microsoft a déjà remédié à ce bug impactant la barre des tâches en s'appuyant sur sa fonction Known Issue Rollback (KIR). L'application est automatique sur les appareils des particuliers ("non managés") même si le déploiement peut prendre 24 heures. Pour les appareils managés, il convient de s'appuyer sur une stratégie de groupe comme l'explique cette page de la documentation Microsoft. Dans le cas présent, il convient de déployer le package KIR que vous pouvez télécharger via ce lien.

En principe, la mise à jour cumulative qui sera publiée le 11 juin 2024 ne contiendra pas ce bug car Microsoft pourra le corriger d'ici-là. Merci à ceux qui ont essuyé les plâtres...

The post Attention à la mise à jour KB5037853 sur Windows 11 : elle fait planter la barre des tâches ! first appeared on IT-Connect.

I. Présentation

La cybersécurité est un enjeu crucial pour les petites et moyennes entreprises (TPE/PME). Comment sécuriser son réseau ? C'est la question que se posent les dirigeants d'entreprises. Nous allons voir comment répondre à cette question grâce à l'utilisation des fonctionnalités de la solution TP-Link Omada.

Nous vous proposons un tour d'horizon des fonctionnalités de sécurité offertes par la solution TP-Link Omada, autour de 3 grands axes, en commençant aujourd'hui par le premier :

• La sécurité du réseau : détectez et bloquez les menaces
• L'authentification réseau et la sécurité du Wi-Fi
• La gestion d'un portail captif et la centralisation des logs

Ceci nous permettra d'évoquer un ensemble de fonctionnalités techniques à configurer pour renforcer la sécurité d'un réseau. Ces mesures viennent s'ajouter aux autres recommandations telles que la sensibilisation des utilisateurs, les sauvegardes régulières, l'application des mises à jour, utiliser des mots de passe robustes, etc.

Pour rappel, la solution TP-Link Omada est entièrement gratuite : 0 licence pour le contrôleur en lui-même, 0 licence pour les périphériques réseau et 0 licence pour les mises à jour logicielles. Autrement dit, il vous suffit d'acheter les appareils de la gamme TP-Link Omada : routeurs, switchs, points d'accès Wi-Fi, etc. Le contrôleur TP-Link Omada peut être un boitier physique ou une machine virtuelle que vous pouvez auto-héberger.

Pour approfondir ce point, consultez notre précédent article (inclus une vidéo) sur le sujet :

• TP-Link Omada SDN : déployez votre propre plateforme Cloud

II. La sécurité du réseau : détectez et bloquez les menaces

En informatique, une menace désigne un danger potentiel en mesure de compromettre la sécurité de l'infrastructure d'une organisation. Ces menaces peuvent prendre différentes formes et être présentes aussi bien en interne qu'en externe. Ceci conduit les entreprises à sécuriser leur accès à Internet, mais également leur réseau local.

La base de la sécurité d'un réseau passe par l'implémentation de règles de filtrage afin de limiter et de contrôler les flux entrants et sortants. Aujourd'hui, face à la diversité des usages et la complexité des menaces, les organisations doivent effectuer du filtrage réseau et du filtrage applicatif pour garder la maitrise de leur réseau. Ces différentes règles, que l'on peut appeler "ACL", vont permettre de déterminer ce que peut faire ou ne pas faire un équipement connecté au réseau.

Quelle est la différence entre le filtrage réseau et le filtrage applicatif ? Le filtrage réseau se concentre sur les ports et les paquets IP, tandis que le filtrage applicatif intervient au niveau des applications et de leurs protocoles spécifiques. Autrement dit, nous ne travaillons pas sur la même couche du modèle OSI. Ceci fait référence à la fonction de pare-feu dont l'implémentation est recommandée par l'ANSSI dans plusieurs de ses guides, y compris dans celui intitulé "La cybersécurité pour les TPE/PME en 13 questions".

Le trafic du réseau ne doit pas seulement être filtré de façon statique. Ce n'est pas suffisant pour assurer la sécurité du réseau. Les flux en transit sur le réseau doivent être analysés pour détecter et bloquer les comportements suspects et malveillants. C'est pour cette raison que nous pouvons recourir à un système de détection d'intrusion (IDS) et un système de prévention d'intrusion (IPS). En effet, l'IDS va analyser les paquets de données à la recherche de schémas anormaux tandis que l'IPS va bloquer les attaques en temps réel.

A. Les fonctions de TP-Link Omada

Avec la solution TP-Link Omada, nous allons pouvoir déployer un ensemble de fonctionnalités pour sécuriser un réseau par le filtrage des flux ainsi que la détection et le blocage des menaces.

• La Deep Packet Inspection (DPI) analyse en profondeur le contenu des paquets pour bloquer des applications et des services indésirables et/ou malveillants.
• Le blocage par DNS Proxy permet de filtrer le trafic DNS malveillant par l'utilisation d'un DNS prévu à cet effet.
• Le filtrage IP, MAC et URL permet de bloquer l’accès à des sites Web, adresses IP ou mots clés spécifiques.
• La création d'ACL (Access Control List) pour restreindre l'accès aux ressources réseau, au niveau du routeur, des switchs et des bornes WiFi.
• La restriction géographique (GeoIP) via les listes de contrôle d’accès (ACL) permet de limiter l’accès en fonction de la localisation géographique.
• Le blocage des attaques par déni de service (DoS).
• La protection contre l'ARP spoofing (ou empoisonnement de cache ARP).
• Etc....

En combinant l'utilisation de ces fonctionnalités, les entreprises peuvent renforcer la sécurité de leur réseau, et ainsi mieux protéger leurs données.

B. Scénario de déploiement

Pour cette démonstration, nous allons mettre en œuvre une configuration dont l'objectif sera de :

• Bloquer les flux entrants en provenance de la Russie et de la Chine, grâce au filtrage géographique.
• Renforcer la sécurité de la navigation Internet grâce à l'utilisation d'un proxy DNS, ce dernier pouvant filtrer les contenus malveillants. Le DNS sécurisé "https://security.cloudflare-dns.com/dns-query" sera utilisé pour bloquer les malwares.
• Bloquer les applications et les services relatifs au P2P, aux tunnels VPN, au partage de fichiers en ligne, et à la prise en main à distance.
• Activer les mécanismes de protection contre les attaques DoS et l'ARP Spoofing.
• Détecter et bloquer les flux malveillants (P2P, User-agents suspects, etc...) grâce à l'IDS/IPS.

C. La vidéo de mise en œuvre

Ci-dessous, la vidéo de mise en œuvre technique de cette configuration avec la solution TP-Link Omada.

• Cliquez ici pour regarder la vidéo sur YouTube

III. Conclusion

L'interface intuitive de TP-Link Omada permet de configurer des fonctionnalités de sécurité simplement, aussi bien sur les réseaux filaires que Wi-Fi. En effet, la plateforme TP-Link Omada permet l'administration des routeurs, des switchs et des points d'accès, que ce soit pour un ou plusieurs sites, ainsi que un ou plusieurs clients lors de l'utilisation du mode MSP.

Visitez le site TP-Link Omada pour en savoir plus :

• Découverte d'Omada sur le site TP-Link

Sachez que des nouveautés sont attendues pour la version 5.15 qui sera disponible cet été :

• Prise en charge du filtrage de contenu, y compris le filtrage DNS et le filtrage d'URL
• Prise en charge de la base de données de signatures d'URL, mise à jour régulière
• Prise en charge du filtrage DNS pour deux catégories (Travail et Domicile)
• Prise en charge de la liste noire et de la liste blanche de filtrage de contenu
• Fonctionnalités de SD-WAN

Rendez-vous prochainement pour la seconde partie de cette série intitulée "L'authentification réseau et la sécurité du Wi-Fi" ! En attendant, vous pouvez commenter cet article pour donner votre avis ou poser vos questions.

Cet article inclut une collaboration commerciale.

The post Sécuriser le réseau des PME avec TP-Link Omada – Partie 1 : détecter et bloquer les menaces first appeared on IT-Connect.

I. Présentation

La sortie de Windows 11 24H2 est proche et certains changements effectués par Microsoft pourraient perturber l'accès à des fichiers partagés sur les NAS. En effet, la configuration par défaut des accès réseau basés sur l'utilisateur du protocole SMB a été renforcée.

Ceci va impacter l'accès aux données hébergées sur des partages de fichiers, notamment sur les NAS, que ce soit des modèles de chez Synology, Asustor, QNAP ou encore TerraMaster. Microsoft a mis en ligne un article à ce sujet pour avertir ses utilisateurs. Nous allons évoquer ces changements ainsi que les solutions possibles.

• La préversion de Windows 11 24H2 est disponible
• Le protocole SMB pour les débutants

II. Windows 11 24H2 : ce qui change avec le protocole SMB

A. Les modifications apportées par Microsoft

Microsoft a apporté deux changements importants dans la configuration des connexions SMB sur Windows 11 24H2. L'objectif étant de renforcer la sécurité de Windows et de lutter contre certaines attaques associées au protocole SMB (dont le "SMB relay").

• Par défaut, la signature SMB sera requise et obligatoire pour toutes les connexions. Dans le cadre d'une connexion SMB, où le client est représenté par le PC Windows 11 et le serveur par le NAS (ou un autre périphérique), si le serveur SMB ne prend pas en charge la signature des échanges, alors la connexion échouera.

"Nous ne savons pas faire la différence entre un NAS qui n'a pas activé la signature SMB et un serveur malveillant qui ne veut pas que la signature SMB soit activée.", voilà une phrase qui résume bien l'intérêt d'avoir la signature SMB activée, et le problème de ne pas l'utiliser.

• Le basculement vers l'accès invité, appelé "guest fallback", lors de la connexion à des partages SMB sera désactivé sur Windows 11 Pro. L'accès invité sert à se connecter sur un partage réseau en tant qu'invité, c'est-à-dire de façon anonyme, sans avoir besoin de préciser un identifiant et un mot de passe. Cette possibilité va être désactivée.

À ce sujet, Microsoft précise : "La signature SMB est disponible dans Windows depuis 30 ans mais, pour la première fois, elle est désormais requise par défaut pour toutes les connexions. La fonction d'invité est désactivée dans Windows depuis 25 ans et la fonction SMB guest fallback est désactivée depuis Windows 10 dans les éditions Enterprise, Education et Pro for Workstation."

Ces changements concernent principalement les connexions SMB sortantes depuis votre appareil Windows 11 vers d’autres serveurs SMB. Autrement dit, lorsque votre appareil Windows 11 se connecte à un autre serveur, notamment un partage réseau situé sur un NAS.

B. Les erreurs que vous pouvez rencontrer

Microsoft a précisé un ensemble de messages d'erreur et de codes d'erreur que vous pouvez rencontrer avec Windows 11 24H2 lors de l'accès à un NAS. Voici les messages en question.

Si la signature SMB n'est pas prise en charge par le NAS.

• 0xc000a000
• -1073700864
• STATUS_INVALID_SIGNATURE
• The cryptographic signature is invalid / La signature cryptographique n'est pas valide

Si le NAS exige une connexion en tant qu'invité (ce qui est plus rare).

• You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network / Vous ne pouvez pas accéder à ce dossier partagé car les règles de sécurité de votre entreprise bloquent l'accès des invités non authentifiés. Ces stratégies permettent de protéger votre ordinateur contre les périphériques dangereux ou malveillants présents sur le réseau.
• 0x80070035
• 0x800704f8
• The network path was not found / Le chemin d'accès au réseau n'a pas été trouvé
• System error 3227320323 has occurred / L'erreur système 3227320323 s'est produite

Que faire pour résoudre ces erreurs ?

III. Comment configurer son NAS ?

Nous n'allons pas voir comment autoriser l'accès invité, car je considère que le risque de sécurité est trop important, autant pour votre appareil Windows 11 que pour les données hébergées sur votre NAS. Néanmoins, nous allons nous intéresser à la signature SMB.

Vous avez deux solutions :

• Configurer le NAS pour activer la signature SMB et ainsi permettre la connexion des appareils Windows 11 24H2 tout en renforçant la sécurité des accès.
• Configurer l'appareil Windows 11 24H2 pour ne pas rendre la signature SMB obligatoire, ce qui d'avoir une configuration identique à celle de Windows 11 23H2 et les versions antérieures.

A. Activer la signature SMB sur un NAS Synology

La signature SMB est prise en charge par le système DSM des NAS Synology. Il s'agit d'une fonctionnalité supportée dans DSM 6.2 et les versions supérieures (bien que pas située au même endroit dans toutes les versions). Voici où trouver cette option dans DSM 7.2.

Connectez-vous à DSM et accédez au "Panneau de configuration" afin de parcourir l'interface de cette façon :

1 - Cliquez sur "Services de fichiers".

2 - Cliquez sur l'onglet "SMB".

3- Cliquez sur le bouton "Paramètres avancés".

4 - Configurez l'option "Activer la signature serveur" de façon à choisir le mode "Défini par le client". La valeur par défaut est "Désactiver". Ceci permettra d'accepter les connexions des appareils Windows 11 24H2, tout en continuant d'autoriser les clients qui ne supportent pas la signature SMB, ou pour lesquels, elle n'est pas activée. Dans un second temps, il pourrait être utile de sélectionner le mode "Forcer".

Il ne vous reste plus qu'à cliquer sur "Sauvegarder" pour valider.

Ce simple changement va permettre aux appareils Windows 11 24H2 de se connecter à un partage de fichiers situés sur un NAS Synology, via le protocole SMB. À condition, bien entendu, de s'authentifier avec un nom d'utilisateur et un mot de passe. La configuration du NAS, c'est-à-dire du serveur SMB, est l'option à privilégiée.

Remarque : la signature SMB est prise en charge sur d'autres marques de NAS. L'idée générale reste la même, donc "il suffira" de naviguer dans les menus pour trouver une option équivalente à celle présentée ici.

B. Activer ou désactiver la signature SMB sur Windows 11

Pour activer ou désactiver la signature SMB sur Windows 11, il convient d'éditer la stratégie de sécurité locale ou d'utiliser PowerShell. Cette action doit être effectuée uniquement si le NAS, ou en tout cas le serveur SMB, ne supporte pas la signature SMB.

Voici la marche à suivre à partir de l'interface graphique :

• Appuyez sur Win + R, tapez "gpedit.msc"et appuyez sur Entrée.
• Dans l’arborescence, accédez à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
• Double-cliquez sur le paramètre nommé "Client réseau Microsoft : communications signées numériquement (toujours)", ou "Microsoft network client: Digitally sign communications (always)", en anglais.
• Sélectionnez "Désactivé" et cliquez sur "OK".

Ce qui donne :

Remarque : ce paramètre est configurable dans une stratégie de groupe (GPO) Active Directory afin de modifier la configuration sur un ensemble d'appareils.

Si vous souhaitez opérer en ligne de commande, vous pouvez utiliser les commandes suivantes pour configurer la signature SMB à l'aide de PowerShell. Commencez par ouvrir une console PowerShell en tant qu'administrateur.

La commande ci-dessous sert à indiquer si votre PC est actuellement configuré pour exiger ou non la signature SMB. Si la valeur retournée "true", c'est que c'est le cas. Sinon, la valeur "false" sera retournée.

Get-SmbClientConfiguration | fl requiresecuritysignature

Ensuite, pour désactiver la signature SMB, utilisez cette commande. Appuyez sur "T" puis sur "Entrée" pour valider.

Set-SmbClientConfiguration -RequireSecuritySignature $false

Pour activer la signature SMB, voici la commande à utiliser :

Set-SmbClientConfiguration -RequireSecuritySignature $true

Ce changement va permettre à votre appareil Windows 11 24H2 de se connecter à un partage SMB, en faisant une croix sur la signature SMB.

IV. Conclusion

Voilà, nous venons de traiter cette problématique intéressante et qui devrait perturber de nombreux utilisateurs, que ce soit les particuliers ou les professionnels. En effet, les NAS sont très répandues et nous sommes susceptibles de les croiser aussi bien dans une baie informatique que dans un salon...

Ce qui est évoqué dans cet article, en prenant le cas d'un NAS, s'applique aussi pour Windows Server. En fait, la signature SMB doit être activée sur Windows Server pour que l'appareil Windows 11 24H2 puisse se connecter à un partage de fichiers. Ce cas de figure sera abordé dans un autre article.

La configuration évoquée ici est celle attendue dans la version stable de Windows 11 24H2. De mon côté, j'ai installé une machine Windows 11 24H2 en version "Preview" et la signature SMB n'était pas forcée : j'ignore pourquoi. Si vous faites des tests de votre côté, n'hésitez pas à faire un retour en commentaire.

Enfin, voici le lien vers l'article Microsoft :

• Microsoft Tech Community - SMB avec Windows 11 24H2

The post Windows 11 24H2 – Ce qui change pour accéder aux partages sur un NAS (en SMB) first appeared on IT-Connect.

I. Présentation

Qu'est-ce que le tableau de bord Google My Activity ? Peut-on désactiver l'historique sur son compte Google ? Est-il possible de supprimer les données collectées par Google ? Nous allons répondre à ces trois questions !

À partir du moment où l'on utilise les services de Google, nos faits et gestes sont intégrés au sein d'un historique. Ceci est vrai pour les recherches sur le moteur de recherche, le streaming de vidéos sur YouTube ou encore la navigation avec Maps. Google essaie de jouer la carte de la transparence grâce à une interface en ligne que chacun peut utiliser pour visualiser son activité : Google My Activity.

II. Qu'est-ce que l'outil My Activity ou Mon Activité de Google ?

Google My Activity, ou en français, Mon Activité Google, se présente sous la forme d'un centre de contrôle accessible à partir de son compte Google, à l'adresse suivante : myactivity.google.com. Même s'il n'est pas connu de tous les utilisateurs, il n'est pas nouveau, car il existe depuis 2016.

Au-delà de vous, donner l'accès à votre historique sur les différents services Google, c'est aussi un moyen de brider la collecte de données. En effet, lorsque l'on arrive sur la page d'accueil de "Mon activité Google", on peut voir en un coup d'œil l'état des fonctions suivantes :

• Activité sur le Web et dans les applications,
• Historique des positions,
• Historique YouTube

Tout cela correspond aux recherches effectuées sur le moteur de recherche Google et sur YouTube, mais aussi aux vidéos que vous regardez en étant connecté à votre compte Google. Ainsi, vous pouvez visualiser l'historique des recherches effectuées et des pages visitées sur tous vos appareils, car ces informations sont stockées sur les serveurs de Google. Sans surprise, ces différentes options sont activées par défaut. Vous pouvez lire cet article détaillé pour en savoir plus sur l'historique de my activity.

Google décrit l'historique de YouTube de cette façon : "L'historique YouTube répertorie les vidéos que vous avez visionnées ainsi que les recherches que vous avez effectuées sur YouTube. En conservant votre historique YouTube, vous pouvez bénéficier d'une expérience plus personnalisée, comme de meilleures recommandations ou la possibilité de reprendre là où vous en étiez."

La collecte de données des utilisateurs et Google, c'est un sujet de longue date. Ainsi, si l'on souhaite utiliser les services de Google sans pour autant donner le maximum d'informations à Google, cela me semble indispensable d'aller faire un tour dans cette interface. Vous pourriez bien être surpris de voir à quel point Google trace l'ensemble de vos actions. Même si l'on sait que Google "se fait plaisir", c'est l'occasion d'avoir un aperçu, car on peut imaginer, légitimement, que ces données sont exploitées par le géant américain.

Pour désactiver l'enregistrement de données, cliquez sur chaque section et désactivez toutes les options disponibles. Par la même occasion, vous pourrez supprimer l'historique relatif à la section en cours de configuration.

L'exemple ci-dessous montre comment désactiver l'enregistrement de votre activité pour le Web et les applications Google. Vous devez cliquer sur le bouton "Désactiver" puis choisir entre, simplement désactiver, ou alors désactiver et supprimer les données actuelles. Faites le choix que vous préférez et laissez-vous guider par l'assistant. Profitez-en également pour désactiver les paramètres secondaires.

III. Comment supprimer les données de son compte Google ?

Google My Activity offre la possibilité à l'utilisateur de supprimer les données de son historique, que ce soit pour Android (historique d'utilisation des applications !), la navigation Google Maps, les recherches Google, ou encore l'utilisation de l'assistant Google.

Tout d'abord, le bouton "Supprimer" présent sur la page d'accueil du tableau de bord Google My Activity peut vous permettre de supprimer rapidement les données, notamment celles les plus récentes (dernière heure, dernier jour), sur une période personnalisée ou sur toute la période.

Le fait de choisir "Toute la période" permet de sélectionner les services et applications pour lesquels vous souhaitez supprimer les données. Ceci est efficace à condition de désactiver également l'historique, sinon, Google va continuer à collecter les données.

Plus intéressant encore, il est possible, à partir du menu "Commandes relatives à l'activité" (présent dans le menu latéral, sur la gauche) de configurer la suppression automatique des activités Google de plus de 3 mois, de plus de 18 mois ou de plus de 36 mois.

IV. Conclusion

En conclusion, je dirais que Google My Activity est un outil utile pour savoir tout ce que Google sait de vous (et qu'on a le droit de savoir). Chaque internaute qui utilise les services de Google devrait s'y connecter au moins une fois pour définir ses préférences. Malheureusement, je doute que ce soit utilisé majoritairement, sauf par les utilisateurs avertis et ceux qui souhaitent volontairement améliorer la protection de leurs données personnelles.

Retenez que My Activity est un outil pratique pour contrôler et personnaliser votre expérience avec les services Google en gardant un œil sur votre activité en ligne. En effet, l'historique est exploité par Google pour personnaliser votre expérience à différents niveaux, y compris pour les publicités.

Pour se protéger totalement contre ce phénomène, la meilleure solution reste d'utiliser des services alternatifs en remplacement de ceux de Google. Pour la recherche sur le Web, vous pouvez utiliser les moteurs de recherche Qwant et DuckDuckGo en remplacement de Google (mais sachez qu'ils s'appuient sur l'API de Bing, le moteur de recherche de Microsoft). Pour la messagerie électronique, il y a également des alternatives, notamment ProtonMail, un service suisse en perpétuelle évolution, ainsi que d'autres tels que kMail d'Infomaniak.

Connaissiez-vous cette interface de gestion Google ?

The post Google My Activity : l’outil pour savoir tout ce que Google sait de vous first appeared on IT-Connect.

Le gang de ransomware Monti a frappé fort dans le Sud de la France en faisant 3 victimes d'un coup : l'aéroport de Pau-Pyrénées, l'école de commerce de Pau ainsi que le campus numérique de la ville. Faisons le point !

Dans la nuit du dimanche 12 au lundi 13 mai 2024, un groupe de pirates nommé Monti Ransomware a mené des cyberattaques à l'encontre de trois institutions de la ville de Pau. Les pirates sont parvenus à s'introduire sur l'infrastructure de l'aéroport de Pau-Pyrénées, l'école de commerce Eklore (ex-CNPC) et le campus numérique de la ville de Pau. Il s'agit de trois institutions liées à la Chambre de Commerce et d'Industrie (CCI) Pau Béarn.

Les journalistes de Sud-Ouest sont parvenus à obtenir des informations auprès de la CCI : « Les activités ne sont pas arrêtées mais simplement en mode dégradé. Il n’y a aucun souci sur les vols à l’aéroport. Idem à l’école de commerce, où les cours ont lieu mais sans une partie des outils numériques. », peut-on lire. Une plainte a été déposée.

Des données publiées sur le Dark Web

Sur son site accessible via le Dark Web, le gang de ransomware Monti a mis en ligne des données volées lors de cette cyberattaque. Il serait question de plusieurs milliers de documents, dont des documents administratifs, des factures, des bilans RH ainsi que des informations personnelles relatives aux salariés et aux étudiants. Des données précieuses pouvant être utilisées pour mener des campagnes de phishing ou tenter d'usurper l'identité des personnes concernées.

La divulgation des données par les pirates n'est pas une surprise : en France, les établissements publics ont pour consigne de ne pas payer la rançon demandée par les cybercriminels. Ceci est la bonne décision, mais généralement cela en résulte à la mise en ligne des données exfiltrées lors de l'attaque.

Le gang de ransomware Monti a été repéré pour la première fois en juin 2022. S'il porte un nom proche du ransomware Conti, ce n'est surement pas un hasard : le ransomware Monti partage certaines tactiques avec Conti, ce dernier ayant "fermé ses portes" en mai 2022. Ce qui a donné lieu à la naissance d'autres groupes de cybercriminels.

Source

The post Cyberattaque : le ransomware Monti fait trois victimes en France, à Pau first appeared on IT-Connect.

Grosse alerte de sécurité chez Check Point : un correctif de sécurité a été publié en urgence pour corriger une faille zero-day présente dans la fonction VPN des firewalls Check Point. Le problème : cette vulnérabilité est massivement exploitée par les pirates. Faisons le point.

En début de semaine, Check Point a mis en ligne un rapport pour évoquer une vague d'attaques visant ses firewalls. À ce moment-là, l'entreprise américaine évoquait une campagne basée sur l'utilisation de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.

• Notre article publié en début de semaine : Les pirates ciblent les VPN Check Point pour compromettre les réseaux d'entreprises !

Ces dernières heures, Check Point a fait une autre découverte à ce sujet : les pirates exploitent une faille de sécurité zero-day présente dans la fonction VPN pour compromettre les firewalls.

Désormais associée à la référence CVE-2024-24919, cette vulnérabilité est décrite de cette façon par Check Point : "La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur les passerelles connectées à Internet dont l'accès à distance VPN ou l'accès mobile est activé.", peut-on lire dans le bulletin de sécurité de l'éditeur. Elle est associée à un score CVSS v3.1 de 7.5 sur 10.

Une faille zero-day exploitée depuis le 30 avril

Cette faille de sécurité zero-day est exploitée depuis, au moins, le 30 avril 2024 : date à laquelle la société mnemonic a constaté des tentatives d'exploitation chez certains de ses clients.

D'ailleurs, le rapport mis en ligne par mnemonic apporte des précisions sur les risques associés à cette vulnérabilité qui "permet à un attaquant d'énumérer et d'extraire des hashs de mots de passe pour tous les comptes locaux, y compris le compte utilisé pour se connecter à Active Directory." - On comprend mieux l'attirance des cybercriminels pour cette faille de sécurité.

Check Point recommande d'ailleurs de renforcer la sécurité du compte permettant de lier l'appliance firewall à l'annuaire Active Directory. À juste titre, voici ce que l'on peut lire dans l'article de mnemonic : "Les mots de passe faibles peuvent être compromis, ce qui entraîne d'autres abus et des mouvements latéraux potentiels au sein du réseau."

Qui est affecté ? Comment se protéger ?

D'après le site de Check Point, les produits suivants sont affectés : CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances. Pour que l'appliance soit vulnérable, il doit y avoir une ou plusieurs fonctions d'accès distance activée (Access VPN ou Mobile Access Software Blades).

Un hotfix a été publié pour diverses versions de système, y compris pour certaines versions en fin de vie.

Check Point a publié un article de support pour guider ses clients dans l'installation du correctif de sécurité, dit "hotfix", permettant de se protéger de la CVE-2024-24919. Référez-vous à cette page pour accéder au téléchargement propre à votre version et lire les instructions de l'éditeur.

Source

The post Check Point : un correctif publié pour une zero-day dans le VPN déjà exploitée dans des attaques ! first appeared on IT-Connect.

Tracking web : un peu de contexte

Aujourd'hui, le tracking web joue un rôle fondamental pour les entreprises cherchant à optimiser leurs ressources de manière efficiente. En analysant et en comprenant minutieusement le comportement des utilisateurs en ligne, le tracking web offre aux entreprises des informations précieuses pour allouer judicieusement leurs ressources. Dès lors, il permet de cibler les investissements marketing, de renforcer les stratégies d'acquisition et d'améliorer l'expérience utilisateur, offrant ainsi un avantage concurrentiel significatif.

Dans la suite de l’article, nous vous expliquons à quoi correspond précisément le tracking web ainsi que pourquoi et comment le mettre en place.

Qu’est-ce que le tracking web ?

Le tracking web fait référence à la partie collecte de données du web analytics. Ce dernier est une pratique visant à suivre et à comprendre le comportement des visiteurs sur un site web ainsi que les performances des stratégies d’acquisition. Cela implique la collecte, l'analyse et l'interprétation des données générées par un site. Son objectif principal est d'évaluer la performance des sources d'acquisition et d'améliorer les résultats en comprenant le comportement des utilisateurs.

Le tracking web (tracking client-side ou tracking server-side) est la composante de la collecte de données du web analytics. Il désigne la méthode spécifique utilisée pour collecter des informations sur le comportement des utilisateurs en ligne. Ce processus implique l’élaboration d’un plan de taggage et l'utilisation de diverses technologies telles que les cookies, les balises pixels et les scripts pour enregistrer les actions des utilisateurs sur un site web. Ainsi, le tracking web permet de recueillir des données détaillées sur les interactions des utilisateurs telles que les mouvements de souris, les clics et les interactions avec les éléments de la page.

Ce tracking peut être mis en place pour des outils d'analyse web, mais également pour des plateformes publicitaires telles que Google Ads, Meta Ads, etc. Les données collectées grâce au tracking web peuvent être de nature quantitative (taux, nombre d'utilisateurs, etc.) ou qualitative (appareils utilisés, source de trafic, etc.).

Pourquoi mettre en place un tracking web ?

Les deux objectifs principaux du tracking web sont de comprendre les performances des efforts d'acquisition marketing et d'appréhender le comportement des utilisateurs sur un site. Cela se traduit par l'analyse des résultats des campagnes marketing, incluant le trafic, les taux de conversion, les chiffres d'affaires, le ROAS, etc. Cette analyse peut être effectuée dans le temps ou en comparant différentes campagnes, annonces, etc.

La mise en place du tracking web doit permettre de comprendre qui sont les profils de visiteurs les plus actifs en termes de trafic et de conversions, ainsi que ceux qui quittent rapidement le site. Il est également important de déterminer la provenance des visiteurs afin de cibler efficacement les canaux les plus performants et allouer judicieusement les ressources.

Finalement, le tracking web offre une vue détaillée et précise des performances sur site des entreprises, permettant ainsi d'ajuster les stratégies pour optimiser les résultats et l'expérience utilisateur.

Comment mettre un en place un tracking web ?

Le tracking web implique plusieurs étapes essentielles pour assurer une collecte de données précise et utile.

Étape 1 : Réaliser un plan de mesure

En premier lieu, il peut être intéressant de réaliser un plan de mesure. Ce dernier permet de réaliser un cadrage détaillé du tracking web. Ce plan rassemble ainsi les informations cruciales pour orienter la collecte de données de manière efficace (liste des KPI et dimensions associées, informations sur la gestion du consentement, etc).

Étape 2 : Réaliser un plan de taggage

L'étape suivante consiste en la réalisation d’un plan de taggage dans lequel sont définis précisément les éléments qui doivent être traqués (actions utilisateurs). Il fournit des instructions sur la manière dont le tracking doit être réalisé. Ce document aligne toutes les parties prenantes autour d'une stratégie commune de collecte de données, tout en guidant les développeurs chargés de l'implémentation. Le plan de taggage, également connu sous le nom de plan de tracking, est donc d’une importance capitale dans les projets de tracking web. C’est pourquoi il doit nécessairement être créé avant l’implémentation du tracking.

Étape 3 : Déployer le plan de taggage

Le déploiement du plan de taggage se fait généralement par le biais d'un développeur qui implémente un code permettant l'envoi des données dans le dataLayer. Une vérification rigoureuse est ensuite nécessaire pour s'assurer que les données remontent correctement dans le dataLayer.

Étape 4 : Configurer les outils du tracking web

La configuration des outils de collecte de données, tels que Google Analytics 4 (GA4), Google Tag Manager (GTM), ou des plateformes de gestion de consentement (CMP), constitue une autre étape cruciale. Cela implique la création de variables, balises, déclencheurs dans GTM, ainsi que la mise en place des flux de données, la création de métriques personnalisées, etc., dans GA4. Une vérification rigoureuse est ensuite nécessaire pour s'assurer du bon fonctionnement et de la précision des données collectées par ces outils.

Cette étape consiste à configurer les différents outils utilisés pour la collecte, à savoir :

• La CMP envisagée (Axeptio, Didomi, OneTrust, etc) ;
• Le TMS envisagé (Google Tag Manager, Commanders Act, etc) - Création des variables, des déclencheurs, des balises, etc ;
• L’outils web analytics envisagé (par exemple : Google Analytics 4) - Création de la propriété, activation ou non des signaux Google, création des conversions, création des dimensions personnalisées, connexion à BigQuery, connexion à Google Ads, connexion à Google Search Console, etc (+ 20).

Étape 5 (optionnelle) : Mettre en place des dashboards analytics

Enfin, bien que cela sorte de la sphère du tracking web, pour compléter ce dernier, il est possible de mettre en place des dashboards analytics. Il s’agit d’une autre étape du web analytics, dans la continuité du tracking web. Les dashboards offrent une visualisation claire et interprétable des données collectées, permettant aux entreprises de mieux comprendre et exploiter les informations. La mise en place de dashboard analytics va au-delà du simple suivi web : elle transforme les données en visualisations pertinentes pour une analyse approfondie de l'acquisition marketing et du comportement des utilisateurs sur un site web.

Quel est le rôle d’une CMP dans un tracking web ?

Chaque jour, des millions d'utilisateurs parcourent le web, laissant derrière eux une traînée numérique d'informations personnelles. Dans cette ère de données omniprésentes, la gestion du consentement devient une pièce maîtresse pour les entreprises souhaitant rester en conformité avec des lois telles que le RGPD, la Loi 25, et le CCPA. 

Les Consent Management Platforms (CMP) sont les boucliers permettant aux entreprises de naviguer plus sereinement à travers ces réglementations évolutives.

Une CMP est un outil permettant de gérer le consentement donné par les utilisateurs du site web concerné. Cette solution permet aux entreprises de collecter, stocker et gérer le consentement de leurs utilisateurs de façon claire, transparente et en restant en conformité avec la législation en vigueur dans les différentes zones géographiques. En effet, la législation n’est pas la même en fonction du pays dans lequel se trouve l’utilisateur.

Article sponsorisé.

The post Tracking web : définition et méthode first appeared on IT-Connect.

Au cours des trois derniers mois, les cybercriminels derrière le botnet CatDDoS ont utilisé plus de 80 failles de sécurité différentes pour compromettre des appareils ! Ce botnet est ensuite utilisé pour effectuer des attaques DDoS. Faisons le point.

• Qu'est-ce qu'une attaque DDoS ?

Le botnet CatDDoS, apparu pour la première fois en août 2023 et qui est considéré comme une variante du botnet Mirai, a été observé par l'équipe de chercheurs QiAnXin XLab. Il s'avère que le botnet a été utilisé pour cibler jusqu'à 300 appareils par jour et que pour la compromission de ces derniers, il s'appuie sur pas moins de 80 vulnérabilités différentes. Certaines n'ont pas encore été identifiées et il pourrait s'agir de zero-day, d'après le rapport publié par QiAnXin XLab.

Certaines vulnérabilités sont récentes, tandis que d'autres ont été découvertes il y a plusieurs années. Parmi les produits pris pour cible, nous pouvons citer : Apache Log4j, Apache ActiveMQ, Cacti, Jenkins, les routeurs Linksys, Netgear, TP-Link et D-Link, les NAS Seagate, les contrôleurs de gestion Wi-Fi Ruckus, des équipements de chez Zyxel ou encore différents modèles de caméras notamment chez Avtech. Il y a une réelle diversité dans cette liste.

Toujours d'après ce rapport, la France fait partie des pays les plus impactés par les attaques DDoS orchestrées par CatDDoS : "Nous pouvons constater que les cibles des gangs liés à CatDDoS sont réparties dans le monde entier, en particulier aux États-Unis, en France, en Allemagne, au Brésil et en Chine." - Il peut s'agir de fournisseurs de services Cloud, d'industries, d'administrations publiques ainsi que d'organisations dans différents domaines comme la recherche scientifique, la construction, ou encore l'éducation.

Les chercheurs expliquent également que d'autres botnets sont similaires à CatDDoS et qu'ils partagent certains éléments. On pourrait presque dire qu'il y a un modèle de fonctionnement et de code qui est partagé entre plusieurs botnets.

Nous pourrions qualifier le botnet CatDDoS de botnet polymorphe, car il est capable d'effectuer des attaques DDoS en utilisant UDP, TCP et d'autres méthodes. Il n'est pas à exclure qu'il exploite la nouvelle technique baptisée DNSBomb.

Source

The post Le botnet CatDDoS exploite plus de 80 vulnérabilités pour compromettre des appareils ! first appeared on IT-Connect.

DNSBomb, c'est le nom d'une nouvelle technique d'attaque révélée récemment et associée à la vulnérabilité CVE-2024-33655. Cette technique repose sur l'utilisation du DNS pour effectuer des attaques DoS avec un facteur d'amplification de x20 000. Voici ce qu'il faut savoir.

• Qu'est-ce qu'une attaque DDoS ?

Qualifiée d'attaque Pulsing Denial-of-Service (PDoS), cette technique d'attaque baptisée DNSBomb correspond à la vulnérabilité CVE-2024-33655. Elle a été découverte par des chercheurs de l'université de Tsinghua (Chine) et vise à manipuler le trafic DNS. En effet, sa mise en œuvre repose sur l'exploitation des requêtes et des réponses du système DNS.

"DNSBomb exploite plusieurs mécanismes DNS largement mis en œuvre pour accumuler les requêtes DNS envoyées à faible débit, amplifier les requêtes en réponses de grande taille et concentrer toutes les réponses DNS en une courte salve d'impulsions périodiques de grand volume afin de submerger simultanément les systèmes cibles.", peut-on lire sur le site dédié à cette technique. L'objectif étant d'accumuler les réponses DNS pour les libérer simultanément vers une cible : ce qui fait l'effet d'une bombe.

Voici un schéma pour illustrer l'attaque DNSBomb :

Cette technique pourrait être beaucoup plus efficace que les autres déjà connues. Les chercheurs de l'université de Tsinghua ont effectué différents tests qui permettent d'affirmer que le facteur d'amplification de la bande passante peut être multiplié par 20 000. "Des expériences à petite échelle montrent que l'amplitude maximale des impulsions peut approcher 8,7 Gb/s et que le facteur d'amplification de la bande passante peut être multiplié par 20 000.", peut-on lire. Largement suffisant pour faire tomber la cible et notamment des infrastructures critiques.

Quels sont les services vulnérables ?

Il y a deux types de services particulièrement vulnérables à l'attaque DNSBomb : les services DNS et les services CDN (réseau de diffusion de contenu). Nous pensons notamment à des services comme ceux de Cloudflare et Akamai. Voici les conclusions des chercheurs de l'université de Tsinghua suite aux différents tests effectués :

"Grâce à une évaluation approfondie de 10 logiciels DNS grand public, de 46 services DNS publics et d'environ 1,8 million de résolveurs DNS ouverts, nous démontrons que tous les résolveurs DNS peuvent être exploités pour mener des attaques DNSBomb plus pratiques et plus puissantes que les attaques DoS à impulsions précédentes."

Pour limiter ou réduire l'impact de DNSBomb sur un serveur DNS, il convient d'adapter sa configuration pour implémenter des limites, notamment le nombre de requêtes maximales par client. Si vous utilisez Bind9, vous pouvez consulter cet article mis en ligne pour vous guider.

Source

The post DNSBomb : cette nouvelle attaque DoS basée sur le DNS fait l’effet d’une bombe sur le service cible first appeared on IT-Connect.

Un exploit PoC a été publié pour une faille de sécurité critique présente dans la solution de SIEM de chez Fortinet, c'est-à-dire FortiSIEM : quels sont les risques ? Faisons le point dans cet article.

Découverte par Zach Hanley de chez Horizon3, cette vulnérabilité associée à la référence CVE-2024-23108 a une sévérité maximale, soit un score CVSS de 10 sur 10. En exploitant cette faille de sécurité présente dans FortiSIEM, un attaquant non authentifié et situé à distance peut exécuter du code en tant que root sur le système. Dans son bulletin de sécurité, Fortinet précise que l'exécution de commandes s'effectue via des requêtes spéciales à destination de l'API de FortiSIEM.

La faille de sécurité CVE-2024-23108 est en fait liée à deux autres vulnérabilités : la CVE-2024-23109, corrigée le 8 février 2024, ainsi que la CVE-2023-34992 corrigée en octobre 2023. Dans un premier temps, Fortinet a nié l'existence des deux nouvelles CVE en affirmant qu'il s'agissait en fait de doublons de la faille de sécurité CVE-2023-34992. Pourtant, il s'agit bel et bien de variantes plus récentes permettant l'exploitation de la vulnérabilité avec des requêtes différentes.

Horizon3 a publié un rapport technique complet ainsi qu'un exploit PoC sur GitHub. Il permet d'exécuter des commandes en tant que root sur toutes les appliances FortiSIEM exposées à Internet et non patchées. La disponibilité de cet exploit PoC pourrait pousser les cybercriminels à exploiter cette faiblesse dans FortiSIEM.

Qui est affecté ? Comment se protéger ?

Différentes versions de FortiSIEM sont affectées par ces vulnérabilités. Voici la liste :

• Versions comprises entre 7.1.0 et 7.1.1
• Versions comprises entre 7.0.0 et 7.0.2
• Versions comprises entre 6.7.0 et 6.7.8
• Versions comprises entre 6.6.0 et 6.6.3
• Versions comprises entre 6.5.0 et 6.5.2
• Versions comprises entre 6.4.0 et 6.4.2

Pour se protéger, il convient de mettre à jour FortiSIEM vers la version 7.1.3, 7.0.3, 6.7.9 ou ultérieure. À l'heure actuelle, il existe des versions plus récentes, mais ceci vous permet de savoir quelle est la version minimale à utiliser.

Pour rappel, en mars dernier, Horizon3 avait publié un exploit PoC pour la faille de sécurité critique CVE-2023-48788 présente dans Fortinet EMS (Enterprise Management Server). Désormais, elle est activement exploitée dans des attaques...

Source

The post Patchez FortiSIEM de Fortinet : un exploit a été publié pour cette faille de sécurité critique ! first appeared on IT-Connect.

Une faille de sécurité critique a été corrigée dans le firmware du routeur TP-Link Archer C5400X. En l'exploitant, un attaquant non authentifié peut compromettre l'équipement à distance. Faisons le point sur cette menace.

Le C5400X est un routeur Wi-Fi populaire appartenant à la gamme Archer de chez TP-Link. Il s'agit d'un modèle dans l'esprit gaming, avec un module Wi-Fi tri-bandes et des fonctionnalités avancées pour les jeux. Le problème, c'est qu'il est affecté par une faille de sécurité critique.

Cette vulnérabilité, associée à la référence CVE-2024-5035, hérite d'un score CVSSv4 de 10 sur 10, soit le score maximal. Et pour cause, les chercheurs en sécurité de chez OneKey ont fait la découverte de cette vulnérabilité pouvant permettre à un attaquant d'exécuter des commandes à distance sur le routeur, et ce, sans authentification.

"En exploitant avec succès cette faille, un attaquant distant non authentifié peut exécuter des commandes arbitraires sur l'appareil avec des privilèges élevés.", peut-on lire dans le rapport. Pour être plus précis, et toujours d'après le rapport de OneKey, l'élément en cause est le binaire "rftest" qui expose un service réseau vulnérable à l'injection de commandes sur les ports TCP 8888, 8889 et 8890.

Le routeur étant un équipement exposé sur Internet, cette faille de sécurité représente un risque élevé pour les utilisateurs. Néanmoins, voici ce que précisent les chercheurs en sécurité : "On ne sait pas si le binaire est toujours lancé et s'il est toujours exposé sur les interfaces LAN/WAN."

Comment se protéger ?

Pour éviter de prendre des risques, il est préférable de se protéger de cette faille de sécurité CVE-2024-5035. Le 25 mai 2024, TP-Link a mis en ligne un nouveau firmware intitulé "Archer C5400X(EU)_V1_1.1.7 Build 20240510" sur son site, dans le but de corriger cette vulnérabilité.

En fait, tous les routeurs Archer C5400X avec un firmware en version "1_1.1.6" ou antérieure sont potentiellement vulnérables. Si vous utilisez ce routeur, la mise à jour est plus que recommandée. Pour le moment, rien n'indique que cette faille de sécurité soit exploitée dans le cadre d'attaques.

Source

The post Routeur TP-Link Archer C5400X : protégez-vous de la faille de sécurité critique CVE-2024-5035 ! first appeared on IT-Connect.

Check Point a publié une alerte de sécurité pour avertir ses utilisateurs qu'une campagne de cyberattaques ciblait les accès VPN sur les firewalls Check Point, via la fonction de Remote Access. Faisons le point sur cette menace.

De part leur fonction, les accès VPN mis à disposition des organisations pour les salariés sont exposés sur Internet. Ceci en fait une cible de choix pour les cybercriminels, car ils peuvent l'utiliser comme porte d'entrée pour s'introduire sur le réseau des entreprises. Dans le cas de Check Point, c'est la fonction Remote Access intégrée à tous les firewalls Check Point qui est prise pour cible.

En effet, cette nouvelle campagne d'attaques révélée par Check Point ciblent directement les firewalls de la marque, mais pas uniquement. L'objectif des attaquants : parvenir à s'authentifier à l'aide de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.

"Le 24 mai 2024, nous avons identifié un petit nombre de tentatives de connexion à l'aide d'anciens comptes locaux VPN reposant sur une méthode d'authentification par mot de passe uniquement non recommandée.", peut-on lire sur le site de Check Point.

D'ailleurs, Check Point a surveillé de près les activités sur ses équipements après avoir constaté des compromissions d'accès VPN sur des firewalls Check Point mais aussi d'autres marques : "Nous avons récemment assisté à la compromission de solutions VPN, y compris de divers fournisseurs de cybersécurité.", précise le communiqué. Nous pensons notamment à Fortinet ainsi qu'aux accès VPN Cisco.

Dans le cas présent, les pirates ne semblent pas exploiter une vulnérabilité dans le système des firewalls Check Point. Ici, c'est plutôt l'erreur de configuration qui est recherchée.

Comment se protéger ?

Pour se protéger, il est recommandé de désactiver les comptes locaux inutilisés. Pour les comptes qui doivent rester actifs, Check Point recommande de renforcer leur sécurité : "Si vous disposez de comptes locaux que vous souhaitez utiliser et qui ne sont authentifiés que par mot de passe, ajoutez une autre couche d'authentification (comme des certificats) pour renforcer la sécurité informatique de votre environnement."

Par ailleurs, Check Point a publié un Hotfix à installer sur le firewall pour bloquer l'utilisation de comptes avec authentification par mot de passe sur les accès VPN Remote Access. Cette méthode est détaillée sur cette page dédiée aux recommandations.

Source

The post Les pirates ciblent les VPN Check Point pour compromettre les réseaux d’entreprises ! first appeared on IT-Connect.

Microsoft a ajouté une nouvelle fonctionnalité importante à son application Outlook Lite pour les smartphones Android : la prise en charge des SMS, directement dans l'application. Faisons le point sur cette annonce.

Sur Android, il y a deux applications Outlook : il y a l'application principale nommée "Microsoft Outlook", ainsi qu'une application secondaire, beaucoup plus légère, car elle ne pèse que 5 Mo, nommée "Microsoft Outlook Lite". Elle est avant tout destinée aux smartphones avec peu de ressources. Elle a été lancée en août 2022.

Par l'intermédiaire d'un nouvel article, Microsoft a fait l'annonce d'une nouveauté pour les utilisateurs d'Outlook Lite sur Android : "Avec SMS sur Outlook Lite, vous pouvez profiter de la commodité et de la sécurité de l'envoi et de la réception de messages SMS à partir de votre application Outlook Lite. Les SMS sont intégrés à votre courrier électronique, votre calendrier et vos contacts, ce qui vous permet de rester en contact avec vos interlocuteurs dans une seule application."

Autrement dit, avec Outlook Lite, vous pouvez envoyer et recevoir des e-mails et des SMS sur Android, grâce à cette expérience unifiée. Microsoft travaille depuis avril 2023 sur le développement de cette fonctionnalité, qui est désormais accessible à tous les utilisateurs : "Aujourd'hui, nous sommes ravis de proposer les SMS sur Outlook Lite aux utilisateurs du monde entier.", peut-on lire.

Cette nouveauté prend place dans l'application grâce à un bouton tout simplement nommé "SMS", comme le montre l'image ci-dessous. Elle est disponible dans la dernière version d'Outlook Lite disponible sur Google Play Store.

Enfin, l'entreprise américaine a évoqué quelques nouveautés à venir et en cours de développement pour Outlook Lite. Voici ce que l'on peut lire :

• Intégration plus étroite avec le courrier électronique, le calendrier et les contacts
• Sauvegarde des messages dans le Cloud
• Amélioration des fonctionnalités liées à la sécurité

Qu'en pensez-vous ? Utilisez-vous la version Lite d'Outlook ?

Source : Microsoft

The post Microsoft ajoute la prise en charge des SMS à l’application Outlook Lite pour Android first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons évoquer l'installation et la configuration de Sysmon sur Windows par l'intermédiaire d'une stratégie de groupe (GPO), en environnement Active Directory. Ceci va nous permettre d'automatiser le déploiement de Sysmon et de gérer sa configuration de façon centralisée.

Outil gratuit présent dans la suite SysInternals de Microsoft, Sysmon est un outil très intéressant pour enrichir les journaux Windows et tracer les activités suspectes sur un poste de travail ou un serveur.

Pour en savoir plus sur son fonctionnement et son utilisation, consultez notre précédent article :

• Tutoriel - Installation et configuration de Sysmon sur Windows

II. Méthodologie de déploiement

A. Sysmon et le fichier de configuration XML

Pour appliquer une nouvelle configuration à Sysmon, nous devons utiliser un fichier de configuration au format XML. Ce fichier de configuration contient un ensemble de règles permettant d'indiquer à Sysmon quelles sont les actions qu'il doit surveiller et journaliser. Ce fichier permet aussi de gérer les exceptions, de façon à éviter les faux positifs.

Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données. Cela signifie qu'il n'y a aucune dépendance de Sysmon vis-à-vis de son fichier de configuration.

Notre premier réflexe pourrait-être d'héberger le fichier de configuration XML sur un partage puis de faire en sorte qu'il soit lu par nos "agents" Sysmon déployés sur les machines Windows. Effectivement, cela pourrait fonctionner. Le problème, c'est que ce fichier de configuration pourrait être accessible par un potentiel attaquant. Il pourrait prendre connaissance de notre configuration Sysmon, ce qui lui permettrait de savoir comment agir pour ne pas être détecté et il pourrait essayer de la contourner.

Comment faire alors ?

A. Injecter la configuration Sysmon dans le Registre

La réponse se trouve dans cette phrase de l'article : "Lorsqu'une nouvelle configuration est chargée, le driver de Sysmon récupère les données du fichier XML afin de les stocker dans le Registre Windows, après avoir converti les données." - Nous allons directement injecter la configuration dans le Registre ! Ceci va nécessiter quelques manipulations, mais l'avantage, c'est que la configuration sera difficilement accessible, lisible et interprétable par un attaquant.

Sachez que cette méthode, qui est celle que nous allons déployer, est également recommandée par l'ANSSI dans son guide "Recommandations de sécurité pour la journalisation des systèmes Microsoft Windows en environnement Active Directory".

Nous allons devoir procéder de la façon suivante :

1 - Créer une stratégie de groupe pour installer Sysmon, sans configuration personnalisée.

2 - Créer une configuration personnalisée à partir d'une machine de référence.

3 - Exporter la configuration Sysmon, à partir du Registre.

4 - Créer une stratégie de groupe pour injecter les valeurs de Registre sur les machines où Sysmon doit être configuré.

Désormais, nous allons voir comment mettre en œuvre cette méthode fondée sur 4 grandes étapes.

Si malgré tout, vous souhaitez utiliser un fichier XML pour gérer votre configuration Sysmon, je vous recommande de masquer le partage sur lequel le fichier est hébergé et de brider les droits autant que possible. Autorisez seulement les objets ordinateurs où Sysmon est déployé à venir lire la configuration.

III. GPO - Déploiement de Sysmon sur Windows

Intéressons-nous à l'installation de Sysmon sur Windows. Nous allons partir du principe que seule la version 64 bits est utilisée et notre script PowerShell va permettre déployer cette version. Une fois que le script sera prêt, il sera exécuté au travers d'une stratégie de groupe.

A. Script PowerShell pour installer Sysmon

Pour rappel, lorsque Sysmon est installé sur une machine, il crée différentes clés de Registre dont celles-ci (une seule selon la version) :

Sysmon - 32 bits
HKLM\SYSTEM\CurrentControlSet\Services\sysmon
Sysmon - 64 bits
HKLM\SYSTEM\CurrentControlSet\Services\sysmon64

Nous allons utiliser un script PowerShell pour réaliser l'installation de Sysmon64. Si l'application est déjà installée, le script ne cherchera pas à la réinstaller. Dans le script ci-dessous, vous devez adapter la valeur de la variable "$SysmonShare" car elle contient le chemin vers l'exécutable de Sysmon. Vous pouvez stocker cet exécutable dans le partage "SYSVOL" de votre domaine Active Directory ou dans un autre partage correctement configuré.

# Partage - Chemin réseau vers l'exécutable de SYSMON
$SysmonShare = "\\it-connect.local\SYSVOL\it-connect.local\scripts\Sysmon64.exe"

# Avant de poursuivre, on vérifie que le chemin vers l'exécutable est correct
if(Test-Path -Path $SysmonShare -PathType Leaf)
{
    # Chemin vers la clé de Registre de Sysmon (version 64 bits)
    $SysmonRegKey = "HKLM:\SYSTEM\CurrentControlSet\Services\Sysmon64"

    # Chemin vers le fichier exécutable de Sysmon64 via lecture du Registre
    $SysmonRegImagePath = (Get-ItemProperty -Path $SysmonRegKey -Name ImagePath -ErrorAction SilentlyContinue).ImagePath

    # Si $SysmonRegImagePath n'est pas nul, c'est que Sysmon est installé
    if ($SysmonRegImagePath)
    {
        Write-Output "Sysmon64 est déjà installé sur cette machine"

    }
    # Sinon, Sysmon doit être installé à partir de l'exécutable présent dans le partage
    else
    {
       Write-Output "Sysmon64 va être installé sur cette machine"
       & $SysmonShare -i -accepteula
    }
}

Si vous avez besoin d'un script PowerShell plus complet, vous pouvez utiliser celui de l'ANSSI accessible via le lien ci-dessous. Ce script est capable de gérer les versions 32 bits et 64 bits, mais aussi la mise à jour de Sysmon, ainsi que les configurations particulières basées sur un pilote Sysmon renommé (ce qui influence le nom de la clé de Registre liée au service).

• GitHub - ANSSI - Script de déploiement de Sysmon

Plutôt que d'utiliser un script PowerShell, nous pourrions utiliser un script Batch. En revanche, il n'existe pas de paquet MSI pour Sysmon.

B. Exécuter le script dans une GPO

Désormais, nous allons exécuter ce script PowerShell à l'aide d'une stratégie de groupe que l'on va créer avec la console "Gestion de stratégie de groupe". Dans cet exemple, la GPO est nommée "Installer Sysmon (PS1)" et elle est liée à l'OU "Serveurs" de l'annuaire Active Directory.

Modifiez la GPO et suivez la procédure suivante :

1 - Accédez à : Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage / arrêt).

2 - Double-cliquez sur "Démarrage".

3 - Cliquez sur "Afficher les fichiers" pour accéder au répertoire des scripts de la GPO et collez le fichier PS1 à cet emplacement. Vous pouvez aussi stocker le script à la racine du SYSVOL.

4 - Cliquez sur "Ajouter" puis sur "Parcourir".

5 - Sélectionnez le script, ici, il s'appelle simplement "Sysmon.ps1".

6 - Cliquez sur "OK" à deux reprises.

Pour information, voici où est stocké le script sur mon environnement de démo :

Voilà, la GPO pour installer Sysmon est prête !

Il ne reste plus qu'à tester son bon fonctionnement sur une machine. Pour rappel, Sysmon sera déployé dans sa configuration par défaut, c'est-à-dire sans aucune règle personnalisée. Sur une machine où Sysmon a été installée, vous pouvez voir le service "Sysmon64", comme ceci :

Remarque : si vous utilisez un script PowerShell pour déployer Sysmon, il est recommandé de le signer à l'aide d'un certificat de signature de code. À ce sujet, vous pouvez lire les deux articles suivants :

• PowerShell - Signer un script avec un certificat (ADCS)
• PowerShell - Signer un script avec un certificat auto-signé

IV. Configuration centralisée de Sysmon

A. Créer un modèle de configuration de Sysmon

Vous allez devoir définir un modèle de configuration Sysmon correspondant à vos besoins et aux spécificités de votre infrastructure. Vous pouvez utiliser comme base la configuration Sysmon de SwiftOnSecurity déjà évoquée dans notre précédent tutoriel sur Sysmon.

Dans cet exemple, c'est ce fichier que nous allons utiliser. Voici le lien :

• Github - SwiftOnSecurity - sysmonconfig-export.xml

Vous devez utiliser une machine sur laquelle Sysmon est installé afin de mettre à jour la configuration. Je vous rappelle que l'objectif est d'utiliser cette machine comme "machine de référence" pour la configuration de Sysmon. Le fichier XML de Sysmon doit être présent uniquement sur cette machine.

Voici la commande à exécuter pour mettre à jour la configuration de Sysmon à partir d'un fichier XML :

.\Sysmon64.exe -c sysmonconfig-export.xml

Remarque : en modifiant les paramètres, vous pouvez aussi installer Sysmon et lui associer directement cette configuration.

La prise en compte de cette configuration est immédiate. Désormais, nous allons devoir l'exporter à partir des valeurs présentes dans le Registre Windows.

B. Exporter la configuration Sysmon à partir du Registre

La configuration Sysmon est stockée dans la clé de Registre correspondante au pilote Sysmon : "SysmonDrv" (nom par défaut). Ceci correspond à cet emplacement du Registre :

Nous allons devoir exporter les données des valeurs de Registre suivantes :

• DnsLookup
• HashingAlgorithm
• Options
• Rules

La configuration de notre fichier XML est stockée dans "Rules" mais nous devons également prendre en compte les autres valeurs. Certaines valeurs étant en binaire, il n'est pas possible d'exporter les données dans un format interprétable par l'éditeur de GPO à partir de "regedit.exe".

Nous avons deux options :

• Utiliser PowerShell pour lire les données et exporter les données de chaque valeur dans un fichier texte. Ensuite, nous pourrons copier-coller le contenu de chaque fichier texte dans notre GPO.
• Utiliser l'Assistant Registre de la console de Gestion des stratégies de groupe pour aller lire les données dans le Registre directement et les ajouter à la GPO. C'est sans aucun doute la façon la plus simple, mais cela implique d'avoir les outils RSAT sur le serveur de référence ou de pouvoir s'y connecter à distance via la console de Gestion des stratégies de groupe (connexion RPC).

Dans la suite de ce tutoriel, nous allons appliquer la méthode via l'Assistant Registre, mais voici des instructions pour effectuer la manipulation via PowerShell.

La commande ci-dessous permet d'exporter les données de la valeur "Rules" dans le fichier texte "C:\TEMP\Export_Sysmon_Rules.txt". Nous utilisons la méthode "ToString" associée au format "X2" pour que les données soient converties au format hexadécimal. Ce format est pris en charge par l'éditeur de GPO, ce qui nous permettra de préciser les valeurs dans un format accepté.

((Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\sysmonDrv\Parameters").Rules | ForEach-Object { $_.ToString("X2") }) -join '' > "C:\TEMP\Export_Sysmon_Rules.txt"

Ce qui donnera un fichier similaire à celui-ci :

L'opération doit être répétée pour chaque valeur du Registre.

Pour vous aider, voici un bout de code pour générer un fichier texte pour chaque valeur. Vous pouvez changer la valeur de la variable "$SysmonSvcOutput" pour modifier le chemin du dossier de sortie.

$SysmonSvcOutput = "C:\TEMP"
$SysmonSvcReg = "HKLM:\SYSTEM\CurrentControlSet\Services\SysmonDrv\Parameters"
$SysmonSvcRegValueBinary = @("DnsLookup","Rules")
$SysmonSvcRegValueDword = @("HashingAlgorithm","Options")

foreach($value in $SysmonSvcRegValueBinary){

    ((Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\sysmonDrv\Parameters").$value | ForEach-Object { $_.ToString("X2") }) -join '' > "$SysmonSvcOutput\Sysmon_Export_$value.txt"
}


foreach($value in $SysmonSvcRegValueDword){

    (Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\sysmonDrv\Parameters").$value > "$SysmonSvcOutput\Sysmon_Export_$value.txt"
}

Désormais, nous allons voir comment ajouter ces informations à une GPO.

C. Configurer Sysmon par GPO

Pour configurer Sysmon, nous allons créer une nouvelle GPO. Pour ma part, elle s'appelle "Configurer Sysmon (GPP)".

1 - Modifiez la GPO et accédez à l'emplacement suivant : Configuration ordinateur > Préférences > Paramètres Windows > Registre.

2 - Effectuez un clic droit puis sous "Nouveau", choisissez "Assistant Registre". Attention, si vous avez exporté les données via PowerShell, choisissez "Élément Registre" et configurez chaque valeur de Registre.

Un assistant s'exécute. Si votre machine de référence correspond à la machine locale, choisissez "Ordinateur local", sinon prenez la seconde option et recherchez votre machine.

Ensuite, parcourez l'arborescence du Registre jusqu'à pouvoir cocher les 4 valeurs que nous souhaitons importer. Cliquez sur "Terminer".

Voilà, les valeurs et les données associées sont immédiatement importées dans la GPO. Pratique.

Voici le résultat obtenu :

Si vous avez besoin de différencier Sysmon 32 bits et Sysmon 64, utilisez une règle de "Ciblage au niveau de l'élément" sur chaque règle de la GPO. Cette règle devra aller vérifier la présence de la clé de Registre "Sysmon" ou "Sysmon64" pour déterminer la version de l'application.

De plus, sachez que le schéma du fichier XML de Sysmon peut évoluer au fil des versions, donc nous devons en tenir compte. Sinon, la configuration peut devenir "illisible" par l'outil. C'est pour cette raison que nous allons ajouter une condition de ciblage sur chaque règle de la GPO. Pour connaître la version de Sysmon, il suffit de regarder dans les propriétés de l'exécutable Sysmon. Ici, il s'agit de la version "15.14.0.0".

Ensuite, nous allons créer une condition de cette façon :

1 - Modifiez une première valeur dans la GPO, cliquez sur "Commun", puis cochez "Ciblage au niveau de l'élément" et cliquez sur le bouton "Ciblage".

2 - Cliquez sur "Nouvel élément" et choisissez "Correspondance fichier".

3 - Choisissez le type de correspondance nommé "Faire correspondre la version de fichier".

4 - Indiquez le chemin d'accès en version 64 bits (si vous gérez les deux versions, vous devez créer plusieurs conditions et utiliser l'opérateur "OU").

%WinDir%\Sysmon64.exe

5 - Indiquez votre version comme valeur maximale, en indiquant la valeur complète (y compris les zéros). Choisissez l'opérateur "<=" à la place de "<" sinon la règle ne s'appliquera pas. Si besoin, nous pourrions aussi ajuster la version minimale (valeur de gauche).

Validez et répétez l'opération pour les autres règles de la GPO.

V. Tester la configuration

Désormais, il ne reste plus qu'à tester la GPO sur une machine ciblée par celle-ci. Voici l'état d'une machine sur laquelle Sysmon a été installé par GPO mais qui n'a pas appliqué de fichier de configuration. Nous voyons que la valeur "Rules" n'est même pas présente.

Après application de la GPO, les valeurs de Registre sont bien actualisées et nous pouvons le confirmer en regardant le Registre :

Il faut savoir qu'il n'y a pas besoin de redémarrer le service Sysmon. Il va détecter de lui-même la modification de la configuration (valeur "Rules") et l'appliquer immédiatement.

Nous venons de déployer une configuration de Sysmon par GPO sans l'exposer dans un fichier XML ! Ainsi, notre configuration est protégée des regards indiscrets.

VI. Conclusion

En suivant ce tutoriel sur Sysmon, vous devriez être en mesure de l'installer et de le configurer de façon automatique sur vos machines Windows ! La prochaine étape consistera à collecter ses événements dans le but de pouvoir les analyser.

The post Cybersécurité : installer et configurer Sysmon sur Windows avec une GPO first appeared on IT-Connect.

I. Présentation

Comment fusionner des PDF sous Linux ? Ce tutoriel répond à cette question à l'aide de l'utilisation de l'outil en ligne de commande PDFtk alias le PDF Toolkit.

Avec la dématérialisation, les fichiers PDF sont de plus en plus nombreux sur nos machines. Dans certains cas, il peut être intéressant de fusionner certains documents PDF en un seul fichier, pour mieux les trier ou tout simplement pour envoyer tout en une seule pièce jointe dans un message électronique. Sachez qu’il existe un moyen très simple de fusionner plusieurs PDF sous Linux en utilisant l’application « PDFtk ».

PDFtk est un outil en ligne de commande très utile pour manipuler des fichiers PDF sous Linux. Il vous permet d’effectuer diverses opérations sur les fichiers PDF, telles que la fusion, la division, la rotation, l’extraction de pages, la modification des métadonnées et bien plus encore. Lorsque l'on parle de fusion de PDF, on parle aussi de "concaténation de PDF" ou du fait de "combiner des PDF".

Nous allons voir dans ce tutoriel son installation et son utilisation au travers différents exemples pour fusionner deux fichiers PDF.

• Comment fusionner des PDF sous Windows ?

Version originale de l'article : 21 mars 2013.

II. Installation du paquet PDFtk

Après avoir vérifié avoir accès à internet sur votre machine, mettez à jour la liste des paquets et installez le paquet « pdftk » comme ceci :

sudo apt-get update
sudo apt-get install pdftk

L'installation de PDFTK est relativement rapide, bien que dépendante de la vitesse de votre connexion Internet.

III. Fusionner des PDF avec PDFtk

Maintenant, nous pouvons manipuler nos PDF puisque l’installation est terminée. Pour ma part, je vais fusionner 2 PDF nommés « PDF1.pdf » et « PDF2.pdf ». Chaque PDF contient 3 pages. La procédure est la même peu importe le nombre de pages.

Nous verrons plusieurs exemples afin que vous puissiez utiliser plus aisément cette fonctionnalité de pdftk après avoir terminé la lecture ce tutoriel. De manière générale, la syntaxe d’une commande de pdftk est la suivante :

pdftk <fichiers_sources> <opérande> output <fichier_destination>

L’opérande correspond à l’action qu’on souhaite effectuer, dans le cas d’une fusion de PDF l’opérande est « cat ». L’ordre des fichiers sources est important puisque pdftk prendra les fichiers dans l’ordre que vous les indiquez.

A. Fusionner deux fichiers PDF en un seul

Afin de fusionner deux fichiers PDF en un seul fichier PDF nommé « PDF1-2.pdf », la commande sera la suivante :

pdftk PDF1.pdf PDF2.pdf cat output PDF1-2.pdf

Le contenu du fichier "PDF1.pdf" sera ajouté en premier, et celui du fichier "PDF2.pdf" viendra à la suite. J'insiste sur le fait que l'ordre est important.

Note : Placez-vous dans le répertoire où sont stockés les PDF auparavant ou indiquez le chemin complet vers chaque fichier dans la commande.

B. Fusionner tous les PDF d’un répertoire en un seul

Pour fusionner tous les PDF situés dans le répertoire « /home/flo/pdf » vers un fichier « PDF-ALL-FLO.pdf » on utilisera ceci :

pdftk /home/flo/pdf/*.pdf cat output PDF-ALL-FLO.pdf

C. Fusionner la page 1 d’un PDF avec la page 3 d’un autre PDF

Nous allons voir un exemple un peu plus compliqué dans le sens où nous n'allons pas fusionner deux fichiers PDF complets. En effet, nous allons combiner uniquement la page 1 du "PDF1.pdf" et la page 3 du "PDF2.pdf" vers un fichier nommé « PDF-11-23.pdf ».

Pour cela, nous allons utiliser la méthode des alias où une lettre correspondra en fait à un nom de fichier PDF, par exemple : A=PDF1.pdf et B=PDF2.pdf. Un alias ne peut être constitué que d’une seule lettre. Ensuite, après l’opérande « cat » nous allons préciser les pages que nous souhaitons fusionner de cette façon :

<nom_alias><numero_page>

Ce qui donnera pour la page 1 du PDF1.pdf dont l’alias est « A » :

A1

La commande à saisir pour la fusion sera donc la suivante :

pdftk A=PDF1.pdf B=PDF2.pdf cat A1 B3 output PDF-11-23.pdf

Nous obtenons bien le résultat attendu :

Si l’on aurait souhaité fusionner les pages 2 et 3 du PDF2.pdf (alias B), on peut indiquer une plage de pages comme ceci :

B2-3

D. Protéger par un mot de passe le fichier PDF fusionné

Nous allons fusionner les fichiers PDF "PDF1.pdf" et "PDF2.pdf" en protégeant par un mot de passe le fichier de sortie. Pour cela, nous ajoutons l'option "user_pw" à la fin de la commande. Le fait d'indiquer "PROMPT" évite de préciser le mot de passe en clair dans la commande : il sera demandé de le saisir de façon interactive.

pdftk PDF1.pdf PDF2.pdf cat output PDF1-2Pwd.pdf user_pw PROMPT

Voici un exemple :

IV. Conclusion

Ce tutoriel touche à sa fin ! Nous venons d'apprendre à fusionner des PDF sous Linux à l'aide de l'application PDFtk. Elle propose d'autres fonctionnalités pour manipuler les fichiers PDF, notamment pour extraire les métadonnées, effectuer des rotations de pages, etc.

Si vous disposez d'une machine Linux avec une interface graphique, vous pouvez également utiliser l'outil PDFSam Basic. Il est disponible sous la forme d'un paquet ".deb" et d'une archive portable.

• Documentation officielle - PDFtk

The post Linux : comment fusionner des fichiers PDF avec PDFtk ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment fusionner des fichiers PDF sous Windows. La fusion de fichiers PDF est utile lorsque vous souhaitez combiner plusieurs documents au format PDF en un seul fichier.

Nous allons évoquer les différentes solutions à notre disposition avant de passer à l'utilisation des applications PDFSam Basic et PDF24.

• Comment résumer un PDF grâce à l'IA avec UPDF ?

II. Quel logiciel utiliser pour fusionner des PDF ?

Sur Windows, il existe de nombreuses applications capables de lire, modifier et manipuler des documents PDF. Le problème, c'est que la grande majorité de ces applications réservent leurs fonctions clés pour les versions payantes. Fort heureusement, il y a quelques exceptions.

Voici quelques exemples de solutions offertes :

• Adobe Acrobat Reader DC : la version gratuite de cette application ne permet pas de fusionner ou combiner des fichiers PDF. L'option est bien présente, mais lorsque nous cliquons dessus, nous sommes invités à passer sur la version "Pro".
• Microsoft Word : l'intégration de fichiers PDF dans un document Word en tant qu'objet PDF est une possibilité, mais ceci a tendance à altérer la mise en page des documents.
• PDFSam Basic : la version gratuite intègre plusieurs outils pour manipuler les fichiers PDF, dont la possibilité de combiner plusieurs fichiers.
• PDF24 : la boite à outils PDF24 est gratuite et elle intègre beaucoup de fonctions pour modifier et manipuler les documents PDF, y compris une fonction pour combiner des fichiers.

Nous allons voir comment fusionner des documents PDF avec PDFSam Basic et PDF24, deux solutions gratuites pour les utilisateurs de Windows. Que vous soyez sur Windows 10 ou Windows 11, ces applications fonctionneront de la même façon.

Avant de commencer : par précaution, veillez à toujours sauvegarder vos fichiers PDF avant de les modifier, combiner, diviser, etc.

III. Fusionner des PDF avec PDFSam Basic

PDFSam Basic est une boite à outils gratuite et open source pour manipuler des PDF sur Windows. Simple d'utilisation grâce à son interface épurée, PDFSam Basic vous permettra de fusionner des PDF en quelques clics. Personnellement, c'est une application que j'apprécie et que j'utilise depuis des années.

La première étape consiste à le télécharger et à l'installer. La version "Basic" est totalement gratuite, contrairement aux autres versions. Voici un lien pour accéder à la page de téléchargement :

• Télécharger PDFSam Basic

Au moment de l'installation, pensez à décocher l'option "Installez PDFSam Enhanced...." pour installer la version Basic.

Lancez l'application une fois qu'elle est installée. Un ensemble d'outils sont à votre disposition pour fusionner, découper, extraire, etc... pour jouer avec des documents PDF. Ici, nous allons nous intéresser aux outils de fusion, et plus particulièrement l'outil nommé "Fusion". Il va permettre de prendre X documents PDF et de les regrouper en un seul fichier.

La première étape consiste à sélectionner les fichiers PDF à fusionner. L'idée étant de les lister dans l'ordre où ils doivent être fusionnés. Pour gérer l'ordre, il suffit de cliquer sur un fichier puis de cliquer sur les boutons "Monter" et "Descendre".

Certaines options supplémentaires sont disponibles, notamment pour ajouter un pied de page, normaliser les pages (selon une largeur fixe, par exemple), pour générer une table des matières, ou encore pour indiquer s'il faut conserver les signets ou non.

La dernière étape consiste à indiquer le nom et l'emplacement du fichier de sortie, c'est-à-dire du PDF fusionné. Il est également possible de compresser le fichier créé et de choisir la version de PDF. Ensuite, il ne reste plus qu'à cliquer sur "Exécuter".

Voici le document PDF obtenu en sortie :

Il contient bien les deux documents PDF que je souhaitais fusionner ! Le fichier de sortie pèse 58 Ko.

IV. Fusionner des PDF avec PDF24

PDFSam Basic n'est pas la seule application gratuite pour fusionner des PDF sous Windows. Nous pouvons utiliser l'application PDF24 que nous pouvons installer sur Windows afin de bénéficier de toute la suite d'outils PDF24. Ceci évite d'utiliser la version en ligne et donc d'envoyer les fichiers sur les serveurs de PDF24. Grâce à l'application, le traitement est effectué en local.

Commencez par télécharger et installer PDF24 pour Windows :

• Télécharger PDF24

Lancez l'application "PDF24 Toolbox" une fois l'installation terminée. Dans la liste des outils, cliquez sur "Fusionner PDF". Comme vous pouvez le voir, il y a beaucoup d'autres outils disponibles.

Ensuite, ajoutez les fichiers PDF que vous souhaitez fusionner. Là encore, l'ordre est important, car les fichiers seront fusionnés "de la gauche vers la droite". Avec un glisser-déposer, vous pouvez changer l'ordre. Un affichage en mode liste est également proposé. En comparaison de PDFSam Basic, il y a moins d'options proposées pour la fusion de PDF : nous pouvons seulement ajouter la création de marque-pages.

Quand vous êtes prêt, cliquez sur le bouton "Créer un PDF".

Un fichier PDF correspondant aux documents PDF fusionnés a été généré. Il est possible de l'enregistrer et même de l'envoyer directement par e-mail.

Nous obtenons bien le résultat attendu. Le fichier de sortie pèse 66 Ko.

V. Conclusion

Vous connaissez maintenant plusieurs options pour fusionner des fichiers PDF sous Windows ! Choisissez celle qui vous convient le mieux entre PDFSam Basic et PDF24. Il est à noter que les fichiers sources ne sont pas supprimés par ces applications. Néanmoins, attention, si le fichier de sortie porte le nom d'un fichier source et qu'il est généré au même endroit, il l'écrasera.

The post Comment fusionner des PDF sous Windows ? first appeared on IT-Connect.

Au sein de Windows 11 24H2, Microsoft va faire du ménage puisque deux applications seront définitivement supprimées : WordPad et Cortana. Faisons le point.

Alors que Windows 11 24H2 commence à pointer le bout de son nez par l'intermédiaire d'une préversion disponible pour les membres du programme Windows Insiders, nous apprenons que Microsoft a prévu de supprimer deux applications : WordPad et Cortana.

• La préversion de Windows 11 24H2 est disponible !

Ce n'est pas une réellement une surprise, car Microsoft a déjà fait part de son intention de supprimer WordPad, un logiciel de traitement de texte historique présent dans Windows depuis 1995. Il s'agit d'une application basique pouvant être utilisée pour créer des documents, mais aussi pour ouvrir les fichiers .rtf, .docx, .odt et .txt, ce qui en fait aussi une liseuse pour les documents Microsoft Word.

Il en va de même pour Cortana, l'assistant vocal de Microsoft qui n'est jamais parvenu à s'imposer et qui se doit de laisser sa place à Microsoft Copilot. L'application Tips, intégrée à Windows et permettant d'obtenir des conseils, sera aussi supprimée.

Jusqu'ici, nous ne savions pas quand ces applications seront supprimées de Windows 11, mais maintenant, c'est plus clair. En effet, Microsoft a donné des précisions par l'intermédiaire de l'équipe du programme Windows Insider : "Veuillez noter que Cortana, Tips et WordPad sont supprimés après la mise à niveau vers Windows 11, version 24H2. Ces applications sont obsolètes."

Il y a quelques jours, la firme de Redmond a également fait part de son intention de supprimer Visual Basic Script (VBScript) de Windows 11. Néanmoins, Microsoft a conscience que ce changement est impactant pour de nombreuses organisations : ce sera effectué par étape, et sur plusieurs années. Dès Windows 11 24H2, il sera possible de supprimer VBScript en quelques scripts, car ce sera une fonctionnalité facultative (à la demande) de Windows.

Que pensez-vous de ces changements ?

Source

The post Les applications WordPad et Cortana seront supprimées dans Windows 11 24H2 first appeared on IT-Connect.