A chaque mise à jour de firmware de Tomato le process est le même, il est conseillé de ne pas repartir de sa configuration, mais de tout reparamétrer à la main...

Je vous explique pourquoi et comment faire pour transposer votre configuration (nvram) après une mise à jour de firmware.

Déjà parce qu'on est des feignants, mais aussi parce que cela n'a rien de passionnant. Et que c'est important de rester sur une version récente pour des questions de sécurité.

Pourquoi est-ce déconseillé de ré-injecter votre config

Chaque version de firmware tomato vient avec une liste de paramètres possible, le tout étant stocké en nvram.

Cela peut poser plusieurs problèmes :

• paramètre qui n'existe plus (suppression)
• paramètre qui a changé de nom
• paramètre qui a changé de valeur possible
• introduction d'un nouveau paramètre

Dans le pire des cas le routeur ne démarrera pas, plantera ou aura un fonctionnement difficilement compréhensible.

Dans le meilleur des cas vous consommerez de l'espace précieux en nvram au fur et à mesure des versions de firmwares que vous installerez.

Plus vous sautez de versions lors de l'upgrade, plus le risque est important. Et le changelog ne donne pas plus d'information sur les attributs qui changent (malheureusement).

Rappel du processus de mise à jour

Admettons que je suis sur la version Tomato 2022.1 et que je veux migrer vers la version 2025.1.

Avant de faire une mise à jour du firmware de mon FreshTomato, je fais un backup :

• du fichier de configuration .cfg (cf tutoriel)
• du fichier de configuration nvram (format texte) nvram_v2021.1.txt

Ensuite je lance une réinitialisation complète de nvram, puis le routeur reboot.

Je définis une IP fixe sur ma machine (192.168.1.123/24) puis je me connecte sur http://192.168.1.1 avec l'identifiant "root" et le mot de passe "admin"

Puis je fais à nouveau un backup du fichier de configuration texte nvram (cf tutoriel) que je nomme :

nvram_v2022.1_vide.txt

C'est maintenant le moment de faire la mise à jour firmware de Tomato en v2025.1 à partir du fichier TRX sans oublier de cocher la case :

" Erase all data in NVRAM. Optional. This is performed between the firmware upload and the reboot."

Après quelques minutes le routeur revient à la vie, je me connecte sur http://192.168.1.1 avec l'identifiant "root" et le mot de passe "admin".

Puis je fais à nouveau un backup du fichier de configuration texte nvram (cf tutoriel) que je nomme nvram_v2025.1_vide.txt.

Nous disposons maintenant de 2 fichiers de configuration usine, une pour chaque version de firmware :

• nvram_v2021.1_vide.txt
• nvram_v2025.1_vide.txt

Comparer les versions

Maintenant que nous disposons de 2 fichiers de configuration usine, nous allons pouvoir comparer ces 2 fichiers.

Pour que ce soit plus pratique, je crée une version triée par ordre alphabétique en bash (ma préférence).

En bash (depuis WSL par exemple, ou directement depuis votre routeur Tomato) :

cat nvram_v2021.1_vide.txt | sort > nvram_v2021.1_vide_SORTED.txt
cat nvram_v2025.1_vide.txt | sort > nvram_v2025.1_vide_SORTED.txt

Aussi possible en PowerShell :

gc nvram_v2021.1_vide.txt | Sort-Object | sc nvram_v2021.1_vide_SORTED.txt
gc nvram_v2025.1_vide.txt | Sort-Object | sc nvram_v2025.1_vide_SORTED.txt

Je compare ces 2 fichiers triés dans WinMerge.

A noter que le tri est aussi possible directement dans WinMerge : Menu Plugins > appliquer un script > trier les lignes par ordre croissant (je conseille de travailler sur une copie pour garder les fichiers cd conf nvrame non triés).

Dès que je vois un paramètre qui a été supprimé dans le firmware plus récent, je le répercute dans mon fichier nvram_v2021.1.txt. Même chose pour les nouveaux paramètres, je les ajoute à la main. Je travaille toujours sur le fichier non trié pour modifier, les 2 fichiers triés sont là pour que la comparaison visuelle dans WinMerge soit plus facile.

Exemple ici avec la suppression du paramètre "log_ftp", que je supprime également dans ma configuration perso s'il était également présent.

Je dispose maintenant d'un nouveau fichier nvram tout beau tout propre, prêt à être injecté dans le routeur : nvram_2025.1.txt.

Script d'injection du nouveau fichier nvram

Je copie mon nouveau fichier nvram_2025.1.txt dans le /tmp du routeur via FTP (activez-le avant) ou directement avec vi en copier/coller.

Puis j'utilise ce code bash pour injecter la nouvelle configuration nvram :

#!/bin/sh
input="/tmp/nvram_injected.txt"
while IFS= read -r line
do
nvram set "$line"
done < "$input"

Si tout s'est bien passé, on valide la nouvelle configuration :

nvram commit && reboot

Patientez plusieurs minutes jusqu'à ce que le routeur redémarre. Si ce n'est pas le cas c'est que vous avez flingué quelque chose.

Commandes utiles

Si vous avez quelques paramètres à retirer et ne souhaitez pas réinjecter toute la nvram, procédez ainsi :

nvram unset nom_du_parametre1
nvram unset nom_du_parametre2
nvram unset nom_du_parametre3
nvram commit && reboot

C'est un peu le même principe que chez Cisco, la configuration est lue au boot.

Conclusion

Et voilà ! Merci à ceux qui attendaient cet article depuis 2022 et qui se reconnaitront

De mon côté j'utilise un second routeur pour mes tests, cela me permet de voir s'il y a eu des changements importants d'une version de firmware à une autre, sans péter le vrai. Si vous suivez chaque version il y a peu de changement d'une version à une autre, mais ça vaut le coup de vérifier (regardez les changelog de FreshTomato).

Enfin : gardez toujours la nvram configuration usine de votre version de firmware actuelle, cela vous évitera de faire un reset configuration avant l'upgrade...

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 09/03/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Tomato] Réinjecter la configuration après un upgrade 🍅 provient de : on Blogmotion.

Je suis tombé sur une vidéo de la chaine IT-Connect qui traite du déploiement de Windows 11 afin de connaître le pourcentage de machines éligibles et compatibles avec l'OS (TPM, génération de  processeur, etc.).

Et dans cette vidéo il fait remonter le résultat d'un script d'ouverture de session dans les attributs AD des comptes ordinateurs.

Je trouve ça très malin, j'imagine des cas d'utilisation pour avoir de la remontée d'information quand on ne dispose pas d'une gestion centralisée (MEMCM, inventaire, etc).

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 06/03/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Envoyer le résultat d’un script dans un attribut AD provient de : on Blogmotion.

Thomas de la chaine Abrège partage sa reflexion autour des périphériques Zigbee sur Home Assistant.

Il est assez rare d'avoir des préco sur le type de capteurs à acheter, on trouve souvent une vidéo sur le test d'un périphérique, mais pas d'un ensemble de capteurs :

J'ai aussi opté pour du Aqara pour les détecteurs d'ouverture de porte, ils sont très petits et très fiables.

J'ai moi aussi tout basculé en Zigbee et supprimé tous les périphériques Wifi, Bluetooth, ou qui utilisent des systèmes propriétaires. J'ai d'ailleurs déconnecté ma box Somfy il y a quelques jours. La seule box propriétaire que je garde est celle de Delta Dore, car elle pilote mon chauffage et mes volets roulants (et que ça marche vraiment bien !).

Pour l'instant j'ai gardé mon pont Hue, car j'aime bien l'application mobile de Philips

Enfin, j'utilise aussi Z2M (Zigbee2MQTT) pour bénéficier d'une grande compatibilité.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 18/02/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Home Assistant] Quels périphériques Zigbee acheter ? provient de : on Blogmotion.

Et si tous les SysAdmins étaient tous des imposteurs ? C'est la question à laquelle tente de répondre Thomas...

Plus sérieusement, il aborde l'architecture d'une application web, la répartition de charge et la scalabilité (horizontale et verticale) :

La vidéo est plutôt très bien faite, j'adore les animations ! C'est souvent des concepts qu'on apprend sur le tas, alors merci Thomas d'avoir synthétisé tout ça aussi bien

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 13/02/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment distribuer des connexions web 🍌 (load balancer) provient de : on Blogmotion.

Ou plutôt un bug, selon l'implémentation des RFC, comme souvent. Ce bug semble au départ assez anodin, jusqu'à ce que l'on comprenne l'enjeu : il permet en effet de recevoir un email destiné à une adresse email A sur une adresse email B.

Voici la découverte de Gareth Heyes, comptée par Hackintux (comme d'hab, vidéo au top!) :

Certaines vulnérabilités sont d'ailleurs découvertes par des moteurs d'IA (exemple), et il faut s'attendre à ce que cela s'accélère. C'est probablement une bonne chose, car certaines vulnérabilités seront corrigées avant de partir dans la nature... sauf si ce n'est pas l'éditeur qui s'en aperçoit en premier

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 27/01/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Une énorme faille de parsing d’adresse email provient de : on Blogmotion.

Je fais au moins une fois par an une sauvegarde complète de la carte microSD de mon Raspberry Pi avant un changement important : montée de version de Raspberry Pi OS ou de mon logiciel domotique (domoticz, HA étant sur un SSD).

Ce clone parfait me permet de restaurer la carte exactement dans l'état ou elle était au moment de la sauvegarde.

HDD Raw Copy Tool (gratuit)

Étrangement Windows ne permet pas de faire cela facilement, donc je vous partage ce logiciel gratuit qui permet de faire une image compressée d'une clé USB ou d'une carte SD (peu importe son type).

Vous utilisez peut-être RoadKil's DiskImage qui fonctionne bien mais ne permet pas d'obtenir un fichier compressé en sortie. Il faut alors utiliser 7zip ou équivalent.

HDD Raw Copy Tool permet nativement de cloner un périphérique vers un autre ou vers un fichier image compressé *.imgc

Développé par le site hddguru.com il est compatible avec toutes les versions de Windows, existe en version classique ou portable.

Il est capable de communiquer avec les interfaces suivantes : SATA, IDE, SCSI, SAS, USB et Firewire.

De mon côté il fonctionne parfaitement avec un lecteur de carte universel USB de marque LDLC.

 

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 20/01/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Sauvegarder une carte SD/clé USB en image compressée provient de : on Blogmotion.

Depuis plusieurs années j'utilise un routeur Netgear R8000 avec le firmware FreshTomato, un fork du défunt TomatoUSB. Et j'ai eu envie de bloquer les scans de sites publiques comme Shodan ou Censys.

Mais soyons clair : cela n'augmentera la sécurité et ne diminuera pas le risque de scans/attaques depuis l'extérieur (ce que pourrait faire un fail2ban).

Cela évite quelques scripts kiddies en cas de grosses vulnérabilités, et puis c'était un petit challenge technique.

Fonctionnement

Nous allons injecter des règles dans iptables pour bloquer des listes d'IP v4 publiques correspondant à celles des scanners comme Shodan ou Censys.

Pour rappel, iptables permet de configurer des règles côté utilisateur afin qu'elles soient injectées dans netfilter côté noyau Linux.

Ce tutoriel fonctionne avec FreshTomato et potentiellement tous les forks qui s'en rapprochent.

ipset est une extension d'iptables qui permet de gérer des ensembles d’adresses IP, contrairement aux chaînes iptables classiques. IPset facilite la création de listes d'adresses autorisées et/ou bloquées.

L'idée est donc de stocker une liste d'adresses IP dans un fichier texte pour ensuite le parser et injecter ces IP pour les bloquer depuis internet (chaine INPUT) :

# shodan:
64.226.86.0/24
64.227.90.0/24
64.227.107.0/24
# censys:
162.142.125.0/24
167.94.138.0/24
# etc...

La génération de ce fichier sera abordée dans un autre article afin de ne pas surcharger celui-ci.

En attendant voici la liste contenant les IP/réseaux de shodan et censys ici :

télécharger le fichier blocklist shodan/censys

Merci Arthur pour les listes

Pré-requis

Vous aurez besoin d'un espace de stockage persistant : clé USB ou partition /jffs. Dans mon cas j'utilise une clé USB.

Nous devons activer des modules de filtrage spécifiques dans le noyau, au démarrage du routeur.

Depuis un terminal SSH, saisissez :

modprobe -a ip_set xt_set ip_set_hash_ip ip_set_hash_net
ipset create shodan hash:net

La 1ʳᵉ ligne active les modules de filtrage par IP et par réseau (subnet) dans le noyau Linux du routeur FreshTomato.

La 2ᵉ ligne créé un ipset nommé "shodan" que nous alimenterons ensuite par un script à partir de la blocklist fournie avant les pré-requis.

Important : si vous perdez la connexion SSH c'est qu'un des modules est manquant (voir section "bugs possibles").

Pour rendre ce paramétrage persistant, allez dans Administration > Scripts puis coller les 2 lignes que vous avez saisies manuellement :

Comment manipuler un ipset ?

Voici quelques commandes de base pour comprendre ce que fera le script et éventuellement le déboguer.

Affiche le contenu de l'ipset "shodan" :

ipset list shodan

Vider le contenu de l'ipset "shodan" (sans le supprimer) :

ipset flush shodan

Supprimer l'ipset "shodan" (ne doit plus être utilisé par netfilter pour que cela fonctionne) :

ipset destroy shodan

Lier l'ipset à une chaine iptables (INPUT)

Pour bloquer tout ce qui correspond à l'ipset "shodan" dans iptables (chaine INPUT) :

iptables -I INPUT -m set --match-set shodan src -j DROP

L'option "-I" permet d'insérer la règle en début de chaine en décalant les règles existantes vers le bas.

Pourquoi? parce que iptables fonctionne dans cet ordre : la première règle évaluée et qui correspond s'applique au détriment de la suite. Au contraire si nous voulions ajouter la règle en fin de chaine c'est l'option "-A" que nous aurions du utiliser, comme "append".

Ajout du script d'init

Lorsque le service "firewall" démarre il va lire la configuration web, nous devons donc préciser l'utilisation de l'ipset "shodan" en blocage.

Allez dans Administration > Scripts > Firewall puis coller :

iptables -I INPUT -m set --match-set shodan src -j DROP

Sauvegardez en cliquant sur le bouton "save".

Pourquoi ne pas appeler ici le script inject_blocklist_to_iptables.sh ? On s'affranchit de potentielles problématiques de montage/corruption de la clé USB et on évite un souci un crash au démarrage du routeur. On appellera ce script dans la partie "Wan Up".

Peupler l'ipset avec adresses IP et sous-réseaux

Afin de comprendre ce que l'on fait, voici un exemple.

Imaginons que nous voulons ajouter l'IP 12.34.56.78 et le réseau 137.184.13.0/24 dans l'ipset "shodan" pour les bloquer.

Nous saisissons en SSH :

ipset -! add shodan "12.34.56.78"
ipset -! add shodan "137.184.13.0/24"

La syntaxe "-!" correspond à l'option "-exist", ce qui évite d'avoir une erreur si l'adresse/réseau ajouté est déjà présent dans l'ipset concerné.

Il est aussi possible de préciser une ip au format CIDR (ex: 12.34.56.78/32) :

ipset -! add shodan "12.34.56.78/32"

La prise en compte est immédiate.

Maintenant que vous avez compris le principe nous allons utiliser le script que j'ai écrit, qui va lire les IP/réseaux à bloquer puis injecter le tout dans iptables.

Le script

télécharger inject_blocklist_to_iptables.sh

Lancez-le d'abord à la main (adaptez le chemin suivant l'emplacement sur la clé USB/JFFS) :

/tmp/mnt/CLEUSB/scripts/iptables/block_shodan_censys/inject_blocklist_to_iptables.sh

Le script va injecter la liste des IP à bloquer dans iptables, tout seul comme un grand. Si tout fonctionne nous allons pouvoir le rendre persistant :

Allez dans Administration > Scripts > Firewall :

Dans mon cas avec mon chemin cela donne :

/bin/sh /tmp/mnt/CLEUSB/scripts/iptables/block_shodan_censys/inject_blocklist_to_iptables.sh

Sauvegardez en cliquant sur le bouton "save".

A chaque fois que votre routeur va (re)trouver l'accès à internet le script s'exécutera. Si ce n'est pas suffisant pour vous ajouter une exécution au moment de votre choix dans le planificateur via Administration > Scheduler.

Toutes les 24h semble être une bonne idée, tout cela dépend si votre fichier de liste d'IP est régulièrement mis à jour ou non.

Voir les règles iptables actives

Pour afficher toutes les règles de la chaine INPUT :

iptables -S INPUT

Pour afficher toutes les règles avec le nombre de paquets qui ont matché sur chaque règle :

iptables --list --numeric --verbose --line-numbers

Ou la version courte :

iptables -L -n -v --line-numbers

Bugs possibles

S'il vous manque un des modules noyau j'ai constaté que le routeur part en utilisation CPU proche de 100% et coupe la connexion SSH ouverte dans laquelle vous aurez saisi la commande pour créer l'ipset. C'est pourquoi je vous conseille d'activer les modules à la main en SSH avant de les rendre persistant par script dans l'interface web (pour éviter le plantage du routeur au démarrage...).

Pour redémarrer le service firewall :

service firewall restart

Attention : cette commande va recharger uniquement la configuration depuis votre interface web tomato ainsi que les scripts. Tout ce que vous aurez saisi en SSH devra être de nouveau saisi pour que ce soit actif.

N'hésitez pas à jeter un œil côté logs (Status > Logs) car le script écrira ses erreurs et informations si vous avez besoin de vérifier des choses. Sous condition que vos logs ne tournent pas trop vite, ou bien que vous ayez activer la journalisation sur une clé USB.

Conclusion

Voilà un tutoriel qui pourra servir de base pour d'autres usages. Je n'ai pas parlé d'IPv6 mais c'est à tout à fait possible moyennant un peu d'adaptation.

J'ai pris le temps d'expliquer comment tout ça fonctionne, en plus de la fourniture du script. N'hésitez pas à me faire un retour ou poser vos questions si vous en avez.

J'ai regroupé shodan et censys dans le même ipset, parce que c'est plus simple ainsi. Mais vous pouvez faire autant d'ipset qu'il vous en plaira, pensez à dupliquer la dernière ligne du script avec votre fichier *.list

Gardez en tête que si vous déclarez des subnet entiers dans un ipset de type "hash:ip" iptables va convertir les subnets en IP donc ça se remplira très vite. C'est la raison pour laquelle je suis parti sur les subnets.

Enfin, par défaut la limite est fixée à 65536 lignes dans chaque ipset. Pour augmenter cette valeur il faudra spécifier l'option maxelem. Mais attention à ne pas surcharger votre routeur !

Sources utiles :

• Script d'inspiration (github)
• manuels : ipset (voir "inet6" pour ipv6)
• How to block Shodan scanners (ipfire)
• Utiliser ipset sur Linux (malekal)
• iptables / netfilter (youtube)
• Bloquer des pays entiers : github, reddit
• Adaptation ipv6 et nombre d'éléments maximum (65536)
• Autre exemple qui peut servir...

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 13/01/2025 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Tomato] Bloquer des IP externes (Shodan, Censys) ⛔ provient de : on Blogmotion.

C'était le rêve de tout geek qui adore les trucs inutiles et donc indispensables !

Il est maintenant possible de brancher une carte graphique en PCIe sur un Raspberry Pi 5, moyennant quelques bidouilles tout de même.

Merci Goodwin pour ces nombreux tests ! Reste à savoir à quoi ça peut servir...

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 02/01/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Une carte graphique sur Raspberry Pi 5 (PCIe) provient de : on Blogmotion.

Thomas (de la chaine Abrège) s'est lancé dans une réparation d'un lot de manettes de GameCube, et j'avoue que j'ignorais totalement ces mods matériels.

Ils consistent au remplacement de certains composants afin d'apporter un temps de réponse plus faible, une meilleure précision et une usure moindre.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 23/12/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [DIY] Customiser une manette de GameCube (phob) provient de : on Blogmotion.

overfl0w vient de publier une vidéo qui présente TempleOS, un système d'exploitation créé à partir de... rien !

Comme d'habitude je suis extrêmement fan du montage, alors bigup à overfl0w

L'auteur de TempleOS, Terry A. Davis, est décédé en 2018 à l'âge de 48 ans.

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 16/12/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article L’histoire d’un mec qui créé son propre OS provient de : on Blogmotion.

Chris Titus développe WinUtil : un outil en PowerShell qui permet d'installer et supprimer des applications, de nettoyer Windows, mais aussi de réaliser un grand nombre de tâches, de façon centralisée.

Il est écrit en powershell et propose une interface graphique :

Il permet par exemple de retrouver le menu clic droit classique, de définir l'heure en UTC si vous avez un double boot, de supprimer OneDrive, de supprimer des bloatwares, d'installer rapidement dotnet 2/3/4, d'activer un accès avec OpenSSH, de réinitialiser Windows Update, de supprimer Adobe Creative Cloud... pour chaque paramètre il est possible de cliquer sur l'aide pour avoir un descriptif complet de chaque option et des clés de registres impactées.

Il est aussi possible de créer un LiveCD de votre version de Windows depuis l'onglet MicroWin :

J'avoue préférer de loin utiliser un LiveCD comme celui de Sergei Strelec, mais celui-ci aura le mérite d'être parfaitement légal car construit par vos soins.

Comment lancer WinUtil

Pour utiliser le script depuis une invite PowerShell :

irm christitus.com/win | iex

Et voici la présentation complète de l'outil par son auteur :

GitHub du projet WinUtil

Il fera gagner du temps à ceux qui installent des applications sur des machines fraichement installées, et ravira tous ceux qui aiment personnaliser, bidouiller Windows

outil découvert sur reddit

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 12/12/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article WinUtil : un puissant tweaker pour Windows 🚀 provient de : on Blogmotion.

Avec le temps les GPO ou les scripts stockés dans le SYVOL peuvent contenir tout un tas de données sensibles, qui parfois n'ont rien à faire ici.

Florian nous propose un outil gratuit et open source à utiliser en complément d'outils d'audit tels que Ping Castle, Purple Knight, ORADAD, etc.

HardenSysvol (GitHub)

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 20/11/2024 | Un commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article HardenSysvol : Auditez vos scripts et GPO AD provient de : on Blogmotion.

Florian d'IT-Connect propose une découverte de Windows Server 2025, mais aussi les nouveautés, ce qui change, les fonctionnalités dépréciées, le modèle de licence, l'installation et l'aperçu du produit :

Et sans surprise, on retrouve la même interface graphique que Windows 11. C'est toujours un peu étrange au début mais on s'y fait toujours, c'était toujours le cas pour les versions précédentes aussi.

Merci Florian pour cette vidéo très complète

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 08/11/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Windows Server 2025 : découverte et installation provient de : on Blogmotion.

Sylvqin vient de nous pondre une vidéo complètement inattendue sur le business des croix de pharmacie, et ne me demandez par pourquoi mais c'est un sujet qui me passionne. Sans le savoir je crois que j'attendais cette vidéo

Déjà parce qu'il y a une enquête sur un marché de niche. Je me suis souvent demandé dans la rue qui crée ces animations de zinzin. Sans parler des TV dans les vitrines avec 1500 lumens dans ta tronche (le voisinage doit apprécier). Mais aussi parce que tous les ingrédients y sont : hack de la croix (au sens noble du terme) et même des créations en pagaille avec du code dispo sur Github.

Inutile donc indispensable !

GG Sylvqin

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 26/10/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Doom tourne sur une croix de pharmacie 🕹️ provient de : on Blogmotion.

C'est en tout cas le défi que s'est lancé V2F. Et je vous le dis tout de suite : cette vidéo est exceptionnelle, mais genre vraiment LA masterclass !

Si vous aimez l'informatique vous allez vous prendre un shoot de compréhension à vitesse grand V

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 22/10/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Recréer Windows 11 en langage C, possible ? provient de : on Blogmotion.

C'est le challenge que s'est lancé Amy : essayer de retrouver d'où a été prise une photo trouvée au hasard, et quand.

Je vous partage la vidéo car, comme toujours, sa démarche est empirique. Et je ne connaissais pas certains des sites utilisés :)

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 08/10/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment retrouver le lieu d’une photo inconnue ? 📸 provient de : on Blogmotion.

Les anciens OS tels que Windows 7, Vista, XP, 2003 n'ont plus aucun navigateur web compatible. Mais pourquoi surfer avec un système d'exploitation aussi vieux ?

Et bien cela peut être pour récupérer un fichier, un pilote... des (mauvaises) raisons il y peut y en avoir plein.

Supermium

Supermium est navigateur internet libre et fork de Google Chrome. Il est spécialement développé pour fonctionner avec les vieilles versions de Windows.

Cela fait plusieurs années qu'aucune version de Chrome, Edge, Vivaldi, Opera, Brave ou même Firefox ne fonctionne avec d'anciennes versions de Windows. Et ce n'est pas une mauvaise chose en termes de sécurité, cela évite que des personnes avec des machines obsolètes prennent le risque de surfer sur internet avec.

Il y a déjà les certificats qui posent un problème, mais aussi les suites de chiffrement (cipher suite) et algo de compression, ainsi que les protocoles (TLS, HTTP2, etc).

Mais il y a certains cas bien précis ou cela peut dépanner. Bien sûr, je ne vous encourage pas à ressortir votre vieux Windows XP pour lire vos mails ou faire vos achats hein, qu'on se comprenne bien

Télécharger Supermium

Pensez bien à prendre la version 32 bit car à l'époque Windows XP 64 était très rare (et souvent inutile). Avec XP vous risquez d'avoir du mal à télécharger Supermium car il faut un IE9 minimum, y compris sur le site legacy. Personnellement je l'ai récupéré via FTP comme à la bonne époque (IE6 est compatible FTP).

A noter que le créateur a aussi créé son propre noyau personnalisé pour Windows Vista, qui permet justement de faire tourner des navigateurs normalement destinés à des versions plus récentes de Windows, bref il touche sa bille

A noter qu'un support pour Windows 2000 est en cours.

Télécharger Supermium / code source

source

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 29/09/2024 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Supermium : surfer en 2024 avec Windows XP ? provient de : on Blogmotion.

Il faut que je vous parle d'une télécommande Bluetooth à moins de 10 € et qui me rend bien des services !

C'est aussi bête que pratique et ça fonctionne avec tous les smartphones et périphériques BT.

Si vous utilisez le bluetooth dans une voiture avec un récépteur BT ce sera aussi parfait pour vous ! Et même avec une moto, une trottinette, un vélo, etc.

Disclaimer : Attention à bien respecter la législation concernant l'appareil utilisé, avoir quelque chose dans les oreilles peut être interdit suivant le véhicule en plus d'être carrément dangereux.

Mon besoin

J'écoute beaucoup de musique depuis mon ordinateur ou mon smartphone vers mon casque Bluetooth. Que je sois chez moi ou au travail.

Je n'aime pas utiliser les boutons de gestion du volume et de changement de morceaux présents sur mon casque. Ils sont tactiles et peu précis. 1 fois sur 2 je fais une mauvaise manipulation...

C'est alors que je me suis mis en tête de trouver une télécommande Bluetooth, principalement pour passer au morceau suivant.

Présentation de la télécommande

Un peu comme une grosse pièce de 2€, la télécommande se présente dans la forme d'un petit boitier de 5 boutons :

• moins de 4 cm de diamètre
• 8,5mm de hauteur
• boutons volume - et +
• bouton piste précédente / suivante
• boutons lecture / pause

La compatibilité est annoncée avec iOS7.0 ou pour Android4.4 + (autant dire avec presque tout!).

Le boitier est livré avec un support sous forme de bague pour le fixer sur un volant de voiture. Libre à vous de l'utiliser ou non (ça n'est pas mon cas).

La télécommande dispose d'une portée d'environ 10m, mais peu importe car je suis toujours à proximité du périphérique à piloter.

L'appairage

Et là vous vous dites : mais on peut appairer un seul périphérique BT, donc comment ça marche ? C'est là que la "magie" opère !

Cette télécommande n'est pas vue comme un casque, mais comme un clavier bluetooth. Donc votre périphérique (smartphone, ordinateur, etc) peut tout à fait accepter cette télécommande en même temps qu'un casque

La télécommande est détectée comme "Smart Remote"

Quand elle n'est pas utilisée, la télécommande passe en veille pour préserver la pile (CR2025).

Conclusion

Ce petit gadget à 6€ rend en fait bien des services car je peux changer de morceau à tout moment hyper rapidement !

Je l'ai également installé dans une ancienne voiture (Prius 3) en complément d'un récepteur Bluetooth.

Finalement le seul défaut du produit est qu'il ne remonte pas l'état de sa pile, mais comme il consomme très peu et pour son tarif je lui pardonne bien volontiers.

Il s'agit d'une découverte perso et spontanée, comme d'habitude je n'ai rien à vendre

Vous la trouverez sur AliExpress en cherchant "Télécommande sans fil pour voiture et moto" (1, 2)

 

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 17/09/2024 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Une télécommande Bluetooth pour changer de piste ⏯ provient de : on Blogmotion.

Thomas nous raconte la faille qui a été tué dans l'œuf aussi vite qu'elle était arrivée : XZ Utils.

Et il est vrai que le scénario est digne d'un film et qu'on est passé très près d'une grosse crise mondiale (ou une attaque ciblée) dont on aurait pu se souvenir longtemps. Mais est-ce vraiment la seule faille dormante qui a existé ? bien sûr que non. Même le code source ouvert peu laisser passer des portes dérobées.

 

Si l'on a arrive à générer une offre d'emploi avec l'IA, on doit sans doute pouvoir identifier une backdoor non ?!

Merci Thomas (cocadmin)

Vous n'aimez pas le RSS : abonnez-vous par email
Vous devriez me suivre sur Twitter : @xhark

---

Article original écrit par Mr Xhark publié sur Blogmotion le 11/09/2024 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Linux] Retour sur la dangereuse faille LZMA XZ (SSH) provient de : on Blogmotion.