Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 28 mars 2024Flux principal

MDT – Comment capturer et déployer un master Windows 11 23H2 ?

28 mars 2024 à 17:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à capturer une image de référence Windows 11 23H2 avec MDT. Cette image, préparée par nos soins, pourra ensuite réutilisée en tant que master afin d'être déployée sur un ensemble de machines de votre parc informatique.

La méthode que nous allons employer aujourd'hui consiste à :

1 - Prendre une machine Windows 11 qui servira de référence. Sur cette machine, nous pouvons modifier la configuration du système, installer des applications, déposer des fichiers de configuration, etc... Selon les besoins

2 - Capturer cette machine avec MDT afin que l'image Windows dans son intégralité (système + applications) donne lieu à une image WIM

3 - Ajouter cette image WIM à la liste des systèmes d'exploitation de MDT

4 - Déployer cette image de référence, qui est notre master, sur X ordinateurs

Ceci permet d'avoir une image prête à l'emploi, avec tous nos prérequis, ce qui en fait un master sur-mesure. Néanmoins, préférez autant que possible le déploiement d'applications par l'intermédiaire de MDT : ceci est la recommandation, et c'est aussi plus simple pour gérer les versions que vous souhaitez déployer, car l'image WIM capturée est figée (même si nous pouvons toujours agir dessus via les étapes de post-installation).

Dans certaines situations, cette méthode s'avère très utile, voire indispensable, et permettra d'éviter bien des galères aux équipes IT... Surtout, elle permettra de gagner un temps fou. Lors d'une précédente expérience, j'ai eu de nombreuses applications spécifiques à installer sur des machines, du style AutoCAD, Revit, Cadwork, etc... Elles sont à la fois lourdes et difficiles à déployer de façon silencieuse. De ce fait, les applications étaient installées sur une machine Windows 11, puis l'image capturée, ce qui permettait d'avoir une image prête à l'emploi avec ces applications préinstallées.

Voici quelques ressources complémentaires :

II. Préparer la machine de référence

Pour cette démonstration, une machine sous Windows 11 Pro 23H2, déployée par l'intermédiaire de MDT (via la procédure décrite dans le précédent tutoriel) sert de point de départ.

Pour simuler quelques changements sur le système, je procède à l'installation de deux applications : la suite LibreOffice et VLC Media Player. Vous pourriez également décider de durcir la configuration du système à l'aide d'un outil comme HardeningKitty.

En complément, les VMware Tools sont installées dans la VM. Ainsi, lorsque cette image sera capturée puis de nouvelles VM déployées, elles bénéficieront directement des VMware Tools.

Ceci n'est qu'un exemple afin d'avoir un "master" à capturer. De votre côté, faites ce dont vous avez besoin.

Remarque : vous ne devez pas chiffrer la machine de référence avec BitLocker, sinon la capture échouera.

III. Les permissions sur le DeploymentShare

Si vous avez suivi notre tutoriel sur l'installation de MDT pour déployer Windows 11, vous avez créé le compte "Service_MDT" et vous lui avez attribué des permissions en "Lecture seule" sur le partage DeploymentShare. En fait, il s'agit de l'utilisateur déclaré dans les paramètres de MDT et utilisé par le LiteTouch (WinPE) pour se connecter au DeploymentShare.

Nous devons modifier les permissions car l'utilisateur doit pouvoir écrire dans le répertoire "Captures" afin de venir écrire l'image WIM.

Modifiez les permissions de partage :

1 - Effectuez un clic droit sur le dossier du DeploymentShare puis cliquez sur "Propriétés". Cliquez sur l'onglet "Partage" puis sur "Partage avancé".

2 - Cliquez sur le bouton "Autorisations".

3 - Sélectionnez l'utilisateur dans la liste, ici "Service_MDT".

4 - Attribuez la permission "Modifier" à cet utilisateur.

5 - Validez avec "OK".

MDT - Ajouter droit écriture sur DeploymentShare - 1

Modifiez les permissions sur le système de fichiers NTFS :

1 - Cliquez sur l'onglet "Sécurité".

2 - Cliquez sur "Modifier".

3 - Sélectionnez l'utilisateur "Service_MDT" dans la liste.

4 - Attribuez la permission "Modification" à cet utilisateur.

5 - Cliquez sur "OK".

MDT - Ajouter droit écriture sur DeploymentShare - 2

Voilà, cette étape est terminée.

IV. Créer une tâche Sysprep and Capture pour Windows 11

À partir de la console Deployment Workbench, créez une nouvelle séquence de tâches (via un clic droit sur "Task Sequences"), dans votre DeploymentShare.

Commencez par nommer cette séquence de tâches, par exemple "Capturer Windows 11" et poursuivez.

Lors de la sélection du template, choisissez "Sysprep and Capture".

À l'étape suivante, prenez une image système correspondante à la version que vous allez capturer. Mais, je crois que cela n'a pas de réelle importance puisque nous allons capturer notre image complète par la suite.

Poursuivez jusqu'à la fin... Tout en sachant que ces informations seront écrasées par la future tâche de déploiement de l'image.

Finalisez la création de la séquence de tâche.

Avant d'aller plus loin, accédez aux propriétés de votre DeploymentShare, puis dans l'onglet "Rules", assurez-vous d'avoir la ligne suivante :

SkipCature=NO
MDT - Créer tâche de capture Windows 11 - 7

Sinon, l'assistant ne vous permettra pas de lancer la capture car l'étape de capture sera masquée.

En complément, si vous avez configuré le CustomSettings pour l'intégration au domaine Active Directory, vous devez commenter les lignes correspondantes, sinon l'étape "Capture Image" de l'assistant LiteTouch ne s'affichera pas (il s'agit probablement d'un bug). Une fois la capture effectuée, vous pouvez "réactiver" ces lignes.

MDT - Configurer CustomSettings pour capture Windows 11

V. Capturer image Windows 11 23H2 avec MDT

A. Démarrer la capture de l'image de référence

Désormais, nous allons initier la capture de l'image Windows 11. Vous ne devez pas démarrer en boot PXE sur le LiteTouch pour cette étape. À partir d'une session, sur la machine Windows 11 à capturer, accédez au DeploymentShare de votre serveur MDT.

À partir du nom ou de l'adresse IP. Puis, dans le répertoire "Scripts", exécutez le fichier "LiteTouch.vbs".

\\SRV-WDS\DeploymentShare$\Scripts
\\192.168.14.11\DeploymentShare$\Scripts
MDT - Capturer image Windows 11 22H2 - 1

Actuellement, vous êtes toujours sur Windows 11, connecté à la session, et le LiteTouch démarre !

Sélectionnez la séquence de tâche "Capturer Windows 11" créée précédemment puis continuez.

Choisissez "Capture an image of this reference computer". Vous pouvez éventuellement donner un nom personnalisé à l'image WIM. Ici, la capture va générer l'image "CAPTW11-01.wim".

Continuez jusqu'à la dernière étape puis cliquez sur "Begin".

B. Le Sysprep

Le LiteTouch va commencer par initier un Sysprep sur la machine Windows. Cette étape est cruciale car Sysprep efface toutes les informations spécifiques à la machine : le SID, le nom de l'ordinateur, etc... Afin de préparer la machine au clonage ou à la création d'une image de référence (notre cas).

Patientez...

MDT - Capturer image Windows 11 22H2 - 5

Le Sysprep est l'étape la plus délicate, disons.

Il y a régulièrement des plantages à cette étape, notamment à cause des applications Appx provisionnées dans une session et pas dans une autre. Si vous rencontrez une erreur, consultez ce fichier journal :

C:\Windows\System32\sysprep\Panther\setupact.log

Vous pouvez constater des lignes comme celle-ci :

SYSPRP Package <Nom du package> was installed for a user, but not provisioned for all users.

Dans ce cas, vous devez utiliser PowerShell pour essayer de faire le nettoyage nécessaire. Ceci peut bloquer sur une première application, puis sur une deuxième, donc consultez bien les logs si l'erreur revient après avoir fait le nécessaire.

Remove-AppxPackage -Package <Nom du package>

Pour lister les paquets de Microsoft, vous pouvez utiliser cette commande :

Get-AppxPackage -AllUsers | Where PublisherId -eq 8wekyb3d8bbwe | Format-List -Property PackageFullName,PackageUserInformation

Si vous ne parvenez pas à supprimer le paquet, essayez des commandes en supplément :

Get-AppxPackage -AllUsers <Nom du package> | Remove-AppxPackage -AllUsers
Remove-AppxProvisionedPackage -Online -PackageName <Nom du package>

Vous pouvez consulter cette page de la documentation Microsoft puisqu'elle aborde ce sujet.

Quand le Sysprep sera terminé et effectué avec succès, la machine va redémarrer.

C. Création de l'image WIM

Au redémarrage, la machine va automatiquement poursuivre la capture et procéder à la création de l'image WIM. Ceci signifie que l'image WIM est envoyée dans le répertoire "Captures" de votre DeploymentShare.

Patientez jusqu'à la fin... Ici, la capture s'est déroulée sans problème !

Sur le serveur MDT, il y a bien une nouvelle image WIM. Son poids est d'environ 9,4 Go.

VI. Ajouter l'image de référence à une séquence de tâches

Nous avons fait la capture de notre image de référence, c'est bien, mais comment l'utiliser ? Comment déployer cette image sur des ordinateurs ?

A. Importer l'image WIM dans MDT

Tout d'abord, nous devons importer l'image WIM dans MDT, en tant qu'image de système d'exploitation.

Sur "Operating Systems", effectuez un clic droit et cliquez sur "Import Operating System".

Un assistant s'exécute. Choisissez "Custom image file" comme type d'OS.

Puis, à l'étape "Image", cliquez sur "Browse" pour sélectionner l'image WIM générée par la tâche de capture. Cochez également l'option "Move the files..." pour que l'image WIM soit déplacée dans le répertoire "Operating Systems" de votre DeploymentShare. Sinon, elle sera copiée et elle occupera deux fois plus de place sur votre serveur...

Poursuivez jusqu'à la fin en suivant l'assistant... Il n'est pas nécessaire de changer les autres paramètres, si ce n'est nommer le répertoire de destination.

Voilà, l'image WIM est importée !

B. Associer l'image WIM à une séquence de tâches

Désormais, nous allons associer l'image WIM capturée à une séquence de tâches dans le but de la déployer sur des appareils. Vous pouvez créer une nouvelle séquence de tâches, ou éditer une séquence de tâches existante. Ici, nous allons éditer la tâche "Déployer Windows 11 Pro 23H2".

1 - Rendez-vous dans "Task Sequences".

2 - Double-cliquez sur la séquence de tâches à modifier.

3 - Cliquez sur l'onglet "Task Sequence" pour accéder à la liste des tâches.

4 - Sous "Install", cliquez sur la tâche "Install Operating System".

5 - Sur la droite, cliquez sur "Browse", ceci vous permet de choisir l'image WIM à déployer !

Sélectionnée l'image correspondante à votre capture :

Validez. Vous pouvez cliquer sur "OK" car c'est la seule modification que nous devons apporter à la séquence de tâches.

VII. Déployer l'image de référence avec MDT

Tout est prêt, nous n'avons plus qu'à tester cette nouvelle configuration !

Prenez une machine sur laquelle tester le déploiement... Pour ma part, ce sera une nouvelle machine virtuelle. Puis, démarrez en boot PXE pour charger l'image LiteTouch de votre MDT.

Vous voilà sur l'écran "Task Sequence" où vous pouvez sélectionner la tâche "Déployer Windows 11 Pro 23H2" à laquelle est rattachée l'image WIM de référence.

Suivez les prochaines étapes pour associer un nom à la machine, etc... Puis lancez le déploiement !

Voilà, le déploiement est terminé ! Nous avons une nouvelle machine déployée à l'aide de notre image de référence ! Les applications LibreOffice et VLC Media Player sont bien présentes, tout comme les VMware Tools !

VIII. Conclusion

En suivant ce tutoriel, vous devriez être en mesure de capturer une image de référence personnalisée avec MDT, pour créer votre propre master sur-mesure à déployer sur les machines de votre parc informatique !

The post MDT – Comment capturer et déployer un master Windows 11 23H2 ? first appeared on IT-Connect.

Phishing : Darcula cible Android et l’iPhone par l’intermédiaire de Google Messages et iMessage

28 mars 2024 à 13:00

Darcula, c'est le nom d'une nouvelle plateforme de type "Phishing-as-a-Service" (PhaaS) qui permet d'usurper l'identité de différentes marques et organisations à partir de 20 000 domaines dans le but de voler les identifiants des utilisateurs sur mobile, aussi bien sur Android que sur iPhone. Faisons le point sur cette menace.

Alors que la plateforme Tycoon 2FA cible les utilisateurs de Microsoft 365 et Gmail sur ordinateur, Darcula quant à lui s'intéresse plutôt aux utilisateurs de smartphones Android et d'iPhone. Pour cela, des messages malveillants sont envoyés aux utilisateurs directement sur Google Messages (via le protocole RCS) et iMessage. Nous notons l'abandon du SMS traditionnel au profit du protocole RCS et d'iMessage, ce qui permet aux cybercriminels d'envoyer des messages protégés par le chiffrement de bout en bout, contrairement aux SMS. Ainsi, il n'est pas possible d'analyser le contenu du message pour le bloquer avant qu'il n'atteigne l'appareil de l'utilisateur.

Darcula : 200 modèles prêts à l'emploi

Le kit Darcula peut être utilisé par les cybercriminels pour usurper l'identité de services de livraison, mais aussi de services financiers, gouvernementaux, fiscaux, de sociétés de télécommunications, ou encore des compagnies aériennes. Au total, les abonnés ont accès à 200 modèles de messages et de pages malveillantes pour usurper l'identité des marques. Le contenu s'adapte également en fonction de la langue locale de l'utilisateur pris pour cible.

"La plateforme Darcula prétend prendre en charge environ 200 modèles d'hameçonnage, couvrant un large éventail de marques basées dans plus de 100 pays différents.", peut-on lire dans un rapport mis en ligne par Netcraft.

Source : Netcraft

Les cybercriminels n'ont qu'à choisir une marque et un script de configuration s'occupe d'effectuer la configuration dans un conteneur Docker. D'ailleurs, la plateforme Darcula utilise le registre de conteneurs Harbor pour héberger l'image Docker.

L'utilisation du protocole RCS et de iMessage

L'utilisation du protocole RCS et d'iMessage pour émettre les messages malveillants obligent les pirates à contourner certaines restrictions. Il y a notamment des restrictions pour l'envoi en masse de messages. Du côté d'Apple, c'est interdit, ce qui conduit les cybercriminels à utiliser plusieurs comptes Apple ID différents et des fermes d'iPhone pour envoyer les messages. Chez Google, une restriction a été récemment mise en place pour empêcher les appareils rootés d'envoyer ou de recevoir des messages RCS.

En complément, iMessage intègre une protection un peu plus contraignante pour les cybercriminels : l'utilisateur peut cliquer sur un lien présent dans un iMessage uniquement s'il a déjà communiqué avec l'expéditeur du message en question. Pour cela, le message indique clairement à l'utilisateur qu'il doit répondre au message par un "Y" ou un "1" afin de pouvoir accéder au lien.

Darcula - Phishing iMessage exemple
Source : Darcula

Darcula, une plateforme en pleine croissance

"Au total, Netcraft a détecté plus de 20 000 domaines liés à la cybercriminalité, répartis sur 11 000 adresses IP, qui ciblent plus de 100 marques.". De nombreux domaines en ".com" et ".top" sont utilisés par les cybercriminels et un tiers des hôtes sont protégés par les services de Cloudflare.

Par ailleurs, le document de Netcraft précise également 120 domaines supplémentaires sont créés chaque jour dans le but d'héberger des pages de phishing. Preuve que cette plateforme de PhaaS est en pleine croissance. À chaque fois, l'objectif des pirates est le même : voler les données confidentielles et/ou bancaires des utilisateurs, en fonction du template utilisé.

Même si nous tous plus ou moins habitués à recevoir ces messages suspects, restons vigilants...

Source

The post Phishing : Darcula cible Android et l’iPhone par l’intermédiaire de Google Messages et iMessage first appeared on IT-Connect.

Mettez à jour Google Chrome pour vous protéger de 7 vulnérabilités, dont 2 zero-day

28 mars 2024 à 06:00

Mardi 26 mars 2024, Google a publié une nouvelle version de son navigateur Chrome dans le but de corriger 7 vulnérabilités, dont 2 failles de sécurité zero-day découvertes lors du Pwn2Own 2024 de Vancouver. Faisons le point sur cette mise à jour !

Les utilisateurs de Google Chrome sur Windows Mac et Linux vont pouvoir passer par la case maintenance : l'entreprise américaine a mis en ligne plusieurs versions pour protéger ses utilisateurs. Tout d'abord, nous allons évoquer les deux failles de sécurité zero-day découvertes et exploitées lors du Pwn2Own 2024, une compétition de hacking.

La première vulnérabilité, associée à la référence CVE-2024-2886, a été découverte par Seunghyun Lee (@0x10n) de KAIST Hacking Lab, le 21 mars 2024. Il s'agit d'une faiblesse de type "use after free" présente dans WebCodecs.

La seconde vulnérabilité, associée à la référence CVE-2024-2887, a été découverte par Manfred Paul de l'équipe Trend Micro Zero Day Initiative. Il s'agit d'une faiblesse de type "type confusion" présente dans le composant WebAssembly. Ces deux vulnérabilités sont considérées comme importantes.

Par ailleurs, d'autres vulnérabilités ont été reportées directement à Google, notamment la faille de sécurité critique CVE-2024-2883, découverte par Cassidy Kim le 3 mars 2024. Il s'agit d'une vulnérabilité de type "use after free" dans ANGLE.

Pour vous protéger, vous devez mettre à jour Google Chrome pour passer sur les versions 123.0.6312.86/.87 pour Windows et Mac, ainsi que la version 123.0.6312.86 pour Linux. Les versions antérieures sont vulnérables. Vous pouvez obtenir plus d'informations dans le bulletin de sécurité de Google.

Pour rappel, suite aux vulnérabilités découvertes à l'occasion de cette compétition de hacking, la Fondation Mozilla a mis en ligne une nouvelle version pour son navigateur afin de combler deux failles de sécurité zero-day : Firefox 124.0.1. Enfin, sachez que Manfred Paul est le grand gagnant de cette édition du Pwn2Own Vancouver 2024 grâce à plusieurs vulnérabilités découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge.

The post Mettez à jour Google Chrome pour vous protéger de 7 vulnérabilités, dont 2 zero-day first appeared on IT-Connect.

Hier — 27 mars 2024Flux principal

GLPI : comment configurer l’authentification LDAP via l’Active Directory ?

27 mars 2024 à 16:00

I. Présentation

Dans ce tutoriel, nous allons avoir comment configurer l'authentification LDAP de GLPI pour pouvoir se connecter à l'application GLPI à partir des comptes utilisateurs présents dans un annuaire Active Directory. Ainsi, un utilisateur pourra accéder à GLPI à l'aide de son nom d'utilisateur et son mot de passe habituel (puisque ce seront les informations de son compte dans l'Active Directory).

GLPI propose nativement un modèle d'authentification LDAP, ce qui lui permet de s'appuyer sur un annuaire de comptes externe, comme l'Active Directory de Microsoft. Il faut savoir que les comptes utilisateurs de l'Active Directory seront importés dans la base de données de GLPI, grâce à un processus de synchronisation. Lorsqu'un utilisateur Active Directory se connecte pour la première fois, son compte est créé dans GLPI. Avant cela, il n'est pas visible, sauf si vous décidez d'effectuer un "import en masse" des comptes AD dans GLPI.

Par ailleurs, en complément de ce tutoriel, voici le lien vers la documentation officielle :

II. Configuration cible

Avant de passer à la configuration, voici quelques informations sur l'environnement utilisé.

Pour cette démonstration, le domaine Active Directory "it-connect.local" sera utilisé et le contrôleur de domaine SRV-ADDS-02 sera utilisé. Ce serveur dispose de l'adresse IP "10.10.100.11" et la connexion sera effectuée en LDAP, sur le port par défaut (389).

- Le compte utilisateur qui sera utilisé comme "connecteur" pour permettre à GLPI de se connecter à l'Active Directory se nomme "Sync_GLPI". Il est stocké dans l'unité d'organisation "Connecteurs" de l'annuaire (voir image ci-dessous). Il s'agit d'un compte utilisateur standard, sans aucun droit particulier sur l'annuaire Active Directory. Faites-moi plaisir : n'utilisez pas de compte Administrateur.

- Tous les utilisateurs qui doivent pouvoir se connecter à GLPI à l'aide de leur compte Active Directory sont stockés dans l'unité d'organisation "Personnel" visible ci-dessous. Elle correspond à ce que l'on appelle la "Base DN" vis-à-vis du connecteur LDAP de GLPI. Les autres utilisateurs ne pourront pas se connecter. En fait, ce n'est pas utile de mettre la racine du domaine comme base DN : essayez de restreindre autant que possible pour limiter la découverte de l'annuaire Active Directory au strict nécessaire.

- Les utilisateurs de l'Active Directory pourront se connecter à GLPI à l'aide de leur identifiant correspondant à l'attribut "UserPrincipalName" (mis en évidence, en jaune, sur l'image ci-dessous). Cet identifiant, sous la forme "identifiant + nom de domaine", leur permettra se connecter à GLPI avec un identifiant qui correspond à leur e-mail. L'alternative consisterait à utiliser l'attribut "SamAccountName" (soit l'identifiant sous la forme "DOMAINE\identifiant").

GLPI - Arborescence Active Directory

Voilà, maintenant, nous allons pouvoir dérouler la configuration !

II. Installer l'extension LDAP de PHP

L'extension LDAP de PHP doit être installée sur votre serveur pour que GLPI soit capable de communiquer avec votre serveur contrôleur de domaine Active Directory (ou tout autre annuaire LDAP).

Connectez-vous à votre serveur GLPI et exécutez les deux commandes suivantes pour mettre à jour le cache des paquets et procéder à l'installation de l'extension.

sudo apt-get update
sudo apt-get install php-ldap

Cette extension sera installée et activée dans la foulée. Vous n'avez pas besoin de relancer le serveur.

III. Ajouter un annuaire LDAP dans GLPI

Désormais, nous allons ajouter notre annuaire Active Directory à GLPI. Connectez-vous à GLPI avec un compte administrateur, puis dans le menu "Configuration", cliquez sur "Authentification".

GLPI - Configuration - Authentification

Au centre de l'écran, cliquez sur "Annuaire LDAP".

GLPI - Authentification - Annuaire LDAP

Puis, cliquez sur le bouton "Ajouter".

GLPI - Ajouter un nouvel annuaire LDAP

Un formulaire s'affiche à l'écran. Comment le renseigner ? À quoi correspondent tous ces champs ? C'est que nous allons voir ensemble.

  • Nom : le nom de cet annuaire LDAP, vous pouvez utiliser un nom convivial, ce n'est pas obligatoirement le nom du domaine, ni le nom du serveur.
  • Serveur par défaut : faut-il s'appuyer sur ce serveur par défaut pour l'authentification LDAP ? Il ne peut y avoir qu'un seul serveur LDAP défini par défaut.
  • Actif : nous allons indiquer "Oui", sinon ce sera déclaré, mais non utilisé.
  • Serveur : adresse IP du contrôleur de domaine à interroger. Avec le nom DNS, cela ne semble pas fonctionner (malheureusement).
  • Port : 389, qui est le port par défaut du protocole LDAP. Si vous utilisez TLS, il faudra le préciser à postériori, dans l'onglet "Informations avancées", du nouveau serveur LDAP.
  • Filtre de connexion : requête LDAP pour rechercher les objets dans l'annuaire Active Directory. Généralement, nous faisons en sorte de récupérer les objets utilisateurs ("objectClass=user") en prenant uniquement les utilisateurs actifs (via un filtre sur l'attribut UserAccountControl).
  • BaseDN : où faut-il se positionner dans l'annuaire pour rechercher les utilisateurs ? Ce n'est pas nécessaire la racine du domaine, tout dépend comment est organisé votre annuaire et où se situent les utilisateurs qui doivent pouvoir se connecter. Il faut indiquer le DistinguishedName de l'OU.
  • Utiliser bind : à positionner sur "Oui" pour du LDAP classique (sans TLS)
  • DN du compte : le nom du compte à utiliser pour se connecter à l'Active Directory. En principe, vous ne pouvez pas utiliser de connexion anonyme ! Ici, il ne faut pas indiquer uniquement le nom du compte, mais la valeur de son attribut DistinguishedName.
  • Mot de passe du compte : le mot de passe du compte renseigné ci-dessus
  • Champ de l'identifiant : dans l'Active Directory, quel attribut doit être utilisé comme identifiant de connexion pour le futur compte GLPI ? Généralement, UserPrincipalName ou SamAccountName, selon vos besoins.
  • Champ de synchronisation : GLPI a besoin d'un champ sur lequel s'appuyer pour synchroniser les objets. Ici, nous allons utiliser l'objectGuid de façon à avoir une valeur unique pour chaque utilisateur. Ainsi, si un utilisateur est modifié dans l'Active Directory, GLPI pourra se repérer grâce à cet attribut qui lui n'évoluera pas (sauf si le compte est supprimé puis recréé dans l'AD).
GLPI - Formulaire configuration annuaire LDAP

Ci-dessous, la configuration utilisée pour cette démonstration et qui correspond à la "configuration cible" évoquée précédemment.

  • Nom : Active Directory - it-connect.local
  • Serveur par défaut : Oui
  • Actif : Oui
  • Serveur : 10.10.100.11
  • Port : 389
  • Filtre de connexion : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
  • BaseDN : OU=Personnel,DC=it-connect,DC=local
  • Utiliser bind : Oui
  • DN du compte : CN=Sync_GLPI,OU=Connecteurs,OU=Tiering,OU=IT,DC=it-connect,DC=local
  • Mot de passe du compte : Mot de passe du compte "Sync_GLPI"
  • Champ de l'identifiant : userprincipalname
  • Champ de synchronisation : objectguid

Quand votre configuration est prête, cliquez sur "Ajouter".

GLPI - Configurer Active Directory

Dans la foulée, GLPI va effectuer un test de connexion LDAP et vous indiquer s'il est parvenu, ou non, à se connecter à votre annuaire. Si ce n'est pas le cas (comme moi, la première fois), cliquez sur le nom de votre annuaire, vérifiez la configuration, puis retournez dans "Tester" sur la gauche afin de lancer un nouveau test. Pour ma part, le problème venait du champ "Serveur" : j'avais mis le nom DNS du serveur à la place de l'adresse IP, mais cela ne fonctionnait pas. Pourtant, mon serveur GLPI parvient bien à résoudre le nom DNS.

GLPI - Tester authentification LDAP

Par ailleurs, vous pouvez explorer les différents onglets : Utilisateurs, Groupes, Réplicats, etc... Pour affiner la configuration. L'onglet "Utilisateurs" est intéressant pour configurer le mappage entre les champs d'une fiche utilisateur dans GLPI et les attributs d'un compte dans l'Active Directory. Quant à l'onglet "Réplicats", vous pouvez l'utiliser pour déclarer un ou plusieurs contrôleurs de domaine "de secours" à contacter si le serveur principal n'est plus joignable.

IV. Tester la connexion Active Directory

Si GLPI valide la connexion à votre annuaire Active Directory, vous pouvez tenter de vous authentifier à l'application avec un compte utilisateur. Pour ma part, c'est l'utilisateur Guy Mauve qui va servir de cobaye. Son login GLPI sera donc "[email protected]" puisque je m'appuie sur l'attribut UserPrincipalName. Pour le mot de passe, je dois indiquer celui de son compte Active Directory.

Remarque : la source d'authentification doit être l'Active Directory.

Connexion à GLPI avec un compte Active Directory

Voilà, l'authentification fonctionne ! L'utilisateur a pu se connecter avec son compte Active Directory et il hérite du rôle "Self-service".

GLPI - Exemple - Connexion avec un utilisateur AD

Dans le même temps, à partir du compte admin de GLPI, je peux remarquer la présence d'un nouveau compte utilisateur dont l'identifiant est "[email protected]" ! GLPI a également récupéré le nom, le prénom et l'adresse e-mail à partir de différents attributs de l'objet LDAP.

Synchronisation GLPI et utilisateur Active Directory

V. Forcer une synchronisation Active Directory

A partir de GLPI, vous pouvez forcer une synchronisation LDAP de façon à mettre à jour les comptes dans GLPI "liés" à des comptes Active Directory, mais aussi pour importer en masse tous les comptes des utilisateurs Active Directory. Ceci vous évite d'attendre la première connexion et vous permet de préparer le compte : attribution du bon rôle, etc.

Cliquez sur "Administration" dans le menu, puis "Utilisateurs". Ici, vous avez accès au bouton "Liaison annuaire LDAP".

Vous avez ensuite le choix entre deux actions différentes, selon vos besoins.

Si vous cliquez sur "Importation de nouveaux utilisateurs", vous pourrez importer en masse les comptes dans l'Active Directory. Il vous suffit de lancer une recherche, de sélectionner les comptes à importer et de lancer l'import grâce au bouton "Actions".

Importer des comptes AD dans GLPI.jpg

Remarque : vous pouvez aussi importer des groupes Active Directory. Pour cela, suivez la même procédure, mais en allant dans "Groupes" sous "Administration".

VI. Conclusion

En suivant ce tutoriel, vous devriez être en mesure d'importer les comptes utilisateurs d'un annuaire Active Directory dans GLPI, pour faciliter la connexion de vos utilisateurs. Sachez que si un utilisateur change son mot de passe dans l'Active Directory, ce n'est pas un problème : GLPI vérifie les informations lors de la connexion.

The post GLPI : comment configurer l’authentification LDAP via l’Active Directory ? first appeared on IT-Connect.

En 72 heures, le botnet TheMoon a compromis 6 000 routeurs ASUS

27 mars 2024 à 14:00

Une nouvelle variante du botnet "TheMoon" a été repéré dans 88 pays différents sur des milliers de routeurs, notamment de la marque ASUS, et des appareils IoT. Faisons le point sur cette menace.

Les chercheurs en sécurité de Black Lotus Labs ont surveillé de près la dernière campagne de TheMoon, qui s'est déroulée en mars 2024, et les chiffres sont élevés : en 72 heures, ce botnet est parvenu à compromettre 6 000 routeurs ASUS. Plus globalement, voici ce que précise le rapport au sujet de l'activité de TheMoon : "Alors que Lumen a déjà documenté cette famille de logiciels malveillants, notre dernier suivi a montré que TheMoon semble permettre la croissance de Faceless à un rythme de près de 7 000 nouveaux utilisateurs par semaine."

En effet, les appareils compromis par le botnet TheMoon sont ensuite exploités par le service proxy "Faceless" auquel il est lié. Ce service s'appuie sur les appareils infectés pour les utiliser comme proxy afin de masquer le trafic généré par les cybercriminels. Ainsi, ceci permet aux cybercriminels, notamment ceux des groupes IcedID et SolarMarker, de masquer leurs activités malveillantes.

TheMoon n'est pas une nouvelle menace puisqu'il a été repéré pour la première fois en 2014. À cette époque, il ciblait particulièrement les équipements LinkSys. Lors de la première semaine de mars, il y a eu une importante vague d'attaques à destination des routeurs ASUS.

Les routeurs ASUS, une cible privilégiée

Les chercheurs de Black Lotus Labs ne précisent pas comment les routeurs ASUS ont pu être compromis, mais il s'agirait de modèles qui ne sont plus pris en charge par le fabricant. Il est fort probable que des failles de sécurité connues et non corrigées soient exploitées par le botnet, ou que la technique du brute force soit utilisée : ces routeurs sont susceptibles d'être mal configurés et le compte admin par défaut pourrait fonctionner dans certains cas...

Lorsqu'un appareil est compromis, le logiciel malveillant part à la recherche d'un shell avec lequel il est compatible : "/bin/bash," "/bin/ash," ou "/bin/sh". Si c'est le cas, le chargeur télécharge, déchiffre et exécute un payload nommé ".nttpd" sur l'appareil. Ensuite, des règles de filtrage sont créées via iptables pour bloquer les flux entrants sur les ports 8080 et 80 en TCP, sauf pour des plages d'adresses IP spécifiques. Ceci permet aux attaquants d'être les seuls à pouvoir exploiter cet appareil à distance, notamment via le service de proxy. Enfin, TheMoon établit une connexion aux serveurs C2 pilotés par les attaquants et il est en attente de recevoir des instructions.

Si vous constatez des problèmes de stabilité, de performances ou des paramètres qui ont changé sur votre routeur ou un appareil IoT, il se pourrait que vous soyez victime de ce botnet, notamment si vous utilisez un routeur ASUS.

Source

The post En 72 heures, le botnet TheMoon a compromis 6 000 routeurs ASUS first appeared on IT-Connect.

Digital Markets Act : une croissance de 402% pour Opera sur iPhone

27 mars 2024 à 06:00

Grâce à l'entrée en vigueur du Digital Markets Act, Opera affiche une énorme croissance de 402% sur iPhone, en France ! Il s'agit d'une alternative à Safari qui semble séduire les utilisateurs de smartphones Apple.

Le 6 mars 2024, le Digital Markets Act (DMA) est entré en vigueur et les géants de la tech ont dû s'y préparer : que ce soit Google, Amazon, Microsoft ou encore Apple. D'ailleurs, sur les smartphones sous Android et iOS, Google et Apple doivent permettre à l'utilisateur de choisir facilement un navigateur tiers. Autrement dit, si nous prenons le cas de l'iPhone, Apple ne doit pas imposer Safari. Sur Android, il s'agit d'avoir le choix d'utiliser autre chose que Google Chrome. L'objectif étant d'offrir aux utilisateurs une certaine liberté, et surtout, de pouvoir faire ses choix de façon simple.

Bien que de nombreux utilisateurs d'iPhone aient pris la décision de poursuivre l'aventure avec Safari, d'autres, quant à eux, ont choisi d'utiliser un autre navigateur. En effet, il y a du choix : Brave, Mozilla Firefox, ou encore Opera. Au total, il y a une petite dizaine d'alternatives proposées.

Au mois de mars, le grand gagnant, c'est Opera : il affiche une croissance de 402% sur iOS, rien qu'en France. Chez nos voisins européens, il y a également une belle évolution pour Opera : +143% en Espagne, +68% en Pologne et +56% en Allemagne. Sur Android, Opera a également progressé : "Opera pour Android a également connu une croissance significative, en particulier en France, où le nombre de nouveaux utilisateurs a augmenté de 54 % le jour où le Ballot Screen a commencé à être introduit.", peut-on lire dans l'article de presse d'Opera.

De façon globale, sur desktop et mobile, Opera reste moins utilisé que certains navigateurs comme Google Chrome, Microsoft Edge et Safari, c'est un sérieux coup de pouce pour ce navigateur qui se démarque par certaines fonctionnalités intéressantes pour la confidentialité en ligne.

D'ailleurs, dans son article de presse, Opera en profite pour rappeler certaines de ces fonctionnalités disponibles sur mobiles : "Opera pour Android et Opera pour iOS sont des navigateurs puissants qui offrent une expérience rapide, sécurisée et centrée sur l'utilisateur. Tous deux proposent des fonctions de confidentialité avancées, telles qu'un VPN gratuit et sans connexion, ainsi qu'un bloqueur de publicités, un bloqueur de traqueurs et un bloqueur de fenêtres pop-up et de cookies intégrés."

Par ailleurs, certains utilisateurs ont pris la décision de s'orienter vers d'autres navigateurs. Du côté de Brave, le nombre d'installations quotidiennes est passé de 8 000 à 11 000 à partir du 9 mars 2024.

Source

The post Digital Markets Act : une croissance de 402% pour Opera sur iPhone first appeared on IT-Connect.

À partir d’avant-hierFlux principal

Sur Windows Server, Microsoft Edge 123 ne fonctionne plus ! Que se passe-t-il ?

26 mars 2024 à 15:03

Vous utilisez Microsoft Edge sur Windows Server et il se ferme au bout de quelques secondes ? Sachez que vous n'êtes pas le seul et que ce problème serait lié à la version 123 du navigateur Edge. Faisons le point sur ce problème.

La Build 123.0.2420.53 de Microsoft Edge semble donner du fil à retordre aux administrateurs systèmes qui exploitent ce navigateur sur Windows Server. En effet, cette version ne semble pas fonctionner correctement : une page blanche s'ouvre au démarrage, puis quelques secondes plus tard, le navigateur se ferme tout seul. Ceci peut s'avérer très problématique sur certains serveurs, notamment les hôtes de sessions Bureau à distance (RDS) où les utilisateurs se connectent directement !

Ce problème fait suite à l'installation de la version 123.0.2420.53 sur Windows Server. Une version disponible depuis quelques jours sur Windows et Windows Server puisqu'elle a introduit le canal Stable de Microsoft Edge le 23 mars 2024.

Comment résoudre ce problème ?

Actuellement, la solution consiste à revenir en arrière, c'est-à-dire sur une version antérieure de Microsoft Edge. D'ailleurs, sur le forum de Microsoft une ligne de commande a été fournie par un utilisateur pour expliquer comment revenir en arrière à partir du package MSI d'une précédente version d'Edge grâce à l'utilisation du paramètre "ALLOWDOWNGRADE=1" :

msiexec /I Microsoft Edge_122.0.2365.106_Machine_X64_msi_en-US.msi ALLOWDOWNGRADE=1

Vous pouvez télécharger la version de Microsoft Edge de votre choix à partir de cette page. Sur la page du forum Microsoft, l'agent qui a répondu confirme que d'autres utilisateurs ont rencontré ce problème ! D'ailleurs, ces dernières heures, Microsoft a retiré cette mise à jour de son catalogue et elle n'est plus distribuée via WSUS : preuve qu'il y a un réel problème avec celle ! En attendant, si elle est déjà passée sur vos serveurs, vous risquez de rencontrer ce problème !

Et vous, rencontrez-vous ce bug sur Windows Server ?

PS : merci à Fabien Guérout de chez Délibérata (un ancien collègue !) de m'avoir signalé ce dysfonctionnement et confirmé que le downgrade vers une version antérieure permettait de corriger ce problème !

The post Sur Windows Server, Microsoft Edge 123 ne fonctionne plus ! Que se passe-t-il ? first appeared on IT-Connect.

Le kit de phishing Tycoon 2FA contourne le MFA et cible les comptes Microsoft 365 et Gmail !

26 mars 2024 à 13:09

Tycoon 2FA, c'est le nom d'une plateforme de Phishing-as-a-Service (Phaas) utilisée par les cybercriminels pour cibler les utilisateurs de Gmail (Google) et de Microsoft 365, tout en outrepassant l'authentification à deux facteurs. Voici ce qu'il faut savoir sur ce kit redoutable !

En octobre 2023, les analyses de Sekoia ont fait la découverte de Tycoon 2FA pour la première fois. Néanmoins, les pirates du groupe Saad Tycoon en font la promotion sur un canal Telegram privé depuis août 2023.

Comme le soulignent les équipes de Sekoia dans un nouveau rapport, ce kit de phishing prêt à l'emploi est en pleine évolution et une nouvelle version a été publiée en 2024 : plus efficace et plus furtive, notamment l'ajout de capacités de détection et de blocage des bots. Actuellement, Tycoon 2FA exploite 1 100 domaines et a été utilisé pour mettre au point des milliers d'attaques de phishing.

Afin de pouvoir contourner l'authentification multifacteur et voler les informations d'identification des utilisateurs, Tycoon 2FA doit intercepter les données de la victime et les transmettre au service légitime. Pour atteindre cet objectif, la plateforme Tycoon 2FA intègre un reverse proxy qui va se positionner entre l'ordinateur de la victime et le service sur lequel elle va se connecter.

Un processus bien rôdé, en 7 étapes

Ainsi, actuellement en mars 2024, une attaque Tycoon 2FA se déroule en 7 étapes distinctes :

  • Étape 0 : les attaquants diffusent des liens malveillants par l'intermédiaire d'une campagne de phishing (e-mails malveillants) ou des QR codes piégés, dans le but d'amener la victime vers la page falsifiée.
  • Étape 1 : lorsqu'un utilisateur clique sur l'URL contenue dans l'e-mail, ou qu'il scanne le QR code, il est redirigé vers une page intégrant un défi Turnstile de Cloudflare afin de filtrer le trafic indésirable.
  • Étape 2 : cette étape n'est pas visible pour l'utilisateur, car elle exécute un code JavaScript en arrière-plan et redirige ensuite l'utilisateur vers une autre page en fonction de la présence d'une adresse électronique.
  • Étape 3 : cette étape est également invisible pour l'utilisateur qui sera redirigé automatiquement vers une autre page contrôlée par les cybercriminels.
  • Étape 4 : l'utilisateur se retrouve face à une fausse page de connexion Microsoft qui est utilisée par les attaquants pour voler les informations d'identification. WebSockets est utilisé pour l'exfiltration des données.
  • Étape 5 : c'est à ce moment-là que, si nécessaire, Tycoon 2FA va utiliser du code JavaScript pour proposer un défi 2FA à l'utilisateur, en relayant et en prenant en charge plusieurs méthodes (Notification sur Microsoft Authenticator, code à usage unique via une application, SMS ou par appel téléphonique). Il interceptera les informations de validation émises par l'utilisateur pour compléter le challenge MFA.
  • Étape 6 : fin du processus, l'utilisateur est redirigé vers une page déterminée par les cybercriminels. Le site de Microsoft, dans certains cas.

Au sujet de l'étape n°5, Sekoia précise : "À l'aide de serveurs proxy commerciaux, les pages d'hameçonnage Tycoon 2FA transmettent les données de l'utilisateur, notamment l'adresse électronique, le mot de passe et le code 2FA, à l'API d'authentification légitime de Microsoft. La réponse au trafic de l'API Microsoft renvoie les pages et les informations appropriées à l'utilisateur." - Ce qui montre l'efficacité de Tycoon 2FA et prouve que c'est un kit prêt à l'emploi très évolué.

Source : Sekoia

Les affiliés de Tycoon 2FA ont accès à un véritable tableau de bord d'administration au sein duquel ils peuvent visualiser les identifiants collectés avec l'identifiant, le mot de passe, l'état du MFA, ainsi que la possibilité d'obtenir des cookies d'authentification prêts à l'emploi.

Un ensemble de domaines malveillants est associé à l'utilisation du kit Tycoon 2FA. Vous pouvez retrouver la liste sur le GitHub de Sekoia, sur cette page.

Tycoon 2FA, une plateforme massivement utilisée par les pirates

Sekoia a pu analyser le portefeuille de cryptomonnaie utilisé par le groupe de cybercriminels à l'origine du kit Tycoon 2FA. Depuis août 2023, il y a eu 700 transactions entrantes d'une valeur moyenne de 366 dollars, soit plus de 256 000 dollars. Les analystes indiquent également que 530 transactions ont dépassé 120 dollars, ce qui correspond au tarif pour accéder à la plateforme PhaaS pendant 10 jours.

"En supposant que le portefeuille est principalement utilisé pour les opérations PhaaS de Tycoon 2FA depuis août 2023, le montant total des transactions suggère que plusieurs centaines de kits Tycoon 2FA ont été vendus 'as a service' sur une période de six mois.", peut-on lire.

Source

The post Le kit de phishing Tycoon 2FA contourne le MFA et cible les comptes Microsoft 365 et Gmail ! first appeared on IT-Connect.

Phishing : plus de 100 organisations en Europe et aux États-Unis impactées par StrelaStealer

26 mars 2024 à 06:10

Une centaine d'organisations situées aux États-Unis et en Europe ont été victime d'une nouvelle campagne malveillante visant à déployer le malware StrelaStealer ! Voici ce qu'il faut savoir sur cette menace.

L'Unit42 de Palo Alto Networks a publié un rapport au sujet de la menace StrelaStealer, un logiciel malveillant repéré pour la première fois en novembre 2022. Après avoir infecté une machine, son objectif est de voler les informations d'identification des comptes de messagerie dans les applications Outlook et Thunderbird.

Alors qu'à la base ce malware ciblait principalement les utilisateurs hispanophones, il s'avère que les cybercriminels ont fait évoluer leur plan : désormais l'Europe et les États-Unis sont pris pour cible. Pour cela, les pirates n'hésitent pas à traduire en plusieurs langues les fichiers utilisés par ce malware, ce qui le rend polyglotte et lui permet de s'adapter à la cible.

Comme beaucoup d'autres logiciels malveillants, StrelaStealer est distribué par l'intermédiaire de phishing. Depuis la fin du mois de janvier, l'Unit42 a détecté une forte hausse de l'activité avec un important volume d'e-mails malveillants envoyés par jour. L'Unit42 évoque jusqu'à 500 organisations ciblées par jour et il y a eu des victimes : "Récemment, nos chercheurs ont identifié une vague de campagnes StrelaStealer à grande échelle touchant plus de 100 organisations dans l'UE et aux États-Unis.", peut-on lire dans le rapport. Dans la grande majorité des cas, ce sont les organisations du secteur des nouvelles technologies qui ont été les plus visées.

Source : Unit42

La chaine d'infection de StrelaStealer

Les pirates ont fait évoluer la chaine d'infection du malware StrelaStealer. Désormais, l'e-mail malveillant contient une pièce jointe au format ZIP qui a pour objectif de déposer des fichiers JScript sur la machine de la victime. Dans le cas où ces scripts sont exécutés, ils déposent un fichier batch et un fichier encodé en base64, qui donne lieu à une DLL qui sera exécutée via rundll32.exe afin de déployer le payload StrelaStealer.

Le schéma ci-dessous, issu du rapport d'Unit42 permet de comparer l'ancienne et la nouvelle chaine d'infection.

Source : Unit42

Si le logiciel malveillant est déployé, il vole les identifiants mémorisés dans Outlook et Thunderbird et ces informations sont immédiatement envoyées aux attaquants par l'intermédiaire d'un serveur C2.

Une fois de plus, méfiance avec les e-mails...

Source

The post Phishing : plus de 100 organisations en Europe et aux États-Unis impactées par StrelaStealer first appeared on IT-Connect.

Avec la Surface Pro 10 et le Surface Laptop 6, Microsoft rentre dans l’ère des PC IA

26 mars 2024 à 06:00

Microsoft a dévoilé ses premiers PC boostés à l'IA et dont le clavier intègre une nouvelle touche dédiée à Copilot : la Surface Pro 10 et le Surface Laptop 6. Faisons le point sur ces nouveautés !

Les premiers ordinateurs de Microsoft équipés d'une touche Copilot sur le clavier et équipés d'une unité de traitement neuronal (NPU) ont été dévoilés ! Ces nouveaux appareils de Microsoft entrent dans ce que l'on appelle l'ère des PC IA. En effet, selon les configurations, la Surface Pro 10 et le Surface Laptop 6 pourront bénéficier d'un processeur Intel Core Ultra 5 ou Intel Core Ultra 7, ainsi qu'un NPU Intel AI Boost.

D'après Microsoft : "Du point de vue des performances, le Surface Laptop 6 est deux fois plus rapide que le Laptop 5, et le Surface Pro 10 est jusqu'à 53 % plus rapide que le Pro 9." - Le NPU Intel AI Boost devrait permettre à la machine d'être plus efficace pour traiter les tâchées liées à l'IA, ce qui devrait optimiser l'autonomie générale de la batterie. L'entreprise américaine annonce jusqu'à 19 heures d'autonomie pour ces deux modèles, soit 4 heures de plus pour la Surface Pro 10 et 2 heures de plus pour le Laptop 6.

Microsoft Surface Laptop 6 - Clavier Copilot
Microsoft Surface Laptop 6, avec la touche de clavier Copilot

Microsoft abandonne sa configuration basée sur 128 Go de stockage flash pour proposer au minimum 256 Go, et jusqu'à 1 To pour la version la plus complète. Pour la mémoire vive, vous avez le choix entre 8 Go, 16 Go, 32 Go et même 64 Go de RAM pour la première fois. Par ailleurs, au niveau de la connectivité, ces deux appareils auront le droit au Wi-Fi 6E (802.11ax) et au Bluetooth 5.3.

Pour faciliter la lecture des clés de sécurité, la Surface Pro 10 bénéficie d'une puce NFC, ce qui est une nouveauté vis-à-vis des générations précédentes. Du côté du Surface Laptop 6, un lecteur de carte à puce est intégré à certaines versions, et uniquement aux États-Unis et au Canada, d'après le site de Microsoft.

Par ailleurs, ce nouveau modèle de Surface Pro bénéficie d'un nouveau revêtement antireflet qui devrait améliorer la visibilité de l'écran, ainsi que d'une caméra ultra-large (champ de vision de 114 degrés) de 10,5 mégapixels et d'une résolution de 1440p. De son côté, le Laptop 6 bénéficie d'une nouvelle caméra pour passer de 720p à 1080p.

Prix et disponibilité

Pour le moment, la Surface Pro 10 et le Surface Laptop 6 sont disponibles uniquement pour les entreprises. Il s'agit d'appareils estampillés "for business", même s'il n'est pas à exclure que le grand public puisse en bénéficier par la suite. Les précommandes sont ouvertes et les premières livraisons sont prévues pour le 10 avril 2024.

Ces deux appareils sont disponibles à partir de 1 399 euros TTC. Un tarif variable selon la configuration choisie : processeur, RAM, stockage, etc. À ce prix-là, vous avez le droit à une Surface Pro 10 avec un processeur Intel Ultra 5 135U, 8 Go de RAM et de 256 Go de SSD. A cela, il faudra ajouter le tarif du clavier Surface Pro (à partir de 159.99 € TTC).

Pour en savoir plus :

Source

The post Avec la Surface Pro 10 et le Surface Laptop 6, Microsoft rentre dans l’ère des PC IA first appeared on IT-Connect.

La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée !

25 mars 2024 à 17:30

GoFetch, c'est le nom d'une attaque qui exploite une faille de sécurité importante découverte dans les puces Apple M1, M2 et M3 utilisées par les générations les plus récentes de Mac. La particularité de cette vulnérabilité : elle ne peut pas être corrigée, à moins d'impacter très fortement les performances des puces fabriquées par Apple. Faisons le point !

Une équipe de chercheurs du MIT Computer Science & Artificial Intelligence Laboratory (CSAIL) a mis au point une technique d'attaque baptisée GoFetch, qui exploite une faille de sécurité matérielle présente dans les puces Apple Silicon. Cette attaque de type "side-channel" cible une fonction d'optimisation matérielle appelée Data Memory-dependent Prefetcher (DMP).

Le DMP est une fonction intégrée dans les puces Apple et qui a pour objectif d'aider le processeur à deviner les données dont il pourrait avoir besoin ensuite afin d'optimiser les performances (principe du prefetch). Dans le cas présent, l'attaque permet de tromper la fonction DMP afin qu'elle révèle des informations sensibles stockées en mémoire.

En effet, en exploitant GoFetch, un attaquant pourrait extraire des clés cryptographiques stockées sur un Mac (OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber et Dilithium) dans le but de contourner les opérations de chiffrement effectuées directement par la puce Apple Silicon. Il serait possible de compromettre les clés utilisées par divers algorithmes de chiffrement. In fine, ceci facilite l'accès aux données stockées sur le Mac.

Pour mener à bien cette attaque, l'attaquant doit convaincre la victime d'exécuter un malware (par l'intermédiaire d'un e-mail malveillant, par exemple). Le malware doit être exécuté en parallèle de l'application prise pour cible, et ce, pendant un certain temps afin de pouvoir voler la clé.

Comment se protéger de la faille GoFetch ?

GoFetch fait référence à une faille de sécurité matérielle dans l'architecture même des puces Apple, donc en raison de sa nature, il ne sera pas possible de corriger directement la vulnérabilité. L'intégration d'un correctif ou d'une mesure d'atténuation va passer par la couche logicielle.

Le problème, c'est que la mise en œuvre d'un quelconque correctif va très fortement dégrader les performances des puces Apple, en particulier les deux premières générations : Apple M1 et M2. D'ailleurs, au passage, cette histoire n'est pas sans rappeler les failles de sécurité Meltdown et Spectre qui touchaient de nombreux processeurs Intel et AMD et dont la correction impactait également les performances du processeur.

Pour en savoir plus, vous pouvez consulter le site officiel de GoFetch. Sur ce site, il est d'ailleurs précisé qu'un code PoC sera mis en ligne prochainement... Apple ne s'est pas encore exprimé au sujet de GoFetch. Affaire à suivre...

The post La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée ! first appeared on IT-Connect.

Microsoft prépare une interface graphique pour gérer les distributions Linux sous Windows (WSL)

25 mars 2024 à 05:00

Vous utilisez Linux sur Windows à l'aide de la fonctionnalité Windows Subsystem for Linux ? Sachez que Microsoft devrait vous permettre de gérer vos distributions Linux à partir de l'interface graphique. Faisons le point sur cette nouveauté à venir.

Les utilisateurs de Windows 10 et Windows 11 peuvent utiliser Linux depuis leur système d'exploitation principal à l'aide de la fonctionnalité Windows Subsystem for Linux, dont la version 2 s'appuie sur Hyper-V pour permettre l'utilisation d'un véritable noyau Linux. Ceci permet aux utilisateurs de pouvoir utiliser Ubuntu, Debian, etc... Directement depuis Windows.

Voici d'ailleurs quelques tutoriels sur le sujet :

Actuellement, la configuration et la gestion de Windows Subsystem for Linux s'effectue à partir de la ligne de commande, via l'exécutable "wsl.exe". Par exemple, la commande ci-dessous sert à obtenir la liste des distributions Linux actuellement installées.

wsl --list

À en croire une suggestion pour WSL apparue sur le GitHub de Microsoft, les développeurs souhaiteraient ajouter à Windows une interface graphique permettant de gérer les distributions Linux installées dans le cadre de la fonction WSL. Sur GitHub, l'entreprise américaine a demandé des idées sur l'utilisation de Dev Home pour gérer toutes les distributions Linux installées.

Une copie d'écran a même été ajoutée. Sur cette image, nous pouvons voir plusieurs options, dont la possibilité de lancer, démarrer, d'ajouter ou de désinstaller une distribution Linux, mais aussi de déplacer la distribution Linux vers un autre emplacement. Autres informations intéressantes : la quantité de RAM et de CPU consommée par Windows Subsystem for Linux. Par ailleurs, ceci devrait permettre de lancer une distribution Linux en tant que l'utilisateur de son choix ("as a specific user").

Interface graphique WSL pour Windows

Cette nouveauté permettrait aux utilisateurs d'avoir plus facilement une vue d'ensemble sur les distributions Linux installées, et ceci pourrait aussi faciliter leur gestion. De quoi rendre WSL plus accessible ? Probablement. En tout cas, cette nouvelle interface pourrait être intégrée directement à l'application Dev Home destinée aux développeurs... Quoi qu'il en soit, cette interface graphique manque actuellement à WSL...

Source

The post Microsoft prépare une interface graphique pour gérer les distributions Linux sous Windows (WSL) first appeared on IT-Connect.

Intune – Comment configurer le pare-feu Windows ?

24 mars 2024 à 17:00

I. Présentation

Dans ce tutoriel, nous allons à configurer et gérer l'état du pare-feu Windows Defender à l'aide d'une stratégie de sécurité Microsoft Intune.

Cette stratégie sera utile pour forcer l'activation du pare-feu sur les appareils Windows 10 et Windows 11 afin de s'assurer que "ce bouclier réseau" soit bien opérationnel. Nous pourrons également utiliser cette stratégie pour configurer les paramètres généraux du pare-feu, notamment pour ajuster la taille des fichiers journaux de Windows Defender.

La configuration déployée avec notre stratégie vise à :

  • Activer le pare-feu Windows Defender sur tous les profils (privé, public, domaine)
  • Autoriser les flux sortants par défaut
  • Bloquer les flux entrants par défaut
  • Définir la taille du journal du pare-feu à 16 384 Ko (pour avoir plus de matière en cas de besoin de ce journal pour une analyse)
  • Configurer les paramètres d'audit

Remarque : la fonctionnalité de pare-feu de Microsoft Intune permet de gérer les règles du pare-feu système de Windows et macOS.

En complément de cet article, voici deux liens utiles pour la gestion du pare-feu Windows Defender via Intune :

Ainsi que ces tutoriels :

II. Créer la stratégie de pare-feu

Avant de commencer, sachez que pour configurer le pare-feu Windows Defender via Intune, il y a deux types de stratégies : les stratégies pour configurer les paramètres globaux du pare-feu (ce que nous allons voir aujourd'hui) et les stratégies pour gérer les règles de pare-feu (ce que nous verrons dans un prochain article).

Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :

Quand vous y êtes :

1 - Cliquez sur "Sécurité du point de terminaison" à gauche

2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité

3 - Cliquez sur le bouton "Créer une stratégie"

4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune

5 - Sélectionnez le profil "Pare-feu Microsoft Defender" car celui nommé "Règles de pare-feu Microsoft Defender" est utile pour la gestion des règles, comme son nom l'indique. Cliquez sur "Créer".

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 01

Commencez par nommer cette stratégie et éventuellement indiquer une description. Dans cet exemple, la stratégie s'appelle "Activer le pare-feu Windows".

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 02

Ensuite, passez à la section "Paramètres de configuration". Celle-ci se découpe en trois parties :

  • Pare-feu
  • Gestionnaire de listes réseau
  • Audit
Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 03

Cliquez sur "Pare-feu". Un ensemble de paramètres va s'afficher. Concrètement, il faut prendre le temps de les vérifier et interpréter un par un... Pour activer le pare-feu sur les trois profils de Windows Defender, il y a trois paramètres à activer, ainsi qu'à chaque fois deux sous-paramètres pour gérer les flux entrants et sortants.

Par exemple, pour le profil de domaine, ce sont les paramètres suivants :

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 04

A cela s'ajoute la configuration du paramètre "Taille de fichier maximale du journal" à positionner sur "16 384 Ko". Cette valeur n'est pas choisie au hasard, c'est celle qui est recommandée dans un guide CIS Benchmark.

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 05

Puis, si vous souhaitez générer des journaux d'audit lorsqu'il y a une connexion acceptée ou rejetée, configurez ces deux paramètres :

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 06

Configurez l'étape "Balises d'étendue" si nécessaire, sinon passez directement à l'étape "Affectations". C'est ici que vous devez définir à quel(s) groupe(s) vous souhaitez appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 07

Suivez l'assistant jusqu'à la création de la stratégie.

A la fin, celle-ci apparaît bien dans Intune :

Microsoft Intune - Stratégie sécurité - Pare-feu Windows - 08

Désormais, nous allons tester cette stratégie sur un appareil Windows 11.

III. Tester sur un appareil Windows

Une fois la stratégie appliquée sur la machine Windows (soit après une synchronisation Intune), les paramètres de Windows Defender sont bien ceux définis dans la stratégie.

Dans les paramètres "Sécurité Windows", nous pouvons visualiser l'état du pare-feu : celui-ci est désormais activé et le paramètre est grisé. C'est particulièrement utile, car sur l'un de mes appareils, qui était dans un état "non conforme" vis-à-vis de la politique de conformité qui l'affecte, car il avait le pare-feu désactivé, tout est rentré dans l'ordre désormais ! Nous aborderons le sujet des politiques de conformité dans un prochain article.

Pare-feu Windows activé par Intune

Remarque : à partir du Panneau de configuration classique, il est toujours possible de désactiver le pare-feu, mais ceci n'a aucun impact. Le pare-feu ne se désactive pas, rassurez-vous.

Par ailleurs, si nous ouvrons les paramètres de configurations avancés du pare-feu Windows Defender, que nous cliquons sur "Propriétés du pare-feu Windows Defender" (1), nous pouvons voir que les connexions entrantes et sortantes (2) sont gérées comme nous l'avons définis dans la stratégie.

Paramètres du pare-feu Windows configuré par stratégie Intune

Notre stratégie de pare-feu Windows Defender est opérationnelle !

IV. Conclusion

Très rapide à mettre en place, cette stratégie de pare-feu Windows Defender permet de s'assurer que le pare-feu du système Windows est actif et configuré de façon homogène sur un ensemble d'appareils Windows.

Pour finir, sachez que vous pouvez obtenir la liste de tous les appareils Windows où le pare-feu est désactivé à partir de cette section de l'interface Intune :

Intune - Appareils Windows avec le pare-feu désactivé

The post Intune – Comment configurer le pare-feu Windows ? first appeared on IT-Connect.

Intune – Comment créer une règle de pare-feu Windows Defender ?

24 mars 2024 à 17:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à créer une règle de pare-feu Windows Defender à l'aide d'une stratégie de sécurité Intune. Cette stratégie à destination des appareils Windows va permettre de déployer une ou plusieurs règles de pare-feu afin d'avoir des règles homogènes et d'autoriser les flux dont nous avons besoin.

En entreprise, et bien que ce soit à utiliser avec parcimonie, il est fréquent d'avoir besoin de créer des règles de pare-feu pour autoriser un ou plusieurs flux entrants sur les machines. Par exemple, pour autoriser les connexions RDP (Bureau à distance), l'administration à distance PowerShell via WinRM, etc... Veillez à limiter les autorisations accordées à ces règles : limiter à un sous-réseau source est une bonne idée.

Dans cet exemple, nous allons simplement créer une règle de pare-feu pour autoriser les connexions entrantes sur le port 3389 (RDP) à partir du sous-réseau 192.168.145.0/24.

En complément de cet article, voici deux liens utiles pour la gestion du pare-feu Windows Defender via Intune :

Ainsi que ces tutoriels :

II. Créer une règle de pare-feu Windows avec Intune

Tout d'abord, connectez-vous au portail d'administration Microsoft Intune. Si besoin, voici le lien direct :

Quand vous y êtes :

1 - Cliquez sur "Sécurité du point de terminaison" à gauche

2 - Cliquez sur "Pare-feu" dans le menu de la section sécurité

3 - Cliquez sur le bouton "Créer une stratégie"

4 - Choisissez la plateforme "Windows 10, Windows 11 et Windows Server" pour la gestion directe via Intune

5 - Sélectionnez le profil "Règles de pare-feu Microsoft Defender" qui est dédié à la création de règles de pare-feu. Le profil "Pare-feu Microsoft Defender" sert à configurer les paramètres généraux (état du pare-feu, audit, taille des journaux, etc.). Cliquez sur "Créer".

Intune - Créer règle pare-feu Windows Defender - 01

Commencez par nommer cette stratégie, par exemple "Autoriser la connexion RDP depuis réseau local". Passez à l'étape suivante.

Ici, vous devez définir l'ensemble des règles à déployer sur les appareils Windows. Nous allons surtout nous intéresser à la colonne "Propriétés de la règle". Nous pouvons personnaliser chaque règle en cliquant sur le bouton "Modifier la règle". Le bouton "Ajouter" quant à lui sert à ajouter une règle supplémentaire à la liste.

Globalement, nous retrouvons les mêmes paramètres que la configuration de règles en local sur une machine ou à partir d'une GPO, mais c'est présenté totalement différemment (et ce n'est pas forcément super pratique, en fait...).

Nous allons commencer par configurer ces trois paramètres :

  • Activé : activé (oui c'est bizarre, mais c'est écrit de cette façon)
  • Nom : le nom de la règle tel qu'il sera visible dans les paramètres de Windows
  • Types d'interface : Tout, pour appliquer la règle à toutes les interfaces de Windows (sinon on peut faire une sélection uniquement pour le LAN, pour le sans-fil, etc.)

Un peu plus bas, configurez également ces paramètres :

  • Direction : la règle s'applique au trafic entrant, car nous souhaitons que nos appareils acceptent les connexions RDP entrantes.
  • Plages de ports locaux : 3389, pour autoriser les flux entrants sur le port 3389. Vous pouvez définir plusieurs ports, ou des plages de ports (port de début - port de fin), selon vos besoins.
  • Plages d'adresses distantes : 192.168.145.0/24, pour indiquer qu'il n'y a que les machines connectées sur ce segment réseau qui pourront se connecter en RDP. Là encore, nous pouvons définir plusieurs valeurs.
  • Action : autoriser, pour que ce flux soit autorisé, car par défaut nous refusons tous les flux (en principe !).

Cliquez sur "Enregistrer" pour valider cette règle. Sachez qu'elle pourra être modifiée à tout moment.

Configurez l'étape "Balises d'étendue" si besoin, sinon passez.

A l'étape "Affectations", sélectionnez le ou les groupes sur lesquels appliquer cette stratégie. Pour ma part, ce sera le groupe statique "PC_Corporate".

Poursuivez jusqu'à la fin et créez la stratégie...

En résumé, voici le contenu de la règle définie dans la stratégie :

Passons aux tests sur un appareil Windows 11 !

III. Tester la stratégie

Après avoir synchronisé la machine Windows 11 membre du groupe "PC_Corporate", celle-ci a bien récupérée la règle de pare-feu. A partir de la console "Pare-feu Windows Defender avec fonctions avancées de sécurité", nous pouvons retrouver notre règle sous la partie "Analyse" puis "Pare-feu". La règle présente ici est bien effective : les règles dans cette partie sont celles "en production". Par contre, ce qui est perturbant, c'est que la règle ne soit pas visible également dans "Règles de trafic entrant" (ou "Règles de trafic sortant", selon la configuration).

Pour accéder à cette console sous Windows 11 : Sécurité Windows > Pare-feu et protection du réseau > Paramètres avancés.

Règle de pare-feu Windows créée avec Intune

À partir d'une machine connectée au réseau 192.168.145.0/24, je suis parvenu à me connecter à cet appareil Windows 11 ! Ceci nécessite d'activer les connexions Bureau à distance sur cet appareil

Si votre règle n'apparaît nulle part, vérifiez les journaux Windows. Regardez plus particulièrement le journal "Admin" mis en évidence sur l'image ci-dessous. Si la règle est mal configurée, avec une valeur mal formatée, par exemple, ce sera mis en évidence. Dans cet exemple, j'ai eu une erreur surprenante sur le numéro de port, car le paramètre était correctement configuré : j'ai supprimé la valeur, je l'ai saisie de nouveau, et c'est passé.

Erreur firewall règle créée avec Intune pour Windows

IV. Conclusion

En suivant ce tutoriel, vous êtes en mesure de gérer les règles de pare-feu de vos appareils Windows 10 et Windows 11 à partir de stratégies Intune !

The post Intune – Comment créer une règle de pare-feu Windows Defender ? first appeared on IT-Connect.

Reboot Windows Server avec la mise à jour de mars 2024 : voici les correctifs de Microsoft !

24 mars 2024 à 14:07

Depuis plusieurs jours, le sujet affole les administrateurs systèmes : la mise à jour de mars 2024 pour Windows Server fait planter les contrôleurs de domaine à cause d'une fuite mémoire liée au processus LSASS. Microsoft vient à la rescousse de ses utilisateurs grâce à un correctif qui corrige le problème ! Voici ce qu'il faut savoir !

Rappel : les serveurs se figent et redémarrent suite à l'installation de la mise à jour de mars 2024 pour Windows Server (Windows Server 2022, Windows Server 2019, Windows Server 2016 et Windows Server 2012 R2). Ce problème a été constaté sur les contrôleurs de domaine Active Directory. Assez rapidement, Microsoft a confirmé l'existence de ce problème étant à l'origine d'une fuite de mémoire extrême pouvant faire planter le processus LSASS. L'entreprise américaine a également confirmé que les mises à jour publiées le 12 mars 2024 à l'occasion du Patch Tuesday étaient à l'origine de ce dysfonctionnement.

Le vendredi 22 mars 2024, Microsoft a publié de nouvelles mises à jour en urgence pour venir en aide aux administrateurs systèmes et aux organisations impactées. En effet, jusqu'ici, la seule "solution" était de ne pas installer la mise à jour cumulative, ou de la désinstaller afin de revenir en arrière.

La liste des correctifs de Microsoft

Voici la liste des correctifs proposés par Microsoft :

Au sein de l'article de support qui accompagne chaque mise à jour, Microsoft précise : "La fuite de mémoire se produit lorsque les DC Active Directory sur site et dans le Cloud traitent les demandes d'authentification Kerberos. Cette fuite importante peut entraîner une utilisation excessive de la mémoire. De ce fait, LSASS peut cesser de répondre, et les DCs redémarreront lorsque vous ne vous y attendez pas."

Vous devez installer cette mise à jour sur les contrôleurs de domaine Active Directory concernés par le bug lié à la mise à jour de mars 2024. Il n'est pas nécessaire d'installer la mise à jour de mars 2024, puis celle-ci ensuite, puisqu'il s'agit d'une mise à jour cumulative : installez directement celle-ci, dans tous les cas, et Windows Server installera uniquement ce dont il a besoin.

Comment télécharger la mise à jour ?

Pour télécharger le package d'installation de cette mise à jour hors bande, rendez-vous sur le Catalogue Microsoft Update. En cliquant sur ce lien, vous devez retrouver toutes les mises à jour, sinon effectuez une recherche directement sur le numéro de KB. Pour vérifier la présence du correctif pour Windows Server 2019, vous pouvez rechercher "Update Windows Server 2019" et regarder la date du correctif le plus récent.

Microsoft que cette mise à jour n'est pas disponible avec WSUS, ni avec Windows Update, donc vous devez impérativement utiliser le Catalogue Microsoft Update (ce qui ne vous empêche pas de l'ajouter ensuite à votre WSUS).

Merci aux différentes personnes qui m'ont signalé l'existence de ce correctif.

The post Reboot Windows Server avec la mise à jour de mars 2024 : voici les correctifs de Microsoft ! first appeared on IT-Connect.

Dans Firefox 124.0.1, Mozilla a corrigé deux failles de sécurité zero-day !

24 mars 2024 à 14:00

Quelques jours après avoir dévoilé Firefox 124.0, la fondation Mozilla a mis en ligne la version 124.0.1 de Firefox dans le but de patcher deux failles de sécurité zero-day ! Voici ce qu'il faut savoir sur ces vulnérabilités.

Le mardi 19 mars 2024, la fondation Mozilla a publié la version 124.0 de son navigateur Firefox, dans le but de corriger 12 failles de sécurité, dont cinq vulnérabilités importantes et une vulnérabilité critique. D'ailleurs, cette faille de sécurité critique, associée à la référence CVE-2024-2615, pourrait permettre à un attaquant d'exécuter du code arbitraire sur la machine de l'utilisateur.

Puis, le vendredi 22 mars 2024, Mozilla a mis en ligne une nouvelle version de son navigateur Firefox : 124.0.1. Cette fois-ci, l'objectif est de corriger deux failles de sécurité zero-day découvertes et exploitées un jour plus tôt lors de la compétition de hacking Pwn2Own Vancouver 2024.

D'ailleurs, à l'occasion de cette compétition de hacking, les participants sont parvenus à découvrir 29 failles de sécurité dans différents produits. En ce qui concerne les vulnérabilités dans Firefox, elles ont été découvertes par Manfred Paul (récompensé à auteur de 100 000 dollars) pour avoir exploité une faille de type "out-of-bounds write" (CVE-2024-29943) permettant d'exécuter du code à distance et d'échapper à la sandbox de Mozilla Firefox en exploitant une faiblesse dans une fonction du navigateur (CVE-2024-29944). Manfred Paul est membre de la Trend Micro Zero Day Initiative.

Dans son bulletin de sécurité, Mozilla a apporté quelques détails supplémentaires sur ces vulnérabilités qui affectent les versions desktop de son navigateur Firefox. Pour le moment, elles ne sont pas exploitées par les cybercriminels.

Pour vous protéger, vous devez passer sur Firefox 124.0.1 ou Firefox ESR 115.9.1, en fonction de la version que vous utilisez. Enfin, nous pouvons saluer la réactivité des équipes de Mozilla pour la correction de ces deux failles de sécurité, ainsi que Manfred Paul, grand gagnant de cette édition avec 25 points Master of Pwn. Grâce aux vulnérabilités qu'il a découvertes dans Mozilla Firefox, Apple Safari, Google Chrome et Microsoft Edge, il a pu empocher 202 500 dollars de gain en cash.

Source

The post Dans Firefox 124.0.1, Mozilla a corrigé deux failles de sécurité zero-day ! first appeared on IT-Connect.

Proton ajoute la prise en charge des Passkeys à son gestionnaire de mots de passe Proton Pass

23 mars 2024 à 08:00

En ce moment, l'entreprise suisse Proton enchaine les annonces : le gestionnaire de mots de passe Proton Pass prend désormais en charge les Passkeys sur tous les appareils. Faisons le point sur cette annonce !

La méthode d'authentification basée sur une passkey continue de se démocratiser et d'être adoptée par les différents éditeurs de la tech. Pour rappel, le fait d'utiliser une passkey permet de s'authentifier sans mot de passe puisque cette méthode s'appuie sur des clés générées en local sur l'appareil et l'authentification s'effectue à l'aide d'un code PIN, du capteur d'empreinte biométrique ou de la reconnaissance faciale. De plus en plus de services et sites web supportent l'authentification via une passkey.

Dès maintenant, les utilisateurs de Proton Pass, le gestionnaire de mots de passe de chez Proton développé à partir du langage Rust, peuvent profiter de la prise en charge des Passkeys sur toutes les plateformes supportées par ce service, et pour tous les utilisateurs. Autrement dit, cette fonctionnalité est disponible pour tous les utilisateurs, gratuits et payants.

"C’est une première sur le marché des gestionnaires de mots de passe, établissant une nouvelle norme en matière d'accessibilité et de sécurité.", précise Proton dans son communiqué de presse, afin d'insister sur le fait que cette nouveauté est gratuite.

Proton Pass prend en charge les Passkeys de la même façon que les mots de passe, c'est-à-dire qu'ils peuvent être partagés directement et exportés vers un autre service. "Cette flexibilité fait partie de notre engagement à maintenir la commodité et l’interopérabilité", peut-on lire.

Proton Pass - Passkey

Cette nouveauté profite également aux utilisateurs de Proton Pass for Business. Grâce à la nouvelle fonctionnalité de partage et de collaboration via les Passkeys, cette technologie complémente les méthodes d'authentification en place, telles que les mots de passe classiques et les codes 2FA.

Voici les dernières annonces de Proton :

Retrouvez l'annonce officielle sur le blog de Proton.

The post Proton ajoute la prise en charge des Passkeys à son gestionnaire de mots de passe Proton Pass first appeared on IT-Connect.

Test HONOR Pad 9 : une tablette 12 pouces efficace, mais à l’autonomie limitée

22 mars 2024 à 16:21

I. Présentation

Honor est de retour sur le marché des tablettes tactiles puisque le modèle Honor Pad 9 a fait son apparition sur le marché français en mars 2024 ! Elle succède, en quelque sorte,au modèle Honor Pad 8 disponible depuis un peu plus d'un an et demi. Dans cet article, nous allons découvrir ensemble cette tablette milieu de gamme et je vous donnerai mes impressions !

Commençons par évoquer les caractéristiques techniques de cette tablette qui est équipée d'un grand écran de 12,1 pouces :

  • Écran : 12,1 pouces, résolution 2,5K (2560 x 1600) avec un taux de rafraichissement de 120 Hz, écran LCD IPS
  • Processeur : Qualcomm Snapdragon 6 Gen 1 avec 8 cœurs (4 x Cortex-A78 2,2 GHz + 4 x Cortex-A55 1,8 GHz)
  • RAM : 8 Go
  • Stockage interne : 256 Go
  • Audio stéréo avec 8 haut-parleurs HONOR Histen, Hi-Res
  • Module photo avant : un capteur de 8 mpx
  • Module photo arrière : un capteur de 13 mpx
  • Connectivité : Bluetooth 5.1, Wi-Fi 802.11a/b/g/n/ac
  • Connectivité mobile 4G / 5G : non
  • Batterie de 8 300 mAh compatible avec la charge rapide 35W
  • Système d'exploitation : MagicOS 7.2 (Android 13)
  • Poids : 555 grammes
  • Épaisseur : 6,96 mm
  • Prix : 349,90 euros
  • Voir la fiche produit sur le site officiel

🎁 Découvrez une offre spéciale à l'occasion du lancement de la tablette :

En utilisant notre lien Amazon et le code promo "PAD9FROFF", vous pouvez obtenir 9,90 euros de remise sur la tablette Honor Pad 9 (jusqu'au 24 mars 2023). Si vous êtes membre Amazon Prime, vous pouvez bénéficier d'une remise supplémentaire permettant d'avoir la tablette à 290 € au lieu de 349,90 €.

Si vous appréciez les produits de chez Honor, voici nos précédents tests de smartphone de cette marque :

II. Package et design

La tablette est livrée dans une boite au design soigné, et permettant d'avoir un aperçu sur le design du produit. À l'intérieur de la boite, Honor a glissé la tablette, un câble USB-C et un guide de démarrage rapide. Comme pour les smartphones, faisons une croix sur le chargeur mural, même si l'on m'a fourni un chargeur non officiel, dans le cadre de ce test.

Le grand écran de 12,1 pouces est appréciable et nous constatons une nette différence avec une tablette 10 pouces. Des bordures noires entourent l'écran et elles sont assez fines puisque Honor annonce un ratio châssis / écran de 88%. Ceci signifie que l'écran occupe de 88% de la surface. La caméra frontale est positionnée au centre de l'écran, sur la partie supérieure, lorsque la tablette est posée à l'horizontale (en mode "paysage"). D'ailleurs, c'est à l'extrémité gauche de la tranche supérieure que nous retrouvons l'ensemble des boutons : un gros bouton pour gérer le volume et un bouton Power.

La tablette bénéficie d'un châssis intégralement en métal, avec des angles arrondis. Il ajoute de l'élégance à l'appareil et présente l'avantage d'être très peu sensible aux traces de doigts. À l'arrière, nous retrouvons, au centre, le module photo principal de forme circulaire. Il est décrit de la façon suivante par Honor : "Le design de l'appareil photo central arrière tire son inspiration de la lune montante sur la mer endormie et scintillante." - Même s'il n'est pas discret et assez imposant, il ne contient qu'un seul capteur.

L'Honor Pad 9 contient le strict minimum au niveau de la connectique : un port USB-C. Ceci signifie qu'il n'est pas possible d'étendre la mémoire avec une carte microSD (mais l'espace de stockage interne est tout de même généreux : 256 Go), ni même de connecter un casque avec une prise Jack, car il n'y en a pas. Il conviendra de se tourner vers la connectivité Bluetooth pour connecter des accessoires externes. Par ailleurs, même si ce n'est pas systématique sur les tablettes, sachez qu'elle est livrée sans stylet.

Note : le clavier Bluetooth Honor Pad 9 Smart Bluetooth Keyboard est adapté à cette tablette. Consultez ce lien pour en savoir plus.

Je me dois d'insister sur la présence de 8 haut-parleurs répartis à droite, à gauche et sur la tranche inférieure de la tablette. Il est clair que cela permet d'avoir une bonne immersion lorsque l'on regarde une vidéo, ou pour avoir un son sympa lorsque l'on écoute de la musique. Pour les micros, sachez qu'il y en a 2 sur la tranche supérieure de la tablette, à proximité des boutons.

Nous avons fait le tour de la tablette et nous pouvons également noter l'absence d'un lecteur biométrique. Cependant, le déverrouillage de la tablette pourra être effectué à l'aide de la reconnaissance faciale. Enfin, bien qu'elle soit grande, cette tablette n'est pas lourde : 555 grammes, ce qui permet de pouvoir la transporter et la maintenir facilement.

III. Performances, système, etc.

Le Snapdragon 6 Gen 1 épaulé par 8 Go de RAM, et le système MagicOS 7.2 basé sur Android 13 permettent-ils à cette tablette de répondre à tous les besoins du quotidien ? Voici mon ressenti.

Précision : la tablette Honor Pad 9 est équipée de 8 Go de mémoire vive (RAM), mais celle-ci peut monter jusqu'à 16 Go grâce à la technologie HONOR RAM Turbo. Lorsque la tablette sollicite cette fonctionnalité, l'espace de stockage est utilisé pour avoir de la mémoire vive supplémentaire.

L'interface est soignée et agréable à utiliser. Nous pouvons utiliser deux systèmes de navigation : par geste ou avec trois touches de navigation (positionnée dans le bas de l'écran). Avec ses icônes d'applications et ses dossiers arrondis, ainsi que par les couleurs choisies, cette interface me fait penser un peu à iOS... Mais nous sommes bien sur une tablette Android !

Test Honor Pad 9 - Tablette 12 pouces

Cette tablette est livrée avec un système basé sur Android 13, ce qui est tout de même regrettable sur un produit lancé en 2024, car Android 14 est disponible depuis octobre 2023. Espérons qu'une mise à jour soit prévue par la suite...

Le système est livré avec un ensemble d'applications préinstallées, et elles sont assez nombreuses. Voici la liste : Netflix, Facebook, Booking.com, TikTok, Trip.com, WPS Office. À cela s'ajoute toute la panoplie d'applications et services Google, ainsi que des applications développées par Honor. Par exemple, il y a l'App Market d'Honor qui est un magasin d'applications dans le même esprit que le Play Store de Google.

Avec cette tablette, vous pouvez utiliser toutes les applications courantes sans aucune difficulté, la puce graphique Adreno 710 intégrée au SoC est satisfaisante et il n'y a pas de ralentissement particulier à l'usage. Néanmoins, attention à la gestion de la 3D dans certains jeux où la tablette peut montrer ses limites même si vous pourrez jouer à la plupart des jeux.

Pour exploiter pleinement le grand écran, il y a le mode multi-fenêtres qui est pratique puisqu'il permet de lancer plusieurs applications simultanément sur la tablette : idéal pour les adeptes du multi-tâches, mais pas seulement...

Enfin, je n'en avais pas encore parlé, mais la qualité d'affichage est satisfaisante et la bonne luminosité est un point positif à mettre en évidence. Ceci est d'autant plus vrai que l'écran est sensible aux reflets (cela aura tendance à mettre en évidence les traces de doigts...). N'oublions pas qu'il ne s'agit pas d'un écran OLED.

Si vous utilisez un smartphone Honor, sachez que vous pouvez profiter d'Honor Connect pour que le smartphone et la tablette puissent interagir ensemble. Pour en savoir plus, consultez cette page du site officiel Honor.

IV. Autonomie de la tablette

Sur tous les appareils mobiles, l'autonomie est un critère important. Malheureusement, c'est précisément sur ce point où cette tablette Honor Pad 9 m'a déçue, car pour le reste, la copie est plus que satisfaisante !

Rappelons qu'Honor a pris la décision d'intégrer une batterie d'une capacité de 8 300 mAh : c'est assez faible, en comparaison d'autres modèles, surtout que là, il est question d'alimenter un écran de 12,1 pouces !

J'ai effectué la mise en pratique suivante : lecture de vidéos YouTube en continu (en haute qualité 4K), avec le volume réglé à 50%, la luminosité environ à 60% (en intérieur). Résultat, le smartphone a une autonomie de 7 heures et 15 minutes (temps pour passer de 100% à 0%, sans interruption). De son côté, Honor évoque une autonomie de 11 heures lors de la lecture de vidéo en local (ce qui est différent, car dans mon test, la vidéo est streamée via Wi-Fi).

Cela signifie qu'avec cette tablette, vous pouvez tenir une petite journée, mais pas plus. C'est un point important à prendre en considération, en fonction de votre besoin et vos usages.

Avis tablette HONOR Pad 9

Bon, la bonne nouvelle malgré tout, c'est que la tablette se recharge rapidement : comptez environ 1 h 45 pour recharger la tablette complètement si vous utilisez un chargeur compatible 35 Watts. En 30 minutes, vous pourrez récupérer approximativement un tiers de la batterie, ce qui permettra de repartir assez rapidement pour plusieurs heures d'utilisations.

V. Qualité des photos

Prenons le temps d'évoquer la qualité des photos, notamment celles réalisées avec le capteur photo principal de 13 mégapixels, situé au dos de la tablette. Il s'agit d'un capteur grand-angle (f/2). Dans les meilleures conditions, c'est-à-dire en extérieur, en pleine journée, la tablette est capable de prendre des photos convenables, mais les couleurs sont un peu fades. Et surtout, si vous prenez en photo une personne ou un animal en mouvement, c'est la photo floue assurée...

À cela s'ajoute un lissage prononcé sur certaines photos, mais pour une tablette dont ce n'est pas du tout la fonction première, c'est acceptable. De nuit, un bruit s'ajoute sur l'image, ce qui impacte la qualité globale de la photo (sans surprise).

L'application caméra intègre plusieurs modes de prise de vue (photo, vidéo, portrait, scanner le document, etc.), ainsi que des filtres IA, ce qui est tendance ! Voici un également un aperçu des paramètres, tout en sachant que pour les vidéos, la fréquence d'images maximale est de 30 fps et la résolution maximale 4K. Vous pouvez aussi utiliser HONOR Lens pour l'identification des QR codes et des objets.

VI. Conclusion

Le grand écran avec un affichage de bonne qualité, la présence de 8 haut-parleurs, ainsi que l'élégance du châssis métal et la qualité de fabrication qui lui donne une allure de tablette premium, sont les points fort de cette tablette. Mais il ne faut pas oublier les performances satisfaisantes et une interface fluide qui est agréable à utiliser, et elle conviendra parfaitement à ceux qui connaissent l'interface MagicOS sur smartphone. Au quotidien, cette tablette est réellement agréable à utiliser et, j'insiste, mais l'écran de 12 pouces offre un réel confort visuel, y compris pour afficher plusieurs applications à l'écran.

À l'inverse, l'autonomie m'a déçue et je m'attendais à mieux sur ce point ! La connectique est également un peu légère, j'aurais apprécié l'ajout d'une prise Jack et d'un stylet pour l'écran tactile pour compléter l'ensemble. Enfin, la puissance sera trop juste pour certains jeux donc ce n'est pas une tablette pour gamer exigeant !

Objectivement, cette tablette proposée à 349,90 euros offre un très bon rapport qualité/prix !

🎁 Découvrez une offre spéciale à l'occasion du lancement de la tablette :

En utilisant notre lien Amazon et le code promo "PAD9FROFF", vous pouvez obtenir 9,90 euros de remise sur la tablette Honor Pad 9 (jusqu'au 24 mars 2023). Si vous êtes membre Amazon Prime, vous pouvez bénéficier d'une remise supplémentaire permettant d'avoir la tablette à 290 € au lieu de 349,90 €.

The post Test HONOR Pad 9 : une tablette 12 pouces efficace, mais à l’autonomie limitée first appeared on IT-Connect.

Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM

22 mars 2024 à 06:00

Une faille de sécurité critique présente dans la solution FortiClient Enterprise Management Server (EMS) de chez Fortinet est activement exploitée par les cybercriminels ! Voici ce qu'il faut savoir sur cette menace !

Le 12 mars 2024, Fortinet a mis en ligne un bulletin de sécurité pour informer ses utilisateurs de la présence d'une vulnérabilité critique (score CVSSv3 de 9.3 sur 10) présente dans la solution FortiClient EMS.

Associée à la référence CVE-2023-48788, il s'agit d'une faiblesse de type "injection SQL" permettant à un attaquant non authentifié d'exécuter du code ou des commandes à distance sur la machine vulnérable. Autrement dit, un attaquant en mesure de communiquer avec un serveur vulnérable peut exécuter du code avec les privilèges SYSTEM dans le but de compromettre la machine.

Dans ce même bulletin de sécurité, nous pouvons lire ceci : "Cette vulnérabilité est exploitée dans la nature". De plus, mercredi 20 mars 2024, les chercheurs en sécurité de chez Horizon3.ai ont mis en ligne un rapport et un exploit PoC au sujet de cette faille de sécurité. Cet exploit se présente sous la forme d'un script Python et il est disponible sur GitHub.

"Pour transformer cette vulnérabilité d'injection SQL en exécution de code à distance, nous avons utilisé la fonctionnalité xp_cmdshell intégrée de Microsoft SQL Server.", peut-on lire dans le rapport d'Horizon3.ai. Cette fonction n'est pas activée par défaut sur SQL Server, ce qui explique de jouer certaines commandes en amont par l'intermédiaire de l'injection SQL.

Une recherche sur Shodan montre qu'il y a actuellement 446 serveurs FortiClient EMS exposés sur Internet, dont 13 en France et au Canada, 8 en Suisse et 4 en Belgique.

Shodan - CVE-2023-48788 - 21 mars 2024

Comment se protéger ?

Voici un tableau récapitulatif avec la liste des versions affectées et la liste des versions qui intègrent un correctif de sécurité pour la CVE-2023-48788.

Version (branche)Versions vulnérablesSolution
FortiClientEMS 7.27.2.0 à 7.2.2Mettre à niveau vers 7.2.3 ou supérieur
FortiClientEMS 7.07.0.1 à 7.0.10Mettre à niveau vers 7.0.11 ou supérieur

Source

The post Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM first appeared on IT-Connect.

❌
❌