FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 30 novembre 2021Flux principal

Test Konyks Camini Go : une caméra extérieure sans-fil et full HD

30 novembre 2021 à 10:00

I. Présentation

La Konyks Camini Go est la première caméra de chez Konyks pouvant être utilisée aussi bien en extérieur qu'en intérieur. Jusqu'ici, la marque française proposait plusieurs caméras pour l'intérieur dans sa gamme de produits Camini. Il s'agit d'une caméra Wi-Fi et qui fonctionne sur batterie, elle est donc totalement sans-fil.

J'ai eu l'occasion de m'en procurer un exemplaire alors je vous propose mon test de la caméra Camini Go de chez Konyks !

Les caractéristiques de la caméra Camini Go sont les suivantes :

  • Résolution du capteur : Full HD 1080p - Compression H.264
  • Angle de vision de 116°
  • Connectivité Wi-Fi sur un réseau 2,4 GHz
  • Batterie rechargeable de 10 000 mAh - environ 3 mois d'autonomie
  • Vision nocturne jusqu'à 8 mètres
  • Stockage des enregistrements sur une carte microSD (jusqu'à 128 Go) ou Cloud (payant)
  • Audio bidirectionnel : microphone et haut-parleurs intégrés
  • Certification IP65 pour la résistance aux intempéries
  • Détection de mouvements
  • Scénarios, automatisation, contrôles, notifications, etc... sur son smartphone
  • Compatibilité avec les assistants vocaux
  • Ne nécessite aucun abonnement, ni de bridge/pont
  • Poids : 320 grammes

II. Package et design

On ne change pas une formule qui fonctionne : Konyks propose un packaging conforme à ses habitudes, avec un bel aperçu du produit et surtout des informations très précises sur les caractéristiques du produit. À deux trois détails près, la liste des caractéristiques ci-dessus reprend les informations écrites sur la boîte.

À l'intérieur, nous avons la caméra Camini Go et elle est venue accompagnée d'un guide de démarrage rapide, d'un câble microUSB pour la recharge, des deux supports de fixation ainsi que de la visserie associée. Je trouve que c'est bien d'avoir plusieurs options de montage.

Vous l'avez peut-être constaté ou non, mais il n'y a pas de chargeur USB (seulement le câble) donc il faudra piquer celui de votre smartphone ou connecter la caméra sur votre PC pour la recharger.

La caméra est relativement compacte et elle tient dans la main, mais je la trouve un peu lourde personnellement par rapport à d'autres caméras dans le même esprit que j'ai pu tester. Enfin, ce n'est qu'un détail, car elle ne va pas passer sa vie dans la paume de ma main.

Plus sérieusement, à l'avant de la caméra nous retrouvons le capteur CMOS, le détecteur de mouvement, le micro, ainsi que les différentes LEDs pour la vision infrarouge. Sur les deux côtés, il n'y a rien si ce n'est qu'il y a une étiquette à décoller pour que ce soit plus esthétique.

À l'arrière, c'est intéressant, car nous avons le haut-parleur de la caméra que vous pouvez voir facilement sur les photos ci-dessous. Au centre, c'est la partie aimantée qui sert à positionner le support de fixation (voir ci-dessous), et la partie basse de la caméra donne accès à différents éléments.

Pour être plus précis, après avoir retiré le cache de protection, on peut accéder au bouton on/off de la caméra, au bouton reset, à la prise microUSB qui sert à recharger la caméra et à l'emplacement pour la carte microSD (non fournie). Le cache de protection s'enlève complètement, c'est un peu dommage et en plus il n'est pas très pratique à positionner, mais il faudra y prêter une attention particulière, car il sert à protéger la connectique contre les intempéries.

Il y a deux types de support de fixation : un support de fixation avec une base magnétique qui va maintenir la caméra grâce à un aimant (et ce support peut se fixer grâce au ruban adhésif double face fourni), et un second support de fixation va venir se visser sur la caméra. Si l'installation est effectuée en extérieur, je pense qu'il vaut mieux privilégier le support à visser notamment si la caméra est exposée au vent. Si elle est à l'abri, sous un carport par exemple, on peut miser sur le support magnétique. D'ailleurs, la caméra supporte une plage de température assez large, mais dont il faut tenir compte : de -10°C à +50°C.

En résumé, je dirais que la caméra Camini Go est assez sobre d'un point de vue esthétique, le boîtier est en plastique blanc avec une façade noire. La qualité de fabrication est satisfaisante et le boîtier me semble solide, et prêt à affronter la pluie, le vent, la chaleur et le froid.

III. Initialisation de la caméra

La mise en route s'effectue à partir de l'application Konyks, disponible gratuitement sur Android et iOS. L'idée étant d'associer la caméra Camini Go à son compte Konyks, aux côtés des autres appareils de la marque si vous en avez. L'initialisation s'effectue rapidement et le processus est facile à suivre. Après avoir démarré la caméra, il faut ajouter un nouvel appareil dans l'application. À ce moment-là, un code QR s'affiche sur le smartphone et il faut le scanner avec la caméra, en positionnant le smartphone à environ 20 cm. Grâce à cette opération, la caméra va récupérer des informations comme la connexion Wi-Fi à utiliser. Ensuite, il ne restera plus qu'à donner un petit nom à la caméra et le tour est joué !

IV. Application

L'application Konyks sert à piloter la caméra, à effectuer la configuration et à accéder aux enregistrements. Lorsque l'on accède à la caméra, on voit l'image en direct : on peut zoomer et passer en mode plein écran, ainsi que d'autres infos comme l'autonomie restante. Ensuite, il y a des boutons d'action un peu partout répartis sur l'écran. Voici quelques actions possibles :

  • Gérer la qualité du live HD/SD
  • Activer ou désactiver le rendu sonore côté smartphone
  • Prendre une capture d'écran ou une vidéo (enregistrée directement sur le smartphone)
  • Activer ou désactiver la vision nocturne (par défaut en mode automatique)
  • Activer ou désactiver la détection de mouvement, avec gestion de la sensibilité
  • Accéder aux enregistrements
  • Modifier le thème de l'application (clair ou sombre)

Au sein des paramètres avancés de la caméra, on retrouve certains paramètres identiques à ceux inclus sur l'interface globale de gestion de la caméra. On peut accéder à quelques options supplémentaires et spécifiques, comme la possibilité d'inverser l'image, d'activer l'audio bidirectionnel, de définir une alerte quand la batterie atteint 15%, etc...

Si vous préférez miser sur le stockage Cloud plutôt que le stockage local afin d'externaliser les enregistrements, il faudra passer à la caisse. La première offre d'abonnement est à 4,50 euros par mois pour un historique de 7 jours et jusqu'à 3 caméras. Pour un historique sur 30 jours, il faudra compter 9 euros par mois (et vous pouvez inclure jusqu'à 5 caméras). C'est dommage qu'il ne soit pas possible d'envoyer les enregistrements sur un serveur FTP, pour ceux qui ont un NAS à la maison, ça pourrait être cool.

Note : sans carte microSD, ni stockage Cloud, la caméra est en mesure de stocker quelques copies d'écrans des dernières détections. Ou alors, elles sont envoyées et mises en cache sur le smartphone. Quoi qu'il en soit elles sont accessibles, mais ce ne sont que des photos. Avec la carte microSD, ce sont des séquences vidéos qui seront enregistrées.

En complément, et comme je l'indiquais en introduction, la caméra est compatible avec les assistants vocaux Alexa et Google. Oui, d'accord, mais ça veut dire quoi exactement ? Par exemple, si vous avez un appareil Echo Show d'Amazon, avec Alexa, donc, vous pouvez demander à Alexa d'afficher l'image de la caméra sur l'écran de l'appareil Echo : "Alexa affiche caméra extérieure" (selon le nom donné à la caméra). Vous pouvez faire la même chose chez Google avec un appareil Nest Hub.

V. Image et détection

De jour, la qualité d'image est suffisamment bonne pour vous permettre d'identifier le visage d'une personne. Pour cela, il faudra s'appuyer sur l'image streamée en HD. De nuit, le résultat est satisfaisant même si l'image est plus pixelisée. Les différentes LEDs infrarouges intégrées à la caméra sont efficaces. C'est en noir et blanc, mais ça, c'est normal.

Voici un exemple :

Je suis plutôt content de la qualité d'image de cette caméra Konyks Camini Go.

Concernant la détection, une notification sera envoyée, accompagnée d'une photo, lorsqu'un mouvement sera détecté. À ce niveau, je trouve que la caméra de Konyks est réactive, aussi bien avec les humains que les animaux. Si vous trouvez que la caméra n'est pas assez sensible, il est possible de gérer la sensibilité via les options (voir les copies d'écran ci-dessus). Ce qui manque, c'est de ne pas pouvoir créer une zone d'exclusion pour la détection. Cette fonction est bien pratique lorsque la caméra a dans son objectif une zone que vous ne souhaitez pas surveiller (exemple : la voie publique).

Quelques mots sur l'audio....

Actuellement, le haut-parleur n'est pas utilisé comme une sirène lorsqu'un mouvement est détecté. C'est dommage, car il pourrait être exploité à cet usage, à condition qu'il soit suffisamment puissant. Quant au micro, il fonctionne correctement, mais il sature par moment, ce qui peut compliquer la compréhension et du coup, ça perd un peu d'intérêt.

Quelques mots sur les scénarios...

La caméra Camini Go s'intègre parfaitement au système de scénarios de Konyks. Par exemple, si vous avez des volets roulants pilotés par des interrupteurs Konyks (Vollo), vous pouvez fermer les volets si un mouvement est détecté par la caméra Camini Go, ou allumer la lumière ou une lampe si vous utilisez une prise connectée Konyks.

VI. Conclusion

Simple d'utilisation et efficace quand il s'agit de détecter les mouvements, la caméra Konyks Camini Go est une bonne caméra. 

Avec une bonne qualité de fabrication, une application simple et intuitive, et une bonne qualité d'image, cette caméra ne manque pas d'atouts, mais elle n'est pas parfaite !

Au-delà des petits bémols évoqués tout au long de l'article, ce qui est un peu juste à mon sens c'est l'autonomie de 3 mois. Cela veut dire que tous les 3 mois (plus ou moins), il faudra démonter la caméra pour la recharger, là où des modèles de la concurrence vont jusqu'à 6 mois voire 1 an d'autonomie. Moi, personnellement, ça me gêne.

Avec la Camini Go, pour un prix de 120 euros, on a une caméra totalement autonome : Wi-Fi, sur batterie et avec un stockage en local, ce qui est appréciable.

The post Test Konyks Camini Go : une caméra extérieure sans-fil et full HD first appeared on IT-Connect.

Le client Zoom pour Windows bénéficie de la mise à jour automatique

30 novembre 2021 à 08:25

Zoom a annoncé le lancement d'une nouvelle fonctionnalité pour le client Zoom pour Windows et macOS : la mise à jour automatique lorsqu'une nouvelle version est disponible.

Cette fonctionnalité est appréciable, car elle va permettre aux utilisateurs de bénéficier d'un client Zoom à jour, sans réaliser le moindre effort. Conserver un logiciel à jour est intéressant vis-à-vis de la sécurité, mais aussi pour bénéficier des derniers correctifs de bugs (même si parfois cela génère de nouveaux dysfonctionnements... hum, hum).

La mise à jour automatique du client Zoom pour tous les utilisateurs est disponible pour Windows et macOS. Pour Linux, ce n'est pas pris en charge. Quant aux applications pour mobile, c'est assez facile, car on peut gérer activer les mises à jour automatiques au sein des magasins d'applications, notamment le Play Store de Google.

Comme le précise Jeromie Clark de chez Zoom, l'option sera activée par défaut lors de la première installation de Zoom ou lors de l'installation de la première mise à jour qui intègre cette fonctionnalité. L'utilisateur a l'opportunité de désactiver cette fonction en décochant la case qui va bien. Un paramètre que l'on peut retrouver dans les options du client Zoom à tout moment.

Il y a deux canaux disponibles pour obtenir les mises à jour Zoom : lent ou rapide. Avec le mode lent, vous misez plutôt sur la stabilité, tandis qu'avec le mode rapide, vous bénéficiez à chaque fois des dernières mises à jour stable, et donc, des nouvelles fonctionnalités.

Attention, indépendamment du choix du canal de mise à jour, si l'option de mise à jour automatique est activée et qu'une mise à jour de sécurité critique de Zoom est disponible, celle-ci sera installée.

Pour les entreprises, il existait déjà la possibilité de maintenir à jour automatiquement le client Zoom. Cette nouveauté permet de proposer cette fonction à tout le monde, aussi bien les particuliers que les professionnels.

Source

The post Le client Zoom pour Windows bénéficie de la mise à jour automatique first appeared on IT-Connect.
Hier — 29 novembre 2021Flux principal

Un serveur Cloud vulnérable peut être détecté et compromis en 30 minutes

29 novembre 2021 à 18:08

À peine 30 minutes, c'est le temps qu'il faut aux pirates dans certains cas pour repérer et compromettre un serveur vulnérable mis en ligne sur Internet.

Vous n'êtes pas sans savoir que Google propose aux entreprises d'héberger leurs serveurs au sein de Google Cloud Platform, comme d'autres hébergeurs : OVHcloud, Microsoft Azure, Amazon AWS, etc... Les chercheurs en sécurité de chez Google Threat Intelligence ont analysé de près les serveurs compromis et hébergés chez Google. Suite à cette analyse, ils ont pu constater qu'un serveur vulnérable est généralement piraté en quelques heures à peine, tandis que dans certains cas, c'est beaucoup plus rapide : moins de 30 minutes !

Il s'avère que les adresses IP publiques sont continuellement scannées par les pirates, à l'aide d'outils automatiques, afin de détecter les instances cloud vulnérables. Les experts de Google vont même plus loin et affirment : "la question n'est pas de savoir si une instance Cloud vulnérable sera détectée, mais plutôt à quel moment".

Ces serveurs sont vulnérables, car la configuration est mauvaise ! Dans 48% des cas, c'est un mot de passe faible qui est à l'origine du piratage ! Ensuite, dans 26% des cas c'est une faille de sécurité qui est exploitée et dans 12% des cas, c'est un problème de configuration.

La question que l'on peut se poser, c'est : que se passe-t-il une fois que le serveur est compromis ?

Et bien, dans une grande majorité des cas, 86% pour être précis, le serveur est utilisé pour miner des cryptomonnaies. Il est fort probable qu'une grande partie de ce processus de compromission, de la détection à l'installation du logiciel de minage, soit automatisé. En effet, dans 58% des cas observés, il y a moins de 30 secondes entre le moment où le serveur est compromis et le moment où le logiciel de minage est installé.

Sinon, le serveur compromis peut être utilisé à d'autres fins : réaliser des scans de ports vers d'autres serveurs (10%), effectuer des attaques contre d'autres serveurs exposés sur Internet (8%) ou encore héberger des logiciels malveillants (6%).

Retrouvez le rapport complet de Google sur cette page : Google - Threat Horizons

The post Un serveur Cloud vulnérable peut être détecté et compromis en 30 minutes first appeared on IT-Connect.

CronRAT : un malware Linux qui est configuré pour s’exécuter le 31 février

29 novembre 2021 à 11:23

Un nouveau Cheval de Troie d'accès à distance baptisé CronRAT et conçu pour les serveurs Linux cible les boutiques en ligne dans l'objectif de voler des données de carte de paiement.

Découvert par les chercheurs en sécurité de Sansec, le Cheval de Troie de type RAT (Remote Access Trojan), CronRAT, est particulièrement sophistiqué et doté de techniques de furtivité inédites. En effet, CronRAT génère différentes lignes dans le système de planification "cron" du serveur Linux compromis. Ce qui est étonnant, c'est que les lignes ajoutées sont prévues pour s'exécuter le 31 février : une date inexistante. La syntaxe des lignes ajoutées à la crontab sont valides, mais l'exécution de ces tâches génère une erreur. Néanmoins, cela ne se produira pas puisque le 31 février n'existe pas.

Le code du malware est caché au sein du nom des tâches et il bénéficie d'une multitude de couches de compression et du décodage en base64. Il s'agirait d'un malware codé en bash. Les chercheurs de Sansec précisent qu'il dispose de fonction d'autodestruction, de modulation du temps et d'un protocole binaire particulier pour communiquer via le port 443/TCP avec un serveur de contrôle distant.

D'après Sansec, CronRAT n'est pas détecté par les autres fournisseurs de sécurité, en tout cas pour le moment, et que pour le détecter, ils ont du réécrire une partie de leur algorithme eComscan. Sur le site d'analyse VirusTotal, les résultats sont inquiétants : 12 moteurs antivirus ont été incapables d'analyser le fichier malveillant, et pour ceux qui ont pu l'analyser, il y en a 58 qui ne l'ont pas détecté comme une menace.

Lorsque CronRAT est en place sur un site d'e-commerce, il va être en mesure de capturer les coordonnées bancaires avant qu'elles soient chiffrées, sans être détecté par les solutions de sécurité. On parle d'attaques de type Magecart. C'est pour cette raison que l'on parle d'un Cheval de Troie d'accès à distance, car il n'est pas présent directement sur le poste de la victime.

Source

The post CronRAT : un malware Linux qui est configuré pour s’exécuter le 31 février first appeared on IT-Connect.

GPO : comment empêcher des utilisateurs de se connecter sur les PC ?

29 novembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment empêcher certains utilisateurs de se connecter sur les postes de votre domaine Active Directory à l'aide d'une GPO.

À l'aide d'une GPO, nous allons pouvoir empêcher tous les membres du groupe de sécurité "Sec-Bloquer-Connexion-PC" de se connecter sur un ou plusieurs ordinateurs/serveurs de votre domaine Active Directory.

Par exemple, si vous avez quelques comptes utilisateurs Active Directory qui sont destinés à être utilisés uniquement sur certains postes, il est tout à fait pertinent de bloquer la connexion sur les autres PC de votre parc informatique.

Dans le même esprit, si vous avez des comptes de votre annuaire Active Directory synchronisés sur Office 365 mais qui n'ont plus d'utilité sur l'infrastructure locale, vous pouvez les empêcher de se connecter sur vos postes. Cela vous permet de les maintenir actifs dans votre Active Directory, et donc sur Office 365 (sans les transformer en compte Cloud), sans pour autant leur permettre une connexion sur les postes.

Pour cette démonstration, je vais utiliser un contrôleur de domaine Active Directory sous Windows Server 2022 (mais cela fonctionne sur les versions antérieures) et un poste de travail sous Windows 11.

II. L'option "Se connecter à" de l'Active Directory

Si l'on veut seulement restreindre un ou deux comptes afin qu'ils puissent se connecter sur quelques postes spécifiques, on peut utiliser l'option "Se connecter à" accessible via les propriétés du compte dans l'Active Directory.

Cette option permet de définir les ordinateurs sur lesquels cet utilisateur est autorisé à se connecter. Cette option est pratique à petite échelle, et je lui préfère la méthode par GPO qui est plus flexible, mais il faut savoir que cette possibilité existe.

Active Directory - Option "Se connecter à"
Active Directory - Option "Se connecter à"

Maintenant, passons à la méthode par GPO.

III. GPO "Interdire l'ouverture d'une session locale"

Avant de créer la GPO, on va créer notre groupe de sécurité "Sec-Bloquer-Connexion-PC". Tous les membres de ce groupe ne pourront pas se connecter sur les ordinateurs du domaine présent dans l'OU "PC" de mon Active Directory. Dans ce groupe, j'ajoute l'utilisateur "Malcom Unchien" afin de faire un test après la mise en place de la GPO.

Désormais, on peut créer la GPO à l'aide de la console "Gestion de stratégie de groupe". Pour ma part, j'ai appelé cette GPO "Bloquer-Connexion-PC" et je l'ai liée à l'OU "PC".

Note : pour éviter de se retrouver coincer en cas de mauvaise manipulation, je vous déconseille d'appliquer cette GPO sur les contrôleurs de domaine (OU "Domain Controllers").

Ce qui donne :

Une fois la GPO créée, je vous invite à la modifier et parcourez l'arborescence de cette façon :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur

À cet endroit, vous allez trouver plusieurs paramètres dont celui nommé "Interdire l'ouverture d'une session locale" et que l'on va configurer.

Double-cliquez sur ce paramètre pour le configurer. Je vous invite à cocher l'option "Définir ces paramètres de stratégie". Ensuite, cliquez sur "Ajouter un utilisateur ou un groupe" et recherchez le groupe "Sec-Bloquer-Connexion-PC", ce qui donne :

Interdire l'ouverture d'une session locale
Interdire l'ouverture d'une session locale

Il ne reste plus qu'à valider. Pour rappel, tous les membres de ce groupe ne pourront pas se connecter sur un PC en local grâce à ce paramètre de GPO.

Note : si un utilisateur restreint dispose d'une autorisation pour se connecter en Bureau à distance (RDP) sur un serveur ou un poste spécifique, il pourra continuer à se connecter via la connexion distante RDP même si la GPO s'applique sur ce même poste. Par défaut, un utilisateur lambda ne peut pas se connecter en RDP.

La GPO est prête. Maintenant, je bascule sur mon poste Windows 11, je mets à jour les GPO puis je redémarre le poste :

gpupdate /force

Suite au redémarrage, si j'essaie de me connecter sur le poste avec le compte "Malcom Unchien", je ne peux pas ! Ma GPO fonctionne bien et j'obtiens le message "La méthode de connexion que vous tentez d'utiliser n'est pas autorisée. Pour plus d'informations, contactez votre administrateur réseau".

En fonction de vos besoins, ajoutez les utilisateurs au groupe de sécurité et liez la GPO sur les OUs qui contiennent les PCs sur lesquels appliquer la restriction.

The post GPO : comment empêcher des utilisateurs de se connecter sur les PC ? first appeared on IT-Connect.

Préparer une carte SD pour son Raspberry Pi avec Raspberry Pi Imager

28 novembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment utiliser Raspberry Pi Imager pour préparer une carte SD avec Raspberry Pi OS prête à l'emploi en quelques minutes.

Raspberry Pi Imager est un outil open source, relativement récent, développé par la fondation Raspberry Pi directement et qui va permettre de déployer sur une carte SD (ou une clé USB, etc.) l'image d'une distribution Linux en quelques clics. En l'occurrence, je vais déployer l'image Raspberry Pi OS sur ma carte microSD afin d'utiliser ce système sur mon Raspberry Pi. L'objectif de Raspberry Pi Imager est de simplifier encore un peu plus la mise en route d'un Raspberry Pi.

La bonne nouvelle, c'est que pour utiliser Raspberry Pi Imager, vous n'avez pas besoin de télécharger au préalable l'image ISO du système à installer ! Une liste de système est proposée et l'image sera téléchargée via Internet directement.

Je vais procéder depuis Windows en récupérant l'outil au format exécutable (il est disponible aussi sur macOS et Linux) et je vous invite à le récupérer sur GitHub via ce lien : Télécharger - Raspberry Pi Imager

Vous pouvez aussi le récupérer sur le site officiel de Raspberry Pi.

II. Utilisation de Raspberry Pi Imager

L'installation s'effectue en quelques clics... Sans option spécifique. Une fois que c'est fait, exécutez Raspberry Pi Imager sur votre ordinateur.

Commencez par cliquer sur "Choisissez l'OS" pour choisir le système à déployer sur la carte SD.

Raspberry Pi Imager
Raspberry Pi Imager

Plusieurs systèmes sont proposés, à commencer par Raspberry Pi OS bien sûr. Pour rappel, il s'agit du nouveau nom du système Raspbian, optimisé pour le Raspberry Pi et basé sur Debian. Vous avez le choix entre une version avec ou sans interface graphique (Desktop ou Lite).

Ensuite, vous pouvez retrouver d'autres distributions, organisés par catégorie comme RecalBox pour le rétrogaming dans la catégorie "Emulation and Game OS", ou encore "LibreELEC" dans la catégorie "Media player - Kodi OS". A vous de choisir et de valider.

Note : lors du choix de certaines distributions, il faut bien choisir la version qui correspond à votre version de Raspberry Pi.

De retour sur le menu principal, cliquez sur "Choisissez le stockage". Dans la liste, sélectionnez votre carte microSD (ou votre clé USB, etc.).

Nous avons choisi le système et sélectionné un espace de stockage, il ne reste plus qu'à cliquer sur le bouton "Ecrire".

Un message d'avertissement s'affiche pour vous indiquer que les données sur le périphérique sélectionné pour l'installation seront supprimées. Validez en cliquant sur "Oui". Pensez à sauvegarder vos données en amont si nécessaire.

Patientez pendant l'installation de l'image de votre système sur votre carte SD ! Raspberry Pi Imager va télécharger l'image du système et la déployer sur la carte SD.

Le message "Raspberry Pi OS (32 bits) a bien été écrit sur SDHC Card" s'affiche. Parfait. Cliquez sur "Continuer" car c'est déjà terminé, votre système est prêt à l'emploi !

Et ensuite, on fait quoi ? 🙂

III. Premier démarrage du nouveau système

Et bien, il faut insérer la carte microSD dans le Raspberry Pi et l'alimenter pour qu'il démarre.

Lorsque vous Raspberry Pi OS va démarrer, vous allez vous retrouver sur le Bureau avec le compte "pi" intégré au système, il sera demandé de finaliser l'installation en suivant un assistant.

Cliquez sur "Next" pour accéder à la première étape.

Vous allez devoir définir un nouveau mot de passe, choisir la langue pour le clavier, etc... Ce sont des étapes assez basiques qu'il faut suivre les unes après les autres.

Pour aller plus loin dans la configuration Raspberry Pi, je vous invite à cliquer sur le bouton pour afficher le menu principal (la framboise en haut à gauche), puis sous "Préférences", cliquez sur "Configuration du Raspberry Pi". Par exemple, cela peut vous permettre d'activer l'accès SSH sur votre Raspberry Pi.

Alors, dites-moi tout, qu'avez-vous prévu avec votre Raspberry Pi ?

The post Préparer une carte SD pour son Raspberry Pi avec Raspberry Pi Imager first appeared on IT-Connect.
À partir d’avant-hierFlux principal

Comment monter un disque chiffré avec BitLocker sous Linux ?

26 novembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment monter un disque chiffré avec BitLocker sous Linux à l'aide de l'outil Dislocker. Cette manipulation permet également de déverrouiller une clé USB chiffrée avec BitLocker.

Lorsque l'on chiffre une clé USB ou un disque dur externe avec BitLocker To Go, on peut y accéder facilement à partir d'une machine Windows. En effet, lorsque l'on connecte le périphérique à son PC, Windows affiche une notification afin de demander la clé de déverrouillage. Facile. Par contre, sous Linux, c'est un peu différent, car il faut s'appuyer sur un utilitaire, en l'occurrence Dislocker, et effectuer quelques manipulations avant de pouvoir accéder au contenu du disque.

Environnement : pour ma part, je vais installer Dislocker sur mon Raspberry Pi qui tourne sur une base de Debian. Une simple clé USB chiffrée avec BitLocker me servira de cobaye.

Si BitLocker est un sujet qui vous intéresse, voici quelques tutoriels BitLocker dans un environnement Windows :

II. Installation de Dislocker

L'installation du paquet Dislocker est très classique, il suffit de mettre à jour le cache des paquets et de lancer l'installation, comme ceci :

sudo apt-get update
sudo apt-get install dislocker

On valide l'installation du paquet et le tour est joué.

III. Utilisation de Dislocker pour monter un périphérique USB chiffré

Maintenant, je vous invite à connecter votre clé USB, votre disque externe (ou interne, mais ça il fallait le faire avant de démarrer) à votre PC. Ensuite, suivez les étapes ci-dessous.

A. Créer les deux points de montage pour Dislocker

Commencez par créer deux points de montage, que l'on appellera "bitlocker" et "bitlockerloop" (vous pouvez donner d'autres noms). Vous comprendrez par la suite pourquoi il faut créer deux points de montage. Ce qui donne :

sudo mkdir /media/bitlocker
sudo mkdir /media/bitlockerloop

B. Repérer le périphérique BitLocker

Une fois que c'est fait, il faut que l'on identifie notre disque sur la machine. Pour cela, exécutez la commande suivante :

sudo fdisk -l

Cette commande va lister l'ensemble des disques et volumes visibles par votre machine. Dans la liste des périphériques, je parviens à repérer ma clé USB et sa partition qui correspond à "/dev/sda1".

C. Déchiffrer le volume BitLocker avec Dislocker

Désormais, nous pouvons déchiffrer le volume sur notre machine Linux à l'aide de Dislocker. Là, je vais spécifier "/dev/sda1" puisque ça correspond à ma clé USB. Ensuite, on spécifie le point de montage "/media/bitlocker". Ce qui donne :

sudo dislocker /dev/sda1 -u /media/bitlocker

Le prompt va afficher "Enter the user password:" et là il ne faut pas indiquer le mot de passe du compte qui exécute la commande via sudo, mais le mot de passe BitLocker qui permet de déverrouiller le volume protégé. Si vous mettez le bon mot de passe et que tout se passe bien, la commande n'affiche pas de retour.

Note : il est possible d'ajouter le mot de passe directement dans la commande Dislocker, mais il sera en clair alors ce n'est pas recommandé. Exemple :

sudo dislocker -r -V /dev/sda1 -uVotreMDP -- /media/bitlocker

Attention : dans la commande ci-dessus, il n'y a pas d'espace entre "-u" et le mot de passe, mais c'est normal.

A partir de là, Dislocker est en mesure de déchiffrer notre volume, mais si l'on regarde dans "/media/bitlocker", on voit seulement un fichier nommé "dislocker-file" qui est un binaire généré par Dislocker. Il joue le rôle de déchiffreur entre le système Linux et notre partition chiffrée avec BitLocker.

D. Monter le volume Bitlocker sur Linux

Il faut s'appuyer sur le fichier "dislocker-file" pour monter notre volume chiffré au sein du second point de montage "/media/bitlockerloop". Cette fois-ci, le montage va être effectué avec la commande classique, à savoir "mount" et il faudra bien spécifier l'option "loop" compte tenu du format très particulier du fichier dislocker-file.

Ce qui donne :

sudo mount -o loop /media/bitlocker/dislocker-file /media/bitlockerloop

À partir de là, on peut accéder au contenu de notre périphérique chiffré avec BitLocker depuis notre machine Linux ! Par exemple, en listant le contenu du répertoire "/media/bitlockerloop", on voit bien le contenu de la clé USB s'afficher :

sudo ls -l /media/bitlockerloop

BitLocker sous Linux

Voilà, votre périphérique protégé par BitLocker est accessible sous Linux ! Nous n'allons pas en rester là, voyons deux trois petites choses supplémentaires...

E. Démonter le volume BitLocker sur Linux

Une fois que vous n'avez plus besoin de ce volume, il faudra le démonter. Pour cela, on va utiliser la commande "umount" et commencer par le point de montage "bitlockerloop" pour ensuite démonter le point de montage "bitlocker", ce qui donne :

sudo umount /media/bitlockerloop
sudo umount /media/bitlocker

C'est bon, vous pouvez déconnecter votre clé USB ou votre disque.

F. Intégrer le montage Dislocker dans /etc/fstab

Grâce au fichier /etc/fstab, on peut automatiser le montage de notre volume protégé par Bitlocker, en s'appuyant sur Dislocker. Editez le fichier :

sudo nano /etc/fstab

Ajoutez la ligne suivante en adaptant les valeurs, notamment le volume cible à monter et le mot de passe de déverrouillage.

/dev/sda1 /media/bitlocker fuse.dislocker user-password=VotreMDP,nofail 0 0

Ensuite, ajoutez une seconde ligne pour monter le volume chiffré au sein du point de montage "/media/bitlockerloop".

/media/bitlocker/dislocker-file /media/bitlockerloop auto nofail 0 0

Sans même redémarrer votre machine, vous pouvez recharger le contenu de fstab avec la commande suivante :

mount -a

Si vous obtenez une erreur, vérifiez les lignes du fichier /etc/fstab et veillez à bien libérer les points de montage au préalable.

G. Créer un script bash pour monter le volume via Dislocker

Si vous souhaitez vous faciliter la vie, sans pour autant intégrer le montage dans fstab, vous pouvez créer un script bash qui reprend les commandes vues précédemment. Par exemple (sans intégrer le mot de passe en clair) :

#!/bin/bash
sudo dislocker /dev/sda1 -u /media/bitlocker
sudo mount -o loop /media/bitlocker/dislocker-file /media/bitlockerloop

Il ne reste plus qu'à enregistrer le script et à lui attribuer les droits d'exécution.

chmod +x /home/pi/dislocker.sh

Enfin, voici le lien vers le GitHub du projet Dislocker où vous pouvez trouver plus d'infos, notamment sur les fichiers "fuse.dislocker" et "dislocker-file".

Amusez-vous bien !

The post Comment monter un disque chiffré avec BitLocker sous Linux ? first appeared on IT-Connect.

Black Friday 2021 : sélection de bons plans high-tech !

26 novembre 2021 à 08:14

A l'occasion du Black Friday, je vous propose ma sélection de bons plans high-tech : peut-être que vous allez trouver votre bonheur pour vous faire plaisir ou préparer vos cadeaux de Noël.

Il est fort possible que j'ajoute quelques offres tout au long de la journée, pensez à venir faire un tour de temps en temps ! 🙂

Informatique

Disque SSD portable - Crucial 1 To (USB-C)

Clavier sans-fil avec touchpad intégré - Logitech K400 Plus

Bracelet connecté - Xiaomi Mi Band 6

Maison connectée

Caméra de surveillance intérieure - Netatmo

Détecteur de fumée connecté (batterie 10 ans) - Netatmo

Caméras de surveillance sans-fil (x2) avec HomeBase - Eufy Security eufyCam 2C

Caméras de surveillance sans-fil 2K (x2) avec HomeBase - Eufy Security eufyCam 2 Pro

Caméra intérieur 2K - Eufy Security Camera 2K

Appareils Amazon Echo avec Alexa - Echo Dot, Echo Show, etc.

  • Prix d'origine : 129,99 €
  • Prix actuel : 84,99 €
  • Lien : https://amzn.to/313GY4Q
  • Voir tous les produits sur Amazon directement

Audio

Enceinte sans-fil Bluetooth - Soundcore Motion+

Casque sans-fil Bluetooth avec réduction de bruit active - Soundcore Life Q30

Bonus

Petit bonus parce que j'adore ces films : le coffret "Jurassic Park Collection" avec les trois premiers films en Bluray est disponible à 19,99 euros au lieu de 39,99 euros : voir cette offre. Dans le même esprit, le coffret avec les 8 films d'Harry Potter en Bluray est disponible à 72,99 euros au lieu de 121 euros : voir cette offre.

Retrouvez également les offres de chez Ecovacs Robotics et UGREEN au sein de ces articles dédiés.

N'hésitez pas si vous avez des questions sur les produits inclus à cet article.

The post Black Friday 2021 : sélection de bons plans high-tech ! first appeared on IT-Connect.

Piratage GoDaddy : 1,2 million de comptes WordPress dans la nature !

25 novembre 2021 à 14:10

L'hébergeur américain GoDaddy a été victime d'un piratage, ce qui a donné lieu à une fuite de données importante : 1,2 million de comptes sont dans la nature. Que s'est-il passé ?

GoDaddy a été victime d'une intrusion et les pirates ont pu accéder à l'environnement Managed WordPress. Désormais, les vannes sont fermées depuis le mercredi 17 novembre suite à la découverte de l'intrusion, mais les pirates ont eu accès à des informations pendant plusieurs semaines : depuis le 6 septembre 2021, pour être précis.

Que contient cette fuite de données GoDaddy ?

Ce piratage a donné lieu à une fuite de données importante avec 1,2 million de comptes, tandis que GoDaddy compte environ 20 millions de clients dans le monde.

Au sein de cette fuite de données, on retrouve les numéros de client et les adresses e-mail associées. On retrouve aussi le mot de passe d'origine du compte "admin" de WordPress, renseigné au moment du provisionnement de l'application sur l'hébergement Web GoDaddy, est présent dans les données récupérées par les pirates.

GoDaddy précise que l'on peut aussi retrouver les noms d'utilisateur et mots de passe pour l'accès en FTP et à la base de données, ainsi que la clé privée SSL pour certains clients.

Par précaution, GoDaddy a réinitialisé les mots de passe compromis et renouvelé les certificats concernés par cette fuite de données. Les clients ont reçu un e-mail pour être avertis de la situation (voir l'e-mail reçu).

L'origine de cette attaque serait un mot de passe compromis, qui a permis à l'attaquant (ou aux attaquants) d'accéder au système d'approvisionnement des sites WordPress de l'hébergeur GoDaddy.

Source

The post Piratage GoDaddy : 1,2 million de comptes WordPress dans la nature ! first appeared on IT-Connect.

Comment configurer le SNMP sur VMware ESXi ?

25 novembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer le SNMP sur un serveur VMware ESXi afin de pouvoir l'intégrer dans une solution de supervision comme Centreon, Zabbix, Eyes of Network, etc.

Grâce à l'activation du SNMP sur votre hôte ESXi, vous allez pouvoir surveiller sa charge CPU, l'occupation de ses datastores, la RAM consommée, etc... Ce qui me semble indispensable.

Pour ma part, j'utilise un serveur VMware ESXi 7.0 autonome, sur lequel je vais me connecter via l'interface web d'administration afin d'effectuer une partie de la configuration du SNMP. Pour le reste, ce sera en console via SSH.

II. Configuration du SNMP sur ESXi 7.0

La première étape consiste à démarrer le service "snmpd" sur l'hôte ESXi. Pour cela, cliquez sur "Host" à gauche puis "Manage". Ensuite, cliquez sur l'onglet "Services" et dans la liste recherchez "snmpd" : on constate que le service est actuellement arrêté.

Sélectionnez le service "snmpd" et cliquez sur le bouton "Start" pour démarrer le service. Désormais, il va s'arrêter et démarrer automatiquement avec l'hôte ESXi.

Démarrer le service SNMP sur VMware ESXi
Démarrer le service SNMP sur VMware ESXi

Une fois que cette opération est effectuée, connectez-vous à votre serveur ESXi via SSH car pour la suite, nous allons jouer de la ligne de commande via esxcli.

En exécutant la commande ci-dessous, vous pouvez afficher la configuration actuelle du SNMP. Ce sera l'occasion de voir que rien n'est configuré.

esxcli system snmp get

Maintenant, nous allons configurer le SNMP sur notre hôte ESXi. Partons du principe que l'on souhaite autoriser le serveur de supervision avec l'adresse IP "192.168.10.150" et déclarer la communauté SNMP "itconnect".

Pour cela, il faut déclarer une nouvelle "cible" sur notre serveur ESXi, voici la commande correspondante :

esxcli system snmp set [email protected]/itconnect

Au sein de la commande ci-dessus, la valeur "161" correspond au numéro de port par défaut du SNMP. Ensuite, nous devons activer le SNMP. Cette action est nécessaire en complément de l'activation du service en lui-même. Voici la commande correspondante :

esxcli system snmp set --enable true

En positionnant le paramètre "--enable" à "false", vous pouvez désactiver le SNMP. Vous pouvez tester la configuration SNMP en exécutant cette commande :

esxcli system snmp test

Vous devriez obtenir le message suivant :

Comments: There is 1 target configured, warmStart notification queued for transmit to configured destinations., test completed normally.

Si vous obtenez le message "Must first configure at least one v1|v2c|v3 trap target" c'est que la cible n'est pas bien déclarée.

Ensuite, il faut autoriser le SNMP au niveau du pare-feu de l'hyperviseur ESXi. Pour cela, il y a plusieurs solutions : ouvrir le flux peu importe l'hôte source, ouvrir le flux pour un sous-réseau complet ou ouvrir le flux seulement pour un serveur, en l'occurrence celui de supervision. Pour cette règle de pare-feu, on va pouvoir s'appuyer sur la règle prédéfinie "snmp" intégrée à ESXi.

Pour ouvrir le flux à tout le monde, utilisez la commande ci-dessous :

esxcli network firewall ruleset set --ruleset-id snmp --allowed-all true

A l'inverse, pour filtrer les accès, on va commencer par refuser les accès à tout le monde ("--allowed-all false") :

esxcli network firewall ruleset set --ruleset-id snmp --allowed-all false

Puis, on va déclarer l'hôte de supervision pour l'autoriser explicitement :

esxcli network firewall ruleset allowedip add --ruleset-id snmp --ip-address 192.168.10.150/32

Enfin, après avoir configuré la règle, il faut l'activer :

esxcli network firewall ruleset set --ruleset-id snmp --enabled true

Pour vérifier si votre serveur de supervision parvient à interroger votre hôte ESXi, vous pouvez utiliser l'outil Linux "snmpwalk", en ligne de commande. Avec ce que nous venons d'établir comme configuration, l'hôte ESXi est interrogeable avec le SNMP V2c.

Remarque : si vous préférez utiliser SNMPv3, je vous invite à lire la documentation VMware. Cette version est prise en charge depuis ESXi 5.1, alors c'est une possibilité.

Pour interroger l'hôte ESXi (192.168.10.149) en SNMP sur la communauté "itconnect" avec snmpwalk, cela donne :

snmpwalk -v 2c -c itconnect 192.168.10.149

En retour, vous devriez avoir de nombreuses lignes puisque l'on n’a pas spécifié d'emplacement au sein de la MIB. Si c'est bien le cas, c'est tout bon ! Votre hôte ESXi est prêt à être ajouté à votre solution de supervision...

The post Comment configurer le SNMP sur VMware ESXi ? first appeared on IT-Connect.

Windows 10 et KB5007253 : une nouvelle màj pour les problèmes d’impression

25 novembre 2021 à 07:37

Microsoft a publié une nouvelle mise à jour (KB5007253) qui doit résoudre plusieurs problèmes d'impression sur les imprimantes en réseau, notamment les erreurs 0x000006e4, 0x0000007c, et 0x00000709.

Alors que certains ont pu s'en sortir, d'autres cherchent toujours une solution aux problèmes d'impression en réseau. La solution pourrait bien être là, devant vous, prête à être installée sur vos postes de travail : la mise à jour KB5007253 pour Windows 10 !

Il s'agit d'une mise à jour cumulative optionnelle pour Windows 10 version 2004, Windows 10 20H2, Windows 10 21H1 et Windows 21H2. Il s'agit d'une mise à jour en preview, en complément des mises à jour de septembre 2021, et elle devrait être intégrée au Patch Tuesday de décembre 2021. En attendant, vous pouvez la tester dès maintenant afin de voir si elle résout les problèmes d'impression ! Je fais notamment référence aux erreurs au moment de l'impression sur une imprimante réseau ou au moment de l'ajout d'une imprimante réseau sur Windows.

La mise à jour KB5007253 est là pour corriger des bugs, et ne contient aucun correctif de sécurité. Au total, il y a 33 bugs corrigés par cette mise à jour ! Alors comme je le disais, elle corrige les bugs d'impression  0x000006e4, 0x0000007c, et 0x00000709. À part cela, elle corrige un problème où Excel plantait au moment de l'export en PDF sur certaines machines, mais aussi un problème d'affichage de certaines polices d'écriture.

Pour installer la mise à jour, il faut se rendre sur la machine au sein de Windows Update et effectuez une recherche. Elle apparaîtra ensuite comme une mise à jour optionnelle. Sinon, vous avez les options habituelles comme le Microsoft Catalog où tous les paquets sont disponibles : KB5007253.

Si vous testez cette mise à jour et qu'elle corrige enfin vos problèmes d'impression, n'hésitez pas à laisser un commentaire ! 🙂

The post Windows 10 et KB5007253 : une nouvelle màj pour les problèmes d’impression first appeared on IT-Connect.

Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ?

24 novembre 2021 à 10:00

I. Présentation

Dans cet article, je vais vous parler des bonnes pratiques de l'ANSSI en matière de politique de mot de passe, et nous verrons quelles sont les solutions techniques envisageables pour appliquer ces recommandations dans un environnement Active Directory.

Pour rédiger cet article, je me suis appuyé sur le guide publié par l'ANSSI le 08 octobre 2021 et qui s'appelle "Recommandations relatives à l'authentification multifacteur et aux mots de passe - v2.0".

II. Les bonnes pratiques de l'ANSSI sur les mots de passe

Avant de rentrer dans la technique, je souhaitais vous proposer une synthèse des bonnes pratiques de l'ANSSI au sujet des politiques de mot de passe. Ce guide aborde d'autres sujets, comme l'authentification multifacteurs, mais ici, on va se concentrer uniquement sur l'aspect "politique de mot de passe".

Tout d'abord, une politique de mot de passe définit les règles à respecter par un utilisateur lorsqu'il souhaite définir un nouveau mot de passe pour son compte. À cela s'ajoutent des règles de gestion des mots de passe, comme la limite du nombre d'essais avant verrouillage du compte, la gestion de l'historique des mots de passe, etc.

A. Longueur minimale du mot de passe, en nombre de caractères

Pour les mots de passe ne devant pas être mémorisés par l'utilisateur, l'ANSSI recommande une longueur minimale beaucoup plus importante : minimum 20 caractères. Le stockage de ce précieux sésame s'effectuera dans votre gestionnaire de mots de passe.

Pour les mots de passe devant être mémorisés par l'utilisateur, ce qui est le cas du mot de passe Active Directory puisqu'il permet à l'utilisateur d'accéder à sa session Windows, l'ANSSI met à disposition le tableau suivant à la page 28 de son guide :

Source : Guide de l'ANSSI

Le niveau a choisir dépend de la sensibilité du compte concerné. Pour un compte d'un utilisateur lambda, on se situera sur les deux premiers niveaux de sensibilité. Pour les utilisateurs qui ont accès à des ressources sensibles ou des données confidentielles, on définira à minima le niveau de sensibilité "Moyen à fort". Et enfin, pour les administrateurs, la sensibilité sera au maximum, et donc il est recommandé de mettre en place l'authentification multifacteurs en complément. Tout cela pour dire que la longueur minimale à imposer n'est pas une évidence et dépend du niveau de criticité du compte.

Il faut retenir aussi qu'il est bien souvent plus pertinent d'augmenter la longueur de son mot de passe plutôt que de chercher à conserver la longueur tout en le complexifiant. Cela va permettre d'avoir une meilleure entropie sur votre mot de passe, et donc, de le rendre plus robuste, plus fort (voir cet article).

B. Ne pas imposer de longueur maximale pour les mots de passe

Imposer une longueur minimale est une excellente idée, mais à l'inverse imposer une longueur maximale est une mauvaise idée, ou alors elle doit être très élevée (et là pour des questions de sécurité et contrainte vis-à-vis du logiciel en lui-même). Fixer une longueur maximale revient aussi à empêcher l'utilisation de passphrase, appelée aussi "phrase de passe".

C. La complexité des mots de passe

En imposant des contraintes sur les types de caractères qu'un utilisateur doit utiliser pour définir un mot de passe, on définit ce que l'on appelle la règle de complexité des mots de passe. Pour cela, on met à la disposition de l'utilisateur différents jeux de caractères : les chiffres, les lettres A à Z en minuscules, les lettres de A à Z en majuscules, les caractères spéciaux, etc. Plus il y a de jeux de caractères autorisés, plus il y a de combinaisons possibles.

Généralement, pour s'en sortir et respecter cette notion de complexité des mots de passe, les utilisateurs vont remplacer un "a" par un "@", un "o" par un "0", ou encore ajouter un "!" à la fin du mot de passe. C'est un grand classique. On le sait tous, et on a tous fait ça un jour pour inventer un mot de passe.

Dans le cas d'une tentative d'attaque en ligne, c'est-à-dire contre un système actif, cette méthode reste encore efficace à condition que le compte ciblé soit en mesure d'être verrouillé au bout de quelques tentatives en échec. Par contre, dans le cas d'une attaque hors ligne où il est possible d'effectuer du brute force sans limites, il y a de fortes chances pour que le mot de passe soit deviné. En effet, il existe des outils et des dictionnaires capables d'imaginer ces variantes, et donc, de trouver votre mot de passe.

D. Le délai d'expiration des mots de passe

Alors que pendant longtemps, on entendait qu'il était nécessaire d'imposer aux utilisateurs de changer leur mot de passe tous les 6 mois ou une fois par an, aujourd'hui ce n'est plus aussi évident. Quel est l'intérêt de modifier son mot de passe "Bonjour1" par "Bonjour2" ? Si le mot de passe précédent fuite, il y a des chances pour que le suivant soit deviné assez facilement.

L'ANSSI précise que pour les comptes non sensibles, c'est-à-dire les comptes des utilisateurs : "Si la politique de mots de passe exige des mots de passe robustes et que les systèmes permettent son implémentation, alors il est recommandé de ne pas imposer par défaut de délai d’expiration sur les mots de passe des comptes non sensibles comme les comptes utilisateur." [page 30 du guide].

Par contre, pour les comptes avec des privilèges, il est recommandé d'imposer un délai d'expiration compris entre 1 et 3 ans.

E. Contrôler la robustesse des mots de passe

Un mot de passe qui respecte la longueur minimale et les contraintes de complexité, est-il pour autant un mot de passe robuste ? En voilà une bonne question, et c'est un point très intéressant soulevé par l'ANSSI.

Ainsi, il est recommandé de :

  • Vérifier si votre mot de passe a déjà fait l'objet d'une fuite de données.

En fait, si vous définissez un mot de passe qui à première vue semble complexe, mais qu'il est présent dans un dictionnaire qui circule sur Internet ou qui est utilisé par certains outils, alors on peut douter de sa robustesse.

Dans le même esprit, lorsqu'il y a une fuite de données suite à un piratage, on se retrouve avec d'énormes bases de données de mots de passe constituées à partir ces fuites. Si le nouveau mot de passe que vous venez de choisir se situe dans une fuite de données, il vaut mieux le changer immédiatement, car la probabilité qu'il soit trouvé est plus élevée. Par exemple, le site Have I Been Pwned permet de rechercher un mot de passe dans une base regroupant les données d'un ensemble de fuites d'information.

  • Bloquer les suites de caractères ("12345", "azerty", "aaaa", "abcd", etc.)
  • Bloquer l'utilisation d'informations personnelles dans le mot de passe (nom, prénom, date de naissance)
  • Bloquer la réutilisation d'un mot de passe déjà utilisé lors des X derniers mots de passe (gestion de l'historique des mots de passe)

III. Quelles solutions techniques ?

En prenant connaissance des différentes recommandations de l'ANSSI en matière de politique de mot de passe, on se rend compte que d'un point de vue technique, cela ne va pas forcément être évident à mettre en œuvre. Enfin, c'est comme tout, il suffit d'avoir les bons outils alors cela tombe bien, car nous allons en parler de ces solutions potentielles.

Ici, j'évoque le cas des mots de passe stockés dans l'Active Directory et utilisé par les utilisateurs pour une connexion à Windows. En complément ce mot de passe peut être utilisé pour se connecter sur Microsoft 365, s'il y a un outil tel que Azure AD Connect en place au sein de votre infrastructure. Le stockage des mots de passe doit être effectué de façon sécurisée et il convient de ne pas activer le chiffrement réversible au niveau de votre Active Directory, même si c'est demandé par la solution logicielle que vous souhaitez utiliser.

A. Les politiques de mots de passe de l'Active Directory

La première solution qui nous vient à l'esprit, c'est la politique de mots de passe native à l'Active Directory. Il y a deux types de politiques de mots de passe : celle définie par GPO, et celle que l'on définira sous la forme d'objets appelée stratégie de mots de passe affinée.

Si l'on compare les recommandations de l'ANSSI avec les possibilités offertes nativement par l'Active Directory, on voit rapidement qu'on ne pourra pas appliquer toutes les recommandations.

Exemple d'une politique de mot de passe affinée
Exemple d'une politique de mot de passe affinée

Sur des choses basiques comme la longueur minimale ou l'âge maximal du mot de passe, ce sera gérable. Par contre, sur les recommandations plus spécifiques comme le blocage de certaines chaînes de caractères ou la vérification dans les fuites de données, ce ne sera pas possible avec la méthode native de l'Active Directory. Pour la complexité des mots de passe, il est bien possible d'imposer le fait que le mot de passe doive respecter une certaine complexité, mais cette complexité n'est pas ajustable. Dommage.

Voici un récapitulatif :

Même si cette méthode ne remplit pas toutes les cases vis-à-vis des recommandations de l'ANSSI, il vaut mieux mettre en place une stratégie de mot de passe affinée plutôt que de ne rien faire.

B. La solution Password protection for Windows Server Active Directory

Azure AD intègre une fonctionnalité baptisée "Password protection for Windows Server Active Directory". Cette fonctionnalité s'applique aux utilisateurs Cloud, mais aussi aux utilisateurs locaux de l'Active Directory lorsqu'il y a une synchronisation avec Azure AD Connect.

Avec Azure AD Password Protection, vous allez renforcer la sécurité de vos mots de passe locaux puisque vous allez pouvoir bloquer certains termes (et leurs variantes) à partir d'un dictionnaire personnalisé, limité à 1000 entrées. Par exemple, avec l'entrée "it-connect", les mots de passe suivants sont bloqués : "it-connect123", "it-c0nnect14!" ou encore "1t-c0nnect14!". Certaines substitutions ne sont pas prises en compte, car si l'on bloque "securite", on peut définir "S€curite14!" comme mot de passe.

En complément, Microsoft dispose de sa propre liste globale de mots de passe interdits (car trop faibles). J'ignore combien de mots de passe contient cette liste (ce n'est pas précisé) mais certains mots de passe présents dans des fuites de données semblent fonctionner. En tout cas, un mot de passe basique comme "Password123!" est bien bloqué alors qu'il pourrait matcher avec la politique de sécurité. Idem pour "Azerty123!" qui est bien bloqué, par contre "Motdepasse123!" et "123soleil" sont autorisés. J'ai tendance à penser que l'outil de Microsoft analyse surtout les mots anglais et qu'il ne doit pas forcément se référer à une liste externe comme I Have Been Pwned.

En cumulant une politique de mot de passe affinée et la protection Password Protection en complément, on obtient la synthèse suivante :

Cette fonctionnalité est incluse dans certaines licences et vous devez couvrir vos utilisateurs. L'installation est assez simple et s'appuie sur la mise en œuvre d'agents sur vos serveurs locaux. L'outil en tant que tel est peu configurable pour le moment, ce qui est dommage.

Si vous souhaitez en savoir plus sur Password Protection, je vous invite à lire ce tutoriel :

C. La solution Specops Password Policy

En termes de solution payante et proposée par un éditeur tiers, je souhaitais inclure Specops Password Policy (SPP) à cet article. Pourquoi ? Pour une raison simple : je connais ce logiciel et je sais qu'il répond à la majorité des recommandations de l'ANSSI, pour ne pas dire toutes.

Ce logiciel va beaucoup plus loin que la solution native intégrée à l'Active Directory, notamment pour gérer la complexité des mots de passe. En fait, vous pouvez créer des règles très précises pour imposer l'utilisation à minima de X majuscules, X minuscules, X chiffres, etc...

Concernant le blocage des suites de caractères, c'est géré par SPP, car il y a une option pour bloquer les caractères identiques consécutifs, et il est possible de créer des expressions régulières pour empêcher certains patterns.

Pour bloquer la présence des informations personnelles dans le mot de passe (nom, prénom, date de naissance), c'est un peu plus complexe. L'outil intègre une option pour empêcher l'utilisation de l'identifiant dans le mot de passe, ce qui dans de nombreux cas, devrait permettre de bloquer le nom et le prénom puisque c'est souvent utilisé pour construire le login Active Directory de l'utilisateur. Pour la date de naissance, cette option n'est pas prise en charge par l'outil proposé par Specops. Pour cela, il faudrait pouvoir se référer à un attribut de l'Active Directory, pour chaque utilisateur. Néanmoins, la solution SPP intègre la gestion de dictionnaires personnalisés, ce qui vous permet d'importer des dictionnaires existants, ou de créer votre propre dictionnaire : vous pouvez créer un dictionnaire avec toutes les dates de naissance de vos salariés (cela signifie aussi qu'un utilisateur X ne pourra pas utiliser dans son mot de passe la date de naissance d'un utilisateur Y, car le dictionnaire est commun à tous les utilisateurs ciblés par la politique).

Pour ma part, je vous recommande de créer un dictionnaire avec le nom de votre entreprise, car c'est souvent réutilisé dans les mots de passe. Enfin, à partir des mots du dictionnaire l'outil bloquera aussi les variantes (exemple : le mot "itconnect" implique que "itc0nnect" avec un zéro sera bloqué aussi), en prenant compte de nombreuses méthodes de substitution (plus que la solution Microsoft présentée ci-dessus).

Aperçu de Specops Password Policy
Aperçu de Specops Password Policy

La solution de l'éditeur Specops est capable de vérifier si votre mot de passe a été compromis (fuite de données, collecté via les honey pots SpecOps, etc.), en s'appuyant à la fois sur une base locale et sur une base en ligne au travers d'une API. Cette base en ligne est actualisée quotidiennement et elle contient 2,5 milliards de mots de passe. Si c'est le cas, l'utilisateur sera notifié par e-mail/SMS et invité à changer son mot de passe de nouveau. Sur ce point, on est vraiment conforme vis-à-vis des préconisations de l'ANSSI.

Voici un récapitulatif :

Pour découvrir plus en détail ce logiciel, je vous invite à lire mon tutoriel complet au sujet de Specops Password Policy, dans lequel vous pouvez retrouver également une vidéo de démonstration (réalisée par mes soins).

IV. Conclusion

Suite à la lecture de cet article, vous avez connaissance des recommandations de l'ANSSI en matière de politique de mot de passe, et en plus, vous avez quelques pistes à explorer afin de mettre en pratique ces recommandations sur un annuaire Active Directory. En complément de la mise en œuvre de cette politique de mot de passe, il ne faudra pas oublier de configurer le verrouillage des comptes afin de bloquer les attaques Brute Force.

Si vous connaissez d'autres solutions susceptibles de mettre en place une politique de mot de passe qui respecte les best practices de l'ANSSI, n'hésitez pas à poster un commentaire.

The post Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ? first appeared on IT-Connect.

Attaque des imprimantes « PrintJack » : trois risques potentiels

24 novembre 2021 à 08:23

Des chercheurs en sécurité italiens ont publié un rapport nommé "Vous faites trop confiance à votre imprimante" et qui met en avant les problèmes de sécurité liés aux imprimantes. Un ensemble de trois attaques nommé "PrintJack" est associé à cette analyse.

Les chercheurs en sécurité expliquent que les imprimantes exposées sur Internet sont "recrutées" dans le cadre d'attaque DDoS, mais elles peuvent aussi être victimes d'impression en boucle, ou encore permettre la fuite de données via la capture de trames sur le réseau.

Pour le service informatique, les imprimantes c'est un peu l'éternel boulet, elles sont partout, car elles sont encore indispensables, et pourtant même les modèles récents seraient encore à la traîne en matière de cybersécurité et confidentialité des données. Le rapport met en avant un non-respect du RGPD sur certains modèles à cause des fuites de données potentielles, et une non-conformité à la norme ISO/IEC 27005:2018, correspondante à la gestion des risques liés à la sécurité.

Giampaolo Bella et Pietro Biondi expliquent qu'ils ont pu s'appuyer sur le moteur de recherche Shodan pour récupérer une liste des adresses IP publiques qui répondent sur le port TCP/9100. Au niveau européen, ce sont plusieurs dizaines de milliers d'appareils qui ont répondu présents... Avec en tête l'Allemagne avec 12 891 imprimantes, tandis que la France arrive quatrième de ce classement avec 6 634 imprimantes exposées sur Internet, uniquement sur le port TCP/9100.

Attaque n°1 : DDoS

En exploitant des vulnérabilités connues, comme la faille CVE-2014-3741, notamment pour effectuer une exécution de code à distance, les attaquants parviennent à prendre le contrôle des imprimantes. Ensuite, ces imprimantes sont exploitées dans le cadre d'attaques DDoS pour cibler un tiers en fonction des plans des attaquants.

Les chercheurs expliquent qu'il y a une douzaine de vulnérabilités disponible dans la base du MITRE et qui représentent des risques de sécurité sérieux. Quand on sait qu'une imprimante en production n'est que très rarement mise à jour au niveau du firmware, l'appareil est d'autant plus vulnérable. Compte tenu de la quantité d'imprimantes exposées sur Internet, on comprend que les hackers s'intéressent fortement à ces équipements.

Attaque n°2 : les impressions en boucle

L'attaque par saturation est la seconde évoquée dans ce rapport et elle est réalisée en envoyant des tâches d'impression en boucle jusqu'à ce que l'imprimante n'ait plus de papier. L'objectif étant de purger tous les bacs de l'imprimante. En soi, cette attaque n'est pas dramatique, mais elle va perturber la production, en plus de consommer inutilement de l'encre et du papier.

D'après les chercheurs en sécurité, cette attaque est réalisable facilement à l'aide d'un script Python qui crée une boucle d'impression qui se répète mille fois. Ensuite, l'imprimante devient folle et imprime sans s'arrêter.

Attaque n°3 : les fuites de données

En interceptant les données qui transitent entre un poste ou un serveur d'impression et une imprimante, notamment dans le cadre d'une attaque man in the middle, l'attaquant peut récupérer des données en clair.

Dans le rapport, un exemple est donné où les chercheurs ont pu se positionner entre l'émetteur de l'impression et l'imprimante avec le logiciel Ettercap, et ensuite ils ont pu récupérer le contenu d'un fichier PDF en capturant le trafic réseau avec WireShark.

Cette troisième attaque peut s'avérer particulièrement dangereuse pour l'entreprise cible, mais l'attaquant doit s'installer sur le réseau, bien au-delà de l'imprimante en elle-même.

Retrouvez le rapport sur cette page : You Overtrust Your Printer

Avec les imprimantes de plus en plus connectées à Internet, voire même exposées sur Internet dans certains cas, ces petits appareils inoffensifs en apparence peuvent représenter un véritable risque en matière de sécurité.

Source

The post Attaque des imprimantes « PrintJack » : trois risques potentiels first appeared on IT-Connect.

Le mode Super Duper Secure disponible dans Microsoft Edge

24 novembre 2021 à 07:30

En toute discrétion, Microsoft a ajouté le mode "Super Duper Secure" à son navigateur Edge, dans le but de renforcer la sécurité, sans pour autant impacter significativement les performances.

Annoncé en août dernier, le mode "Super Duper Secure" a fait son apparition dans le canal Stable de Microsoft Edge. Pour en bénéficier, il faut utiliser au minimum la version 96.0.1054.29 du navigateur. À quoi correspond ce nouveau mode ? Concrètement, lorsque ce mode est actif dans Edge, le compilateur JavaScript JIT (Just-In-Time) v8 sera désactivé, donc la surface d'attaque est réduite. JIT permet la compilation du code à la volée, ce qui permet notamment d'améliorer les performances.

D'après Johnathan Norman, le responsable de l'équipe de recherche de Microsoft Edge, près de la moitié des vulnérabilités associées à JavaScript V8 sont liées au processus JIT. Un processus qu'il juge très complexe et difficile à appréhender, ce qui explique pourquoi ce mode est en test depuis plusieurs mois.

Au-delà de désactiver le compilateur JavaScript JIT, l'activation de ce mode a pour effet d'activer la technologie CET (Control-flow Enforcement Technology) d'Intel qui est une protection contre les exploits. Par la suite, la prise en charge de l'ACG (Arbitrary Code Guard) sera intégrée au mode Super Duper Secure. En complément, l'équipe de développement prévoit de déployer ce nouveau mode sur Android et macOS.

Pour activer ce mode dans Microsoft Edge, vous devez accéder aux paramètres. Ensuite, à gauche cliquez sur "Confidentialité, recherche et services" puis descendez dans la page jusqu'à trouver une option nommée "Activer les atténuations de sécurité pour une expérience de navigateur plus sûre". Activez cette option et choisissez le mode "Usage normal" dans un premier temps (voir descriptif ci-dessous).

Edge - Activer le mode Super Duper Secure
Edge - Activer le mode Super Duper Secure

Reste à voir l'impact sur les performances, il pourrait être plus important d'un site à un autre. C'est surement pour cette raison qu'avec le mode "Usage normal", les protections sont appliquées sur les sites que vous ne visitez pas fréquemment.

Êtes-vous prêt à subir une baisse des performances en l'échange d'une meilleure protection ? Dilemme. 😉

Source

The post Le mode Super Duper Secure disponible dans Microsoft Edge first appeared on IT-Connect.

Comment bien choisir son micro-casque pour le gaming ?

23 novembre 2021 à 09:45

Peut-être que vous allez profiter du Black Friday pour acheter un nouveau micro-casque pour le gaming ? Ou, peut-être que vous souhaitez que le Père Noël vous en apporte un nouveau ? Quoi qu'il en soit, il faut bien choisir votre nouveau casque Gaming, en fonction de vos besoins. Je vous dévoile quelques conseils dans cet article, sans faire la promotion d'une marque plus que d'une autre.

Un casque micro pour jouer ne doit pas être choisi au hasard et il faut tenir compte de plusieurs caractéristiques au moment de choisir. Déjà, il faut savoir qu'il y a tous les prix puisque l'on peut trouver un casque à une trentaine d'euros, et d'autres très haut de gamme à plus de 300 euros. Forcément, la qualité audio et les fonctionnalités ne seront pas les mêmes.

Pour déterminer vos besoins, vous devez déjà vous poser plusieurs questions, notamment :

  • Quel est mon budget ?
  • Est-ce que je souhaite un casque filaire ou sans-fil ?
  • Est-ce que je souhaite un casque avec de l'audio stéréo ou Surround ?
  • Quelle est la durée d'une session de jeu ?
  • Etc...

A. Le confort du casque

Si vous souhaitez jouer une heure par jour, vous ne sentirez pas forcément la différence entre un casque et un autre, en termes de confort et d'ergonomie. Par contre, le confort du casque est très important si vous passez plusieurs heures devant votre PC ou votre console de jeux à jouer à vos jeux favoris.

Il n'y a rien de plus désagréable qu'un casque qui donne la sensation d'écraser les oreilles, ou tout simplement qui donne mal à la tête... Sur le papier déjà, certains casques seront plus confortables que d'autres.

Je vous recommande d'aller en magasin afin d'essayer plusieurs casques, car à mon avis d'une personne à l'autre, en fonction de sa morphologie, le ressenti sera différent.

B. Un casque avec ou sans-fil ?

Dans la catégorie des casques filaires, vous pouvez rencontrer plusieurs connectiques : du Jack ou de l'USB. Au niveau du sans-fil, ce sera une connexion Bluetooth dans une très grande majorité des cas, même s'il existe des modèles Wi-Fi.

En fait, un casque filaire permettra d'obtenir une connexion plus stable et plus performante, ce qui permettra d'avoir un meilleur rendu sonore. C'est pour cette raison qu'il existe des casques sans-fil Wi-Fi afin d'essayer de rivaliser avec la connectivité filaire. Sachez tout de même qu'en sans-fil, il n'y a pas de latence c'est-à-dire qu'il n'y a pas de décalage entre le son et l'image. Rassurez-vous.

Remarque : si vous optez pour le sans-fil et que vous jouez sur un ordinateur fixe, pensez à acheter un dongle Bluetooth si votre PC n'en est pas déjà équipé.

Bien choisir son micro-casque gaming

C. Stéréo VS Surround

Si vous aimez le son très précis et que vous jouez à certains styles de jeu comme les FPS, c'est préférable d'avoir un casque Gaming avec un son Surround 5.1 ou Surround 7.1. De cette façon, vous savez si le bruit que vous entendez provient de la gauche, de la droite, ou peut-être même de derrière, ce qui a tout son intérêt dans ce type de jeu !

Par contre, si c'est pour jouer à Fifa ou à un jeu de course, c'est très loin d'être indispensable et vous pouvez vous satisfaire d'un casque Stéréo 2.0. Avec le stéréo 2.0, il y a deux canaux : gauche et droite. Vous l'aurez compris, avec un casque Surround, il y a beaucoup plus de canaux, ce qui permet d'être plus précis et c'est intéressant aussi pour les films (sur le même principe qu'un home cinema).

D. Quel budget faut-il prévoir ?

Pour avoir un casque de bonne qualité, qui répond à un certain nombre de critères, comptez entre 75 et 100 euros. Si vous souhaitez avoir du sans-fil et du Surround 7.1 dans votre casque, le prix va s'envoler, mais à partir d'une centaine d'euros, vous pouvez avoir un casque qui aura l'un ou l'autre. Malheureusement, il ne faut pas rêver et espérer obtenir un casque Surround 7.1 à 50 euros. Vos envies sont là, mais votre budget vous aidera également à choisir...

Maintenant, à vous d'effectuer vos recherches en tenant compte de ces conseils et j'espère que votre futur casque vous permettra d'améliorer votre expérience en jeu, car tout bon gamer sait que l'audio est super important ! Si vous avez déjà un casque et que vous souhaitez partager votre avis dessus, n'hésitez pas à laisser un commentaire sur cet article.

The post Comment bien choisir son micro-casque pour le gaming ? first appeared on IT-Connect.

Ugreen GaN X 100W : le chargeur secteur ultime pour recharger vos appareils !

23 novembre 2021 à 09:30

I. Présentation

Dans ce test, je vais vous donner mon avis sur le chargeur USB 100 Watts de chez Ugreen. Il est équipé de 3 ports USB-C et d'un port USB-A.

Grâce à sa puissance de 100 Watts, vous pouvez envisager d'alimenter et de recharger différents types d'appareils. Aussi bien des smartphones, des tablettes (Samsung, iPad, etc.), votre console Nintendo Switch, votre paire d'écouteurs, mais aussi des ordinateurs comme la Surface Pro, le dernier MacBook Air ou les derniers MacBook Pro avec la puce M1 Pro.

Pour concevoir un chargeur avec une puissance de 100 Watts, avec 4 ports, tout en proposant un appareil compact, Ugreen a utilisé les circuits intégrés au GaN. Il a fait ses preuves depuis quelques années et on la retrouve sur les meilleurs chargeurs du marché. Le GaN va permettre d'avoir des composants plus petits, mais aussi d'apporter différentes protections (surchauffe, court-circuit, surintensités et survoltage). Pour ce chargeur, Ugreen s'est associé à la société Navitas Semiconductor.

Note : le GaN, c'est-à-dire le nitrure de gallium, a été utilisé par Apple pour le chargeur de son nouveau MacBook Pro 16. À mon sens, cela monte que le GaN a fait ses preuves désormais et qu'Apple n'hésite pas à miser sur lui !

Ce chargeur Ugreen est vendu sur Amazon au prix de 75,99 euros. Il existe une autre déclinaison vendue quelques euros de moins et qui intègre seulement 2 ports USB-C pour une puissance total de 100 Watts. D'ailleurs, les chargeurs USB-C de 100 Watts ne sont pas très nombreux sur le marché.

II. Découverte du chargeur Ugreen GaN X 100W

Le package est assez simple et contient seulement le chargeur et un guide rapide. Il n'y a pas de câble fournit avec le chargeur, donc il faudra les câbles fournit avec vos appareils ou en acheter des nouveaux.

Le boîtier du chargeur est entièrement en plastique. Les deux côtés sont gris anthracite, l'un contient la mention "100W" et l'autre "Ugreen". Les autres faces et le connecteur sont noirs. Il existe un seul coloris pour ce chargeur, et je trouve qu'il est élégant. Les angles sont arrondis et il y a un effet un peu bombé sur le dessus et le dessous, on voit que les designers de chez Ugreen ont cherché à soigner le design du chargeur.

Découvrez plus en détail le chargeur en regardant les photos ci-dessous. On peut constater que chaque port est nommé, en l'occurrence avec un numéro sur les ports USB-C afin de les différencier.

D'un point de vue de la taille, ce chargeur est relativement compact et ne pèse que 235 grammes. D'ailleurs, il est un peu plus compact que le chargeur officiel d'Apple en 96 Watts, et il est plus léger puisque celui de la firme à la pomme pèse 299 grammes.

En dessous du chargeur, on retrouve le détail de chaque port. Les écritures sont discrètes, mais c'est pratique puisque l'on a pas besoin de chercher sur le Net pour avoir l'information.

III. Performances du chargeur

Sur le papier, ce chargeur me semble alléchant, mais dans la pratique est-il aussi efficace et pratique qu'il en a l'air ?

J'ai commencé par recharger des appareils un par un pour évaluer le chargeur UGREEN. J'ai rechargé mon OnePlus 9 Pro qui est compatible avec la charge rapide WARP, qui est proposée seulement sur le chargeur officiel OnePlus. Forcément, les résultats avec le chargeur UGREEN sont moins bons : le smartphone met 1h15 à se recharger complètement (5% à 100%), ce qui est plus ou moins le double vis-à-vis du chargeur officiel même si ça reste correct.

Concernant mon PC, une Surface Pro 7, la charge avec le chargeur UGREEN s'avère plus rapide. Avec le chargeur d'origine en 65 Watts, il faut environ 2 heures pour une charge complète, tandis qu'avec le chargeur UGREEN, la charge complète nécessite 1h30. Plutôt intéressant !

Ces valeurs de référence seront toujours atteignables s'il y a plusieurs appareils connectés, mais cela dépend de la puissance nécessaire par chacun des appareils, mais aussi des ports utilisés. J'ai pu recharger mon smartphone, ma tablette et mon PC en même temps, avec le même chargeur et ça c'est appréciable. Le temps de chargement est un peu plus long dans ce cas, environ 10 minutes de plus par appareil.

Pour bénéficier de 100 Watts en sortie, il faudra utiliser un seul port à la fois, et soit l'USB-C 1 ou l'USB-C 2. Si l'on utilise deux ports en même temps, on peut avoir 65 Watts sur l'un et 30 Watts sur l'autre. Cela reste suffisant pour recharger un ordinateur portable et un smartphone (ou un autre appareil), en fonction des besoins.

Pour bien comprendre et s'y retrouver, il vaut mieux se référer au schéma officiel proposé par UGREEN :

Pendant toutes ces phases de chargement, j'ai pu constater également que le chargeur ne chauffait pas plus que ça ! Alors, oui il est tiède, mais c'est normal, et en tout cas il ne devient pas bouillant. Mon petit doigt me dit qu'au-delà des composants électroniques choisis, le boîtier en plastique du chargeur doit jouer également !

IV. Conclusion

Ce chargeur Ugreen est sympa visuellement et en plus il est très pratique, car il fonctionne avec la majorité des appareils du marché, donc il correspondra à une grande majorité des besoins. Forcément, cela va plaire à de nombreuses personnes : un seul chargeur à emmener pour recharger tout ses appareils. Le top. Si vous êtes prêt à avoir des temps de chargement un peu plus long sur vos appareils, en échange de pouvoir les recharger en même temps sur le même chargeur, alors ce chargeur UGREEN va vous plaire !

Avec 4 ports, on peut imaginer recharger son laptop, son smartphone, sa tablette et sa paire d'écouteurs ! Même lorsque les 4 ports sont utilisés, vous disposez toujours de 45 Watts sur le port USB-C1, ce qui peut suffire selon les appareils.

Son prix vous le connaissez déjà : 75,99 euros. A surveiller en cette semaine de Black Friday ! 😉

The post Ugreen GaN X 100W : le chargeur secteur ultime pour recharger vos appareils ! first appeared on IT-Connect.

Active Directory : configuration d’Azure AD Password Protection on-premise

23 novembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer Azure AD Password Protection for Windows Server Active Directory, c'est-à-dire sur une infrastructure on-premise.

Cette fonctionnalité va permettre de renforcer la sécurité des mots de passe au sein de votre annuaire Active Directory, pour aller un peu plus loin que la politique de mot de passe native. Azure AD Password Protection va détecter et bloquer les mots de passe faibles ainsi que leurs variantes, mais aussi des mots de passe compromis centralisés dans une base par les équipes d'Azure. En complément, vous pouvez décider de bloquer certains termes propres à votre entreprise, en créant une sorte de dictionnaire personnalisé qui contiendra une liste de mots à bloquer.

Note : Microsoft ne donne pas d'informations sur le nombre de mots de passe contenus dans la base globale ni les sources exactes, si ce n'est qu'elle est constituée à partir des données de télémétrie d'Azure AD.

Par exemple, le mot de passe "Password123!" pourrait être accepté sur votre domaine Active Directory, car il contient 12 caractères et 4 types de caractères différents. Sur le papier, il a tout du bon mot de passe, sauf que vous le savez, c'est un mot de passe très facile à deviner et il vaut mieux ne pas l'utiliser... Grâce à Azure AD Password Protection on-premise, il va être bloqué !

Par ailleurs, si je précise le terme "it-connect" dans le dictionnaire personnalisé, le mot de passe "it-c0nnect!!!" ("o" remplacé par "0") sera bloqué, tout comme "IT-conn3ct123!". Par contre, "itconnect123!" fonctionnera. Néanmoins, certaines substitutions ne sont pas prises en compte, car si l'on bloque "securite", on peut définir "S€curite14!" comme mot de passe.

Si vous avez bien compris l'intérêt de cette solution et que ça vous plaît, vous n'avez plus qu'à lire la suite de cet article. 🙂

II. Prérequis et téléchargements

Avant de débuter l'installation et la configuration de la solution, je vous invite à prendre connaissance des prérequis ci-dessous.

A. Prérequis n°1 : les licences

Pour utiliser cette fonctionnalité sur votre infrastructure on-premise, vos utilisateurs doivent être couverts par une licence Azure AD Premium P1 ou Azure AD Premium P2. Tout en sachant que la licence P1 est intégrée aux licences EMS E3, Microsoft 365 E3, et Microsoft 365 Business Premium.

Microsoft précise que les utilisateurs de l'AD local qui ne sont pas synchronisés bénéficient également de la protection, même sans la licence, par l'intermédiaire des autres utilisateurs sous licence.

Remarque : cette option n'est pas activable par utilisateur, ce qui signifie que la protection sera appliquée à l'ensemble de vos utilisateurs.

B. Prérequis n°2 : les serveurs

Pour mettre en oeuvre Azure AD Password Protection sur votre infrastructure on-premise, il est nécessaire d'installer deux agents :

  • Azure AD Password Protection Proxy :
    • A installer sur un serveur qui n'est pas contrôleur de domaine (DC ou RODC) et minimum sous Windows Server 2012
    • Ce module est installable sur le même serveur qu'Azure AD Connect sans problème
  • Azure AD Password Protection DC :
    • Cet agent doit être installé sur l'ensemble des contrôleurs de domaine pour que tous les DC soient capables de contrôler les mots de passe via le service Azure. Pour tester la solution, vous pouvez installer l'agent sur un seul DC.
    • Ne pas installer cet agent sur les serveurs RODC

En complément, vous devez disposer d'un serveur Azure AD Connect en place puisque c'est nécessaire pour synchroniser les utilisateurs de l'ADDS local vers Azure AD (Tutoriel - Installation d'Azure AD Connect).

Pour que les utilisateurs soient en mesure de réinitialiser leur mot de passe en autonomie et depuis Office 365, pensez à activer le portail de réinitialisation libre-service d'Office 365.

Il est à noter également que votre domaine Active Directory doit utiliser la réplication DFSR, et non FRS (s'il s'agit d'un domaine Active Directory migré depuis une ancienne version de Windows Server, c'est possible. Je vous invite à lire ce tutoriel si besoin : Passer SYSVOL de FRS à DFSR.

Microsoft par du principe qu'un contrôleur de domaine ne doit pas accéder directement à Internet. C'est pour cette raison que cette solution, comme d'autres, s'appuie sur un agent "proxy" qui doit être installé sur un autre serveur connecté à Internet.

C. Téléchargements

Afin de télécharger les deux paquets d'installation des agents cités précédemment, utilisez ce lien officiel :

D. Ressources

En complément de ce tutoriel, et puisque l'outil Azure AD Password Protection est assez vaste, je vous invite à consulter les liens ci-dessous pour obtenir des réponses à vos éventuelles interrogations :

III. Configuration d'Azure AD Password Protection

Avant de passer à l'installation des agents, nous allons regarder la configuration du côté d'Azure. Connectez-vous sur le portail Azure et accédez à la section "Méthodes d'authentification". Ensuite, sur la gauche cliquez sur "Protection par mot de passe".

Au sein de cette section, on va s'intéresser à 3 options particulièrement :

  • Mots de passe interdits personnalisés - Appliquer la liste personnalisée : en cliquant sur "Oui", cela vous donne la possibilité d'indiquer des termes à bloquer, ce qui est l'occasion de spécifier le nom de votre entreprise pour empêcher qu'il soit utilisé dans des mots de passe. En indiquant un terme, le système générera automatiquement des variantes (par exemple, remplacer le "a" par "@") pour les bloquer aussi.
  • Activer la protection par mot de passe sur Windows Server Active Directory : veillez à ce que cette option soit sur "Oui", car cela permet d'activer la fonction que l'on souhaite mettre en place.
  • Mode : choisissez le mode "Audit" dans un premier temps pour tester la solution, cela va générer des logs mais les mots de passe interdits ne seront pas bloqués. À la fin du déploiement, il faudra passer le mode sur "Appliqué".

Cliquez sur le bouton "Enregistrer" une fois que c'est fait, et passez à la suite.

IV. Azure AD Password Protection : installation du rôle proxy

Commençons par installer le rôle proxy sur notre serveur. Pour ma part, c'est sur un serveur sous Windows Server 2022 en mode "Core", mais bien sûr vous pouvez l'installer sur un serveur avec une interface graphique.

Exécutez l'installeur "AzureADPasswordProtectionProxySetup.msi" et suivez l'assistant : quelques clics vont suffire.

Suite à cette installation, un nouveau service nommé "Azure AD Password Protection Proxy" sera ajouté sur votre serveur. Grâce à la commande ci-dessous, vous pouvez vérifier qu'il est bien cours d'exécution (running).

Get-Service AzureADPasswordProtectionProxy | fl

Désormais, il faut connecter ce nouveau service avec notre Azure AD. pour cela, on va utiliser le cmdlet "Register-AzureADPasswordProtectionProxy" et spécifier un compte administrateur global. Ce qui donne :

Register-AzureADPasswordProtectionProxy -AccountUpn "[email protected]"

Cette commande va permettre de vous authentifier et d'interconnecter les deux éléments. Si vous utilisez un serveur en mode "Core", il faudra réaliser l'authentification avec un code périphérique (code à valider depuis un navigateur avec une autre machine), en ajoutant l'option "-AuthenticateUsingDeviceCode" comme ceci :

Register-AzureADPasswordProtectionProxy -AccountUpn "[email protected]" -AuthenticateUsingDeviceCode

Ensuite, nous devons enregistrer la forêt Active Directory avec Azure AD. Pour cette action, il y a un cmdlet dédié également et qui se nomme "Register-AzureADPasswordProtectionForest". Il suffit de l'utiliser comme le cmdlet précédent, ce qui donne :

Register-AzureADPasswordProtectionForest -AccountUpn "[email protected]"

Là encore, si vous avez un serveur mode "Core", il faudra spécifier le paramètre additionnel, comme ceci :

Register-AzureADPasswordProtectionForest -AccountUpn "[email protected]" -AuthenticateUsingDeviceCode

Notre serveur "proxy" est prêt, nous pouvons passer à la suite.

V. Azure AD Password Protection : installation de l'agent AD

Cette fois-ci, sur votre contrôleur de domaine, exécutez l'installeur "AzureADPasswordProtectionDCAgentSetup.msi" pour installer le deuxième agent. L'installation n'est pas plus compliquée, quelques clics et le tour est joué.

À la fin c'est un peu différent : cliquez sur "Yes" afin de redémarrer le serveur dès maintenant. Cette étape est indispensable, car les DLL de filtrage de mots de passe ne sont chargées qu'au démarrage.

Puisque vous allez devoir installer l'agent sur l'ensemble de vos contrôleurs de domaine et que Microsoft fournit un package MSI, vous pouvez le déployer par GPO (Tutoriel - Déployer un logiciel au format MSI par GPO). Voici également la ligne de commande pour l'installer en mode silencieux :

msiexec.exe /i AzureADPasswordProtectionDCAgentSetup.msi /quiet /qn /norestart

Quand votre serveur aura redémarré, je vous invite à saisir la commande ci-dessous pour voir que le nom de votre tenant apparaît bien au niveau de la propriété "AzureTenant".

Get-AzureADPasswordProtectionDCAgent

Au sein du partage SYSVOL de votre domaine, vous pouvez retrouver un dossier nommé "AzureADPasswordProtection". A l'intérieur, l'agent va stocker les informations liées à votre politique de mot de passe Azure AD. Ces informations sont synchronisées à intervalle régulier et répliquées sur tous les contrôleurs de domaine puisqu'elles sont stockées dans SYSVOL.

La solution Azure AD Password Protection on-premise est désormais en place, nous n'avons plus qu'à tester.

VI. Tester la solution Azure AD Password Protection on-premise

Sur votre contrôleur de domaine où l'agent est installé, je vous invite à saisir la commande suivante :

Get-AzureADPasswordProtectionSummaryReport

Elle va vous permettre d'obtenir des statistiques liées à l'activité d'Azure AD Password Protection : nombre de mots de passe rejetés, nombre de changements de mots de passe validés, etc... Au début, tout est à zéro, et puis en effectuant quelques essais, vous verrez que c'est bien incrémenté.

Vous pouvez aussi cibler un contrôleur de domaine spécifique :

Get-AzureADPasswordProtectionSummaryReport -DomainController SRV-ADDS-01

Voici un exemple :

Pour tester, c'est facile, il suffit de changer le mot de passe d'un utilisateur, que ce soit à partir de la console "Utilisateurs et ordinateurs Active Directory", du "Centre d'administration Active Directory", ou via un poste de travail directement. Ensuite, testez avec un mot de passe qui matche avec votre dictionnaire personnalisé ou qui devrait être bloqué car trop faible (malgré qu'il respecte votre politique de mot de passe).

Puisque nous sommes en mode audit, même si le mot de passe n'est pas conforme, l'utilisateur pourra le définir. Dans l'observateur d'événements, il y aura des logs pour tout tracer : changement accepté ou non. Ces journaux sont situés dans :

Journaux des applications et des services > Microsoft > AzureADPasswordProtection > DCAgent > Admin

Voici un exemple :

Log Azure AD Password Protection on-premise
Log Azure AD Password Protection on-premise

Il y a différents numéros ID d'événements, dont :

  • 10015 : mot de passe validé, car il est conforme
  • 10025 : mot de passe non conforme à la politique Azure (exemple : présent dans votre dictionnaire personnalisé)
  • 30006 : état de la politique synchronisée, notamment le mode (audit ou appliqué)
  • 30009 : mot de passe rejeté, car il est présent dans la liste globale des mots de passe Azure
  • Tous les ID sont visibles sur cette page : Microsoft Docs

Si vos tests sont concluants et que vous souhaitez passer en production cette fonctionnalité de sécurité, il ne vous reste plus qu'à passer sur le mode "Appliqué" sur l'interface d'Azure.

The post Active Directory : configuration d’Azure AD Password Protection on-premise first appeared on IT-Connect.

NAS : Western Digital va arrêter la prise en charge de My Cloud OS 3

23 novembre 2021 à 08:03

Western Digital a pris la décision d'arrêter la prise en charge des anciennes versions de My Cloud OS, son système pour ses NAS Western Digital My Cloud, dont la version My Cloud OS 3.

Un peu plus tôt dans l'année, les NAS "My Book Live" de chez Western Digital avaient été touchés par une vague d'attaques et certains utilisateurs avaient eu la mauvaise surprise de retrouver leur appareil totalement réinitialisé, et sans aucune donnée. Une faille zero-day avait permise aux attaquants de réaliser cette action dévastatrice sur de nombreux appareils. D'ailleurs, les appareils sous My Cloud OS 3 avaient subi le même sort dans un second temps et visiblement c'est difficile à corriger, ou alors Western Digital n'a pas envie de s'embêter avec cette ancienne version...

Quoi qu'il en soit, à partir du 15 avril 2022, les systèmes antérieurs à My Cloud OS 5 ne seront plus pris en charge par Western Digital. Cela implique que l'accès distant ne sera plus possible avec la méthode actuelle, et que le NAS pourrait devenir un espace de stockage exclusivement local. Autrement dit, l'interface My Cloud de Western Digital et qui permet d'accéder à son NAS à distance très simplement ne fonctionnera plus.

Comme alternative, il y a bien sûr la redirection de port sur votre Box à la maison, mais c'est déconseillé étant donné que le système est vulnérable. Éventuellement, un tunnel VPN entre votre PC et votre NAS à la maison, c'est probablement la solution la moins risquée. Dans tous les cas, l'expérience ne sera plus la même qu'avec l'interface My Cloud.

Pour vous encourager à acquérir un modèle plus récent, Western Digital offrira une réduction de 20% à ses utilisateurs en janvier prochain. Pas sûr que ce soit suffisant.

Source

The post NAS : Western Digital va arrêter la prise en charge de My Cloud OS 3 first appeared on IT-Connect.

Devenez admin de votre PC grâce à cette nouvelle faille zero-day Windows !

23 novembre 2021 à 07:40

Un chercheur en sécurité a publié un exploit pour une nouvelle faille de sécurité zero-day qui permet d'effectuer une élévation de privilèges en local et qui touche Windows 10, Windows 11, mais aussi Windows Server.

Si vous êtes sûr Windows, en tant qu'utilisateur standard et que vous exploitez cette faille de sécurité non patchée par Microsoft, vous pouvez obtenir les privilèges SYSTEM sur la machine locale. Un attaquant avec un accès sur une machine peut rapidement en prendre le contrôle.

Au niveau des versions de Windows affecté par cette nouvelle vulnérabilité zero-day, c'est assez simple puisque toutes les versions sont concernées, y compris Windows 10, Windows 11 et les dernières versions de Windows Server.

Mais, alors, c'est quoi cette nouvelle faille zero-day ?

Au sein du Patch Tuesday de Novembre 2021, Microsoft a corrigé la faille de sécurité CVE-2021-41379, découverte par le chercheur en sécurité Abdelhamid Naceri. Il s'avère que Microsoft n'a pas corrigé correctement cette faille de sécurité, et c'est en analysant le correctif de Microsoft, qu'il a fait la découverte de cette nouvelle faille zero-day, qui est une sorte de variante de la première censée être patchée.

Il a publié un exploit nommé "InstallerFileTakeOver" en guise de proof-of-concept sur son GitHub. Les auteurs du site Bleeping Computer se sont amusés à tester cet exploit, et visiblement quelques secondes ont suffi pour obtenir les droits SYSTEM sur une machine up to date : Windows 10 21H1 Build 19043.1348.

On peut se demander pourquoi ce chercheur en sécurité a mis en ligne ces informations ? Abdelhamid Naceri a répondu qu'il l'a fait pas frustration, car les récompenses du programme Bug Bounty de Microsoft sont de moins en moins élevées. Une manière de manifester son mécontentement.

Il ne reste plus qu'à attendre un correctif de la part de Microsoft...

Source

The post Devenez admin de votre PC grâce à cette nouvelle faille zero-day Windows ! first appeared on IT-Connect.
❌