FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 20 janvier 2022Flux principal

Windows 11 va permettre de gérer son compte Microsoft ou Office

20 janvier 2022 à 14:07

Au sein d'une future version de Windows 11, il sera possible de gérer directement son compte Microsoft ou Office à partir des paramètres du système d'exploitation.

Si l'on se réfère au journal des modifications de Windows 11 Build 22000.466, disponible par l'intermédiaire des canaux "Dev" et "Preview" du programme Windows Insider, on peut lire : "We added a new Your Microsoft Account page to the Accounts category in Windows Settings for Home and Professional editions."

Cela signifie que la section "Comptes" des paramètres Windows 11 va intégrer une nouvelle section nommée "Votre compte Microsoft" qui permettra de gérer son compte sans passer par un navigateur. Cette nouveauté est prévue pour les éditions Famille et Professionnel.

Les utilisateurs seront en mesure de consulter l'historique de leur compte Microsoft, notamment pour voir les achats, les récompenses, mais aussi gérer l'abonnement Office 365 s'il est rattaché à ce même compte Microsoft. Voici un aperçu proposé par le site allemand "DeskModder" :

Dans le même temps, Microsoft travaille sur l'intégration d'un nouveau gestionnaire des tâches qui devrait intégrer des fonctions supplémentaires, mais aussi, et surtout, bénéficier d'une interface Fluent Design comme Windows 11. Comme beaucoup d'autres outils et composants du système, le gestionnaire des tâches va bénéficier d'un lifting pour que Windows 11 soit plus harmonieux.

Source

The post Windows 11 va permettre de gérer son compte Microsoft ou Office first appeared on IT-Connect.

Par sécurité, Excel va bloquer par défaut les macros XML

20 janvier 2022 à 13:34

Pour des raisons de sécurité, Microsoft va bloquer par défaut l'exécution des macros Excel 4.0 (XML) au sein du logiciel Excel. Une opération prévue depuis plusieurs mois.

Lorsque l'on souhaite automatiser des tâches au sein d'un tableur Excel, on peut s'appuyer sur les macros. Très répandues au sein des entreprises, elles représentent aussi un danger puisqu'un document Excel peut permettre d'exécuter un logiciel malveillant sur la machine locale.

Excel supporte deux types de macros : les macros Excel 4.0 (XML) et les macros VBA. Même si les macros VBA peuvent représenter un danger, Microsoft estime qu'il faut à tout prix bloquer les macros XML et basculer sur des macros VBA. Une manière de réduire la surface d'attaque sur la machine locale.

Alors qu'un paramètre du "Centre de la gestion de la confidentialité" d'Excel permet déjà de gérer les macros, et notamment de désactiver les macros XML, cela va devenir la configuration par défaut. Dans l'idéal, le paramètre "Activer les macros Excel 4.0 lorsque les macros VBA sont activées" ne doit pas être coché. Comme ceci :

Sur son site, Microsoft explique qu'il est possible d'activer ou de désactiver les macros en configurant une stratégie à déployer sur les postes, notamment par l'intermédiaire d'une GPO.

Le déploiement est en cours au sein des différentes versions d'Excel, notamment via Microsoft 365 Apps. Actuellement, c'est le canal "Entreprise semi-annuel (preview)" qui est ciblé tandis que pour "Entreprise semi-annuel", c'est prévu pour juillet 2022.

The post Par sécurité, Excel va bloquer par défaut les macros XML first appeared on IT-Connect.

Windows 11 : première version beta pour Google Play Games

20 janvier 2022 à 13:09

Les travaux d'intégration des applications Android sur Windows 11 avancent bien ! Google a dévoilé une première version bêta de Google Play Games pour Windows 11 (et Windows 10) !

Si Amazon pensait avoir l'exclusivité des jeux et applications Android sur Windows 11, c'est raté ! C'était à prévoir que Google n'allait pas laisser le champ libre à la firme de Jeff Bezos. Comme pour l'accès au magasin d'applications Amazon sur Windows 11, cette première version de Google Play Games n'est pas disponible en France ! C'est dommage, mais cela devrait bien finir par arriver en France et en Europe : ce n'est qu'une question de temps.

Pour le moment, le programme d'inscription pour cette version bêta est disponible en Asie, au sein de quelques pays comme la Corée du Sud, Hong Kong et Taïwan.

Windows 11 Google Play Games

Grâce à l'installation de Google Play Games sur Windows 11, il va être possible de jouer à des jeux populaires sur mobile et tablette directement à partir de son ordinateur sous Windows. Puisque le compte Google est utilisé au sein de ces jeux, la progression sera synchronisée entre les différents appareils Windows et Android. La mauvaise nouvelle, c'est qu'il faudra installer une application supplémentaire sur son PC : ce ne fera qu'une de plus pour ceux déjà au taquet sur les différentes plateformes et jeux. 😉

Dans les prochains mois, de nouvelles régions auront accès à Google Play Games et des jeux supplémentaires seront compatibles. Google précise qu'une version stable sera disponible courant 2022.

Il est intéressant de noter que Google Play Games serait compatible avec Windows 11, mais aussi Windows 10. Visiblement, cette solution ne s'appuie pas sur WSA (Windows Subsystem for Android), ce qui permet la compatibilité avec d'autres versions de Windows. A suivre.

Source

The post Windows 11 : première version beta pour Google Play Games first appeared on IT-Connect.

PowerShell : comment se connecter à Microsoft Graph API ?

20 janvier 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment utiliser le module Microsoft Graph PowerShell pour s'authentifier sur son environnement Azure AD, Microsoft 365 ou Office 365.

À partir du 30 juin 2022, Microsoft ne supportera plus l'Active Directory Authentication Library (ADAL) et l'Azure Active Directory Graph API, deux composants utilisés pour s'authentifier sur Azure Active Directory. Autrement dit, ils permettent de s'authentifier sur Azure AD et Office 365 afin de réaliser toutes les opérations d'administration une fois la connexion établie, comme la création, la suppression et la modification de comptes sur Office 365. Les applications qui s'appuient sur ADAL ne pourront plus s'authentifier du tout, tandis que de façon générale il n'y aura plus de support et donc plus de mises à jour de sécurité.

Microsoft souhaite que les entreprises s'appuient sur le SDK Microsoft Graph qui permet de s'authentifier sur les services Cloud et les tenants Office 365 via Microsoft Graph API. Cette API est développée par Microsoft depuis plusieurs années et elle permet l'administration de l'ensemble des services Cloud, de façon un peu plus moderne.

Afin de préparer l'avenir, dans ce premier article je vais vous expliquer comment établir une connexion à Azure AD ou Office 365 via le module Microsoft Graph. Nous verrons les deux méthodes de connexion, ainsi que quelques astuces pour bien débuter avec ce module que moi-même je continue de découvrir.

II. PowerShell : l'avenir des modules AzureAD et MSOnline

Allons droit au but : si vous utilisez des scripts PowerShell qui s'appuient sur les modules AzureAD pour l'Azure Active Directory et MSOnline pour la partie Office 365, il va falloir mettre à jour ces scripts pour basculer sur Microsoft Graph. C'est indispensable, si vous ne souhaitez pas que vos scripts arrêtent de fonctionner à partir du 30 juin 2022.

À terme, ces deux modules vont être remplacés par Microsoft Graph, et le nom du module c'est "Microsoft.Graph" pour être précis. Puisque ce nouveau module est déjà disponible, cela vous permet de commencer ce travail de mise à jour de vos scripts et outils.

Toutes les commandes PowerShell vont évoluer puisque ce module contient son propre jeu de commandes. Par exemple, la commande New-MsolUser qui permet de créer un nouvel utilisateur Office 365 va être remplacée la commande New-MgUser.

Avant même de parler des commandes pour interagir avec les objets (utilisateurs, groupes, etc...) de votre tenant, il faut savoir que la connexion aux services va évoluer aussi. Oubliez les deux commandes Connect-AzureAD et Connect-MsolService disponible via les deux modules AzureAD et MSOnline. La connexion à votre environnement avec le module Microsoft Graph s'appuie sur Connect-MgGraph. D'ailleurs, cette nouvelle commande fonctionne différemment, comme nous allons voir dans la suite de ce tutoriel.

Pour le moment, nous avons encore plusieurs mois devant nous pour mettre à jour nos scripts PowerShell, donc il n'est pas nécessaire de paniquer. De mon côté, je vais travailler sur l'actualisation de mes articles PowerShell qui parlent Office 365 et Azure pour vous aider également.

II. Microsoft Graph : les deux modes de connexion

Lors de l'utilisation du module Microsoft Graph et du cmdlet Connect-MgGraph pour établir une connexion à votre tenant, vous avez le choix entre deux modes de connexion :

  • Une connexion avec un accès délégué

Avec le mode "accès délégué", il faut préciser les permissions dont vous avez besoin au moment de la connexion au tenant, et c'est en se connectant avec un compte qui a les droits que vous allez pouvoir créer cette délégation et permettre l'accès aux ressources.

  • Une connexion avec un accès application

Avec le mode "accès application", il est nécessaire d'inscrire une nouvelle application dans Azure Active Directory afin de créer un point de connexion. Ensuite, il faudra accorder des autorisations à cette application pour que les scripts qui l'utilisent soient en mesure d'effectuer les actions déclarées dans votre code PowerShell. Pour se connecter via cette méthode, il faudra spécifier plusieurs informations : ID du tenant, ID de l'application et un nom de certificat ou une empreinte de certificat (qu'il faudra générer en amont).

Il faut savoir qu'au-delà du mode de connexion, il y a deux points de terminaison disponibles côté Microsoft : Microsoft Graph v1.0 et Microsoft Graph Beta. Sans surprise, le point de terminaison permet de bénéficier des dernières fonctionnalités en avant-première.

Avant d'établir la connexion à Microsoft Graph, vous pouvez choisir le point de terminaison que vous souhaitez utiliser. Par défaut, Microsoft Graph v1.0 est utilisé.

Pour basculer sur le profil bêta, il faudra exécuter cette commande :

Select-MgProfile -Name "beta"

À l'inverse, pour sélectionner de nouveau la V1.0, il faudra exécuter :

Select-MgProfile -Name "v1.0"

Pour ce tutoriel, je vais utiliser Microsoft Graph v1.0 comme point de terminaison.

Il est temps de passer à la pratique, en commençant par l'installation du module.

III. Installer le module PowerShell Microsoft Graph

Le module Microsoft Graph est disponible sur la PowerShell Gallery (voir ici) et il s'installe avec la commande "Install-Module" comme les autres modules.

Si vous souhaitez l'installer uniquement pour l'utilisateur en cours, utilisez le scope "CurrentUser" et pour l'installer au niveau de la machine précisez "AllUsers" (droits administrateur requis).

Ce qui donne :

Install-Module Microsoft.Graph -Scope CurrentUser
Install-Module Microsoft.Graph -Scope AllUsers
Install-Module Microsoft.Graph
Install-Module Microsoft.Graph

L'installation de ce module global prend généralement plusieurs minutes car il installe tous les sous-modules. Une fois que c'est fait, vous pouvez vérifier avec cette commande que le module est installé :

Get-InstalledModule Microsoft.Graph
Get-InstalledModule Microsoft.Graph
Get-InstalledModule Microsoft.Graph

Pour ma part et à titre indicatif, c'est la version 1.9.1 qui est installée (dernière en date).

IV. PowerShell : Microsoft Graph via l'accès délégué

Commençons par étudier le principe de connexion via l'accès délégué, à partir de la commande Connect-MgGraph. Je vous rappelle que cette commande sert à établir une connexion à Microsoft Graph via PowerShell.

Lors de la connexion à Microsoft Graph, il faut spécifier un ou plusieurs scopes (étendues) en fonction de ce que vous cherchez à effectuer. Afin de pouvoir utiliser les étendues sélectionnées, une délégation d'accès sera créée au moment de la connexion.

Par exemple, si l'on souhaite récupérer la liste des utilisateurs de notre tenant, on a besoin d'un accès en lecture aux utilisateurs. Cela se traduit par le nom d'étendue suivant :

User.Read.All

Dans le cas où l'on aurait besoin de créer un nouvel utilisateur, l'étendue serait différente puisqu'il faudrait des droits d'écriture. L'étendue à utiliser serait :

User.ReadWrite.All

Je vais vous donner quelques astuces par la suite pour identifier les étendues. Il faut savoir que l'on peut sélectionner plusieurs étendues, et que ce n'est pas anormal d'en sélectionner entre 5 et 10.

Continuons sur l'idée suivante : récupérer la liste des utilisateurs, à partir de l'étendue "User.Read.All". La commande Connect-MgGraph à exécuter sera :

Connect-MgGraph -Scopes "User.Read.All"

Cette commande va ouvrir un navigateur sur votre machine afin d'effectuer la connexion et d'accorder l'accès à l'application "Microsoft Graph PowerShell". Cela nécessite un accès avec des droits administrateur. Il faudra accepter la requête, comme sur l'exemple ci-dessous.

Connexion à Microsoft Graph via PowerShell
Connexion à Microsoft Graph via PowerShell

Ensuite, un message s'affiche pour indiquer que la fenêtre peut être fermée : Authentication complete. You can return to the application. Feel free to close this browser tab.

Retour dans la console PowerShell. Un message "Welcome To Microsoft Graph!" doit être visible !

Pour lister les utilisateurs, on va tout simplement utiliser cette commande :

Get-MgUser

Comme le montre l'image ci-dessous, la liste des utilisateurs est retournée. Parfait !

Get-MgUser
Exemple - Get-MgUser

Si l'on essaie de lister les groupes, on peut voir que l'on obtient un message d'erreur : Insufficient privileges to complete the operation. En bref, nous n'avons pas les droits, ce qui est normal puisque l'on a pas précisé l'étendue qui permet de lire les groupes au moment de la connexion !

Get-MgGroup
Microsoft Graph - PowerShell : exemple de privilèges insuffisants
Microsoft Graph - PowerShell : exemple de privilèges insuffisants

Dans la console PowerShell en cours, on peut exécuter une seconde fois Connect-MgGraph pour ajouter l'étendue "Group.Read.All" qui permettra de lire les informations des groupes.

Connect-MgGraph -Scopes "Group.Read.All"

Cela va venir s'ajouter à la session déjà ouverte et donc conserver l'étendue "User.Read.All". Suite à l'exécution de cette commande, il faut de nouveau approuver la connexion via le navigateur. Désormais, on peut récupérer la liste des groupes.

La prochaine fois, vous pouvez appeler directement les deux étendues :

Connect-MgGraph -Scopes "User.Read.All","Group.Read.All"

Du fait que cette méthode nécessite une interaction et une validation via le navigateur, elle n'est pas faite pour être utilisée dans des scripts. La seconde méthode que nous allons voir dès maintenant sera plus adaptée.

Juste avant cela, on va se déconnecter proprement de Microsoft Graph :

Disconnect-MgGraph

V. PowerShell : Microsoft Graph via l'accès application

Nous devons inscrire une nouvelle application au sein d'Azure Active Directory, puis ensuite lui accorder des autorisations. Cette application sera notre point d'entrée avec PowerShell.

À partir du portail Azure, dans Azure Active Directory, cliquez sur "Inscriptions d'applications" à gauche puis sur le bouton "Nouvelle inscription".

Azure AD : inscription d'une nouvelle application
Azure AD : inscription d'une nouvelle application

Donnez un nom à cette application, par exemple "Script-PowerShell-Graph". Conserver l'option "Comptes dans cet annuaire d'organisation uniquement" pour l'option "Types de comptes pris en charge" et pour l'URI de redirection, laissez vide.

Cliquez sur le bouton "S'inscrire".

L'application est inscrite. Il y a deux informations qu'il faudra récupérer par la suite, car nous en aurons besoin lors de la connexion avec PowerShell : ID d'applications (client) et ID de l'annuaire (locataire).

Désormais, nous devons accorder des autorisations à notre application.

B. Attribuer des autorisations Microsoft Graph à l'application

Toujours sur le portail Azure, au sein de notre application, cliquez sur "API autorisées" à gauche puis au centre sur "Ajouter une autorisation".

Ajouter des autorisations Microsoft Graph API à l'application
Ajouter des autorisations Microsoft Graph API à l'application

Nous souhaitons ajouter une autorisation "Microsoft Graph" et cela tombe bien c'est proposé directement.

Cliquez sur "Autorisations de l'application".

Ensuite, il faut rechercher les autorisations. Cela fonctionne sur le même principe que les étendues de la première méthode de connexion étudiée. Pour trouver l'autorisation qui permet de consulter la liste des groupes, il suffit de rechercher "group" et de cocher l'option "Group.Read.All". Pour les utilisateurs, suivez le même principe.

Cliquez sur "Ajouter des autorisations" pour ajouter toutes les autorisations sélectionnées.

Il faut que l'on accorde un consentement administration au niveau de l'organisation pour pouvoir bénéficier de ces droits dans notre application, à savoir notre script PowerShell. Cliquez sur le bouton "Accorder un consentement d'administrateur pour IT-Connect" et validez.

Tous les feux sont au vert :

Passons à la troisième étape : la gestion du certificat.

C. Générer un certificat auto-signé avec PowerShell

Nous allons créer un certificat auto-signé puis l'exporter au format CER puis PFX.

Le format PFX est intéressant pour transférer le certificat et sa clé privée sur un autre serveur : une étape indispensable si vous souhaitez vous authentifier auprès de votre application depuis plusieurs serveurs différents. Le certificat (et sa clé privée) devra être déployé sur chaque machine devant se connecter à l'application.

Grâce à la commande ci-dessous, nous allons créer un certificat auto-signé et le stocker dans le magasin de certificat personnel local. Remplacez seulement "IT-Connect" par le nom de votre organisation.

$cert = New-SelfSignedCertificate -Subject "CN=IT-Connect" -CertStoreLocation "Cert:\CurrentUser\My" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256

Ensuite, il faut exporter ce certificat sur notre machine, car il va falloir le charger sur Azure AD. En PowerShell toujours, c'est faisable avec la commande "Export-Certificate". Pour ma part, je l'exporte dans "C:\TEMP" mais adaptez le chemin dans la commande ci-dessous.

Export-Certificate -Cert $cert -FilePath "C:\TEMP\IT-Connect.cer"
Exporter un certificat avec PowerShell
Exporter un certificat avec PowerShell

Si vous avez besoin d'utiliser ce certificat sur d'autres serveurs (ce qui sera le cas si un autre serveur doit s'authentifier sur Microsoft Graph via PowerShell), vous devez l'exporter au format PFX. Si vous n'avez pas ce besoin, vous pouvez ignorer les deux commandes qui suivent.

Commençons par créer un mot de passe pour la clé privée associée à notre certificat :

$mdp = ConvertTo-SecureString -String "MotDePasse" -Force -AsPlainText

Ensuite, on exporte au format PFX avec Export-PfxCertificate en précisant le certificat via $cert, le mot de passe via $mdp et le chemin vers le fichier de sortie au format PFX.

Export-PfxCertificate -Cert $cert -FilePath "C:\temp\IT-Connect.pfx" -Password $mdp

Une fois que c'est fait, il suffira de copier le PFX sur les autres serveurs et de l'importer. Pensez à stocker le mot de passe de la clé privée dans votre gestionnaire de mots de passe préféré...

Retournez sur l'interface Azure AD, toujours dans notre application, et cliquez sur "Certificats & secrets" sur la gauche. Ensuite, cliquez sur "Télécharger le certificat" et chargez le fichier CER. Validez et il va apparaître dans la liste des certificats comme ceci :

Copiez la valeur "Empreinte numérique" (Thumbprint), car nous allons en avoir besoin pour la suite.

D. Connexion à Microsoft Graph avec le certificat

Voilà, la configuration est prête : nous allons pouvoir nous connecter à Microsoft Graph via PowerShell. Pour cela, il nous faut trois informations :

  • L'ID d'applications (client) pour le paramètre -ClientID
  • L'ID de l'annuaire (locataire) pour le paramètre -TenantId
  • L'empreinte numérique du certificat pour le paramètre -CertificateThumbprint

Ce qui donne la commande Connect-MgGraph suivante :

Connect-MgGraph -ClientID a8615473-xxxx-yyyy-zzzz-123456789123 -TenantId 806d3d28-aaaa-bbbb-cccc-123456789123 -CertificateThumbprint A3FA9DEE117D49EC8F2A1CFF4567FABC3

Exécutez cette commande, et là, c'est magique on est directement authentifié ! Aucune action n’est nécessaire, c'est la combinaison de ces trois valeurs (et la présence du certificat sur la machine) qui permet de s'authentifier sur Microsoft Graph.

En termes de droits, on est limité à ce qui est déterminé au niveau des autorisations de l'application. Si l'on ajoute des droits à notre application via le portail Azure, il faudra se déconnecter et se reconnecter pour que ce soit pris en compte.

Disconnect-MgGraph
Connect-MgGraph -ClientID a8615473-xxxx-yyyy-zzzz-123456789123 -TenantId 806d3d28-aaaa-bbbb-cccc-123456789123 -CertificateThumbprint A3FA9DEE117D49EC8F2A1CFF4567FABC3

Il ne reste plus qu'à interagir avec notre environnement Microsoft ! Cette méthode d'authentification est idéale pour vos scripts PowerShell.

VI. Microsoft Graph : comment identifier les permissions ?

Sur le principe, Microsoft Graph est prometteur notamment sur la gestion très fine des permissions, mais cela peut rapidement devenir un casse-tête pour trouver les bonnes permissions. Je crois que chez Microsoft ils en ont conscience, car il y a un cmdlet qui permet de rechercher plus facilement des permissions : Find-MgGraphPermission.

Si l'on souhaite obtenir toutes les permissions Microsoft Graph relatives à Microsoft Teams, on pourra exécuter la requête suivante (cela ne nécessite pas d'être authentifié auprès de Microsoft Graph).

Find-MgGraphPermission teams

Vous allez voir que cette commande retourne deux sections : Delegated pour l'accès délégué et Application pour l'accès application. En fonction de ce que vous recherchez, précisez le type de permissions, car le nom peut varier :

Find-MgGraphPermission teams -PermissionType Delegated

ou

Find-MgGraphPermission teams -PermissionType Application

Grâce à la sortie de cette commande et le filtre, on peut trouver plus facilement le nom des permissions. Pour les groupes, les utilisateurs, etc... On peut rechercher.

Find-MgGraphPermission groups
Find-MgGraphPermission user

En complément, vous pouvez retrouver des informations sur cette page qui référence l'ensemble des permissions (un CTRL+F sera inévitable pour rechercher dans la page) :

Les permissions c'est une chose, mais ensuite il faut trouver la bonne commande, ou en tout cas la commande de remplacement vis-à-vis de ce que l'on connait avec les modules MSOnline et AzureAD. Pour cela, on peut s'aider de Get-Command avec un filtre sur un mot clé. Par exemple :

Get-Command -Module Microsoft.Graph* *team*

À vous de jouer ! Pour ma part, cet article d'introduction me servira de point de départ pour les prochains d'articles qui parleront de cas particuliers : création d'utilisateurs, manipulation d'équipes Teams, de boites aux lettres, etc... N'hésitez pas à partager votre retour d'expérience avec Microsoft Graph en postant un commentaire.

The post PowerShell : comment se connecter à Microsoft Graph API ? first appeared on IT-Connect.
À partir d’avant-hierFlux principal

Exploité par des hackers, VPNLab.net a été démantelé par Europol

19 janvier 2022 à 08:23

Désormais hors ligne, le service VPN qui se cache derrière VPNLab.net était exploité par des hackers qui l'utilisaient afin de mener à bien des attaques contre des entreprises, notamment pour déployer des ransomwares.

Ce mardi 18 janvier 2022, Europol, l'agence de police de l'UE, a annoncé avoir démantelé l'infrastructure du service VPNLab.net. Résultat, au moins 15 serveurs ont été saisis en Europe et en Amérique du Nord par les enquêteurs, et le site a été mis hors ligne. Désormais, il est remplacé par cette page :

Même si les auteurs des attaques et du service VPNLabs.net sont toujours en liberté, la police va pouvoir analyser le contenu des serveurs à la recherche d'informations utiles dans le cadre de cette enquête.

Europol justifie cette décision, car ce "fournisseur VPN était utilisé pour soutenir des actes criminels graves tels que le déploiement de rançongiciels et autres activités cybercriminelles". Dans la pratique, les hackers utilisaient ce service VPN en souscrivant un abonnement à 60 dollars par an pour ensuite réaliser leurs attaques informatiques sans être détectés par les autorités.

Ce qui différencie ce service VPN des autres services VPN grand public, c'est que celui-ci est imaginé pour un usage illicite. De ce fait, il multiplie d'autant plus les rebonds entre les serveurs afin que ce soit difficile de remonter jusqu'à la source, et plusieurs couches de chiffrement sont utilisées. Même si les performances sont forcément impactées, cela reste très intéressant pour les hackers.

Suite à cette enquête, Europol affirme que plus de 100 entreprises ont été identifiées comme étant exposées à des cyberattaques. Désormais, un travail va être effectué avec les entreprises identifiées afin d'éviter que le pire se produise. Jusqu'ici, il y aurait eu plus de 150 victimes d'attaques par ransomware via ce réseau VPN.

Il y a quelques jours, un autre démantèlement de grande envergure a eu lieu en Russie puisque les autorités ont mis fin aux activités du groupe de hackers REvil.

Source

The post Exploité par des hackers, VPNLab.net a été démantelé par Europol first appeared on IT-Connect.

Sauvegarde Office 365 avec un NAS Synology

18 janvier 2022 à 16:00

I. Présentation

Si vous avez un NAS Synology, de l'espace disque inutilisé, et un tenant Office 365 / Microsoft 365, alors ce tutoriel devrait vous intéresser. En effet, nous allons voir comment utiliser un NAS Synology pour sauvegarder les données Office 365 à l'aide du paquet gratuit Active Backup for Microsoft 365.

Lorsque l'on utilise Office 365 pour son entreprise ou son établissement scolaire, c'est un peu risqué de compter uniquement sur Microsoft pour la sauvegarde des données. Vous allez me dire, pourquoi ? Et bien, Microsoft sauvegarde bien vos données (et le stockage est redondé), ce n'est pas le problème, mais la période de conservation par défaut est de seulement 30 jours. Par exemple, lorsqu'un fichier est supprimé de OneDrive, il est récupérable pendant 30 jours suite à sa suppression.

Pour mettre en place une véritable politique de sauvegardes de ses données stockées dans le Cloud Microsoft, soit vers un autre Cloud ou vers son infrastructure on-premise, on peut s'appuyer sur différents outils disponibles sur le marché.

Pour en citer quelques-uns : Veeam Backup for Microsoft 365, AvePoint Microsoft 365 Backup, ou encore Acronis Cyber Backup. Ce qui peut différencier ces solutions, c'est leur capacité à sauvegarder les différents éléments, notamment au sein des équipes Teams qui contiennent énormément d'informations.

Aujourd'hui, je vais vous parler d'Active Backup for Microsoft 365, disponible gratuitement sur les NAS Synology et qui va permettre de sauvegarder un bon nombre d'éléments. En effet, vous pouvez sauvegarder les boîtes aux lettres, les contacts, les calendriers, ainsi que les espaces de stockage OneDrive et SharePoint. Puisque Teams stockent ses fichiers dans des sites SharePoint, ces données peuvent être sauvegardées avec cet outil.

Note : la solution proposée par Synology prend en charge les différents plans de licences, aussi bien Business, Enterprise que Education.

La présentation étant faite, nous allons pouvoir passer à la partie pratique. Je pars du principe que vous disposez déjà d'un tenant Office 365 et que votre NAS Synology est déjà en place avec un partage (qui sera utilisé pour stocker les sauvegardes). Mon NAS Synology tourne sous DSM 7 (mais ce paquet existe sur les versions précédentes).

Si vous avez besoin d'aide pour créer votre tenant Office 365, vous pouvez suivre ce tutoriel :

II. Installation d'Active Backup for Microsoft 365

La première étape consiste à installer le paquet "Active Backup for Microsoft 365" à partir du Centre de paquets de DSM. Il suffit de rechercher le paquet et de cliquer sur le bouton "Installer".

Installation du paquet Active Backup for Microsoft 365
Installation du paquet Active Backup for Microsoft 365

Un assistant va s'exécuter. Il est nécessaire d'activer le paquet à l'aide d'un compte Synology (gratuit) alors cliquez sur le bouton "Activer".

Acceptez la "Déclaration de confidentialité" et connectez-vous avec votre compte Synology, ou créez un compte le cas échéant. Lors de la création du compte, un code de sécurité est envoyé sur l'adresse e-mail renseignée.

Après s'être connecté avec un compte Synology, le paquet est activé. C'est tout bon.

Passons à la seconde étape, qui est de loin la plus technique : l'inscription de l'application Azure pour Active Backup.

III. Inscrire l'application Azure pour Synology

L'inscription d'une nouvelle application au sein d'Azure peut être effectuée à partir du portail d'administration d'Azure, à coup de clics. Pour simplifier l'inscription de l'application conformément aux prérequis de Synology, notamment pour attribuer les bonnes autorisations, le fabricant fournit un script PowerShell nommé "AppGenerator.ps1".

Commencez par télécharger le script via ce lien officiel : AppGenerator.ps1

Ce script est clean et il va réaliser différentes actions, notamment l'inscription d'une application, l'ajout des autorisations et la génération d'un certificat pour l'authentification.

Note : si le module AzureAD n'est pas présent sur votre machine, le script va l'installer.

Ouvrez une console Windows PowerShell en tant qu'administrateur. Commencez par définir la politique d'exécution PowerShell sur "RemoteSigned" uniquement pour le processus en cours (cette console). Ce script est signé par Synology.

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process

Ensuite, déplacez-vous dans le dossier où se situe le script AppGenerator.ps1 que vous venez de télécharger. Pour ma part, c'est dans le dossier "C:\TEMP".

cd C:\TEMP\

Enfin, il ne reste plus qu'à exécuter le script :

.\AppGenerator.ps1

Confirmez que vous souhaitez exécuter le script signé par Synology Inc en précisant "O" puis Entrée.

Exécution du script AppGenerator.ps1 de Synology
Exécution du script AppGenerator.ps1 de Synology

Au début de l'exécution du script, le message "Before generating your Azure AD application, please enter a password you wish to use to protect the certificate" s'affiche. Vous devez préciser un mot de passe qui va servir à protéger le certificat (pour la clé privée).

Ensuite, il faut s'authentifier auprès de votre environnement Office 365 avec un compte administrateur afin que le script puisse inscrire l'application.

À la fin, le message "Congratulations! Your Azure application has been successfully generated" s'affiche : tout s'est bien passé. Il faut noter les valeurs de "Tenant ID" et "Application ID" car nous en aurons besoin dans un second temps. Le certificat au format PFX est disponible dans le répertoire courant du script.

Remarque : ces valeurs sont récupérables à tout moment à partir du portail Azure.

Script AppGenerator de Synology pour la sauvegarde Office 365
Script AppGenerator de Synology pour la sauvegarde Office 365

Au sein du portail Azure AD, si vous allez dans "Azure Active Directory" puis "Inscriptions d'applications", vous pouvez retrouver l'application "Microsoft 365 Backup" correspondante à Active Backup. Pour gagner du temps, vous pouvez cliquer sur le lien qui s'affiche en jaune dans la console PowerShell (voir ci-dessus).

Dans la section "API autorisés", cliquez sur le bouton "Accorder un consentement d'administrateur pour IT-Connect" et validez pour approuver les autorisations.

Application "Microsoft 365 Backup" générée par Synology
Application "Microsoft 365 Backup" générée par Synology

Suite à cette action, tous les voyants passent au vert au niveau de la colonne "Statut", comme ceci :

L'application est prête ! Nous allons pouvoir sauvegarder les données de notre tenant Office 365 !

IV. Sauvegarder les données Office 365 sur le NAS Synology

La suite du tutoriel va se dérouler via DSM et l'application Active Backup for Microsoft 365. Démarrez l'assistant de création de tâche s'il ne se lance pas tout seul... Et sélectionnez "Créer une nouvelle tâche de sauvegarde".

Active Backup for Microsoft 365 - Créer une nouvelle tâche de sauvegarde
Active Backup for Microsoft 365 - Créer une nouvelle tâche de sauvegarde

La première étape consiste à indiquer les informations liées à l'application inscrite dans Azure AD afin d'établir la communication avec votre tenant. Voici comment remplir les champs :

  • Point de terminaison Microsoft 365 : choisissez "Microsoft 365"
  • Adresse e-mail de l'admin du domaine : indiquez l'adresse e-mail du compte administrateur
  • ID du locataire : l'ID de votre tenant, correspondant à la valeur "Tenant ID" récupérée à la fin du script
  • ID de l'application : l'ID de votre application, correspondant à la valeur "Application ID" récupérée à la fin du script
  • Fichier du certificat : cliquez sur "Charger" afin de sélectionner le certificat au format PFX généré par le script
  • Mot de passe du certificat : précisez le mot de passe de la clé privée du certificat, c'est-à-dire le mot de passe spécifié précédemment lors de l'exécution du script

Cliquez sur "Suivant".

Ensuite, d'autres champs sont à renseigner :

  • Nom de la tâche : nommez cette tâche, tout simplement, pour ma part ce sera "Tenant-IT-Connect.tech"
  • Destination de la sauvegarde : vous devez sélectionner le partage dans lequel seront stockées les sauvegardes Office 365
  • Liste des sauvegardes : en cliquant sur le bouton "Modifier", vous pouvez choisir les éléments à sauvegarder pour chaque compte Office 365

Enfin, l'option "Activer Active Backup for Microsoft 365 Portal" permet d'ouvrir le portail de restauration des données à vos utilisateurs. Les droits d'accès à ce portail sont à gérer dans un second temps. Pour ma part, je n'active pas ce portail.

Note : à partir du "Panneau de configuration" puis "Privilèges d'application", vous pouvez attribuer des droits au portail Active Backup à tout moment.

En cliquant sur le bouton "Modifier", vous pouvez sélectionner ce que vous souhaitez sauvegarder ou non. Sur l'image ci-dessous, la colonne "Disque" correspond à l'espace OneDrive de l'utilisateur. Pour le reste, c'est explicite.

Vous pouvez naviguer entre les utilisateurs, les groupes et les sites (SharePoint et donc aussi les équipes Teams) en cliquant sur les trois liens en haut à gauche. Lorsque la sélection est effectuée, cliquez sur "OK".

Active Backup for Microsoft 365 : choix des éléments à sauvegarder
Active Backup for Microsoft 365 : choix des éléments à sauvegarder

Poursuivez... voici l'étape "Activer les services de découverte automatique". En fait, cela permet de choisir ce qu'il faudra sauvegarder pour tous les nouveaux utilisateurs, groupes et sites créés par la suite. De cette façon, les nouveaux objets seront ajoutés à la tâche de sauvegarde automatiquement selon cette configuration.

Désormais, il faut planifier la sauvegarde. Lorsque l'option "Sauvegarde continue" est choisie, l'application "surveille" continuellement l'activité de vos utilisateurs afin de sauvegarder les nouveaux fichiers ou les fichiers modifiés. L'option "Sauvegarde manuelle" nécessite que la sauvegarde soit déclenchée manuellement à partir de l'interface DSM, tandis que l'option "Sauvegarde programmée" permet de planifier la sauvegarde : une seule fois, tous les week-ends, un jour sur deux, tous les lundis, tous les jours, etc... En fonction de ce que vous souhaitez, à une heure spécifique.

Active Backup for Microsoft 365 : planifier la sauvegarde
Active Backup for Microsoft 365 : planifier la sauvegarde

Quant à la conversation des versions de fichiers, soit vous pouvez conserver toutes les versions (attention à l'espace disque...), soit vous pouvez déterminer le nombre de jours pendant laquelle une version précédente est conservée. Je vous invite à lire l'explication ci-dessous pour bien comprendre ce principe qui s'applique sur chaque fichier.

Cliquez sur "Suivant" lorsque vous avez fait votre choix. Le récapitulatif s'affiche, cliquez sur "Effectué". L'application vous demande si vous souhaitez exécuter la sauvegarde dès maintenant, ou attendre la prochaine planification.

Je tiens à préciser que vous pouvez revenir sur votre configuration à tout moment pour apporter des modifications à la tâche. Il suffit de sélectionner la tâche puis de cliquer sur "Modifier".

Lorsque la tâche est en cours, vous pouvez suivre la progression depuis l'interface Active Backup for Microsoft 365.

La vue d'ensemble fait office de tableau de bord et elle ne devrait pas dépayser les personnes habituées à utiliser les applications de la suite Active Backup. Vous pouvez visualiser le nombre de comptes protégés par service (Disque, Courrier, etc.), ainsi que l'espace disque utilisé par service et par utilisateur.

Tableau de bord Active Backup for Microsoft 365
Tableau de bord Active Backup for Microsoft 365

Maintenant, si l'on bascule sur l'explorateur de fichiers de DSM, c'est-à-dire "File Station", on peut regarder à quoi ressemblent les données sauvegardées.

Les données sauvegardées sont stockées à la racine du partage dans un dossier nommé "ActiveBackupForMicrosoft365" avec un sous-dossier par tâche. Certains éléments ne sont pas visibles directement, notamment les e-mails, par contre les fichiers sont consultables en parcourant l'arborescence de la sauvegarde.

Voici un exemple des données sauvegardées à partir de l'onglet "Fichiers" du canal "Général" de l'équipe Teams "Redacteurs" de mon tenant.

Aperçu des données sauvegardées avec Active Backup for Microsoft 365
Aperçu des données sauvegardées avec Active Backup for Microsoft 365

À partir de l'application "Active Backup for Microsoft 365" vous pouvez créer d'autres tâches de sauvegarde, mais aussi accéder au "Journal" afin de garder un oeil sur les actions réalisées (tâche créée, sauvegarde effectuée, données restaurées, etc.), sous la forme d'un log.

V. Restaurer les données avec Active Backup for Microsoft 365

Pour finir ce tutoriel, je vais vous parler de la restauration des données à partir d'Active Backup for Microsoft 365. Pour cela, il faut utiliser l'icône nommée "Active Backup for Microsoft 365 Portal" : un nouvel onglet va s'ouvrir.

En tant qu'administrateur du NAS, on peut accéder à toutes les données sauvegardées. Pour naviguer entre les comptes utilisateurs, les tâches (si vous en avez plusieurs) et les types de contenu, il faut utiliser les boutons en haut à droite. Par exemple, en cliquant sur "Rôle de l'affichage", vous allez pouvoir choisir le compte afin de voir les données sauvegardées pour ce compte.

Si l'on prend l'exemple d'un fichier que l'on souhaite restaurer, il suffit de le sélectionner et de cliquer sur "Restaurer".

Restauration d'un fichier OneDrive avec Active Backup for Microsoft 365
Restauration d'un fichier OneDrive avec Active Backup for Microsoft 365

Le fichier sera restauré au sein du OneDrive de l'utilisateur dans un dossier nommé "Restore_<date>_<heure>" (ou à l'emplacement d'origine selon le choix effectué au moment de restaurer).

Maintenant, si l'on souhaite restaurer un autre élément, par exemple un e-mail, il faut changer de type de contenu, car par défaut, ce sont les fichiers qui sont sélectionnés. Il faut cliquer sur le bouton avec 4 carrés en haut à droite, puis choisir "Courrier".

Ensuite, l'e-mail à restaurer doit être sélectionné et la restauration pourra être lancée, sur le même principe que pour un fichier. Pour l'e-mail, vous pouvez décider d'effectuer la restauration dans le dossier d'origine, en écrasant l'e-mail s'il existe ou en ignorant en cas de conflit, sinon il est possible de restaurer dans un dossier spécifique à la restauration. Ce dossier sera créé automatiquement et visible par l'utilisateur via Outlook ou tout autre client de messagerie. Il portera le nom "Restore_Inbox_<date>_<heure>". Cette option est pratique si vous avez besoin de restaurer de nombreux e-mails, cela permettra à l'utilisateur de récupérer ce dont il a besoin à partir des éléments restaurés.

Restauration d'un e-mail avec Active Backup for Microsoft 365
Restauration d'un e-mail avec Active Backup for Microsoft 365

Voilà, vous savez désormais installer et configurer Active Backup for Microsoft 365 sur votre NAS Synology pour protéger les données de votre tenant Office 365 !

The post Sauvegarde Office 365 avec un NAS Synology first appeared on IT-Connect.

Microsoft Teams : fonction Talkie-Walkie et mode muet pour les réunions

18 janvier 2022 à 11:52

Microsoft continue d'intégrer de nouvelles fonctionnalités à Teams dans le but d'améliorer l'expérience utilisateur, mais aussi de répondre à des besoins spécifiques. Deux nouveautés sont imminentes : la fonction Talkie-Walkie et le mode muet pour les réunions.

Annoncée en janvier 2020, la fonction Talkie-Walkie de Teams va enfin être déployée sur les applications mobiles, sur Android et iOS. En menant une étude, Microsoft s'est rendu compte qu'il y avait de plus en plus de travailleurs sur le terrain qui utilisaient les applications conçues initialement pour être utilisés au bureau, comme Teams. De ce fait, Microsoft souhaite leur apporter la fonction Talkie-Walkie pour faciliter les échanges au quotidien. Afin de renforcer l'intégration, certains appareils vont intégrer un bouton physique "push to talk" (appuyer pour parler) afin de reproduire l'expérience d'un véritable Talkie-Walkie. Plusieurs fabricants de smartphones sont déjà sur le coup : Zebra, Crosscall et HMD Global. Bien sûr, cette fonction nécessite l'utilisation du réseau de données mobiles ou du WiFi pour fonctionner.

Le Talkie-Walkie dans Teams

Ensuite, une seconde fonctionnalité qui permettrait de couper le son des notifications pendant une réunion devrait voir le jour en février. Grâce à cette légère amélioration, les utilisateurs ne seront plus déconcentrés par le bruit des notifications pendant qu'une réunion est en cours. Cette option sera activable sur toutes vos réunions, ou alors seulement sur une réunion spécifique (ce sera intégré directement dans les réglages de Teams). Cette fonction a été ajoutée à la feuille de route de Teams assez récemment, suite aux remontées de nombreux utilisateurs qui jugent ces notifications pénibles et distrayantes.

Enfin, il ne faut pas oublier une troisième nouveauté qui pourrait intéresser certains utilisateurs : la possibilité de communiquer entre Teams pour les particuliers et Teams "Pro", via la fonction de chat uniquement (pour l'instant en tout cas). Le déploiement de cette fonctionnalité est en cours, et elle sera activée par défaut sur les tenants Office 365 / Microsoft 365. A partir du centre d'administration Teams (ou de PowerShell), l'option pourra être désactivée.

Source

The post Microsoft Teams : fonction Talkie-Walkie et mode muet pour les réunions first appeared on IT-Connect.

Chrome va limiter l’accès au réseau local à partir des sites Web

18 janvier 2022 à 10:23

Google souhaite renforcer la sécurité de son navigateur Chrome en empêchant les sites Web d'accéder aux ressources situées sur votre réseau local, pour une raison évidente de sécurité. Voici ce qu'il faut savoir au sujet de cette nouveauté.

Afin de lutter contre les intrusions effectuées à partir du navigateur, Google Chrome va intégrer une nouvelle fonctionnalité de sécurité qui va empêcher les sites Web, c'est-à-dire les sites publics, d'accéder directement aux ressources situées sur le réseau local (ou privé) auquel est connectée la machine de l'utilisateur.

L'intégration de cette nouvelle fonctionnalité va être réalisée en deux temps. Une première phase d'intégration sera effectuée à l'occasion de la sortie de Chrome 98, avant une intégration définitive au sein de Chrome 101. Pour rappel, Chrome est aujourd'hui en version 97. Une nouvelle spécification W3C baptisée PNA pour Private Network Access sera implémentée à cette occasion.

Comme l'explique l'équipe de Google, lorsqu'un site Web souhaitera accéder à des ressources situées sur un réseau privé, une demande de contrôle CORS sera envoyée afin de demander une autorisation explicite. Pour être précis, un nouvel en-tête "Access-Control-Request-Private-Network : true" sera ajouté et il attendra une réponse sous la forme "Access-Control-Allow-Private-Network : true". Google précise que ce mécanisme de sécurité permettra de protéger les utilisateurs contre les attaques de type CSRF.

Au sujet des demandes de contrôle CORS, voici ce que dit le site de Mozilla : Le "Cross-origin resource sharing" (CORS) ou "partage des ressources entre origines multiples" est un mécanisme qui consiste à ajouter des en-têtes HTTP afin de permettre à un agent utilisateur d'accéder à des ressources d'un serveur situé sur une autre origine que le site courant.

Concrètement, à partir de Chrome 101, tout site Web (accessible via Internet) devra demander l'autorisation explicite au navigateur avant de pouvoir accéder aux ressources du réseau interne, via ce mécanisme de sécurité "PNA". La sortie en version stable de Chrome 101 est prévue pour le 26 avril 2022, d'après la feuille de route officielle.

Source

The post Chrome va limiter l’accès au réseau local à partir des sites Web first appeared on IT-Connect.

Roidmi Eve Plus : un aspirateur robot avec une fonction de stérilisation

18 janvier 2022 à 08:45

Roidmi fait partie de la longue liste de constructeurs sous la houlette de Xiaomi, et ce fabricant spécialisé dans les aspirateurs balais s'est lancé dans les aspirateurs robots avec le Roidmi Eve Plus. Cela lui permet de bénéficier du savoir-faire de Roborock dans le domaine. Découverte.

Commençons la présentation par quelques caractéristiques clés : puissance d'aspiration de 2700 Pa, navigation via un capteur laser (LiDAR), pilotable à partir d'une application mobile avec gestion d'une carte de votre domicile, compatible Amazon Alexa, Mi Home et Google Assistant, batterie de 5200 mAh pour une autonomie jusqu'à 250 minutes, etc.

Le Roidmi Eve Plus est un aspirateur robot 2-en-1 puisqu'il intègre également une fonction de lavage du sol grâce à une serpillière qui s'installe directement sur le robot (avec un réservoir d'eau de 220ml). Désormais, c'est une fonction assez standard sur les aspirateurs robots, mais malgré tout elle apporte un bon complément au système d'aspiration traditionnel. Son capteur laser lui permettra de détecter et d'éviter les objets, les murs, les meubles, mais aussi de mémoriser son parcours. Par exemple, si le robot n'a plus de batterie en cours de nettoyage, il pourra retourner se charger puis ensuite reprendre le nettoyage là où il en était.

À la fin du nettoyage, il retournera à sa station de charge qui est en fait une station d'autovidage pour la poussière. La poussière et les déchets collectés pendant le processus de nettoyage seront aspirés par la station d'autovidage, et le sac de cette station devrait vous permettre de tenir 60 jours avant d'être changé (ou vidé) à son tour. Au quotidien, c'est une fonctionnalité appréciable puisqu'il n'est pas nécessaire de vider le réservoir à poussière du robot à la fin de chaque nettoyage : ce processus est automatique.

Ce modèle présente la particularité d'avoir un système d'autostérilisation intégré à la station de charge : probablement un atout supplémentaire en cette période de pandémie. Qu'est-ce que cela signifie ? Grâce à la présence du filtre HEPA mais aussi de la technologie Active Oxygen, le robot est capable d'éliminer 99,99% des bactéries et virus présents au sein des poussières collectées.

Au niveau de l'application officielle, Roidmi souhaite tirer profit au maximum des capteurs du robot, notamment le capteur laser, en générant une cartographie précise de votre domicile. L'intérêt de cette carte, c'est de permettre de créer différentes zones correspondantes à vos pièces, et de créer des zones à exclure. Par exemple, s'il y a une zone où l'aspirateur robot ne doit pas effectuer de nettoyage, vous pouvez créer une limite virtuelle sur la carte pour exclure la zone. C'est le genre de petit détail qui fait la différence au quotidien !

Sortie en 2021, le modèle Roidmi Eve Plus semble proposer un très bon rapport qualité/prix puisqu'il est vendu 429,99 euros (et on peut le trouver de temps en temps en promotion).

Pour finir, voici deux liens utiles :

The post Roidmi Eve Plus : un aspirateur robot avec une fonction de stérilisation first appeared on IT-Connect.

Test devolo Magic 2 WiFi 6 : des boîtiers CPL avec WiFi 6

18 janvier 2022 à 09:00

I. Présentation

Fin 2021, la société Allemande devolo a dévoilée un nouveau kit nommé "devolo Magic 2 WiFi 6" qui mixe à la fois le CPL et le WiFi, mais pas n'importe quelle norme WiFi puisque ces boîtiers CPL sont équipés du WiFi 6 ! C'est le grand changement par rapport à la génération précédente et devolo précise sur son site qu'il s'agit du premier adaptateur CPL WiFi 6 au monde.

Spécialiste du CPL, devolo propose depuis quelques années des systèmes performants qui regroupent le CPL et le WiFi dans un seul boîtier. Le CPL de la solution Magic 2 WiFi 6 repose sur la norme Gigabit Home Networking (G.hn), ce qui en théorie donne un débit de 2,4 Gbit/s. Pour la partie WiFi 6 (802.11ax), la bande passante peut atteindre 1,8 Gbit/s, ce qui est une augmentation conséquente par rapport au WiFi 5.

Rappel : la technologie CPL utilise le réseau électrique de votre habitation pour transmettre le signal du réseau informatique, tandis que le WiFi utilise les ondes radio.

devolo Magic 2 WiFi 6

Dans le but d'optimiser les performances et d'avoir un réseau WiFi le plus efficient possible, devolo a intégré à sa solution plusieurs fonctionnalités. À ce titre, le WiFi 6 permet l'utilisation de la fonction OFDMA (Orthogonal Frequency-Division Multiple Access) pour diviser chaque canal de fréquence en plusieurs sous-canaux afin de mieux supporter les flux lorsque de nombreux appareils sont connectés au réseau. Une amélioration importante disponible depuis la sortie du WiFi 6.

On retrouve aussi le MU-MIMO (Multi-User MIMO) qui permet de réduire la latence et d'avoir plusieurs antennes WiFi afin d'améliorer les performances (débit montant et débit descendant). Pour les fonctionnalités du logiciel, j'en parlerai plus en détail dans la suite de ce test.

II. Le Kit Devolo Magic 2 WiFi 6

Si vous me dites que le design n'évolue pas beaucoup chez devolo, je ne vais pas vous dire le contraire. Mais, en même temps, c'est propre et la boite contient de nombreuses informations sur le fonctionnement du kit ce qui est intéressant pour le consommateur, donc pourquoi changer ?

Chaque boîtier CPL est bien positionné dans la boîte et il est protégé par un film plastique. Dans ce kit Multiroom, nous retrouvons le boîtier CPL-LAN (le plus compact), deux boîtiers CPL+WiFi, un câble RJ45 Cat.5e et un guide de démarrage rapide en plusieurs langues dont le français. Dommage qu'il n'y ait qu'un seul câble RJ45 inclus.

D'un point de vue esthétique, les boîtiers n'ont pas évolué : il reste blanc, assez élégant et avec la mention "devolo" en relief à la verticale sur chacun d'entre eux. Une petite nouveauté sur le design pour fêter l'arrivée du WiFi dans les boîtiers CPL devolo, j'avoue que ça m'aurait bien plu ! À vrai dire, les changements sont plutôt techniques, sous le capot comme on dit, notamment avec l'intégration du WiFi 6.

Chaque boîtier intègre une prise de courant afin de ne pas perdre l'usage de la prise utilisée par chaque adaptateur CPL. La puissance totale supportée par chaque boîtier CPL est de 3 500 Watts.

Test devolo Magic 2 WiFi 6

Le boîtier CPL-LAN intègre un port RJ45 pour se connecter à votre box, tandis que les boîtiers CPL-WiFi intègre chacun deux ports RJ45 1 Gbit/s afin de connecter des appareils en direct.

III. Mise en route

A. Initialiser le kit

Que ce soit avec le Kit Multiroom (présenté dans cet article) ou le Kit Starter (voir tout en bas de l'article les différents kits), l'installation débute avec un boîtier CPL-LAN qui n'a pas de WiFi et qui doit être connecté à la box (peu importe la box, le système devolo fonctionne avec toutes les box). Ensuite, on vient ajouter à son installation un ou plusieurs adapteurs CPL+WIFI 6 pour étendre la portée de son réseau WiFi et créer ce que l'on appelle le réseau WiFi Mesh.

En suivant les étapes décrites dans le guide utilisateur inclus dans la boîte, on parvient à mettre en fonctionnement le kit en quelques minutes. Il suffit de suivre les étapes avec un minimum de rigueur, bien sûr !

Quand les voyants sont blanc fixe sur les différents boitiers, c'est que tout est bon !

B. La configuration du kit Devolo

À partir de l'application Home Network de devolo, ont peut visualiser l'état des boîtiers CPL et accéder à l'ensemble de la configuration. C'est appréciable de pouvoir effectuer toute la configuration à partir de son smartphone directement.

L'application affiche une vue d'ensemble du réseau avec les connexions entre les différents boîtiers CPL. En appuyant sur un boîtier, on peut accéder à son état, ce qui permet de visualiser le nombre d'appareils connectés sur ce boîtier ou les réseaux WiFi diffusés, mais aussi à sa configuration.

Toujours au sein de l'application, un menu latéral permet d'accéder aux différentes sections de la configuration de chaque boitier CPL. La solution devolo est plug-and-play dans le sens où c'est opérationnel une fois l'initialisation terminée. La partie configuration est là pour les utilisateurs avertis qui souhaitent aller plus loin dans la mise en œuvre, notamment en activant certaines options (exemple : le fast roaming 802.11r) ou fonctionnalités (exemple : le réseau WiFi pour les invités).

À partir d'un navigateur et d'un ordinateur, si l'on saisit l'adresse IP d'un boîtier CPL, on peut accéder à sa configuration en mode Web. C'est un peu plus confortable que sur mobile, disons.

Je vous recommande de définir le mot de passe d'accès à la configuration, car par défaut, ce n'est pas protégé par mot de passe. C'est dommage et il me semble que j'ai déjà fait cette remarque dans l'un de mes précédents articles devolo.

Le réseau WiFi pour les invités peut être activé via la configuration, sur l'une ou l'autre bande de fréquence WiFi, et avec le nom que l'on souhaite. Pour renforcer la sécurité de ce réseau, on peut partir sur le WPA3 ou autoriser WPA2 et WPA3. En bonus, un QR code est affiché à l'écran et permettra aux invités de se connecter en scannant simplement le code.

D'autres options sont disponibles comme la possibilité d'activer le WiFi selon un planning, ou d'activer le contrôle parental. Le contrôle parental ne permet pas de faire du filtrage de contenu, mais d'activer la connexion de certains appareils (identifiés par l'adresse MAC) uniquement sur certaines plages horaires.

C. Les performances

Le kit devolo Magic 2 WiFi 6 est en place, ce qui signifie que l'on va pouvoir s'intéresser aux performances. Puisqu'il est possible de se connecter en sans-fil via WiFi 6 ou en filaire via RJ45, je vais aborder les deux cas de figure.

  • Connexion filaire

La connexion filaire va exploiter le réseau CPL, c'est-à-dire le réseau électrique de l'habitation pour transiter. Avec un débit théorique estimé à 2,4 Gbit/s, ce qui est très élevé, mais cela va dépendre aussi de la qualité du réseau électrique. Il y aura forcément des perturbations donc ce débit ne sera jamais atteint. Et puis, n'oublions pas de toute façon que les ports RJ45 sur les boîtiers CPL sont limités à 1 Gbit/s donc un seul et même équipement ne pourra jamais atteindre 2,4 Gbit/s.

Avec une interface Ethernet 1 Gbit/s sur le PC (comme le boîtier CPL), on obtient un débit montant et descendant aux alentours de 38 Mo/s pour un transfert de fichiers via le protocole SMB. En fonction des emplacements dans la maison, le débit est variable, ce qui prouve que le CPL est impacté par le réseau électrique en lui-même.

  • Connexion sans-fil

Tout d'abord, j'ai pu constater que Windows 11 détecte bien la connexion en WiFi 6 et j'ai même le droit à une petite notification au niveau du système.

Pour le réseau sans-fil, je vais utiliser mon PC portable, qui est une Surface Pro 7 : cela tombe bien, car elle dispose d'une carte réseau WiFi 6. Sans réelle surprise, j'obtiens des résultats similaires à la connexion via RJ45 puisque tout transite par le réseau CPL.

Les flux du réseau WiFi 6 vont forcément transiter par le réseau CPL, donc les performances du réseau CPL vont indirectement impacter celles du réseau WiFi 6.

Au-delà des performances améliorées, ce qui me semble particulièrement intéressant avec le WiFi 6, c'est la capacité du réseau sans-fil à supporter les connexions d'un grand nombre d'appareils en même temps. À la maison, nous avons de plus en plus d'appareils connectés au réseau WiFi : smartphones, ordinateurs, tablettes, assistants vocaux, caméras, interrupteurs connectés, consoles de jeux, etc... On peut vite atteindre une vingtaine d'équipements en ligne.

Je vais prendre un cas concret : en général, ma box sature assez rapidement lorsqu'il y a plusieurs sessions de streaming en même temps, compte tenu du fait qu'il y a déjà de nombreux appareils connectés au WiFi (alors que la bande passante internet est largement suffisante). Avec l'ajout des boîtiers devolo et la mise en place du système WiFi Mesh, ces latences ne sont plus qu'un lointain souvenir !

IV. Conclusion

Le kit CPL+WiFi 6 proposé par devolo est suffisamment performant pour me satisfaire ! Il répond à une réelle problématique : celle de la performance du réseau WiFi à la maison, un endroit où le nombre d'équipements à connecter ne cesse d'augmenter. La mise en route est facile et l'application permet de personnaliser l'installation grâce à quelques options additionnelles.

Grâce aux deux prises RJ45 intégrées à chaque boîtier CPL, cela permet de connecter des appareils par câble, ce qui dans certains cas est bien pratique (box TV, ordinateur fixe, etc.). J'ai une petite déception au niveau du boîtier LAN, car j'aurais bien aimé qu'il intègre le WiFi 6 afin de pouvoir bénéficier d'une connexion WiFi 6 sans devoir transiter par le réseau CPL.

Il est à noter que la gamme devolo Magic 2 WiFi 6 se décline en plusieurs versions afin de répondre à différents besoins, notamment des habitations plus ou moins grandes :

  • Multiroom Kit : composé d'un adaptateur CPL-LAN et de deux adaptateurs CPL-WiFi, il est au tarif de 399,90 € - Voir sur Amazon
  • Starter Kit : composé d'un adaptateur CPL-LAN et d'un adaptateur CPL-WiFi, il est au tarif de 239,90 € - Voir sur Amazon
  • Kit d'extension : composé d'un adaptateur CPL-WiFi pour étendre son installation Magic 2, il faut compter 179,90 € - Voir sur Amazon

Il est tout à fait possible d'acheter un kit Starter ou Multiroom et d'ajouter un ou plusieurs adaptateurs CPL-WiFi supplémentaires par la suite. C'est une solution évolutive.

The post Test devolo Magic 2 WiFi 6 : des boîtiers CPL avec WiFi 6 first appeared on IT-Connect.

Windows 10 et Windows Server : voici les nouveaux correctifs de janvier

19 janvier 2022 à 06:58

Suite aux différents bugs causés par les mises à jour de janvier, Microsoft vient de publier en urgence de nouvelles mises à jour à destination de Windows Server et de Windows (desktop). Faisons le point.

D'après les informations fournies par Microsoft, ces mises à jour Out-of-band (OOB) vont permettre de corriger plusieurs bugs :

L'ensemble de ces mises à jour sont disponibles via le Microsoft Catalog, afin de permettre un téléchargement puis une installation manuelle, mais aussi via Windows Update pour certaines d'entre elles. La petite subtilité au niveau de Windows Update, c'est que la nouvelle mise à jour apparaîtra sur le système en tant que mise à jour optionnelle. Cela signifie qu'elle ne s'installera pas automatiquement.

Voici les deux mises à jour disponibles uniquement via le Microsoft Catalog (pour une raison que j'ignore) :

Au sein de Windows Update, en tant que mise à jour optionnelle, vous pouvez retrouver les KB suivantes :

  • Windows 11 version 21H1 : KB5010795
  • Windows Server 2022 : KB5010796
  • Windows 10 version 21H2 : KB5010793
  • Windows 10 version 21H1 : KB5010793
  • Windows 10 version 20H2, Windows Server version 20H2 : KB5010793
  • Windows 10 version 20H1, Windows Server version 20H1 : KB5010793
  • Windows 10 version 1909, Windows Server version 1909 : KB5010792
  • Windows 10 version 1607, Windows Server 2016 : KB5010790
  • Windows 10, version 1507 : KB5010789

Ces deux systèmes obsolètes ont également une mise à jour hors bande :

La mise à jour pour Windows Server 2019 est désormais disponible, sur le même principe que les autres mises à jour : KB5010791.

Même si la marche à suivre pour installer ces mises à jour n'est pas précisée, vu que c'est indiqué "Mise à jour cumulative", j'imagine que ces mises à jour remplacent celles publiées initialement. Autrement dit, il n'est pas nécessaire d'installer la mise à jour foireuse puis ensuite le correctif optionnel pour corriger le tir.

Il ne reste plus qu'à tester pour en avoir le cœur net... N'hésitez pas à partager vos retours en commentaires.

Source

Article mis à jour le 19 janvier 2022.

The post Windows 10 et Windows Server : voici les nouveaux correctifs de janvier first appeared on IT-Connect.

Windows 11 pourrait s’ouvrir aux widgets des éditeurs tiers

17 janvier 2022 à 16:32

Le panneau des widgets de Windows 11 est l'une des nouveautés phares du système d'exploitation de Microsoft, et pourtant on sent que cette fonctionnalité ne fait pas l'unanimité. Microsoft prévoit des changements : est-ce que ce sera suffisant ?

Que ce soit pour accéder à sa liste de tâches, aux dernières actualités, à la météo, ou encore à son calendrier, il existe une solution native sous Windows 11 : le panneau des widgets. Pour le moment, ce système de widgets se limite aux widgets proposés par Microsoft, ce qui limite les possibilités.

Pour essayer d'attirer un peu plus les utilisateurs et les développeurs, Microsoft pourrait autoriser l'intégration de widgets publiés par des éditeurs tiers. Cela pourrait le rendre aussi plus utile.

Information about third party widgets, publishing widgets and more. Looks like Microsoft is soon going to announce third party widgets officially.#Windows11 pic.twitter.com/ASRD98IMI6

— FireCube (@FireCubeStudios) January 16, 2022

Ce qui laisse penser cela, c'est le règlement de la boutique Microsoft où il serait précisé que le panneau des widgets va être amélioré de manière significative, notamment en acceptant les widgets des éditeurs tiers. Ce changement pourrait arriver lors de la sortie de la prochaine mise à jour majeure : Windows 11 22H2, d'ici quelques mois.

À mon avis, c'est une bonne idée de la part de Microsoft pour essayer de relancer le panneau des widgets. À moins que je sois le seul à ne pas l'utiliser actuellement ? 🙂

Source

The post Windows 11 pourrait s’ouvrir aux widgets des éditeurs tiers first appeared on IT-Connect.

La clé USB, l’éternel objet publicitaire pour les entreprises

17 janvier 2022 à 06:00

Que ce soit pour réaliser une opération de communication auprès de ses clients ou de prospects, ou tout simplement pour faire plaisir à ses salariés, les objets publicitaires personnalisés restent très à la mode. À commencer par l'indétrônable clé USB.

La clé USB, objet publicitaire à la mode

Depuis plusieurs années, la tendance est au Cloud computing et au stockage des données dans ce fameux nuage. Néanmoins, le stockage des données sur clés USB continue de résister, et cela se traduit aussi au niveau des cadeaux effectués sous la forme d'objets publicitaires : la clé USB publicitaire continue de plaire, car on peut l'utiliser au quotidien pour stocker des données. Qu'on aime ou qu'on n'aime pas les clés USB, pour une majorité de personnes ce sera perçu comme un cadeau utile.

Il faut dire que les entreprises spécialisées dans le merchandising ne manquent pas d'imagination. Il suffit d'effectuer quelques recherches pour trouver des clés USB personnalisables aux formats et matériaux originaux : clé USB au format carte de crédit, clé USB en bois, clé USB en carton recyclé, clé USB intégrée dans un stylo, ou encore une clé USB contenue dans un bracelet. De quoi surprendre et renforcer la satisfaction, le privilège, de recevoir ce cadeau. Il suffira de choisir le bon format en fonction de l'événement.

On retrouve beaucoup de clés USB publicitaires sur les salons, car au-delà de faire un cadeau, l'entreprise en profite généralement pour inclure son dernier dossier de presse, des fichiers produits, etc. Indirectement, il y a un intérêt écologique, car cela évite d'imprimer et de distribuer des brochures à tour de bras.

Une campagne publicitaire durable

La clé USB est également un cadeau qui dur dans le temps, donc c'est une bonne stratégie pour créer une campagne publicitaire durable : si elle est utilisée au quotidien, elle sera aperçue au quotidien par différentes personnes et comme le logo de votre entreprise est imprimé dessus, c'est parfait. Si elle est jolie et originale, cela suffira pour que l'on ait envie de la montrer à ses collègues : un beau coup de la part de l'entreprise qui est à l'origine de cette campagne marketing.

Je profite de cet article pour vous rappeler l'importance de sauvegarder vos données. Comme tout espace de stockage, la clé USB est potentiellement défaillante, et surement plus qu'un disque dur classique ou un disque SSD. À mon sens, la clé USB doit être utilisée pour stocker des copies de fichiers. Cela est vrai que ce soit parce que l'on a besoin de transférer des données entre plusieurs machines, ou que l'on souhaite accéder à des données à partir de n'importe quel ordinateur.

Les alternatives high-tech aux clés USB

Même si les clés USB présentent l'avantage de s'adresser aussi bien à un usage personnel que professionnel (selon les politiques de sécurité de l'entreprise), elles ne sont pas les seuls objets publicitaires high-tech qui sont susceptibles de faire plaisir !

À mon sens, nous pouvons retrouver aussi les batteries externes, les enceintes portables Bluetooth, les chargeurs à induction et les câbles de recharge 3-en-1. Une fois logoté avec l'enseigne de votre entreprise, ces produits ont également un pouvoir marketing intéressant. En interne, le fait d'offrir des objets aux couleurs de l'entreprise à ses salariés permet de renforcer le sentiment d'appartenance à une équipe.

Après avoir évoqué tous ces objets publicitaires, il ne me reste plus qu'à imaginer les premiers objets high-tech aux couleurs d'IT-Connect... 🙂

The post La clé USB, l’éternel objet publicitaire pour les entreprises first appeared on IT-Connect.

Microsoft a corrigé une vulnérabilité wormable dans Windows HTTP

17 janvier 2022 à 16:07

À l'occasion du Patch Tuesday de janvier 2022, Microsoft a corrigé la vulnérabilité CVE-2022-21907 au sein de l'implémentation du protocole HTTP. Cette faille critique est wormable, ce qui signifie qu'elle est exploitable par un ver informatique.

La CVE-2022-21907 est une faille de sécurité de type "exécution de code à distance" au sein de l'implémentation du protocole HTTP (http.sys), et elle touche les versions récentes de Windows (desktop) et Windows Server. Par "versions récentes", j'entends Windows 10 à partir de la version 1809 (sauf la version Windows 10 version 1909), Windows 11, Windows Server 2019 et Windows Server 2022. Pour les deux versions de Windows Server, les installations "core" c'est-à-dire sans interface graphique sont également touchées.

Le fichier http.sys est utilisé par les serveurs Web IIS (Internet Information Services) pour être en écoute et traiter les requêtes HTTP. Une personne malveillante pourrait envoyer une requête malicieuse à destination du serveur Web afin d'exploiter cette faille de sécurité. En exploitant cette faille de sécurité, l'attaquant peut réussir à exécuter du code malveillant sur le serveur cible. Néanmoins, http.sys n'est pas un composant de IIS, mais de Windows, donc un autre programme peut très bien s'appuyer sur ce composant "http.sys" et exposer la machine.

La question que l'on se pose, c'est : comment protéger ses serveurs et ses postes ? La solution est simple, c'est d'installer les dernières mises à jour de Windows puisque cette faille de sécurité est corrigée dans le Patch Tuesday de janvier 2022, mais attention aux dommages collatéraux.

En effet, même s'il y a peu de chance que vous soyez passé à côté de l'information, sachez que les dernières mises à jour pour Windows 10, Windows 11 et Windows Server ont créé d'énormes problèmes sur les postes de travail (VPN) et surtout les serveurs (contrôleur de domaine, Hyper-V, volumes ReFS).

Microsoft explique que, par défaut, Windows Server 2019 et Windows 10 version 1809 ne sont pas vulnérables, à moins que la fonctionnalité HTTP Trailer Support soit activée sur la machine. Si c'est le cas, il faut supprimer la clé de Registre "EnableTrailerSupport" sous "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters".

Si vous ne souhaitez pas installer la mise à jour dès maintenant (ce que je peux comprendre) et que vous êtes sûr qu'aucun service Web ne tourne sur vos machines, vous pouvez bloquer temporairement "http.sys" à l'aide d'une clé de Registre spécifique afin de protéger vos machines. La marche à suivre est expliquée par Sophos sur cette page (section "What to do ?").

Cette faille de sécurité peut être exploitée sans interaction de la part de l'utilisateur, ce qui signifie qu'un serveur infecté pourrait lui-même infecter une autre machine vulnérable, et ainsi de suite... C'est pour cela que l'on dit que la vulnérabilité est wormable.

Source

The post Microsoft a corrigé une vulnérabilité wormable dans Windows HTTP first appeared on IT-Connect.

Comment mettre en place le MFA sur Office 365 ?

17 janvier 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment mettre en place l'authentification multifacteur (MFA) au sein d'Office 365. Les informations de cet article pourront vous aider également si vous utilisez Azure AD sans Office 365.

Je vais commencer par quelques rappels sur l'authentification multifacteur et les licences nécessaires (ou non), avant de parler de la mise en œuvre technique du MFA avec Office 365.

II. Rappel sur l'authentification multifacteur

Lorsqu'un utilisateur se connecte à un compte, que ce soit sur Office 365 ou un autre site, et bien il doit saisir son mot de passe personnel afin de s'authentifier. Grâce à l'authentification multifacteur, l'utilisateur devra définir une seconde méthode d'authentification afin de se connecter à son compte : le mot de passe seul ne suffira plus. Par exemple, l'utilisateur devra saisir son mot de passe puis un code reçu par SMS (en guise de second facteur d'authentification).

Même si l'on parle d'un avenir sans mot de passe, il est fortement recommandé de mettre en place l'authentification multifacteur afin de renforcer la sécurité des accès.

Pour utiliser l'authentification multifacteur, il faut :

  • Un élément que vous connaissez : votre mot de passe
  • Un élément unique que vous possédez : votre numéro de téléphone portable pour recevoir un code par SMS, une application d'authentification, une clé de sécurité (celles de chez Yubico sont assez populaires !) ou un jeton matériel
  • Un élément biométrique que vous possédez : l'empreinte digitale ou la reconnaissance faciale

Vous l'aurez compris, il faudra utiliser la combinaison de votre mot de passe et de l'un des facteurs évoqués ci-dessus. Parmi les méthodes d'authentification disponibles chez Microsoft, vous avez plusieurs choix possibles :

  • L'application d'authentification Microsoft Authenticator (ou équivalent) pour générer des codes à usage unique
  • Le numéro de téléphone afin de recevoir un code à usage unique par SMS
  • Le numéro de téléphone afin de recevoir un appel téléphonique automatique pour confirmer l'authentification via l'appui sur une touche spécifique
  • La clé de sécurité (ou le jeton matériel) qui doit être connecté sur votre poste afin de valider l'authentification

III. Office 365 : faut-il une licence pour le MFA ?

Sur le Cloud Microsoft, de nombreuses fonctionnalités sont soumises à l'utilisation d'une licence spécifique. Dans certains cas, les licences additionnelles permettent de débloquer des options supplémentaires. En fait, c'est le cas du MFA puisque c'est une fonctionnalité gratuite, mais avec des options limitées.

Pour bénéficier de fonctionnalités ou de plus de méthodes d'authentification, il faut recourir à des licences spécifiques. Avec Office 365, on est plutôt bien servi, ce qui n'est pas forcément le cas pour une utilisation d'Azure AD sans Office 365.

Sur son site, Microsoft propose un tableau de synthèse qui permet d'y voir plus clair à ce sujet, voici le lien : Microsoft Docs - Licensing MFA

Office 365 : licensing MFA
Office 365 : licensing MFA

Sur un tenant Office 365, l'utilisation d'une licence Azure AD Premium P1 ou P2 permettra d'accéder à des fonctionnalités supplémentaires, comme les rapports d'utilisation du MFA. Cette licence doit être attribuée aux utilisateurs en plus de leur licence Office 365, ce qui va forcément ajouter des coûts supplémentaires. En fait, tout dépend des fonctionnalités dont vous avez besoin. Malgré tout, je tiens à (re)préciser que le MFA en lui-même est inclus de base avec les licences Office 365.

Note : la licence Azure AD Premium P1 intègre d'autres fonctionnalités intéressantes comme le portail de réinitialisation du mot de passe en libre-service.

Au sein d'Office 365, l'authentification multifacteur s'applique à toutes les applications Office 365. Par exemple, cela s'applique au portail Office 365, à la connexion via le client OneDrive ou encore au sein d'Outlook. Par contre, l'authentification sur un poste Windows avec un compte Office 365 ne sera pas protégée par le MFA.

Passons maintenant à la mise en œuvre du MFA.

IV. MFA et les options de sécurité par défaut

Dans la documentation de Microsoft, on peut lire : "Si votre locataire (tenant) a été créé le 22 octobre 2019 ou à une date ultérieure, il est possible que les paramètres de sécurité par défaut soient activés dans votre locataire.". Avec les paramètres de sécurité par défaut, le MFA est automatiquement activé sur l'ensemble des utilisateurs. Lors de la mise en route d'un tenant Office 365, il est courant de désactiver cette option... Je vous invite à vérifier l'état de cette option via le portail Microsoft Azure.

Sur ce portail, accédez à Azure Active Directory et cliquez sur "Propriétés" dans le menu à gauche.

Ensuite, descendez dans la page, tout en bas, afin de trouver le lien "Gérer les paramètres de sécurité par défaut". Cliquez sur le lien, un panneau latéral va s'ouvrir et vous allez voir l'état de l'option "Activer les paramètres de sécurité par défaut". Afin de réaliser un déploiement progressif du MFA auprès de vos utilisateurs, cette option doit être désactivée sinon vous n'avez pas le contrôle.

Paramètres de sécurité par défaut : MFA
Paramètres de sécurité par défaut : MFA

Par exemple, lorsque cette option est activée, un message s'affiche à la connexion "Microsoft a activé les paramètres de sécurité par défaut pour garantir la sécurité de votre compte.".

Nous allons voir comment gérer le MFA au niveau des utilisateurs Office 365.

V. Configurer le MFA sur Office 365

Cette fois-ci, rendez-vous sur le portail Office 365 (ou voir ci-dessous la seconde copie d'écran). Sous le menu "Utilisateurs", cliquez sur "Utilisateurs actifs" et une fois que la page est chargée, cliquez sur le bouton "Authentification multifacteur". Un nouvel onglet dédié au MFA va s'ouvrir.

Accès à la configuration du MFA via Office 365
Accès à la configuration du MFA via Office 365

Ce menu est également accessible à partir du portail Azure. Pour cela, au sein d'Azure Active Directory, cliquez sur "Utilisateurs" puis "Tous les utilisateurs". Sur la droite, un bouton "MFA par utilisateur" sera proposé dans le même esprit que sur l'interface Office 365.

Accès à la configuration du MFA via Azure AD
Accès à la configuration du MFA via Azure AD

Avant d'activer le MFA sur un ou plusieurs utilisateurs, nous allons regarder les paramètres. Pour cela, cliquez sur l'onglet "Paramètres du service". J'attire votre attention sur plusieurs paramètres :

  • Mots de passe application : je vous recommande de désactiver cette option afin d'empêcher la génération de mots de passe d'application, car cela permet de contourner le MFA. Attention tout de même, si vous avez besoin de vous authentifier sur des appareils spécifiques ou des applications qui ne prennent pas en charge le MFA, vous êtes contraint de laisser l'option activée.
  • Mémoriser multi-factor authentication sur un appareil approuvé : dans un monde idéal, il faudrait que l'utilisateur se réauthentifie avec son mot de passe et son second facteur à chaque fois. À l'usage, c'est différent et cela risque d'être contraignant pour les utilisateurs surtout s'il s'agit du poste qu'un utilisateur utilise tous les jours... En activant cette option, vous pouvez autoriser l'ajout du poste dans la liste de confiance de l'utilisateur pour une durée spécifique (modifiable et par défaut de 90 jours). Ainsi, il pourra se connecter uniquement avec son mot de passe pendant X jours sur ce poste.

Configuration de l'authentification multifacteurs dans Office 365
Configuration de l'authentification multifacteur dans Office 365

Ces paramètres sont modifiables ultérieurement. Une fois votre choix effectué, cliquez sur "Enregistrer".

Basculez sur l'onglet "Utilisateurs", car c'est à cet endroit que vous allez pouvoir activer ou désactiver le MFA sur un ou plusieurs utilisateurs.

Plusieurs options sont possibles pour gérer le MFA :

En sélectionnant les utilisateurs dans la liste et en cliquant sur "Activer" à droite, comme sur l'exemple ci-dessous avec un seul compte.

Activer le MFA sur un utilisateur dans Office 365
Activer le MFA sur un utilisateur dans Office 365

Une fenêtre de confirmation va apparaître où il sera nécessaire de cliquer sur "Activer multi-factor authentication". Le lien "https://aka.ms/MFASetup" permet aux utilisateurs d'enregistrer leurs facteurs additionnels, mais de toute façon ce sera proposé à la prochaine connexion Web.

Le MFA va être activé uniquement sur l'utilisateur que j'ai sélectionné, en complément de ceux où le MFA est potentiellement déjà actif. Pour avoir ce contrôle par utilisateur, je vous rappelle qu'il faut désactiver les options de sécurité par défaut.

Pour éviter de le faire en mode graphique avec des cases à cocher, vous pouvez utiliser le mode "Bulk" qui s'appuie sur un CSV. Pour cela, il faut cliquer sur le bouton "Mettre à jour en bloc" et télécharger un modèle de CSV qu'il faudra ensuite charger. Ce fichier est assez simple, il suffit d'indiquer deux champs : le nom d'utilisateur et le statut souhaité pour le MFA. Voici l'exemple officiel :

Username, MFA Status
[email protected], Enabled
[email protected], Disabled
[email protected], Disabled
[email protected], Enabled
[email protected], Enabled

Une autre alternative consiste à utiliser PowerShell, mais j'aborderais ce point au sein d'un article dédié. 🙂

Lorsque l'utilisateur se connectera la prochaine fois, il devra définir un second facteur d'authentification, par exemple un numéro de téléphone afin de recevoir un SMS. Si vous avez activé l'option qui permet d'approuver les appareils, une option supplémentaire sera proposée au moment de s'authentifier :

Office 365 - Connexion MFA avec approbation d'un appareil
Office 365 - Connexion MFA avec approbation d'un appareil

VI. Conclusion

Suite à la lecture de ce tutoriel, vous êtes en mesure de mettre en place l'authentification multifacteur sur votre tenant Office 365. Même s'il est possible d'aller plus loin, en activant certaines fonctionnalités ou en s'appuyant sur PowerShell, cela vous permettra d'activer le MFA auprès d'un ou plusieurs utilisateurs.

Finalement, le plus compliqué ce n'est pas la partie technique, mais plutôt la gestion du changement auprès des utilisateurs. Pensez à bien communiquer auprès de vos utilisateurs avant l'activation, car ils auront besoin d'un minimum d'encouragement et d'accompagnement pour appréhender cette nouvelle sécurité.

Pour vous roder, vous pouvez activer le MFA sur les comptes avec des privilèges élevés dans un premier temps. Ensuite, sur un groupe pilote de quelques utilisateurs afin d'y aller progressivement. Rassurez-vous, tout va bien se passer ! 🙂

D'autres articles seront publiés au sujet du MFA sur Office 365 : restez connectés !

The post Comment mettre en place le MFA sur Office 365 ? first appeared on IT-Connect.

Le groupe de hackers REvil démantelé : 14 personnes arrêtées

17 janvier 2022 à 08:50

C'est une information très importante en matière de cybersécurité : le FSB a procédé à l'arrestation de 14 membres du groupe de hackers REvil, à l'origine de nombreuses cyberattaques notamment avec un ransomware du même nom.

Pour venir à bout du groupe de hackers REvil, il y a eu une collaboration entre les États-Unis et la Russie (ce qui pourrait surprendre) ! En effet, ce sont les autorités américaines qui ont pris contact avec le FSB, c'est-à-dire le Service fédéral de sécurité de la Fédération de Russie, afin de permettre le démantèlement du groupe de hackers REvil.

Depuis plusieurs mois, ce groupe de cybercriminels est dans le viseur de nombreux pays. D'ailleurs, en novembre dernier, les États-Unis annonçaient la couleur puisqu'une récompense pouvant atteindre 10 millions de dollars était promise à tout individu qui permettrait d'identifier ou de localiser une personne ayant une position clé au sein du groupe criminel REvil. Cela fait un moment que la pression monte et que l'étau se resserre, ce qui a permis d'identifier les membres et de planifier une vaste opération d'arrestations.

Lors de cette opération, le FSB a interpelé 14 membres du groupe REvil et 25 lieux de résidence ont été perquisitionnés, principalement dans les villes de Moscou et Saint-Pétersbourg. Sur les lieux, ils ont pu saisir une quantité d'argent en liquide assez impressionnante : pas moins de 460 millions de roubles (soit plus de 5 millions d'euros), 600 000 dollars et 500 000 euros. Ce n'est pas tout, puisque des objets et voitures de luxe ont pu être saisis, des portefeuilles cryptographiques, ainsi du matériel informatique bien sûr. Au sein de la vidéo ci-dessous, vous pouvez voir un aperçu de cette opération menée sur le terrain par le FSB :

Même si cette arrestation est une excellente nouvelle, car le groupe REvil a fait de nombreuses victimes et beaucoup de tords à certaines entreprises, il reste encore énormément de travail compte tenu de la quantité de groupes de cybercriminels toujours en activité.

The post Le groupe de hackers REvil démantelé : 14 personnes arrêtées first appeared on IT-Connect.

CES 2022 : Ecovacs Deebot X1 Omni, un robot multifonction

17 janvier 2022 à 07:00

À l'occasion du CES de Las Vegas, Ecovacs Robotics a présenté son nouvel aspirateur robot haut de gamme : le Deebot X1 Omni. Un modèle qui a remporté le prix de l'innovation au CES 2022 !

L'année commence bien pour Ecovacs Robotics : son nouvel aspirateur robot, le Deebot X1 Omni, a déjà reçu une récompense. On peut dire que cela récompense le travail d'Ecovacs puisque l'entreprise cherche toujours à innover pour proposer des appareils toujours plus aboutis. Quelles sont les nouveautés réservées par Ecovacs pour son nouveau modèle phare ?

Ecovacs Deebot X1 Omni

Tout d'abord, on peut voir qu'il y a du travail au niveau de la finition et du design, notamment au niveau de la station de charge. Pour cela, Ecovacs a collaboré avec une célèbre marque dans le domaine de l'audiovisuel : Bang & Olufsen. Surprenant, d'un côté.

Comme le modèle Deebot Ozmo T8, le Deebot X1 Omni est équipé d'un capteur laser et de la technologie AIVI 3D qui va lui permettre d'identifier et de reconnaître les objets, notamment les câbles, les chaussures, etc.... En fait, la véritable nouveauté de ce robot est ailleurs et elle se nomme YIKO.

Qu'est-ce que YIKO ? Et bien, il s'agit d'une intelligence artificielle directement intégrée au robot afin de le rendre pilotable à la voix sans passer par Amazon Alexa ou Google Assistant. Autrement dit, votre robot peut reconnaître votre voix et être piloté à distance par la voix, sans s'appuyer sur un service externe, car il intègre cette fonction via YIKO.

Ensuite, Ecovacs a fait évoluer la station de charge puisqu'il a repris le principe introduit sur le Yeedi Mop Station (une marque de chez Ecovacs), à savoir une station avec deux réservoirs d'eau : un pour l'eau propre et un pour l'eau usagée. Grâce à l'eau propre, les patins de lavage du système OZMO Turbo 2.0 sont nettoyés tandis que le second réservoir sert à collecter l'eau utilisée pour ces opérations de nettoyage. Les patins de lavage sont là pour véritablement laver le sol grâce à une rotation pouvant atteindre 180 tours par minute.

En complément, et ça la station du modèle Yeedi ne l'avait pas, cette station de charge intègre un réservoir pour collecter la poussière (ce que l'on connaissait sur d'autres modèles Deebot).

Disponible à partir d'avril 2022, l'Ecovacs Deebot X1 Omni sera disponible au prix de 1 499 euros.

The post CES 2022 : Ecovacs Deebot X1 Omni, un robot multifonction first appeared on IT-Connect.

Le ransomware Qlocker s’en prend encore aux NAS QNAP

17 janvier 2022 à 07:37

Qlocker est de retour ! Une seconde campagne d'attaques, à l'échelle mondiale, est en cours afin de compromettre puis chiffrer le contenu des NAS QNAP !

En avril 2021, Qlocker avait déjà fait parler de lui, car il avait fait plusieurs centaines de victimes, en seulement quelques jours. Résultat, les pirates informatiques avaient empoché environ 260 000 dollars en 5 jours grâce à Qlocker et aux rançons payées par les victimes (environ 500 dollars à chaque fois, pour chaque victime). Pour compromettre les NAS, il exploite des vulnérabilités connues et corrigées par QNAP. Le problème, c'est que certains NAS ne sont pas patchés par leur propriétaire : à partir de là, l'appareil devient vulnérable s'il est exposé sur Internet.

Pour rappel : le ransomware Qlocker présente la particularité de s'appuyer sur un outil que l'on connaît tous pour chiffrer les données : 7-Zip. En effet, Qlocker utilise 7-Zip pour déplacer les données au sein d'archives 7z protégées par un mot de passe.

Depuis le 6 janvier 2022, Qlocker est de retour et des attaques contre les NAS QNAP exposés sur Internet sont menées au niveau mondial. Lorsque les données de votre NAS se retrouvent chiffrées par Qlocker, un fichier nommé !!!READ_ME.txt est déposé et ce dernier contient les informations "utiles" comme l'adresse à utiliser pour payer la rançon. Le montant de la rançon se situe entre 0,02 et 0,03 bitcoin, soit entre 750 et 1120 euros. Le montant de la rançon est plus élevé que l'année dernière.

En s'appuyant sur les données du site ID-Ransomware, on peut voir un regain d'activité pour Qlocker, ce qui correspond au début de la campagne 2022.

Qlocker 2022 QNAP

L'année dernière, lors de la première campagne d'attaque, QNAP avait réagi en publiant un outil baptisé Qlocker Inspector. Une fois installé, ce paquet va analyser le journal de Malware Remover dans le but de récupérer le mot de passe permettant de déverrouiller l'archive 7-Zip créé par Qlocker. Pour le moment, nous ne savons pas s'il fonctionne pour les victimes de "Qlocker version 2022".

Quoi qu'il en soit, pensez à maintenir le système du NAS bien à jour, tout comme les paquets qu'il faut maintenir à jour. Pour renforcer la sécurité de votre NAS QNAP, vous pouvez suivre les conseils du fabricant disponibles sur cette page : Sécurisation QNAP. Cela est d'autant plus important que les appareils QNAP sont régulièrement la cible d'autres ransomwares comme eChoraix.

Source

The post Le ransomware Qlocker s’en prend encore aux NAS QNAP first appeared on IT-Connect.

Microsoft retire les mises à jour de janvier pour Windows Server

14 janvier 2022 à 07:51

De nombreuses machines sous Windows Server plantent suite à l'installation des mises à jour de janvier 2022, alors pour limiter les dégâts Microsoft a pris la décision d'arrêter la diffusion des mises à jour problématiques.

En début de semaine, Microsoft a publié les mises à jour de janvier 2022 pour ses différents OS et logiciels, et tout ne se passe pas comme prévu une fois les mises à jour installées sur certains serveurs. Pour rappel, voici les trois problèmes :

  • Le service Hyper-V ne démarre plus donc il n'est plus possible de lancer les machines virtuelles
  • Les contrôleurs de domaine redémarrent en boucle
  • Les volumes ReFS sont inaccessibles sur les serveurs

Alors que tout semble plutôt bien se passer pour Windows Server 2016, ce n'est pas le cas pour Windows Server 2012, Windows Server 2012 R2, Windows Server 2019 et Windows Server 2022. De ce fait, trois mises à jour sont identifiées comme étant problématiques :

  • Windows Server 2012 R2 : KB5009624
  • Windows Server 2019 : KB5009557
  • Windows Server 2022 : KB5009555

Suite aux nombreux retours et au mécontentement des utilisateurs, Microsoft a pris la décision d'arrêter la diffusion des mises à jour de janvier pour Windows Server, y compris pour Windows Server 2016. On peut imaginer que la firme de Redmond souhaite stopper l'hémorragie... Et se donner un peu de temps pour trouver une solution fiable.

Même si les mises à jour semblent toujours disponibles via le Microsoft Catalog, il est fortement recommandé de temporiser avant de passer à l'installation. Si c'est déjà trop tard, la seule solution consiste à désinstaller la mise à jour qui pose problème.

Les mises à jour pour Windows 10 et Windows 11 semblent toujours diffusées, même si elles font planter les connexions VPN L2TP.

Ne reste plus qu'à attendre des informations officielles de la part de Microsoft au sujet de ces différents bugs. Il faut avouer que l'on aimerait aussi des explications pour savoir ce qu'il s'est passé exactement.

Remarque : Microsoft a publié de nouvelles KB pour corriger les différents problèmes liés à Windows Server, Windows 10 et Windows 11. Plus d'infos au sein de cet article : les nouvelles KB de janvier 2022.

Source

The post Microsoft retire les mises à jour de janvier pour Windows Server first appeared on IT-Connect.
❌