FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 18 janvier 2022Flux principal

Sauvegarde Office 365 avec un NAS Synology

18 janvier 2022 à 16:00

I. Présentation

Si vous avez un NAS Synology, de l'espace disque inutilisé, et un tenant Office 365 / Microsoft 365, alors ce tutoriel devrait vous intéresser. En effet, nous allons voir comment utiliser un NAS Synology pour sauvegarder les données Office 365 à l'aide du paquet gratuit Active Backup for Microsoft 365.

Lorsque l'on utilise Office 365 pour son entreprise ou son établissement scolaire, c'est un peu risqué de compter uniquement sur Microsoft pour la sauvegarde des données. Vous allez me dire, pourquoi ? Et bien, Microsoft sauvegarde bien vos données (et le stockage est redondé), ce n'est pas le problème, mais la période de conservation par défaut est de seulement 30 jours. Par exemple, lorsqu'un fichier est supprimé de OneDrive, il est récupérable pendant 30 jours suite à sa suppression.

Pour mettre en place une véritable politique de sauvegardes de ses données stockées dans le Cloud Microsoft, soit vers un autre Cloud ou vers son infrastructure on-premise, on peut s'appuyer sur différents outils disponibles sur le marché.

Pour en citer quelques-uns : Veeam Backup for Microsoft 365, AvePoint Microsoft 365 Backup, ou encore Acronis Cyber Backup. Ce qui peut différencier ces solutions, c'est leur capacité à sauvegarder les différents éléments, notamment au sein des équipes Teams qui contiennent énormément d'informations.

Aujourd'hui, je vais vous parler d'Active Backup for Microsoft 365, disponible gratuitement sur les NAS Synology et qui va permettre de sauvegarder un bon nombre d'éléments. En effet, vous pouvez sauvegarder les boîtes aux lettres, les contacts, les calendriers, ainsi que les espaces de stockage OneDrive et SharePoint. Puisque Teams stockent ses fichiers dans des sites SharePoint, ces données peuvent être sauvegardées avec cet outil.

Note : la solution proposée par Synology prend en charge les différents plans de licences, aussi bien Business, Enterprise que Education.

La présentation étant faite, nous allons pouvoir passer à la partie pratique. Je pars du principe que vous disposez déjà d'un tenant Office 365 et que votre NAS Synology est déjà en place avec un partage (qui sera utilisé pour stocker les sauvegardes). Mon NAS Synology tourne sous DSM 7 (mais ce paquet existe sur les versions précédentes).

Si vous avez besoin d'aide pour créer votre tenant Office 365, vous pouvez suivre ce tutoriel :

II. Installation d'Active Backup for Microsoft 365

La première étape consiste à installer le paquet "Active Backup for Microsoft 365" à partir du Centre de paquets de DSM. Il suffit de rechercher le paquet et de cliquer sur le bouton "Installer".

Installation du paquet Active Backup for Microsoft 365
Installation du paquet Active Backup for Microsoft 365

Un assistant va s'exécuter. Il est nécessaire d'activer le paquet à l'aide d'un compte Synology (gratuit) alors cliquez sur le bouton "Activer".

Acceptez la "Déclaration de confidentialité" et connectez-vous avec votre compte Synology, ou créez un compte le cas échéant. Lors de la création du compte, un code de sécurité est envoyé sur l'adresse e-mail renseignée.

Après s'être connecté avec un compte Synology, le paquet est activé. C'est tout bon.

Passons à la seconde étape, qui est de loin la plus technique : l'inscription de l'application Azure pour Active Backup.

III. Inscrire l'application Azure pour Synology

L'inscription d'une nouvelle application au sein d'Azure peut être effectuée à partir du portail d'administration d'Azure, à coup de clics. Pour simplifier l'inscription de l'application conformément aux prérequis de Synology, notamment pour attribuer les bonnes autorisations, le fabricant fournit un script PowerShell nommé "AppGenerator.ps1".

Commencez par télécharger le script via ce lien officiel : AppGenerator.ps1

Ce script est clean et il va réaliser différentes actions, notamment l'inscription d'une application, l'ajout des autorisations et la génération d'un certificat pour l'authentification.

Note : si le module AzureAD n'est pas présent sur votre machine, le script va l'installer.

Ouvrez une console Windows PowerShell en tant qu'administrateur. Commencez par définir la politique d'exécution PowerShell sur "RemoteSigned" uniquement pour le processus en cours (cette console). Ce script est signé par Synology.

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process

Ensuite, déplacez-vous dans le dossier où se situe le script AppGenerator.ps1 que vous venez de télécharger. Pour ma part, c'est dans le dossier "C:\TEMP".

cd C:\TEMP\

Enfin, il ne reste plus qu'à exécuter le script :

.\AppGenerator.ps1

Confirmez que vous souhaitez exécuter le script signé par Synology Inc en précisant "O" puis Entrée.

Exécution du script AppGenerator.ps1 de Synology
Exécution du script AppGenerator.ps1 de Synology

Au début de l'exécution du script, le message "Before generating your Azure AD application, please enter a password you wish to use to protect the certificate" s'affiche. Vous devez préciser un mot de passe qui va servir à protéger le certificat (pour la clé privée).

Ensuite, il faut s'authentifier auprès de votre environnement Office 365 avec un compte administrateur afin que le script puisse inscrire l'application.

À la fin, le message "Congratulations! Your Azure application has been successfully generated" s'affiche : tout s'est bien passé. Il faut noter les valeurs de "Tenant ID" et "Application ID" car nous en aurons besoin dans un second temps. Le certificat au format PFX est disponible dans le répertoire courant du script.

Remarque : ces valeurs sont récupérables à tout moment à partir du portail Azure.

Script AppGenerator de Synology pour la sauvegarde Office 365
Script AppGenerator de Synology pour la sauvegarde Office 365

Au sein du portail Azure AD, si vous allez dans "Azure Active Directory" puis "Inscriptions d'applications", vous pouvez retrouver l'application "Microsoft 365 Backup" correspondante à Active Backup. Pour gagner du temps, vous pouvez cliquer sur le lien qui s'affiche en jaune dans la console PowerShell (voir ci-dessus).

Dans la section "API autorisés", cliquez sur le bouton "Accorder un consentement d'administrateur pour IT-Connect" et validez pour approuver les autorisations.

Application "Microsoft 365 Backup" générée par Synology
Application "Microsoft 365 Backup" générée par Synology

Suite à cette action, tous les voyants passent au vert au niveau de la colonne "Statut", comme ceci :

L'application est prête ! Nous allons pouvoir sauvegarder les données de notre tenant Office 365 !

IV. Sauvegarder les données Office 365 sur le NAS Synology

La suite du tutoriel va se dérouler via DSM et l'application Active Backup for Microsoft 365. Démarrez l'assistant de création de tâche s'il ne se lance pas tout seul... Et sélectionnez "Créer une nouvelle tâche de sauvegarde".

Active Backup for Microsoft 365 - Créer une nouvelle tâche de sauvegarde
Active Backup for Microsoft 365 - Créer une nouvelle tâche de sauvegarde

La première étape consiste à indiquer les informations liées à l'application inscrite dans Azure AD afin d'établir la communication avec votre tenant. Voici comment remplir les champs :

  • Point de terminaison Microsoft 365 : choisissez "Microsoft 365"
  • Adresse e-mail de l'admin du domaine : indiquez l'adresse e-mail du compte administrateur
  • ID du locataire : l'ID de votre tenant, correspondant à la valeur "Tenant ID" récupérée à la fin du script
  • ID de l'application : l'ID de votre application, correspondant à la valeur "Application ID" récupérée à la fin du script
  • Fichier du certificat : cliquez sur "Charger" afin de sélectionner le certificat au format PFX généré par le script
  • Mot de passe du certificat : précisez le mot de passe de la clé privée du certificat, c'est-à-dire le mot de passe spécifié précédemment lors de l'exécution du script

Cliquez sur "Suivant".

Ensuite, d'autres champs sont à renseigner :

  • Nom de la tâche : nommez cette tâche, tout simplement, pour ma part ce sera "Tenant-IT-Connect.tech"
  • Destination de la sauvegarde : vous devez sélectionner le partage dans lequel seront stockées les sauvegardes Office 365
  • Liste des sauvegardes : en cliquant sur le bouton "Modifier", vous pouvez choisir les éléments à sauvegarder pour chaque compte Office 365

Enfin, l'option "Activer Active Backup for Microsoft 365 Portal" permet d'ouvrir le portail de restauration des données à vos utilisateurs. Les droits d'accès à ce portail sont à gérer dans un second temps. Pour ma part, je n'active pas ce portail.

Note : à partir du "Panneau de configuration" puis "Privilèges d'application", vous pouvez attribuer des droits au portail Active Backup à tout moment.

En cliquant sur le bouton "Modifier", vous pouvez sélectionner ce que vous souhaitez sauvegarder ou non. Sur l'image ci-dessous, la colonne "Disque" correspond à l'espace OneDrive de l'utilisateur. Pour le reste, c'est explicite.

Vous pouvez naviguer entre les utilisateurs, les groupes et les sites (SharePoint et donc aussi les équipes Teams) en cliquant sur les trois liens en haut à gauche. Lorsque la sélection est effectuée, cliquez sur "OK".

Active Backup for Microsoft 365 : choix des éléments à sauvegarder
Active Backup for Microsoft 365 : choix des éléments à sauvegarder

Poursuivez... voici l'étape "Activer les services de découverte automatique". En fait, cela permet de choisir ce qu'il faudra sauvegarder pour tous les nouveaux utilisateurs, groupes et sites créés par la suite. De cette façon, les nouveaux objets seront ajoutés à la tâche de sauvegarde automatiquement selon cette configuration.

Désormais, il faut planifier la sauvegarde. Lorsque l'option "Sauvegarde continue" est choisie, l'application "surveille" continuellement l'activité de vos utilisateurs afin de sauvegarder les nouveaux fichiers ou les fichiers modifiés. L'option "Sauvegarde manuelle" nécessite que la sauvegarde soit déclenchée manuellement à partir de l'interface DSM, tandis que l'option "Sauvegarde programmée" permet de planifier la sauvegarde : une seule fois, tous les week-ends, un jour sur deux, tous les lundis, tous les jours, etc... En fonction de ce que vous souhaitez, à une heure spécifique.

Active Backup for Microsoft 365 : planifier la sauvegarde
Active Backup for Microsoft 365 : planifier la sauvegarde

Quant à la conversation des versions de fichiers, soit vous pouvez conserver toutes les versions (attention à l'espace disque...), soit vous pouvez déterminer le nombre de jours pendant laquelle une version précédente est conservée. Je vous invite à lire l'explication ci-dessous pour bien comprendre ce principe qui s'applique sur chaque fichier.

Cliquez sur "Suivant" lorsque vous avez fait votre choix. Le récapitulatif s'affiche, cliquez sur "Effectué". L'application vous demande si vous souhaitez exécuter la sauvegarde dès maintenant, ou attendre la prochaine planification.

Je tiens à préciser que vous pouvez revenir sur votre configuration à tout moment pour apporter des modifications à la tâche. Il suffit de sélectionner la tâche puis de cliquer sur "Modifier".

Lorsque la tâche est en cours, vous pouvez suivre la progression depuis l'interface Active Backup for Microsoft 365.

La vue d'ensemble fait office de tableau de bord et elle ne devrait pas dépayser les personnes habituées à utiliser les applications de la suite Active Backup. Vous pouvez visualiser le nombre de comptes protégés par service (Disque, Courrier, etc.), ainsi que l'espace disque utilisé par service et par utilisateur.

Tableau de bord Active Backup for Microsoft 365
Tableau de bord Active Backup for Microsoft 365

Maintenant, si l'on bascule sur l'explorateur de fichiers de DSM, c'est-à-dire "File Station", on peut regarder à quoi ressemblent les données sauvegardées.

Les données sauvegardées sont stockées à la racine du partage dans un dossier nommé "ActiveBackupForMicrosoft365" avec un sous-dossier par tâche. Certains éléments ne sont pas visibles directement, notamment les e-mails, par contre les fichiers sont consultables en parcourant l'arborescence de la sauvegarde.

Voici un exemple des données sauvegardées à partir de l'onglet "Fichiers" du canal "Général" de l'équipe Teams "Redacteurs" de mon tenant.

Aperçu des données sauvegardées avec Active Backup for Microsoft 365
Aperçu des données sauvegardées avec Active Backup for Microsoft 365

À partir de l'application "Active Backup for Microsoft 365" vous pouvez créer d'autres tâches de sauvegarde, mais aussi accéder au "Journal" afin de garder un oeil sur les actions réalisées (tâche créée, sauvegarde effectuée, données restaurées, etc.), sous la forme d'un log.

V. Restaurer les données avec Active Backup for Microsoft 365

Pour finir ce tutoriel, je vais vous parler de la restauration des données à partir d'Active Backup for Microsoft 365. Pour cela, il faut utiliser l'icône nommée "Active Backup for Microsoft 365 Portal" : un nouvel onglet va s'ouvrir.

En tant qu'administrateur du NAS, on peut accéder à toutes les données sauvegardées. Pour naviguer entre les comptes utilisateurs, les tâches (si vous en avez plusieurs) et les types de contenu, il faut utiliser les boutons en haut à droite. Par exemple, en cliquant sur "Rôle de l'affichage", vous allez pouvoir choisir le compte afin de voir les données sauvegardées pour ce compte.

Si l'on prend l'exemple d'un fichier que l'on souhaite restaurer, il suffit de le sélectionner et de cliquer sur "Restaurer".

Restauration d'un fichier OneDrive avec Active Backup for Microsoft 365
Restauration d'un fichier OneDrive avec Active Backup for Microsoft 365

Le fichier sera restauré au sein du OneDrive de l'utilisateur dans un dossier nommé "Restore_<date>_<heure>" (ou à l'emplacement d'origine selon le choix effectué au moment de restaurer).

Maintenant, si l'on souhaite restaurer un autre élément, par exemple un e-mail, il faut changer de type de contenu, car par défaut, ce sont les fichiers qui sont sélectionnés. Il faut cliquer sur le bouton avec 4 carrés en haut à droite, puis choisir "Courrier".

Ensuite, l'e-mail à restaurer doit être sélectionné et la restauration pourra être lancée, sur le même principe que pour un fichier. Pour l'e-mail, vous pouvez décider d'effectuer la restauration dans le dossier d'origine, en écrasant l'e-mail s'il existe ou en ignorant en cas de conflit, sinon il est possible de restaurer dans un dossier spécifique à la restauration. Ce dossier sera créé automatiquement et visible par l'utilisateur via Outlook ou tout autre client de messagerie. Il portera le nom "Restore_Inbox_<date>_<heure>". Cette option est pratique si vous avez besoin de restaurer de nombreux e-mails, cela permettra à l'utilisateur de récupérer ce dont il a besoin à partir des éléments restaurés.

Restauration d'un e-mail avec Active Backup for Microsoft 365
Restauration d'un e-mail avec Active Backup for Microsoft 365

Voilà, vous savez désormais installer et configurer Active Backup for Microsoft 365 sur votre NAS Synology pour protéger les données de votre tenant Office 365 !

The post Sauvegarde Office 365 avec un NAS Synology first appeared on IT-Connect.

Microsoft Teams : fonction Talkie-Walkie et mode muet pour les réunions

18 janvier 2022 à 11:52

Microsoft continue d'intégrer de nouvelles fonctionnalités à Teams dans le but d'améliorer l'expérience utilisateur, mais aussi de répondre à des besoins spécifiques. Deux nouveautés sont imminentes : la fonction Talkie-Walkie et le mode muet pour les réunions.

Annoncée en janvier 2020, la fonction Talkie-Walkie de Teams va enfin être déployée sur les applications mobiles, sur Android et iOS. En menant une étude, Microsoft s'est rendu compte qu'il y avait de plus en plus de travailleurs sur le terrain qui utilisaient les applications conçues initialement pour être utilisés au bureau, comme Teams. De ce fait, Microsoft souhaite leur apporter la fonction Talkie-Walkie pour faciliter les échanges au quotidien. Afin de renforcer l'intégration, certains appareils vont intégrer un bouton physique "push to talk" (appuyer pour parler) afin de reproduire l'expérience d'un véritable Talkie-Walkie. Plusieurs fabricants de smartphones sont déjà sur le coup : Zebra, Crosscall et HMD Global. Bien sûr, cette fonction nécessite l'utilisation du réseau de données mobiles ou du WiFi pour fonctionner.

Le Talkie-Walkie dans Teams

Ensuite, une seconde fonctionnalité qui permettrait de couper le son des notifications pendant une réunion devrait voir le jour en février. Grâce à cette légère amélioration, les utilisateurs ne seront plus déconcentrés par le bruit des notifications pendant qu'une réunion est en cours. Cette option sera activable sur toutes vos réunions, ou alors seulement sur une réunion spécifique (ce sera intégré directement dans les réglages de Teams). Cette fonction a été ajoutée à la feuille de route de Teams assez récemment, suite aux remontées de nombreux utilisateurs qui jugent ces notifications pénibles et distrayantes.

Enfin, il ne faut pas oublier une troisième nouveauté qui pourrait intéresser certains utilisateurs : la possibilité de communiquer entre Teams pour les particuliers et Teams "Pro", via la fonction de chat uniquement (pour l'instant en tout cas). Le déploiement de cette fonctionnalité est en cours, et elle sera activée par défaut sur les tenants Office 365 / Microsoft 365. A partir du centre d'administration Teams (ou de PowerShell), l'option pourra être désactivée.

Source

The post Microsoft Teams : fonction Talkie-Walkie et mode muet pour les réunions first appeared on IT-Connect.

Chrome va limiter l’accès au réseau local à partir des sites Web

18 janvier 2022 à 10:23

Google souhaite renforcer la sécurité de son navigateur Chrome en empêchant les sites Web d'accéder aux ressources situées sur votre réseau local, pour une raison évidente de sécurité. Voici ce qu'il faut savoir au sujet de cette nouveauté.

Afin de lutter contre les intrusions effectuées à partir du navigateur, Google Chrome va intégrer une nouvelle fonctionnalité de sécurité qui va empêcher les sites Web, c'est-à-dire les sites publics, d'accéder directement aux ressources situées sur le réseau local (ou privé) auquel est connectée la machine de l'utilisateur.

L'intégration de cette nouvelle fonctionnalité va être réalisée en deux temps. Une première phase d'intégration sera effectuée à l'occasion de la sortie de Chrome 98, avant une intégration définitive au sein de Chrome 101. Pour rappel, Chrome est aujourd'hui en version 97. Une nouvelle spécification W3C baptisée PNA pour Private Network Access sera implémentée à cette occasion.

Comme l'explique l'équipe de Google, lorsqu'un site Web souhaitera accéder à des ressources situées sur un réseau privé, une demande de contrôle CORS sera envoyée afin de demander une autorisation explicite. Pour être précis, un nouvel en-tête "Access-Control-Request-Private-Network : true" sera ajouté et il attendra une réponse sous la forme "Access-Control-Allow-Private-Network : true". Google précise que ce mécanisme de sécurité permettra de protéger les utilisateurs contre les attaques de type CSRF.

Au sujet des demandes de contrôle CORS, voici ce que dit le site de Mozilla : Le "Cross-origin resource sharing" (CORS) ou "partage des ressources entre origines multiples" est un mécanisme qui consiste à ajouter des en-têtes HTTP afin de permettre à un agent utilisateur d'accéder à des ressources d'un serveur situé sur une autre origine que le site courant.

Concrètement, à partir de Chrome 101, tout site Web (accessible via Internet) devra demander l'autorisation explicite au navigateur avant de pouvoir accéder aux ressources du réseau interne, via ce mécanisme de sécurité "PNA". La sortie en version stable de Chrome 101 est prévue pour le 26 avril 2022, d'après la feuille de route officielle.

Source

The post Chrome va limiter l’accès au réseau local à partir des sites Web first appeared on IT-Connect.

Roidmi Eve Plus : un aspirateur robot avec une fonction de stérilisation

18 janvier 2022 à 08:45

Roidmi fait partie de la longue liste de constructeurs sous la houlette de Xiaomi, et ce fabricant spécialisé dans les aspirateurs balais s'est lancé dans les aspirateurs robots avec le Roidmi Eve Plus. Cela lui permet de bénéficier du savoir-faire de Roborock dans le domaine. Découverte.

Commençons la présentation par quelques caractéristiques clés : puissance d'aspiration de 2700 Pa, navigation via un capteur laser (LiDAR), pilotable à partir d'une application mobile avec gestion d'une carte de votre domicile, compatible Amazon Alexa, Mi Home et Google Assistant, batterie de 5200 mAh pour une autonomie jusqu'à 250 minutes, etc.

Le Roidmi Eve Plus est un aspirateur robot 2-en-1 puisqu'il intègre également une fonction de lavage du sol grâce à une serpillière qui s'installe directement sur le robot (avec un réservoir d'eau de 220ml). Désormais, c'est une fonction assez standard sur les aspirateurs robots, mais malgré tout elle apporte un bon complément au système d'aspiration traditionnel. Son capteur laser lui permettra de détecter et d'éviter les objets, les murs, les meubles, mais aussi de mémoriser son parcours. Par exemple, si le robot n'a plus de batterie en cours de nettoyage, il pourra retourner se charger puis ensuite reprendre le nettoyage là où il en était.

À la fin du nettoyage, il retournera à sa station de charge qui est en fait une station d'autovidage pour la poussière. La poussière et les déchets collectés pendant le processus de nettoyage seront aspirés par la station d'autovidage, et le sac de cette station devrait vous permettre de tenir 60 jours avant d'être changé (ou vidé) à son tour. Au quotidien, c'est une fonctionnalité appréciable puisqu'il n'est pas nécessaire de vider le réservoir à poussière du robot à la fin de chaque nettoyage : ce processus est automatique.

Ce modèle présente la particularité d'avoir un système d'autostérilisation intégré à la station de charge : probablement un atout supplémentaire en cette période de pandémie. Qu'est-ce que cela signifie ? Grâce à la présence du filtre HEPA mais aussi de la technologie Active Oxygen, le robot est capable d'éliminer 99,99% des bactéries et virus présents au sein des poussières collectées.

Au niveau de l'application officielle, Roidmi souhaite tirer profit au maximum des capteurs du robot, notamment le capteur laser, en générant une cartographie précise de votre domicile. L'intérêt de cette carte, c'est de permettre de créer différentes zones correspondantes à vos pièces, et de créer des zones à exclure. Par exemple, s'il y a une zone où l'aspirateur robot ne doit pas effectuer de nettoyage, vous pouvez créer une limite virtuelle sur la carte pour exclure la zone. C'est le genre de petit détail qui fait la différence au quotidien !

Sortie en 2021, le modèle Roidmi Eve Plus semble proposer un très bon rapport qualité/prix puisqu'il est vendu 429,99 euros (et on peut le trouver de temps en temps en promotion).

Pour finir, voici deux liens utiles :

The post Roidmi Eve Plus : un aspirateur robot avec une fonction de stérilisation first appeared on IT-Connect.

Test devolo Magic 2 WiFi 6 : des boîtiers CPL avec WiFi 6

18 janvier 2022 à 09:00

I. Présentation

Fin 2021, la société Allemande devolo a dévoilée un nouveau kit nommé "devolo Magic 2 WiFi 6" qui mixe à la fois le CPL et le WiFi, mais pas n'importe quelle norme WiFi puisque ces boîtiers CPL sont équipés du WiFi 6 ! C'est le grand changement par rapport à la génération précédente et devolo précise sur son site qu'il s'agit du premier adaptateur CPL WiFi 6 au monde.

Spécialiste du CPL, devolo propose depuis quelques années des systèmes performants qui regroupent le CPL et le WiFi dans un seul boîtier. Le CPL de la solution Magic 2 WiFi 6 repose sur la norme Gigabit Home Networking (G.hn), ce qui en théorie donne un débit de 2,4 Gbit/s. Pour la partie WiFi 6 (802.11ax), la bande passante peut atteindre 1,8 Gbit/s, ce qui est une augmentation conséquente par rapport au WiFi 5.

Rappel : la technologie CPL utilise le réseau électrique de votre habitation pour transmettre le signal du réseau informatique, tandis que le WiFi utilise les ondes radio.

devolo Magic 2 WiFi 6

Dans le but d'optimiser les performances et d'avoir un réseau WiFi le plus efficient possible, devolo a intégré à sa solution plusieurs fonctionnalités. À ce titre, le WiFi 6 permet l'utilisation de la fonction OFDMA (Orthogonal Frequency-Division Multiple Access) pour diviser chaque canal de fréquence en plusieurs sous-canaux afin de mieux supporter les flux lorsque de nombreux appareils sont connectés au réseau. Une amélioration importante disponible depuis la sortie du WiFi 6.

On retrouve aussi le MU-MIMO (Multi-User MIMO) qui permet de réduire la latence et d'avoir plusieurs antennes WiFi afin d'améliorer les performances (débit montant et débit descendant). Pour les fonctionnalités du logiciel, j'en parlerai plus en détail dans la suite de ce test.

II. Le Kit Devolo Magic 2 WiFi 6

Si vous me dites que le design n'évolue pas beaucoup chez devolo, je ne vais pas vous dire le contraire. Mais, en même temps, c'est propre et la boite contient de nombreuses informations sur le fonctionnement du kit ce qui est intéressant pour le consommateur, donc pourquoi changer ?

Chaque boîtier CPL est bien positionné dans la boîte et il est protégé par un film plastique. Dans ce kit Multiroom, nous retrouvons le boîtier CPL-LAN (le plus compact), deux boîtiers CPL+WiFi, un câble RJ45 Cat.5e et un guide de démarrage rapide en plusieurs langues dont le français. Dommage qu'il n'y ait qu'un seul câble RJ45 inclus.

D'un point de vue esthétique, les boîtiers n'ont pas évolué : il reste blanc, assez élégant et avec la mention "devolo" en relief à la verticale sur chacun d'entre eux. Une petite nouveauté sur le design pour fêter l'arrivée du WiFi dans les boîtiers CPL devolo, j'avoue que ça m'aurait bien plu ! À vrai dire, les changements sont plutôt techniques, sous le capot comme on dit, notamment avec l'intégration du WiFi 6.

Chaque boîtier intègre une prise de courant afin de ne pas perdre l'usage de la prise utilisée par chaque adaptateur CPL. La puissance totale supportée par chaque boîtier CPL est de 3 500 Watts.

Test devolo Magic 2 WiFi 6

Le boîtier CPL-LAN intègre un port RJ45 pour se connecter à votre box, tandis que les boîtiers CPL-WiFi intègre chacun deux ports RJ45 1 Gbit/s afin de connecter des appareils en direct.

III. Mise en route

A. Initialiser le kit

Que ce soit avec le Kit Multiroom (présenté dans cet article) ou le Kit Starter (voir tout en bas de l'article les différents kits), l'installation débute avec un boîtier CPL-LAN qui n'a pas de WiFi et qui doit être connecté à la box (peu importe la box, le système devolo fonctionne avec toutes les box). Ensuite, on vient ajouter à son installation un ou plusieurs adapteurs CPL+WIFI 6 pour étendre la portée de son réseau WiFi et créer ce que l'on appelle le réseau WiFi Mesh.

En suivant les étapes décrites dans le guide utilisateur inclus dans la boîte, on parvient à mettre en fonctionnement le kit en quelques minutes. Il suffit de suivre les étapes avec un minimum de rigueur, bien sûr !

Quand les voyants sont blanc fixe sur les différents boitiers, c'est que tout est bon !

B. La configuration du kit Devolo

À partir de l'application Home Network de devolo, ont peut visualiser l'état des boîtiers CPL et accéder à l'ensemble de la configuration. C'est appréciable de pouvoir effectuer toute la configuration à partir de son smartphone directement.

L'application affiche une vue d'ensemble du réseau avec les connexions entre les différents boîtiers CPL. En appuyant sur un boîtier, on peut accéder à son état, ce qui permet de visualiser le nombre d'appareils connectés sur ce boîtier ou les réseaux WiFi diffusés, mais aussi à sa configuration.

Toujours au sein de l'application, un menu latéral permet d'accéder aux différentes sections de la configuration de chaque boitier CPL. La solution devolo est plug-and-play dans le sens où c'est opérationnel une fois l'initialisation terminée. La partie configuration est là pour les utilisateurs avertis qui souhaitent aller plus loin dans la mise en œuvre, notamment en activant certaines options (exemple : le fast roaming 802.11r) ou fonctionnalités (exemple : le réseau WiFi pour les invités).

À partir d'un navigateur et d'un ordinateur, si l'on saisit l'adresse IP d'un boîtier CPL, on peut accéder à sa configuration en mode Web. C'est un peu plus confortable que sur mobile, disons.

Je vous recommande de définir le mot de passe d'accès à la configuration, car par défaut, ce n'est pas protégé par mot de passe. C'est dommage et il me semble que j'ai déjà fait cette remarque dans l'un de mes précédents articles devolo.

Le réseau WiFi pour les invités peut être activé via la configuration, sur l'une ou l'autre bande de fréquence WiFi, et avec le nom que l'on souhaite. Pour renforcer la sécurité de ce réseau, on peut partir sur le WPA3 ou autoriser WPA2 et WPA3. En bonus, un QR code est affiché à l'écran et permettra aux invités de se connecter en scannant simplement le code.

D'autres options sont disponibles comme la possibilité d'activer le WiFi selon un planning, ou d'activer le contrôle parental. Le contrôle parental ne permet pas de faire du filtrage de contenu, mais d'activer la connexion de certains appareils (identifiés par l'adresse MAC) uniquement sur certaines plages horaires.

C. Les performances

Le kit devolo Magic 2 WiFi 6 est en place, ce qui signifie que l'on va pouvoir s'intéresser aux performances. Puisqu'il est possible de se connecter en sans-fil via WiFi 6 ou en filaire via RJ45, je vais aborder les deux cas de figure.

  • Connexion filaire

La connexion filaire va exploiter le réseau CPL, c'est-à-dire le réseau électrique de l'habitation pour transiter. Avec un débit théorique estimé à 2,4 Gbit/s, ce qui est très élevé, mais cela va dépendre aussi de la qualité du réseau électrique. Il y aura forcément des perturbations donc ce débit ne sera jamais atteint. Et puis, n'oublions pas de toute façon que les ports RJ45 sur les boîtiers CPL sont limités à 1 Gbit/s donc un seul et même équipement ne pourra jamais atteindre 2,4 Gbit/s.

Avec une interface Ethernet 1 Gbit/s sur le PC (comme le boîtier CPL), on obtient un débit montant et descendant aux alentours de 38 Mo/s pour un transfert de fichiers via le protocole SMB. En fonction des emplacements dans la maison, le débit est variable, ce qui prouve que le CPL est impacté par le réseau électrique en lui-même.

  • Connexion sans-fil

Tout d'abord, j'ai pu constater que Windows 11 détecte bien la connexion en WiFi 6 et j'ai même le droit à une petite notification au niveau du système.

Pour le réseau sans-fil, je vais utiliser mon PC portable, qui est une Surface Pro 7 : cela tombe bien, car elle dispose d'une carte réseau WiFi 6. Sans réelle surprise, j'obtiens des résultats similaires à la connexion via RJ45 puisque tout transite par le réseau CPL.

Les flux du réseau WiFi 6 vont forcément transiter par le réseau CPL, donc les performances du réseau CPL vont indirectement impacter celles du réseau WiFi 6.

Au-delà des performances améliorées, ce qui me semble particulièrement intéressant avec le WiFi 6, c'est la capacité du réseau sans-fil à supporter les connexions d'un grand nombre d'appareils en même temps. À la maison, nous avons de plus en plus d'appareils connectés au réseau WiFi : smartphones, ordinateurs, tablettes, assistants vocaux, caméras, interrupteurs connectés, consoles de jeux, etc... On peut vite atteindre une vingtaine d'équipements en ligne.

Je vais prendre un cas concret : en général, ma box sature assez rapidement lorsqu'il y a plusieurs sessions de streaming en même temps, compte tenu du fait qu'il y a déjà de nombreux appareils connectés au WiFi (alors que la bande passante internet est largement suffisante). Avec l'ajout des boîtiers devolo et la mise en place du système WiFi Mesh, ces latences ne sont plus qu'un lointain souvenir !

IV. Conclusion

Le kit CPL+WiFi 6 proposé par devolo est suffisamment performant pour me satisfaire ! Il répond à une réelle problématique : celle de la performance du réseau WiFi à la maison, un endroit où le nombre d'équipements à connecter ne cesse d'augmenter. La mise en route est facile et l'application permet de personnaliser l'installation grâce à quelques options additionnelles.

Grâce aux deux prises RJ45 intégrées à chaque boîtier CPL, cela permet de connecter des appareils par câble, ce qui dans certains cas est bien pratique (box TV, ordinateur fixe, etc.). J'ai une petite déception au niveau du boîtier LAN, car j'aurais bien aimé qu'il intègre le WiFi 6 afin de pouvoir bénéficier d'une connexion WiFi 6 sans devoir transiter par le réseau CPL.

Il est à noter que la gamme devolo Magic 2 WiFi 6 se décline en plusieurs versions afin de répondre à différents besoins, notamment des habitations plus ou moins grandes :

  • Multiroom Kit : composé d'un adaptateur CPL-LAN et de deux adaptateurs CPL-WiFi, il est au tarif de 399,90 € - Voir sur Amazon
  • Starter Kit : composé d'un adaptateur CPL-LAN et d'un adaptateur CPL-WiFi, il est au tarif de 239,90 € - Voir sur Amazon
  • Kit d'extension : composé d'un adaptateur CPL-WiFi pour étendre son installation Magic 2, il faut compter 179,90 € - Voir sur Amazon

Il est tout à fait possible d'acheter un kit Starter ou Multiroom et d'ajouter un ou plusieurs adaptateurs CPL-WiFi supplémentaires par la suite. C'est une solution évolutive.

The post Test devolo Magic 2 WiFi 6 : des boîtiers CPL avec WiFi 6 first appeared on IT-Connect.

Windows 10 et Windows Server : voici les nouveaux correctifs de janvier

18 janvier 2022 à 07:58

Suite aux différents bugs causés par les mises à jour de janvier, Microsoft vient de publier en urgence de nouvelles mises à jour à destination de Windows Server et de Windows (desktop). Faisons le point.

D'après les informations fournies par Microsoft, ces mises à jour Out-of-band (OOB) vont permettre de corriger plusieurs bugs :

L'ensemble de ces mises à jour sont disponibles via le Microsoft Catalog, afin de permettre un téléchargement puis une installation manuelle, mais aussi via Windows Update pour certaines d'entre elles. La petite subtilité au niveau de Windows Update, c'est que la nouvelle mise à jour apparaîtra sur le système en tant que mise à jour optionnelle. Cela signifie qu'elle ne s'installera pas automatiquement.

Voici les deux mises à jour disponibles uniquement via le Microsoft Catalog (pour une raison que j'ignore) :

Au sein de Windows Update, en tant que mise à jour optionnelle, vous pouvez retrouver les KB suivantes :

  • Windows 11 version 21H1 : KB5010795
  • Windows Server 2022 : KB5010796
  • Windows 10 version 21H2 : KB5010793
  • Windows 10 version 21H1 : KB5010793
  • Windows 10 version 20H2, Windows Server version 20H2 : KB5010793
  • Windows 10 version 20H1, Windows Server version 20H1 : KB5010793
  • Windows 10 version 1909, Windows Server version 1909 : KB5010792
  • Windows 10 version 1607, Windows Server 2016 : KB5010790
  • Windows 10, version 1507 : KB5010789

Ces deux systèmes obsolètes ont également une mise à jour hors bande :

La mise à jour pour Windows Server 2019 ne semble pas encore disponible, d'où son absence dans la liste ci-dessus, mais cela devrait arriver...

Même si la marche à suivre pour installer ces mises à jour n'est pas précisée, vu que c'est indiqué "Mise à jour cumulative", j'imagine que ces mises à jour remplacent celles publiées initialement. Autrement dit, il n'est pas nécessaire d'installer la mise à jour foireuse puis ensuite le correctif optionnel pour corriger le tir.

Il ne reste plus qu'à tester pour en avoir le cœur net... N'hésitez pas à partager vos retours en commentaires.

Source

The post Windows 10 et Windows Server : voici les nouveaux correctifs de janvier first appeared on IT-Connect.

Windows 11 pourrait s’ouvrir aux widgets des éditeurs tiers

17 janvier 2022 à 16:32

Le panneau des widgets de Windows 11 est l'une des nouveautés phares du système d'exploitation de Microsoft, et pourtant on sent que cette fonctionnalité ne fait pas l'unanimité. Microsoft prévoit des changements : est-ce que ce sera suffisant ?

Que ce soit pour accéder à sa liste de tâches, aux dernières actualités, à la météo, ou encore à son calendrier, il existe une solution native sous Windows 11 : le panneau des widgets. Pour le moment, ce système de widgets se limite aux widgets proposés par Microsoft, ce qui limite les possibilités.

Pour essayer d'attirer un peu plus les utilisateurs et les développeurs, Microsoft pourrait autoriser l'intégration de widgets publiés par des éditeurs tiers. Cela pourrait le rendre aussi plus utile.

Information about third party widgets, publishing widgets and more. Looks like Microsoft is soon going to announce third party widgets officially.#Windows11 pic.twitter.com/ASRD98IMI6

— FireCube (@FireCubeStudios) January 16, 2022

Ce qui laisse penser cela, c'est le règlement de la boutique Microsoft où il serait précisé que le panneau des widgets va être amélioré de manière significative, notamment en acceptant les widgets des éditeurs tiers. Ce changement pourrait arriver lors de la sortie de la prochaine mise à jour majeure : Windows 11 22H2, d'ici quelques mois.

À mon avis, c'est une bonne idée de la part de Microsoft pour essayer de relancer le panneau des widgets. À moins que je sois le seul à ne pas l'utiliser actuellement ? 🙂

Source

The post Windows 11 pourrait s’ouvrir aux widgets des éditeurs tiers first appeared on IT-Connect.

La clé USB, l’éternel objet publicitaire pour les entreprises

17 janvier 2022 à 06:00

Que ce soit pour réaliser une opération de communication auprès de ses clients ou de prospects, ou tout simplement pour faire plaisir à ses salariés, les objets publicitaires personnalisés restent très à la mode. À commencer par l'indétrônable clé USB.

La clé USB, objet publicitaire à la mode

Depuis plusieurs années, la tendance est au Cloud computing et au stockage des données dans ce fameux nuage. Néanmoins, le stockage des données sur clés USB continue de résister, et cela se traduit aussi au niveau des cadeaux effectués sous la forme d'objets publicitaires : la clé USB publicitaire continue de plaire, car on peut l'utiliser au quotidien pour stocker des données. Qu'on aime ou qu'on n'aime pas les clés USB, pour une majorité de personnes ce sera perçu comme un cadeau utile.

Il faut dire que les entreprises spécialisées dans le merchandising ne manquent pas d'imagination. Il suffit d'effectuer quelques recherches pour trouver des clés USB personnalisables aux formats et matériaux originaux : clé USB au format carte de crédit, clé USB en bois, clé USB en carton recyclé, clé USB intégrée dans un stylo, ou encore une clé USB contenue dans un bracelet. De quoi surprendre et renforcer la satisfaction, le privilège, de recevoir ce cadeau. Il suffira de choisir le bon format en fonction de l'événement.

On retrouve beaucoup de clés USB publicitaires sur les salons, car au-delà de faire un cadeau, l'entreprise en profite généralement pour inclure son dernier dossier de presse, des fichiers produits, etc. Indirectement, il y a un intérêt écologique, car cela évite d'imprimer et de distribuer des brochures à tour de bras.

Une campagne publicitaire durable

La clé USB est également un cadeau qui dur dans le temps, donc c'est une bonne stratégie pour créer une campagne publicitaire durable : si elle est utilisée au quotidien, elle sera aperçue au quotidien par différentes personnes et comme le logo de votre entreprise est imprimé dessus, c'est parfait. Si elle est jolie et originale, cela suffira pour que l'on ait envie de la montrer à ses collègues : un beau coup de la part de l'entreprise qui est à l'origine de cette campagne marketing.

Je profite de cet article pour vous rappeler l'importance de sauvegarder vos données. Comme tout espace de stockage, la clé USB est potentiellement défaillante, et surement plus qu'un disque dur classique ou un disque SSD. À mon sens, la clé USB doit être utilisée pour stocker des copies de fichiers. Cela est vrai que ce soit parce que l'on a besoin de transférer des données entre plusieurs machines, ou que l'on souhaite accéder à des données à partir de n'importe quel ordinateur.

Les alternatives high-tech aux clés USB

Même si les clés USB présentent l'avantage de s'adresser aussi bien à un usage personnel que professionnel (selon les politiques de sécurité de l'entreprise), elles ne sont pas les seuls objets publicitaires high-tech qui sont susceptibles de faire plaisir !

À mon sens, nous pouvons retrouver aussi les batteries externes, les enceintes portables Bluetooth, les chargeurs à induction et les câbles de recharge 3-en-1. Une fois logoté avec l'enseigne de votre entreprise, ces produits ont également un pouvoir marketing intéressant. En interne, le fait d'offrir des objets aux couleurs de l'entreprise à ses salariés permet de renforcer le sentiment d'appartenance à une équipe.

Après avoir évoqué tous ces objets publicitaires, il ne me reste plus qu'à imaginer les premiers objets high-tech aux couleurs d'IT-Connect... 🙂

The post La clé USB, l’éternel objet publicitaire pour les entreprises first appeared on IT-Connect.
À partir d’avant-hierFlux principal

Microsoft a corrigé une vulnérabilité wormable dans Windows HTTP

17 janvier 2022 à 16:07

À l'occasion du Patch Tuesday de janvier 2022, Microsoft a corrigé la vulnérabilité CVE-2022-21907 au sein de l'implémentation du protocole HTTP. Cette faille critique est wormable, ce qui signifie qu'elle est exploitable par un ver informatique.

La CVE-2022-21907 est une faille de sécurité de type "exécution de code à distance" au sein de l'implémentation du protocole HTTP (http.sys), et elle touche les versions récentes de Windows (desktop) et Windows Server. Par "versions récentes", j'entends Windows 10 à partir de la version 1809 (sauf la version Windows 10 version 1909), Windows 11, Windows Server 2019 et Windows Server 2022. Pour les deux versions de Windows Server, les installations "core" c'est-à-dire sans interface graphique sont également touchées.

Le fichier http.sys est utilisé par les serveurs Web IIS (Internet Information Services) pour être en écoute et traiter les requêtes HTTP. Une personne malveillante pourrait envoyer une requête malicieuse à destination du serveur Web afin d'exploiter cette faille de sécurité. En exploitant cette faille de sécurité, l'attaquant peut réussir à exécuter du code malveillant sur le serveur cible. Néanmoins, http.sys n'est pas un composant de IIS, mais de Windows, donc un autre programme peut très bien s'appuyer sur ce composant "http.sys" et exposer la machine.

La question que l'on se pose, c'est : comment protéger ses serveurs et ses postes ? La solution est simple, c'est d'installer les dernières mises à jour de Windows puisque cette faille de sécurité est corrigée dans le Patch Tuesday de janvier 2022, mais attention aux dommages collatéraux.

En effet, même s'il y a peu de chance que vous soyez passé à côté de l'information, sachez que les dernières mises à jour pour Windows 10, Windows 11 et Windows Server ont créé d'énormes problèmes sur les postes de travail (VPN) et surtout les serveurs (contrôleur de domaine, Hyper-V, volumes ReFS).

Microsoft explique que, par défaut, Windows Server 2019 et Windows 10 version 1809 ne sont pas vulnérables, à moins que la fonctionnalité HTTP Trailer Support soit activée sur la machine. Si c'est le cas, il faut supprimer la clé de Registre "EnableTrailerSupport" sous "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters".

Si vous ne souhaitez pas installer la mise à jour dès maintenant (ce que je peux comprendre) et que vous êtes sûr qu'aucun service Web ne tourne sur vos machines, vous pouvez bloquer temporairement "http.sys" à l'aide d'une clé de Registre spécifique afin de protéger vos machines. La marche à suivre est expliquée par Sophos sur cette page (section "What to do ?").

Cette faille de sécurité peut être exploitée sans interaction de la part de l'utilisateur, ce qui signifie qu'un serveur infecté pourrait lui-même infecter une autre machine vulnérable, et ainsi de suite... C'est pour cela que l'on dit que la vulnérabilité est wormable.

Source

The post Microsoft a corrigé une vulnérabilité wormable dans Windows HTTP first appeared on IT-Connect.

Comment mettre en place le MFA sur Office 365 ?

17 janvier 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment mettre en place l'authentification multifacteur (MFA) au sein d'Office 365. Les informations de cet article pourront vous aider également si vous utilisez Azure AD sans Office 365.

Je vais commencer par quelques rappels sur l'authentification multifacteur et les licences nécessaires (ou non), avant de parler de la mise en œuvre technique du MFA avec Office 365.

II. Rappel sur l'authentification multifacteur

Lorsqu'un utilisateur se connecte à un compte, que ce soit sur Office 365 ou un autre site, et bien il doit saisir son mot de passe personnel afin de s'authentifier. Grâce à l'authentification multifacteur, l'utilisateur devra définir une seconde méthode d'authentification afin de se connecter à son compte : le mot de passe seul ne suffira plus. Par exemple, l'utilisateur devra saisir son mot de passe puis un code reçu par SMS (en guise de second facteur d'authentification).

Même si l'on parle d'un avenir sans mot de passe, il est fortement recommandé de mettre en place l'authentification multifacteur afin de renforcer la sécurité des accès.

Pour utiliser l'authentification multifacteur, il faut :

  • Un élément que vous connaissez : votre mot de passe
  • Un élément unique que vous possédez : votre numéro de téléphone portable pour recevoir un code par SMS, une application d'authentification, une clé de sécurité (celles de chez Yubico sont assez populaires !) ou un jeton matériel
  • Un élément biométrique que vous possédez : l'empreinte digitale ou la reconnaissance faciale

Vous l'aurez compris, il faudra utiliser la combinaison de votre mot de passe et de l'un des facteurs évoqués ci-dessus. Parmi les méthodes d'authentification disponibles chez Microsoft, vous avez plusieurs choix possibles :

  • L'application d'authentification Microsoft Authenticator (ou équivalent) pour générer des codes à usage unique
  • Le numéro de téléphone afin de recevoir un code à usage unique par SMS
  • Le numéro de téléphone afin de recevoir un appel téléphonique automatique pour confirmer l'authentification via l'appui sur une touche spécifique
  • La clé de sécurité (ou le jeton matériel) qui doit être connecté sur votre poste afin de valider l'authentification

III. Office 365 : faut-il une licence pour le MFA ?

Sur le Cloud Microsoft, de nombreuses fonctionnalités sont soumises à l'utilisation d'une licence spécifique. Dans certains cas, les licences additionnelles permettent de débloquer des options supplémentaires. En fait, c'est le cas du MFA puisque c'est une fonctionnalité gratuite, mais avec des options limitées.

Pour bénéficier de fonctionnalités ou de plus de méthodes d'authentification, il faut recourir à des licences spécifiques. Avec Office 365, on est plutôt bien servi, ce qui n'est pas forcément le cas pour une utilisation d'Azure AD sans Office 365.

Sur son site, Microsoft propose un tableau de synthèse qui permet d'y voir plus clair à ce sujet, voici le lien : Microsoft Docs - Licensing MFA

Office 365 : licensing MFA
Office 365 : licensing MFA

Sur un tenant Office 365, l'utilisation d'une licence Azure AD Premium P1 ou P2 permettra d'accéder à des fonctionnalités supplémentaires, comme les rapports d'utilisation du MFA. Cette licence doit être attribuée aux utilisateurs en plus de leur licence Office 365, ce qui va forcément ajouter des coûts supplémentaires. En fait, tout dépend des fonctionnalités dont vous avez besoin. Malgré tout, je tiens à (re)préciser que le MFA en lui-même est inclus de base avec les licences Office 365.

Note : la licence Azure AD Premium P1 intègre d'autres fonctionnalités intéressantes comme le portail de réinitialisation du mot de passe en libre-service.

Au sein d'Office 365, l'authentification multifacteur s'applique à toutes les applications Office 365. Par exemple, cela s'applique au portail Office 365, à la connexion via le client OneDrive ou encore au sein d'Outlook. Par contre, l'authentification sur un poste Windows avec un compte Office 365 ne sera pas protégée par le MFA.

Passons maintenant à la mise en œuvre du MFA.

IV. MFA et les options de sécurité par défaut

Dans la documentation de Microsoft, on peut lire : "Si votre locataire (tenant) a été créé le 22 octobre 2019 ou à une date ultérieure, il est possible que les paramètres de sécurité par défaut soient activés dans votre locataire.". Avec les paramètres de sécurité par défaut, le MFA est automatiquement activé sur l'ensemble des utilisateurs. Lors de la mise en route d'un tenant Office 365, il est courant de désactiver cette option... Je vous invite à vérifier l'état de cette option via le portail Microsoft Azure.

Sur ce portail, accédez à Azure Active Directory et cliquez sur "Propriétés" dans le menu à gauche.

Ensuite, descendez dans la page, tout en bas, afin de trouver le lien "Gérer les paramètres de sécurité par défaut". Cliquez sur le lien, un panneau latéral va s'ouvrir et vous allez voir l'état de l'option "Activer les paramètres de sécurité par défaut". Afin de réaliser un déploiement progressif du MFA auprès de vos utilisateurs, cette option doit être désactivée sinon vous n'avez pas le contrôle.

Paramètres de sécurité par défaut : MFA
Paramètres de sécurité par défaut : MFA

Par exemple, lorsque cette option est activée, un message s'affiche à la connexion "Microsoft a activé les paramètres de sécurité par défaut pour garantir la sécurité de votre compte.".

Nous allons voir comment gérer le MFA au niveau des utilisateurs Office 365.

V. Configurer le MFA sur Office 365

Cette fois-ci, rendez-vous sur le portail Office 365 (ou voir ci-dessous la seconde copie d'écran). Sous le menu "Utilisateurs", cliquez sur "Utilisateurs actifs" et une fois que la page est chargée, cliquez sur le bouton "Authentification multifacteur". Un nouvel onglet dédié au MFA va s'ouvrir.

Accès à la configuration du MFA via Office 365
Accès à la configuration du MFA via Office 365

Ce menu est également accessible à partir du portail Azure. Pour cela, au sein d'Azure Active Directory, cliquez sur "Utilisateurs" puis "Tous les utilisateurs". Sur la droite, un bouton "MFA par utilisateur" sera proposé dans le même esprit que sur l'interface Office 365.

Accès à la configuration du MFA via Azure AD
Accès à la configuration du MFA via Azure AD

Avant d'activer le MFA sur un ou plusieurs utilisateurs, nous allons regarder les paramètres. Pour cela, cliquez sur l'onglet "Paramètres du service". J'attire votre attention sur plusieurs paramètres :

  • Mots de passe application : je vous recommande de désactiver cette option afin d'empêcher la génération de mots de passe d'application, car cela permet de contourner le MFA. Attention tout de même, si vous avez besoin de vous authentifier sur des appareils spécifiques ou des applications qui ne prennent pas en charge le MFA, vous êtes contraint de laisser l'option activée.
  • Mémoriser multi-factor authentication sur un appareil approuvé : dans un monde idéal, il faudrait que l'utilisateur se réauthentifie avec son mot de passe et son second facteur à chaque fois. À l'usage, c'est différent et cela risque d'être contraignant pour les utilisateurs surtout s'il s'agit du poste qu'un utilisateur utilise tous les jours... En activant cette option, vous pouvez autoriser l'ajout du poste dans la liste de confiance de l'utilisateur pour une durée spécifique (modifiable et par défaut de 90 jours). Ainsi, il pourra se connecter uniquement avec son mot de passe pendant X jours sur ce poste.
Configuration de l'authentification multifacteurs dans Office 365
Configuration de l'authentification multifacteur dans Office 365

Ces paramètres sont modifiables ultérieurement. Une fois votre choix effectué, cliquez sur "Enregistrer".

Basculez sur l'onglet "Utilisateurs", car c'est à cet endroit que vous allez pouvoir activer ou désactiver le MFA sur un ou plusieurs utilisateurs.

Plusieurs options sont possibles pour gérer le MFA :

En sélectionnant les utilisateurs dans la liste et en cliquant sur "Activer" à droite, comme sur l'exemple ci-dessous avec un seul compte.

Activer le MFA sur un utilisateur dans Office 365
Activer le MFA sur un utilisateur dans Office 365

Une fenêtre de confirmation va apparaître où il sera nécessaire de cliquer sur "Activer multi-factor authentication". Le lien "https://aka.ms/MFASetup" permet aux utilisateurs d'enregistrer leurs facteurs additionnels, mais de toute façon ce sera proposé à la prochaine connexion Web.

Le MFA va être activé uniquement sur l'utilisateur que j'ai sélectionné, en complément de ceux où le MFA est potentiellement déjà actif. Pour avoir ce contrôle par utilisateur, je vous rappelle qu'il faut désactiver les options de sécurité par défaut.

Pour éviter de le faire en mode graphique avec des cases à cocher, vous pouvez utiliser le mode "Bulk" qui s'appuie sur un CSV. Pour cela, il faut cliquer sur le bouton "Mettre à jour en bloc" et télécharger un modèle de CSV qu'il faudra ensuite charger. Ce fichier est assez simple, il suffit d'indiquer deux champs : le nom d'utilisateur et le statut souhaité pour le MFA. Voici l'exemple officiel :

Username, MFA Status
[email protected], Enabled
[email protected], Disabled
[email protected], Disabled
[email protected], Enabled
[email protected], Enabled

Une autre alternative consiste à utiliser PowerShell, mais j'aborderais ce point au sein d'un article dédié. 🙂

Lorsque l'utilisateur se connectera la prochaine fois, il devra définir un second facteur d'authentification, par exemple un numéro de téléphone afin de recevoir un SMS. Si vous avez activé l'option qui permet d'approuver les appareils, une option supplémentaire sera proposée au moment de s'authentifier :

Office 365 - Connexion MFA avec approbation d'un appareil
Office 365 - Connexion MFA avec approbation d'un appareil

VI. Conclusion

Suite à la lecture de ce tutoriel, vous êtes en mesure de mettre en place l'authentification multifacteur sur votre tenant Office 365. Même s'il est possible d'aller plus loin, en activant certaines fonctionnalités ou en s'appuyant sur PowerShell, cela vous permettra d'activer le MFA auprès d'un ou plusieurs utilisateurs.

Finalement, le plus compliqué ce n'est pas la partie technique, mais plutôt la gestion du changement auprès des utilisateurs. Pensez à bien communiquer auprès de vos utilisateurs avant l'activation, car ils auront besoin d'un minimum d'encouragement et d'accompagnement pour appréhender cette nouvelle sécurité.

Pour vous roder, vous pouvez activer le MFA sur les comptes avec des privilèges élevés dans un premier temps. Ensuite, sur un groupe pilote de quelques utilisateurs afin d'y aller progressivement. Rassurez-vous, tout va bien se passer ! 🙂

D'autres articles seront publiés au sujet du MFA sur Office 365 : restez connectés !

The post Comment mettre en place le MFA sur Office 365 ? first appeared on IT-Connect.

Le groupe de hackers REvil démantelé : 14 personnes arrêtées

17 janvier 2022 à 08:50

C'est une information très importante en matière de cybersécurité : le FSB a procédé à l'arrestation de 14 membres du groupe de hackers REvil, à l'origine de nombreuses cyberattaques notamment avec un ransomware du même nom.

Pour venir à bout du groupe de hackers REvil, il y a eu une collaboration entre les États-Unis et la Russie (ce qui pourrait surprendre) ! En effet, ce sont les autorités américaines qui ont pris contact avec le FSB, c'est-à-dire le Service fédéral de sécurité de la Fédération de Russie, afin de permettre le démantèlement du groupe de hackers REvil.

Depuis plusieurs mois, ce groupe de cybercriminels est dans le viseur de nombreux pays. D'ailleurs, en novembre dernier, les États-Unis annonçaient la couleur puisqu'une récompense pouvant atteindre 10 millions de dollars était promise à tout individu qui permettrait d'identifier ou de localiser une personne ayant une position clé au sein du groupe criminel REvil. Cela fait un moment que la pression monte et que l'étau se resserre, ce qui a permis d'identifier les membres et de planifier une vaste opération d'arrestations.

Lors de cette opération, le FSB a interpelé 14 membres du groupe REvil et 25 lieux de résidence ont été perquisitionnés, principalement dans les villes de Moscou et Saint-Pétersbourg. Sur les lieux, ils ont pu saisir une quantité d'argent en liquide assez impressionnante : pas moins de 460 millions de roubles (soit plus de 5 millions d'euros), 600 000 dollars et 500 000 euros. Ce n'est pas tout, puisque des objets et voitures de luxe ont pu être saisis, des portefeuilles cryptographiques, ainsi du matériel informatique bien sûr. Au sein de la vidéo ci-dessous, vous pouvez voir un aperçu de cette opération menée sur le terrain par le FSB :

Même si cette arrestation est une excellente nouvelle, car le groupe REvil a fait de nombreuses victimes et beaucoup de tords à certaines entreprises, il reste encore énormément de travail compte tenu de la quantité de groupes de cybercriminels toujours en activité.

The post Le groupe de hackers REvil démantelé : 14 personnes arrêtées first appeared on IT-Connect.

CES 2022 : Ecovacs Deebot X1 Omni, un robot multifonction

17 janvier 2022 à 07:00

À l'occasion du CES de Las Vegas, Ecovacs Robotics a présenté son nouvel aspirateur robot haut de gamme : le Deebot X1 Omni. Un modèle qui a remporté le prix de l'innovation au CES 2022 !

L'année commence bien pour Ecovacs Robotics : son nouvel aspirateur robot, le Deebot X1 Omni, a déjà reçu une récompense. On peut dire que cela récompense le travail d'Ecovacs puisque l'entreprise cherche toujours à innover pour proposer des appareils toujours plus aboutis. Quelles sont les nouveautés réservées par Ecovacs pour son nouveau modèle phare ?

Ecovacs Deebot X1 Omni

Tout d'abord, on peut voir qu'il y a du travail au niveau de la finition et du design, notamment au niveau de la station de charge. Pour cela, Ecovacs a collaboré avec une célèbre marque dans le domaine de l'audiovisuel : Bang & Olufsen. Surprenant, d'un côté.

Comme le modèle Deebot Ozmo T8, le Deebot X1 Omni est équipé d'un capteur laser et de la technologie AIVI 3D qui va lui permettre d'identifier et de reconnaître les objets, notamment les câbles, les chaussures, etc.... En fait, la véritable nouveauté de ce robot est ailleurs et elle se nomme YIKO.

Qu'est-ce que YIKO ? Et bien, il s'agit d'une intelligence artificielle directement intégrée au robot afin de le rendre pilotable à la voix sans passer par Amazon Alexa ou Google Assistant. Autrement dit, votre robot peut reconnaître votre voix et être piloté à distance par la voix, sans s'appuyer sur un service externe, car il intègre cette fonction via YIKO.

Ensuite, Ecovacs a fait évoluer la station de charge puisqu'il a repris le principe introduit sur le Yeedi Mop Station (une marque de chez Ecovacs), à savoir une station avec deux réservoirs d'eau : un pour l'eau propre et un pour l'eau usagée. Grâce à l'eau propre, les patins de lavage du système OZMO Turbo 2.0 sont nettoyés tandis que le second réservoir sert à collecter l'eau utilisée pour ces opérations de nettoyage. Les patins de lavage sont là pour véritablement laver le sol grâce à une rotation pouvant atteindre 180 tours par minute.

En complément, et ça la station du modèle Yeedi ne l'avait pas, cette station de charge intègre un réservoir pour collecter la poussière (ce que l'on connaissait sur d'autres modèles Deebot).

Disponible à partir d'avril 2022, l'Ecovacs Deebot X1 Omni sera disponible au prix de 1 499 euros.

The post CES 2022 : Ecovacs Deebot X1 Omni, un robot multifonction first appeared on IT-Connect.

Le ransomware Qlocker s’en prend encore aux NAS QNAP

17 janvier 2022 à 07:37

Qlocker est de retour ! Une seconde campagne d'attaques, à l'échelle mondiale, est en cours afin de compromettre puis chiffrer le contenu des NAS QNAP !

En avril 2021, Qlocker avait déjà fait parler de lui, car il avait fait plusieurs centaines de victimes, en seulement quelques jours. Résultat, les pirates informatiques avaient empoché environ 260 000 dollars en 5 jours grâce à Qlocker et aux rançons payées par les victimes (environ 500 dollars à chaque fois, pour chaque victime). Pour compromettre les NAS, il exploite des vulnérabilités connues et corrigées par QNAP. Le problème, c'est que certains NAS ne sont pas patchés par leur propriétaire : à partir de là, l'appareil devient vulnérable s'il est exposé sur Internet.

Pour rappel : le ransomware Qlocker présente la particularité de s'appuyer sur un outil que l'on connaît tous pour chiffrer les données : 7-Zip. En effet, Qlocker utilise 7-Zip pour déplacer les données au sein d'archives 7z protégées par un mot de passe.

Depuis le 6 janvier 2022, Qlocker est de retour et des attaques contre les NAS QNAP exposés sur Internet sont menées au niveau mondial. Lorsque les données de votre NAS se retrouvent chiffrées par Qlocker, un fichier nommé !!!READ_ME.txt est déposé et ce dernier contient les informations "utiles" comme l'adresse à utiliser pour payer la rançon. Le montant de la rançon se situe entre 0,02 et 0,03 bitcoin, soit entre 750 et 1120 euros. Le montant de la rançon est plus élevé que l'année dernière.

En s'appuyant sur les données du site ID-Ransomware, on peut voir un regain d'activité pour Qlocker, ce qui correspond au début de la campagne 2022.

Qlocker 2022 QNAP

L'année dernière, lors de la première campagne d'attaque, QNAP avait réagi en publiant un outil baptisé Qlocker Inspector. Une fois installé, ce paquet va analyser le journal de Malware Remover dans le but de récupérer le mot de passe permettant de déverrouiller l'archive 7-Zip créé par Qlocker. Pour le moment, nous ne savons pas s'il fonctionne pour les victimes de "Qlocker version 2022".

Quoi qu'il en soit, pensez à maintenir le système du NAS bien à jour, tout comme les paquets qu'il faut maintenir à jour. Pour renforcer la sécurité de votre NAS QNAP, vous pouvez suivre les conseils du fabricant disponibles sur cette page : Sécurisation QNAP. Cela est d'autant plus important que les appareils QNAP sont régulièrement la cible d'autres ransomwares comme eChoraix.

Source

The post Le ransomware Qlocker s’en prend encore aux NAS QNAP first appeared on IT-Connect.

Microsoft retire les mises à jour de janvier pour Windows Server

14 janvier 2022 à 07:51

De nombreuses machines sous Windows Server plantent suite à l'installation des mises à jour de janvier 2022, alors pour limiter les dégâts Microsoft a pris la décision d'arrêter la diffusion des mises à jour problématiques.

En début de semaine, Microsoft a publié les mises à jour de janvier 2022 pour ses différents OS et logiciels, et tout ne se passe pas comme prévu une fois les mises à jour installées sur certains serveurs. Pour rappel, voici les trois problèmes :

  • Le service Hyper-V ne démarre plus donc il n'est plus possible de lancer les machines virtuelles
  • Les contrôleurs de domaine redémarrent en boucle
  • Les volumes ReFS sont inaccessibles sur les serveurs

Alors que tout semble plutôt bien se passer pour Windows Server 2016, ce n'est pas le cas pour Windows Server 2012, Windows Server 2012 R2, Windows Server 2019 et Windows Server 2022. De ce fait, trois mises à jour sont identifiées comme étant problématiques :

  • Windows Server 2012 R2 : KB5009624
  • Windows Server 2019 : KB5009557
  • Windows Server 2022 : KB5009555

Suite aux nombreux retours et au mécontentement des utilisateurs, Microsoft a pris la décision d'arrêter la diffusion des mises à jour de janvier pour Windows Server, y compris pour Windows Server 2016. On peut imaginer que la firme de Redmond souhaite stopper l'hémorragie... Et se donner un peu de temps pour trouver une solution fiable.

Même si les mises à jour semblent toujours disponibles via le Microsoft Catalog, il est fortement recommandé de temporiser avant de passer à l'installation. Si c'est déjà trop tard, la seule solution consiste à désinstaller la mise à jour qui pose problème.

Les mises à jour pour Windows 10 et Windows 11 semblent toujours diffusées, même si elles font planter les connexions VPN L2TP.

Ne reste plus qu'à attendre des informations officielles de la part de Microsoft au sujet de ces différents bugs. Il faut avouer que l'on aimerait aussi des explications pour savoir ce qu'il s'est passé exactement.

Remarque : Microsoft a publié de nouvelles KB pour corriger les différents problèmes liés à Windows Server, Windows 10 et Windows 11. Plus d'infos au sein de cet article : les nouvelles KB de janvier 2022.

Source

The post Microsoft retire les mises à jour de janvier pour Windows Server first appeared on IT-Connect.

Ce matin, Firefox ne fonctionne plus : comment régler le problème ?

13 janvier 2022 à 11:33

Chose assez surprenante ce matin : tous les utilisateurs de Firefox ne peuvent plus accéder au moindre site à partir de leur navigateur ! Que se passe-t-il ?

La cause se situe au sein de Firefox 96, la toute dernière version du navigateur et de ce fait cela touche tout le monde, ou en tout cas toutes les personnes qui utilisent ce navigateur. Avec un autre navigateur, pas de soucis.

Rassurez-vous, ce ne sera pas utile de basculer sur Chrome ou Edge puisqu'il existe une solution, enfin même deux solutions ! Pour arriver jusqu'ici et trouver la solution, il sera peut-être utile de dégainer un autre navigateur malgré tout.

Pour solutionner ce problème, voici deux solutions à tester :

Firefox - Désactiver la collecte de données

Ouvrez le navigateur Firefox et saisissez l'adresse suivante dans la barre d'adresse (raccourcis vers les préférences dans la section "Vie privée et sécurité") :

about:preferences#privacy

Descendez dans la page jusqu'à la section "Collecte de données par Firefox et utilisation" et désactivez les différentes options, comme ceci :

Bug Firefox 96

Redémarrez le navigateur et le tour est joué.

Firefox - Désactiver HTTP/3

Cette fois-ci, dans la barre d'adresse saisissez ceci pour accéder à la configuration avancée :

about:config

Cliquez sur "Accepter le risque et poursuivre" puis recherchez la préférence suivante :

network.http.http3.enabled

Passez ce paramètre sur "false" en double-cliquant dessus afin de désactiver HTTP/3 dans le navigateur.

Il suffit de redémarrer le navigateur et tout doit fonctionner comme avant !

On ne s'est pas ce qu'il s'est passé exactement, mais pour le moment, le principal est de retrouver un navigateur opérationnel. Quoi qu'il en soit, pensez à réactiver HTTP/3 (si vous avez choisi cette solution) d'ici quelques jours (heures ? ou semaines ?) quand Firefox aura résolu ce problème.

Mise à jour du 14 janvier 2022

Ce matin, j'ai reçu l'e-mail suivant qui donne quelques explications quant à la cause de ce dysfonctionnement :

"Hier, Firefox ne répondait plus à la suite d'une modification des paramètres par défaut d'un de nos fournisseurs de services cloud, déclanchant un bug HTTP/3.

Nous avons désactivé cette configuration et confirmons que le problème est résolu. Si le problème persiste, veuillez redémarrer votre navigateur. Nous sommes désolés pour ces désagréments."

Source

The post Ce matin, Firefox ne fonctionne plus : comment régler le problème ? first appeared on IT-Connect.

SysJoker, la porte dérobée capable de cibler Linux, macOS et Windows

13 janvier 2022 à 11:11

Des chercheurs en sécurité ont fait la découverte d'une nouvelle porte dérobée baptisée SysJoker et qui présente la particularité de pouvoir cibler Linux, macOS et Windows.

D'après les informations du site VirusTotal, le premier échantillon de SysJoker a été chargé courant 2021, ce qui correspond également au moment où le domaine du serveur C2 a été enregistré.

Écrit en C++, le logiciel malveillant SysJoker dispose de plusieurs variantes afin de s'adapter au système d'exploitation cible, en fonction de s'il s'agit de Windows, Linux ou macOS. Même si les choses devraient changer rapidement maintenant que l'on parle de lui (si ce n'est pas déjà fait), SysJoker est capable d'agir sur les machines sans être détecté par les moteurs de détection antivirus.

Sur Windows, SysJoker s'appuie sur une DLL qui va exécuter des commandes PowerShell afin de réaliser les actions suivantes :

  • Récupérer le ZIP "SysJoker" depuis un dépôt GitHub
  • Décompresser le contenu du ZIP dans "C:\ProgramData\RecoverySystem\"
  • Exécuter la charge utile sur la machine

Après une courte pause, il s'exécute sur la machine sous la forme d'un processus nommé "igfxCUIService.exe" et correspondant à Intel Graphics Common User Interface Service afin d'être discret. Ensuite, le malware va exécuter des commandes sur la machine afin de collecter des données. Il en profitera également pour créer une clé de Registre afin d'être persistant et exécuté à chaque démarrage de Windows (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run). Enfin, les informations collectées seront exportées vers un serveur C2 dont l'adresse est susceptible d'évoluer avec le temps. En fait, SysJoker récupère une liste de serveurs C2 à partir d'un fichier "domain.txt" hébergé directement sur Google Drive et dont le lien est codé en dur dans le code du malware.

SysJoker
Source : Intezer

Grâce à cette porte dérobée, les pirates peuvent exécuter des commandes à distance depuis le serveur C2, ou installer des souches malveillantes supplémentaires sur la machine infectée.

Sur Linux et macOS, SysJoker effectue des opérations similaires et adaptées à ces deux systèmes.

Sur Linux le malware SysJoker va créer ses fichiers sous "/.Library/" tandis que pour être persistant, il va créer une tâche planifiée (cron) : @reboot (/.Library/SystemServices/updateSystem). 

Sur macOS, les fichiers sont créés sous "/Library/" et la persistance est mise en place via LaunchAgent au sein du chemin suivant : /Library/LaunchAgents/com.apple.update.plist.

Même si la liste peut évoluer, voici les domaines C2 partagés par la société Intezer et que vous pouvez bloquer :

  • https[://]bookitlab[.]tech
  • https[://]winaudio-tools[.]com
  • https[://]graphic-updater[.]com
  • https[://]github[.]url-mini[.]com
  • https[://]office360-update[.]com
  • https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
  • https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Retrouvez l'analyse complète de la société Intezer sur leur blog : SysJoker.

Source

The post SysJoker, la porte dérobée capable de cibler Linux, macOS et Windows first appeared on IT-Connect.

Windows 11 Build 22533 : quoi de neuf ?

13 janvier 2022 à 10:09

Microsoft continue de travailler sur le développement de Windows 11 afin de peaufiner son nouveau système d'exploitation. Windows 11 Build 22533 est disponible, quels sont les changements ?

Une fois de plus, les changements seront visuels et cette fois-ci ce sont les indicateurs de changement du volume et de la luminosité qui vont bénéficier d'une mise à jour visuelle. Windows 11 utilise toujours l'interface de Windows 8 pour ces indicateurs, alors ils méritaient bien d'être modernisés pour que ce soit plus homogène avec le reste du système.

Désormais, en changeant le volume avec les touches du clavier, c'est une interface comme celle-ci qui va s'afficher :

Windows 11 Build 22533

En complément, ce nouvel indicateur visuel s'adaptera en fonction du thème sélectionné par l'utilisateur, ce qui n'est pas le cas de l'interface actuelle.

Par ailleurs, le menu accessible via le raccourci clavier "Windows + X" ou un clic droit sur le menu Démarrer va être mis à jour afin de remplacer le terme "Applications et fonctionnalités" par "Applications installées". Quant à l'application "Horloge", il sera possible de la désinstaller simplement, car jusqu'ici ce n'était pas le cas.

Enfin, l'application "Votre Téléphone" qui permet d'interagir avec son smartphone depuis Windows 11 va évoluer aussi. Une nouvelle interface va être proposée pour la gestion d'un appel téléphonique depuis son ordinateur, avec toujours l'objectif de moderniser et d'uniformiser les éléments graphiques au niveau du système.

Cette nouvelle Build de Windows 11 est disponible via le canal Dev du programme Windows Insiders.

Source

The post Windows 11 Build 22533 : quoi de neuf ? first appeared on IT-Connect.

La mise à jour KB5009543 de Windows 10 bloque les VPN L2TP

13 janvier 2022 à 09:53

En ce début de semaine, Microsoft a publié les nouvelles mises à jour mensuelles pour ses différents OS, dont Windows 10 et Windows 11. Visiblement, certaines mises à jour bloquent les connexions VPN L2TP.

Après la mise à jour de leur machine, certains utilisateurs ont eu une mauvaise surprise : leur connexion VPN initialisée à partir du client VPN Windows ne fonctionne plus ! Un message s'affiche pour notifier l'utilisateur que la connexion VPN n'a pas pu être initialisée : "Can't connect to VPN. The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer".

Au sein de l'observateur d'événements de Windows, cela se traduit par la présence d'un message d'erreur avec le code 789.

Bug VPN L2TP KB5009543 Windows 10

Ce bug touche seulement les utilisateurs qui s'appuient sur le client VPN natif de Windows. Si votre VPN s'appuie sur un logiciel tiers comme OpenVPN, vous ne devriez pas rencontrer ce problème. Néanmoins, les clients VPN sont très nombreux sur le marché alors il n'est pas à exclure que des clients VPN tiers soient touchés par ce bug. Des tests s'imposent avant de déployer cette mise à jour.

Les mises à jour qui posent problème sont les suivantes :

  • KB5009566 pour Windows 11
  • KB5009543 pour Windows 10

Pour le moment, la seule solution consiste à faire machine arrière et à désinstaller la mise à jour sur votre machine :

Windows 11 : 
wusa /uninstall /kb:5009566

Windows 10 : 
wusa /uninstall /kb:5009543

Pour le moment, c'est le seul effet de bords connu suite à l'installation de ces nouvelles mises à jour. Compte tenu du nombre important de failles de sécurité corrigées, il vaut mieux essayer de les installer si vous n'êtes pas touché parce bug lié au VPN.

Côté Windows Server, ce n'est pas la fête non plus, car il y a d'énormes problèmes suite à l'installation des mises à jour, notamment sur Windows Server 2012 R2, Windows Server 2019 et Windows Server 2022. Voir cet article pour plus d'informations.

Remarque : Microsoft a publié de nouvelles KB pour corriger les différents problèmes liés à Windows Server, Windows 10 et Windows 11. Plus d'infos au sein de cet article : les nouvelles KB de janvier 2022.

Source

The post La mise à jour KB5009543 de Windows 10 bloque les VPN L2TP first appeared on IT-Connect.

Mise à jour pour Windows Server : DC reboot en boucle, Hyper-V HS, etc.

13 janvier 2022 à 08:03

Aïe ! Tout ne se passe pas comme prévu pour les mises à jour de janvier à destination de Windows Server ! Suite à l'installation, certains serveurs rencontrent d'énormes problèmes : les contrôleurs de domaine rebootent en boucle tandis que les serveurs Hyper-V ne parviennent plus à lancer les VMs. Faisons le point.

A l'occasion de la sortie du Patch Tuesday de janvier 2022, Microsoft a corrigé 97 vulnérabilités et 6 failles zero-day. Jusque là, rien d'anormal. Résultat, plusieurs KB sont disponibles via les canaux habituels pour les différentes versions de Windows, notamment :

  • Windows Server 2012 R2 : KB5009624
  • Windows Server 2019 : KB5009557
  • Windows Server 2022 : KB5009555

Suite à l'installation des mises à jour, les administrateurs systèmes ont rencontrés divers problèmes sur les serveurs. Ce qui gênant, c'est les rôles sont touchés sont généralement critiques, notamment les contrôleurs de domaine et les serveurs Hyper-V.

Les contrôleurs de domaine redémarrent en boucle

Les contrôleurs de domaine Active Directory redémarrent en boucle : après chaque démarrage, le système redémarre au bout de quelques minutes ! Ce bug semble toucher Windows Server 2019 et Windows Server 2022, mais pas forcément Windows Server 2012 R2 d'après les premières remontées.

D'après les informations publiées par le site Bleeping Computer, ce serait lié au processus LSASS.exe qui part en vrille : il surcharge le CPU puis finit par s'arrêter, ce qui cause un redémarrage de la machine. Au sein de l'observateur d'événements de Windows, un event est ajouté suite à chaque plantage, avec notamment cette phrase : "The system process 'C:\WINDOWS\system32\lsass.exe' terminated unexpectedly with status code -1073741819. The system will now shut down and restart.". C'est assez clair.

Hyper-V : impossible de démarrer les VMs !

Autre problème majeur rencontré sur les serveurs Hyper-V où il est impossible de démarrer les machines virtuelles ! En fait, suite à l'installation de la mise à jour, le service Hyper-V ne démarre plus donc il n'est plus possible de démarrer les VMs de ce serveur. Le message suivant s'affiche lorsque l'on essaie de démarrer une VM : "Impossible de démarrer l'ordinateur virtuel car l'hyperviseur n'est pas en cours d'exécution".

D'après les premiers retours obtenus hier, ce problème semble toucher Windows Server 2012 et Windows Server 2012 R2, mais visiblement il pourrait toucher aussi les versions plus récentes, notamment Windows Server 2019 et 2022. Si vous avez des infos à ce sujet, n'hésitez pas à laisser un commentaire.

Le Patch Tuesday contient quatre correctifs de sécurité pour Hyper-V donc ce doit être suite à la correction de ces bugs. Pour rappel, il s'agit des CVE suivantes : CVE-2022-21901, CVE-2022-21900, CVE-2022-21905, and CVE-2022-21847.

Volumes ReFS inaccessibles

Le troisième et dernier problème constaté concerne les volumes qui s'appuient sur le système de fichiers ReFS. Suite à l'installation de la mise à jour, le volume ReFS devient totalement inaccessible ou alors il apparaît au format RAW, comme s'il n'était pas formaté. Visiblement, ce bug touche Windows Server 2012 R2.

Là encore, si l'on regarde le contenu du Patch Tuesday, on remarque qu'il y a eu sept vulnérabilités corrigées au sein de ReFS. C'est probablement l'un de ces correctifs qui est à l'origine de ce bug.

Quelle solution ?

Pour le moment, il n'y a pas de solution officielle de la part de Microsoft et donc la seule solution, c'est de désinstaller la mise à jour (cela fonctionne pour les trois cas évoqués ci-dessus). Cela s'effectue simplement via la commande suivante (numéro de la KB à adapter en fonction de la version de votre OS) :

wusa /uninstall /kb:5009624

Vous pouvez lire mon article sur la désinstallation d'une mise à jour par GPO pour agir sur plusieurs postes.

Bon courage !

Source

The post Mise à jour pour Windows Server : DC reboot en boucle, Hyper-V HS, etc. first appeared on IT-Connect.
❌