Le gang de ransomware LockBit a revendiqué la cyberattaque contre l'Hôpital Simone Veil de Cannes ! Cet acte malveillant s'est déroulé il y a deux semaines. Voici les dernières informations !
Souvenez-vous : dans la nuit du 15 au 16 avril 2024, l'Hôpital Simone Veil de Cannes a été victime d'une cyberattaque. Cet incident de sécurité a eu un impact important sur l'Hôpital, contraint de fonctionner en mode dégradé et de reporter certains rendez-vous.
Le redoutable groupe de cybercriminels LockBit est de retour ! Pourtant, il a été fortement perturbé et contrarié par l'opération Cronos menée par les forces de l'ordre de 10 pays, en février dernier. Lors de cette opération, des serveurs de LockBit ont été saisis et les autorités étaient parvenus à publier un outil de déchiffrement pour permettre à certaines victimes de récupérer leurs données. Deux mois après cette opération, les cybercriminels de LockBit s'en sont pris à cet hôpital français.
En effet, ceci semble être de l'histoire ancienne, car ce 30 avril 2024, le groupe de LockBit a revendiqué la cyberattaque contre l'Hôpital Simone Veil de Cannes. L'établissement a été référencé sur le site de LockBit :
Source : Numerama
Désormais, l'Hôpital Simone Veil de Cannes doit payer la rançon demandée par les pirates, sinon les données volées lors de la cyberattaque seront divulguées. En plus de chiffrer les données, les cybercriminels de LockBit ont pour habitude d'exfiltrer les données pour mettre la pression à leur victime. Dans le cas présent, la direction devrait avoir pour consigne de ne pas payer la rançon, donc des données seront certainement publiées.
Pour le moment, l'Hôpital Simone Veil de Cannes n'a pas confirmé ces informations. À suivre.
Dans cet article, nous allons explorer la problématique du stockage d'informations sensibles dans les partages de fichiers d'un système d'information et des conséquences que la mauvaise gestion des permissions et les négligences humaines peuvent avoir. Je vous partagerai mon retour d'expérience à ce sujet et notamment pourquoi il s'agit d'un incontournable dans le mode opératoire d'un attaquant lors d'une cyberattaque.
Nous allons également apprendre à utiliser l'outil Snaffler, qui peut être utilisé par la blue team (équipe de défense du SI) afin d'avoir une démarche proactive sur ce sujet et complémentaire vis-à-vis des autres bonnes pratiques de sécurité que nous allons évoquer.
Snaffler est un outil qui permet d'automatiser la recherche d'informations sensibles dans tous les partages de fichiers des systèmes du domaine. Cela grâce à de la découverte automatique de partage ainsi que des règles pré-conçues et personnalisables.
II. Partage réseau et informations sensibles
Les diverses missions que j'ai accomplies en tant qu'auditeur en cybersécurité et pentester m'ont conduit à la conclusion suivante : il est presque impossible de garantir qu'une donnée sensible n'est pas accessible à un utilisateur non légitime dans les partages réseau.
La recherche de fichiers contenant des mots de passe ou des données techniques sensibles est toujours une opération fructueuse via un compte authentifié sur le domaine.
La multitude de groupes, sites géographiques, permissions, ACL, partages, dossiers et sous-dossiers multipliée par la négligence, les mauvaises pratiques humaines et l'historique du SI font que dès qu'un attaquant compromet un compte utilisateur sur un domaine, il parvient à obtenir des identifiants grâce à une recherche d'information dans les partages de fichier. Ces identifiants peuvent être stockés dans :
des fichiers bureautiques;
des fichiers textes;
des coffres-fort de mots de passe;
des fichiers de configuration;
le code source d'une application web;
des disques dur de machines virtuelles;
des archives contenant un ou plusieurs des items précédents;
etc.
Le stockage d'informations sensibles dans les partages réseau des serveurs d'une entreprise est plutôt commun. C'est exactement le but de ces services : stocker les informations critiques de l'entreprise sur ses propres serveurs, au sein de son propre système d'information.
Cependant, c'est la gestion des permissions d'accès à ces informations qui pose majoritairement un problème. Une fois que l'attaquant obtient un compte valide du domaine, il peut alors profiter des droits de cet utilisateur, les groupes métiers auquel il appartient donneront de fait accès aux données relatives à son contexte métier.
Ça, c'est dans le meilleur des cas. Dans la réalité, le fait de disposer de n'importe quel compte utilisateur valide sur le domaine permet de profiter des droits permissions aux groupes "Tout le monde" et "Utilisateurs authentifiés". Ce sont les droits accordés à ces groupes sur les partages de fichiers qui sont généralement beaucoup trop permissifs. Et pour cause, lorsque l'on souhaite partager un dossier, celui-ci intègre par défaut une ACL de lecture sur le groupe "Tout le monde" (qui comprend "Utilisateurs authentifiés"), qu'il faut manuellement supprimer :
Pour rappel, Le groupe "Authenticated Users/Utilisateurs authentifiés" englobe tous les utilisateurs dont l'authentification a été vérifiée lors de leur connexion. Cela inclut à la fois les comptes d'utilisateurs locaux et ceux provenant de domaines de confiance. Le groupe "Tout le monde" inclut tous les membres du groupe "Utilisateurs authentifiés" ainsi que le compte intégré Invité, et divers comptes de sécurité intégrés (SERVICE, LOCAL_SERVICE, etc.).
Il faut aussi intégrer le fait que plus l'attaquant compromettra de compte utilisateur, plus il profitera des nouveaux privilèges obtenus pour accéder à de nouveaux partages et dossiers réseau en fonction des groupes d'appartenances des groupes compromis.
Par négligence, facilité ou ignorance des conséquences, il est très fréquent que la plupart des partages de fichiers soient accessibles aux membres du groupe "Utilisateurs authentifiés" du domaine, c'est-à-dire tous les utilisateurs.
Également, il faut connaitre et noter la différence entre les permissionsappliquées les partages réseau et lespermissions NTFS (appliquées sur les dossiers et sous-dossiers de ces partages). Ces permissions NTFS permettent de gérer les permissions des différents dossiers à l'intérieur d'un partage de fichier, en autorisant ou interdisant l'accès à des dossiers spécifiques. Dans les faits, cela permet donc de définir de façon granulaire qui a accès à quel dossier, mais cela rajoute de la complexité de gestion qui peut mener à des erreurs, des oublis, etc.
Pour mieux comprendre la différence entre permissions NTFS et permissions des partages, je vous invite à consulter notre article à ce sujet : Serveur de fichiers – Les permissions NTFS et de partage, résumé dans la vidéo ci-dessous :
Il est à noter que par "informations sensibles", la première idée qui vient en tête est bien sûr le mot de passe d'un compte privilégié du domaine. Dans un contexte d'entreprise, il peut s'agit également de données métiers (secrets industriels), d'informations financières et bancaires, mais aussi d'informations personnelles (RGPD) concernant les clients ou les salariés de l'entreprise. Nous verrons par la suite que ce détail à une importance pour la red team (attaquant), mais aussi pour la blue team (défenseur) qui souhaite avoir une démarche proactive et rechercher elle-même l'exposition excessive de données dans les partages réseaux.
Lors d'une cyberattaque, pour accomplir cette tâche de manière complète, la red team doit opérer de la façon suivante :
Énumérer les hôtes du domaine.
Énumérer les services de partage de fichiers présents sur ces hôtes.
Énumérer les partages exposés et les permissions d'accès avec l'utilisateur courant.
Parcourir chaque dossier et chaque fichier accessible à la recherche d'informations sensibles.
Vous l'imaginez bien, cette tâche est fastidieuse et ne peut être menée à bien dans un délai raisonnable. C'est pourquoi des outils ont été créés pour l'automatiser de façon efficace. De plus, ces opérations sont fréquentes dans le mode opératoire des attaquants et disposent de leur propre TTP dans le framework MITRE ATT&CK, preuve qu'il s'agit d'un sujet à prendre au sérieux :
Prenez notamment le temps de jeter un œil à la section "Procedure Examples" du TTP T1083. Cette section liste les cas avérés et documentés de cyberattaque ayant exploité ce TTP. Ici, près de 350 cas sont répertoriés.
III. Gestion des droits sur les partages réseaux : les bonnes pratiques standard
La gestion des permissions sur les partages réseau est une tâche à la base simple, qui devient très complexe dans un contexte réel d'entreprise. Il faut à la fois permettre la collaboration entre les utilisateurs, s'assurer que le principe de moindre privilège est respecté et garder un œil sur le respect des bonnes pratiques et directives données.
Le principe de moindre privilège est un concept fondamental en cybersécurité. Il consiste à n'accorder à un utilisateur, un processus ou un objet uniquement les privilèges nécessaires à l'accomplissement de ses tâches, et ce, sans accorder de droits superflus.
Ce principe vise à limiter les risques en réduisant la surface d'attaque potentielle. Il est souvent mis en avant lors de la gestion des droits d'accès pour souligner l'importance de mettre en place un modèle de privilèges granulaire, afin de minimiser les risques d'exploitation par des attaquants.
Les mesures "traditionnelles" de sécurité à prendre concernant la gestion des permissions d'accès aux partages de fichiers sont les suivantes :
S'assurer que les partages de fichiers ne sont pas accessibles en mode anonyme : cela peut paraitre étonnant, mais c'est beaucoup plus fréquent qu'on ne le croit d'après mes expériences.
Définir un modèle de droit clair et efficace, adapté au contexte de sécurité de l'entreprise. Pour trouver un modèle "standard" de sécurité, vous pouvez notamment consulter cet article sur la méthode AGDLP : AGDLP – Bien gérer les permissions de son serveur de fichiers.
S'assurer d'avoir une équipe formée sur le sujet : la gestion des droits sur les partages de fichiers peut avoir quelques secrets. Il faut s'assurer que notre équipe est techniquement formée, mais qu'elle connait aussi les bonnes pratiques internes de l'entreprise afin de savoir s'il y est légitime que tel groupe accède à telle information. On peut citer la directive n°1 du guide d'hygiène de l'ANSSI : Former les équipes opérationnelles à la sécurité des systèmes d’information.
Sensibiliser et former les utilisateurs concernant la manipulation, le stockage et la partage d'informations sensibles au quotidien, au sein d'une équipe ou avec des utilisateurs externes : On peut citer la directive n°2 du guide d'hygiène de l'ANSSI : Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique.
Archiver les données qui ne sont plus utilisées afin de réduire la surface d'attaque. Il est évident que si une donnée n'est plus exposée, elle ne pourra être compromise.
Même avec toutes ces bonnes pratiques, qu'est-ce qui empêcherai un utilisateur de stocker le mot de passe du compte X (ex-Twitter) de l'entreprise dans un fichier texte sur le partage "\\SRV-FICHIER\Communs\Communication", pour l'échanger plus facilement avec ses deux collègues du pôle communication ?
IV. Démarche proactive de recherche d'informations sensibles dans les partages
A. Snaffler : automatiser la recherche d'information sensibles
En complément des mesures et bonnes pratiques listées dans la section précédente, la blue team peut souhaiter avoir une démarche proactive et utiliser elle-même les outils et méthodes des attaquants. Cela dans le but de vérifier que les mesures de sécurité sont efficaces et bien implémentées au travers des vérifications régulières. C'est ici que Snaffler entre en jeu.
Snaffler est un exécutable plutôt simple d'utilisation au regard de la charge de travail qu'il permet d'économiser. Comme indiqué précédemment, dans son utilisation standard, celui-ci va
Se connecter à l'Active Directory et lister les objets "Ordinateur".
Se connecter à chaque ordinateur afin de lister les partages de fichiers exposés.
Vérifier les droits de lecture sur chacun des partages, dossiers et sous-dossiers avec l'utilisateur courant.
Lister les fichiers et sélectionner les plus intéressants.
Lire le contenu de chacun des fichiers accessibles dans ces partages en fonction des règles de recherche configurées.
À chaque étape de ce processus sont appliquées des règles de matching afin de déterminer si le partage, répertoire ou fichier est intéressant ou doit être mis de côté. Ce processus peut être schématisé de la façon suivante :
Schéma macro du fonctionnement de Snaffler.
B. Utiliser Snaffler au sein d'un domaine Active Directory
Maintenant que nous avons introduit le sujet, passons à l'action. Il faut bien sûr commencer par télécharger l'exécutable depuis son dépôt Github : Github - Snaffler.
Attention, il faut également savoir que le binaire "Snaffler.exe" peut être détecté comme malveillant par certains EPP et EDR, le binaire étant autant utilisé par les défenseurs que par les attaquants, il est normal que des solutions de sécurité le catégorisent ainsi :
Analyse VirusTotal de la dernière version de Snaffler.exe.
D'après cette analyse VirusTotal réalisée sur la dernière version de Snaffler, 43 des 73 produits de sécurité utilisés considèrent le binaire comme malveillant. Il faudra donc certainement passer par une mise en liste blanche du binaire.
Snaffler est open-source, vous pouvez donc étudier son code source avant exécution sur votre système d'information.
Le plus simple pour avoir une vue rapide de ses capacités et de l'exécuter depuis un poste du domaine avec un utilisateur "non privilégié" du domaine.
Cependant, les choix de l'utilisateur et de la position sur le réseau du système utilisé ont ici leur importance et doivent refléter la situation de l'attaquant tel que souhaité dans votre simulation. S'agit-il d'un compte RH, stagiaire ou d'un membre de l'équipe IT ? L'attaquant effectue-t-il sa recherche depuis le réseau Wifi invité, le poste utilisateur de l'accueil ?, etc. À ce titre, plusieurs itérations du même test peuvent être effectuées, en modifiant le compte utilisateur utilisé ou la position réseau du système émettant la recherche. Vous pourrez alors comparer les résultats obtenus.
Depuis un poste intégré au domaine et un compte utilisateur valide sur le domaine, j'utilise Snaffler de la façon suivante :
.\Snaffler.exe -s -v Data
L'option "-s" est utilisée ici pour rediriger la sortie vers le terminal et l'option "-v Data" est utilisée pour définir le niveau de verbosité. "Data" signifie ici que nous n'aurons que des informations à propos des données trouvées, aucune information de debug.
Pas d'authentification, pas de spécification de cible (même si cela est possible via les options). Snaffler va utiliser la session actuelle de l'utilisateur ainsi que les informations du domaine pour se connecter à l'Active Directory et commencer son énumération.
En fonction de votre système d'information, Snaffler peut s'exécuter pendant assez longtemps (j'ai déjà vu des cas où l'analyse prenait plusieurs heures). Cependant, vous devriez avoir des premiers résultats assez rapidement. Ceux-ci s'affichent au fil de l'eau.
Voici un exemple de résultat (cliquez sur l'image pour zoomer) :
Exemple de sortie produite par Snaffler avec découverte d'informations sensibles.
A noter que pour une utilisation en live, cette première commande suffit. On peut toutefois stocker la sortie de Snaffler dans un fichier texte, ce qui est notamment intéressant lorsque la sortie produite est volumineuse :
snaffler.exe -s -v Data -o snaffler.log
Snaffler va alors écrire ses résultats dans un fichier dédié, qui pourra être parcouru après coup.
C. Comprendre les résultats de Snaffler
Comme vous pouvez le voir dans la capture ci-dessus, Snaffler peut être assez verbeux dans sa sortie. Lorsque l'on connait la structure de cet affichage, les choses deviennent cependant beaucoup plus simples. Dans un premier temps, on peut voir que Snaffler se connecte à tous les objets Ordinateurs retournés par sa requête LDAP (l'AD et un poste utilisateur dans mon cas) et liste les partages réseau disponibles (Cliquez sur l'image pour zoomer) :
Vue des systèmes et partages découverts par Snaffler dans la sortie standard.
À noter que j'effectue ma démonstration ici avec l'Administrateur du domaine, qui a donc accès à tous les répertoires partagés du domaine. En fonction de votre objectif (trouver absolument une donnée, où qu'elle soit, ou voir à quoi à accès tel profil utilisateur depuis telle position réseau), votre résultat pourra nettement différer.
Suite à cela, Snaffler commence à journaliser des informations à propos des fichiers qu'il trouve intéressant, ainsi que des extraits de ces fichiers (Cliquez sur l'image pour zoomer) :
Vue des fichiers et chaines de caractère découverts par Snaffler dans les partages de mon domaine.
Chaque ligne commence par le nom de l'utilisateur utilisé pour l'énumération ("[IT-CONNECT\Administrateur@AD01]" :
La première ligne nous indique qu'une règle de détection a trouvé un fichier intéressant (d'après son nom) : "confCons.xml". Les connaisseurs reconnaitront le nom d'un fichier de configuration de l'outil "mRemoteNG", utilisé pour stocker les connexions (nom, login, mot de passe) des connexions RDP, SSH, etc.
La seconde ligne est le résultat d'une règle de parsing du contenu d'un fichier et nous donne un extrait d'une donnée de ce même fichier de configuration. C'est souvent le plus intéressant et facile d'accès, car il s'agit de fichier "texte", facile à parser pour Snaffler. Mais, il ne faut pas forcément s'arrêter là.
La troisième ligne est à nouveau une règle de matching sur un nom de fichier. Snaffler a découvert un fichier de dump mémoire (".DMP"). Le chemin et nom complet du fichier (en violet) nous indique qu'il s'agit d'un dump mémoire du processus LSASS, notamment connu pour y stocker les identifiants et sessions des utilisateurs connectés. La structure du fichier n'étant pas du simple texte, Snaffler nous indique simplement sa présence et c'est à nous d'aller plus loin si l'on juge cela intéressant.
Pour mieux comprendre encore, voici la structure de chaque ligne de sortie Snaffler (cliquez sur l'image pour zoomer) :
Détails de la structure de sortie de Snaffler.
La couleur a notamment une importance, elle détermine le niveau de certitude et d'intérêt que Snaffler a sur la présence d'une information recherchée :
Black : certitude que l'information ou le fichier découvert est sensible
Red : a de grande chance d'être ou de contenir une information sensible
Yellow et Green : peut présenter un intérêt, mais une investigation plus poussée est nécessaire
Ces niveaux de catégorisation sont inscrits dans les différentes règles de Snaffler. La découverte d'un champ "password=" dans un fichier sera Red alors que la découverte d'un script PowerShell sera Green. À ce titre, il est possible de filtrer la sortie de Snaffler pour n'afficher, par exemple, que les résultats Red ou Black :
.\Snaffler.exe -s -v Data -b 3
L'option "-b 3" entraine une journalisation de la catégorie Black uniquement (la plus élevée). Je vous recommande cependant de journaliser au moins à partir du niveau Red, qui sont en général pertinents. Pour cela, utilisez l'option "-b 2".
D. Réaliser une recherche locale de données via Snaffler
Nous avons pour le moment utilisé Snaffler dans son mode "par défaut", dans lequel il va lui-même chercher une liste d'hôtes auprès de l'Active Directory. Il est aussi possible de réaliser une exécution uniquement locale de Snaffler, ciblant le système du fichier de l'hôte sur lequel il est déposé, sans communication réseau et avec des chances de détection réduite pour un attaquant :
.\Snaffler.exe -s -v Data -i C:\
Via l'option "-i", on ordonne à Snaffler de ne pas faire de récupération d'hôte et de se fier à notre liste à la place. Cette option peut aussi être utilisée pour spécifier un partage précis sur un système de notre choix :
.\Snaffler.exe -s -v Data -i \\AD01.it-connect.tech\Partage_IT
Enfin, si l'on souhaite que Snaffler effectue une découverte des partages, mais pas des hôtes, on peut lui fournir une liste d'hôte à énumérer avec l'option "-n" :
.\Snaffler.exe -s -v Data -n AD01.it-connect.tech,DESKTOP-VAU6BQO.it-connect.tech
Ces deux dernières options sont intéressantes pour une analyse ciblée sur un serveur ou un partage donné.
V. Utilisation et configuration personnalisée de Snaffler
A. Comprendre le fonctionnement des règles Snaffler
Pour mieux comprendre le fonctionnement de Snaffler, il faut savoir que celui-ci effectue une recherche et catégorisation progressive des fichiers et informations en fonctions des règles fournies. D'abord, il va rechercher les fichiers dans tous les partages, dossiers et sous-dossiers sur lequel il dispose de droits de lecture. Un premier tri est effectué sur ces fichiers :
En fonction de leurs tailles (pour des raisons de performance)
En fonction de leurs extensions (.kdbx, .id_rsa, .ppk, etc.)
En fonction des noms defichier (web.config)
En fonction d'un mot présentdans le nom du fichier ("Mes mots de passe 2024.xlsx")
En fonction de ces critères ou d'une combinaison d'entre eux, Snaffler appliquera une décision :
Discard : Exclure le fichier de l'analyse (trop gros, fichiers généralement pas intéressants ou difficiles à parser).
Keep : Journaliser le fichier (terminal/fichier de log).
Relay : passer le fichier à une ou plusieurs règles en vue d'y chercher une donnée spécifique (en fonction du format/type de fichier). Par exemple, si une règle recherchant les extensions ".ps1" trouve un fichier, elle passera ce fichier à un ensemble de règles permettant d'y chercher les mots "password", "net user", etc. grâce à des expressions régulières.
Les règles sont écrites au format TOML et sont assez complexes au premier abord. Il faut notamment bien comprendre le fonctionnement et les capacités de Snaffler pour les mieux les appréhender. Préférez donc utiliser l'outil dans un premier temps avant de vouloir concevoir vos propres règles.
Les règles par défaut de Snaffler, intégrées dans l'exécutable, sont généralement suffisantes pour avoir des résultats pertinents lors d'une première analyse.
Pour dégrossir le sujet et mieux comprendre Snaffler, étudions la règle suivante :
[[ClassifierRules]]
EnumerationScope = "FileEnumeration"
RuleName = "RelayPsByExtension"
MatchAction = "Relay"
RelayTargets = ["KeepPsCredentials",
"KeepCmdCredentials",
"KeepAwsKeysInCode",
"KeepInlinePrivateKey",
"KeepPassOrKeyInCode", "KeepSlackTokensInCode",
"KeepSqlAccountCreation",
"KeepDbConnStringPw"]
Description = "Files with these extensions will be searched for PowerShell related strings."
MatchLocation = "FileExtension"
WordListType = "Exact"
MatchLength = 0
WordList = ["\.psd1",
"\.psm1",
"\.ps1"]
Triage = "Green"
Les noms des différents attributs sont assez explicites et nous avons déjà aperçu des "EnumerationScope" précédemment dans l'article :
ShareEnumeration : règles portant sur les partages, permettant notamment d'exclure de l'analyse certains partages peu intéressant ("\\PRINT$" "\\IPC$").
DirectoryEnumeration : règles portant sur les noms des répertoires, permettant également d'en exclure certains.
FileEnumeration : règles portant sur les noms et extensions des fichiers, permettant d'inclure ou exclure certains d'entre eux de l'analyse, de journaliser les fichiers intéressants et de passer aux règles suivantes les fichiers à parser.
ContentsEnumeration : règles de parsage de fichier, qui permettent de détecter des patterns précis dans des fichiers ("password=", "client_secret", etc.)
PostMatch : Règles spécifiques d'exclusion pour exclure certains faux positifs classiques.
Notre règle ci-dessus va donc rechercher les fichiers ayant des extensions précises ("MatchLocation = FileExtension"), comme ".psd1", ".psm1" ou ".ps1". En cas de match, elle va relayer ("MatchAction = Relay") le fichier cible aux règles présentes dans la liste "RelayTargets". Voici, en exemple, l'une des règles cible en question :
[[ClassifierRules]]
EnumerationScope = "ContentsEnumeration"
RuleName = "KeepPsCredentials"
MatchAction = "Snaffle"
Description = "Files with contents matching these regexen are very interesting."
MatchLocation = "FileContentAsString"
WordListType = "Regex"
MatchLength = 0
WordList = [ "-SecureString",
"-AsPlainText",
"\[Net.NetworkCredential\]::new\("]
Triage = "Red"
Cette règle va rechercher dans le contenu du fichier ("MatchLocation = FileContentAsString") les mots "-SecureString", "-AsPlainText", "\[Net.NetworkCredential\]::new\(" et journaliser "MatchAction = Snaffle" en cas de match. Lorsqu'un script PowerShell contient l'instruction "-AsPlainText" ou qu'il fait référence à une SecureString, c'est généralement le signe qu'il y a un mot de passe intégré dans le script.
Les règles par défaut de Snaffler sont mises à jour occasionnellement en fonction des apports de la communauté (voir l'historique des pull requests Github), vous pouvez notamment consulter le contenu des règles sur le Github également : Github - Snaffler/SnafflerRules. N'hésitez pas à les consulter en parallèle de vos premières utilisations pour comprendre précisément comment ces règles sont structurées.
B. Créer une règle Snaffler personnalisée
Ces deux exemples devraient vous fournir les bases nécessaires à la modification des règles existantes et la création de vos propres règles. Nous allons voir dans cette section comment ajouter une règle de recherche dans le contenu des fichiers PowerShell. Dans un premier temps, il est nécessaire de générer une base de fichier de configuration à l'aide de l'option "-z" :
Snaffler.exe -z
Cette option va générer un fichier "default.toml" dans votre répertoire courant, qu'il faudra ensuite spécifier lors du lancement de Snaffler (c'est ce fichier qui contient la limite de taille de fichier au-delà de laquelle Snaffler ne s'intéressera pas à un fichier).
À titre d'exemple, imaginons que nous venons de mettre en place un SI de sauvegarde cloisonné de notre SI principal et totalement décorrélé de notre domaine. Dans la démarche d'un attaquant ayant compromis notre domaine et souhaitant atteindre les sauvegardes avant de déployer son ransomware, celui-ci peut chercher dans notre documentation, scripts et mails la trace d'un éventuel SI de sauvegarde.
Nous ne souhaitons donc pas qu'un attaquant ayant compromis un compte d'un membre du SI puisse découvrir de script contenant le nom de notre serveur de sauvegarde ("SRV-BACKUP01") et par conséquent l'existence de notre SI de sauvegarde. Je vais dans un premier temps ajouter la règle suivante :
Celle-ci va rechercher le terme "SRV-BACKUP01" dans tous les fichiers qui lui seront relayés. Ensuite, nous allons reprendre la structure de la règle "RelayPsByExtension" vu précédemment, ajouter quelques extensions et préciser ma nouvelle règle dans la liste des "RelayTargets" :
[[ClassifierRules]]
EnumerationScope = "FileEnumeration"
RuleName = "RelayScriptExtension"
MatchAction = "Relay"
RelayTargets = ["CUSTOM-KeepPsBackupServer"]
Description = "Files with these extensions will be searched for script related strings."
MatchLocation = "FileExtension"
WordListType = "Exact"
MatchLength = 0
WordList = ["\\.psd1",
"\\.psm1",
"\\.ps1",
"\\.bat",
"\\.cmd",
"\\.vbs"]
Triage = "Green"
Si j'exécute Snaffler en spécifiant ma nouvelle configuration, une analyse avec uniquement mes deux règles sera effectuée :
Snaffler.exe -s -v Data -z .\default.toml
Voici un résultat possible :
Ma nouvelle règle "CUSTOM-KeepPsBackupServer" a effectivement permis de trouver un script contenant le nom de mon serveur de sauvegarde, il ne s'agit pas d'une information sensible au regard des règles par défaut de Snaffler, mais dans mon contexte, cette information a intérêt à être remontée.
Attention, cette action va exécuter une analyse avec uniquement vos règles. Celles par défaut ne seront plus utilisées. Si vous souhaitez ajouter vos règles de façon durable dans l'analyse en plus de celles par défaut, il faut ajouter des fichiers ".toml" contenant vos règles dans le dossier "Snaffler/SnaffRules/DefaultRules", puis recompiler le binaire, qui contiendra alors l'ensemble des règles.
VI. Conclusion
Nous avons étudié dans cet article la problématique du stockage des informations sensibles dans les partages de fichiers et de la difficulté de gestion des droits et permissions dans le temps sur ces éléments. Snaffler est à mon sens un outil très intéressant pour compléter les mesures de sécurité habituelles sur ces sujets, puisqu'il permet de faire une analyse complète et concrète des informations visibles par un utilisateur sur les partages.
Il s'agit d'un outil très utilisé dans les phases de recherche, notamment lors des opérations de simulations d'attaques (tests d'intrusion). Dans des opérations réelles, l'attaquant ne va pas utiliser Snaffler car celui-ci est trop bruyant (un même compte utilisateur qui s'authentifie sur toutes les machines du domaine pour lister les partages), mais l'opération restera la même : voir quelles informations sont accessibles par un utilisateur compromis, et trouver des données techniques ou métier.
Enfin, il faut savoir qu'une version "étendue" de Snaffler existe ("UltraSnaffler"), elle permet de chercher des données dans des fichiers plus complexes comme des fichiers ".docx", ".xlsx". Ces possibilités ne sont pas proposées par défaut, car elle nécessite l'inclusion de librairies qui multiplie par 1200% le poids du binaire. Cela reste néanmoins une piste intéressante pour une utilisation et investigation avancée.
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Proxmox Virtual Environment (VE) 8.2 includes new functionalities such as an automated installation tool for more straightforward setup on bare-metal servers, a migration wizard for VMware ESXi virtual machines, and a switch to an nftables-based firewall for enhanced security. It also introduces LXC device passthrough for containerized workloads and advanced backup settings to optimize resource utilization during backups. These updates are part of a broader release that updates core technologies and system components.
Une clé produit (également appelée clé de licence ou clé d’activation) est une série de caractères alphanumériques utilisée pour activer et authentifier un logiciel, généralement lors de son installation. Cette clé est fournie par le fournisseur du logiciel et est unique pour chaque exemplaire du logiciel acheté ou obtenu légalement. Microsoft Office n’échappe pas à la règle et possède aussi une clé produit.
Dans ce tutoriel, je vous donne plusieurs méthodes pour récupérer la clé produit d’Office 2021, 2016, 2019, 2013 ou Microsoft 365.
Comment récupérer la clé produit Office 365, Office 2021, 2016, 2019, 2013
Méthode 1 : vérifier l’emballage du produit ou le reçu de l’e-mail
Dans le monde numérique, il est indispensable de trouver votre clé de produit Microsoft 365 pour pouvoir profiter de ses avantages. Un moyen facile de l’obtenir est de vérifier l’emballage ou le reçu de l’e-mail. Voici comment procéder :
Examinez l’emballage du produit :
Inspectez la boîte ou l’emballage de Microsoft 365 ou Microsoft Office
Vérifiez s’il y a un autocollant/étiquette avec la clé du produit
Décollez-le avec précaution pour obtenir le code
Vérifiez votre boîte de réception :
Ouvrez votre boîte de réception et recherchez un courriel provenant du magasin
Recherchez des mots-clés tels que “clé”, “licence” ou “série” dans l’objet ou le corps du message
Notez le code alphanumérique
Connectez-vous à votre compte :
Si vous l’avez acheté auprès de Microsoft, connectez-vous à votre compte
Allez dans le tableau de bord/l’historique des achats pour trouver la clé
Notez le code unique
Méthode 2 : ProduKey de NirfSoft
ProduKey est un petit utilitaire qui affiche la clé produit de Microsoft Office et Windows. Vous pouvez afficher ces informations pour votre système d’exploitation actuel ou pour un autre système d’exploitation/ordinateur en utilisant les options de la ligne de commande. Cet utilitaire peut être utile si vous avez perdu la clé de produit de votre Windows/Office et que vous souhaitez le réinstaller sur votre ordinateur.
Belarc Advisor est un logiciel gratuit conçu pour analyser un ordinateur et fournir des informations détaillées sur son matériel et son logiciel. Il examine divers aspects du système, tels que la configuration matérielle, les logiciels installés, les mises à jour manquantes, les vulnérabilités de sécurité, les clés de produit des logiciels, etc. Parmi les fonctionnalités, il est aussi capable d‘énumérer les clés produits depuis le menu Software Licences. Vous pouvez utiliser ce logiciel pour trouver la clé produit d’Office.
LicenceCrawler est un logiciel conçu pour aider les administrateurs informatiques et les professionnels de l’informatique à gérer les licences logicielles sur les réseaux d’entreprise. Il analyse les ordinateurs connectés au réseau et recueille des informations sur les licences logicielles installées, y compris les clés de produit, les numéros de série et les informations de licence associées à divers logiciels, tels que les systèmes d’exploitation, les applications bureautiques, les outils de développement, etc.
Dans le cas où vous avez acheté votre licence Office dans Microsoft Store, vous pouvez trouver la clé produit depuis ce dernier. Voici comment faire :
Allez sur www.microsoftstore.com. Dans le coin supérieur droit, sélectionnez “Se connecter” in et entrez l’identifiant et le mot de passe que vous avez utilisés pour acheter Office.
Une fois connecté, sélectionnez votre nom dans le coin supérieur droit, puis sélectionnez “Historique des commandes“.
Localisez l’achat unique d’Office ou l’application Office individuelle, puis sélectionnez “Installer Office” pour afficher votre clé de produit (cela n’installe pas réellement Office). Notez que cette clé de produit ne correspondra pas à la clé de produit affichée sur la page “Compte Microsoft“, services et abonnements. C’est normal.
Comment trouver la licence Office en invite de commandes ou PowerShell
Office 2021, 2016, 2019 et Office 2013
OSPP.VBS (Office Software Protection Platform) est un script utilisé par Microsoft Office pour gérer l’activation des produits Office, tels que Word, Excel, PowerPoint, etc. Il fait partie du système d’activation et de gestion des licences de Microsoft Office. Vous pouvez l’utiliser pour obtenir le statut d’activation de Microsoft Office. Voici comment faire :
Par exemple, sur une version crackée d’OffIce, le type de Licence est Retail Channel avec OOB_GRACE. De plus, le code erreur 0x4004F00C s’affiche.
LICENSE NAME: Office 19, Office19HomeBusiness2019R_Retail edition LICENSE DESCRIPTION: Office 19, RETAIL channel BETA EXPIRATION: 01/01/1601 LICENSE STATUS: ---OOB_GRACE--- ERROR CODE: 0x4004F00C ERROR DESCRIPTION: The Software Licensing Service reported that the application is running within the valid grace period Last 5 characters of installed product key: R62YT
Dans le cas de Microsoft 365, le script à utiliser pour obtenir les informations de licence est différent et se nomme vNextDiag.ps1. Voici comment faire :
Appuyez sur le raccourci clavier
+ X ou cliquez avec le bouton droit de la souris sur le menu Démarrer puis sélectionnez “Terminal Windows (admin)“. Plus d’informations : Comment ouvrir Windows Terminal
Puis utilisez les commandes suivantes, selon l’architecture de Windows
cd "c:\Program Files\Microsoft Office\Office16\" ; si Windows 32-bits
cd "c:\Program Files (x86)\Microsoft Office\Office16\" ; si Windows 32-bits
powershell -ep bypass -c ".\vNextDiag.ps1"
Vous utilisez un NAS QNAP ? Veillez à ce qu'il soit à jour, car plusieurs failles de sécurité critiques ont été corrigées ! Elles représentent une menace sérieuse pour votre NAS et vos données. Faisons le point.
En mars dernier, nous avons déjà publié un article au sujet de 3 failles de sécurité critiques découvertes dans le système d'exploitation utilisé par les NAS QNAP. Il s'avère que 3 autres vulnérabilités sont désormais mentionnées dans ce bulletin de sécurité et qu'une autre alerte mentionne 2 failles de sécurité découvertes à l'occasion d'une édition de la compétition de hacking Pwn2Own. L'exploitation de ces vulnérabilités peut permettre à un attaquant d'exécuter des commandes sur le NAS, ce qui pourrait lui permettre de compromettre l'appareil.
Commençons par évoquer les trois failles de sécurité critiques évoquées sur cette page :
CVE-2024-27124 :
Cette vulnérabilité d'injection de commande pourrait permettre à des utilisateurs d'exécuter des commandes sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 7.5 sur 10.
CVE-2024-32764 :
Cette vulnérabilité donne accès à une fonction critique du système sans authentification et pourrait permettre à des utilisateurs standards (sans privilèges élevés) d'accéder à certaines fonctions et de les utiliser, à distance. Ceci est lié au service myQNAPcloud Link. Elle est associée à un score CVSS de 9.9 sur 10.
"Un défaut de contrôle de l’authentification dans myQNAPcloud Link permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’accéder à certaines fonctionnalités critiques.", peut-on lire sur le site du CERT Santé.
CVE-2024-32766 :
Cette vulnérabilité d'injection de commande pourrait permettre à un attaquant non authentifié d'exécuter des commandes arbitraires sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 10 sur 10.
En plus de ces 3 vulnérabilités, voici 2 autres failles de sécurité importantes patchées il y a quelques jours par QNAP :
CVE-2023-51364, CVE-2023-51365 :
Il s'agit de deux vulnérabilités de type "path transversal" permettant à un attaquant de lire le contenu de fichiers protégés, et potentiellement, d'exposer des données sensibles via le réseau. Elles sont associées à un score CVSS de 8.7 sur 10.
Quelles sont les versions affectées ?
Voici la liste des versions affectées, pour chaque système :
QTS 5.x et QTS 4.5.x
QuTS hero h5.x et QuTS hero h4.5.x
QuTScloud c5.x
myQNAPcloud 1.0.x
myQNAPcloud Link 2.4.x
Comment se protéger ?
Pour vous protéger de l'ensemble de ces failles de sécurité, vous devez utiliser l'une de ces versions :
QTS 5.1.4.2596 build 20231128 et supérieur
QTS 4.5.4.2627 build 20231225 et supérieur
QuTS hero h5.1.3.2578 build 20231110 et supérieur
QuTS hero h4.5.4.2626 build 20231225 et supérieur
QuTScloud c5.1.5.2651 et supérieur
myQNAPcloud 1.0.52 (2023/11/24) et supérieur
myQNAPcloud Link 2.4.51 et supérieur
En complément, veillez à utiliser un mot de passe robuste sur vos comptes d'accès au NAS (activez le MFA également), sauvegardez régulièrement vos données et limitez les accès au NAS notamment l'exposition de l'appareil sur Internet.
La chaîne de magasins canadienne "London Drugs" est victime d'une cyberattaque majeure ! Plusieurs magasins sont actuellement fermés à cause de cet incident de sécurité ! Faisons le point.
London Drugs est une grande chaîne de magasins canadiens qui vend des produits divers et variés : des produits de beauté, des outils de jardinage ou encore des ordinateurs. Le site officiel mentionne 80 magasins pour un total de 8 000 employés.
Le 28 avril 2024, les équipes techniques de London Drugs ont fait la découverte d'une intrusion sur leur système informatique. L'information a été révélée dimanche soir dans un e-mail envoyé à CBC/Radio-Canada.
Suite à cette cyberattaque, qualifiée de problème opérationnel, des mesures ont été prises : "London Drugs a immédiatement pris des contre-mesures pour protéger son réseau et ses données", notamment en sollicitant l'aide d'experts externes. De plus, la direction a pris la décision de fermer temporairement tous ses magasins présents dans l'ouest du Canada, pour une durée indéterminée. Il s'agit d'une mesure de précaution et une conséquence de l'indisponibilité éventuelle d'une partie du système informatique. Rien qu'en Colombie-Britannique, London Drugs compte plus de 50 magasins.
Pour le moment, aucune information n'a été publiée quant à l'origine de cette attaque. Nous ignorons s'il s'agit d'un ransomware et s'il y a eu un vol de données.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a mis en ligne un nouveau guide au sujet de la sécurité de l'IA générative ! Un document probablement attendu par de nombreuses organisations et personnes compte tenu de la popularité du sujet !
Ce guide mis en ligne par l'ANSSI est le bienvenu ! Il devrait donc être consulté par toutes les entreprises qui envisagent d'utiliser ou de concevoir une IA générative.
D'ailleurs, c'est quoi exactement l'IA générative ? L'ANSSI nous propose sa définition dans les premières pages de son guide : "L’IA générative est un sous-ensemble de l’intelligence artificielle, axé sur la création de modèles qui sont entraînés à générer du contenu (texte, images, vidéos, etc.) à partir d’un corpus spécifique de données d’entraînement." - Autrement dit, il s'agit d'une IA destinée à différents cas d'usage tels que les Chatbots, la génération de code informatique ou encore l'analyse et la synthèse d'un document.
L'ANSSI insiste sur le fait que la mise en œuvre d'une IA générative peut se décomposer en trois phases :
1 - La phase d'entraînement, à partir d'ensembles de données spécifiquement sélectionnés.
2 - La phase d'intégration et de déploiement.
3 - La phase de production où l'IA est mise à disposition des utilisateurs.
Chacune de ces phases doit être associée à des "mesures de sécurisations spécifiques", notamment en tenant compte de "la sensibilité des données utilisées à chaque étape et de la criticité du système d’IA dans sa finalité.", peut-on lire. La confidentialité et la protection des données utilisées pour l'entraînement initial de l'IA est l'un des enjeux.
Au-delà de s'intéresser à l'IA générative dans son ensemble, ce guide traite de plusieurs scénarios concrets et qui font échos à certains usages populaires actuels.
Scénarios d'attaques sur un système d'IA générative
L'ANSSI évoque également des scénarios d'attaques sur l'IA générative, telles que les attaques par manipulation, infection et exfiltration. Le schéma ci-dessous met en lumière plusieurs scénarios où l'attaquant s'est introduit à différents emplacements du SI (accès à l'environnement de développement, accès à une source de données, accès à un plugin sollicité par le système d'IA, etc.).
Source : ANSSI
Sécurité de l'IA générative : les recommandations de l'ANSSI
Tout au long de ce guide, l'ANSSI a introduit des recommandations. Au total, il y a 35 recommandations à mettre en œuvre pour sécuriser l'intégralité d'un système d'IA générative. Il y a un ensemble de recommandations pour chaque phase du déploiement.
L'ANSSI insiste notamment sur l'importance de cloisonner le système d'IA, de journaliser et de filtrer les accès notamment car les plugins externes représentent un risque majeur, et de dédier les composants GPU au système d'IA. Autrement dit, l'ANSSI déconseille de mutualiser le matériel destinée à l'IA.
Pour consulter ce guide, rendez-vous sur le site de l'ANSSI :
Geekom propose aux lecteurs d'IT-Connect deux codes promotions pour deux modèles de PC : le GEEKOM FUN11 et le GEEKOM FUN9. Le premier bénéficie de 300 euros de remise, tandis que le second bénéficie de 200 euros de remise ! Faisons le point sur ces offres !
La très bonne marque Geekom propose de nombreux modèles de mini PC. Parmi ses différentes gammes, il y a la gamme "FUN" correspondante à des modèles plus imposants puisque leur boitier prend la forme d'un cube. L'avantage : ces boitiers permettent d'intégrer certaines cartes graphiques dédiées en comparaison des mini PC ultra-compacts.
Le Geekom Mini FUN11 est équipé d'un processeur Intel Core i9-11900KB (11 ème génération - 8 coeurs - 16 threads), de 32 Go de RAM (DDR4) et de 1 To de SSD NVMe. La RAM peut être augmentée jusqu'à 64 Go et il y a d'autres emplacements pour disques SSD NVMe. Bien qu'il soit livré sans carte graphique dédiée, il est compatible avec celles de la série AMD Radeon RX 6000 ou la série GeForce RTX 30 (jusqu’à 321 mm).
Par ailleurs, il est équipé du Wi-Fi 6E, du Bluetooth 5.2, d'un port Ethernet RJ45 en 2.5 Gbit/s, ainsi que plusieurs ports USB et USB-C. Il est livré avec le système d'exploitation Windows 11 Pro, que vous pouvez remplacer bien entendu.
Voici un aperçu de ce boitier dont les dimensions sont les suivantes : 386 x 153 x 219 mm.
L'offre spéciale : avec le code "ITPR300" obtenez 300 euros de réduction immédiate ! Le prix passe de 899.00 € à 599.00 € ! De plus, il y a un kit clavier-souris gaming (filaire) d'une valeur de 99.99 € offert ! Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.
200 euros de remise sur le Geekom FUN9
Le Geekom Mini FUN9 est un modèle d'ancienne génération, mais également moins onéreux, qui est tout de même équipé d'un processeur Intel Core i9-9980HK (9 ème génération - 8 coeurs - 16 threads), de 32 Go de RAM (DDR4) et de 1 To de SSD. Sur ce modèle, la RAM peut aussi être augmentée jusqu'à 64 Go et il y a aussi une évolution possible pour le stockage car la fiche technique mentionne ceci : "2 x M.2 2280 PCIe Gen3 * 4 ou SATA3 SSD, jusqu'à 2 To". Il n'est pas livré avec une carte graphique dédiée, mais il est compatible avec celles de la série AMD Radeon RX 6000 ou la série GeForce RTX 30 (jusqu’à 321 mm).
Par ailleurs, il est équipé du Wi-Fi 6, du Bluetooth 5.2, et deux ports Ethernet RJ45 en 1 Gbit/s (contre un seul port en 2.5 Gbit/s pour le premier modèle). À cela s'ajoutent des ports USB, un port USB-C, deux ports Thunderbolt 3, etc. Il est livré avec le système d'exploitation Windows 11 Pro, mais vous pouvez installer l'OS de votre choix.
L'offre spéciale : avec le code "ITPR200" obtenez 200 euros de réduction immédiate ! Le prix passe de 699.00 € à 499.00 € ! En complément, un ensemble clavier-souris sans-fil d'une valeur de 39.99 € est offert ! Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : cliquez ici pour en savoir plus et accéder à l'offre.
An essential step towards automating the Windows setup process is replacing the system drive's interactive partitioning with a script. Microsoft's examples for this purpose rely on batch files and Diskpart. However, installing PowerShell in Windows PE allows for a much more elegant solution.
Depuis janvier 2023, l'authentification basique a été supprimée pour les protocoles POP, IMAP et Active Sync dans Exchange Online. Pour l'envoi des e-mails, le protocole SMTP utilisant l'authentification basique est toujours en vigueur.
Cependant, Microsoft a annoncé la fin de l'authentification basique pour SMTP, prévue pour septembre 2025. Cette modification impactera smtp.office365.com et smtp-legacy.office365.com.
II. Authentification basique vs authentification moderne
A. Fonctionnement authentification basique
L’authentification basique (Basic Authentication en anglais) est une méthode permettant de s’authentifier à un service en envoyant son nom d’utilisateur et son mot de passe. Pour garantir la sécurité des données échangées, le chiffrement TLS est couramment utilisé pour assurer la confidentialité des communications.
L'authentification basique est parfois appelée "proxy authentication" car le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online, qui les transmet (ou "proxy") ensuite au fournisseur d'identités faisant autorité.
Dans un fonctionnement classique, l’authentification basique avec Exchange Online fonctionne comme suit :
Le client de messagerie/application envoie le nom d'utilisateur et le mot de passe à Exchange Online.
Exchange Online envoie le nom d'utilisateur et le mot de passe au fournisseur d’identités Microsoft Entra ID.
Microsoft Entra ID renvoie un ticket utilisateur à Exchange Online et l'utilisateur est authentifié.
Lorsque l'authentification basique est bloquée, elle est bloquée à l‘étape 1.
B. Risques de sécurité de l’authentification basique
L'utilisation de l'authentification basique implique l'envoi des identifiants à chaque requête, ce qui la rend vulnérable aux attaques de type man-in-the-middle. Afin de pouvoir être utilisés à chaque requête, ces identifiants sont donc souvent stockés sur le périphérique.
De plus, l’authentification basique complique, voire rend impossible l'application de l'authentification multifacteur (MFA) selon les cas.
L'authentification basique est donc fréquemment utilisée par les attaquants comme vecteur d'attaque pour contourner certaines politiques de sécurité, notamment pour réaliser des attaques de type brute force sans être bloqués par le MFA.
SMTP est aujourd’hui le dernier protocole Exchange Online qui utilise l’authentification basique. C'est pourquoi Microsoft prévoit de désactiver l’authentification basique pour SMTP en faveur de l’authentification moderne.
C. Authentification moderne
L'authentification moderne est un terme générique défini à l'origine par Microsoft, mais de nombreuses autres entreprises l'utilisent désormais pour décrire les éléments suivants :
- Méthodes d'authentification : vérifier que quelqu'un ou quelque chose est bien ce qu'il prétend être. Notamment via l’authentification multifacteur (MFA), l’authentification par carte à puce, authentification par certificat. OpenIDConnect est la norme la plus largement utilisée pour l’authentification.
- Méthodes d'autorisation : processus de sécurité qui détermine le niveau d'accès d'un utilisateur ou d'un service. OAuth2 est la norme utilisée pour l’autorisation.
- Stratégies d'accès conditionnel : stratégies qui définissent les conditions dans lesquelles certaines mesures supplémentaires doivent être prises pour accéder à une ressource.
À noter qu’il existe d’autres normes qui permettent l’authentification et/ou l’autorisation comme SAML, WS-FED.
III. Agenda étapes avant la désactivation
Microsoft a prévu un planning avant la désactivation afin de laisser le temps aux entreprises de réaliser les changements.
- Septembre 2024 : Microsoft met à jour les rapports pour indiquer si l'envoi SMTP a été réalisé via OAuth ou via l'authentification basique.
Le rapport qui sera mis à jour par Microsoft est celui présent dans le centre d'administration Exchange Online > "Rapports" > "Flux de courrier" > "Rapport sur les clients utilisant l’authentification SMTP".
- Janvier 2025 : les tenants utilisant encore l'authentification basique pour SMTP recevront une alerte dans le Centre de messages Microsoft 365.
- Août 2025 : 30 jours avant la désactivation de l'authentification basique pour SMTP, nouvelle alerte dans le Centre de messages Microsoft 365.
- Septembre 2025 : désactivation définitive de l'authentification basique pour SMTP.
IV. Impacts de la fin de l’authentification basique pour SMTP
Une fois que l'authentification basique est désactivée de manière permanente, tous les clients ou applications qui se connectent en utilisant l'authentification basique pour SMTP recevront cette réponse :
550 5.7.30 Basic authentication is not supported for Client Submission.
Sauf cas très précis, les client Outlook (bureau, web ou mobile) n’utilisent pas le SMTP, ils utilisent MAPI over HTTP. De ce fait, vos utilisateurs ne sont pas impactés par ce changement.
Cependant, il est possible que vous utilisiez SMTP pour différents usages :
Utilisation d’un outil de messagerie qui ne supporte pas MAPI over HTTP
Envoi d’e-mail depuis une application, une imprimante multi-fonction, etc.
Dans ces cas-là, si vous utilisez un compte Exchange Online avec authentification basique, vous êtes probablement à risque et vous devez agir avec l’un des cas suivants.
1. Si votre application prend en charge OAuth, reconfigurez-la en conséquence.
2. Si votre application ne prend pas en charge OAuth, envisagez une des solutions suivantes (liste non exhaustive) :
- Option 2 ou 3 de la documentation Microsoft sur la configuration des applications et multi-fonction. - High Volume Email for Microsoft 365 (pour les e-mails internes uniquement). - Azure Communication Services Email SMTP (pour les e-mails internes et externes). - Serveur de messagerie tiers (Microsoft Exchange, hMailServer ou équivalent sur les autres OS). - Solutions SaaS d'envoi d'e-mails (Brevo, Mailjet, SMTP2Go, PostMark, etc.).
Le code d’erreur Windows 0xc00000e5 fait partie d’une série d’erreurs d’application qui empêchent les utilisateurs de lancer et d’utiliser différentes applications sur leur PC. Il est généralement associé à un message d’erreur indiquant que “l’application n’a pas pu démarrer correctement“. Dans d’autres cas, ce code erreur peut aussi être associé à des problèmes de démarrage de périphérique visible dans le gestionnaire de périphériques.
Ce guide présente les méthodes de dépannage qui peuvent permettre à vos applications de fonctionner à nouveau.
Quelles sont les causes de l’erreur 0xc00000e5 sous Windows ?
Le code d’erreur 0xc00000e5 apparaît pour de nombreuses raisons, mais voici les plus courantes :
Un logiciel antivirus tiers, en particulier ceux de Comodo et d’AVG, bloque l’exécution de l’application, estimant qu’il s’agit d’une menace (faux positif)
Plusieurs programmes antivirus sont exécutés simultanément et des conflits entre eux provoquent l’erreur.
Windows Defender ou une autre application antivirus tierce bloque l’un des fichiers dont l’application a besoin pour fonctionner, ce qui l’empêche de fonctionner correctement
Certains fichiers système dont l’application que vous ouvrez a besoin sont inaccessibles.
Votre antivirus agit de manière anormale en raison d’une infection par un logiciel malveillant, bloquant même des applications et des processus dont l’exécution est tout à fait sûre
Pilotes matériels incompatibles : Des pilotes de matériel incompatibles peuvent provoquer une instabilité du système et faire apparaître le code d’erreur 0xc00000e5
Suivez les solutions suivantes pour résoudre ce problème.
Comment corriger l’erreur 0xc00000e5 dans Windows
Mettre l’application en exception sur votre Antivirus
Si vous ne voulez pas désactiver Windows Defender (ou un autre antivirus) chaque fois que vous voulez exécuter l’application, vous pouvez l’ajouter en tant qu’exclusion. Vous éviterez ainsi les faux positifs pour vos logiciels de confiance.
Chaque antivirus fonctionne différemment, de sorte que l’ajout d’une exclusion varie d’un logiciel à l’autre. La procédure suivante montre comment ajouter une exception dans le cadre de la sécurité Windows. Vous pouvez consulter la documentation d’assistance de votre suite de sécurité sur l’ajout d’exclusions.
Par exemple sur Windows Defender :
Double-cliquez sur l’icône bouclier en bas à droite de l’écran
Les logiciels de sécurité peuvent parfois perturber le fonctionnement de l’ordinateur et être à l’origine de message d’erreur. Si vous avez un antivirus tiers installés, il peut être la source de l’erreur 0xc00000e5 car il va bloquer l’exécution de l’application, par exemple dans le cas d’un faux positif.
Il est recommandé de tester l’exécution de l’antivirus en désactivant les protections ou en désinstallant ce dernier. En général, il suffit de faire un clic droit sur l’icône de l’antivirus en bas à droite de l’écran > Protection > Désactiver la protection en temps réel. Plus de détails dans ce guide : Comment désactiver son antivirus
Exécuter l’application en administrateur
Si le problème de l’application n’est pas lié à Windows Defender ou à un autre logiciel de sécurité, vous pouvez exécuter l’application en tant qu’administrateur. Cependant, l’exécution de l’application avec des droits élevés permet d’accéder aux fichiers système restreints dont elle a besoin pour fonctionner.
Faites un clic droit sur le raccourci ou l’exécutable
Puis “Exécuter en tant qu’administrateur“
Vous pouvez aussi forcer l’exécution d’une application en administrateur. Pour ce faire :
Faites un clic droit sur le raccourci
Puis Propriétés
Cliquez ensuite sur le bouton Avancé
Puis activer l’option Exécuter en tant qu’administrateur.
Une autre teste que vous pouvez essayer, si cela touche une application spécifique est d’exécuter l’application en mode sans échec : Comment démarrer Windows en mode sans échec Si c’est le cas, quelque chose être en conflit en mode normal, tentez de trouver la source.
Mettre à jour les pilotes
Via le gestionnaire de périphériques
via Windows Update depuis le gestionnaire de périphériques de Windows 10/11 :
Faites un clic droit sur le menu Démarrer ou utilisez le raccourci clavier +
X
Réparer les fichiers systèmes manquants ou endommagés
Pour réparer les fichiers systèmes de Windows 10 ou Windows 11, on utilise les utilitaires SFC (vérificateur de fichiers systèmes) et DISM. Ces deux outils s’utilisent en invite de commandes.
Ensuite on peut utiliser DISM pour réparer les images de Windows 10/11. Pour cela, utilisez la commande suivante :
Dism /Online /Cleanup-Image /CheckHealth
Puis enchaînez avec une vérification et réparation des fichiers corrompus et manquants avec l’outil SFC. Pour cela, saisissez :
sfc /scannow
Laisse le vérificateur de fichiers systèmes analyser Windows 10 ou Windows 11. Enfin si des fichiers systèmes sont corrompus, SFC tente de les réparer.
Tester l’exécution de l’application en mode sans échec
Le mode sans échec est un mode restreint et limité de Windows où l’essentiel du système est actif. C’est un bon moyen pour tester si quelque chose provoque des conflits ou des problèmes de fonctionnement. Vous pouvez tester l’exécution l’application en mode sans échec. Pour démarrer dans ce mode : Comment démarrer Windows en mode sans échec
Si cela fonctionne, démarrez en mode minimal — Le but est de désactiver les applications non essentiels pour parvenir à déterminer celle qui pose problème
Solutions générales
Si aucun des correctifs ci-dessus n’a permis de résoudre votre problème, essayez les solutions générales suivantes :
Exécutez une analyse chkdsk pour vous assurer que les secteurs défectueux du disque ne sont pas à l’origine de l’erreur
Maintenez votre système d’exploitation Windows à jour : Paramètres > Windows Update > Rechercher les mises à jour
Environ 1 000 serveurs exposés sur Internet sont vulnérables à une faille de sécurité critique présente dans l'application CrushFTP ! Elle a déjà été exploitée par les cybercriminels en tant que zero-day ! Voici ce qu'il faut savoir.
La faille de sécurité CVE-2024-4040 dans CrushFTP
Il y a quelques jours, une faille de sécurité critique a été découverte dans l'application CrushFTP, qui, comme son nom l'indique, permet de mettre en place un serveur FTP.
Associée à la référence CVE-2024-4040, elle permet à un attaquant distant et non authentifié de lire des fichiers présents sur le serveur, d'outrepasser l'authentification pour obtenir les droits admins et d'exécuter du code arbitraire sur le serveur. Autrement dit, si un serveur est vulnérable, il peut être totalement compromis par cette faille de sécurité et un attaquant peut en prendre le contrôle.
Un rapport publié par Rapid7 met en avant le fait que cette vulnérabilité est facilement exploitable : "L'équipe de recherche sur les vulnérabilités de Rapid7 a analysée la CVE-2024-4040 et a déterminé qu'elle ne nécessite aucune authentification et exploitable de manière triviale."
Par ailleurs, d'après CrowdStrike, cette vulnérabilité a déjà été exploitée en tant que faille de sécurité zero-day dans le cadre d'attaques, notamment pour compromettre les serveurs CrushFTP de plusieurs organisations aux États-Unis.
Quelles sont les versions vulnérables ? Comment se protéger ?
La vulnérabilité CVE-2024-4040 affecte toutes les versions de CrushFTP antérieures à 10.7.1 et 11.1.0, sur toutes les plateformes sur lesquelles l'application est prise en charge. Autrement dit, pour vous protéger, vous devez passer sur l'une des deux nouvelles versions publiées par CrushFTP : 10.7.1 ou 11.1.0.
"Les versions de CrushFTP v11 inférieures à 11.1 présentent une vulnérabilité qui permet aux utilisateurs d'échapper à leur VFS et de télécharger des fichiers système. Cette vulnérabilité a été corrigée dans la version 11.1.0.", peut-on lire sur le site officiel.
Environ 1 000 serveurs vulnérables
D'après le moteur Shodan.io, il y a 5 215 serveurs CrushFTP accessibles sur Internet, aux quatre coins du globe. Néanmoins, ceci ne donne pas le nombre de serveurs vulnérables.
Pour obtenir des informations plus précises, il faut se référer la carte publiée par The Shadowserver accessible à cette adresse. La carte a été actualisée le 27 avril 2024 et elle permet de connaître le nombre de serveurs CrushFTP vulnérables par pays.
Voici quelques chiffres clés :
États-Unis : 569
Allemagne : 110
Canada : 85
Royaume-Uni : 56
France : 24
Australie : 20
Belgique : 19
Suisse : 13
Tous les administrateurs de serveurs CrushFTP sont invités à faire le nécessaire dès que possible ! Cette vulnérabilité représente un risque élevé.
Git est un système de contrôle de version distribué, conçu pour suivre les modifications dans les fichiers et coordonner le travail sur ces fichiers entre plusieurs personnes
git clone est une commande Git utilisée pour créer une copie d’un dépôt distant sur votre machine locale. Elle télécharge essentiellement l’ensemble du dépôt, y compris tous ses fichiers, ses branches et l’historique des livraisons. Vous pouvez en avoir besoin pour récupérer un dépôt public sur GitHub ou si vous êtes un développeur pour obtenir une copie d’un projet.
Dans ce tutoriel, je vous explique comment utiliser la commande git clone.
Comment cloner un dépôt git
Voici la syntaxe générale de la commande git clone :
git clone <repository_URL>
Par exemple, si vous voulez cloner un dépôt hébergé sur GitHub, vous utiliserez :
git clone git://github.com/<nom dépôt>.git
Cette commande créera un nouveau répertoire sur votre machine locale avec le même nom que le dépôt et téléchargera tout son contenu dans ce répertoire.
Si vous souhaitez spécifier un nom de répertoire différent, vous pouvez le faire en l’ajoutant comme argument supplémentaire après l’URL du dépôt :
git clone <dépôt_URL> <nom_repertoire>
Comment cloner un dépôt, y compris ses sous-modules (récursif)
Un submodule (sous-module) est un référentiel Git intégré à un autre référentiel Git plus large. Lorsque vous clônez un référentiel qui contient des sous-modules, ces sous-modules sont initialement configurés pour pointer vers une version spécifique (commit) dans leur référentiel d’origine.
Si vous souhaitez cloner un dépôt git tout en clonant également ses sous-modules, vous devez ajouter l’option –recurse-submodules :
Si vous souhaitez cloner et mettre à jour les sous-modules à leur dernière révision, ajoutez la commande –remote-submodules. Celle-ci va mettre à jour les sous-modules d’un référentiel pour pointer vers les dernières révisions disponibles dans leurs référentiels distants. Cela signifie qu’au lieu de pointer vers une révision spécifique (commit) dans le même référentiel parent, les sous-modules pointeront vers les révisions les plus récentes de leur référentiel distant.
Pour cloner une branche spécifique avec Git, vous pouvez utiliser la commande git clone suivie de l’URL du référentiel, puis vous pouvez spécifier la branche que vous souhaitez cloner en utilisant l’option -b ou –branch suivi du nom de la branche.
Voici la syntaxe générale :
git clone -b <URL_du_référentiel>
Par exemple, si vous souhaitez cloner la branche develop d’un référentiel, vous pouvez utiliser la commande suivante :
Cela va cloner le référentiel et basculer automatiquement sur la branche develop après le clonage. Si vous ne spécifiez pas la branche à cloner, Git clonera automatiquement la branche par défaut, souvent master ou main , selon la configuration du référentiel.
Si vous avez déjà cloné le référentiel et que vous souhaitez basculer vers une branche spécifique après le clonage, vous pouvez utiliser la commande git checkout après avoir cloné le référentiel :
git clone https://github.com/utilisateur/nom_du_repos.git cd nom_du_repos git checkout
Cela va cloner le référentiel et basculer sur la branche spécifiée après le clonage.
Comment cloner un dépôt à distant par SSH
Vous pouvez aussi cloner un dépôt distant disponible par SSH. Voici la syntaxe générale :
Lorsque vous git clone, git fetch, git pull ou git push vers un référentiel distant à l’aide d’URL SSH, vous êtes invité à entrer un mot de passe et vous devez fournir la phrase secrète de votre clé SSH. Pour plus d’informations, consultez « Utilisation des phrases secrètes de clé SSH ».
Dans cet article, nous allons découvrir le Mini PC Geekom IT13 dans sa version la plus puissante dotée d'un processeur Intel Core i9 de 13ème génération, de 32 Go de RAM et de 2 To de SSD. D'autres versions de ce modèle sont proposées avec des processeurs Intel Core i5 et Intel Core i7.
Nous allons passer en revue les caractéristiques techniques, le design et la qualité du boitier, ainsi que les possibilités d'évolution. Forcément, cet article va évoquer les performances de ce Mini PC à la configuration très musclée !
Sur le marché des Mini PC, la marque Geekom est incontournable et elle s'est imposée comme un acteur majeur au niveau mondial. Elle a été créée en 2003 et la direction R&D de Geekom est située à Taiwan. En complément, la marque a plusieurs succursales dans différents pays du monde.
Commençons par découvrir les caractéristiques principales de ce modèle :
Processeur : Intel Core i9-13900H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,40 GHz)
GPU : Intel Iris Xe
RAM : 32 Go DDR4-3200, extensible jusqu'à 64 Go
Stockage : 2 To de SSD NVMe (Gen.4) + 1 emplacement pour SSD SATA au format M.2 (2242 - Jusqu'à 1 To) + 1 emplacement vide pour disque 2.5 pouces (2 To max.)
Connectique : 3 x ports USB 3.2 Gen 2 + 1 x port USB 2.0 + 2 x ports USB 4 + 1 prise casque Jack 3.5 mm + 1 x slot pour une carte SD + 1 x interface réseau LAN 2.5 GbE + 2 x ports HDMI 2.0 + 1 x port d'alimentation
Affichage : prise en charge jusqu'à 4 écrans.
WiFi 6E (AX211), Bluetooth 5.2
Alimentation : 19V, 6,32A DC - 120W
Poids : 652 grammes
Dimensions (L x W x H) : 117 mm x 112 mm x 49,2 mm
Système d'exploitation : Windows 11 Pro
Garantie : 3 ans
Comme vous le voyez, la fiche technique est très alléchante ! Entre l'Intel Core i9, l'interface réseau 2.5 GbE, l'USB4 et le WiFi 6E, nous sommes servis ! J'insiste aussi sur la présence d'une garantie constructeur de 3 ans.
Deux autres versions du modèle Geekom IT13 sont disponibles :
Intel Core i7-13700H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,00 GHz) avec 32 Go de DDR4 + un SSD NVMe de 1 To
Intel Core i5-13500H (12 Cœurs, 16 Threads, 24 Mo de cache, jusqu'à 4,70 GHz) avec 16 Go de DDR4 + un SSD NVMe de 512 Go
III. Package et design
Il est temps de déballer ce Mini PC pour voir à quoi ils ressemblent. L'emballage est très soigné et la boite nous donne un aperçu plus précis sur la connectique de ce modèle et le positionnement des différents ports. À l'intérieur, le Mini PC est parfaitement protégé par un bloc en mousse rigide. En dessous de lui, nous avons l'ensemble des accessoires.
Au final, voici les éléments inclus par Geekom : un Mini PC IT13, un câble HDMI, une alimentation externe et son câble, une plaque VESA (et les vis) permettant d'accrocher le mini PC à l'arrière d'un écran (support VESA), une notice (qui explique comment ajouter un disque, comment utiliser le support VESA, etc.), ainsi qu'une lettre de remerciement pour l'achat. Un kit complet !
Regardons de plus près ce boitier. Premier constat : les finitions sont excellentes et la qualité de fabrication rassurante. C'est vraiment un beau boitier. Ce boitier n'est pas gris : Geekoma fait le choix d'opter pour un boitier coloris gris-bleu.
Sur la façade, nous retrouvons deux ports USB, dont un port USB 3.2 Gen2 avec PowerDelivery (PD) et un port USB 3.2 Gen2 (sans PD). Ils sont accompagnés par la prise casque et le bouton Power. Sur le côté droit du boitier, nous avons une fente de verrouillage Kensington, tandis que sur le côté gauche, nous avons un slot pour insérer une carte SD.
À l'arrière du boitier, nous avons tout le reste de la connectique, dont les deux ports USB4 au format USB-C avec PowerDelivery. Pour rappel, le débit théorique de l'USB4 est de 40 Gbps. Au total, nous avons à notre disposition 6 ports USB, dont un port USB 2.0 (un intrus ?), ce qui est confortable et rare sur ce type de PC (c'est plus souvent 4).
La connectique est surplombée par l'aération du dissipateur thermique pour permettre l'évacuation de l'air chaud par l'arrière, tandis que l'air pourra rentrer de chaque côté du boitier grâce aux aérations. La technologie de refroidissement baptisée GEEKCOOL se veut particulièrement silencieuse : 43.6 dBA, lorsque le matériel est fortement sollicité.
Sur le dessus du boitier, la marque est inscrite, tandis qu'en dessous, nous avons une étiquette avec diverses informations (modèle, adresse MAC, numéro de série, etc.) et nous constatons la présence de patins antidérapants. Les 4 vis que vous apercevez permettent d'ouvrir le boitier facilement et rapidement. Elles restent « accrochées » au support amovible, ce qui évite de les égarer.
Il est important de préciser que ce boitier est à la fois en métal et en plastique. Les composants sont protégés par une cage métallique, tandis que la coque du boitier est en plastique. Cette illustration montre bien la conception de ce boitier :
Comme je l'évoquais précédemment, le boitier s'ouvre facilement puisqu'il y a seulement 4 vis à retirer et elles sont directement accessibles. C'est l'occasion de jeter un coup d'œil à l'intérieur du boitier et de connaitre le type de SSD et de RAM.
Un SSD NVMe de marque ACER, avec la référence N5000CN-2TB, d'une capacité de 2 To (pour lequel je ne suis pas parvenu à trouver d'informations supplémentaires).
Deux barrettes de RAM de marque Wooposit : 16 Go Rx8 - PC4-3200AA-S-11. Soit 32 Go au total. Il est possible de passer sur 64 Go de RAM, mais ceci implique de remplacer les deux barettes déjà présentes car les deux slots sont occupés.
L'ajout d'un disque SATA au format 2.5 pouces s'effectue directement au sein de la cage métallique intégrée à la partie amovible du boitier (partie de gauche sur la première photo ci-dessous). De plus, nous pouvons ajouter un disque SSD SATA M.2 supplémentaire, grâce à l'emplacement disponible entre le SSD NVMe et les barrettes de RAM.
Les composants sont facilement accessibles et identifiables, donc vous n'aurez aucun mal à remplacer la RAM ou la mémoire SSD, que ce soit en cas de panne ou pour passer sur d'autres références.
IV. Évolutivité et performances
A. Mise en route et évolutivité
Mettons en route le mini PC IT13 de chez Geekom ! La première chose à effectuer après avoir branché les périphériques, c'est finir l'installation du système Windows 11 Pro ! Nous retrouvons les étapes et questions habituelles propres au fonctionnement du système Windows 11. Il est tout à fait possible d'utiliser un compte local ou un compte Microsoft, au choix.
À première vue, il s'agit d'une image officielle de Windows 11 Pro qui n'a pas été personnalisée par Geekom. Nous retrouvons uniquement les applications natives ajoutées par Microsoft.
Le mini-PC est livré avec 32 Go de RAM en DDR4, mais une mise à niveau est possible. Le processeur i9 de ce modèle supporte 96 Go de RAM, et Geekom annonce une prise en charge jusqu'à 64 Go. Cela veut dire que nous pouvons doubler la RAM actuellement présente dans le mini PC, à condition de remplacer les deux barrettes de RAM. Si vous souhaitez utiliser ce PC pour de la virtualisation, cela peut s'avérer utile !
Voici des détails techniques obtenus avec le logiciel CPU-Z :
Sur ce mini PC, vous pouvez connecter jusqu'à 4 écrans en exploitant les deux ports HDMI et les deux ports USB4. Sur les deux ports HDMI 2.0, vous pouvez bénéficier d'un affichage 4K @ 60 Hz, tandis qu'on est sur un affichage à 8K @ 30 Hz sur les ports USB4.
Comme je l'évoquais précédemment, ce mini PC peut également accueillir 1 SSD SATA au format M.2 (2242 - Jusqu'à 1 To) et 1 disque 2.5 pouces (2 To max.).
En résumé, l'évolutivité est possible au niveau du stockage et de la RAM, tout en sachant que le processeur est très performant et qu'il y a un port Ethernet en 2.5 Gbit/s qui offre de belles possibilités !
B. Performances
Ce mini PC, avec un boitier très compact, est propulsé par un processeur Intel Core i9 de 13ème génération lancé au premier trimestre 2023. Le modèle i9-13900H a14 cœurs et 20 threads, 24 Mo de cache et sa fréquence maximale en mode Turbo est 5,40 GHz.
Commençons par mesurer les performances du disque SSD NVMe intégré à l'ordinateur.
Les performances de ce disque SSD NVMe sont excellentes ! Un copier-coller de gros fichiers en local (de disque à disque, sur le même volume), est effectué avec une vitesse moyenne de 1.82 Go/s ! En 56 secondes, j'ai pu dupliquer une bibliothèque d'images ISO de 101 Go !
Voici un benchmark du disque effectué avec Crystal Disk Mark :
CrystalDiskInfo
Voici une analyse CrystalDiskInfo du disque SSD NVMe présent dans ce PC :
Geekbench
J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur ces pages :
Pendant le stress test du CPU (charge à 100%), le ventilateur s'emballe de façon cyclique, de façon à gérer la température du CPU et du boitier. Le mini PC perd en discrétion à ce moment-là, et la soufflerie est clairement audible. Au ralenti, lorsque la machine est peu sollicitée, les ventilateurs sont vraiment très discrets et ne vous gêneront pas du tout. Il n'y a qu'au tout début du démarrage du PC où la ventilation n'est pas discrète, mais il est probable que ce soit un "auto-test" du matériel à son lancement.
D'après HWMonitor, lorsque le mini PC est allumé sans être sollicité, la température du CPU est de 40°C, dans une pièce où il fait 25 degrés. Pendant le stress test du CPU, la température du CPU monte en flèche jusqu'à 100.0°C (au bout de quelques secondes) puis elle descend jusqu'à 85°C et ensuite, c'est stable tout au long du stress CPU. La machine semble bien gérer le stress CPU, ce qui m'a plutôt rassuré. Geekom semble aussi confiant sur ce point grâce à sa technologie Geekcool.
Que peut-on faire et ne pas faire avec ce modèle ?
Grâce à son excellent processeur, ce mini PC est super à l'aide pour de la bureautique et le multimédia (tout dépend du niveau d'exigence pour le GPU). Que ce soit pour la lecture de vidéos, le montage vidéo basique, la navigation sur Internet, etc... Il fonctionne parfaitement, tout en étant silencieux. Grâce à ses 32 Go de RAM et son Intel Core i9, il est à l'aise avec le multi-tâches.
Sur un modèle comme celui-ci, dépourvu de GPU dédié, la principale limitation, c'est la puce graphique intégrée. Ici, un iGPU "Intel Iris Xe", tout de même plus performant que son prédécesseur Intel UHD Graphics. Si vous êtes prêts à faire quelques concessions sur les graphismes des jeux-vidéos, en diminuant la qualité et en désactivant certaines options, vous pourrez jouter en Full HD à certains jeux. J'ai testé GTA V et l'expérience est bonne. Le jeu est très fluide, avec la désactivation de certains effets visuels.
Voici un aperçu avec deux copies d'écran :
V. Conclusion
Ce mini PC, très compact et très léger, car il ne pèse que 652 grammes, est une excellente surprise ! À ce jour, le Geekom IT13 dans sa version avec un Core-i9 est probablement l'un des plus puissants des mini PC ! En attendant la prochaine génération !
Son design, son format et son Intel Core i9-13900H sont de gros atouts pour ce modèle ! À cela s'ajoutent une connectique ultra-complète et correspondante aux besoins actuels des utilisateurs les plus exigeants, ce qui en fait un mini PC polyvalent. Cette fiche technique solide fait que ce PC répondra aux besoins de nombreux utilisateurs pendant plusieurs années.
À l'inverse, la partie graphique (iGPU) est en retrait par rapport au reste, sans surprise, mais elle n'est pas mauvaise pour autant. Bien que le port USB 2.0 puisse surprendre, il peut être utile pour connecter un dongle USB sans utiliser un autre port. Enfin, si vous recherchez un appareil ultra-discret, sachez que son ventilateur a tendance à s'emballer par moment, notamment lorsqu'il est fortement sollicité (charge CPU élevée).
Le Geekom IT13 avec le Core i9 est proposé à 849,00 euros. C'est logique, compte tenu du tarif du processeur en lui-même. Une bonne alternative peut être de s'orienter vers la version équipée d'un Core i5.
Offre spéciale sur le Geekom IT13
Profitez de 5% de réduction sur Amazon.fr ou sur la boutique officielle de Geekom, en utilisant les liens et codes ci-dessous.
Dans cet article, nous allons évoquer un phénomène courant dans la majorité des organisations et qui représente un risque réel pouvant exposer une entreprise à une cyberattaque : le Shadow IT.
Nous commencerons par définir ce qu'est le Shadow IT, avant d'évoquer les risques associés pour une organisation. Puis, la dernière partie de l'article s'intéressera à l'analyse de la surface d'attaque externe d'une organisation pour démontrer son importance vis-à-vis du Shadow IT.
II. Qu'est-ce que le Shadow IT ?
Le Shadow IT appelé aussi Rogue IT, que l'on peut traduire en français par "Informatique fantôme" ou "Informatique parallèle", est un terme faisant référence à l'utilisation de logiciels et applications dans le dos du service informatique. Autrement dit, le service informatique n'est pas au courant que certains utilisateurs font usage de tel service ou telle application. Cela signifie que les processus de validation et d'implémentation ont été esquivés, volontairement ou non, par les utilisateurs.
Le Shadow IT fait également référence aux systèmes oubliés ou non référencés : il peut s'agir d'un PoC mené par le service informatique en lui-même, sous la forme d'un environnement de tests. Celui-ci peut rester actif bien au-delà de la phase d'expérimentation et s'il n'est pas correctement isolé de la production, ou pire encore, s'il est exposé sur Internet, peut représenter un risque.
En réalité, le Shadow IT est devenu un phénomène courant en raison de la prolifération des applications et services, dont certains sont très faciles à utiliser et à appréhender pour les utilisateurs. Les services Cloud, proposé en tant que solution SaaS, sont un bon exemple, pour ne pas dire le meilleur exemple.
Cependant, le Shadow IT est associé à un ensemble de risques, notamment en matière de sécurité, de conformité et de gestion de l'information. C'est ce que nous allons évoquer dans la prochaine partie de l'article.
III. Les risques associés au Shadow IT
La sécurité
Par définition, les applications déployées sans l'approbation du service informatique ne respecteront pas les normes de sécurité de l'entreprise. Autrement dit, ils ne seront pas correctement configurés, ni même sécurisés, et potentiellement, les données ne seront pas sauvegardées. Au fil du temps, si ces applications ne sont pas suivies, elles peuvent être vulnérables à une ou plusieurs failles de sécurité que les cybercriminels peuvent exploiter. Ceci est d'autant plus vrai et critique s'il s'agit d'un système exposé sur Internet.
Les données
Au-delà des risques relatifs à l'absence de contrôle de sécurité (configuration, suivi des mises à jour, etc.), le Shadow IT représente un réel risque pour la gestion des données de l'organisation. En effet, les données peuvent être stockées dans des endroits non sécurisés : absence d'authentification (dépôt public), connexion non chiffrée, mauvaise gestion des permissions, etc. Par ailleurs, l'entreprise peut perdre le contrôle des données concernées et ne plus savoir où elles se situent. Tôt ou tard, ceci peut engendrer une fuite de données si un tiers non autorisé parvient à accéder à ces données.
La conformité et le RGPD
Il existe également un lien étroit entre la notion de conformité et le Shadow IT, notamment vis-à-vis du RGPD. Pour rappel, le RGPD (Règlement Général sur la Protection des Données) est une législation de l'Union européenne qui vise à protéger les données personnelles des citoyens de l'UE. Il exige un suivi strict et précis des données personnelles traitées par les entreprises.
Cela signifie que l'organisation doit avoir connaissance de l'endroit où les données sont stockées et qui y a accès. Des principes contraires à la problématique du Shadow IT puisque les données peuvent être stockées sur des systèmes non approuvés ou peut-être même non conforme au RGPD. En cas de violation de données, l'entreprise peut être tenue responsable et être sanctionnée par une amende. L'aspect conformité peut également être associé à la gestion des licences et aux conditions d'utilisation d'un service ou d'une application.
En résumé
En résumé, avec le Shadow IT, il n'y a pas que des dommages techniques et cela peut être beaucoup préjudiciable pour l'entreprise. Le Shadow IT peut être à l'origine d'un problème de sécurité (intrusion, fuite de données, etc.) pouvant engendrer une indisponibilité de tout ou partie de l'infrastructure de l'entreprise. Dans ce cas, il y aura un impact financier pour l'organisation et son image de marque sera également entachée.
IV. L'analyse de la surface d'attaque externe
Compte tenu des risques représentés par le Shadow IT, il est crucial pour les entreprises de prendre les dispositions nécessaires pour protéger leurs données. Au-delà de mettre en place des procédures strictes, une organisation peut adopter un outil d'analyse de la surface d'attaque externe (EASM) afin d'obtenir une cartographie précise des assets exposés sur Internet. Ils représentent un risque important et peuvent être utilisés comme vecteur d'attaque initial, au même titre que les e-mails de phishing.
Nous pouvons voir plusieurs avantages à l'utilisation de l'EASM pour lutter contre le Shadow IT :
- Identifications des actifs (assets) non autorisés : l'analyse effectuée par l'outil EASM peut identifier tous les actifs associés à une organisation, qu'ils soient autorisés ou non. Autrement dit, cette analyse sera utile pour découvrir de façon proactive les systèmes, applications et services utilisés sans l'approbation de la direction informatique.
- Suivi continu : le processus de découverte régulier de la solution d'EASM assure une surveillance continue. C'est important pour réduire au maximum le délai entre le moment où l'actif est mis en ligne et le moment où il est détecté. Ainsi, l'organisation, par l'intermédiaire de son équipe technique, peut réagir rapidement pour minimiser les risques.
- Évaluation des risques : chaque actif identifié sera passé en revue et évalué pour déterminer les risques potentiels qui lui sont associés. Ceci permettra d'identifier ses faiblesses, notamment les problèmes de configuration, les vulnérabilités, etc... Comme le ferait un pentester.
En identifiant les vulnérabilités et les risques associés à chaque système et service exposé, l'outil EASM vous aidera à prendre les mesures nécessaires et les bonnes décisions. Dans le cas du Shadow IT, cela peut induire la désactivation du système non autorisé ou la conservation du système sous réserve que sa configuration soit révisée (hardening du système, par exemple).
En plus de l'analyse de la surface d'attaque externe, les organisations peuvent traquer le Shadow IT grâce à :
La formation des employés pour les informer des risques associés au Shadow IT, mais aussi, pour leur expliquer les processus de validation internes de l'entreprise. Par exemple, la procédure à respecter pour demander l'accès à une application ou un service. Ceci est valable aussi pour le service informatique en lui-même : aucun passe-droit et ils doivent veiller à la bonne application de ces processus.
La gestion des appareils et des autorisations : les outils de gestion des appareils et des applications mobiles peuvent aider à déployer des applications, mais aussi, des politiques pour accorder et refuser certaines actions. Cela peut aussi permettre de contrôler quels appareils et applications ont accès aux données de l'organisation.
La surveillance et audit du réseau et des systèmes pour détecter les flux et les événements inhabituels.
Le dialogue entre le service informatique et les salariés, ainsi que les responsables de service, joue un rôle important, au-delà des solutions techniques. L'origine du Shadow IT peut être lié à un contentieux entre un salarié et le service informatique.
V. Conclusion
Le Shadow IT doit être pris au sérieux. Ne fermez pas les yeux sur cette informatique déjà dans l'ombre par définition. Cherchez plutôt à mettre en lumière les services, les applications et les systèmes utilisés sans l'approbation de l'équipe IT afin de prendre les bonnes décisions. La formation, la sensibilisation et l'écoute pourront aussi permettre de limiter la tentation des utilisateurs.
Cet article contient une communication commerciale.
Pour utiliser Windows dans Linux, vous avez la solution VirtualBox. Mais grâce à Dockurr, nouveau projet open source, vous pouvez exécuter Windows à l’intérieur d’un conteneur Docker sans avoir à franchir de nombreuses étapes. De plus, le conteneur fournit une connexion VNC et RDP notamment accessible par un simple navigateur internet. Enfin les performances sont bonnes grâce à l’accélération KVM (Kernel Virtual Machine).
Dans ce tutoriel, je vous guide pour exécuter Windows, Tiny11, Tiny10 dans un conteneur Linux (Docker) avec Dockurr.
Qu’est-ce que Dockurr?
Dockurr est un projet libre et gratuit qui permet d’exécuter des installations de bureau Windows client et Windows Server dans un environnement de conteneur Docker. Il vous permet également de le faire sur un hôte Docker Linux qui ne pourrait normalement exécuter que des conteneurs Linux. En utilisant l’accélération KVM, il vous permet d’exécuter des conteneurs Windows sur un hôte de conteneur Linux sans avoir besoin d’installer et de démarrer Docker Desktop ou d’autres problèmes de compatibilité qui sont typiques avec le mélange de systèmes d’exploitation entre Linux et Windows.
Il fournit également une connexion VNC au conteneur pendant le processus d’installation. Il vous permet également de vous connecter via le protocole de bureau à distance (RDP) à l’installation Windows exécutée dans Docker.
Quelles sont les configurations de distribution Windows prises en charge ?
Windows 11 Pro
Windows 10 Pro
Windows 10 LTSC
Windows 8.1 Pro
Windows 7 SP1
Windows Vista SP2
Windows XP SP3
Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Windows Server 2008 R2
Tiny 11 Core
Tiny 11
Tiny 10
Installer la machine virtuelle à noyau (KVM)
Dans un premier temps, Docker doit être installé sur votre appareil en Linux. Si ce n’est pas le cas, vous pouvez consulter ce guide : Comment installer Docker sur Linux Ensuite, vous devez installer KVM (Kernel Virtual Machine) et qemu :
Exécutez la commande suivante à partir de la ligne de commande pour installer KVM. Assurez-vous d’être root ou de faire partie du groupe d’utilisateurs sudo :
Télécharger Dockurr dans un conteneur et lancer Windows dans un conteneur Docker
Après avoir installé KVM sur notre hôte Docker Linux, nous pouvons maintenant lancer le conteneur Docker appelé Dockurr, qui utilise l’isolation de KVM. Deux manières sont possibles, par docker run ou par docker compose.
La méthode docker run est la plus automatisé et rapide. Voici comment faire :
Dans mon cas, j’ai du passer la commande suivante pour autoriser les sockets Docker à être utilisé par les utilisateurs Linux
sudo chmod 666 /var/run/docker.sock
Vous pouvez utiliser la commande docker run à partir de l’interface de commande de docker pour exécuter le conteneur :
docker run -it --rm --name windows -p 8006:8006 --device=/dev/kvm --cap-add NET_ADMIN --stop-timeout 120 dockurr/windows
La méthode par docker compose vous permet de modifier le fichier de configuration si vous souhaitez installer une autre version de Windows ou modifier la configuration du réseau (voir fin de ce guide). Voici comment faire :
Cloner le dépôt Git :
git clone https://github.com/dockur/windows.git
Modifiez le fichier compose.yml si besoin (voir plus bas)
Puis exécutez le conteneur :
cd windows
docker-compose up -d
L’image de Windows se télécharge puis l’installation de l’OS s’effectue.
Après avoir utilisé les commandes ci-dessus pour installer la solution Dockurr, vous pouvez vous connecter au conteneur sur votre hôte de conteneur en vous connectant à votre hôte de conteneur dans un navigateur sur le port 8006 pour l’accès à l’interface utilisateur.
Lorsque vous démarrez la configuration de conteneur par défaut, elle tire une image Docker Windows 11. Notez l’exemple de configuration Docker compose ci-dessous :
Ensuite une phase d’extraction du fichier win11x64.esd
Puis l’image de Windows 11 est construire
Ensuite qemu exécute l’installeur de Windows 11, la copie de fichiers s’effectuent
Une fois l’installation terminée, l’utilisateur se connectera automatiquement en utilisant le nom d’utilisateur docker
Voila, Windows s’exécute dans un conteneur Docker.
Ici nous utilisons le navigateur internet pour se connecter via VNC, mais vous pouvez aussi prendre la main sur Windows par RDP, avec par exemple le bureau à distance. Le port utilisé est celui par défaut, à savoir le port 3389.
Exécuter différentes images du système d’exploitation Windows dans Docker
Comme mentionné en introduction, plusieurs versions de Windows sont supportés. Par défaut, c’est Windows 11 qui est installé, mais vous pouvez modifier la partie suivante du fichier compose.yml pour changer la version de Windows :
environment: VERSION: "win11"
Vous pouvez utiliser les désignateurs suivants dans la variable d’environnement pour indiquer la version de Windows que vous souhaitez lancer (win11, win10, ltsc10, win7, etc.) dans la liste d’informations ci-dessous :
Valeur
Description
Source
Transfert
Taille
win11
Windows 11 Pro
Microsoft
Rapide
6,4 Go
win10
Windows 10 Pro
Microsoft
Rapide
5,8 Go
ltsc10
Windows 10 LTSC
Microsoft
Rapide
4,6 Go
win81
Windows 8.1 Pro
Microsoft
Rapide
4,2 Go
win7
Windows 7 SP1
Bob Pony
Moyen
3,0 Go
vista
Windows Vista SP2
Bob Pony
Moyen
3,6 Go
winxp
Windows XP SP3
Bob Pony
Moyen
0,6 Go
2022
Windows Server 2022
Microsoft
Rapide
4,7 Go
2019
Windows Server 2019
Microsoft
Rapide
5,3 Go
2016
Windows Server 2016
Microsoft
Rapide
6,5 Go
2012
Windows Server 2012 R2
Microsoft
Rapide
4,3 Go
2008
Windows Server 2008 R2
Microsoft
Rapide
3,0 Go
core11
Tiny 11 Core
Archive.org
Lent
2,1 Go
tiny11
Tiny 11
Archive.org
Lent
3,8 Go
tiny10
Tiny 10
Archive.org
Lent
3,6 Go
Les versions de Windows supportées par Dockurr
Outre les versions de Windows que vous pouvez installer par défaut, vous pouvez également utiliser des images personnalisées pour vos supports Windows. Il suffit de définir l’emplacement web de l’ISO personnalisée de Windows comme suit :
Vous avez la possibilité de modifier la configuration de l’hôte Windows.
Configurer le réseau
Par défaut, les conteneurs utilisent un réseau ponté qui utilise l’adresse IP de l’hôte Docker. Cependant, selon les détails de la documentation. Si vous souhaitez connecter vos conteneurs Windows à un réseau spécifique en production, vous pouvez le faire avec une configuration supplémentaire. Vous pouvez changer cela manuellement :
Il y a quelques jours, une nouvelle version d'Harden AD a été publiée ! L'occasion d'évoquer les nouveautés intégrées à la version 2.9.8 de cette solution destinée à sécuriser votre infrastructure basée sur l'Active Directory.
Au fait, c'est quoi Harden AD ?
Harden AD est le projet phare de la communauté Harden, qui est représentée par une association loi 1901 (à but non lucratif). Depuis ses premières versions, son objectif reste le même : permettre aux organisations d'améliorer la sécurité de leur système d'information en s'appuyant sur l'Active Directory.
Harden AD est là pour faire gagner du temps aux équipes techniques, en plus de leur fournir une ligne directrice grâce à toutes les règles prédéfinies dans l'outil. Ces règles sont en adéquation avec les recommandations de l'ANSSI et de Microsoft, mais elles sont également basées sur l'expérience des experts Active Directory de la communauté Harden. Autrement dit, cet outil facilite le hardening de l'Active Directory.
Si cet outil est disponible pour tout le monde, c'est parce qu'il y a cette volonté de le rendre accessible à toutes les typologies d'organisation : la sécurité d'un SI n'est pas que l'affaire des grandes organisations, et trop de TPE et PME font l'impasse sur ce sujet par manque de budgets et connaissances. Pourtant, vous le savez, de par sa fonction, l'Active Directory est la pierre angulaire de nombreux systèmes d'information.
Intéressons-nous aux nouveautés introduites à la version 2.9.8 de l'édition communautaire d'Harden AD. Désormais, lors de l'exécution du script PowerShell principal, nommé "HardenAD.ps1", vous avez la possibilité de passer des paramètres ! Trois paramètres sont actuellement pris en charge :
-EnableTask : ceci vous permet d'activer une ou plusieurs séquences de tâches, sans modifier le fichier XML de configuration. Autrement dit, l'outil peut être exécuté afin d'effectuer la configuration d'un ou plusieurs "modules".
-DisableTask : sur le même principe que pour le paramètre précédent, mais dans le but de désactiver une ou plusieurs séquences de tâches. Si elle est combinée à l'activation, la désactivation l'emporte.
-NoConfirmationForRootDomain : évite de valider le nom de domaine.
Par ailleurs, la fonction destinée à gérer le groupe des administrateurs locaux des machines a été révisée afin d'être découpée en trois scripts PowerShell et d'être configurée via des fichiers au format XML. Ceci laisse le choix entre l'utilisation de la configuration prédéfinie dans l'outil et la déclaration d'une configuration sur-mesure.
L'équipe d'Harden AD a également entamé un gros travail d'optimisation et de rationalisation sur le fichier "TasksSequence_HardenAD.xml". Il joue un rôle clé dans le fonctionnement d'Harden AD, car il référence tous les paramètres de configuration et leur valeur. Cette simplification permettra de prendre en main l'outil plus facilement et d'avoir moins de valeur à adapter manuellement.
Enfin, une nouvelle GPO a été ajoutée et une autre GPO existante a été révisée.
HAD-UNC-Hardened-Path : une nouvelle GPO, liée à l'OU "Domain Controllers", dont l'objectif est d'activer les chemins UNC durcis pour les partages "SYSVOL" et "NETLOGON".
HAD-LoginRestrictions-{tier} : le paramètre "Deny Network Logon" a été remplacé afin de ne plus refuser les autres comptes Admin de Tier, mais seulement le compte Guest (Invité). L'objectif étant d'apporter un peu de souplesse aux équipes techniques, tout en maintenant un niveau de sécurité pertinent et adapté. Ce paramètre impactait "quotidiennement les actions techniques, telles que l'ajout d'une imprimante sur un ordinateur ou l'application d'un rafraîchissement des stratégies de groupe à partir de la console GPMC", peut-on lire dans le changelog.
Pour en savoir plus sur cette version, et pourquoi pas tester Harden AD, rendez-vous sur le GitHub officiel :
Microsoft will retire the Role-Based Access Control (RBAC) application impersonation role in Exchange Online in May 2024. Applications widely use this role in Exchange Online as it enables them to impersonate users in the tenant to perform actions on behalf of the users. You must migrate all your applications from using this role to other options. This article will explore Microsoft's reasoning behind this move and the current alternatives.
Sur le forum, dans les sujets de lenteurs de PC, on trouve souvent des utilisateurs qui ont plusieurs navigateurs internet tels Chrome, Firefox, Edge, Brave et parfois Opera. En fait, il existe de nombreuses bonnes raisons d’avoir deux navigateurs ou plus que vous utilisez régulièrement.
Dans ce guide, je vous donne les avantages mais aussi les désavantages d’installer plusieurs navigateurs internet.
Pourquoi installer plusieurs navigateurs internet
Multiplier les fonctionnalités
Même si les navigateurs internet on tendance à se copier entre eux pour proposer une forme de standard, il existe aussi beaucoup de différence en terme de fonctionnalités. Parfois ils ont leurs propres identités. Par exemple, Firefox et Brave sont très axés sur la protection de la vie privée. Chrome intègre les services Google de manière très poussé. Vivaldi propose le plus de personnalisation possible. Enfin Edge propose les services Microsoft et est réputé pour être le plus rapide.
De plus parfois, certaines extensions ne sont pas disponibles sur tous les navigateurs internet.
Séparer vos activités sur internet
Lorsque vous utilisez plusieurs navigateurs internet, les données du navigation (cookie, histoire de navigation, cache internet, …) sont séparés. C’est aussi le cas des comptes internet auxquels vous vous connectez. Ainsi, une autre raison qui peut vous pousser à installer différents navigateurs internet est la possibilité de compartimenter vos activités. Par exemple, vous pouvez avoir un navigateur internet pour surfer sur internet au quotidien avec des extensions de protection de la vie privée. Un autre navigateur internet avec des réglages plus permissifs pour se connecter à votre site de votre banque, effectuer des opérations administratives, …
Si vous avez une activité personnel et activité, utiliser deux navigateurs internet est aussi utile pour séparer vos activités. C’est particulièrement vrai si votre employeur vous donne une adresse électronique professionnelle et des identifiants de connexion à plusieurs services et outils. Si vous vous connectez à votre compte Gmail personnel et à votre compte Gmail professionnel dans le même navigateur, vous risquez de manquer des messages, d’envoyer des courriels à partir du mauvais compte ou de mélanger d’autres choses importantes parce que vous vous êtes connecté par inadvertance au mauvais compte Google. Cela est aussi vrai si vous utilisez YouTube à des fins personnels et professionnels, cela évite de mélanger votre historique de recherche.
Si vous n’utilisez qu’un seul navigateur pour stocker vos informations, vous risquez de rencontrer des difficultés pour supprimer certaines données lorsque cela est nécessaire. Vous devrez passer en revue chaque élément et supprimer les informations manuellement au lieu d’effacer toutes les données. En utilisant plusieurs navigateurs et en répartissant les activités entre eux, il est facile de supprimer certaines données d’un simple clic.
Améliorer votre vie privée
L’utilisation de plusieurs navigateurs permet de répartir tous ces traqueurs effrayants dans plusieurs endroits différents, ce qui réduit considérablement la marge de manœuvre des mineurs de données. De plus, si vous avez un pseudonyme en ligne pour des raisons de confidentialité, le fait d’avoir un navigateur à utiliser exclusivement pour ce personnage permet de réduire la quantité de données mélangées entre votre personnalité humaine réelle et votre identité en ligne. Toutefois, vous devriez envisager d’investir dans un VPN de qualité si vous souhaitez un masquage plus complet.
De plus, vous vous configurer un navigateur internet de manière très restrictives même si cela pose des problèmes d’affichages car vous ne l’utilisez que certains sites précis (banques, administratif, etc).
Pourquoi ne faut-il PAS installer plusieurs navigateurs internet
Le principal problème que pose la multiplications des navigateurs internet sont des lenteurs du PC. Lorsque vous installez un navigateur internet, ce dernier ajoute un service Windows de mise à jour qui consomme des ressources systèmes.. Ce dernier s’exécute en arrière-plan et les mises à jour peuvent intervenir à n’importe quel moment. Par exemple au démarrage de l’ordinateur ce qui peut ralentir le démarrage du PC. Ils peuvent aussi de déclencher pendant que vous jouez et poser des freez ou baisse des FPS.
Sur des ordinateurs qui commencent à vieillir, cela peut avoir un impact non négligeable.
Ainsi, si vous n’utilisez pas un navigateur internet, vous pouvez le désinstaller.
Connexion
L'offre spéciale : avec le code "ITPR300" obtenez 300 euros de réduction immédiate ! Le prix passe de 899.00 € à 599.00 € ! De plus, il y a un kit clavier-souris gaming (filaire) d'une valeur de 99.99 € offert ! Pour bénéficier de cette offre, vous pouvez utiliser notre lien d'affilié Geekom : 
