Une nouvelle faille de sécurité a été découverte dans le firmware UEFI Phoenix SecureCore utilisé par de nombreux appareils avec un CPU Intel. Faisons le point !
Cette nouvelle vulnérabilité de type "buffer overflow", associée à la référence CVE-2024-0762 et surnommée "UEFICANHAZBUFFEROVERFLOW" par les chercheurs en sécurité d'Eclypsium, a été découverte dans la configuration du module TPM du firmware UEFI, au niveau du sous-système "System Management Mode" (SMM). En l'exploitant, un attaquant pourrait exécuter du code malveillant sur l'appareil vulnérable.
"Le problème concerne une variable non sécurisée dans la configuration du Trusted Platform Module (TPM) qui pourrait entraîner un débordement de la mémoire tampon et l'exécution potentielle d'un code malveillant.", peut-on lire dans le rapport d'Eclypsium.
Le firmware UEFI Phoenix SecureScore est utilisé dans de nombreux modèles d'ordinateurs avec un processeur Intel. D'ailleurs, Phoenix Technologies a indiqué aux chercheurs à l'origine de cette découverte que ce problème de sécurité affectait "plusieurs versions de son firmware SecureCore qui fonctionne sur les familles de processeurs Intel, notamment AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake et TigerLake."
De ce fait, et puisque les processeurs Intel sont très populaires, des centaines de modèles sont affectés que ce soit chez Lenovo, Dell, Acer ou encore HP. Comme le montre la liste ci-dessus, il y a plusieurs générations de processeurs Intel indirectement associées à ce problème de sécurité.
Cette vulnérabilité est particulièrement intéressante pour les malwares bootkits puisqu'elle permet une exécution bas niveau et elle joue le rôle de porte dérobée. "Ces implants donnent aux attaquants une persistance permanente dans un appareil et, souvent, la capacité d'échapper aux mesures de sécurité de plus haut niveau exécutées dans le système d'exploitation et les couches logicielles.", peut-on lire. L'exemple du malware BlackLotus est donné.
Comment se protéger ?
Pour se protéger de la CVE-2024-0762, le firmware UEFI de l'ordinateur doit être mis à jour. Phoenix Technologies a publié une alerte le 14 mai 2024 à ce sujet, mais le correctif provient directement des fabricants d'ordinateurs. Donc, il convient de vérifier s'il y a une mise à jour de firmware disponible pour votre PC.
Par exemple, Lenovo a déjà corrigé cette vulnérabilité dans une centaine de modèles d'ordinateurs portables, référencés sur cette page.
Comment forcer l'arrêt d'une machine virtuelle VMware Workstation qui est figée et refuse de s'arrêter ? C'est la question à laquelle nous allons répondre dans ce tutoriel. Cette manipulation simple permet de se sortir d'une situation qui n'est pas agréable.
Pour cet exemple, une machine virtuelle Ubuntu complètement plantée sera utilisée. En effet, Ubuntu est particulièrement capricieux avec VMware Workstation et il n'est pas rare que la VM freeze... La VM en question s'appelle "Ubuntu-2404".
Comme nous pouvons le voir, elle affiche un écran noir et les commandes d'extinction habituelles ne sont pas accessibles. Elles sont grisées. Preuve qu'il y a un réel souci avec cette VM.
VMware Workstation indique que la machine virtuelle est occupée : "Virtual machine Ubuntu-2404 is busy".
Comment se sortir de cette situation ? C'est ce que nous allons voir dans la suite de cet article.
III. Tuer le processus VMX de VMware
Chaque machine virtuelle exécutée par l'intermédiaire de la plateforme VMware Workstation est associée à un processus "vmware-vmx" en charge de son exécution. Pour forcer l'arrêt de la VM, il convient de tuer le processus "vmware-vmx" correspondant à cette VM.
Ceci est possible via PowerShell, comme le montre l'exemple ci-dessous
Vous pouvez également utiliser le "Gestionnaire des tâches" de Windows. La logique est la même : rechercher le processus et l'arrêter. Ceci peut être fait l'onglet "Détails" de l'interface, ou via l'onglet "Processus".
Suite à cette action, la VM est arrêtée et elle peut être démarrée de nouveau !
Si vous utilisez Ubuntu avec VMware Workstation et que la VM fige très régulièrement, je vous recommande de désactiver l'option "Accelerate 3D graphics" dans les paramètres de la machine virtuelle en question. Ce paramètre se situe dans la section "Display" des paramètres.
IV. Conclusion
Grâce à cette astuce, vous êtes en mesure de forcer l'arrêt de n'importe quelle machine virtuelle sur votre PC équipé de VMware Workstation !
Le robot aspirateur SwitchBot K10+ présenté à l'occasion du salon IFA 2023, s'est tout de suite démarqué par son format ultra compact. Alors, ce robot aspirateur tout mimi, est-il performant ? Réponse dans ce test !
Sur le marché des aspirateurs robots, la majorité des robots font plus ou moins la même taille. Mais, ça, c'était avant l'arrivée du SwitchBot K10+ : ce robot mesure seulement 24.8 cm de diamètre, là où d'autres robots ont plutôt un diamètre d'environ 35 cm (ce qui est plutôt la norme, finalement). Une différence très importante, qui différencie le plus petit des robots de la concurrence dès le départ.
L'image ci-dessous illustre la différence de taille entre le SwitchBot K10+ est un autre modèle de cette marque.
Pour en savoir plus sur ce robot, lisez la suite de ce test. Précédemment, nous vous avions présenté d'autres produits de chez SwitchBot dans cet article :
Commençons par nous intéresser au package, à son contenu et au design du matériel avant d'évoquer son utilisation et sa configuration.
A. Qu'avons-nous dans le carton ?
Le carton utilisé pour le transport contient une autre boite qui est celle de l'appareil. Comme nous pouvons le voir, elle reprend le code couleurs de la marque : le blanc et le rouge. Elle offre un très bel aperçu du robot, ainsi que de ses principales caractéristiques. À l'intérieur, chaque élément est soigneusement rangé à sa place, avec le nécessaire en termes de protection.
En plus de la station et du robot qui sont les deux éléments principaux, nous avons le droit aux accessoires suivants :
Un guide utilisateur, en deux langues, dont l'anglais
Une brosse latérale de rechange, en plus de celle positionnée sur le robot
Un sac à poussières et un filtre de rechange pour la station
Un paquet de 30 lingettes pour le nettoyage du sol
C'est appréciable d'avoir des accessoires de rechange inclus avec le robot, et le paquet de lingettes est un plus pour faciliter l'entretien du robot. En somme, nous avons un package très soigné et complet !
B. Aperçu du robot et de sa station
Le format ultra-compact de la station et du robot surprendra plus d'une personne. À tel point que l'on peut se demander s'il s'agit d'un jouet ! Mais, non, c'est bien un robot prêt à vous aider au quotidien dans l'entretien de votre logement. Voici les dimensions de la station : 26,1 x 21,0 x 32,3 cm. Bien qu'elle soit aussi de taille réduite, cette station nécessite tout de même de l'espace.
Elle est utilisée par le robot pour se recharger, mais aussi pour qu'il puisse vider son réservoir à poussières de façon automatique. En effet, la station de charge intègre un sac à poussière de 4 litres facilement accessible en soulevant le couvercle sur le dessus du boitier. Sur la partie inférieure du couvercle, nous pouvons voir un emplacement pour ranger la plaque à utiliser pour le lavage du sol (avec une lingette).
Le robot et la station sont en plastique (ABS) et l'ensemble est entièrement blanc. Le matériel est de bonne qualité et l'assemblage est propre. Son design est soigné et ce robot saura se faire une place dans tous les types de logement, le blanc étant une couleur neutre.
Le câble d'alimentation de la station de charge n'est pas amovible. Il est préinstallé dans la station et prêt à être connecté sur une prise électrique. Le surplus de câble pourra être enroulé à l'arrière.
Ce robot de 2,3 kg pourra aisément se faufiler sous les meubles et entre les pieds des chaises grâce à son format, et sa faible hauteur (9,2 cm).
Le couvercle amovible donne accès à un bouton physique permettant d'allumer ou d'éteindre complètement le robot. Il donne aussi accès à la poignée permettant de retirer le bac à poussière intégré au robot. Sur le dessus du robot, il y a deux boutons physiques, l'un pour lancer une session de nettoyage ou l'arrêter, et l'autre pour ordonner au robot de retourner à sa base.
Si nous retournons l'appareil, nous pouvons voir ses deux roues principales, la roue directionnelle, la présence d'une seule brosse latérale (longue !) ainsi que la brosse principale. D'ailleurs, ce type de brosse principal n'est pas très adapté si vous avez des animaux à poils longs ou si vous avez des cheveux longs, car ils vont venir s'enrouler autour de la brosse. Ceci implique de nettoyer la brosse de temps à autre. L'outil de nettoyage inclus à la station de charge sera votre allié pour accomplir cette tâche.
Ce robot est capable d'aspirer, mais aussi de laver votre sol : aujourd'hui, c'est devenu une fonctionnalité indispensable sur les robots. Néanmoins, le lavage n'est pas effectué à l'eau : nous devons installer une lingette humidifiée (présente dans le paquet fournit) sur la plaque de nettoyage. Et, concrètement, les résultats ne sont pas à la hauteur. De plus, la lingette n'est pas très pratique à installer et chaque lingette ne pourra être utilisée qu'une seule fois. Nous reviendrons sur ce point par la suite.
III. Installation, nettoyage, autonomie…
A. Installation
L'installation du robot s'effectue en quelques minutes puisqu'il suffit de poser la base, de la connecter et de venir mettre en place le robot. Avant cela, il faudra positionner l'unique brosse latérale sur le robot. La suite de l'installation se passe dans l'application SwitchBot.
B. Efficacité du nettoyage
Ce robot est capable de se glisser sous les meubles, de nettoyer sous la table de salle à manger ou encore de passer sous les chaises. Ceci n'est pas anodin, car les robots, plus imposants, peuvent ne pas y parvenir, même si parfois cela se joue à quelques millimètres. Lui, il n'a pas ce problème-là !
Ce robot navigue grâce à son système de navigation LiDAR, reconnaissable grâce à la tourelle présente sur le dessus du boitier. Il effectue un nettoyage en zig-zag afin que de couvrir l'intégralité de la zone tout en optimisant ses déplacements. Il n'est pas très à l'aise dans la gestion des obstacles, et dans la majorité des cas, il viendra s'appuyer sur l'objet pour le détecter : le pare-choc fera un "clic" d'ailleurs à chaque fois. Le bon point, c'est qu'il le fait tout en délicatesse. Il est susceptible d'avaler les petits objets présents sur le sol, s'ils ne sont pas trop gros. En résumé, avant de lancer une session de nettoyage : rangement obligatoire.
Malgré tout, nous retiendrons l'essentiel : le nettoyage est bien effectué et il parvient à aspirer la majorité des résidus présents sur le sol. Durant les tests, il a démontré une réelle efficacité. D'ailleurs, je l'ai trouvé particulièrement efficace pour ramasser ce qui traine le long des murs et dans les coins.
Si l'on parle de vitesse de nettoyage, il est plus lent que les modèles plus imposants, car il est contraint d'effectuer plus de zigzags pour couvrir une même zone. Par exemple, 53 minutes sont nécessaires pour nettoyer 32m² de surface, là où un robot de taille normale aura besoin d'environ 1 minute par m².
Le robot n'est pas capable d'aspirer et de laver en même temps, ce qui est contraignant. En effet, de nombreux robots sont en mesure d'effectuer ces deux actions en un seul passage. Là, il faudra choisir. Ce handicap est lié à sa petite taille.
C'est d'autant plus embêtant que le système de nettoyage est assez inefficace. La lingette humide aura pour seul effet de faire briller légèrement le sol, mais n'est pas capable d'éliminer les tâches. Disons que ça apporte une légère finition en plus en comparaison de l'aspiration.
C. Autonomie
Le robot SwitchBot K10+ intègre une batterie de 3 200 mAh. Le fait que ce robot soit très petit ne signifie pas qu'il n'est pas endurant. L'autonomie de ce robot est bonne puisqu'il est capable de tenir jusqu'à 2 heures en mode d'aspiration normale.
Néanmoins, il mettra plus de temps à nettoyer un logement complet, car sa taille lui impose de faire un plus grand nombre d'aller-retour pour couvrir toute la zone à nettoyer.
IV. L'application SwitchBot
L'application SwitchBot est disponible pour les appareils Android et iOS. Elle nécessite Android 5.0 ou supérieur, ou iOS 11 ou supérieur. C'est votre centre de contrôle pour gérer l'intégralité de vos appareils SwitchBot, que ce soit ce robot ou les autres appareils de la marque. En effet, SwitchBot propose une large gamme d'appareils connectés, dont le Curtain 3 pour piloter vos rideaux à distance, mais aussi des boutons, des capteurs, etc.
Suite à la création d'un compte utilisateur, il est nécessaire d'ajouter un nouvel appareil. Dans un premier temps, l'appareil est détecté en Bluetooth avant qu'un assistant vous guide dans l'initialisation du robot. Ce dernier va se connecter à votre réseau Wi-Fi (réseau en 2.4 GHz obligatoire) afin d'avoir accès à Internet et de pouvoir être piloté à distance, depuis votre smartphone, que vous soyez chez vous ou pas. Le processus est classique disons, mais j'ai dû m'y reprendre à deux fois, car le robot ne parvenait pas à se connecter au réseau Wi-Fi.
L'application, disponible en français, bien que tout ne soit pas traduit et que la traduction est à améliorer, sert à utiliser et à configurer le robot.
La page d'accueil donne un aperçu de la dernière session de nettoyage, avec quelques stats clés, tout en permettant de lancer le prochain nettoyage. L'utilisateur peut ajuster des paramètres : nombre de fois où il faut nettoyer la zone, zone à nettoyer (maison entière, une ou plusieurs pièces, ou une zone dessinée sur la carte), choix de la puissance d'aspiration (4 modes), etc.
Le système de cartographie est abouti, car la carte est précise et personnalisable. Elle sera générée lors du premier nettoyage et l'utilisateur peut définir les pièces de son logement et leur attribuer un nom. Il est aussi possible de définir des zones à ne pas nettoyer : c'est utile pour exclure une zone sensible, à proximité de rideaux, par exemple.
Remarque : votre logement a plusieurs étages ? Ce n'est pas un problème, vous pouvez gérer plusieurs cartes !
L'application donne accès à des fonctions complémentaires pour personnaliser le comportement du robot, et suivre son activité. Tout d'abord, la langue de la synthèse vocale peut être modifiée, avec la possibilité de choisir le français. L'utilisateur peut aussi définir un planning de nettoyage et suivre l'usure des composants du robot (filtre, brosse, etc.). Ceci permet d'être alerté lorsqu'il est nécessaire de remplacer une pièce d'usure ou d'effectuer un nettoyage du capteur. De plus, une télécommande virtuelle offre un contrôle manuel sur l'appareil.
La section "Paramètres" de l'application donne accès à la configuration de l'appareil.
Activer / désactiver l'éclairage de la station d'accueil.
Activer / désactiver le verrouillage enfant. Très utile si vous avez des enfants puisque cela va verrouiller les boutons physiques.
Configuration du volume sonore de la synthèse vocale.
Configuration du mode "Ne pas déranger" pour que le robot soit inactif sur une plage horaire spécifique.
Collecte des poussières dans la station : cette option sert à définir la fréquence à laquelle le robot doit retourner vider son réservoir dans la station.
Gestion des mises à jour du firmware.
Configuration de l'intégration avec Amazon Alexa ou Google Assistant.
Association du robot à un SwitchBot Tag pour attribuer une fonction à cet objet. Un petit plus intéressant.
Visualisation des informations sur la connectivité réseau
Voici un aperçu de ces fonctionnalités.
L'application est riche en fonctionnalités, mais il faut un peu de temps pour s'y habituer, car il y a des boutons et des paramètres dans de nombreuses zones de celle-ci.
V. Conclusion
La taille de ce mini aspirateur robot SwitchBot K10+ est un véritable atout ! A peine plus grand qu'une main, il occupera peu de place dans votre logement (dans un petit logement en plein Paris, c'est crucial), et cela lui permettra d'être très efficace dans ses mouvements et de bien couvrir la zone à nettoyer. Son format lui permet d'accéder à certaines zones inaccessibles par les autres robots. C'est un point important.
Sa navigation est méthodique bien qu'il ait des difficultés à gérer les obstacles. L'aspiration est excellente, mais nous ne pouvons pas en dire autant du système de lavage à base de lingettes jetables. En effet, en plus d'être peu efficace, l'installation de la lingette est peu pratique.
À sa sortie, le SwitchBot K10+ était proposé à 499 euros. Un tarif qui semble légèrement élevé. Depuis, son prix a été revu à la baisse et il est plus souvent compris entre 399 et 460 euros. Voici deux liens où vous pourrez trouver ce robot :
Au moment d’activer votre licence Office 2021, 2019 ou 2016 sur office.com/setup ou office.com/setupkey, vous rencontrez un code erreur “TokenNotFound”. Vous pouvez aussi rencontrer cette erreur au moment d’associer votre compte Microsoft à Microsoft Office.
Dans ce tutoriel, je vous donne plusieurs solutions pour résoudre ce problème d’Office.
Qu’est-ce que l’erreur “Token Not Found” dans Office
Cette erreur indique que Microsoft ne peut trouver votre clé produit Office empêchant d’activer votre licence Office. Cela peut avoir plusieurs sources :
Votre clé produit n’est pas reconnue. Par exemple, vous avez fait une erreur de saisie
Votre clé produit est invalide. Cela peut arriver si vous avez acheter une licence pas chères. Ces sites vendent des licences de volumes aux particuliers, destinées normalement aux entreprises
Dans la majorité des cas, cette erreur se produit lorsque Microsoft ne reconnaît pas votre clé produit car la clé est invalide. Mais si vous avez acheté votre licence Office en ligne, il est probable que le vendeur utilise des clés volumes qui va à l’encontre de la politique des licences de Microsoft. Il est probable que si vous avez acheté la clé de produit séparément du logiciel, elle ait été acquise de manière illégitime, ce qui a conduit à son blocage ultérieur. Malheureusement, certains vendeurs peu scrupuleux proposent des clés de produit Microsoft volées ou utilisées de manière frauduleuse.
Vous pouvez contacter le revendeur pour qu’il vous fournisse une clé Office fonctionnelle. Si ce dernier ne répond pas, vous avez probablement acheté une clé sur un site de contre-façon.
Connecter votre compte Microsoft dans Office
Vous pouvez aussi associer votre compte Microsoft avec votre copie d’Office directement dans le logiciel. Pour cela, allez dans le menu Fichier > Compte. Si l’association a déjà été faites, vérifiez qu’aucune erreur n’apparaisse dans les informations sur l’utilisation. Par exemple, ci-dessous un cadre jaune indique “Erreur de compte” avec un bouton “Corriger le compte“.
Si le code erreur Token Not Found persiste, vous pouvez aussi contacter le support Microsoft. Un technicien peut vous expliquer la raison de cette erreur et vous fournir une solution. Suivez cette page : Comment contacter Microsoft
Installing Docker on Ubuntu 24.04 is straightforward with the right instructions. This post will walk you through removing any previous Docker versions, updating your system, installing the necessary prerequisites, and setting up the official Docker repository. Finally, you'll install Docker Engine, verify its service, add your user to the Docker group, and test the installation to ensure everything is set up correctly.
La marque WELOCK, spécialisée dans les serrures connectées, propose des remises importantes sur plusieurs de ses produits ! Découvrez les dernières offres dans cet article !
WELOCK est une entreprise spécialisée dans les objets connectés, et plus particulièrement, les serrures connectées, avec plusieurs modèles dans son catalogue. Le modèle WELOCK PCB41, concerné par cette promotion, a déjà fait l'objet d'un test complet sur IT-Connect. Ce sera l'occasion de découvrir plus en détail l'écosystème WELOCK :
Tous les modèles de WELOCK bénéficient d'une garantie de 2 ans et ils sont expédiés depuis l'entrepôt européen de la marque. Que ce soit pour la maison ou pour les locations (Airbnb, par exemple), les serrures connectées sont de plus en plus présentes sur les portes d'entrées des foyers français.
40 euros de remise sur la serrure connectée PCB41
La serrure connectée PCB41, mentionnée ci-dessus suite au test que nous avons pu réaliser, est concernée par la vente flash de WELOCK ! Son tarif passe de 149 euros à 109 euros, soit 40 euros de remise avec le code "FD40".
Cette serrure connectée intègre un clavier à touches (keypad) permettant de saisir le code pour déverrouiller la serrure connectée. Ce code secret joue office de clé pour ouvrir la porte, en plus des interactions possibles avec le smartphone (création de codes temporaires, par exemple). Elle est également livrée avec un ensemble de cartes RFID : il suffit de poser le badge sur le dessus de la serrure pour la déverrouiller.
La serrure connectée est équipée de 3 piles AAA (1.5 V) qui lui assure jusqu'à 1 an d'autonomie, à raison de 10 ouvertures par jour. Lorsque l'autonomie sera inférieure à 20%, l'utilisateur sera averti par une alerte. L'application officielle WELOCK est disponible pour les smartphones Android ainsi que pour l'iPhone puisqu'elle est compatible iOS. Elle permet de déverrouiller la serrure connectée à distance, mais aussi de créer des codes d'accès temporaires et de voir l'historique des accès à votre logement.
57 euros de remise sur les serrures connectées avec un lecteur d'empreintes
Les modèles SECBN51 et Touch41 de chez WELOCK sont également concernées par cette vente flash. Leur tarif passe de 189 euros à 132 euros, soit 57 euros de remise, avec le code "FD57".
Ces deux modèles n'intègrent pas de keypad puisque ce dernier est remplacé par un lecteur d'empreintes digitales capable de mémoriser jusqu'à 100 empreintes de doigt différentes. Des badges RFID sont également inclus et la connectivité avec l'application mobile toujours possible.
La différence entre ces deux modèles se situe au niveau de la compatibilité avec les portes et les cylindres existants. En effet, le modèle SECBN51 fonctionne pour des portes plus fines, de 30 à 70 mm, tandis que TOUCH41 fonctionne pour des portes de 50 à 100 mm d'épaisseur.
Ces modèles utilisent aussi 3 piles AAA, promettant une année complète d'autonomie. WELOCK évoque la possibilité de pouvoir verrouiller/déverrouiller la porte jusqu'à 8 000 fois ! En cas de panne de batterie, il est toujours possible de connecter une batterie externe sur le port USB de la serrure connectée pour l'alimenter temporairement et accéder au logement. Ce port USB à utiliser en cas d'urgence est présent sur les 3 modèles présentés dans cet article.
10 euros de remise sur la passerelle Wi-Fi de WELOCK
La passerelle Wi-Fi est un accessoire indispensable si vous souhaitez gérer votre serrure connectée à distance ! En effet, elle sert de relais entre la serrure connectée et Internet. Sans elle, vous pouvez gérer la serrure connectée depuis votre smartphone seulement quand vous êtes à proximité puisque la connexion s'effectue en Bluetooth. C'est un point important à prendre en considération.
Actuellement, la passerelle Wifibox3 de dernière génération est proposée à 89 euros au lieu de 99 euros, soit 10 euros de remise avec le code "WFB10".
Dans cet article, nous allons passer en revue la caméra Reolink Argus 4 Pro disponible depuis le 10 juin 2024 ! Ce modèle intègre deux capteurs vidéo 4K offrant une vue panoramique de 180°C ! Nous allons évoquer ses caractéristiques, son installation, sa configuration et ses performances !
Commençons par la liste des caractéristiques principales de cette caméra :
Résolution 4K (UHD - 5120 x 1440 @ 15 fps)
Codec de compression vidéo : H.264/H.265
Angle de vue horizontal : 180° sans angle mort
Angle de vue vertical : 50°C
Détection des mouvements jusqu'à 10 mètres
Détection par IA des humains, des véhicules et des animaux
Certifiée IP66
Connectivité : Wi-Fi 6 (prise en charge 2.4 GHz et 5G)
Sirène anti-intrusion interne à la caméra
Enregistrements vidéos sur événements (ou manuel), mais pas d'enregistrement 24/7
Stockage local sur carte microSD (non inclus) ou distant
Accès à distance depuis n'importe où, avec une connexion Internet
Batterie de 5 000 mAh
Système audio bidirectionnel (micro et haut-parleur)
Vision nocturne en couleurs
Gestion des zones de détection
Accès multi-utilisateurs
Visualisation du live et de l'historique des enregistrements
Compatible avec les assistants vocaux Amazon Alexa et Google Assistant
Au-delà de sa résolution 4K et son champ de vision ultra grand-angle à 180°C, cette caméra présente l'avantage d'être compatible Wi-Fi 6, avec la prise en charge des bandes de fréquences 2.4 GHz et 5 GHz. Sa technologie de vision nocturne en couleurs nommée Reolink ColorX est également un atout.
L'Argus 4 Pro est une version améliorée de l'Argus 4, comme le montre le comparatif ci-dessous.
II. Package et design
La boite de la caméra est aux couleurs de Reolink : entièrement bleue, avec le logo Reolink en blanc sur le dessus. Il y a aussi un marquage sur le carton qui montre que Reolink a apporté un soin particulier au packaging. Peu d'informations sur le produit en lui-même, puisque nous avons seulement la liste des produits qui est précisée. À l'intérieur de la boite, tous les éléments sont bien rangés et protégés, au sein de différents compartiments.
La caméra Argus 4 Pro est accompagnée par un panneau solaire qui va lui permettre d'être 100% autonome en énergie.
Commençons par regarder les accessoires présents pour accompagner la caméra. Il y a un support de fixation mural (en métal et plastique), une sangle de fixation, un lot de stickers, un câble USB-C pour recharger la caméra (facultatif), une notice d'utilisation en plusieurs langues dont le français, ainsi que toute la quincaillerie utile pour fixer la caméra.
Le panneau solaire Reolink est traité de la même façon puisque nous avons des accessoires équivalents qui lui sont adaptés.
Le design de cette caméra me fait penser à la forme du visage d'ET l'Extraterrestre, avec ses deux grands yeux. Ces deux capteurs 4K de 8 mégapixels (objectif f=2*4mm) permettront d'obtenir une vue ultra grand-angle de 180°. La coque de la caméra est entièrement blanche, à l'exception de la façade qui est noire.
Trois projecteurs LEDs sont intégrés sur la façade de la caméra : un autre centre entre les deux objectifs, et un à chaque extrémité, totalement à gauche et à droite. Au centre, toujours sur la façade, il y a un détecteur de lumière du jour ainsi qu'un micro. À l'arrière de la façon, il y a le haut-parleur de la caméra sur la gauche, et sur la droite, un cache qui protège le port USB-C. Si vous utilisez le panneau solaire, il devra rester constamment ouvert.
Le capteur PIR pour la détection de mouvements recouvre toute la partie avant "du pied" de la caméra, ce qui sera utile pour avoir un champ de détection large et cohérent vis-à-vis du champ de vision de la caméra. Sur la partie arrière se situe le pas de vis pour venir fixer le support de montage.
Si vous décidez d'utiliser le stockage local avec une carte microSD, sachez que celle-ci dispose d'un compartiment dédié et différent de celui du port USB-C. C'est bien pensé de la part de Reolink puisque la carte microSD pourra constamment rester à l'abri de l'humidité. À noter également la présence d'un bouton pour allumer, éteindre et réinitialiser la caméra.
Enfin, voici une photo de la caméra prise dans ma main pour que vous puissiez vous rendre mieux compte de sa taille.
Le panneau solaire Reolink, dont le poids est de 453.3 grammes, est relativement imposant. Voici ses dimensions : 210.6 x 174.6 mm. La partie principale fait moins de 7 mm d'épaisseur. Pour vous donner un ordre d'idée, il est légèrement plus grand qu'une feuille A4 pliée en deux (A5). Le câble USB-C utile pour connecter le panneau solaire à la caméra est d'une longueur confortable puisqu'il fait 4 mètres.
Maintenant que nous avons fait connaissance avec le matériel, voyons comment l'installer et le configurer !
III. Installation de la caméra Reolink
Avant d'installer la caméra, et peut-être même avant de l'acheter, il me semble important que vous preniez connaissance des possibilités offertes pour son installation. Mais aussi, et surtout, pour son positionnement. Tenez compte aussi de la qualité du signal WiFi à l'emplacement où vous envisagez d'installer la caméra.
Remarque : avant d'installer la caméra, il est recommandé d'effectuer une charge complète. Sans panneau solaire, l'autonomie de la caméra est d'une dizaine de jours
Au sujet du positionnement de la caméra, voici les recommandations de Reolink :
Si Reolink a intégré un support de fixation mural, des vis et une sangle à boucle pour la caméra et le panneau solaire, ce n'est anodin. Les vis seront utiles pour fixer les éléments sur un mur ou un plafond, tandis que la sangle sera utilisée pour la fixation sur un poteau ou un arbre. Attention, pour fixer la caméra avec la sangle, il est quand même nécessaire de fixer une plaque avec deux vis, afin de créer un système d'accroche pour la sangle.
Vous l'aurez compris, c'est une caméra 100% sans-fil, si ce n'est qu'il y a un câble USB pour relier la caméra au panneau solaire. Vous n'aurez pas de câble réseau, ni de câble d'alimentation à tirer.
Tout le matériel nécessaire à l'installation de la caméra est fourni par Reolink, à l'exception des outils. Une fois la caméra installée, il conviendra de l'allumer puis de l'associer à votre compte dans l'application Reolink.
L'utilisateur n'a qu'à se laisser guider par l'application pour effectuer l'installation de la caméra. En trois minutes, ce processus peut être complété ! La prise en charge de la bande de fréquence 5 GHz est un plus.
Ce qui m'a plu également, c'est la fonctionnalité "anti-brute force" pour verrouiller le compte utilisateur s'il y a trop de tentatives de connexion infructueuses dans un intervalle de 3 minutes. C'est un plus pour la protection de la caméra.
Cette caméra bénéficie du Wi-Fi 6. Bien que ce ne soit pas la dernière norme en date, elle est relativement récente et améliore le débit, a une latence plus faible et une meilleure stabilité vis-à-vis des générations précédentes.
IV. Utilisation et configuration
A. Stockage des enregistrements
La caméra Reolink Argus 4 Pro n'a pas de coût mensuel puisque vous n'avez pas d'abonnement à payer. Plusieurs options sont offertes pour le stockage des enregistrements. Il faudra forcément en choisir une si vous désirez stocker les enregistrements associés aux événements, car la caméra n'a pas d'espace de stockage interne.
Remarque : la caméra Argus 4 Pro n'est pas conçue pour effectuer de l'enregistrement continu 24/7. Elle fonctionne selon le principe de l'enregistrement sur détection.
L'option la plus simple, c'est le stockage local sur une carte microSD (jusqu'à 128 Go) : elle n'est pas incluse, donc vous devez l'acheter en supplément. Elle doit être insérée directement dans la caméra, à l'emplacement prévu.
De plus, vous avez plusieurs alternatives :
Stockage sur un serveur distant via le protocole FTP.
Stockage sur le boitier Reolink Home Hub, vendu séparément (99.99 euros).
Stockage sur un périphérique distant via le protocole RTSP (enregistreur, NAS, etc.), à condition d'avoir un Reolink Home Hub pour ajouter cette prise en charge.
Le boitier Reolink Home Hub est actuellement en précommande sur le site de Reolink. Ce boitier intègre une carte microSD de 64 Go pour stocker les enregistrements de vos appareils Reolink : il prend en charge jusqu'à 8 caméras. Son stockage extensible puisqu'il peut accueillir 2 cartes microSD supplémentaires (jusqu'à 2 x 512 Go).
C'est un périphérique très intéressant pour ceux qui veulent équiper leur logement de caméras Reolink puisqu'il permet de centraliser tous les enregistrements en local, sur votre réseau.
B. Lecture du flux vidéo de la caméra
L'application Reolink vous donne accès à l'ensemble de vos caméras de la marque. Vous pouvez piloter votre installation via cette application. Lorsque l'on accède au panneau de gestion de la caméra Argus 4 Pro, nous avons accès au flux en direct. À distance, l'utilisateur peut déclencher l'alarme, les projecteurs, ou encore parler au travers du haut-parleur. Il est aussi possible de prendre une capture (photo ou vidéo) et d'accéder à l'historique des enregistrements, jour par jour. Une fonction de timelapse pour avoir un aperçu rapide de ce qu'il s'est passé récemment est aussi proposée.
Remarque : pour la lecture du flux vidéo en direct, il y a un mode picture in picture, ce qui permet d'avoir une vignette flottante sur l'écran de son smartphone. Ainsi, il est possible de faire autre chose tout en gardant un œil sur l'image de la caméra.
C. Les réglages
Une section de l'application est dédiée au paramétrage de la caméra. Il y a de nombreuses options disponibles. La suite de cet article vous en donnera un aperçu.
Configurer le Wi-Fi, avec la possibilité de basculer d'un réseau sans-fil à un autre, et d'effectuer un test de débit.
Activer ou désactiver l'enregistrement de l'audio.
Régler le volume du haut-parleur et de l'alarme.
Régler le projecteur LED, pour gérer sa puissance manuellement ou laisser le mode auto.
Gérer la sensibilité du capteur de mouvement (PIR).
Activer ou désactiver les notifications par push et/ou e-mail lorsqu'un mouvement est détecté, ou si la batterie est faible.
Créer des zones de non-détection pour chaque type d'intrusion (humain, véhicule, animal, autre).
Spécifier une taille d'objet minimale ou maximale pour la détection, pour chaque type d'intrusion.
Activer ou désactiver l'enregistrement de clips vidéos lorsqu'un mouvement est détecté (avec des options pour spécifier les horaires de détection par type d'intrusion, la durée du clip enregistré).
Activer, désactiver et configurer la sirène : selon une plage horaire par type de détection, avec la possibilité d'utiliser un audio personnalisé pour le son de l'alarme diffusée via le haut-parleur de la caméra.
Partager l'accès à la caméra à d'autres utilisateurs.
Gérer le stockage local ou configurer le stockage distant.
L'application donne accès à des réglages poussés permettant de configurer finement la caméra. Ces règles offrent la possibilité de différencier le comportement de la caméra selon s'il s'agit d'une personne, d'un animal ou d'un véhicule.
D. Qualité de l'image et détection
L'Argus 4 Pro se distingue par ses deux lentilles 4K et son capteur infrarouge passif (PIR) ultra-large à 180°. Sans oublier la nouvelle technologie Reolink ColorX conçue par Reolink pour permettre à la caméra de capter la lumière autant que possible..... Elle profite de l'éclairage naturel et environnant (lampadaire, etc.), même lorsqu'il fait sombre, pour proposer une image en couleurs à la nuit tombée.
Source : Reolink
La caméra détecte les mouvements jusqu'à 10 mètres et à 180°C grâce à son capteur PIR. L'analyse des mouvements est effectuée par une IA (intelligence artificielle). L'intérêt étant de faire la différence entre une personne, un animal et un véhicule. À ce jour, la reconnaissance des visages n'est pas possible. Le système de détection à 10 mètres est très efficace et très précis. Il remplit largement sa mission.
L'utilisateur peut personnaliser les zones de détection et aussi créer des masques de confidentialité pour désactiver la détection sur certaines zones. Lorsqu'un "objet" est détecté par la caméra, il est mis en évidence sur l'image grâce à un encadré bleu (ceci est une fonction en bêta qui doit être activée dans les options de la caméra).
V. Conclusion
Vous recherchez un système de surveillance autonome ? La caméra Reolink Argus 4 Pro devrait vous plaire ! Sa belle image 4K ultra-large permet de couvrir une zone très large, avec une seule caméra, à condition qu'elle soit placée astucieusement. Ce champ de vision très large est impressionnant. Elle pourrait même remplacer deux caméras distinctes... Et, puisqu'elle n'est pas dépendante d'une prise de courant, vous pouvez l'installer où bon vous semble à condition d'être à portée du Wi-Fi.
L'application de Reolink est fonctionnelle et donne accès à de très nombreux paramètres, au point qu'il faut compter plusieurs minutes pour en faire le tour. L'utilisateur a vraiment la main sur le matériel, en plus de pouvoir stocker les enregistrements à plusieurs emplacements : en local, sur un NAS, sur un serveur via FTP, ou encore sur le Reolink Home Hub.
Avantages
Caméra compacte et discrète
Un champ de vision de 180° bien géré
Système autonome avec WiFi 6 et alimentation solaire
Une application à la fois simple et ultra-complète (avec beaucoup d'options)
La détection différencie les personnes, les véhicules et les animaux avec de l'IA
Inconvénients
Un panneau solaire assez encombrant, et donc bien visible.
L'installation de la caméra avec la sangle à boucle, c'est bien, mais dommage qu'il soit nécessaire d'utiliser 2 vis.
L'offre de lancement Reolink Argus 4 Pro
À l'occasion du lancement de sa nouvelle caméra, Reolink propose une offre très intéressante ! La caméra (+ le panneau solaire) est vendue 186.99 euros au lieu de 249.99 euros jusqu'au 22 juin 2024. Après cette date, le prix de vente sera à 199.99 euros du 24 au 30 juin 2024, avant un passage à son prix définitif.
Pour en profiter, voici nos liens d'affiliés vers Amazon.fr et la boutique officielle Reolink :
Une nouvelle faille de sécurité "zero-click" a été patchée dans Microsoft Outlook. Elle représente un risque très élevé puisqu'elle peut être exploitée pour exécuter du code à distance à partir d'un e-mail malveillant. Voici ce qu'il faut savoir.
Récemment, Microsoft a publié une mise à jour de sécurité critique pour son client de messagerie Outlook dans le but de corriger la faille de sécurité CVE-2024-30103. Découverte par trois chercheurs de chez Morphisec, cette vulnérabilité, associée à un score CVSS de 8.8 sur 10, a été signalée à Microsoft le 3 avril 2024. Elle peut être utilisée pour exécuter du code à distance sur l'appareil où Outlook est installé.
"Les recherches de Morphisec ont consisté en une analyse approfondie et du reverse engineering du code de Microsoft Outlook afin d'identifier les conditions spécifiques qui ont conduit à la découverte de cette vulnérabilité de Microsoft Outlook.", peut-on lire sur le blog de Morphisec.
Cette faille de sécurité représente un risque élevé en raison de sa nature "zero-click" puisqu'aucune interaction directe avec l'utilisateur n'est nécessaire pour l'exploitation. Il suffit que l'e-mail soit ouvert ou prévisualisé par l'intermédiaire du panneau de prévisualisation d'Outlook pour que la vulnérabilité soit exploitée et que le code malveillant soit exécuté.
Quelles sont les versions d'Outlook vulnérables à la CVE-2024-30103 ?
D'après le site de Microsoft, la faille de sécurité CVE-2024-30103 affecte plusieurs versions de Microsoft Outlook. Voici la liste publiée par l'entreprise américaine :
Outlook 2016 (32 et 64 bits)
Office 2019 (32 et 64 bits)
Office LTSC 2021 (32 et 64 bits)
Microsoft 365 Apps for Enterprise (32 et 64 bits)
Remarque : pour Outlook 2016, sachez que les versions 16.0.0.0 à 16.0.5452.1000 sont affectées par cette vulnérabilité.
Comment se protéger ?
Microsoft a publié des correctifs de sécurité le 11 juin, à l'occasion de la sortie de son Patch Tuesday de juin 2024. Si vous utilisez Outlook 2016, vous devez installer la KB5002600. Tandis que pour les autres versions, il convient de se référer au numéro de build de Microsoft Office correspondant à la version publiée le 11 juin dernier. Voici des liens utiles :
Cette alerte rappelle l'importance de rester vigilant et de maintenir à jour ses logiciels pour se protéger des failles de sécurité les plus récentes. L'installation de cette mise à jour est plus que recommandée.
media-downloader est un logiciel gratuit qui sert d’interface (GUI frontend) pour les extensions yt-dlp, youtube-dl, gallery-dl, lux, you-get, svtplay-dl, aria2c, wget and safari books. L’interface graphique peut être utilisée pour télécharger n’importe quel média à partir de n’importe quel site web pris en charge par les extensions installées. Vous pouvez effectuer plusieurs téléchargements, par lots sur YouTube, Twitter, Arte et autres sites de streaming et de vidéos. De plus, elle prend en charge une liste de lecture (playlist) comme YouTube par exemple. Enfin cet utilitaire compatible Windows et Linux peut aussi extraire la piste audio d’une vidéo.
Dans ce tutoriel, je vous présente media-downloader et je vous montre comment l’utiliser.
bestaudio+bestvideo — la meilleur qualité de la vidéo
–external-downloader ffmpeg — utilisez ffmpeg comme utilitaire de téléchargement
–external-downloader-args “ffmpeg_i — permet de définir des options pour ffmeg
-ss 00:01:00 — définir le temps du début de téléchargement de la vidéo, ici 1 minute
-to 00:01:30 — Temps de fin de la vidéo, ici 1min30
Cliquez sur Télécharger, l’utilitaire va télécharger la partie de la vidéo
Comment créer un menu contextuel sur Chrome ou Firefox pour ouvrir des liens dans Media Downloader
En ajoutant une extension sur votre navigateur internet, vous pouvez ouvrir directement un lien WEB contenant une vidéo directement dans Media Downloader afin de procéder au téléchargement de la vidéo.
Voici comment mettre en place l’extension et la configurer :
Installez cette extension sur votre navigateur internet :
Accédez à la page de configuration de l’extension et effectuez les opérations suivantes : – Ajouter Ouvrir dans Media Downloader dans le texte du nom d’affichage
Ajoutez Ouvrir dans le téléchargeur de médias dans le champ de texte Nom d’affichage. Ce nom apparaîtra dans le menu contextuel du navigateur
Puis réglez le chemin de l’application media-downloader, soit par défaut :
En dessous, configurer dans quel menu déroulant s’affichera le menu Media-Downloader, par exemple sur Page Content et vidéo/Audio Content
Enfin plus bas, ajoutez –u [HREF] dans le champ de texte des arguments si vous souhaitez qu’un lien soit simplement ajouté à Media Downloader ou ajoutez -a -u [HREF] si vous souhaitez qu’un lien soit ajouté à Media Downloader et que Media Downloader commence automatiquement à le télécharger.
Les instructions relatives à l’installation du client natif s’afficheront une fois que vous aurez cliqué sur le bouton de la barre d’outils.
Validez pour ajouter la nouvelle application
Ensuite faites un clic droit sur la page internet ou sur une vidéo puis Media Downloader
Media-Downloader s’affiche depuis l’onglet Téléchargeur par batch. Vous pouvez ensuite procéder au téléchargement de la vidéo comme expliqué précédemment.
Quelles sont les alternatives à media-downloader
Il existe plusieurs alternatives comme Video DownloadHelper, YTDownloader, IDM et bien d’autres. L’article suivant vous donne plusieurs solutions pour télécharger des vidéos depuis des sites de streaming :
Reptile et Medusa, c'est le nom de deux rootkits Linux utilisés par des cybercriminels pour infecter les machines virtuelles VMware ESXi ! Grâce à ces logiciels malveillants, ils peuvent mener différentes actions sur l'infrastructure compromise. Faisons le point.
Le groupe de cybercriminels traqué sous le nom "UNC3886" est suivi depuis plusieurs années par les chercheurs de Mandiant. Un nouveau rapport publié cette semaine met en lumière l'utilisation de rootkits open source pour avoir un accès à la fois persistant et discret sur les machines virtuelles VMware ESXi.
Depuis mars 2023, les cybercriminels d'UNC3886 exploitent des failles de sécurité zero-day dans les produits Fortinet et VMware pour cibler des organisations situées aux quatre coins du monde. "La majorité des organisations auxquelles Mandiant a répondu ou qu'il a identifiées comme cibles dans le cadre de ses propres analyses sont situées en Amérique du Nord, en Asie du Sud-Est ou en Océanie. Cependant, nous avons également identifié des victimes supplémentaires en Europe, en Afrique et dans d'autres parties de l'Asie.", précise le rapport. Divers secteurs d'activités sont ciblés (aérospatiale, télécommunications, technologie, défense, énergie) ainsi que des entités gouvernementales.
Sur les infrastructures VMware, le serveur vCenter semble être la cible privilégiée. C'est compréhensible, car c'est la clé pour ensuite avoir la maitrise de l'ensemble de l'infrastructure virtuelle. À ce sujet, Mandiant précise : "Après avoir exploité des vulnérabilités de type "zero-day" pour accéder aux serveurs vCenter et aux serveurs ESXi gérés par la suite, l'attaquant a obtenu le contrôle total des machines virtuelles invitées qui partageaient le même serveur ESXi et le serveur vCenter."
L'entrée en jeu des rootkits REPTILE et MEDUSA
Par la suite, ce sont les rootkits REPTILE et MEDUSA qui sont déployés par les cybercriminels. Le rootkit REPTILE se présente sous la forme d'un module chargé par le noyau de la machine ("Loadable Kernel Module" - LKM) et il a deux composants principaux nommés "REPTILE.CMD" et "REPTILE.SHELL".
Le rootkit REPTILE joue le rôle de porte dérobée pour les attaquants, ce qui leur permet d'avoir un accès au système infecté. Ainsi, ils peuvent s'appuyer sur ce rootkit pour exécuter du code et transférer des fichiers de façon discrète. La technique du port knocking est notamment utilisée pour accéder aux machines infectées.
Quant au rootkit MEDUSA, il est utilisé par les cybercriminels pour exécuter des commandes, mais aussi pour collecter les identifiants et les mots de passe, à chaque fois qu'une authentification locale ou distante est réussie. "L'utilisation de REPTILE a généralement été observée après que l'attaquant soit parvenu à accéder à des endpoints compromis où il a été utilisé pour déployer d'autres logiciels malveillants, des keyloggers et des utilitaires.", précise Mandiant.
En complément, UNC3886 a été observé en train d'utiliser de nombreux outils malveillants sur les systèmes compromis : Mopsled, Riflespine, Lookover, etc. Le rapport de Mandiant explique précisément l'intérêt et le fonctionnement de chacun de ces outils. Par exemple, voici l'objectif de Riflespine : "RIFLESPINE est une porte dérobée multiplateforme qui exploite Google Drive pour transférer des fichiers et exécuter des commandes."
Enfin, la liste complète des indicateurs de compromission et des règles YARA associés à l'activité d'UNC3886 est disponible à la toute fin du rapport de Mandiant.
Pulseway is a cloud-based remote monitoring and management tool that enables administrators to conveniently oversee and manage systems from anywhere. Version 9.6 introduces various new features, including improved remote control performance, advanced custom reporting, bulk action capabilities, patch history tracking, new SNMP and service monitoring, enhanced patch management, and improved automation.
Parmi les nouveaux de Windows 11 24H2, Microsoft apporte le système sudo notamment pour les développeurs. Sudo (superuser do) est une commande qui vous permet d’exécuter des programmes élevés sans exécuter le terminal Windows en tant qu’administrateur.
Dans ce tutoriel, je vous explique comment activer sudo pour Windows et je vous apprends à l’utiliser.
Comment activer sudo pour Windows
Faites un clic droit sur le menu Démarrer puis Paramètres. Pour aller plus vite, vous pouvez aussi utiliser le raccourci clavier
+
I. Sinon d’autres méthodes dans le tutoriel suivant : Comment ouvrir les paramètres de Windows 11
Allez dans Système puis à droite dans Espace développeurs
Enfin passer le commutateur Activé sur “Activer sudo“
Puis le contrôle des comptes d’utilisateurs (UAC) se déclenche, cliquez sur Oui
Sudo est maintenant activé sur le système
Configurer les modes de Sudo
Sudo dispose de trois modes différents :
Dans une nouvelle fenêtre : Exécute le terminal avec des privilèges élevés
Avec entrée désactivée : Exécute le terminal en ligne en tant qu’administrateur avec l’entrée standard fermée dans la fenêtre dans laquelle vous avez exécuté l’élévation. L’interaction avec le processus élevé est également bloquée
En ligne (Inline) : Le terminal vous permet d’exécuter des tâches administratives dans la même fenêtre, comme dans Linux et macOS
Vous pouvez choisir le mode depuis le paramètre “Configurer le mode d’exécution des applications par sudo“
Il est également possible d’activer ou de désactiver Sudo et de modifier son mode à l’aide de la commande :
sudo config --enable normal
Comment utiliser Sudo
L’utilisation est extrêmement simple, il suffit de passer la commande en tout début. Par exemple, prenons le cas de netstat :
netstat -ano
Ce qui nous donne :
sudo netstat -ano
L’UAC se déclenche et le résultat de la commande s’affiche dans la fenêtre courante ou dans une nouvelle fenêtre selon le mode sudo choisi.
Pouvons-nous dire adieu au chiffrement de bout en bout en Europe ? La question mérite d'être posée puisque le Conseil de l'Union Européenne voudrait surveiller nos conversations, dans le cadre d'un projet surnommé Chat Control par certaines personnes. La présidente de Signal a fait connaître son mécontentement.
Dans le courant de la semaine, le Conseil de l'Union Européenne doit modifier la réglementation visant à lutter contre les abus sexuels sur les enfants. Pour cela, les autorités aimeraient que les fournisseurs d'outils de communication fassent le nécessaire pour détecter les contenus pédopornographiques et les contenus illicites. Une première version de ce texte avait été présentée en mai 2022. Ce jeudi 21 juin 2024, la version finale de ce texte doit être présentée et approuvée.
Les applications telles que WhatsApp, Signal et Telegram intègrent du chiffrement de bout en bout (E2EE - End to End Encryption) qui est là pour assurer la sécurité des échanges, mais aussi assurer la confidentialité des conversations. Cette sécurité est là pour garantir la protection de la vie privée des utilisateurs. Ce qu'aimerait l'UE, c'est qu'une vulnérabilité soit introduite volontairement pour permettre la possibilité d'accéder au contenu des conversations privées.
La Présidente de Signal, Meredith Whittaker, a fait part de son mécontentement dans un nouveau communiqué : "Il est impossible de mettre en œuvre de telles propositions dans le contexte des communications chiffrées de bout en bout sans compromettre fondamentalement le chiffrement et créer une vulnérabilité dangereuse dans l'infrastructure de base qui aurait des répercussions mondiales bien au-delà de l'Europe."
Meredith Whittaker semble très remontée contre l'UE et cette envie de surveiller les conversations des utilisateurs. Ce qui est certain, c'est qu'elle ne se laissera pas faire et qu'elle compte bien défendre l'intérêt du chiffrement bout en bout, au nom de la défense de la vie privée des utilisateurs.
"Nous pouvons appeler cela une porte dérobée, une porte d'entrée ou la "modération du téléchargement". Mais quel que soit le nom qu'on lui donne, chacune de ces approches crée une vulnérabilité qui peut être exploitée par des pirates informatiques et des États-nations hostiles, en supprimant la protection des mathématiques inviolables et en la remplaçant par une vulnérabilité importante.", peut-on lire. Il est clair que cela ouvre la porte à la surveillance de masse.
Les solutions suisses Proton et Threema fustigent également et sont totalement contre l'idée proposée par l'UE.
Une nouvelle étude réalisée par SOCRadar met en lumière l'explosion des attaques par phishing depuis le lancement du chatbot IA d'OpenAI : le bien nommé ChatGPT. Voici ce qu'il faut retenir de cette étude.
Depuis que ChatGPT a été lancé, ce n'est pas la première fois qu'une étude met en évidence l'augmentation considérable des campagnes de phishing. D'ailleurs, son utilisation à des fins malveillantes n'est pas nouvelle, même si OpenAI et les autres "éditeurs" d'IA essaient de lutter contre cela.
La nouvelle étude publiée par SOCRadar évoque une augmentation de 4 151% des e-mails malveillants utilisés dans le cadre de campagnes de phishing, depuis le lancement de ChatGPT : "Depuis qu'OpenAI a lancé ChatGPT à la fin de l'année 2022, les chercheurs signalent une augmentation stupéfiante de 4 151 % des courriels malveillants.", peut-on lire.
Rien que sur l'année écoulée, une augmentation de 856% a été constatée. Ces campagnes malveillantes ciblent aussi bien les particuliers que les organisations, même si depuis janvier 2024, le nombre de boites aux lettres d'entreprise compromises a augmenté de 29%.
"Avec une augmentation stupéfiante de 856 % des courriels malveillants - et une augmentation de 4 151 % depuis le lancement de ChatGPT - les organisations doivent être en état d'alerte.", précise le rapport au sein duquel nous pouvons retrouver un graphe issu de l'étude "The State of Phishing in 2024" de SlashNext.
Source : SlashNext
Des kits de phishing prêts à l'emploi, à la portée de tout le monde
Cette croissance énorme n'est pas étonnante, car les cybercriminels, au même titre que tous les utilisateurs, peuvent solliciter l'IA pour lui demander de générer des modèles d'e-mails. Ceci leur permet de générer des e-mails, prêts à l'emploi, dans la langue de leur choix, sans faire le moindre effort. De plus, ils peuvent utiliser l'IA pour générer du code, et ainsi développer plus rapidement des logiciels malveillants ou des kits de phishing prêts à l'emploi.
À ce sujet, voici les précisions apportées par SOCRadar : "Ces kits fournissent aux cybercriminels des outils et des modèles prépackagés pour lancer des campagnes de phishing, ce qui permet à des attaquants moins qualifiés de mener plus facilement des attaques sophistiquées." - Distribués sur le Dark Web ou par l'intermédiaire de canaux Telegram, ces kits de phishing sont désormais très complets et à la portée de tous.
Phishing : 10 signes qui ne trompent pas pour identifier un e-mail malveillant
Quand vous recevez un e-mail, soyez vigilant et permettez-vous d'avoir constamment un doute, même si l'e-mail provient d'un ami, de votre boss ou d'un collègue. Voici 10 signes à vérifier pour aider à identifier un e-mail malveillant (liste issue du rapport SOCRadar).
- Messages urgents : les e-mails qui impliquent une action immédiate de votre part, sur un compte bancaire ou pour un colis, par exemple, sont des pièges.
- Expéditeur inconnu : vous ne connaissez pas l'expéditeur ou l'e-mail est plutôt inattendue, il peut s'agir d'une usurpation de l'adresse e-mail.
- Liens suspects : les cybercriminels chercheront toujours à vous piéger avec une pièce jointe malveillante ou un lien malveillant, donc méfiez-vous des liens qui vous dirigent vers des sites web inconnus ou falsifiés. Le survol du lien à partir du client de messagerie révèle la véritable URL : l'occasion de voir le nom de domaine qui se cache derrière ce lien.
- Liens incohérents : méfiez-vous aussi des liens similaires au nom de domaine d'origine, mais qui ne correspondent pas au domaine officiel. Technique du typosquatting où l'attaquant pourrait utiliser "credtimutuel.fr" au lieu de "creditmutuel.fr", par exemple (à condition qu'il soit propriétaire du nom de domaine).
- Pièces jointes : les pièces jointes, au même titre que les liens, sont un véritable danger, notamment lorsque l'extension est .exe, .zip ou .doc, car elles peuvent contenir des logiciels malveillants. Dans certains cas, il peut s'agir d'un simple QR code placé dans un document PDF et qui vous redirigera vers un site malveillant s'il est scanné. Le service PhaaS ONNX est un bon exemple.
- Formatage incohérent : prêtez attention à la mise en forme des e-mails : la police, les couleurs, la mise en page ou les éventuelles images, notamment si cela ne correspond pas au style habituel de l'expéditeur.
- Quand l'offre est trop belle pour être vraie : on veut vous offrir un cadeau, un avantage exceptionnel ? Méfiez-vous, ne soyez pas naïf.
- Demandes d'informations personnelles : les e-mails où l'on vous sollicite pour obtenir des informations sensibles telles que des numéros de sécurité sociale ou des détails de cartes bancaires sont à supprimer sans réfléchir.
- Un e-mail trop générique : un e-mail généré à partir d'une IA peut manquer de personnalisation et être trop générique, notamment si des formulations comme "Cher client" sont utilisées. Néanmoins, avec les nombreuses fuites de données, les attaquants peuvent avoir en leur possession suffisamment d'informations à votre sujet pour créer un e-mail personnalisé et trompeur.
- Demandes inhabituelles : tout ce qui vous semble inhabituel peut être suspect, surtout s'il s'agit d'un paiement ou de la communication d'informations personnelles.
"Quand il y a un doute, c'est qu'il n'y a pas de doute"
La nouvelle version de la suite bureautique open source ONLYOFFICE Docs a été dévoilée ! Quelles sont les nouveautés d'ONLYOFFICE Docs 8.1 ? Réponse dans cet article.
Pour rappel, ONLYOFFICE Docs est une suite bureautique open source conforme au RGPD, et utilisée par plus de 15 millions de personnes dans le monde.
D'abord, sachez que cette nouvelle mouture d'ONLYOFFICE Docs introduit plus de 30 nouvelles fonctionnalités et elle corrige un total de 432 bugs. Parmi les principales nouveautés, on retrouve un éditeur PDF plus complet, de nouvelles fonctions de sécurité notamment pour les feuilles de calcul, ainsi que de nouvelles versions pour les applications de bureau. De plus, l'équipe d'ONLYOFFICE a retravaillé certains éléments graphiques de l'interface, notamment certains boutons, pour améliorer l'expérience utilisateur.
Voici un résumé des nouveautés.
Un éditeur PDF plus complet
ONLYOFFICE Docs 8.1 intègre un éditeur plus complet pour un format de document très populaire : le format PDF. Cet éditeur natif permet de visualiser des documents PDF, mais aussi de les éditer directement. L'utilisateur peut éditer le texte, modifier les pages et la structure du document PDF (rotation, suppression, ajout), ainsi qu'insérer des objets divers et variés : images, formes, tableaux, etc.
De plus, la suite ONLYOFFICE Docs intègre également la création de formulaires PDF, simplifiant ainsi le processus pour les utilisateurs.
Nouvelles options dans l'éditeur de documents texte
Les utilisateurs peuvent désormais appliquer des couleurs d'arrière-plan aux pages et choisir le format de numérotation. La navigation entre les modes Édition, Révision et Lecture a été optimisée, permettant un changement fluide sans affecter les autres co-auteurs.
Plus de sécurité dans les tableurs
ONLYOFFICE Docs 8.1 apporte des fonctionnalités de sécurité pour restreindre l'affichage des cellules dans les plages protégées. Ceci est utile pour protéger des données importantes. De plus, l'historique de collaboration va mettre en évidence les cellules modifiées des versions.
Enfin, de nouvelles fonctions comme "GETPIVOTDATA" et "IMPORTRANGE" ont été ajoutées, ainsi que la possibilité de copier ou déplacer des feuilles entre classeurs ouverts dans un même navigateur.
Nouvelles options pour la création de présentations
L'éditeur de présentation intègre une nouvelle fonction baptisée "Masque de diapositives" pour appliquer une même mise en page à plusieurs diapos de façon simple et rapide. De plus, un panneau d'animation permet de visualiser les effets appliqués sur la ligne de temps, et les développeurs ont retravaillé le panneau des diapositives pour le rendre plus convivial.
Ce n'est pas tout...
Bibliothèque de modèles étendue
La bibliothèque de modèles inclut désormais des documents texte, des feuilles de calcul et des présentations, disponibles gratuitement en plusieurs langues. Les utilisateurs peuvent proposer leurs propres modèles pour enrichir la bibliothèque.
Mises à jour des applications de bureau
Les applications de bureau gratuites "ONLYOFFICE Desktop Editors" ont également été mis à jour vers la version 8.1. En plus des nouveautés disponibles dans la version Web en ligne, ces applications intègrent un lecteur de fichiers vidéo et audio amélioré, ainsi que la possibilité de masquer l'option « Connecter au Cloud ».
In Kubernetes 1.30, notable improvements have been made to job management, especially for indexed jobs. The newly introduced success/completion policies, succeededIndexes and succeededCount, offer more precise control over job success criteria. These policies provide enhanced flexibility and robustness, ensuring that specific job indexes or a sufficient number must succeed before the job is considered complete.
Dans cet article, nous allons nous intéresser aux attaques par brute force qui peuvent être menées sur les comptes utilisateurs d'un Active Directory.
Nous allons plus précisément étudier les évènements qui sont générés par défaut dans un Active Directory lors d'une attaque par brute force, mais aussi comment et pourquoi il est nécessaire d'améliorer la stratégie d'audit par défaut de l'Active Directory pour une meilleure détection.
Enfin, je vous partagerai quelques éléments et requêtes permettant détecter et visualiser une attaque par brute force dans un SIEM tel qu'ELK (ElasticSearch, Logstash, Kibana).
Si vous souhaitez en savoir plus sur ce qu'est une attaque par brute force avant de commencer la lecture de cet article, je vous oriente vers notre article à ce sujet :
Commençons par nous intéresser aux évènements générés par l'Active Directory lors de l'exécution de telles attaques dans une configuration par défaut.
Au sein d’un lab composé d’un Active Directory en configuration par défaut, d’une machine d’attaque sous Kali Linux et d’un SIEM ELK chargé de collecter les journaux d’évènements, j’ai commencé par opéré une attaque par brute force classique sur le service Kerberos de mon Active Directory, puis 5 minutes plus tard via SMB, et enfin 5 minutes plus tard via LDAP.
Dans ma configuration actuelle, je remonte sur mon ELK tous les évènements du journal “security” ("Sécurité"), c’est ici que l’on s’attend à pouvoir découvrir un évènement de sécurité relatif à notre domaine.
Chaque opération a ciblé 2500 comptes utilisateurs (dont certains valides) et 2 mots de passe (dont certains valides aussi) :
Voici les journaux récupérés immédiatement après l’attaque via le service Kerberos :
Utilisation de “Get-EventLog” pour récupérer les 100 derniers évènements du journal “Security”.
Il semble que ne soient journalisées uniquement les tentatives d’authentification réussies (plus précisément les demandes de TGT). Voici les journaux récupérés immédiatement après l’attaque via le service SMB :
Utilisation de “Get-EventLog” pour récupérer les 100 derniers évènements du journal “Security”.
Aucun nouvel évènement n’est présent alors que l’attaquant vient d’opérer plus de 5 000 tentatives d’authentification directement sur l’Active Directory. Le résultat sera le même côté LDAP.
Dans le cas où l’on regarderait uniquement nos journaux via le SIEM ELK, nous pourrions nous attendre en toute logique à voir 3 * (2500*2) = 15 000 évènements (au moins) sur le quart d’heure de réalisation des tests, cependant :
Visualisation des journaux de sécurité remontés dans ELK après plusieurs milliers de tentatives d’authentification.
Il n’en est rien. Dans mon ELK, à peine une soixantaine d’évènements de sécurité sont journalisés.
On peut donc affirmer que les journaux de sécurité par défaut d’un Active Directory Windows ne permettent pas d’identifier une attaque par brute force. Les demandes réussies de TGT sur le service Kerberos sont bien journalisées, mais en dehors de cela concernant les évènements du journal “security”, nous sommes parfaitement à l’aveugle. Il va falloir une fois de plus suivre les bonnes pratiques des guides de sécurité !
Pour être tout à fait précis, lors de la réalisation de l’attaque par brute force sur le service SMB, des logs sont bien produits et permettent effectivement d’identifier une potentielle attaque, néanmoins ces logs sont bien cachés et pas vraiment surveillés la plupart du temps. Il s’agit des logs du service SMB du serveur qui héberge le service (qui peut donc être différent de l’Active Directory, même si les tentatives d’authentification concernent des utilisateurs du domaine) :
Présence de journaux relatifs à des échecs d’authentification sur le service SMB du serveur.
On peut ici voir plusieurs évènements relatifs à des tentatives d’authentification. Ils sont assez peu précis puisque le login de l’utilisateur concerné n’est pas journalisé. Ces évènements sont journalisés localement par le service SMB, et non directement par le service Active Directory.
Dans les faits, les journaux des services SMB des serveurs du domaine sont loin d’être les premiers auxquels on va s’intéresser. Dans la configuration par défaut des principaux agents de collecte de logs, ces journaux ne sont pas collectés pour centralisation.
Cela signifie que, dans le cas d’une attaque ciblant le service SMB d’un serveur intégré au domaine (hors contrôleur de domaine), le service SMB de ce serveur journalisera localement les évènements de tentative d’authentification, mais l’Active Directory, qui est l’autorité à qui est déléguée l’authentification, ne journalisera lui rien du tout à cause de sa configuration par défaut. Autrement dit, les journaux produits par le service SMB restent sur le serveur qui héberge le service SMB. Les potentiels journaux que l’on pourrait s’attendre à voir concernant l’Active Directory et son rôle d’autorité d’authentification (ici dans le cadre du NTLM), ne sont toujours pas produits.
L'authentification NTLM est un protocole d'authentification challenge/response utilisé pour authentifier un utilisateur sans envoyer son mot de passe sur le réseau. Lorsque vous vous authentifiez auprès d’un ordinateur intégré au domaine (qui n'est pas un contrôleur de domaine), ce serveur délègue la vérification de l’identité au contrôleur de domaine. Dans le cas de NTLM, il transmet les informations de challenge/réponse au contrôleur de domaine pour validation.
Dans un tel cas et si l’attaquant a connaissance de cette configuration, il peut donc cibler un service SMB d’un serveur autre que l’Active Directory mais quand même intégré au domaine. Son attaque produira des journaux locaux concernant le service SMB (non surveillés), mais les demandes de validation de l’identité de l’utilisateur que le serveur visé transmettra à l’AD ne seront eux pas journalisés.
B. Durcissement de la stratégie d’audit
Heureusement pour nous, il existe un moyen de faire en sorte que l’Active Directory génère les évènements relatifs aux tentatives d’authentification (réussies ou non). Il faut pour cela paramétrer la stratégie d’audit selon les bonnes pratiques de sécurité, c'est-à-dire tel que recommandé par les guides de l’ANSSI ou du CIS :
Ces recommandations visent à rendre les logs plus complets en activant la journalisation d'évènements de sécurité d'importance. Concernant l’audit de l’authentification, nous allons nous rendre dans l’éditeur de gestion des stratégies de groupe et plus précisément dans la GPO qui s’applique aux contrôleurs de domaine. Pour l’exemple, j’opère directement sur la GPO “Default Domain Controllers Policy”.
Il faut ensuite aller dans “Configuration ordinateur > Paramètres Windows > Configuration avancée de la stratégie d’audit > Stratégie d’audit > Connexion de compte” :
Accès à la gestion de l’audit du service d’authentification Kerberos.
Il faut ici sélectionner la stratégie “Auditeur le service d’authentification Kerberos” et activer “Succès” et “Echecs” :
Activation de la journalisation des échecs et succès d’authentification Kerberos.
Comme nous l’avons vu, cela permet d’aller plus loin que la configuration par défaut qui ne journalise que les succès. Il faut également sélectionner la stratégie “Auditer la validation des informations d’identification” et également cocher “Succès” et “Échec” :
Activation de la journalisation des échecs et succès sur la validation des informations d’identification Kerberos.
Cette seconde configuration nous permettra de journaliser les succès et échecs d’authentification passant par NTLM, pour lequel l’Active Directory est l’autorité de référence au sein d’un domaine.
Ainsi, même si l’on tente de s’authentifier sur le service SMB d’un serveur intégré au domaine (autre que l’Active Directory), celui-ci passera par l’Active Directory afin de valider l’identité de l’utilisateur. Celui-ci pourra alors journaliser cette demande de validation d’identité. Suite à ces modifications, il faut attendre que la GPO se déploie sur nos contrôleurs de domaine ou forcer la mise à jour via “gpupdate /force” :
Mise à jour forcée des GPO sur un contrôleur de domaine.
Dès lors, voici à quoi ressemblent les journaux d’évènements de sécurité de l’Active Directory lors d’une attaque par brute force sur le service SMB (ciblant lui-même ou une machine intégrée au domaine) :
Voici à présent les logs que l’on peut visualiser lors d’une attaque par brute force sur le service Kerberos lorsque la stratégie d’audit est correctement configurée :
Voilà qui est plus intéressant ! Si l’on regarde plus en détail le contenu de l’évènement dans l’Observateur d’évènement, nous pouvons comprendre qu’il s’agit bien d’évènements en relation avec une tentative échouée d’authentification :
Exemple d’évènement concernant l’échec d’authentification d’un utilisateur sur une machine du domaine.
Bon, les détails techniques peuvent certes manquer (adresse IP source). Mais le nombre d’évènements et surtout leur présence dans le journal “Security” nous permettent déjà d’envisager la détection d’une telle attaque.
L’évènement ID 4776 (The domain controller attempted to validate the credentials for an account) apparaît lorsqu’un ordinateur du domaine tente de valider les identifiants qu’un utilisateur lui a envoyés. On peut notamment s’intéresser au code d’erreur pour comprendre le résultat précis de cette demande de validation :
Dans l’exemple ci-dessous, le code d’erreur nous apprend qu’il s’agit d’un compte existant, mais pour lequel le mot de passe saisi est incorrect :
Présence d’un code d’erreur “0xC000006A” dans un évènement “4776”.
Voici à présent les évènements que l’on peut visualiser lors d’une attaque par brute force sur le service Kerberos lorsque la stratégie d’audit est correctement configurée :
Evènements 4471 du journal “Security” relatif à des échecs de pré-authentification.
Ici aussi, nous comprenons rapidement qu’il s’agit d’un échec d’authentification si l’on regarde le contenu de l'évènement, le message et le type d’entrée :
Contenu d’un évènement 4771 dans le journal “Security”.
L’évènement 4771 (Kerberos pre-authentication failed) est journalisé lorsqu’un utilisateur qui tente de s’authentifier sur le service Kerberos échoue à le faire (compte expiré, mauvais mots de passe, mauvaise version du protocole, etc.). On remarquera à nouveau le code d’échec (“0x18”) qui indique encore une fois un mauvais mot de passe saisi :
Concernant une attaque via le protocole LDAP, l’authentification repose également sur NTLM dans un environnement Active Directory classique, les évènements journalisés sont donc les mêmes qu’une attaque sur le protocole SMB (4776). À noter qu’il en est de même pour d’autres services dont l’authentification repose sur l’Active Directory si Kerberos n’est pas celui utilisé (MSSQL, RDP, etc.).
C. Surveiller le verrouillage des comptes utilisateur
À défaut d’avoir une stratégie d’audit correctement configurée au moment de la réalisation de l’attaque, notamment si vous êtes dans un contexte d’analyse “post mortem” (c’est-à-dire après constatation de l’incident), nous pouvons tenter de nous baser sur l’évènement relatif au verrouillage d’un compte utilisateur.
Dans un environnement Active Directory, la valeur par défaut du seuil de verrouillage d'un compte est 0 tentative échouée. Cette configuration signifie que le verrouillage de compte est désactivé. Il est fortement recommandé de mettre en place une valeur différente de 0, mais tout de même raisonnablement élevée afin d’éviter que l’utilisateur ne se bloque lui-même.
Dans le cas où un seuil de verrouillage des comptes est effectivement en place, il est possible qu’une attaque par brute force entraîne le verrouillage temporaire des comptes ciblés. Cela va alors générer des évènements tels que ceux-ci (dans la configuration par défaut des stratégies d’audit) :
Evènements 4740 permettant de signaler le verrouillage d’un compte utilisateur du domaine.
En surveillant activement ce type d’évènement et surtout leur nombre d’apparitions dans le temps, il devient possible de détecter une attaque par brute force.
Attention, dans les faits, si l’attaquant possède déjà un accès au domaine, il peut très facilement récupérer la politique de mot de passe en place (incluant le seuil de verrouillage) et calibrer son attaque pour rester en dessous du seuil de verrouillage. Cela ralentira grandement son attaque (c’est le but !), mais évitera l’apparition de tels évènements dans les journaux de sécurité.
III. Détection d'une attaque par brute force avec ELK
Bien ! Maintenant que nous en savons plus sur ce qu'est une attaque par brute force et notamment quels sont les évènements qui peuvent être générés lors d'une telle attaque (si la stratégie d’audit est bien configurée), nous allons nous intéresser aux possibilités de détection active via le SIEM ELK. J’ai réitéré mon trio d’attaque (Kerberos, LDAP, SMB) sur une période de 15 minutes :
Vue ELK des journaux de sécurité d’un Active Directory cible d’une attaque par brute force.
Voilà qui est beaucoup plus parlant ! J’obtiens bien mes 15 000 évènements et peux même identifier clairement sur le graphique l’heure d’exécution de mes différentes attaques. Pour être plus précis, nous pouvons utiliser une requête KQL ciblant uniquement les évènements vus précédemment, ceux relatifs aux échecs d’authentification :
# Requête KQL qui filtre les event.code 4771 et 4776
event.provider: Microsoft-Windows-Security-Auditing and (event.code:4776 or event.code: 4771)
Sur un environnement classique avec des milliers d’utilisateurs qui se trompent parfois de mot de passe, voici le résultat que peut donner un tel filtre si une attaque par brute force à eu lieu :
Visualisation d’un pic de tentatives d’authentification infructueuses via une requête KQL dans ELK.
Nous voyons clairement qu’au milieu des échecs d’authentification habituels assez peu nombreux, un pic de tentatives infructueuses d’authentification est présent. Enfin, nous pouvons en complément utiliser une requête KQL qui nous permet de visualiser les verrouillages des comptes :
# Requête KQL qui filtre les event.code 4771 et 4776
event.provider: Microsoft-Windows-Security-Auditing and event.code:4740
Voici alors l’effet qu’aura une attaque par brute force dans le résultat de cette requête KQL :
Visualisation d’un pic de verrouillage de compte via une requête KQL dans ELK.
A 15h22, plus de 200 comptes utilisateur ont été verrouillés, ce qui apparait comme anormal au regard de l'occurrence habituelle de cet évènement. Attention toutefois, nous avons vu les limites de cette technique de détection :
L’attaquant peut prendre connaissance du seuil de verrouillage en place et configurer son attaque pour ne pas l’atteindre.
Le seuil de verrouillage par défaut est à 0, donc aucun événement de ce type n’apparaîtra sans un durcissement préalable de ce paramètre.
IV. Conclusion
Dans cet article, nous avons vu que les possibilités de détection d’une attaque par brute force avec la configuration par défaut de la stratégie d’audit du domaine sont limitées. Grâce aux durcissements de configuration proposés par de nombreux guides de bonnes pratiques, il est possible de journaliser chaque tentative d’authentification (en succès ou en échec) et donc de se donner la possibilité de détecter ce type d’attaque. Au travers quelques requêtes basiques dans un SIEM (ELK dans cet article), nous sommes parvenus à identifier une attaque par brute force.
Bien sûr, l’attaquant peut toujours étaler son attaque dans le temps afin de passer sous les radars (éviter un pic d’évènement dans un SIEM ou le déclenchement du seuil de verrouillage). Dès lors, son attaque sera beaucoup moins efficace, d’autant plus si des mots de passe robustes sont en place (imaginez tester 5000 mots de passe avec un ratio de 5 tentatives par compte toutes les 30 minutes).
Différents guides de l’ANSSI ont été cités dans cet article. Je vous recommande leur lecture pour aller plus loin concernant la sécurité d’un environnement Active Directory :
Windows 11 24H2 (Mise à jour de fonctionnalités Windows 11 24H2) est la prochaine version du système d’exploitation dont Microsoft a confirmé la sortie en septembre ou octobre 2024. Cependant, l’entreprise américaine a publié la mise à jour de certaines fonctionnalités pour les PC Copilot+ à partir du 18 juin.
Elle confirme la poursuite de l’intégration de l’IA dans Windows 11, y compris l’amélioration de Copilot dans le système et les applications et l’introduction de nouvelles fonctionnalités, telles que Windows Recall, Voice Clarity, Windows Studio Effects, Live Captions, et Automatic Super Resolution (Auto SR). Mais vous trouverez aussi de nombreuses améliorations non liées à l’intelligence artificielle.
Dans cet article, je vous énumère les nouvelles fonctionnalités et les changements attendus dans la prochaine mise à jour.
Quelles sont les nouveautés de Windows 11 24H2
Copilot+ et intelligence artificielle
Dans les versions précédente de Windows 11, Copilot a fait son apparition L’application est en fait la version web de Copilot installée en tant qu’application web sur Windows 11. Elle fonctionne comme avant, mais ne peut par exemple pas modifier les paramètres du système.
Windows 11 24H2 apporte une modification signification de Copilot nommée Copilot+. Elle vise simplement à faire en sorte que l’assistant se comporte davantage comme une application épinglée à la barre des tâches. C’est ce qu’explique Microsoft : “Vous bénéficiez ainsi des avantages d’une application classique. Par exemple, vous pouvez redimensionner, déplacer et accrocher la fenêtre“. Microsoft prévoit d’ajouter les suggestions de Copilot partout où le chatbot est disponible pour aider, y compris dans l’application Paramètres et les notifications de toasts. De plus, l’interface a été mise à jour avec un nouveau design similaire à l’expérience OpenAI ChatGPT sur le web.
De plus, Copilot+ apporte de nouvelles fonctionnalités telles que Voice Clarity, Windows Studio Effects, Live Captions, et Automatic Super Resolution (Auto SR). Initialement, elle devrait aussi apporter Windows Recall, l’entreprise a depuis fait marche arrière sur la technologie d’enregistrement effrayante Recall, suite à une tempête de critiques, et a confirmé que la première vague de PC Copilot+ arriverait désormais sans le service prêt à l’emploi. Ces fonctionnalités sont décrites ici et dans la suite de cet article.
En résumé Microsoft continue d’intégrer toujours plus de fonctionnalités liées à l’intelligence artificielle dans son système d’exploitation.
Mais cette nouvelle fonctionnalité n’est disponible pour tout le monde. Seuls les PC avec une configuration de 16 Go de RAM, 256 Go de stockage et une NPU (Neural Processing Unit) capable d’effectuer au moins 40 TOPS (trillions d’opérations par seconde) peuvent en bénéficier.
Le point fort de ces fonctionnalités de Copilot+ est sans doute Recall, qui avait été appelé « AI Explorer » avant l’annonce officielle. Recall est en quelque sorte le successeur de Timeline, une fonctionnalité de Windows 10 qui vous permettait d’afficher un historique de votre activité et de revenir facilement à ce que vous faisiez auparavant. Le problème avec Timeline, c’est que tout était manuel, et que vous pouviez donc finir par faire défiler l’écran pendant longtemps sans trouver ce que vous vouliez. Recall peut retrouver les éléments sur lesquels vous travailliez en les recherchant en langage naturel. Ainsi, si vous rédigez un essai sur les ordinateurs, vous pouvez dire « montrez-moi ce document sur les ordinateurs sur lequel j’ai travaillé la semaine dernière », et Windows 11 peut le retrouver pour vous.
Pour cela, l’application fonctionne avec un champs de recherche que vous pouvez utiliser pour décrire votre recherche à l’aide de texte ou de la voix, puis la fonction affichera vos instantanés pour le contenu le plus pertinent, comme si vous utilisiez un moteur de recherche en ligne à l’aide de texte ou d’images.
Windows Recall fonctionne en arrière-plan et prend des instantanés de tout ce que vous faites sur l’ordinateur. À l’aide de plusieurs modèles d’intelligence artificielle intégrés à l’appareil, la fonction analyse et rend chaque élément de contenu consultable en langage naturel, qu’il s’agisse d’un texte ou d’une image.
Vous aurez le choix d’activer ou de désactiver la fonction à partir de l’expérience out-of-box (OOBE), mais vous pourrez activer ou désactiver Recall manuellement à partir de l’application Paramètres ou de la stratégie de groupe.
Une fois la fonction activée, vous pouvez accéder à l’application Recall à partir de la barre des tâches en utilisant l’icône de la barre d’état système ou l’icône de l’application à côté des autres applications.
Le PC doit être compatible Copilot+ et la fonction nécessite un minimum de 25 Go d’espace, que le système réserve exclusivement au stockage d’un maximum de trois mois d’instantanés. Cependant, l’allocation par défaut sera différente en fonction de la capacité du disque dur du système.
Live Captions (IA)
Bien que Live Captions fonctionne déjà dans Windows pour fournir des sous-titres en anglais pour tout son diffusé sur votre PC (d’un appel Google Meet à une vidéo YouTube ou un flux Twitch), la version de Live Captions de Windows 11 24H2 incluse dans les PC Copilot+ peut effectuer une traduction en temps réel en plus des sous-titres.
Cela signifie que si vous pouvez actuellement activer les sous-titres en direct dans Windows 11, ils ne peuvent être sous-titrés qu’en anglais et ne peuvent pas traduire d’autres langues en anglais en temps réel. Mais avec un PC Copilot+, la fonction Live Captions améliorée peut traduire en anglais n’importe quel son en direct ou préenregistré dans plus de 40 langues, et afficher les sous-titres en anglais instantanément, même lorsque vous n’êtes pas en ligne.
L’audio peut être en direct ou préenregistré à partir de n’importe quelle application ou vidéo. La fonctionnalité peut traduire plus de 40 langues en anglais même sans connexion internet, car elle nécessite une NPU pour fonctionner.
Windows Studio Effects (AI)
Windows Studio Effects est une collection de fonctionnalités disponibles dans Windows 11, conçues pour améliorer la qualité des appels vidéo et audio grâce à des algorithmes d’intelligence artificielle (IA). Ces effets sont particulièrement utiles pour les réunions en ligne, les cours à distance, ou toute autre situation nécessitant une webcam et un microphone.
Les principaux effets de Windows Studio incluent :
Flou d’arrière-plan (Background Blur) : Cet effet permet de flouter l’arrière-plan pour que seule la personne devant la caméra soit mise en avant.
Focus vocal (Voice Focus) : Il filtre les bruits de fond pour que votre voix soit claire et distincte.
Contact visuel (Eye Contact) : Corrige la direction de votre regard pour donner l’impression que vous regardez directement la caméra, même si vous regardez votre écran.
Cadre automatique (Automatic Framing) : Cette fonctionnalité ajuste automatiquement le cadrage de l’image pour vous garder au centre de la caméra lorsque vous bougez
Vous pouvez configurer ces fonctionnalités à partir de Paramètres > Bluetooth et appareils > Caméras ou accéder aux effets à partir de la page « Effets studio » dans le menu déroulant Paramètres rapides.
Il est important de noter que les effets de studio sont disponibles depuis un certain temps, mais qu’à partir de la version 24H2, ils sont plus largement disponibles sur les PC Copilot+.
Cocreator (IA)
Cocreator est une nouvelle fonctionnalité de Paint dans Windows 11 qui n’est disponible que sur les PC Copilot+. Elle vous permet essentiellement d’indiquer à Paint le type d’art que vous souhaitez créer, puis d’affiner la manière dont Paint applique cette demande à l’œuvre d’art que vous créez.
Pour être clair, Cocreator ne génère pas d’image dans Paint pour vous – ce type de génération d’image doit encore être effectué par Copilot ou d’autres programmes d’IA générative. Au lieu de cela, lorsque vous cliquez sur le bouton Cocreator dans Paint, un panneau de contrôle apparaît sur le côté avec une fenêtre de saisie de texte et quelques curseurs.
La fenêtre de saisie de texte vous demande de « décrire ce que vous aimeriez créer », et lorsque vous saisissez une description simple (quelque chose d’aussi simple que « ville cyberpunk » ou d’aussi spécifique qu’« une jolie tortue nageant sous l’océan, avec des récifs coralliens, des poissons et un éclairage spectaculaire »), l’IA applique votre demande à ce que vous dessinez dans Paint.
Voice Clarity (IA)
Toujours grâce à l’intelligence artificielle, vous allez pouvoir améliorer certains audio. Grâce à la fonctionnalité Voice Clarity (Clarté vocale), il est possible de supprimer les bruits de fond, annuler les échos et réduire la réverbération en temps réel lors d’appels vidéo ou vocaux, ou lors d’enregistrements audio.
En outre, cette fonctionnalité profitera également aux jeux PC avec communication en ligne. Les applications peuvent activer la fonction « Suppression du bruit profond » pour les contenus audio génériques ou à voix seule. La clarté vocale garantit une voix claire lors des réunions en ligne et une communication en ligne plus fluide.
Voice Clarity fonctionne automatiquement sur les applications prises en charge avec le matériel pris en charge qui inclut le NPU. Vous ne trouverez pas d’option permettant d’activer la clarté vocale.
AutoSuper Resolution (IA)
La fonction Auto Super Resolution (en Français Optimisations pour les jeux en mode fenêtré) est remarquable, surtout si vous jouez. Cette fonction est similaire à DLSS de Nvidia, mais elle n’est pas intégrée à Windows, de sorte que tous vos jeux sont plus nets sans que les performances en pâtissent. En fait, ils peuvent tourner à un taux de rafraîchissement plus élevé, car cela soulage le GPU.
Vous pouvez activer la fonction de mise à l’échelle à partir de Paramètres > Affichage > Graphique et activer l’interrupteur à bascule « Auto SR ».
Auto RS est une fonction exclusive pour les PC Copilot+, car l’une des conditions requises est le nouveau NPU du processeur Qualcomm Snapdragon X Elite. En outre, elle ne sera disponible que pour un certain nombre de jeux.
Sudo pour Windows
Microsoft ajoute également la commande « sudo » à Windows 11, une fonctionnalité disponible sur les systèmes d’exploitation basés sur Unix (tels que Linux et macOS) depuis les années 1980.
Sudo (superuser do) est une commande qui vous permet d’exécuter des programmes élevés sans exécuter le terminal Windows en tant qu’administrateur.
Vous pouvez effectuer de nombreuses opérations à l’aide de cette commande, telles que la suppression d’un fichier protégé, l’invocation de commandes élevées et l’ouverture d’un nouveau terminal pour effectuer n’importe quelle tâche.
Vous devez activer l’option manuellement dans Paramètres > Système > Pour les développeurs et activer le paramètre “Activer sudo”.
Il est également possible d’activer ou de désactiver Sudo et de modifier son mode à l’aide de la commande :
sudo config --enable normal
L’option normal signifie « Inline », mais vous pouvez changer l’option en forceNewWindow pour utiliser le mode « Dans une nouvelle fenêtre » ou en disableInput pour le mode « Avec entrée désactivée ».
Une fois la fonctionnalité activée, vous pouvez exécuter des commandes élevées dans un terminal normal pour l’Invite de commande ou PowerShell (par exemple, sudo del monfichier.txt).
Économie d’énergie
“Économie d’énergie” est un nouveau mode d’économie d’énergie qui remplace le mode “Économiseur de batterie” existant. Il permet non seulement de prolonger la durée de vie de la batterie d’un appareil, mais aussi de réduire la consommation d’énergie sur les ordinateurs dépourvus de batterie.
Le mode d’économie d’énergie est en fait basé sur les fonctions « Économiseur de batterie » et « Mode d’alimentation », ce qui signifie qu’il fonctionne de la même manière en prolongeant la durée de vie de la batterie et en réduisant la consommation d’énergie par le biais d’un échange de performances du système.
Pour activer l’économiseur d’énergie, vous devez ouvrir Paramètres > Alimentation (Alimentation et batterie), cliquer sur le paramètre « Économiseur d’énergie », puis configurer la fonction.
Dans le cadre de cette nouvelle fonctionnalité, le menu déroulant Paramètres rapides ajoute une option permettant d’activer ou de désactiver l’option Économie d’énergie.
Prise en charge de la compression TAR, 7z, Gzip, Bzip2 et Zip dans l’Explorateur de fichiers
À partir de la version 24H2, l’Explorateur de fichiers comporte un nouvel assistant de compression pour créer des fichiers TAR, 7z et Zip qui inclut des options pour choisir des formats comme « gzip » et « bzip2 » pour des fichiers individuels ou pour créer des archives avec différents formats tar et types de compression.
En outre, un gestionnaire d’archive est fournit à partir duquel vous pouvez ajuster les niveaux de compression et sélectionner les types de données stockées dans chaque archive pour une plus grande personnalisation. Toutefois, la compression avec cryptage n’est toujours pas prise en charge.
Améliorations du menu contextuel de l’Explorateur de fichiers
Le géant américain a également mis à jour le menu contextuel de l’Explorateur de fichiers avec des étiquettes pour les principaux boutons d’action : couper, copier, coller, renommer, partager et supprimer.
Prise en charge du Wi-Fi 7
Windows 11 24H2 ajoute la prise en charge du Wi-Fi 7 (IEEE 802.11be Extremely High Throughput (EHT)). Il s’agit de la norme sans fil la plus récente, basée sur les normes Wi-Fi 6 et 6E, qui offre une vitesse maximale théorique de plus de 40 Gbps. Elle est nettement plus rapide que les 9,6 Gbps de la norme Wi-Fi 6 (il est important de se rappeler qu’il s’agit de vitesses théoriques ; dans le monde réel, elles sont bien inférieures).
Le mode d’impression protégé de Windows permet aux ordinateurs d’imprimer en utilisant la nouvelle pile d’impression moderne universelle du système (pilote) conçue pour fonctionner uniquement avec les imprimantes Mopria. Cette fonction vous permet de connecter une imprimante à Windows 11 sans avoir besoin d’un logiciel tiers. Désormais, l’imprimante fonctionnera tout simplement.
Cette mise à jour introduit également une option permettant de mettre en pause et de reprendre les travaux d’impression dans Paramètres > Bluetooth et périphériques > Imprimantes et scanners.
Autres améliorations
Amélioration des paramètres rapides : Microsoft ajoute une vue déroulante du menu déroulant des paramètres rapides dans la barre des tâches.
Prise en charge de l’arrière-plan HDR : Les utilisateurs disposant d’un écran HDR pourront définir des images .jxr comme arrière-plan de leur bureau et obtenir un rendu HDR.
La possibilité d’installer des pilotes pendant la configuration, comme le Wi-Fi, pour les utilisateurs qui configurent un PC personnalisé avec une installation entièrement nouvelle.
Prise en charge la version 2.0 de l’USB4, ou USB4 80Gbps. Cette nouvelle norme promet une bande passante bidirectionnelle allant jusqu’à 80 Gbps, ou jusqu’à 120 Gbps dans une seule direction, et sera prise en charge par des ordinateurs portables tels que le Razer Blade 18 de 2024.
L’Explorateur de fichiers permet désormais d’afficher et de modifier les métadonnées des fichiers « .png », notamment de définir des étoiles, de modifier les descriptions et d’ajouter des mots-clés.
La possibilité de diagnostiquer les problèmes liés à Internet en cliquant avec le bouton droit de la souris sur l’icône Internet de la barre des tâches, qui s’anime désormais lors de la connexion à un nouveau réseau.
Certaines applications ne sont plus incluses par défaut, comme Cortana, Mail & Calendrier, Contacts et Cartes,mais vous pouvez toujours les installer.
FAQ sur Windows 11 24H2
Quand la mise Windows 11 24H2 sera disponible ?
La mise à jour Windows 11 24H2 est déjà disponible pour les appareils alimentés par le SoC Snapdragon X Elite et X Plus de Qualcomm à partir du 18 juin. Pour les PC en Intel et AMD, il faudra attendre Octobre 2024. Toutefois, le processeur doit être équipé de l’instruction POPCNT, sinon il ne sera pas pris en charge par 24H2.
Windows 11 24H2 sera-t-il une mise à jour gratuite ?
Windows 11 24H2 est une mise à jour gratuite pour les appareils compatibles avec Windows 11 et 10. Comme il s’agit d’une mise à jour importante, une réinstallation sera nécessaire.
Tous les PC bénéficieront-ils de toutes les fonctionnalités de la version 24H2 ?
La réponse courte est « Non », car certaines fonctionnalités nécessiteront un nouveau matériel cette fois-ci. Alors que la plupart des fonctionnalités seront disponibles pour les appareils existants pris en charge, certaines fonctionnalités alimentées par l’IA nécessiteront un nouveau matériel que vous ne pourrez obtenir qu’en achetant un nouveau PC Copilot+. Des fonctionnalités telles que Windows Recall, Windows Studio Effects, Auto Super Resolution, Voice Clarity, Cocreator for Paint et Restyle Image for Photos seront exclusives aux PC Copilot+ équipés des nouveaux processeurs Qualcomm Snapdragon X Series. Intel et AMD prévoient de nouvelles versions de processeurs avec intégration NPU (Neural Processing Unit) et plus de 40 TOPS de performance, ce qui permettra de commercialiser d’autres types de PC Copilot+ pour prendre en charge ces nouvelles expériences d’IA.
ONNX Store, c'est le nom d'une nouvelle plateforme de Phishing-as-a-Service (PhaaS) dont la spécialité est de cibler les comptes Microsoft 365 des salariés du secteur de la finance. Faisons le point sur cette menace.
Pour les cybercriminels, les comptes Microsoft 365 des utilisateurs représentent une cible privilégiée et l'occasion de mettre un pied dans le système d'information d'une organisation. L'accès à un compte Microsoft 365 donne généralement accès à des documents internes de l'entreprise, ainsi qu'à des e-mails, etc. Ce n'est donc pas étonnant de voir des plateformes de PhaaS s'intéresser particulièrement à ces comptes.
Phishing : un document PDF avec un QR code malveillant
Les chercheurs en sécurité de chez EclecticIQ ont fait la découverte d'ONNX Store, qui pourrait bien être le nouveau nom du kit de phishing Caffeine. "En février 2024, les analystes d'EclecticIQ ont découvert des campagnes de phishing ciblant les institutions financières.", peut-on lire dans le rapport d'EclecticIQ. Les employés de banques et de sociétés de financement privées sont notamment pris pour cible.
Pour tenter de piéger les utilisateurs, les pirates distribuent des e-mails de phishing comprenant une pièce jointe au format PDF. Cet e-mail vise à se faire passer pour le service RH de l'entreprise, en prétextant une bonne nouvelle : une augmentation de salaire. Mais, pour en savoir plus, l'utilisateur doit ouvrir le fichier PDF. Quant au document PDF, il contient un QR code malveillant et reprend le thème graphique d'Adobe ou de Microsoft. Cette technique permet de contourner de nombreux systèmes de protection.
Source : EclecticIQ
Lorsque l'utilisateur scanne le QR code avec son mobile, il est redirigé vers une fausse page d'authentification Microsoft 365. Il est invité à saisir ses identifiants et son code 2FA si l'authentification multifacteurs est utilisée. Dans la foulée, ces informations sont transmises aux cybercriminels et ils peuvent profiter du jeton d'authentification pour compromettre le compte de l'utilisateur.
La plateforme de phishing ONNX Store
Les cybercriminels opèrent par l'intermédiaire de canaux Telegram pour gérer toutes les opérations liées à ONNX Store, y compris pour assurer le support. Il y a également des bots pour répondre à certaines interrogations des affiliés.
Cette plateforme a été conçue pour être robuste et elle s'appuie notamment sur les services de Cloudflare, ce qui permet de bénéficier de plusieurs fonctions dont le proxy IP et le Captcha anti-bot. De plus, pour contourner les systèmes de protection et perturber les scans, du code JavaScript chiffré est utilisé sur la page de phishing.
Comme c'est souvent le cas, les cybercriminels affiliés peuvent personnaliser le template de phishing Microsoft 365 pour qu'il corresponde aux besoins de l'attaque en cours de préparation. Enfin, en fonction des fonctionnalités souhaitées, l'abonnement ONNX Store coûte entre 150 dollars et 400 dollars par mois. L'abonnement le plus coûteux intègre des statistiques sur les liens malveillants, ainsi que le vol de cookies 2FA.
Connexion
Avantages 
Inconvénients
