L'enseigne de prêt-à-porter française Zadig & Voltaire est victime d'une importante fuite de données : un cybercriminel a publié une base de données avec les données personnelles de plus de 600 000 clients. Faisons le point.
Rappel - Créée en 1997, Zadig & Voltaire est une marque française de prêt-à-porter, aussi bien pour les femmes que pour les hommes.
Ce mercredi 5 juin, au petit matin, un cybercriminel a publié sur un forum de hacking une base de données appartenant à l'enseigne de prêt-à-porter Zadig & Voltaire. Il s'agit de données publiées sur BreachForums, la principale "place de marché" pour l'achat et la revente de données issues de cyberattaques. Preuve que BreachForums est bien de retour après avoir été malmené par les forces de l'ordre ces dernières semaines.
Cette fuite de données contient les données personnelles de 638 726 clients de l'enseigne française. Selon les informations fournies par le cybercriminel à l'origine de la divulgation des données, ces données auraient été volées en novembre 2023. Ceci laisse entendre que la cyberattaque s'est déroulée dans les jours ou semaines précédant le vol de données.
À quoi correspondent ces données personnelles ?
Dans cette base de données, nous retrouvons diverses informations au sujet des clients de Zadig & Voltaire, notamment des noms et prénoms, des adresses e-mails, des numéros de téléphone, des adresses postales, ainsi que des dates de naissance. C'est typiquement le genre d'informations que l'on retrouve dans un fichier client.
Si vous êtes client de Zadig & Voltaire, nous vous recommandons de modifier le mot de passe de votre compte client, par précaution. Méfiez-vous également des e-mails que vous recevez, car une campagne de phishing pourrait être organisée à partir de ces informations.
En 2024, ce n'est pas la première enseigne de prêt-à-porter à subir une cyberattaque associée à une fuite de données. En avril 2024, c'est la marque "Le Slip français" qui a été victime d'un incident similaire. Un peu plus tôt dans l'année, c'était au tour d'une filiale de l'enseigne Benetton.
Dans cet article, nous allons découvrir comment automatiser les sauvegardes des zones DNS sur un contrôleur de domaine Active Directory.
Dans un environnement Microsoft, qu'il soit sous Active Directory ou non, le service DNS joue un rôle essentiel. Il assure la traduction des noms de machines en adresses IP et inversement, tout en permettant la résolution des noms de domaine externes, qu'ils soient sous forme d'alias ou non. Il est donc primordial de veiller à ce que ces zones DNS soient disponibles et à jour.
Cette disponibilité peut être assurée par le nettoyage régulier des zones DNS, dont nous discuterons prochainement, ou par la mise en place de sauvegardes régulières, qui réduiront la durée d'indisponibilité en cas de problème.
II. Intérêt de sauvegarder les zones DNS
La sauvegarde des zones DNS est essentielle pour restaurer une zone en cas de problèmes tels que des anomalies, des suppressions accidentelles ou des dysfonctionnements. De plus, elle permet de comparer facilement les différents enregistrements à l'aide de tableaux Excel ou de PowerShell.
Cas de figure :
Il peut arriver que des enregistrements statiques de serveurs soient supprimés de la zone, entraînant ainsi un dysfonctionnement.
De même, une erreur lors du nettoyage de la zone peut entraîner la suppression accidentelle d'enregistrements dynamiques, tels que ceux des clusters ou des objets enfants CNO (Cluster Name Oobject) avec des pointeurs SQL comme Always On, ce qui perturberait la production.
Dans de tels cas, une restauration est nécessaire.
Zone par défaut :
Par défaut, la zone principale est disponible dans le chemin suivant :
C:\windows\System32\DNS
Limite :
La sauvegarde des contrôleurs de domaine avec différents outils (Veeam, Commvault, Windows Backup) ne permet de sauvegarder que le fichier en cours.
Cela signifie que seule la dernière sauvegarde sera disponible. Par exemple, si la sauvegarde des VMs s'effectue le soir à 21h, vous perdriez toutes les modifications effectuées durant la journée en cas de restauration. Il est alors nécessaire de remonter la sauvegarde pour avoir accès à plusieurs versions des zones et explorer les enregistrements pour une comparaison.
Note : Il est à noter que les zones intégrées à l'AD sont déplacées dans la corbeille pour une durée correspondante au tombstone. Il est alors possible de restaurer ces zones après suppression seulement à l'aide des commandes PowerShell. La restauration des enregistrements seuls est un peu plus compliquée et sera traitée dans un prochain article.
III. Sauvegarde de zones DNS
La console DNS offre la possibilité d'exporter la zone sous différents formats tels que ".txt" ou ".csv". Cependant, cette méthode est réciproque à la zone sauvegardée présente dans le chemin par défaut, mais ne permet pas de restaurer toutes les zones.
De plus, il n'est pas pratique d'effectuer cela manuellement sur toutes les zones plusieurs fois par jour.
A. Utilisation des commandes
La commande Dnscmd
La commande Dnscmd, un outil en ligne de commande apparu dans Windows Server 2003, permet de gérer le DNS en ligne de commande.
Elle propose diverses actions de maintenance sur la zone DNS, telles que le nettoyage de la zone, la suppression du cache, et surtout l'exportation partielle ou complète de la zone. Malheureusement, cette commande a été dépréciée par Microsoft et n'est pas intégrée à PowerShell pour faciliter la gestion des sorties.
Une interface de ligne de commande pour la gestion des serveurs DNS. Cet utilitaire est utile dans les scripts des fichiers batch pour automatiser des tâches courantes de gestion DNS, ou pour effectuer une installation sans assistance simple et la configuration de nouveaux serveurs DNS sur votre réseau.
Différentes options sont disponibles. Voici quelques exemples.
# Définit l'heure actuelle sur tous les horodateurs dans une zone ou d'un nœud
Dnscmd /ageallrecords
# Efface le cache du serveur DNS
Dnscmd /clearcache
# Réinitialise la configuration du serveur ou une zone DNS
Dnscmd /config
Par ailleurs, DNSCMD permet d'exporter la configuration DNS à l'aide de la commande suivante :
Dnscmd /ZoneExport
Le problème, c'est que Dnscmd exporte toujours le fichier dans le même répertoire, ce qui peut entraîner l'écrasement de sauvegardes précédentes.
Il n'est pas possible d'enregistrer dans un autre dossier sans ajouter une action dans le script qui regroupera le contenu et modifiera ou déplacera le nom du dossier.
Pour pallier cette limite, Microsoft a introduit des commandes PowerShell permettant de mieux exploiter le DNS.
Les commandes PowerShell
La commande "Export-DnsServerZone" permet d'exporter une zone dans un dossier. Cependant, comme pour le Dnscmd, il n'est pas possible de changer le dossier racine de sauvegarde.
Pour effectuer une sauvegarde de toutes les zones, nous allons utiliser la commande PowerShell permettant de lister les zones DNS présentes, à savoir "Get-DnsServerZone". Ceci va nous permettre de créer un script de sauvegarde des zones DNS.
Nous exclurons les zones inverses loopback par défaut "0", "127" et "255" car elles ne contiennent pas d'enregistrement et n'existent pas de réseaux 255 ou 0. Ces enregistrements ne sont pas possibles et génèrent une erreur lors de la sauvegarde.
B. Script de sauvegarde
Le script permet de créer un dossier au format date et heure/minutes du jour pour sauvegarder les zones à l'intérieur, ce qui permet d'avoir plusieurs enregistrements par jour/semaine et évite l'écrasement. Généralement, cette partie n'est pas répliquée ni nettoyée.
La taille des zones DNS pour les grandes entreprises ne dépasse généralement pas quelques Ko, voire 4 ou 5 Mo, ce qui nous permet d'avoir plusieurs sauvegardes sans risque d'occuper trop d'espace sur le disque.
Intéressons-nous au code du script et à sa logique de fonctionnement.
La partie suivante permet de créer un dossier horodaté.
Le script nécessite les droits administratifs du domaine ou d'administrateur DNS pour effectuer la sauvegarde. La commande PowerShell ne permet pas d'effectuer la sauvegarde sur un serveur distant nativement, mis à part l'utilisation de la commande "Invoke-Script".
Il est alors judicieux de l'exécuter sur le contrôleur de domaine. Il n'est pas nécessaire de l'exécuter sur tous les contrôleurs de domaine si les zones sont répliquées. Idéalement le DC ayant le rôle PDC, car c'est celui qui orchestre le plus souvent les changements. Toutefois, le choix peut être décidé selon l'architecture de l'entreprise, notamment en cas d'un foret multi-domaine.
Le script est disponible sur GitHub, ce qui garantira sa maintenance et ses mises à jour, ainsi que d'éventuelles améliorations.
Pour exécuter le script, veuillez l'ouvrir ou copier son contenu à l'aide d'un éditeur ISE, puis cliquez sur "Exécuter".
Vous remarquerez dans la sortie le nom des zones sauvegardées.
Un dossier contenant les sauvegardes est créé dans le chemin par défaut.
Dans le dossier, vous trouverez les enregistrements sous format ".dns". Il est possible d'explorer ces fichiers à l'aide d'un éditeur de texte.
D. Automatisation des sauvegardes
La principale raison du développement du script est la sauvegarde automatisée. Pour cela, nous allons créer une tâche planifiée pour exécuter le script, à l'aide du "Planificateur de tâches" de Windows Server.
Voici les étapes à suivre :
Mettez d'abord le script dans un dossier accessible sur votre contrôleur de domaine (DC), tel que le dossier "Temp" ou tout autre dossier de votre choix. Dans notre exemple, nous utiliserons le dossier "C:\temp".
Ouvrez ensuite le Planificateur de tâches et choisissez : "Créer une nouvelle tâche".
Pour suivre les bonnes pratiques, nous avons créé un dossier "Scripts", mais vous pouvez choisir le dossier de votre choix pour la tâche planifiée.
Donnez un nom à la tâche.
Cochez également la case "Exécuter même si l'utilisateur n'est pas connecté". Cela nécessitera la saisie du mot de passe. Il est recommandé d'utiliser un compte de service de type gMSA ou tout autre compte dédié aux tâches/scripts d'automatisation sur les contrôleurs de domaine.
Dans l'onglet "Déclencheurs", cliquez sur "Nouveau".
Choisissez l'heure qui vous convient pour l'exécution de la sauvegarde automatique.
Dans notre cas, nous avons choisi d'exécuter la sauvegarde à 10h et à 15h. Cette planification permet de minimiser l'écart entre les enregistrements DNS sauvegardés et la sauvegarde complète du contrôleur de domaine prévue pour le soir à 21h. De cette manière, nous nous assurons d'avoir peu d'écart dans les enregistrements DNS tout au long de la journée, ainsi que lors de la sauvegarde principale.
Répétez l'opération pour créer un second déclencheur correspondant à la seconde sauvegarde.
Dans l'onglet "Actions" cliquez sur "Nouveau"
Choisissez ensuite "Démarrer un programme", saisissez "Powershell.exe" et dans les arguments, entrez :
-file <chemin complet vers votre script>
Validez ensuite par "OK".
Pour vérifier si le script s'est exécuté correctement, rendez-vous dans l'historique des tâches après avoir exécuté la tâche planifiée une première fois.
Votre contrôleur de domaine crée désormais automatiquement des sauvegardes de toutes vos zones DNS.
Nous verrons dans un prochain article comment restaurer une zone DNS à partir d'une sauvegarde.
V. Conclusion
La sauvegarde régulière des zones DNS permet de réduire les interruptions de service en cas de problème et soulage la charge sur les solutions de sauvegarde qui ne peuvent pas effectuer de sauvegarde en continu. Il est utile d'avoir plusieurs sauvegardes des zones DNS pour pouvoir les comparer facilement en cas de besoin à l'aide d'un fichier CSV ou Excel, ou pour récupérer une entrée supprimée.
Il est à noter que les zones intégrées dans l'Active Directory seront toujours disponibles et pourront être récupérées à partir d'une procédure différente, que nous aborderons dans un prochain article.
Dans ce tutoriel, je vais vous expliquer comment arrêter Debian 12 ou comment redémarrer Debian 12 à l'aide de la commande systemctl intégrée à Systemd. Deux actions basiques, mais indispensables.
Comme d'autres distributions, Debian 12 intègre Systemd et hérite par conséquent de nombreux outils pour manipuler le système. On retrouve notamment l'utilitaire "systemctl" qui va permettre de gérer les services, mais aussi l'alimentation du système, comme nous allons le voir.
Version originale de l'article : 14 avril 2021.
II. Commande pour arrêter Debian 12
Que ce soit pour arrêter ou redémarrer le système Debian 12, il faut disposer des droits nécessaires. Vous pouvez utiliser le compte "root" ou sinon "sudo" avec votre utilisateur, à condition d'avoir la délégation nécessaire pour utiliser ces commandes.
Pour arrêter Debian 12, on va utiliser l'option "poweroff", ce qui donne :
systemctl poweroff # ou sudo systemctl poweroff
Suite à l'exécution de cette commande, la machine va arrêter tous les processus et services dans le but de s'éteindre complètement. Disons qu'elle va se mettre hors tension. Par contre, si l'on utilise "halt" à la place de "poweroff", la machine va s'arrêter et interrompre l'exécution du système, mais sans s'éteindre complètement.
Voici la commande à titre indicatif, mais préférez celle ci-dessus :
systemctl halt # ou sudo systemctl halt
Enfin, pour planifier un arrêt, je n'ai pas connaissance d'une option avec "systemctl poweroff", ce qui nous obligerait à jouer avec une tâche planifiée... Mais ce ne sera pas nécessaire parce que vous pouvez utiliser la commande "shutdown" si elle est disponible sur votre système.
Il suffit de spécifier l'heure à laquelle vous souhaitez arrêter le système. Par exemple, pour éteindre le serveur à 23:00 :
shutdown --poweroff 23:00 # ou sudo shutdown --poweroff 23:00
La machine s'éteindre complètement à l'heure que vous le souhaitez !
Nous pourrions aussi planifier un arrêt de Debian dans 15 minutes, de cette façon :
shutdown -h +15
# ou
sudo shutdown -h +15
Voici le résultat obtenu :
Si vous souhaitez annuler un arrêt planifié, vous pouvez utiliser la commande suivante :
shutdown -c
# ou
sudo shutdown -c
III. Commande pour redémarrer Debian 12
Dans le même esprit, on va simplement remplacer "poweroff" par "reboot" pour redémarrer Debian 12 :
systemctl reboot # ou sudo systemctl reboot
Vous pouvez tout à fait planifier un redémarrage à une heure spécifique :
shutdown -r 23:00
# ou
sudo shutdown -r 23:00
Mais également planifier un redémarrage dans 15 minutes :
shutdown -r +15
# ou
sudo shutdown -r +15
IV. Conclusion
Quelques commandes très simples, mais qu'il faut connaître ! Pensez à utiliser l'option "poweroff" plutôt que l'option "halt" qui n'éteint pas complètement la machine. Bien entendu, il est possible d'arrêter ou redémarrer Debian à partir de l'interface graphique, à condition qu'un environnement de bureau soit installé. L'image ci-dessous illustre la procédure.
Dans ce tutoriel, nous allons voir ensemble une astuce sous Linux : comment compresser et décompresser les fichiers tar.bz2 sous Linux, notamment Debian, Ubuntu ou CentOS. Une archive tar.bz2 s'appuie sur l'algorithme de compression bzip2. Cet algorithme est plus puissant, le poids des archives sera inférieur vis-à-vis du gzip mais la création de l'archive avec ce format nécessite plus de ressources système.
Personnellement, c'est surtout la commande pour décompresser une archive de ce type que j'utilise fréquemment, plutôt que la création d'une archive dans ce format. Néanmoins, nous verrons les deux opérations.
Pour créer l'archive via l'algorithme bzip2, nous allons utiliser la commande tar avec plusieurs options, notamment l'option "j" pour spécifier l'algorithme bzip2, l'option "c" pour indiquer qu'il s'agit d'une archive à créer, l'option "f" indique que le nom de l'archive suit, tandis que l'option "v" sert à activer le mode verbeux.
Voici un exemple pour créer l'archive "MonArchive.tar.bz2" en intégrant dans cette archive "MonFichier1.txt" et "MonFichier2.txt" :
tar -jcvf MonArchive.tar.bz2 MonFichier1.txt MonFichier2.txt
Il est à noter que l'option "-r" ou "--append" peut-être utilisée pour ajouter des fichiers à une archive existante. Sinon, l'archive est écrasée si elle existe déjà.
Passons maintenant à la phase de décompression...
III. Décompresser tar.bz2 sous Linux
Comment décompresser une archive tar.bz2 ? Là encore, nous allons utiliser la commande tar avec les options adéquates.
Avant même de décompresser l'archive tar.bz2, sachez que nous pouvons regarder son contenu. Ceci permet d'avoir un aperçu des données présentes dans l'archive avant même de la décompresser.
tar -tvjf MonArchive.tar.bz2
Ensuite, nous pouvons passer à l'étape suivante : décompresser cette archive. Pour cela, l'option "j" est indispensable pour spécifier qu'il s'agit d'une archive compressée via l'algorithme bzip2. Ensuite, nous avons les options classiques, notamment "x" pour l'extraction.
Voici un exemple pour extraire le contenu de l'archive nommée "MonArchive.tar.bz2":
tar -jxvf /home/MonArchive.tar.bz2
Le contenu de l'archive sera extrait dans le dossier courant au niveau du shell Unix. Si l'on veut décompresser le contenu de l'archive vers un répertoire de destination spécifique, par exemple "/tmp/", nous devons utiliser une option supplémentaire :
tar -jxvf /home/flo/MonArchive.tar.bz2 -C /tmp/
Remarque :
Si vous obtenez un message d'erreur du type "tar (child): bzip2 : exec impossible: Aucun fichier ou dossier de ce type" lors de l'extraction, c'est qu'il vous manque le paquet "bzip2" sur votre machine. Voici comment l'installer sur CentOS avec yum :
yum install bzip2
Ensuite, vous pouvez réessayer d'extraire les données. Il ne vous reste plus qu'à exploiter vos données ! Si vous avez besoin d'aide pour utiliser une option supplémentaire, je vous invite à lire la page man de tar.
IV. Conclusion
Voilà, nous avons appris les bases pour compresser et décompresser des fichiers tar.bz2 sous Linux en utilisant la commande tar, décidément très utile sur Linux lorsqu'il s'agit de manipuler des archives compressées. Nous avons vu comment créer une archive, afficher son contenu avant de la décompresser, et bien sûr comment décompresser cette archive.
Ce mardi 4 juin 2024 sera une journée à oublier pour OpenAI puisque son chatbot ChatGPT a été indisponible pendant plusieurs heures. OpenAI parle d'une panne majeure. Voici ce que l'on sait.
Si vous utilisez ChatGPT au quotidien, vous l'avez surement constaté : ChatGPT était inaccessible une bonne partie de la journée du 4 juin 2024. En France, nous avons pu constater ce problème dans le courant de la matinée et jusqu'en fin d'après-midi, le service étant partiellement de retour en milieu de journée. Il s'agissait bien d'une panne mondiale.
Les nombreux signalements effectués sur le site DownDetector montre bien ce phénomène avec deux vagues de signalements :
Du côté d'OpenAI, on estime que cette panne majeure a perturbé l'accès à ChatGPT pendant 5 heures et 29 minutes. C'est en tout cas ce qui est précisé sur la page où l'on peut obtenir l'état des différents services de l'entreprise américaine. Voici un aperçu :
Que s'est-il passé ?
"Nous avons connu une panne majeure qui a eu un impact sur tous les utilisateurs de tous les plans de ChatGPT. L'impact incluait tous les services liés à ChatGPT. L'impact n'incluait pas platform.openai.com ou l'API.", peut-on lire sur le site d'OpenAI. Cela signifie que cette panne a eu un impact sur tous les utilisateurs de ChatGPT : ceux qui l'utilisent gratuitement, et ceux qui paient un abonnement à ChatGPT Plus.
Les utilisateurs ont pu constater différents messages d'erreurs : "Bad gateway", "ChatGPT is at capacity right now" ou encore une page blanche.
Néanmoins, difficile de répondre à la question "Que s'est-il passé ?" car OpenAI n'a pas donné la moindre précision sur l'origine de cette panne... Dommage.
Désormais, ChatGPT fonctionne de nouveau ! Si vous ne parvenez pas à y accéder, rafraichissez le cache de votre navigateur. Utilisez le raccourci clavier "CTRL + F5" sur votre PC, au sein de la fenêtre du navigateur.
Un nouvel ensemble de 361 millions d'adresses e-mails a été ajouté au service en ligne Have I Been Pwned ! De quoi vous permettre de vérifier si vos identifiants sont présents dans cette liste d'informations collectées à partir de canaux Telegram. Faisons le point.
Un chercheur en sécurité anonyme a transféré à Troy Hunt, le créateur du site Have I Been Pwned (HIBP), un ensemble de fichiers représentants 122 Go de données. Cet ensemble de données correspond à plus de 1 700 fichiers provenant de 518 canaux Telegram différents. Il s'agit d'une action de scraping("moissonnage") effectuée par ce chercheur en sécurité.
Source : troyhunt.com
Au total, ces fichiers contiennent pas moins de 361 millions d'adresses e-mails uniques, dont 151 millions d'adresses e-mails ajoutées pour la première fois sur le site Have I Been Pwned !
À quoi correspondent ces identifiants ? Sont-ils légitimes ?
Ces identifiants peuvent provenir d'une fuite de données suite à une intrusion sur un système par un cybercriminel, à la collecte d'identifiants effectuée par un malware infostealer, à du credential stuffing, etc... Ce qui est certain, c'est que ces identifiants circulent sur des canaux cybercriminels de Telegram. Les pirates n'hésitent pas à divulguer ces identifiants pour accroître leur popularité.
Les données comprennent des identifiants de connexion regroupés par service (par exemple, Gmail, Yahoo, etc.) ou par pays. Aucun site ou service n'est susceptible d'être épargné, notamment s'il s'agit d'un infostealer qui a exfiltré les mots de passe enregistrés dans un navigateur Web.
Tous les fichiers correspondant à cette fuite de 361 millions d'identifiants ne sont pas structurés de la même façon. Il y a des combinaisons d'adresse e-mail et de mot de passe, tandis que d'autres fichiers intègrent l'URL du service en plus de l'adresse e-mail et du mot de passe ! Certains fichiers contiennent des dizaines de millions de lignes.
Source : troyhunt.com
Troy Hunt a passé du temps à analyser ces données, notamment pour déterminer si elles sont légitimes, bien qu'il soit impossible de vérifier l'ensemble des identifiants.
Le résultat est clair : de nombreuses adresses e-mails présentes concernées par une fuite sont correctement associées au site web mentionné dans les fichiers de données fournit par le chercheur en sécurité. Autrement dit, les identifiants distribués sur ces canaux Telegram sont légitimes, au moins pour une partie.
Pour en savoir plus, vous pouvez consulter l'article publié par Troy Hunt. Pour vérifier si vous êtes affecté, rendez-vous sur le service de vérification HIBP.
Microsoft semble enfin prêt à abandonner le protocole d'authentification NTLM dans Windows et Windows Server. L'entreprise américaine estime que ce protocole est obsolète et que les développeurs doivent entamer une transition vers Kerberos. Voici ce qu'il faut savoir.
Le protocole NTLM est très utilisé par les différentes versions de Windows et Windows Server, et pour cause, il a été introduit en 1993 au sein de Windows NT et il est toujours très utilisé aujourd'hui. Néanmoins, ce n'est pas un secret : le protocole d'authentification NTLM est exploitable au sein différents scénarios d'attaques, notamment en environnement Active Directory, et il représente un véritable point faible dans le SI des organisations.
Microsoft a conscience de ces problèmes de sécurité et va abandonner progressivement le protocole NTLM au profit d'alternatives plus sécurisées, notamment Kerberos. "Toutes les versions de NTLM, y compris LANMAN, NTLMv1 et NTLMv2, ne font plus l'objet d'un développement actif et sont obsolètes.", peut-on lire sur le site de Microsoft.
Remarque : l'authentification NTLM est vulnérable à plusieurs attaques telles que "NTLM Relay" et "Pass-the-hash".
Après l'annonce récente de la fin de VBScript dans Windows, Microsoft semble bien décidé à faire du ménage dans ses systèmes d'exploitation pour en améliorer la sécurité.
Est-ce que Windows Server 2025 prendra toujours en charge NTLM ?
C'est peut-être une question que vous vous posez en lisant cet article. Elle est légitime puisqu'il n'est pas aussi simple de se séparer du protocole NTLM... Rassurez-vous, l'abandon de NTLM sera effectué en plusieurs étapes et Windows Server 2025 va supporter NTLM, tout comme la prochaine version majeure de Windows.
"L'utilisation de NTLM continuera à fonctionner dans la prochaine version de Windows Server et dans la prochaine version annuelle de Windows.", précise l'entreprise américaine. Malgré tout, il y a du changement.
Dans un autre article publié récemment au sujet de la sécurité de Windows 11, Microsoft évoque aussi la fin à venir de NTLM : "La dépréciation de NTLM a été une demande importante de notre communauté de sécurité, car elle renforcera l'authentification des utilisateurs, et la dépréciation est prévue pour la seconde moitié de 2024."
NTLM et Kerberos : le passage au mode "Negotiate"
Microsoft souhaite que l'authentification Kerberos soit prioritaire vis-à-vis de NTLM. Autrement dit, lorsqu'il n'y a pas le choix, notamment si le périphérique ou l'application source ne supporte pas NTLM.
Cela signifie qu'il ne doit plus y avoir d'appels en direct vers NTLM, mais des appels de type "Negotiate" afin que le protocole Kerberos soit utilisé s'il est disponible. Si ce n'est pas le cas, le NTLM est utilisé en guise de solution de replis. C'est le principe de l'authentication fallback. L'objectif étant de permettre aux entreprises d'effectuer une transition en douceur.
Ceci signifie également que les développeurs vont devoir adapter leurs applications, peut-être en s'intéressant à la fonction "AcquireCredentialsHandle" qui intègre plusieurs modes (NTLM, Negotiate, Kerberos, etc.).
Enfin, si vous souhaitez vous débarrasser de NTLM dans votre organisation et préparer ces futurs changements, vous pouvez consulter le tutoriel mentionné ci-dessous. La première phase d'audit vous permettra d'identifier les équipements et applications faisant encore usage du protocole NTLM.
Dans ce tutoriel, nous allons apprendre à installer et à configurer la solution Stirling PDF à l'aide d'un conteneur Docker. Stirling PDF est une puissante boite à outils gratuite et open source pour gérer et manipuler vos fichiers PDF localement.
Accessible à partir d'un navigateur Web, cette solution va vous permettre d'effectuer des actions diverses et variées sur vos fichiers PDF, tout en gardant la maitrise de vos données. En effet, avec Stirling PDF, tout fonctionne entièrement sur votre machine locale, garantissant la confidentialité et le contrôle de vos données. Ceci pourra éviter que vos utilisateurs s'appuient sur des outils en ligne, au risque qu'il y ait une fuite de données par la même occasion.
Voici quelques-unes des fonctionnalités disponibles :
Fusionner ou diviser des documents PDF
Extraire des pages d'un document PDF
Réorganiser ou pivoter les pages d'un document PDF
Convertir des fichiers sources en PDF (image vers PDF, HTML vers PDF, Markdown vers PDF, etc.)
Convertir un fichier PDF dans un autre format (PDF vers image, PDF vers Word, PDF vers HTML, etc.)
Compresser un document PDF
Extraire les images ou ajouter une image
Modifier les métadonnées d'un document PDF
Signer un document PDF (avec un certificat numérique ou une image de signature)
Ajouter ou supprimer le mot de passe d'un PDF
Ajouter un filigrane sur un document PDF
Visionneuse de documents PDF
Reconnaissance de caractères (OCR)
Etc...
Toutes ces fonctionnalités sont gratuites puisque cette application est libre et open source. Il intègre de nombreuses fonctionnalités dont certaines parfois réservées à des outils premium (payants).
Stirling PDF peut être installé sur une machine Windows, en local, car des exécutables sont proposés sur le GitHub officiel. Ceci implique l'installation de Java sur la machine. Pour ma part, je préfère m'orienter vers un déploiement dans un conteneur Docker, sur un NAS Synology, afin de mettre à disposition l'application à X utilisateurs. Ceci est d'autant plus pertinent que l'application est accessible à partir d'un navigateur, via l'URL de votre choix.
Pour en savoir plus ou télécharger l'exécutable pour Windows, consultez le GitHub du projet :
Pour effectuer l'installation sur un NAS Synology, nous allons utiliser l'application "Container Manager" (Docker) afin de pouvoir utiliser un fichier de configuration Docker Compose. Ceci vous permet d'utiliser cette configuration facilement pour déployer le conteneur sur d'autres plateformes.
Tout d'abord, nous allons créer l'arborescence de dossiers pour accueillir les données de Stirling PDF. Sous le répertoire "docker", voici les répertoires à créer :
stirling-pdf
trainingData
extraConfigs
Le répertoire "trainingData" est utile uniquement si vous envisagez d'utiliser la fonction liée à l'OCR.
Ce qui donne :
Ensuite, lancez l'application "Container Manager" (Docker) sur votre NAS Synology. Créez un nouveau projet :
Projet > Créer
Commencez par donner un nom au projet, par exemple "stirling-pdf". Puis, indiquez le chemin correspondant au dossier précédemment créé, à savoir "/docker/stirling-pdf".
Puis, sélectionnez "Créer un fichier docker-compose.yml" afin de pouvoir personnaliser le déploiement de ce projet basé sur l'image Docker "frooodle/s-pdf" dans sa dernière version (vis-à-vis du tag "latest"). Voici un aperçu du code de configuration Docker Compose :
Pour cet exemple, je vais utiliser la configuration Docker Compose suivante :
Le conteneur sera accessible sur le port "8080" puisqu'il est mappé sur le port "8080:8080" (port externe côté NAS : port interne dans le conteneur). Vous pouvez adapter cette valeur (premier numéro de port) si besoin, parce qu'un seul conteneur peut occuper chaque port.
Sous "volumes", indiquez les chemins vers les répertoires "trainingData" et "extraConfigs" créé précédemment. Les répertoires "customFiles" et "Logs" sont facultatifs. Ici, ces deux lignes sont commentées.
La directive "SECURITY_ENABLE_LOGIN=true" sert à activer la page de connexion sur Stirling PDF. Autrement dit, il conviendra de s'authentifier avant d'accéder à l'application. Ceci implique aussi de configurer la directive "DOCKER_ENABLE_SECURITY=true".
La directive "SECURITY_INITIALLOGIN_USERNAME=pdf" sert à créer un utilisateur par défaut nommé "pdf"
La directive "SECURITY_INITIALLOGIN_PASSWORD=IT-Connect" sert à attribuer le mot de passe "IT-Connect" à l'utilisateur par défaut.
La directive "INSTALL_BOOK_AND_ADVANCED_HTML_OPS=false" sert à indiquer qu'il ne faut pas télécharger l'application Calibre sur Stirling PDF. Elle permet la conversion de PDF vers/depuis un livre et la conversion HTML avancée. Activez cette option si besoin.
La directive "LANGS=fr_FR" sert à précise la langue pour la bibliothèque de polices personnalisées à installer pour la conversion de documents. Dans tous les cas, l'interface de l'application sera disponible en plusieurs langues, dont le français.
Ci-dessous, un aperçu en tant qu'image.
Une fois que c'est fait, poursuivez jusqu'à la fin de l'assistant pour lancer la création du projet. L'image Docker va être téléchargée et le conteneur configuré puis exécuté.
L'application Stirling PDF est désormais exécutée au sein du conteneur Docker. Stirling PDF est une application assez gourmande en RAM, probablement à cause de son lien étroit avec Java. Sur mon NAS, le conteneur consomme entre 400 et 700 Mo de RAM, ce qui n'est pas neutre.
Dans la suite de cet article, nous verrons comment utiliser et configurer Stirling PDF.
III. Découverte de Stirling PDF
A. Première connexion
L'accès à l'application s'effectue à partir d'un navigateur Web. Il suffit de préciser l'adresse IP ou le nom de domaine du NAS, suivi du port "8080", comme ceci :
http://192.168.1.148:8080/
Si vous avez activé l'authentification, vous devez vous connecter avec le compte créé par défaut (selon les informations définies dans le Docker Compose).
Voilà, vous êtes connecté à Stirling PDF ! Vous pouvez profiter de l'ensemble des outils intégrés à cette fabuleuse boite à outils !
Que faire ensuite ?
B. Gestion des utilisateurs
Avant d'évoquer les outils en eux-mêmes, je vous recommande de changer le mot de passe du compte utilisateur créé par défaut. Vous pouvez aussi créer d'autres utilisateurs. Pour accéder à la gestion de votre compte, cliquez sur "Paramètres" en haut à droite (icône en forme de roue crantée) puis cliquez sur "Paramètres du compte".
Ici, vous pourrez changer le nom d'utilisateur et le mot de passe du compte.
Si vous descendez tout en bas de la page, vous pourrez cliquer sur le bouton "Paramètres d'administration - Voir et ajouter des utilisateurs". Ceci vous permet de créer d'autres comptes utilisateurs, avec différents niveaux de permissions : administrateur, utilisateur, etc.
Libre à vous de créer un ou plusieurs comptes. L'intérêt étant principalement de gérer l'accès à l'application. À ma connaissance, Stirling PDF n'a pas vocation à permettre à chaque utilisateur de gérer une bibliothèque de documents PDF.
À tout moment, vous pourrez créer, modifier ou supprimer des utilisateurs.
C. Utilisation des outils
Nous n'allons pas passer en revue l'ensemble des outils, car l'interface est simple d'utilisation et il y a énormément de possibilités. Il vous suffit de choisir l'outil de votre choix à partir du menu principal, ou de la page d'accueil. Vous pouvez aussi utiliser la fonction de recherche pour gagner du temps, ainsi que mettre certains outils en favoris.
La fonction "Fusionner plusieurs PDF" vous permet, comme son nom l'indique, de fusionner (concaténer) plusieurs documents PDF en un seul fichier.
Il y a également un outil multifonction qui donne accès à quelques fonctions basiques dans une même interface. Vous chargez un fichier, et ensuite, vous pouvez intervenir des pages, effectuer des rotations de pages, etc... Selon vos besoins.
À vous d'explorer les différents outils au fur et à mesure que les besoins se présenteront.
D. Aller plus loin dans la configuration
Est-ce qu'il y a des paramètres de configuration supplémentaires ? La réponse est oui. La configuration de Stirling PDF s'appuie sur un fichier au format YAML nommé "settings.yml". Il est situé à cet emplacement :
/docker/stirling-pdf/extraConfigs/settings.yml
Il permet de configurer l'application plus en profondeur. Nous pouvons définir un nom personnalisé pour l'application, mais aussi configurer l'authentification OAuth2. Ceci peut s'avérer utile pour s'appuyer sur un service tiers pour l'authentification des utilisateurs (Google, GitHub, KeyCloak).
Nous constatons aussi la présence de deux options ayant pour objectif de protéger l'interface de connexion des attaques par brute force. En effet, il y a un verrouillage de comptes activé par défaut : 5 mauvaises tentatives d'authentification à suivre vont engendrer le verrouillage d'un compte pendant 2 heures.
loginAttemptCount: 5 # lock user account after 5 tries
loginResetTimeMinutes: 120 # lock account for 2 hours after x attempts
Voici un aperçu de ce fichier de configuration que vous pouvez modifier selon vos besoins :
Pour aller plus loin, vous pouvez aussi publier l'application sur un nom de domaine à l'aide du reverse proxy de DSM :
D'une part, nous avons appris à installer Stirling PDF dans un conteneur Docker à partir d'un NAS Synology, et d'autre part, nous avons vu comment configurer et utiliser rapidement cette boite à outils PDF.
Stirling PDF est une excellente application qui a totalement sa place dans les entreprises, car elle répond à de nombreux besoins des utilisateurs. Le déploiement est relativement rapide et il n'y a aucun coût de licence à prévoir !
Kaspersky a publié un nouvel outil gratuit pour analyser les systèmes Linux à la recherche de cybermenaces connues ! Le nom de cet outil : Kaspersky Virus Removal Tool (KVRT). Faisons le point.
Disponible depuis plusieurs années, l'outil Kaspersky Virus Removal Tool était jusqu'alors réservé aux utilisateurs de Windows. L'éditeur Kaspersky a pris la décision de développer une version pour Linux, désormais disponible.
Kaspersky estime que les entreprises ne protègent pas suffisamment leurs machines sous Linux, pensant qu'elles sont immunisées contre les menaces lorsqu'une machine est exécutée avec une distribution Linux. "C'est pourquoi nous avons lancé un produit gratuit dédié qui permet de vérifier les ordinateurs Linux contre les menaces modernes : Kaspersky Virus Removal Tool (KVRT) pour Linux.", peut-on lire sur le site de Kaspersky.
À quoi sert Kaspersky Virus Removal Tool pour Linux ?
Ce nouvel outil ne surveille pas le système en temps réel, mais il est plutôt là pour effectuer une analyse sur une machine à la recherche de menaces déjà présentes. Autrement dit, il sert à effectuer une recherche de logiciels malveillants sur Linux, tout en proposant le nettoyage des menaces détectées. "Il peut détecter à la fois les logiciels malveillants et les adwares, ainsi que les programmes légitimes pouvant être utilisés pour des attaques.", précise Kaspersky.
Pour rechercher les menaces, Kaspersky Virus Removal Tool effectue une analyse en profondeur du système puisqu'il va s'intéresser à tous les fichiers du système, mais pas seulement. Kaspersky apporte des précisions à ce sujet : "Notre application peut analyser la mémoire système, les objets de démarrage, les secteurs d'amorçage et tous les fichiers du système d'exploitation à la recherche de logiciels malveillants connus. Elle analyse les fichiers de tous les formats, y compris ceux archivés."
Comment utiliser Kaspersky Virus Removal Tool sur Linux ?
Cet outil est compatible avec différentes distributions Linux, dont Debian, AlmaLinux, Oracle Linux, Ubuntu, ou encore Red Hat Enterprise Linux. La liste complète des distributions disponibles et des prérequis est disponible sur cette page.
Il doit être téléchargé et exécuté depuis la machine sur laquelle l'analyse doit être effectuée. Kaspersky explique qu'il s'agit d'une application portable, qui ne nécessite pas d'installation. Il est également précisé que la base de l'application n'est pas mise à jour de façon automatique : il convient de télécharger la dernière version, pour détecter les menaces les plus récentes, directement depuis le site de l'éditeur.
Cette application est adaptée aux machines Linux avec ou sans interface graphique : "L'application peut être exécutée via une interface graphique ou via une ligne de commande. Mais vous ne pouvez la lancer que manuellement — il est impossible de configurer une analyse programmée.", peut-on lire.
Enfin, pour bénéficier d'une analyse complète du système, il est recommandé de lancer l'outil à partir du compte "root" ou d'un compte privilégié (via "sudo"). Sinon, l'outil pourrait passer à côté de certaines menaces s'il ne peut pas analyser certaines parties de la machine à cause d'un manque de permissions.
Pour en savoir plus, vous pouvez consulter cette page, tandis que le téléchargement s'effectue à partir de cette page en cliquant sur le lien "Show other platforms".
Dans ce tutoriel, nous allons voir comment configurer une adresse IP statique sur un système Ubuntu 24.04 ou Debian 12 à l'aide de Netplan. Cette opération basique est essentielle pour qu'une machine soit en mesure de se connecter au réseau local, et ainsi accéder à Internet. L'attribution d'une adresse IP fixe ou statique est une action de configuration courante sur les serveurs.
Pour suivre ce tutoriel, vous devez disposer d'un accès "root" à la machine ou d'un utilisateur ayant accès à "sudo" afin de disposer de suffisamment de privilèges.
II. Qu'est-ce que Netplan sous Linux ?
Netplan est un outil de configuration du réseau sous Linux, positionné au dessus des gestionnaires de configuration réseau "systemd-networkd" et "NetworkManager.
Netplan est disponible depuis plusieurs années sur Ubuntu, mais aussi Debian (non installé par défaut) et son fichier de configuration déclaratif au format YAML va permettre de configurer le réseau sur la machine par l'intermédiaire du gestionnaire réseau ("NetworkManager" ou "systemd-networkd"). La configuration décrite au format YAML sera générée au format attendue par le gestionnaire de réseau utilisé par le système.
C'est une alternative à la modification du fichier "/etc/network/interfaces" évoquée dans cet article :
Remarque : Netplan est l'outil de configuration réseau par défaut sur Ubuntu depuis la version 17.10. Actuellement, nous sommes en version 24.04. Sur Debian 12, il est intégré sur certaines images de fournisseurs Cloud, mais il n'est pas installé par défaut dans l'image officielle.
II. Comment installer Netplan sur Debian ?
Sur Ubuntu, Netplan est installé par défaut puisqu'il sert à gérer le réseau. Sur Debian, notamment Debian 12, ce n'est pas le cas. Pour installer Netplan, voici les commandes à exécuter :
Pour mettre en place des configurations réseau complexes avec Netplan, Open vSwitch doit être installé sur la machine. Il n'est pas utile pour configurer une adresse IP statique sur une ou plusieurs interfaces, ou simplement pour configurer une interface en DHCP.
III. Configuration réseau avec Netplan
Sur Ubuntu, la configuration réseau se fait principalement via Netplan pour les versions récentes. Nous allons modifier le fichier de configuration Netplan pour définir notre adresse IP statique.
Ouvrez un terminal et exécutez la commande suivante pour éditer le fichier de configuration (sous Debian, ce fichier doit être créé) :
Ajoutez les lignes indiquées ci-dessous dans le fichier pour configurer votre adresse IP statique.
Ceci va permettre de configurer l'interface réseau "ens33" avec l'adresse IP statique "192.168.14.130/24", la passerelle par défaut "192.168.14.2", les serveurs DNS "1.1.1.1" et "9.9.9.9" et le domaine de recherche "it-connect.local". Nous voyons bien que ce fichier de configuration utilise le format YAML.
L'instruction "renderer" sert à indiquer le nom du backend à utiliser pour configurer le réseau, soit NetworkManager, soit "networkd" de Systemclt.
Quand c'est fait, enregistrez et fermez ce fichier.
Note : sur Debian, continuez d'utiliser le fichier "/etc/resolv.conf" pour gérer le DNS, car Netplan semble récupérer les informations dans ce fichier, malgré la déclaration des DNS dans le fichier YAML. Si vous savez comment déléguer la gestion du DNS à Netplan, je suis preneur de l'information.
Puis, nous allons modifier les permissions sur ce fichier de configuration. Sinon, Netplan renverra l'avertissement "Permissions for /etc/netplan/01-network-manager-all.yamlare too open. Netplan configuration should NOT be accessible by others." au moment d'appliquer la configuration (ceci n'empêche pas la configuration de s'appliquer).
Désormais, nous devons appliquer les changements pour qu'ils prennent effet. Utilisez les commandes suivantes pour générer la configuration et l'appliquer auprès du gestionnaire de réseau du système :
sudo netplan generate
sudo netplan apply
Cette commande reconfigure toutes les interfaces réseau mentionnées dans le fichier de configuration. Si tout est correct, votre interface réseau utilisera maintenant l'adresse IP statique que vous avez définie. Sinon, un message d'erreur est susceptible d'être retourné dans la console.
Sachez que vous pouvez tester la configuration avant de l'appliquer :
sudo netplan try
V. Comment vérifier la configuration ?
Pour afficher et vérifier votre nouvelle configuration réseau, vous pouvez utiliser les options spécifiques de Netplan, à la place de la traditionnelle commande "ip a". Voici plusieurs commandes pour afficher la configuration complète ou celle d'une carte réseau spécifique.
sudo netplan get
sudo netplan status ens33
sudo netplan status --all
Voici un aperçu du résultat obtenu. Nous pouvons constater que l'interface "ens33" est bien gérée par Netplan par l'intermédiaire de NetworkManager.
L'alternative, ce serait d'utiliser "ip address" comme ceci :
ip a show ens33
Si la configuration n'est pas correcte, essayez le mode debug lors de l'application de la nouvelle configuration :
sudo netplan --debug apply
VI. Conclusion
Vous savez maintenant configurer une adresse IP statique sur Ubuntu ou Debian à l'aide de l'outil Netplan ! Pour toute modification future, vous pouvez modifier le fichier de configuration Netplan et réappliquer les changements avec des deux commandes appropriées, comme nous l'avons fait dans cet exemple.
Montrer que les ransomwares ne sont pas invincibles, voilà la devise de l'outil open source RansomLord ! Cet outil de cybersécurité est capable de détecter et de neutraliser les ransomwares avant même que les données ne soient chiffrées ! Comment est-ce possible ? Voici ce qu'il faut savoir !
Développé par John Page alias "hyp3rlinx", RansomLord est un outil ingénieux et innovant qui a pour objectif de venir court-circuiter le processus de chiffrement de nombreux ransomwares, y compris les plus redoutables. Ce nouvel outil anti-ransomware disponible sur GitHub est une nouvelle arme à disposition des entreprises et des particuliers dans la lutte contre les ransomwares ! Lors d'une attaque, le ransomware est neutralisé avant même de pouvoir chiffrer les données grâce au piège tendu par RansomLord.
Pour cela, RansomLord se présente comme une solution proactive pour faire face aux ransomwares. En effet, il va venir interférer avec le ransomware lors du processus de "pre-encryption" lorsque la menace va chercher à charger des bibliothèques (DLL) sur le système Windows. Il crée ses propres versions de DLL, que le ransomware va charger, et il va ainsi pouvoir mettre fin à l'exécution du ransomware grâce à un code spécial intégré dans les DLL de RansomLord. Autrement dit, il utilise la technique de "DLL hijacking", parfois elle-même utilisée par les cybercriminels !
Source : GitHub - RansomLord
La version 3.1 de RansomLord, publiée il y a quelques jours, est capable de mettre fin au processus de nombreux ransomwares, dont : LockBit, WannaCry, HelloKitty, BlackCat (ALPHV), Royal, ainsi que d'autres moins connus tels que StopCrypt, RisePro, RuRansom, ou encore MoneyMessage.
"RansomLord intercepte désormais les ransomwares testés par 49 groupes de menaces différents et y met fin.", peut-on lire sur le GitHub officiel. Grâce à des mises à jour régulières, l'auteur ajoute la prise en charge de nouveaux ransomwares.
Depuis plusieurs années, les ransomwares représentent une menace croissante pour les entreprises et les particuliers. D'ailleurs, le dernier rapport sur les menaces publié par Red Canary indique que les ransomwares sont la principale menace de ces derniers mois.
VirtualGHOST, c'est le nom d'un nouvel outil publié par CrowdStrike dont l'objectif de mettre en évidence ce que l'on pourrait appeler des machines virtuelles fantômes, cachées sur les hôtes VMware ESXi. Leur présence fait suite à une intrusion par un attaquant. Faisons le point !
À plusieurs reprises, les équipes de CrowdStrike ont identifié des machines virtuelles suspectes sur des infrastructures VMware. Suspectes, car il s'agit de machines virtuelles cachées, en cours d'exécution, et invisibles à partir de l'interface utilisateur utilisée pour administrer la plateforme VMware.
Autrement dit, la VM créée par les attaquants n'apparaît pas dans l'inventaire de VMware ESXi, ni dans celui du vCenter. Pour démarrer la machine virtuelle de façon discrète, l'attaquant doit opérer à partir de la ligne de commande d'un hyperviseur ESXi compromis. En réponse à cette nouvelle technique émergente, l'entreprise américaine CrowdStrike a développé un outil de détection nommé VirtualGHOST ! C'est d'ailleurs le surnom donné par CrowdStrike à ces fameuses machines virtuelles.
Cet outil, disponible sur GitHub, s'appuie sur un script PowerShell nommé "Detect-VirtualGHOST.ps1" qui compare la liste des machines virtuelles enregistrées dans l'inventaire avec celles qui sont effectivement allumées. Ceci permet d'identifier les machines en cours d'exécution, mais non enregistrée sur l'hôte. Lorsqu'une VM suspecte est détectée, l'outil collecte des informations supplémentaires à son sujet, notamment la configuration réseau.
Ce script s'utilise depuis un poste de travail ou un serveur distant et nécessite la présence du module VMware PowerCLI, ce dernier permettant d'exécuter des commandes "esxcli" et donc de vérifier l'état des machines virtuelles.
Remarque : pour fonctionner, le script Detect-VirtualGHOST.ps1 attend deux informations. Le nom DNS du serveur à analyser ou son adresse IP, ainsi que des identifiants pour s'authentifier sur l'API de management VMware.
Voici un exemple de sortie mettant en évidence la présence d'une VM cachée :
Cet outil a été testé par CrowdStrike sur VMware vCenter 8.0.2, ainsi que plusieurs versions de VMware ESXi (6.5.0, 7.0.3, 8.0.0).
Pour plus de détails, vous pouvez consulter le dépôt GitHub de CrowdStrike :
Compte tenu des nombreuses menaces capables de compromettre les hyperviseurs VMware ESXi, il peut s'avérer judicieux d'exécuter cet outil pour analyser son infrastructure.
Le "Red Canary’s 2024 Threat Detection Report" offre une analyse exhaustive des cybermenaces actuelles, détaillant les principales techniques d'attaque et fournissant des recommandations cruciales pour renforcer la cybersécurité des entreprises et des États. Qu'en est-il en 2024 ?
Qu'est-ce que le rapport de Red Canary ?
Le Red Canary’s 2024 Threat Detection Report est un rapport biannuel produit par la société de cybersécurité américaine Red Canary. Il vise à détailler les tendances des menaces pesant sur les entreprises et les États. Ce rapport se base sur plus de 60 000 détections obtenues auprès de plus de 1 000 clients de la société, couvrant des endpoints, des infrastructures cloud, des équipements réseau, des applications SaaS, et plus encore.
Ce rapport de 160 pages détaille les tendances des menaces observées sur le terrain durant la première moitié de l'année 2024.
Qu'est-ce que cela signifie ?
Grâce à sa présence dans de nombreux systèmes d'information, Red Canary est en mesure de capter un grand nombre d'événements de sécurité. Cela permet de dessiner des tendances sur les principales techniques utilisées par les attaquants, les impacts observés lors des cyberattaques, ainsi que les objectifs visés.
À quoi peut me servir ce rapport ?
En lisant ce rapport, avec ses détails techniques et ses conclusions, vous pourrez mieux comprendre les techniques utilisées par les attaquants, le profil de leurs victimes et l'évolution de ces différents éléments dans le temps. En connaissant les menaces qui pèsent sur votre entreprise, vous pourrez anticiper et adapter vos projets de cybersécurité actuels et futurs pour mieux vous défendre contre ces menaces.
Les conclusions de ce rapport peuvent, par exemple, servir à améliorer les systèmes de détection d'intrusion de votre SOC, amener à la réalisation d'audit de sécurité sur des composants spécifiquement ciblés par les attaquants cette année ou simplement améliorer les connaissances de vos équipes de défense.
Intéressons-nous maintenant aux différentes conclusions de ce rapport.
Les tendances des cyberattaques en 2024
Red Canary a effectué une analyse des principales tendances rencontrées lors de cyberattaques confirmées et rapports threat intelligence (renseignement sur la menace) au cours de la dernière année.
Sans surprise, la tendance principale des cyberattaques observées durant ces derniers mois fait apparaitre les ransomwares en haut du classement. Ce business visiblement lucratif a la vie dure et continue année après année à impacter lourdement les entreprises qui en sont victimes.
Les attaques sur les accès initiaux, c'est-à-dire visant à obtenir un premier accès au sein du système d'information d'une entreprise pour ensuite implanter un agent dormant et vendre l'accès au plus intéressé, est également un élément qui demeure très présent dans les observations de 2024. Suivi de près par les attaques ciblant le vol d'identifiants, dont l'impact est d'autant plus grand grâce (ou à cause) de l'implémentation du SSO (Single Sign On).
Parmi les autres tendances observées en 2024, on peut également noter :
L'exploitation de CVE (vulnérabilités publiques) sur des composants non à jour
Le déploiement de stealer, des malwares spécialisés dans la récolte de données sur le système sur lequel ils sont installés, comme les mots de passe dans les navigateurs ou les coffres-fort de mots de passe. On peut notamment citer les malwaresRedLine, Vidar et LummaC2.
L'utilisation d'outils d'administration à distance légitimes comme Atera ou Remco
L'utilisation de tokens (jeton d'authentification) API volés sur les infrastructures cloud : les tokens apparaissent de plus en plus comme des alternatives à durée de vie temporaire à la saisie fréquentes des mots de passe, il faut être conscient que le vol de ceux-ci permet d'usurper l'identité du propriétaire.
L'intelligence artificielle générative, qui fait son apparition depuis quelque temps dans les médias, mais aussi chez les cyberattaquant. Cela particulièrement afin de construire des outils et campagnes de phishing très crédibles, mais aussi pour concevoir de nouveaux malwares rapidement.
La société observée également qu'un quart des détections réalisées sont en fait dues à des opérations de test "légitimes", tel que du bug bounty, des tests d'intrusion ou des opérations red team.
Enfin, il est par ailleurs intéressant de constater que le secteur d'activité n'est plus vraiment un facteur d'augmentation ou de réduction du risque de cyberattaque. Autrement dit, les attaquants ne cherchent plus à cibler un type d'industrie spécifique ou à en éviter d'autres (comme les écoles et les hôpitaux par le passé). À présent, tout le monde est en risque de devenir la cible d'une cyberattaque.
Les principales menaces observées en 2024
Les observations faites par Red Canary sur la fin de 2023 et début 2024 permettent d'identifier les principaux outils utilisés par les cyberattaquants :
La menace qui se démarque le plus, au-dessus de l'utilisation d'outils classiques d'attaque comment impacket et mimikatz, est CharCoal Stork.
Charcoal Stork est un fournisseur de pay-per-install (PPI) qui utilise le malvertising pour distribuer des installateurs, souvent déguisés en jeux piratés, polices ou fonds d'écran. Initialement, Charcoal Stork utilisait des fichiers ISO avec des charges utiles comprenant une application basée sur NodeJS et des commandes PowerShell pour installer ChromeLoader. En 2023, les charges utiles ont évolué pour inclure des fichiers VBS, MSI et EXE.
SmashJacker, par exemple, installe une version piégée de 7-zip qui installe une extension malveillante sur le navigateur. En août 2023, Charcoal Stork a livré des fichiers EXE menant à des logiciels malveillants plus préoccupants comme VileRAT, un RAT (Remote Administration Tool) Python utilisé par DeathStalker.
Si vous souhaitez en savoir plus, notamment afin de détecter la présence de cet élément malveillant dans votre système d'information. Je vous invite à consulter la page dédiée à Charcoal Stork sur le site web de Red Canary.
Vous y trouverez des informations permettant d'identifier des éléments signatures (hash, lignes de commande, nom de fichiers) pouvant trahir sa présence.
Les principales techniques (TTP) des attaquants en 2024
La dernière section du document permet de lister les principales techniques d'attaque observées depuis fin 2023/début 2024. Ces techniques sont identifiées selon les TTP du framework d'attaque du MITRE : ATT&CK
Les techniques ciblant les systèmes d'exploitation Windows sont bien sûr en tête de liste, cela est en lien direct avec le fait qu'il s'agit d système le plus utilisé pour les postes utilisateur. On y retrouve donc les TTP liés à l'exécution de commande batch et PowerShell (présent dans 22.1% des cyberattaques observées !) ainsi que WMI (Windows Management Instrumentation).
Il est à noter la montée fulgurante du TTP Cloud Account, qui passe de la 46ᵉ place en 2022 à la 4ᵉ aujourd'hui. Cette technique (T1078.004 - Cloud Accounts) vise à utiliser des identifiants volés d'environnement Cloud pour réaliser un premier accès à une cible, mais aussi de la persistance, de l'élévation de privilège ou de l'évasion de défense.
Conclusion
Le Red Canary’s 2024 Threat Detection Report nous offre une analyse détaillée des tendances actuelles en matière de cybersécurité. Les données recueillies donnent des informations très importantes pour mieux protéger votre système d'information et votre entreprise.
Je vous recommande sa lecture (un peu longue certes, mais très instructive), si vous voulez avoir plus de détails et comprendre en profondeur les principales tendances des menaces en 2024 :
Des versions piratées de la suite Microsoft Office diffusées via sites de torrents sont utilisées par les cybercriminels pour diffuser plusieurs logiciels malveillants : Cheval de Troie d'accès à distance, mineur de cryptomonnaie, etc... ! Faisons le point.
Une nouvelle campagne malveillante identifiée par le Security Intelligence Center d'AhnLab (ASEC) alerte sur les dangers du téléchargement de logiciels piratés. Malheureusement, ce n'est pas une évidence pour tout le monde et les adeptes de téléchargements illégaux restent très nombreux dans le monde entier. Les cybercriminels l'ont bien compris... Et, ils exploitent des versions piratées de Microsoft Office diffusées sur des sites de torrents pour distribuer un ensemble de malwares.
Les utilisateurs qui téléchargent et installent ces versions piratées de Microsoft Office se retrouvent infectés par divers types de logiciels malveillants, notamment des chevaux de Troie d'accès à distance (RATs), des mineurs de cryptomonnaie, etc.
Un programme d'installation trompeur !
Le programme de la version piratée de Microsoft Office présente une interface bien conçue, et plutôt trompeuse pour les utilisateurs. Nous pourrions même dire qu'elle est plutôt rassurante, car elle permet aux utilisateurs de choisir la version, la langue et la variante (32 ou 64 bits) qu'ils souhaitent installer.
Voici un aperçu :
Source : ASEC
Cependant, ce n'est que la face visible de ce programme d'installation. En effet, pendant ce temps, en arrière-plan, il lance un malware qui se connecte à un canal Telegram ou Mastodon, à partir duquel il pourra obtenir un lien menant vers Google Drive ou GitHub pour télécharger des logiciels malveillants. Ces services légitimes présentes l'avantage de ne pas alerter les solutions de sécurité.
Des charges utiles dangereuses...
Lors de leurs analyses, les chercheurs Coréens sont parvenus un ensemble de malwares, dont voici la liste :
Orcus RAT : permet un contrôle à distance complet, incluant la capture des frappes au clavier, l'accès à la webcam de l'ordinateur, la possibilité de prendre des captures d'écran ou encore d'exfiltrer des données.
XMRig : un mineur de cryptomonnaie utilisant les ressources du système pour miner du Monero. Pour éviter d'être détecté, le minage est arrêté lorsque l'utilisateur sollicite de façon intensive les ressources de la machine.
3Proxy : convertit les systèmes infectés en serveurs proxy, permettant aux attaquants de router du trafic malveillant, par l'intermédiaire du port 3306.
PureCrypter : télécharge et exécute des charges malveillantes supplémentaires à partir de sources externes.
AntiAV : désactive ou reconfigure les logiciels de sécurité en place sur la machine infectée, de façon à diminuer son niveau de sécurité et à la rendre vulnérable aux autres menaces.
Persistance des logiciels malveillants
Même si l'utilisateur découvre et supprime certains de ces malwares, le module "Updater", exécuté au démarrage du système, les réintroduit. Bien entendu, à l'occasion de la publication de cette étude, les chercheurs d'ASEC mettent en garde les utilisateurs contre les risques de téléchargement de logiciels depuis des sources non officielles et illégales, dans le but d'obtenir des logiciels piratés. Autant que possible, pensez également à vérifier l'intégrité de vos images ISO et autres sources.
Microsoft Office étant un exemple parmi tant d'autres... En effet, des campagnes similaires ont été utilisées pour propager le ransomware STOP.
Dans ce tutoriel, nous allons voir comment supprimer la prise en charge de Visual Basic Script (VBScript) sur une machine sous Windows 11 24H2. Quelques clics suffisent pour se débarrasser de VBScript !
À partir de Windows 24H2, VBScript devient une fonctionnalité facultative installée par défaut. Ceci signifie que nous avons la main pour activer ou désactiver cette fonctionnalité selon nos besoins. D'ici quelques années, Microsoft prévoit de supprimer complètement VBScript de Windows 11 et ce changement correspond à la première étape de la feuille de route de l'entreprise américaine.
Si vous n'utilisez pas VBScript et que vous utilisez Windows 11 24H2, il est pertinent de désactiver cette fonctionnalité. En effet, ce langage de script est souvent utilisé par les cybercriminels pour exécuter des malwares et d’autres programmes malveillants sur les appareils Windows. S'il est désactivé, il ne peut plus être exploité à des fins malveillantes.
Sa désactivation peut aussi perturber l'administrateur système de la machine, car ceci va rendre inopérant certains outils bien pratiques, mais basés sur VBScript. Nous pensons notamment à l'outil en ligne de commande slmgr. Désormais, Microsoft recommande de s'orienter vers des solutions plus modernes, notamment JavaScript et PowerShell, selon les scénarios.
II. Comment désinstaller VBScript ?
Nous devons accéder à l'interface de gestion des fonctionnalités facultatives. Vous pouvez utiliser la fonction de recherche de Windows, ou naviguez dans les paramètres en suivant de chemin :
Paramètres > Système > Fonctionnalités facultatives
Ensuite, nous devons localiser "VBSCRIPT" dans la liste afin de cliquer dessus pour faire apparaître le bouton "Supprimer". Il suffit de cliquer une fois sur ce bouton et VBScript sera supprimé de la machine !
Dans la liste des "Actions récentes", nous pouvons constater que l'action a été effectuée :
Voilà, nous venons de supprimer VBScript de la machine Windows 11 !
III. Comment désinstaller VBScript en ligne de commande ?
Si vous désirez plutôt utiliser la ligne de commande, sachez que l'outil DISM peut être utilisé pour ajouter ou supprimer une fonctionnalité facultative. Ceci fonctionne très bien pour VBScript.
Voici la commande à exécuter en tant qu'administrateur pour effectuer la suppression :
Quelques clics ou une commande suffisent pour supprimer VBScript de Windows 11. Si vous n'utilisez pas ce langage de script, cette action est recommandée. Si vous n'utilisez pas Windows 11 24H2, vous ne pouvez pas supprimer VBScript de cette façon pour le moment.
Dans cet article, nous allons découvrir le Mini PC ultra-compact Geekom XT12 Pro équipé d'un processeur Intel Core i9 de 12ème génération, de 32 Go de RAM et de 1 To de SSD. Envie d'en savoir plus sur ce modèle ? Lisez la suite de notre article !
Cet article va présenter ce modèle dans sa globalité, en commençant par les caractéristiques, le design et la qualité du boitier. Puis, nous parlerons des possibilités d'évolution et des performances de ce Mini PC.
Rappel : sur le marché des Mini PC, la marque Geekom est incontournable et elle s'est imposée comme un acteur majeur au niveau mondial. Elle a été créée en 2003 et la direction R&D de Geekom est située à Taiwan. En complément, la marque a plusieurs succursales dans différents pays du monde.
Commençons par découvrir les caractéristiques principales de ce modèle :
Processeur : Intel Core i9-12900H (14 Cœurs, 20 Threads, 24 Mo de cache, jusqu'à 5,00 GHz)
GPU : Intel Iris Xe
RAM : 32 Go DDR4-3200, extensible jusqu'à 64 Go
Stockage : 1 To de SSD NVMe (Gen.4) + 1 emplacement pour SSD SATA au format M.2 (2242 - Jusqu'à 1 To)
Connectique : 3 x ports USB 3.2 Gen 2 + 1 x port USB 2.0 + 2 x ports USB 4 + 1 prise casque Jack 3.5 mm + 1 x slot pour une carte SD + 1 x interface réseau LAN 2.5 GbE + 2 x ports HDMI 2.0 + 1 x port d'alimentation
Affichage : prise en charge jusqu'à 4 écrans.
WiFi 6E (AX211), Bluetooth 5.2
Alimentation : 19V, 6,32A DC - 120W
Poids : 545 grammes
Dimensions (L x W x H) : 117 x 111 x 38.5mm
Système d'exploitation : Windows 11 Pro
Garantie : 3 ans
Même si le processeur Core i9 n'est pas le plus récent, Geekom a préparé une belle fiche technique pour ce modèle déjà sur le marché depuis plusieurs mois. En effet, entre l'Intel Core i9, l'interface réseau 2.5 GbE, l'USB4 et le WiFi 6E, nous pouvons nous attendre à de belles performances ! La présence d'une interface réseau 2.5 GbE est toujours un point positif, selon moi. Et surtout, ce mini PC est ultra-compact et pourra être emporté partout sans difficultés.
Ce modèle est proposé par Geekom en une seule et unique version qui est celle proposée dans cet article. La série XT se démarque par la finesse de son design et son esthétique très soignée.
III. Package et design
La boite de ce mini PC est très soignée, tout en étant sobre, car il faudra l'ouvrir pour avoir un aperçu du mini PC ! C'est d'ailleurs lui que l'on découvre à l'ouverture de la boite. Il est protégé par un bloc en mousse rigide et après l'avoir retiré, nous retrouvons l'ensemble des accessoires.
Qu'avons-nous dans la boite ? Au-delà d'avoir un Mini PC XT12 Pro, il y a aussi un câble HDMI, une alimentation externe et son câble, une plaque VESA (et les vis) permettant d'accrocher le mini PC à l'arrière d'un écran (support VESA), une notice et une lettre de remerciement pour l'achat.
Fidèle à la gamme XT, le boitier de ce modèle XT12 Pro est beau et élégant. Geekom a apporté un soin particulier au design et à la qualité de fabrication de ce boitier en aluminium. Seul le dessus est une coque en plastique blanche estampillée "Geekom". La finesse de ce boitier me plait également : moins de 4 cm de hauteur (38.5 mm). À titre de comparaison, ce boitier est moins épais et plus compact que celui du modèle Geekom IT13, il est moins encombrant disons. J'ai vraiment apprécié le design de ce modèle !
Sur la façade, nous retrouvons deux ports USB, dont un port USB 3.2 Gen2 avec PowerDelivery (PD) et un port USB 3.2 Gen2 (sans PD). Une prise casque et un bouton Power lumineux complète la façade. Sur le côté droit du boitier, il y a uniquement l'aération du boitier, tandis que sur le côté gauche, une fente de verrouillage Kensington a été discrètement incrustée au maillage de l'aération. Le flux d'air entrant s'effectuera par la gauche et la droite du boitier.
Tout le reste de la connectique se situe à l'arrière du boitier. Il y a les deux ports USB4 au format USB-C avec PowerDelivery, ce qui est la norme USB la plus récente à ce jour. Le débit théorique de l'USB4 est de 40 Gbps. Il y a un autre port USB 3 ainsi qu'un port USB 2.0, soit un total de 6 ports USB. N'oublions pas les deux ports HDMI 2.0 et le port RJ45 2.5 GbE.
Ce modèle est équipé de la technologie de refroidissement IceBlast 1.0 de Geekom. Ceci se traduit par la présence d'un grand ventilateur et la présence de cuivre pour dissiper la chaleur. D'ailleurs, l'aération du dissipateur thermique pour permettre l'évacuation de l'air chaud est situé à l'arrière, au-dessus de la connectique.
Comme souvent sur les modèles de cette marque, la mention "Geekom" est présente sur le dessus du boitier. En dessous, il n'y a pas d'aération contrairement à ce que l'on pourrait penser, mais nous avons 2 patins antidérapants très larges, ainsi que 4 vis pour ouvrir très facilement le boitier. Elles restent « accrochées » à la partie amovible du boitier, ce qui évitera de les égarer... Et il n'y a pas de patins à décoller pour accéder aux vis.
Ce boitier est majoritairement en aluminium brossé, car il n'y a que la partie supérieure qui est en plastique blanc. Cette vue éclatée montre bien la conception du boitier du XT12 Pro :
Jetons un coup d'œil à l'intérieur du boitier. Nous aurons surement l'occasion d'en savoir plus sur les composants utilisés par Geekom. Voici ce que l'on peut apprendre :
Un SSD NVMe de marque Kingston, avec la référence KINGSTON OM8PGP41024N-A0, d'une capacité de 2 To, en PCIe Gen4.0
Deux barrettes de RAM de marque Lexar : 16 Go 1Rx8 - PC4-3200AA-SA2. Soit 32 Go au total. Il est possible de passer sur 64 Go de RAM, mais ceci implique de remplacer les deux barettes déjà présentes, car les deux slots sont occupés.
Une carte MediaTek MT7922A22M pour le Wi-Fi et le Bluetooth
Contrairement au modèle Geekom IT13, celui-ci ne peut pas accueillir un disque SATA au format 2.5 pouces car le boitier est moins épais et n'est pas prévu pour cela. Néanmoins, nous pouvons ajouter un disque SSD SATA M.2 supplémentaire, grâce à l'emplacement disponible entre le SSD NVMe et les barrettes de RAM.
Avec ce modèle et compte tenu de la conception du boitier, les composants sont facilement accessibles, identifiables et remplaçables. Que ce soit en cas de panne ou pour une quelconque évolution, c'est important de le préciser.
IV. Évolutivité et performances
A. Mise en route et évolutivité
Mettons en route le mini PC XT12 Pro de chez Geekom ! Avant d'évoquer le système d'exploitation, regardons les options proposées dans le BIOS de la machine. Le moins que l'on puisse dire, c'est que c'est minimaliste. À part la possibilité de définir un mot de passe pour le BIOS, de gérer l'ordre de démarrage et de gérer le Secure Boot, nous n'avons pas grand-chose à notre disposition. C'est à prendre en compte pour ceux qui ont l'habitude de tuner le BIOS de leur PC. Par exemple, le Wake on LAN n'est pas proposé. Sinon, pour information, il n'y a pas d'options relatives à la prise en charge de la virtualisation, mais elle est bien prise en charge : vous pouvez installer un hyperviseur.
La mise en route passe par la finalisation de l'installation du système Windows 11 Pro ! Nous retrouvons les étapes et questions habituelles propres au fonctionnement du système Windows 11. Il est tout à fait possible d'utiliser un compte local ou un compte Microsoft, au choix.
Geekom utilise des images officielles de Windows 11 Pro et elles ne sont pas personnalisées. Il n'y a aucune application supplémentaire ajoutée. Malgré tout, ma recommandation reste la même, peu importe le modèle du PC : effectuer une réinstallation avec votre propre image, que ce soit Windows ou un autre système.
Le premier démarrage est aussi l'occasion de constater que ce mini PC ventile fort pendant 1 ou 2 minutes lorsqu'il est démarré. Ensuite, le silence est de mise : mais jusqu'à quand ? Je reviendrai sur ce point.
Le mini-PC est livré avec 32 Go de RAM en DDR4, mais une mise à niveau est possible. Le processeur i9 utilisé pour cette configuration supporte jusqu'à 64 Go de RAM au maximum, ce qui correspond au maximum pris en charge par ce modèle de mini PC. Par contre, vous devez remplacer les deux barrettes de RAM actuelles pour doubler la RAM. Si vous souhaitez utiliser ce PC pour de la virtualisation afin d'y installer un hyperviseur, ce sera peut-être nécessaire selon vos besoins.
Pour le CPU et la RAM, voici des détails techniques obtenus avec le logiciel CPU-Z :
La présence de deux ports HDMI 2.0 et deux ports USB4 permet de connecter jusqu'à 4 écrans sur ce mini PC ! La connexion HDMI propose un affichage 4K @ 60 Hz, tandis qu'on est sur un affichage à 8K @ 30 Hz sur les ports USB4.
Nous pouvons aussi noter la possibilité d'exploiter la connexion USB4 pour brancher un GPU externe (eGPU), c'est-à-dire une carte graphique externe. Du côté stockage, ce mini PC peut accueillir 1 SSD SATA au format M.2 (2242 - Jusqu'à 1 To) en plus du SSD NVMe intégré au boitier. Attention toutefois, le format M.2 2242, bien qu'adapté pour les formats compacts, n'est pas courant (22 mm de largeur et 42 mm de longueur) au contraire du format 2280 beaucoup plus répandu.
B. Performances
Ce mini PC est équipé d'un processeur Intel Core i9 de 12ème génération lancé au premier trimestre 2022. Le modèle i9-12900H a 14 cœurs et 20 threads, avec fréquence maximale en mode Turbo de 5,0 GHz.
Qu'en est-il des performances du disque SSD NVMe livré avec le mini PC ?
Un copier-coller de gros fichiers en local (de disque à disque, sur le même volume), est effectué avec une vitesse moyenne de 1.30 Go/s, ce qui est bon résultat ! Sur un autre test, en 1 minute et 34 secondes, j'ai pu dupliquer une bibliothèque d'images ISO de 101 Go !
Voici un benchmark du disque effectué avec Crystal Disk Mark :
CrystalDiskInfo
Voici une analyse CrystalDiskInfo du disque SSD NVMe de marque Kingston monté en PCIe 4.0 présent dans ce PC :
Geekbench
J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur ces pages :
Sans surprise, le processeur du modèle XT12 Pro est légèrement moins performant que celui du modèle IT13 : une génération d'écart, cela crée forcément une différence.
Qu'en est-il du bruit du ventilateur ?
Comme je l'évoquais précédemment, lorsque l'ordinateur démarre, il ventile relativement fort. Une fois que la machine a finalisé son démarrage, cela s'arrête et le mini PC devient très silencieux. Utilisée pour de la bureautique, elle reste silencieuse, tout au long de son utilisation.
Par contre, si le mini PC est très sollicité (ce que j'ai pu constater avec les benchmarks, notamment), il se met à ventiler et là, ce sera difficile de ne pas l'entendre : ce qui pourra être plus ou moins gênant selon l'emplacement du mini PC vis-à-vis de l'utilisateur. C'est aussi une question de tolérance de l'utilisateur lui-même. Si le mini PC est derrière l'écran, le bruit sera un peu "étouffé". Le bruit généré fait penser à celui de la ventilation d'un ordinateur portable qui tourne à plein régime. Il y a pire, mais il y a aussi plus discret.
Cette ventilation semble avoir un impact positif sur la gestion de la température du matériel : le boitier est légèrement tiède et la température du CPU bien maitrisée.
Que peut-on faire et ne pas faire avec ce modèle ?
Naviguer sur Internet, lire des vidéos, ouvrir et exécuter plusieurs applications en même temps, ce sont des tâches qui ne vont pas effrayer ce mini PC. Très à l'aise pour la bureautique et le multimédia, il montre ses limites lorsque l'on sollicite la partie graphique. C'est un perpétuel problème sur les machines avec une puce graphique intégrée au processeur, un iGPU "Intel Iris Xe" dans le cas présent.
Ce mini PC pourrait tout à fait être utilisé en tant que serveur pour faire tourner des machines virtuelles : le processeur Intel Core i9 et le 32 Go de RAM permettront de faire tourner plusieurs VMs simultanément.
Jouer à certains jeux n'est pas un problème si vous êtes prêts à diminuer les effets visuels et à réduire la qualité graphique de vos jeux. L'habituel test avec GTA V est un bon exemple : l'expérience en jeu est bonne, car c'est fluide, mais ceci oblige à ajuster les options liées aux graphismes.
V. Conclusion
Ce mini PC, très compact et performant pourrait mettre au placard de nombreux ordinateurs fixes beaucoup plus imposant que lui, moins bien équipé et moins performant. Geekom a pris l'habitude de miser sur l'Intel Core i9 pour plusieurs de ses modèles, dont celui-ci, et c'est à chaque fois une réussite. L'Intel Core i9 de 12ème génération offre de belles performances, et si vous avez besoin d'encore un peu plus, vous pouvez miser sur le Geekom IT13 équipé de la 13ème génération de Core i9.
Ce mini PC polyvalent, avec une configuration moderne, pourra satisfaire les besoins de nombreux utilisateurs pendant plusieurs années. La garantie de 3 ans du constructeur est également là pour nous rassurer.
Le Geekom XT12 Pro avec l'Intel Core i9 est proposé à 749,00 euros. Soit 100 euros de moins que le modèle Geekom IT13 équipé d'un processeur Intel Core i9 de 13ème génération, et un peu plus puissant.
Avantages
Un très beau boitier en aluminium brossé : élégant et compact
Une config convaincante et performante : Intel Core i9, 32 Go de RAM et 1 To de SSD
Windows 11 Pro : image officielle, sans logiciels supplémentaires
Connectique moderne et bien fournie (USB4, RJ45 2.5 GbE, etc.)
Ouverture facile du boitier : 4 vis facilement accessibles
Inconvénients
Disque SSD : le format M.2 2242 de l'emplacement supplémentaire
Bruyant lorsqu'il est sollicité
La puce graphique intégrée (iGPU) ne convient pas si vous souhaitez jouer sans faire de concession sur les graphismes
Offre spéciale sur le Geekom XT12 Pro
Profitez de 5% de réduction sur Amazon.fr ou sur la boutique officielle de Geekom, en utilisant les liens et codes ci-dessous.
Un nouveau coup de filet majeur contre les cybercriminels : les autorités internationales sont parvenues à démanteler des infrastructures associées à plusieurs logiciels malveillants. Nom de l'opération ENDGAME. Voici ce que l'on sait.
Le 30 mai 2024, une vaste opération de démantèlement de plusieurs infrastructures cybercriminelles a été menée avec succès dans le cadre d’une coopération judiciaire internationale baptisée "ENDGAME". Il s'agit d'une opération indépendante de l'opération Cronos menée contre le gang LockBit : preuve que les autorités travaillent ardemment pour lutter contre la cybercriminalité.
Cette opération coordonnée a été menée par des autorités de plusieurs pays, notamment la France, l'Allemagne, les Pays-Bas, le Danemark, le Royaume-Uni et les États-Unis. La coordination globale a été assurée par Europol, qui a d'ailleurs publié un rapport à ce sujet.
En France, cette initiative a été menée par la section J3 de lutte contre la Cybercriminalité du Parquet de Paris en collaboration avec l’Office anti-cybercriminalité (OFAC). Par ailleurs, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a contribué à l'opération ENDGAME en participant à l’identification et à la notification des victimes.
L'opération visait spécifiquement à neutraliser des serveurs rattachés aux infrastructures utilisées par les cybercriminels. Résultat, les forces de l'ordre sont parvenues à saisir une centaine de serveurs et plus de 2 000 noms de domaines ! Les serveurs en question sont répartis dans différents pays : Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine.
"Les opérations menées par les forces de l’ordre se sont déployées sur plusieurs pays et ont mené à l’interpellation de 4 personnes dont 3 par les autorités françaises, à 16 perquisitions.", peut-on lire dans un post LinkedIn publié par le Parquet de Paris.
L'objectif était de cibler les infrastructures utilisées dans le fonctionnement de différents loaders : BumbleBee, IcedID, Smokeloader, Pikabot, Trickbot et SystemBCt. Ces logiciels malveillants sont généralement distribués via des campagnes de phishing. Une fois qu'une machine est infectée, ce code malveillant est utilisé pour télécharger et déployer d'autres malwares, dont des ransomwares.
Le Parquet de Paris précise que "L’administrateur du botnet Pikabot a été interpellé en Ukraine avec le concours des autorités ukrainiennes, l’un des acteurs principaux du dropper « Bumblebee » a été auditionné en Arménie."
Dans ce tutoriel, nous allons voir comment extraire des données d’une partition endommagée avec le logiciel de récupération de données TestDisk !
Il peut arriver, pour une raison ou pour une autre (choc physique, obsolescence, panne de courant électrique, attaque virale, etc.), qu’une partition d’un support de stockage devienne inaccessible en lecture/écriture. En d’autres termes, la partition passe d’un système de fichiers utilisé par la plupart des systèmes d’exploitation usuels (NTFS, FAT32, ext4, etc.) au système de fichiers binaire (RAW). La seule option qui se propose généralement à nous en ce moment est un formatage pur et simple de ladite partition… Et, les données alors ?...
TestDisk qui est un logiciel libre proposé par Christophe GRENIER fonctionnant sous une interface austère et actuellement sous sa version 7.2 (la première datant de 1998). TestDisk fonctionne à la fois sur des plateformes Windows, Linux et MacOS, peut justement aider à sauver les données avant le formatage. Très populaire, cette application rend bien des services lorsqu'il s'agit de restaurer ou récupérer des données.
Dans cet article, on traitera principalement de la fonction « extractions des données » de TestDisk bien que ce dernier propose également d’autres fonctionnalités (réparation des partitions, récupération des données effacées, etc.).
II. Petit rappel sur les systèmes de fichiers
L’informatique actuelle fonctionnant essentiellement avec le système de numération binaire (0 et 1) les données stockées sur unité de stockage, peu importe leur nature (HDD, SSD, USB, etc.), ne dérogent pas à cette règle. Il se pose alors le problème de représentation de ces dernières de telle enseigne qu’elles soient perceptibles par l’Homme.
C’est à partir de cet instant que les systèmes de fichiers rentrent en jeu.
Un système de fichiers est une des fonctionnalités d’un système d’exploitation consistant à créer, organiser et gérer les fichiers sur une unité de stockage connectée au système en question. On parle alors ici de la manière dont :
Les partitions sont créées et formatées (taille, type de table, etc.)
Les fichiers sont créés et gérés en cluster (de la plus petite taille constitutive d’un fichier à la plus grande)
Des méthodes et des outils utilisés pour créer et gérer ces partitions et ces fichiers au besoin
Etc.
Les systèmes de fichiers les plus usuels sont bien sûr NTFS, exFat, Fat32, FAT pour Windows ;NTFS, ext3, ext4 pour Linux ; APFS, HFS pour Apple, etc. Et bien sûr le système de fichier binaire RAW qui lui n’est pratiquement pas interprété par les systèmes d’exploitation sus-cités.
Sans plus tarder, nous allons voir comment extraire les données d’une partition en utilisant TestDisk
III. Extraire les données d’une partition avec TestDisk
D’abord, il faut télécharger TestDisk (pour ce tuto, on va prendre celui pour Windows) via le lien TestDisk 7.2 et l’extraire dans un dossier de créé pour la cause.
En ouvrant le dossier d’extraction, on doit pouvoir parcourir l’ensemble de ses fichiers, puis localiser et cliquer sur l’exécutable « testdisk_win » qui lui, demandera naturellement des privilèges Administrateur pour s’exécuter (inutile de rappeler ici que vous devez être connecté en tant que tel, ou connaître un compte Administrateur sur la machine locale).
Une fois TestDisk lancé, on sélectionne « CREATE » avec la touche « ENTREE » du clavier. Il faut rappeler ici que la plupart des consignes à suivre et des touches à utiliser sont indiquées par le logiciel.
Ensuite, on sélectionne avec les touches directionnelles du clavier le disque à partir duquel on souhaite extraire les données, ici « Disk \\.\PhysicalDrive1 - 30 GB / 28 GiB - USB SanDisk 3.2Gen1 » (mon support USB-test pour la cause) et on valide avec « PROCEED » avec la touche « ENTREE » du clavier.
Puis, on sélectionne le type de table de partition en fonction du formatage préalable du disque à extraire, ici « Intel/PC partition » (TestDisk pouvant aussi le détecter automatiquement) et on valide avec « ENTREE ».
Ensuite, on choisit « Advanced ».
Puis, on sélectionne le système de fichiers correspondant à la partition à partir de laquelle on souhaite extraire les fichiers. Ici « NTFS » et on choisit l’option « List » en bas pour afficher la liste des dossiers et des fichiers à extraire. Enfin, on valide.
On sélectionne ensuite le(s) fichier(s) (ici le logo de MEISTER INFORMATIK) à l’aide des « : » du clavier. Puis, on valide la copie avec « C » on constate que le fichier sélectionné devient automatiquement coloré en vert. Si on avait voulu choisir l’ensemble des fichiers, on aurait simplement appuyé sur la lettre « a » du clavier comme décrit par TestDisk.
À l'étape suivante, on choisit le dossier destination de stockage du ou des fichier(s) extrait(s). Ici le dossier « Recup TestDisk » de mon bureau et on valide de nouveau avec « C »
Une fois l’extraction terminée, TestDisk envoie un message signalant que l’extraction s’est correctement terminée. On peut le voir à travers le message « Copy done ! 1 ok, 0 failed » renvoyé par ce dernier. Il aurait également produit un message d’erreur au cas échéant.
On peut désormais ouvrir le dossier destination « Recup TestDisk » et y retrouver le logo de "MEISTER INFORMATIK" extrait du support USB.
Enfin, on peut l’ouvrir pour effectivement se rassurer qu’il ne soit pas altéré par l’état de santé du disque source (la partition étant bien sûr endommagée).
IV. Conclusion
Nous venons de voir comment extraire un ou plusieurs fichiers d'une partition endommagée avec le logiciel gratuit TestDisk.Cependant, il faut savoir que plus les fichiers sont nombreux à extraire, plus cela prendra du temps et de l’espace disque, donc il faudra prévoir les ressources spatio-temporelles adéquates.
Un des autres avantages de ce logiciel, est qu’il restaure généralement les fichiers tout en gardant leur structure d’origine depuis leurs dossiers racines. Donc, pas d’inquiétude à se faire quant au fait de les ranger de nouveau comme au départ : TestDisk s'en occupe.
Une fois l’opération d’extraction terminée, que faire ? On peut alors envisager de supprimer, créer et formater la partition afin de la réutiliser ou alors de purement remplacer l’unité de stockage défectueuse. En effet, un disque passé sous RAW est un signe que ce dernier est en train de « rendre l’âme » et qu’on pourrait se retrouver dans la même situation par la suite et perdre définitivement les données stockées sur ce dernier...
Il y a quelques jours, Microsoft a publié la mise à jour KB5037853 pour Windows 11 afin de permettre aux utilisateurs de tester les changements à venir en juin 2024, lorsque la nouvelle mise à jour cumulative sera disponible. Les premiers retours ne sont pas bons. Voici ce que l'on sait.
Le 29 mai 2024, Microsoft a mis en ligne la mise à jour optionnelle KB5037853 pour les appareils sous Windows 11. Étant optionnelle, cette mise à jour s'installe de façon automatique uniquement si l'on active l'option "Recevez les dernières mises à jour dès qu'elles sont disponibles" dans les paramètres de Windows Update.
Cette mise à jour permet de tester en avant-première les changements apportés par Microsoft, que ce soit les bugs corrigés ou les éventuelles nouvelles fonctionnalités. Ceci est un aperçu de ce qui attend les utilisateurs de Windows 11 dans la prochaine mise à jour cumulative obligatoire, c'est-à-dire celle qui sera publiée le 11 juin 2024 dans le cas présent.
Sur son site, Microsoft a révélé que cette mise à jour pouvait faire planter la barre des tâches sur les machines Windows 11 22H2 et Windows 11 23H2 où la mise à jour KB5037853 a été installée.
"Après l'installation de cette mise à jour, il se peut que vous rencontriez des problèmes lors de l'utilisation de la barre des tâches. Il se peut que la barre des tâches présente des dysfonctionnements temporaires, qu'elle ne réponde pas, qu'elle disparaisse et qu'elle réapparaisse automatiquement.", peut-on lire sur cette page. L'entreprise américaine précise également que ce plantage génère un événement avec l'ID 1000 dans les journaux Windows, évoquant "Explorer.exe" en tant qu'application en tant qu'application défectueuse. Une référence à "Taskbar.View.dll" est également présente.
La solution proposée par Microsoft
Microsoft a déjà remédié à ce bug impactant la barre des tâches en s'appuyant sur sa fonction Known Issue Rollback (KIR). L'application est automatique sur les appareils des particuliers ("non managés") même si le déploiement peut prendre 24 heures. Pour les appareils managés, il convient de s'appuyer sur une stratégie de groupe comme l'explique cette page de la documentation Microsoft. Dans le cas présent, il convient de déployer le package KIR que vous pouvez télécharger via ce lien.
En principe, la mise à jour cumulative qui sera publiée le 11 juin 2024 ne contiendra pas ce bug car Microsoft pourra le corriger d'ici-là. Merci à ceux qui ont essuyé les plâtres...
Connexion
Avantages
Inconvénients
