FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 6 octobre 2022IT-Connect

Cyberattaques : des instances SQL Server infectées par la porte dérobée Maggie

6 octobre 2022 à 10:46

Sur plusieurs centaines d'instances SQL Server, des analystes en sécurité ont la découverte d'une nouvelle porte dérobée nommée Maggie ! Grâce à elle, les pirates exécutent des commandes à distance sur l'hôte compromis à l'aide de requêtes SQL malveillantes.

Tout d'abord, il faut savoir que ce sont les analystes en sécurité Johann Aydinbas et Axel Wauer de chez DCSO CyTec qui ont fait la découverte de cette backdoor. Une fois en place sur un serveur qui exécute une instance SQL Server, la porte dérobée Maggie est contrôlée grâce à des requêtes SQL qui lui donnent des instructions, notamment pour exécuter des commandes ou interagir avec des fichiers. Elle peut également servir à effectuer des attaques par brute force sur d'autres instances SQL.

En s'appuyant sur les données de télémétrie, les chercheurs en sécurité de chez DCSO CyTec ont pu créer une heatmap qui montrent où se situent les serveurs infectés par cette porte dérobée. On peut voir que les instances infectées se situent partout dans le monde, même s'il y a quelques pays plus touchés comme l'Inde, le Vietnam, la Russie, la Corée du Sud, l'Allemagne ou encore les Etats-Unis.

Sur un total de 600 000 serveurs analysés au niveau mondial, il s'avère que 285 serveurs sont infectés par la porte dérobée Maggie.

Sécurité - SQL Server - Backdoor Maggie

D'après l'analyse effectuée par Johann Aydinbas et Axel Wauer, cette porte dérobée se déguise sous la forme d'une DLL "Extended Stored Procedure" nommée "sqlmaggieAntiVirus_64.dll" ajoutée à SQL Server.

Ainsi, des fonctions supplémentaires sont ajoutées à SQL Server afin de prendre en charge de nouvelles commandes exécutables via une API à distance : Maggie apporte un ensemble de 51 commandes ! Il y a la possibilité de lire le contenu de fichiers, de mettre en place une redirection de ports, un reverse shell ou encore d'activer le Bureau à distance sur le serveur. La liste fait également référence à 4 exploits mais ils ne sont pas inclus avec la porte dérobée donc les chercheurs en sécurité n'ont pas pu les tester.

Porte dérobée Maggie - Liste des commandes
Source : DCSO CyTec

Par ailleurs, Maggie sert de relais pour atteindre n'importe quelle machine du réseau que l'hôte SQL Server est en mesure de contacter ! Ceci est possible grâce à une fonctionnalité de redirection TCP. Les analystes précisent : "Lorsqu'elle est activée, Maggie redirige toute connexion entrante (sur n'importe quel port sur lequel le serveur MSSQL est en train d'écouter) vers une IP et un port précédemment définis, si l'adresse IP source correspond à un masque IP spécifié par l'utilisateur".

Pour le moment, il reste des informations à déterminer : quel est le groupe de cybercriminels à l'origine de ces attaques ? Quelle est ou quelles sont les vulnérabilités exploitées initialement pour compromettre l'instance SQL Server afin de déployer la porte dérobée ?

Source

The post Cyberattaques : des instances SQL Server infectées par la porte dérobée Maggie first appeared on IT-Connect.

Windows 11 22H2 : des problèmes de performances pour la copie des fichiers volumineux !

6 octobre 2022 à 09:22

Les utilisateurs de Windows 11 22H2 sont impactés par un nouveau problème qui concerne la copie de gros fichiers, notamment avec le protocole SMB. Microsoft travaille sur ce bug afin de proposer une solution aux utilisateurs.

Par l'intermédiaire d'un post officiel, Microsoft, par l'intermédiaire de Ned Pyle, a confirmé qu'il y avait des problèmes avec la copie de gros fichiers sous Windows 11 22H2. En effet, on peut lire : "Il y a une réduction des performances dans 22H2 lors de la copie de fichiers volumineux d'un ordinateur distant vers un ordinateur Windows 11." - On parle ici de fichiers volumineux de plusieurs Giga-octets, et si l'on copie ce même fichier vers une machine qui ne tourne pas sur Windows 11 22H2, le problème ne se présente pas.

En termes de performances, on parle d'une perte de débit d'environ 40% sous Windows 11 22H2, ce qui n'est pas négligeable et peut considérablement augmenter le temps de transfert de certains fichiers.

Bien que l'exemple du protocole SMB soit donné, ce bug n'est pas exclusif au transfert de fichiers sur le réseau en SMB. En effet, les utilisateurs peuvent constater des baisses de performances même lors de la copie de fichiers locaux. 

Quelle est la solution proposée par Microsoft ?

En attendant de trouver une solution, via un correctif par exemple, Microsoft propose à ses utilisateurs d'effectuer la copie des fichiers volumineux avec la ligne de commande, soit avec Robocopy ou Xcopy, en ajoutant l'option "/J". Voici un exemple :

robocopy \\someserver\someshare c:\somefolder somefile.ned /J

Actuellement, il y a également un problème avec les connexions Bureau à distance sous Windows 11 22H2, comme je l'évoquais dans un précédent article. Un peu moins récemment, il y avait également eu un problème de performances avec les jeux vidéo sur les machines équipées d'une carte graphique NVIDIA.

Source

The post Windows 11 22H2 : des problèmes de performances pour la copie des fichiers volumineux ! first appeared on IT-Connect.

Windows 11 22H2 : de gros problèmes avec les connexions RDP

6 octobre 2022 à 08:50

Suite aux problèmes rencontrés par de nombreux utilisateurs avec les connexions "Bureau à distance" sous Windows 11 22H2, Microsoft effectue des recherches de son côté pour corriger ce nouveau bug. Faisons le point.

Suite à l'installation de Windows 11 22H2, le client Bureau à distance de Windows fait des siennes sur les postes de travail équipés de cette version de Windows. En effet, il se déconnecte de façon aléatoire, se bloque ou même pire encore, il ne se connecte même pas au serveur distant. De nombreux témoignages sont lisibles sur le forum answers.microsoft.com.

Par exemple, un admin Windows affirme : "Tous nos utilisateurs du Bureau à distance utilisant Windows 11 ont des problèmes de connexion au Bureau à distance après avoir installé cette mise à jour. Il se bloque à la connexion."

Autre exemple : "Nous avons découvert qu'il y a un bug dans le client Remote Desktop, qui n'essaie que la connexion UDP et non la connexion TCP. Nous n'autorisons que la connexion par le port 443 sur notre pare-feu." - Ou encore : "J'ai plusieurs clients sous Windows 11, et après la mise à jour 22H2, ils n'ont pas pu se connecter à nos serveurs RDS. J'ai essayé sans le pare-feu, mais rien n'a changé. Le problème a disparu après le rollback, ils ont pu se connecter à nouveau."

Les accès RDP sont très utilisés en entreprise, notamment pour accéder à des serveurs applicatifs, alors on peut imaginer que ce bug pose de sérieux problèmes à certaines organisations.

Quelle est la solution pour corriger ce problème ?

Bien qu'il n'y ait pas de correctif officiel de la part de Microsoft, il y a tout de même une solution en attendant. Alors oui, vous pouvez faire machine arrière et revenir sur la version précédente de Windows mais ce n'est pas la solution la plus simple à mettre en œuvre sur un ensemble de machines... Vous pouvez aussi désactiver les connexions UDP dans le client RDP de Windows. Ainsi, le client RDP n'a pas d'autres choix que de se connecter en TCP.

Sur les machines Windows 11 22H2 affectées, vous devez effectuer ceci :

1 - Ouvrir l'éditeur de Registre Windows

2 - Accéder à la clé : HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client

3 - Créer une nouvelle valeur DWORD nommée "fClientDisableUDPavec la valeur 1

4 - Redémarrer la machine

Vous pouvez aussi déployer cette clé de Registre par GPO ou à partir d'une ligne de commande :

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client" /v fClientDisableUDP /d 1 /t REG_DWORD

Il y a aussi un paramètre de GPO nommé "Désactiver UDP sur le client" et situé à cet emplacement :

Configuration ordinateur > Stratégie > Modèle d'administration > Composants Windows > Services Bureau à distance > Client Connexion Bureau à distance

RDP - Désactiver UDP par GPO

Avez-vous rencontré ce problème de votre côté ?

Source

The post Windows 11 22H2 : de gros problèmes avec les connexions RDP first appeared on IT-Connect.
Hier — 5 octobre 2022IT-Connect

SILL 2022 : 19 logiciels libres ajoutés à la liste depuis le 1er septembre

5 octobre 2022 à 13:54

Depuis la rentrée de septembre 2022, l'État a régulièrement mis à jour son Socle interministériel de logiciels libres en ajoutant pas moins de 19 logiciels libres supplémentaires à la liste existante.

Le gouvernement français continue de faire évoluer l'édition 2022 du Socle interministériel de logiciels libres (SILL). Pour rappel, il s'agit d'un document qui référence les logiciels libres recommandés. Elle est déterminée par la Direction interministérielle du numérique (DINUM) et par un ensemble de référents. Cela donne également un aperçu des logiciels utilisés au sein de certaines administrations publiques et certains établissements scolaires.

En août 2022, le gouvernement avait mis en ligne l'édition 2022 du SILL. Depuis, la liste continue de bouger avec un total de 19 ajouts depuis le 1er septembre 2022, ainsi que la suppression de 2 logiciels. Preuve que c'est en mouvement, le dernier ajout date du 4 octobre 2022.

Quels sont les nouveaux logiciels ajoutés au SILL ?

Voici la liste des logiciels ajoutés au SILL depuis le 1er septembre 2022 :

  • INSECA
  • DBeaver
  • Angular
  • GNU Octave
  • GNU TeXmacs
  • OCaml
  • FreeFem++
  • PHPBB3
  • Arduino IDE
  • ShredOS
  • SYGEFOR
  • Trivy
  • Zim
  • Kanboard
  • Sugarizer
  • Iparapheur
  • XMIND
  • cal.com
  • Osuny

Personnellement, certains logiciels comme XMIND, ShredOS, Kanboard et PHPBB3 me parlent, mais pas les autres. D'ailleurs, ShredOS est basé sur Linux et il est intéressant pour effacer des supports de stockage en masse. Certains logiciels ont des versions commerciales, comme DBeaver et XMIND, par exemple, mais ici le SILL fait référence aux versions libres.

Quels sont les logiciels retirés du SILL ?

Deux logiciels ne font plus partie du SILL à ce jour :

  • DBAN (Darik’s Boot and Nuke) qui était présent depuis le 1er janvier 2018, mais qui n'est plus maintenu depuis 2015 et qui fonctionne de moins en moins bien avec le matériel moderne si l'on se réfère aux précisions apportées dans le SILL
  • AngularJS qui était présent depuis le 24 mai 2022 mais qui est déjà retiré, car il n'est plus maintenu depuis janvier 2022 (pour le coup, on peut se demander pourquoi il a été ajouté).

Source

 

The post SILL 2022 : 19 logiciels libres ajoutés à la liste depuis le 1er septembre first appeared on IT-Connect.

Windows : récupérer la clé de sécurité WiFi de tous les réseaux connus

5 octobre 2022 à 10:30

I. Présentation

Dans ce tutoriel, nous allons apprendre à récupérer la clé de sécurité WiFi de tous les réseaux sans-fil connus, c'est-à-dire les profils enregistrés sur la machine locale. À chaque fois que l'on se connecte à un nouveau réseau WiFi, les informations sur le réseau sont enregistrées dans Windows : nom du SSID, clé de sécurité, etc...

Avec l'interface graphique de Windows, on peut récupérer facilement une clé de sécurité sans-fil, tandis qu'à partir de PowerShell ou de l'utilitaire WirelessKeyView de Nirsoft, on peut récupérer l'ensemble des clés de sécurité WiFi enregistrées sur une machine Windows.

Version originale : 9 septembre 2012.

II. Récupérer la clé de sécurité du réseau actuel

Sous Windows, que ce soit du Windows 7, Windows 10 ou Windows 11, on peut facilement voir la clé de sécurité du réseau auquel on est connecté actuellement à partir du "Panneau de configuration" (celui d'ancienne génération).

Accédez à "Démarrer" puis recherchez "Panneau de configuration". Cliquez sur "Centre Réseau et partage" dans l'affichage par icônes.

Pour accéder à l'état de la connexion en cours, cliquez dessus dans le centre de réseau et partage. Dans mon cas, je clique sur "Connexion réseau sans fil (NEUF AF00)".

clewifi2

Ensuite, il faut accéder aux propriétés de la connexion sans fil en cliquant sur le bouton "Propriétés sans fil".

clewifi3

Accédez à l'onglet "Sécurité"  puis cochez la case "Afficher les caractères" pour que la clé de sécurité s'affiche en clair (ceci nécessite une élévation de privilèges). Vous n'avez plus qu'à récupérer la clé !

clewifi4

III. Récupérer les clés de sécurité de tous les réseaux WiFi

Pour récupérer l'ensemble des mots de passe WiFi de tous les réseaux connus par votre machine, il y a plusieurs façons de faire : avec PowerShell en utilisant NETSH, ou avec l'utilitaire WirelessKeyView de Nirsoft.

A. WirelessKeyView

Le logiciel WirelessKeyView est proposé gratuitement par Nirsoft. Vous pouvez le télécharger à l'adresse suivante :

Vous allez obtenir une archive ZIP qu'il faudra décompresser avec le mot de passe indiqué sur la page de téléchargement (WKey4567#). Ensuite, il suffit de lancer le logiciel et de constater que toutes les informations s'affichent à l'écran, en clair ! Voici un exemple :

Windows - WirelessKeyView

Dans certains cas, l'antivirus peut ne pas être content et détecter ce logiciel comme un outil malveillant ! Dans ce cas, soit vous créez une exception, soit vous utilisez la seconde méthode proposée ci-dessous. Personnellement, sur une machine Windows 11 22H2 équipée de Windows Defender, je n'ai pas eu la moindre alerte !

B. PowerShell et NETSH

On peut aussi se passer de l'installation d'un logiciel, en utilisant des outils natifs à Windows : PowerShell et NETSH. En effet, NETSH dispose de commandes pour lister les profils WiFi mais aussi afficher les clés de sécurité, donc on peut le coupler à PowerShell pour faire une boucle et obtenir l'information de tous les réseaux.

Avec NETSH, on peut lister les profils WiFi avec cette commande :

netsh wlan show profiles

Voici un exemple :

Windows - Netsh lister les profils WiFi

Puis, on peut récupérer la clé de sécurité d'un réseau sans-fil spécifique en précisant le nom du profil (SSID) :

netsh wlan show profile name=MonReseauWiFi key=clear

Voici un exemple :

Windows - Netsh clé de sécurité WiFi

À partir de PowerShell, on peut déjà récupérer la liste des profils et stocker les noms dans une variable $WLANList :

$WLANList=((netsh wlan show profiles) -match '\s{2,}:\s') -replace '.*:\s' , ''

Puis, avec une boucle Foreach on peut afficher la clé de sécurité pour chaque profil, en écrivant également dans la console le nom du réseau. Il est possible d'améliorer et affiner ce bout de code, mais dans l'idée, cela donne :

Foreach($WLAN in $WLANList){ Write-Host $WLAN ; netsh wlan show profile name=$WLAN key=clear | Where{ ($_ -match "Contenu de la clé") } }

Dans la console, une liste des profils WiFi avec la clé de sécurité correspondante va s'afficher sans avoir utilisé le moindre logiciel tiers ! Il ne reste plus qu'à la récupérer ! Vous pouvez aussi utiliser ce script PowerShell.

The post Windows : récupérer la clé de sécurité WiFi de tous les réseaux connus first appeared on IT-Connect.

Comment installer et configurer SNMP sous Windows Server 2022 ?

5 octobre 2022 à 07:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer et configurer le SNMP sur un serveur sous Windows Server 2022. Le protocole SNMP est très utile lorsque l'on souhaite superviser (monitoring) un équipement (commutateurs, routeurs, serveurs, imprimantes...) afin de récupérer des informations sur plusieurs métriques. Nous pouvons citer quelques solutions de supervision compatibles SNMP : Centreon, Zabbix, Nagios, Checkmk.

Par défaut, la fonctionnalité SNMP n'est pas installée sur Windows donc il convient d'ajouter la fonction avec l'interface graphique de Windows, avec PowerShell ou à partir de son outil de gestion de configuration préférés (Ansible, PowerShell DSC, etc.).

Note : dans sa documentation au sujet de Windows Server 2012 R2, Microsoft précise que SNMP est obsolète. En effet, nous pouvons lire : "SNMP est déprécié. À la place, utilisez Common Information Model (CIM), qui est pris en charge par le protocole de services Web WS-Management et mis en œuvre en tant que Windows Remote Management.". Néanmoins, il reste un protocole très utilisé aujourd'hui pour la supervision.

Version originale : 27 août 2015

II. Installer SNMP sous Windows Server 2022

Ici, j'utilise une machine sous Windows Server 2022 mais la procédure est la même sur les autres versions notamment Windows Server 2012 R2, Windows Server 2016, Windows Server 2019.

Ouvrez le Gestionnaire de serveur, cliquez sur "Gérer" puis "Ajouter des rôles et fonctionnalités". Passez les 4 premières étapes sans effectuer de modifications, jusqu'à arriver à l'étape "Fonctionnalités". Ici, vous devez cocher "Service SNMP" puis "Fournisseur WMI SNMP" si vous envisagez d'utiliser la couche WMI. Vous pouvez aussi l'ajouter par la suite.

Installer SNMP Windows Server 2022

Poursuivez jusqu'à l'étape finale pour lancer l'installation et patientez un instant ! Voilà, SNMP est installé sur le serveur Windows !

III. Installer SNMP en PowerShell

Pour les amateurs de PowerShell et de scripts, sachez qu'il est possible de lancer une installation de SNMP en PowerShell plutôt que de passer par le Gestionnaire de serveur.

Ouvrez une console PowerShell en tant qu'administrateur, et saisissez la commande suivante :

Get-WindowsFeature -Name *snmp* | Install-WindowsFeature

Cette commande a pour effet d'installer toutes les fonctionnalités qui contiennent SNMP dans leurs noms, à savoir :

  • Outils SNMP ("RSAT-SNMP") : Administration de la fonctionnalité SNMP
  • Service SNMP ("SNMP-Service") : Service SNMP en lui-même
  • Fournisseur WMI SNMP ("SNMP-WMI-Provider") : Utiliser les requêtes WMI par SNMP avec cette extension

Pour vérifier l'état de l'installation si vous le souhaitez, exécutez simplement cette commande :

Get-WindowsFeature -Name *snmp*

Vous obtiendrez ceci :

Vérifier si le SNMP est bien installé
Vérifier si le SNMP est bien installé

Passons maintenant à la configuration.

IV. Configuration du service SNMP

Il n'y a pas de console MMC propre à la gestion du service SNMP comme on peut l'avoir pour d'autres rôles et fonctionnalités. La configuration s'effectue par les propriétés du service SNMP.

Par conséquent, accédez à la console des services (services.msc) et recherchez le service nommé "Service SNMP". Effectuez un clic droit dessus et "Propriétés".

Accéder aux propriétés du service SNMP
Accéder aux propriétés du service SNMP

Par rapport à un service classique, vous devez observer la présence d'onglets supplémentaires : Interruptions, Sécurité et Agents, sachant que l'on utilise principalement les deux derniers cités.

Si vous ne voyez pas ces onglets, pas de panique ! Il suffit de redémarrer le service par un clic droit sur "Service SNMP" puis "Redémarrer", sinon par PowerShell :

Restart-Service SNMP

Retournez dans les propriétés et les onglets doivent apparaître.

A. Onglet "Sécurité"

Dans cet onglet, on déclare les communautés que l'on accepte ainsi que les droits attribués. Bien souvent, on attribut une autorisation de lecture seule sur une communauté, mais plusieurs choix sont proposés.

  • Ajouter une communauté

Pour ajouter une communauté, on cliquera sur "Ajouter" et on saisit les informations correspondantes. Il est possible d'ajouter plusieurs communautés, avec un niveau différent de droits à chaque fois si besoin. Pour le nom des communautés, il est préférable d'utiliser des noms complexes pour éviter qu'il soit facilement devinable.

Configurer une communauté SNMP sous Windows

  • Filtrage des hôtes

Par sécurité, il vaut mieux cocher l'option "Accepter les paquets SNMP provenant de ces hôtes" et ajoutez à la liste votre serveur de supervision. Ceci évite d'accepter les paquets SNMP provenant de n'importe qui...

SNMP sous Windows - Filtrage IP

Passons à l'onglet "Agent".

B. Onglet "Agent"

Cet onglet sert à indiquer des informations relatives à votre serveur pour les intégrer dans l'agent SNMP. La zone "Contact" permet d'indiquer les infos sur la personne qui administre ce serveur (un nom, un prénom, ou une adresse e-mail), alors que le champ "Emplacement" sert à indiquer où se trouve ce serveur (exemple : Salle blanche).

ws-2012-snmp-4

Enfin, différentes options sont proposées au niveau "Service" :

- Physique : Le serveur gère-t-il des périphériques physiques ? Exemple : un disque dur.

- Applications : Des applications envoient-elles des données par le biais de TCP/IP ?

- Liaison de données et sous-réseau : Le serveur gère-t-il un pont ?

- Internet : Le serveur est-il un routeur ?

- Bout en bout : Le serveur est-il connecté au réseau en TCP/IP ?

N'hésitez pas à tester votre configuration avec un logiciel de test SNMP, ou sinon testez directement avec votre serveur de supervision. Pour que la configuration soit bien prise en compte, il est préférable de redémarrer le service SNMP.

V. Conclusion

Nous venons de voir comment installer et configurer le SNMP sur Windows Server dans le but de pouvoir superviser notre serveur ! D'autres techniques sont possibles en complément, comme l'utilisation de NSClient++ notamment pour exécuter des scripts PowerShell (via NRPE) et retourner des états. Par exemple :

The post Comment installer et configurer SNMP sous Windows Server 2022 ? first appeared on IT-Connect.

PowerShell : comment chiffrer un mot de passe dans un script ?

5 octobre 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à chiffrer un mot de passe dans un script PowerShell en utilisant le SID de l'utilisateur qui va générer la chaîne sécurisée. C'est une façon, parmi d'autres, de ne pas écrire le mot de passe en clair dans un script.

Ce mot de passe chiffré sera ensuite utilisable pour réaliser diverses actions : s'authentifier auprès de Microsoft 365, auprès d'Azure ou encore pour créer un compte Active Directory qui utilise ce mot de passe (cas d'un mot de passe par défaut que l'on attribue à tous les nouveaux utilisateurs.

Dans cet article, je vais utiliser deux commandes incontournables lorsque l'on manipule des chaînes de caractères sécurisées (SecureString) :

II. Chiffrer le mot de passe avec PowerShell

L'objectif va être de chiffrer le mot de passe "MonSuperMotDePasse" pour que l'on puisse l'utiliser dans le script sans qu'il soit visible en clair. Tout d'abord, on crée une chaîne sécurisée à partir de notre mot de passe qui est un texte brut, ce qui implique d'utiliser l'option "-AsPlainText". Le paramètre "-Force" est nécessaire lorsque l'on utilise "-AsPlainText" sauf si l'on utilise PowerShell 7+ (mais ça fonctionne quand même, car c'est toujours accepté pour des raisons de compatibilité).

$MotDePasse = "MonSuperMotDePasse"
$MotDePasse = ConvertTo-SecureString -String $MotDePasse -AsPlainText -Force

Si l'on essaie de lire le contenu de cette variable ou que l'on regarde son type ($MotDePasse.GetType()), on voit qu'il s'agit d'une SecureString. C'est tout bon.

System.Security.SecureString

PowerShell - Mot de passe chiffré dans un script

Ensuite, nous allons récupérer sous forme de texte la chaîne chiffrée, mais sans dévoiler notre super mot de passe :

$MotDePasse | ConvertFrom-SecureString

Une valeur est retournée dans la console. Par exemple :

PowerShell - ConvertFrom-SecureString

Il s'agit du mot de passe chiffré : c'est cette valeur que nous allons utiliser dans la prochaine partie de cet article.

III. Utiliser le mot de passe chiffré

Maintenant, toujours à partir du même compte utilisateur, on va utiliser ce mot de passe et on peut aussi définir un nom d'utilisateur. La variable $Utilisateur contient le nom d'utilisateur, tandis que la variable $UtilisateurMdp contient le mot de passe sous la forme d'une SecureString. On utilise ConvertTo-SecureString sans le paramètre "-AsPlainText", car ici ce n'est pas un texte brute mais une chaîne déjà chiffrée que l'on veut stocker dans une SecureString.

Ce qui donne (on réutilise bien la valeur précédente) :

$Utilisateur = "[email protected]"
$UtilisateurMdp = 01000000d08c9ddf0115d1118c7a00c04fc297eb010000006c76e757249edf429fc0ee5c2acb5b710000000002000000000010660..... | ConvertTo-SecureString

Ensuite, on peut vérifier que $UtilisateurMdp est bien une SecureString.

PowerShell - Utiliser un mot de passe chiffré

Il ne reste plus qu'à l'utiliser dans notre script !

Par exemple, nous pouvons créer un utilisateur dans l'Active Directory qui va hériter de ce mot de passe :

New-ADUser -Name "TestMdp" -AccountPassword $UtilisateurMdp

Dans le même esprit, pour s'authentifier sur Azure AD, sur Microsoft Teams, etc.

$Creds = New-Object System.Management.Automation.PSCredential($Utilisateur,$UtilisateurMdp)
Connect-AzureAD -Credential $Creds
Connect-MicrosoftTeams -Credential $Creds

Tout cela pour montrer que l'on peut utiliser la SecureString pour définir un mot de passe lors de la création d'un compte ou comme mot de passe dans le cadre de l'authentification sur un service.

IV. Conclusion

Grâce à cette méthode, vous êtes capable de stocker un mot de passe chiffré dans un script PowerShell en utilisant une SecureString et sans qu'il soit visible en clair dans le code ! Il faut savoir que la chaîne chiffrée que l'on a générée dans cette mise en pratique est liée à l'utilisateur et à l'ordinateur, donc il faudra penser à la générer sur l'environnement cible directement pour éviter les dysfonctionnements (et mauvaises surprises). Pour que ce soit "portable", il faudrait s'appuyer sur une clé externe comme une clé AES, par exemple.

Si le sujet du chiffrement avec PowerShell vous intéresse, je vous recommande de regarder du côté de la commande PowerShell "Protect-CmsMessage" (associée à une méthode basée sur de la cryptographie asymétrique).

The post PowerShell : comment chiffrer un mot de passe dans un script ? first appeared on IT-Connect.

Ransomware Netwalker : 20 ans de prison pour cet affilié canadien de 34 ans !

5 octobre 2022 à 08:38

Sébastien Vachon-Desjardins, ancien affilié au groupe de ransomware Netwalker, vient d'être condamné à 20 ans de prison suite aux cyberattaques contre plusieurs entreprises auxquelles il a participé. Il doit également renoncer à son gain de 21,5 millions de dollars.

Dans le rapport de jugement de Sébastien Vachon-Desjardins, nous pouvons lire : "Le défendeur est par la présente placé sous la garde du Bureau des prisons des États-Unis pour être emprisonné pour une durée de DEUX CENT QUARANTE (240) MOIS.", soit 20 ans de prison !

Cette lourde peine se justifie par plusieurs chefs d'accusation. En effet, Ce Canadien de 34 ans a été condamné par un tribunal de Floride après avoir plaidé coupable de "conspiration en vue de commettre une fraude informatique", de "conspiration en vue de commettre une fraude électronique", de "dommages intentionnels à un ordinateur protégé" et de "transmission d'une demande en relation avec des dommages à un ordinateur protégé".

Jugement Sébastien Vachon-Desjardins

Pour lui, les problèmes ne s'arrêteront pas après ces 20 années passées derrière les barreaux puisqu'à sa sortie, M. Vachon-Desjardins devra également purger trois ans de liberté surveillée. Pendant cette période, il n'aura pas le droit d'occuper un emploi dans le domaine de l'IT, ni d'utiliser un ordinateur connecté à Internet, un smartphone, une console de jeux ou un appareil électronique !

Et pour finir, le juge a pris la décision de lui confisquer son argent : 21,5 millions de dollars ! Il s'agit sans aucun doute d'une somme qu'il a obtenue grâce à ses activités malveillantes.

Sébastien Vachon-Desjardins a été arrêté au Québec le 27 janvier 2021, à cause de son affiliation au groupe de ransomware Netwalker (un ransomware-as-a-service) lancé en 2019. Lors de cette arrestation, les forces de l'ordre ont pu mettre la main sur 719 Bitcoins et 790 000 dollars canadiens. Ensuite, Vachon-Desjardins a été extradé vers les États-Unis en mars 2022.

À voir si cette lourde peine fait réfléchir certaines personnes qui participent aux activités de groupes ransomwares...! Quel est votre avis sur la question ?

Source

The post Ransomware Netwalker : 20 ans de prison pour cet affilié canadien de 34 ans ! first appeared on IT-Connect.
À partir d’avant-hierIT-Connect

Piratage de McDonalds France : une fausse alerte ?

4 octobre 2022 à 11:39

Il y a quelques jours, l'enseigne McDonalds France a-t-elle subi un piratage informatique donnant lieu à la divulgation d'une base de données avec 3 millions d'enregistrements ? Il s'agirait d'une fausse alerte... Mais à quoi correspondent ces données ?

À en croire l'article publié sur le site Zataz, McDonalds France serait dans la sauce... Plusieurs pirates informatiques ont échangé au sujet d'une base de données qui contiendrait 3 millions d'enregistrements correspondants à des informations de clients de McDonalds France. Parmi ces informations, il y aurait : nom, prénom, adresse e-mail, date de naissance et un historique des transactions PayPal (ce qui est surprenant). Le tout dans un fichier de 385 Mo.

La bonne nouvelle, c'est que les informations contenues dans cette base sont chiffrées, et sans la clé de déchiffrement, il n'est pas possible de visualiser les informations en claires. C'est appréciable de voir que McDonalds France traite ses données de cette façon ! De ce fait, tout cela n'est qu'hypothèse... Et ces informations proviendraient de l'application officielle de chez McDo.

Ensuite, Damien Bancal du site Zataz a pris le temps de contacter le service communication de McDonalds France, qui affirme qu'il y a eu une enquête et une analyse de cette base de données. Voici ce qu'il faut retenir de la réponse obtenue :

  • La base de données mise en ligne est cryptée et anonymisée
  • Elle n’est pas une base de données clients
  • C'est une base de comptes de tests anonymisés

Pour le moment, les pirates cherchent à déchiffrer les données contenues dans cette base de données. Si les affirmations de McDonalds France sont vraies, alors on ne devrait pas avoir de mauvaises surprises s'ils parviennent à déchiffrer les données, et on peut considérer qu'il s'agit d'une fausse alerte !

Source

The post Piratage de McDonalds France : une fausse alerte ? first appeared on IT-Connect.

Bon plan : des promos sur les licences Office 2021, Windows 10 et Windows 11 !

4 octobre 2022 à 09:30

Nouvelle mise à jour des offres sur les licences Microsoft chez notre partenaire GoDeal24 ! Une fois de plus, ce sont les licences Microsoft Office 2021 qui sont mises en avant, avec un prix à l'unité très intéressant lorsque l'on achète un lot de plusieurs licences !

Pour rappel, Microsoft Office 2021 est disponible depuis le 5 octobre 2021 puisqu'il est sortie le même jour que Windows 11. En ce qui concerne le dernier système de Microsoft, l'entreprise américaine a mis à jour une nouvelle version majeure il y a quelques jours : Windows 11 22H2.

⭐ Au meilleur prix, pendant une durée limitée : Microsoft Office à l'unité ou par lot

Pour bénéficier des offres ci-dessous, vous devez utiliser le code promo "GOLE62".

⭐ Du Windows 10 et du Windows 11

Pour bénéficier des offres ci-dessous, vous devez utiliser le code promo "GOLE50".

⭐ Packs : Windows + Office

Pour bénéficier des offres ci-dessous, vous devez utiliser le code promo "GOLE62".

⭐ Bonus : Project Pro 2021, Office for Mac, Windows 10 LTSC, Windows Server 2022

Je vous rappelle que le paiement sur ce site peut être effectué à partir d'un compte PayPal ou par carte bancaire. Les offres présentées dans cet article sont limitées dans le temps et il s'agit de licences OEM. Ces offres sont gérées directement par le site Godeal24.com. Sur le site TrustPilot, il y a 98% d'évaluations positives.

Si vous avez une question, que ce soit de l'avant-vente ou de l'après-vente, je vous invite à contacter le support du site godeal24.com à l'adresse e-mail suivante : [email protected]

The post Bon plan : des promos sur les licences Office 2021, Windows 10 et Windows 11 ! first appeared on IT-Connect.

Serveur Web : tests de charge en Python avec Locust

4 octobre 2022 à 10:00

I. Présentation

Dans cet article, nous allons apprendre à utiliser Locust, un outil de test de charge pour les services et serveurs web. L'idée du test de charge est d'évaluer la réaction et le comportement d'un serveur ou service web, d'un pare-feu, reverse-proxy, load-balancer ou même d'une solution de cache face à la navigation de plusieurs utilisateurs (10, 100, 1000) en même temps. Nous pourrons par exemple découvrir que lorsque 100 utilisateurs accèdent à la même page au même moment, notre serveur web montre des signes de faiblesse (temps de réponse allongé).

Locust se veut simple d'utilisation, sans interface graphique complexe. Il se paramètre et s'utilise majoritairement via du code Python. Ce dernier sert en effet à définir le comportement des utilisateurs que nous voulons simuler et à lancer le test de charge. Une interface web permet ensuite d'ajuster les derniers paramètres puis de suivre le test de charge et surtout d'obtenir des rendus sur les résultats obtenus.

II. Installation de Locust

Nous pouvons utiliser le gestionnaire de module Python pip pour installer locust (Python3) :

$ pip -V
pip 22.2.1 from /home/itc/.local/lib/python3.10/site-packages/pip (python 3.10)

$ pip install locust

Nous pourrons ensuite importer locust dans nos scripts Python :

$ python3
Python 3.10.5 [GCC 11.3.0] on linux
>>> from locust import *

Nous voilà prêts à réaliser notre premier script de test de charge avec Locust !

III. Premier test de charge d'un service web

Pour commencer, faisons simple. Je vais ouvrir un mini serveur web HTTP avec Python dans un terminal :

python3 -m http.server

Cela me permettra d'avoir une cible pour mon script Locust, mais aussi de rapidement voir les journaux HTTP et constater si mon script se comporte comme je le souhaite. Créons un script simple, que je nomme /tmp/loc.py :

from locust import HttpUser, between, task

class WebsiteUser(HttpUser):
wait_time = between(3, 6)

def on_start(self):
self.client.get("/")

@task
def task1(self):
self.client.get("/")

@task
def task2(self):
self.client.get("/operation.php")

Première chose, pas besoin de spécifier l'URL/domaine cible dans le script, ce paramètre est géré plus tard via l'interface web. Nous allons à présent détailler notre premier script :

from locust import HttpUser, between, task

Importation du module Python locust est des fonctions utiles.

class WebsiteUser(HttpUser):

Création d'une classe WebsiteUser provenant du module Locust. Une instance de cette classe représente un utilisateur, qui pourra réaliser plusieurs requêtes/actions au cours du test.

wait_time = between(3, 6)

Délai d'attente de l'utilisateur entre chaque action, la valeur est ici sélectionnée aléatoirement entre 3 et 6 secondes. Au cours du test, nos utilisateurs seront créés tous en même temps ou au fur et à mesure et réaliseront des actions en boucle, avec un délai d'attente aléatoire entre chaque action.

def on_start(self):
self.client.get("/")

Définition du comportement de l'utilisateur lors de sa création, il ne réalisera cette action (ici, se rendre sur la racine de la cible web) qu'une fois. 

@task
def task1(self):
self.client.get("/")

@task
def task2(self):
self.client.get("/operation.php")

Création de deux tâches, qui, elles, seront exécutées en boucle :

  • aller sur la racine du site web (requête GET)
                  OU
  • aller sur la page /operation.php (requête GET)

Ces tâches sont identifiées par le décorateur @task. Il faut bien noter qu'à la suite de la tâche réalisée, le script observe un temps d'attente (paramétré entre 3 et 6 secondes ici), puis sélectionne une autre tâche et la réalise.

Maintenant que nous avons un script, assez simple, il nous suffit de le lancer. Si vous avez installé Locust via pip, il y a de bonnes chances pour que le binaire locust se situe dans votre dossier bin/ personnel (~/.local/bin/locust). Si vous l'avez installé via apt/yum, il doit être dans le dossier des binaires standard (/usr/bin) donc déjà dans votre PATH :).

$ /~/.local/bin/locust -f /tmp/loc.py
[2022-10-01 15:29:52,466] itc-test/INFO/locust.main: Starting web interface at http://0.0.0.0:8089 (accepting connections from all network interfaces)
[2022-10-01 15:29:52,481] itc-test/INFO/locust.main: Starting Locust 2.12.1

Nous pouvons à présent nous rendre sur l'interface web http://0.0.0.0:8089 :

Locust

Ici, on peut paramétrer le nombre total d'utilisateurs que nous souhaitons simuler et le nombre de créations d'utilisateurs par seconde. Par exemple, si je souhaite simuler 200 utilisateurs avec une création de 20 par seconde, j'aurai tous mes utilisateurs au bout de 10 secondes et chacun d'entre eux feront des boucles avec un délai d'attente de 3 a 6 secondes, puis une requête sur / ou /operation.php, tel que défini dans mon script.

Dans Advanced Options, le paramètre Run time permet de paramétrer une durée du test, utile pour faire des tests d'une durée équivalente entre plusieurs sites ou pour comparer des paramétrages différents côté service web.

Nous pouvons ensuite cliquer sur Start swarming, un tableau apparaîtra et détaillera le nombre de requêtes faites par point d'entrée, le nombre de fails, et différentes données sur les tailles et durée de réponse obtenue (à noter que RPS signifie request per second) :

Serveur Web - Test de charge Locust

Pour avoir des résultats parlant et contourner les limitations de capacité de mon environnement (voir chapitre "Limitations") j'ai donc monté une VM Linux avec 200 Mo de RAM, qui aura du mal à répondre à de multiples requêtes sur un réseau local d'hyperviseur. Également, j'ai créé sur ce service web une page index.html standard, et une page operation.php qui fait des opérations de chiffrement. Cela afin de simuler l'activité d'un serveur qui effectue des opérations dans une base de données afin de générer une réponse pour chaque requête. Je vous partage ici mon script pour information :

<?php

$s = "Welcome";

$ciphering = "AES-128-CTR";
$iv_length = openssl_cipher_iv_length($ciphering);
$options = 0;
$encryption_iv = '1234567891011121';
$round = rand(30,50);
for ($i =0; $i < $round; $i++)
{
$encryption_key = rand(1000000000,10000000000000);
$s = openssl_encrypt($s, $ciphering, $encryption_key, $options, $encryption_iv);
}
echo "s : $s\n";
?>

III. Analyse des résultats

Pendant et à la fin de l'exécution d'un test de charge, il est possible de visualiser les données dans le tableau exposé plus haut, mais également dans trois graphiques (menu Charts).

Le dernier graphique montre la montée en charge des tests avec le nombre d'utilisateurs simulés en même temps (ici 5000 utilisateurs avec une création des utilisateurs par lot 50/seconde).

Le premier graphique indique en vert le nombre de requêtes par seconde et en rouge, nombre d'échecs par seconde (erreur HTTP/500 ou timeout). Le graphique du milieu décrit le temps de réponse médian (ligne verte) et pour le 95eme centile (ligne jaune). C'est le graphique le plus intéressant, car sans causer d'erreur, une surcharge du serveur web va entraîner des temps de réponse de plus en plus longs. Ce que l'on observe dans mon graphique ci-dessus.

Pour rappel, la moyenne est la moyenne arithmétique d'une série de chiffres. la médiane est une valeur numérique qui sépare la moitié supérieure de la moitié inférieure d'un ensemble (50% des requêtes obtiennent un temps de réponse supérieur au temps médian, 50% un temps de réponse inférieur

En statistique le quatre-vingt-quinzième centile est la valeur telle que 95 % des valeurs mesurées sont en dessous et 5 % sont au-dessus.

Le menu Failures permet d'avoir une idée du nombre de message d'erreur reçu et de la réponse du serveur :

Ici, on peut identifier des échecs de réponse côté serveur (pas de réponse/timeout).

IV. Scripting "avancé" avec locust

Nous avons fait un script assez simple contenant deux tâches et des requêtes GET. En parcourant la documentation Locust. Vous remarquez qu'il est possible de faire des choses plus complexes.

A. Prioriser le comportement de l'utilisateur :

Si l'on souhaite orienter le comportement de nos utilisateurs, il est possible de mettre un "poids" assigné à chaque tâche :

class WebsiteUser(HttpUser):
wait_time = between(3, 6)

def on_start(self):
self.client.get("/")

@task(1)
def task1(self):
self.client.get("/")

@task(3)
def task2(self):
self.client.get("/operation.php")

Avec ces valeurs (@task(1), @task(3)), les utilisateurs auront trois fois plus de chance de sélectionner la tâche 2 plutôt que la tâche 1, ce qui permet de simuler une tendance des utilisateurs à aller plus sur une page que sur une autre.

B. Envoyer des données POST

Si vous souhaitez simuler les comportements d'utilisateurs envoyant des données (par exemple : authentification), cela est également possible

@task
def task3(self):
self.client.post("/login", json={"username":"foo", "password":"bar"})

C. Répartition de la charge de travail

Il est également possible de répartir la charge de travail lors du test à l'aide de nœuds esclaves. Il faut pour cela lancer une instance en mode master :

$ ~/.local/bin/locust -f loc.py --master
[2022-10-01 10:27:47,041] itc-test/INFO/locust.main: Starting web interface at http://0.0.0.0:8089 (accepting connections from all network interfaces)
[2022-10-01 10:27:47,056] itc-test/INFO/locust.main: Starting Locust 2.12.1

Les autres instances doivent être démarrées en mode worker et indiquer l'adresse IP du master:

$ /~/.local/bin/locust -f loc.py --worker --master-host=192.168.56.3

Lorsqu'un worker se connecte au master, le message suivant apparaît au niveau du master :

[2022-10-01 10:29:22,021] itc-test/INFO/locust.runners: Worker debian_77b92f24a7a54ac09ceeae99588e984b (index 0) reported as ready. 1 workers connected.

Attention cependant, dans ce cas, le master n'effectuera plus de requête lui-même. Il vous faudra donc au minimum deux workers pour avoir un gain de performance.

D. Pour aller plus loin

Je vous invite à consulter la documentation de Locust pour découvrir toutes ses possibilités : https://docs.locust.io/. Il est par exemple possible de lire le contenu des réponses puis d'afficher un message spécifique quand les résultats (menu Failures) afin d'avoir un tri plus personnalisé des messages d'erreurs et réponses du serveur.

Sans avoir testé toutes ses fonctionnalités, l'outil me paraît facilement personnalisable tant sur la partie test (comportement des utilisateurs) que sur la présentation des résultats.

V. Limitations

A. Capacité système

Il est important de noter que des limitations peuvent exister dans vos environnements de test et empêcher Locust d'atteindre les charges demandées. Votre système n'est à lui seul pas en capacité de lutter contre un serveur digne de ce nom (à moins de trouver une vulnérabilité permettant de décupler votre force de frappe, type amplification). Ce dernier comporte des limitations comme le nombre de fichiers pouvant être ouverts en même temps, ou le nombre de connexions en attente pouvant être active en même temps. Par exemple, voici ce que j'obtiens si je souhaite simuler 10 0000 utilisateurs avec Locust sur une machine virtuelle (4 Go de RAM) :

À première vue, mon test a permis de faire tomber le serveur web, le nombre de "fail" ne fait qu'augmenter ! Cependant, si je regarde le menu Failures pour avoir les détails des messages d'erreurs obtenus, j'obtiens cela :


C'est mon système qui limite les tests (OSError - Too many open files), il ne parvient plus à ouvrir de fichier (il crée certainement un fichier socket par connexion ou utiliser un fichier pour stocker le résultat de chaque requête de façon temporaire). Mon système ici n'est tout simplement pas calibré pour simuler autant de connexions. D'ailleurs, Locust nous prévient rapidement de cette limitation :

# /home/itc/.local/bin/locust -f /home/itc/Documents/loc.py 
WARNING/locust.main: System open file limit '1024' is below minimum setting '10000'.
It's not high enough for load testing, and the OS didn't allow locust to increase it by itself.
See https://github.com/locustio/locust/wiki/Installation#increasing-maximum-number-of-open-files-limit for more info.

En effet, vous pouvez toujours essayer de créer 2000 requêtes par seconde, si votre système ou l'infrastructure réseau n'est pas fait pour supporter une telle charge, Locust ne parviendra au maximum des capacités paramétrées et cela faussera vos tests.

B. Capacité réseau

Les limitations de vos tests peuvent également provenir de votre environnement réseau. Par exemple, j'ai fait mes premiers tests depuis une VM VirtualBox dont l'interface était paramétrée en mode NAT, ce qui impacte très durement les capacités réseau (Locust ne parvenait qu'à faire 9 requêtes par seconde). Le passage en bridge m'a permis de passer à 60 requêtes par seconde. Le tout pour un site situé sur Internet, chemin par lequel d'autres éléments peuvent freiner mon test (mon routeur, mon architecture réseau, etc.).

Également, si votre poste est en Wifi, il risque d'être rapidement limité par les capacités du point d'accès qui acheminera vos paquets jusqu'au serveur web testé.

Il faut donc être conscient de tout cela lorsque l'on fait un test.

C. Contourner les limitations locales

Pour contourner ces limitations techniques, le plus simple semble de louer un serveur à haute capacité (réseau et système) chez un hébergeur cloud (OVHcloud, Azure, Google Cloud Platforme, AWS, etc.). Directement exposé sur Internet et profitant d'infrastructures musclées, ce serveur ne subira les freins et ralentissements éventuels de vos réseaux internes et vos tests ne perturberont pas vos utilisateurs.

Une deuxième option lorsque vous hébergez vos serveurs web dans votre propre Datacenter est de se brancher directement au serveur en question pour avoir un test qui sera le plus "violent" possible.

Dans un contexte réaliste, il ne faut pas oublier de tester non seulement le serveur web, mais aussi tous les composants qui peuvent y mener dans le cadre de l'utilisation de normale de ce dernier. Par exemple, lorsqu'un utilisateur parcourt votre site web depuis internet, il passe par votre routeur périphérique, votre pare-feu, potentiellement un système anti-DDOS, un reverse-proxy, etc. Ces éléments peuvent chacun constituer un point faible au niveau du test de charge : qu'est-ce qu'un SPOF ? 

N'hésitez pas à poser vos questions et partagez vos expériences dans les commentaires ou sur notre Discord.

The post Serveur Web : tests de charge en Python avec Locust first appeared on IT-Connect.

VirtualBox : comment changer l’adresse MAC d’une VM ?

4 octobre 2022 à 08:45

I. Présentation

Dans ce tutoriel, nous allons apprendre à changer l'adresse MAC d'une machine virtuelle VirtualBox. Par défaut, VirtualBox génère une adresse MAC pour chacune des VM enregistrées sur votre ordinateur. Dans certains cas, il peut s'avérer utile de changer l'adresse MAC, soit par une autre adresse générée aléatoirement ou par une adresse MAC définie manuellement. J'ai le souvenir de certains applications ou services qui apportent une réelle importance à l'adresse MAC.

Pour rappel, l'adresse MAC correspond à l'adresse physique de l'interface réseau Ethernet d'un ordinateur. Chaque interface réseau (filaire ou sans-fil) dispose de sa propre adresse MAC et elle est très importante pour l'acheminement des paquets sur le réseau.

Pour les personnes qui débutent avec VirtualBox, voici quelques articles à lire :

II. Changer l'adresse MAC d'une VM VirtualBox

Puisque chaque VM dispose de sa propre adresse MAC, la modification de l'adresse MAC s'effectue dans les paramètres de chaque VM. Prenons l'exemple d'une VM nommée "Windows 11 22H2".

A partir de l'interface VirtualBox, il faut sélectionner la VM et cliquer sur "Configuration" afin d'accéder aux paramètres de cette VM. Ensuite, il faut cliquer sur "Réseau" à gauche puis sur la flèche à côté de "Avancé" pour afficher des paramètres supplémentaires. Ici, il y a le champ "Adresse MAC" qui apparaît : en cliquant sur le flèche à droite, on peut immédiatement générer une nouvelle adresse MAC pour sa machine virtuelle.

VirtualBox - Renouveler adresse MAC

Que ce soit en mode NAT, accès par pont, réseau interne, etc... Il est possible de personnaliser l'adresse MAC. Toutefois, attention aux restrictions qu'il pourrait y avoir sur le réseau auquel vous êtes connecté (filtrage MAC, par exemple).

Au-delà de générer une adresse MAC aléatoirement, nous pouvons aussi définir notre propre adresse MAC, au format hexadécimale (16 symboles : de 0 à 9 et de A à F). Il est impératif de respecter ce format. Attention également à ne pas définir sur la machine virtuelle la même adresse MAC que votre hôte physique !

Voici un exemple avec une adresse MAC où j'ai modifié les 5 derniers caractères :

VirtualBox - Adresse MAC personnalisée

Il ne reste plus qu'à valider et à démarrer la machine virtuelle. Ensuite, en exécutant la commande "ipconfig /all", on peut s'apercevoir que l'adresse physique (soit l'adresse MAC) correspond bien à la valeur définie dans les paramètres de la VM VirtualBox ! Voici un exemple :

VirtualBox - Adresse MAC custom Windows

III. Conclusion

Ce paramètre très simple disponible dans les options de chaque machine virtuelle VirtualBox offre la possibilité de gérer l'adresse MAC utilisée par le système invité installé dans la VM !

The post VirtualBox : comment changer l’adresse MAC d’une VM ? first appeared on IT-Connect.

Les ransomwares en France : 70% des attaques attribuées à LockBit !

4 octobre 2022 à 08:55

L'éditeur de solutions de sécurité Anozr Way a mis en ligne la 4ème édition de son baromètre d'évaluation de la menace ransomware. Un rapport qui montre à quel point la France est impactée par les attaques de type ransomwares.

De manière générale, si l'on regarde les chiffres de janvier à août 2022, l'Amérique du Nord reste la région du monde la plus touchée, avec 43% des attaques contre 35% pour l'Europe. Sur le Vieux Continent, l'ensemble des pays sont touchés, avec en tête l'Allemagne (7%) suivie par la France (5%) et l'Italie (4%).

D'après Anozr Way, 70% des attaques de ransomwares en France sont attribuées aux ransomwares LockBit 2.0 et LockBit 3.0 ! Une domination écrasante qui est inquiétante dans le sens où elle montre le niveau d'efficacité de ce groupe de cybercriminels. Dernièrement, le ransomware LockBit 3.0 a touché le Centre Hospitalier de Corbeil-Essonnes. Au niveau mondial, ce ransomware serait à l'origine de 41% des attaques !

Alors que le groupe Conti s'est éteint, les entreprises françaises ont dû faire face à de nouveaux groupes de cybercriminels comme Bl00dy, Cheers!, ou encore Red Alert.

Au total, et uniquement pour les entreprises françaises, la perte de chiffre d'affaires cumulé entre le 1er janvier et le 31 août 2022 atteint 1,06 milliard d'euros ! Ce chiffre énorme correspond uniquement aux pertes liées aux attaques par ransomwares : même si elles sont majoritaires, ce ne sont pas les seules attaques. Ceci ne tient pas compte non plus du paiement éventuel d'une rançon ! En moyenne, le montant s'élève à 128 000 euros par entreprise !

Quelles sont les entreprises ciblées ?

Que ce soit en France ou en Europe, ce sont les TPE-PME et les organisations du secteur public qui sont les plus touchées. Pour les TPE-PME, on parle d'une attaque sur deux, au niveau européen. Au niveau mondial, le nombre d'organisations victimes de ransomware est en augmentation et il devrait dépasser le niveau atteint en 2021. En effet, d'après Alban Ondrejeck, directeur technique et co-fondateur d'Anozr Way : "En 8 mois seulement, le nombre d'organisations victimes de ransomware dans le monde est déjà égal à 85% de l’ensemble de l’année 2021".

Vous pouvez télécharger le rapport de la société Anozr Way à cette adresse :

Le téléchargement implique de compléter un formulaire.

Source

The post Les ransomwares en France : 70% des attaques attribuées à LockBit ! first appeared on IT-Connect.

Zero-Day dans Microsoft Exchange : la mesure d’atténuation déjà contournée !

4 octobre 2022 à 08:14

Suite à la divulgation des deux failles de sécurité zero-day dans Microsoft Exchange, la firme de Redmond a mis en ligne 2 mesures d'atténuation pour que les entreprises puissent se protéger en attendant un correctif de sécurité. Problème, des chercheurs en sécurité sont parvenus à bypasser ces mesures préventives. Faisons le point.

Depuis vendredi 30 septembre 2022, les failles de sécurité CVE-2022-41040 et CVE-2022-41082 font beaucoup parler d'elles, et visiblement, cela n'est pas prêt de s'arrêter avec ce nouveau rebondissement. Pour rappel, c'est l'entreprise GTSC qui est à l'origine de la découverte de ces vulnérabilités signalées à Microsoft par l'intermédiaire de la Zero Day Initiative. Toutes les versions d'Exchange 2013, Exchange 2016 et Exchange 2019 sont affectées, que ce soit les instances on-premise ou en mode hybride connecté à Exchange Online (dans le cas où le serveur Exchange on-premise est exposé sur Internet).

Suite à la publication d'un rapport au sujet de ces failles de sécurité, Microsoft a réagi en confirmant qu'elles étaient utilisées dans quelques attaques. Ensuite, l'entreprise américaine a partagé des solutions temporaires à appliquer pour limiter le risque d'exploitation de ces vulnérabilités.

Premièrement, il convient de bloquer les accès sur les ports 5985 et 5986 associés à la gestion à distance via PowerShell (connexion WinRM). Deuxièmement, il y a une règle à créer dans la configuration de IIS pour bloquer certaines requêtes malveillantes (plus de détails ici). Ceci peut être déployé à l'aide du script officiel EOMTv2.

IIS : une règle insuffisante

Le chercheur en sécurité Jang affirme que cette règle dans IIS est trop limitée et après quelques efforts, il est parvenu à bypasser la règle afin d'exploiter ces vulnérabilités. De son côté, Will Dormann, analyste chez ANALYGENCE, est d'accord avec Jang et il affirme que le "@" dans l'URL fournie par Microsoft "semble inutilement précis, et donc insuffisant.". Pour valider les travaux de Jang, ce sont les chercheurs en sécurité de chez GTSC, à l'origine de la découverte de ces vulnérabilités qui ont validé que la protection n'était pas suffisante.

Pour que la règle soit en mesure de bloquer un plus grand nombre de requêtes malveillantes, elle doit être un peu moins précise. Jang suggère d'utiliser plutôt cette valeur d'URL dans la règle IIS :

.*autodiscover\.json.*Powershell.*

Si vous avez mis en place la règle dans IIS, vous n'avez plus qu'à adapter votre configuration. Microsoft n'a pas confirmé pour le moment qu'il fallait ajuster la règle dans IIS, et un correctif se fait toujours attendre.

La suite au prochain épisode...

Source

The post Zero-Day dans Microsoft Exchange : la mesure d’atténuation déjà contournée ! first appeared on IT-Connect.

Windows : comment corriger l’erreur de relation d’approbation ? Voici plusieurs méthodes !

3 octobre 2022 à 17:15

I. Présentation

Pour les administrateurs de parcs informatiques sous Windows avec des machines intégrées à un domaine Active Directory, le message d'erreur "La relation d’approbation entre cette station de travail et le domaine principal a échoué" est un grand classique. Le type d'erreur que l'on rencontre tous au moins une fois, même si l'on aimerait bien s'en passer ! Il existe diverses pistes et solutions pour se sortir de se pétrin... Notamment, manuellement via l'interface graphique, mais aussi en ligne de commande.

Dans ce tutoriel, je vais répondre à une question simple : comment corriger l'erreur "La relation d’approbation entre cette station de travail et le domaine principal a échoué" ? Sur une machine en anglais, le message d'erreur correspondant est "The trust relationship between this workstation and the primary domain failed".

La relation d’approbation entre cette station de travail et le domaine principal a échoué

Windows 11 - Relation approbation erreur

II. Le principe des mots de passe "ordinateurs"

Lorsqu'une machine Windows est intégrée à un domaine Active Directory, un objet appartenant à la classe "computer" est créé dans l'annuaire. Cet objet est alors un compte d'ordinateur pour la machine en question. Au-delà du nom, il y a un mot de passe qui est associé à ce compte : ce mot de passe est connu de la machine Windows et de l'annuaire Active Directory. Par défaut, ce mot de passe est valide pour une durée de 30 jours. Au bout de 30 jours, il est renouvelé automatiquement, sans aucune action de votre part.

En modifiant une stratégie de groupe sur votre environnement, par exemple la GPO "Default Domain Policy" qui est native, vous pourrez retrouver le paramètre "Membre de domaine : ancienneté maximale du mot de passe du compte ordinateur" qui montre que la valeur par défaut est de 30 jours.

Active Directory - Mot de passe des ordinateurs - 30 jours

Quand ce message d'erreur se produit, c'est comme si la confiance entre les deux parties avait soudainement disparu. Dans de nombreux cas, cela s'explique par le fait que le mot de passe de l'ordinateur local (la machine Windows intégrée dans l'AD) ne correspond pas au mot de passe stocké dans l'Active Directory. Autrement dit, le renouvellement du mot de passe ne s'est pas passé comme prévu...

Le renouvellement du mot de passe est initié par la machine Windows, à partir du service Netlogon. Cette opération s'effectue au démarrage, ou au moment de s'authentifier auprès du contrôleur de domaine. Le mot de passe est alors stocké dans le Registre Windows sous "HKLM\SECURITY\Policy\Secrets". De son côté, l'Active Directory stocke également ce nouveau secret. Dans une très grande majorité des cas, ce processus s'effectue correctement : heureusement, sinon tous les 30 jours ce serait infernal.

Parfois, cette opération échoue et l'erreur "La relation d’approbation entre cette station de travail et le domaine principal a échoué" se produit ! Il arrive même que sur une même machine, cette erreur revienne assez régulièrement. Je pense qu'il y a plusieurs erreurs qui peuvent se produire, plusieurs cas différents, pour en arriver à ce message. Par exemple, si le mot de passe est bien actualisé dans l'Active Directory mais pas dans la base locale : on se retrouve avec un secret différent. Cela peut se produire aussi si l'objet correspondant à cet ordinateur est supprimé de l'Active Directory.

Voilà, le décor est posé, maintenant nous allons voir quelques méthodes basées sur PowerShell pour corriger cette erreur. Je préfère donner plusieurs pistes, au cas où une méthode ne s'applique pas, vous pouvez en essayer une autre.

III. Dépannage - "La relation d’approbation entre cette station de travail et le domaine principal a échoué"

A. La méthode manuelle

La méthode manuelle est connue de beaucoup d'administrateur système. Elle fonctionne, mais elle n'est pas pratique, car elle nécessite de déconnecter la machine du réseau. Elle consiste à réaliser les actions suivantes sachant que l'objectif est de retirer la machine du domaine et de la réintégrer :

1 - Déconnecter l'ordinateur du réseau

2 - Se connecter en administrateur local

3 - Retirer l'ordinateur du domaine

Remove-Computer -UnjoinDomaincredential IT-Connect\Admin -PassThru -Verbose -Restart

4 - Réinitialiser l'objet ordinateur dans l'Active Directory

5 - Redémarrer l'ordinateur

6 - Reconnecter le câble réseau

7 - Ajouter l'ordinateur au domaine

Add-Computer -DomainName it-connect.local -Restart

Le principal inconvénient de cette méthode, c'est qu'elle implique une présence physique puisqu'il faut déconnecter la machine du réseau. Pour sortir la machine du domaine et l'ajouter de nouveau, on peut utiliser l'interface graphique de Windows ou les commandes PowerShell "Remove-Computer" et "Add-Computer".

B. La méthode PowerShell : Test-ComputerSecureChannel

Depuis plusieurs années, il est possible de corriger cette erreur avec PowerShell ! Une très bonne nouvelle, car ça veut dire qu'on peut le faire à distance, donc c'est beaucoup plus pratique. La commande Test-ComputerSecureChannel existe depuis Windows 10, elle est toujours disponible sur Windows 11. Personnellement, je vous recommande cette méthode.

Sur une machine où la relation d'approbation est cassée, il faut se connecter et exécuter simplement cette commande dans une console PowerShell :

Test-ComputerSecureChannel

Il est également possible de cibler un contrôleur de domaine spécifique, comme on le fait avec les commandes du module Active Directory. Par exemple :

Test-ComputerSecureChannel -Server "SRV-ADDS.it-connect.local"

Cette commande retourne simplement true (vrai) ou false (faux) pour indiquer l'état de la relation d'approbation entre l'ordinateur et l'annuaire (avec le paramètre -Verbose). Dans le cas où vous avez l'erreur de relation d'approbation, la commande retournera "false". De ce fait, il faudra ajouter le paramètre -Repair qui permet de réparer la relation d'approbation ainsi que les identifiants.

Test-ComputerSecureChannel -Repair -Credential [email protected]

On peut aussi faire :

Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

En ce qui concerne le compte utilisateur, il peut s'agir d'un compte Administrateur ou tout simplement d'un compte qui a le droit d'ajouter des machines au domaine Active Directory.

Puisque c'est du PowerShell, on peut aussi agir à distance sur une ou plusieurs machines avec Invoke-Command. Voici un exemple :

Invoke-Command -ComputerName PC-01 -ScriptBlock { Test-ComputerSecureChannel }

Note : que ce soit avec cette méthode ou la méthode qui va suivre, si l'objet ordinateur n'existe pas dans l'Active Directory, il vaut mieux le créer avant. Avec la console "Utilisateurs et ordinateurs Active Directory" (ou une autre méthode), effectuez un clic droit "Nouveau" puis "Ordinateur". Attribuez le même nom.

C. La méthode PowerShell bis : Reset-ComputerMachinePassword

Lorsque l'erreur se produit, il y a une seconde commande PowerShell qui peut rendre service pour se sortir d'affaire : Reset-ComputerMachinePassword, disponible avec Windows PowerShell 5.1. Cette commande permet de réinitialiser le mot de passe du compte ordinateur de la machine locale.

Là encore, cette commande s'exécute depuis l'ordinateur où se situe l'erreur.

Voici comment s'utilise cette commande :

Reset-ComputerMachinePassword -Credential [email protected]

On peut également préciser le nom du contrôleur de domaine cible :

Reset-ComputerMachinePassword -Credential [email protected] -Server "SRV-ADDS.it-connect.local"

L'opération sera automatique, ce n'est pas à vous de définir le mot de passe. Cette méthode permet aussi de corriger l'erreur d'approbation.

D. La méthode netdom

Netdom est un outil qui existe depuis très longtemps sur Windows, avant même que PowerShell pointe le bout de son nez. Il permet aussi de réinitialiser le mot de passe du compte ordinateur à partir de la ligne de commande.

Voici un exemple où je contacte le contrôleur de domaine "SRV-ADDS", en utilisant le compte "florian" et sans préciser le mot de passe en clair (d'où le "*").

netdom resetpwd /s:SRV-ADDS /ud:florian /pd:*

IV. Conclusion

Voilà, nous venons voir différentes manières de corriger l'erreur "La relation d’approbation entre cette station de travail et le domaine principal a échoué" sur vos machines Windows ! Avec PowerShell pour les machines récentes, et avec netdom (ou la méthode manuelle) pour les machines avec des systèmes plus anciens, car on le sait tous qu'il y en a encore en circulation !

Si vous connaissez une autre méthode, n'hésitez pas à nous en faire part avec un commentaire ! 🙂

The post Windows : comment corriger l’erreur de relation d’approbation ? Voici plusieurs méthodes ! first appeared on IT-Connect.

Le groupe Lazarus a exploité une faille dans un pilote Dell pour déployer un rootkit

3 octobre 2022 à 15:28

En 2021, le groupe de cybercriminels Lazarus a utilisé une tactique d'attaque qui s'appuyait sur une vulnérabilité dans un firmware Dell pour déployer un rootkit sur Windows. Pour rappel, il s'agit d'un groupe sponsorisé par la Corée du Nord.

Les chercheurs en sécurité de chez ESET ont découvert et analysé des outils malveillants utilisés par le groupe de pirates Lazarus pendant l'automne 2021. Basée sur des e-mails aux couleurs d'Amazon, cette campagne du groupe Lazarus a ciblé un employé d'une entreprise néerlandaise spécialisée dans l'aérospatial, ainsi qu'un journaliste politique belge. Cette campagne est associée au nom "Bring Your Own Vulnerable Driver".

Dans ce rapport publié par ESET, on apprend que l'un de ces outils exploite la vulnérabilité CVE-2021-21551 qui affecte le pilote DBUtil, lié directement au BIOS (firmware) des machines Dell. Cette faille de sécurité a été corrigée par Dell en mai 2021 (voir cet article : Dell - 5 vulnérabilités découvertes dans le pilote DBUtil, utilisé depuis 2009).

En exploitant cette faille de sécurité avec leur outil FudModule, les cybercriminels du groupe Lazarus sont en mesure de désactiver toutes les fonctionnalités de protection de la machine Windows  compromise. Les chercheurs d'ESET précisent : "Il utilise des techniques contre les mécanismes du noyau de Windows qui n'ont jamais été observées dans un logiciel malveillant auparavant." - Un rootkit particulièrement redoutable, même si l'exploitation de vulnérabilités dans les pilotes et les firmwares n'est pas nouvelle en soi.

Dans le cadre de cette campagne, le groupe Lazarus a utilisé d'autres outils malveillants, notamment leur porte dérobée "HTTPS" surnommée "BLINDINGCAN" (connue aussi sous les noms AIRDRY et ZetaNile). Grâce à elle, le pirate peut contrôler un système précédemment compromis, car elle lui sert de point de connexion.

Les différents outils et techniques utilisées par le groupe Lazarus montrent une nouvelle fois qu'ils sont bien organisés, et qu'ils sont agissent dans trois domaines de la cybersécurité : la recherche du gain financier, le cyber-espionnage et le cyber-sabotage.

Source

The post Le groupe Lazarus a exploité une faille dans un pilote Dell pour déployer un rootkit first appeared on IT-Connect.

Zero-day Exchange : Microsoft donne des précisions et confirme la présence d’attaques !

3 octobre 2022 à 09:33

Microsoft a publié des informations supplémentaires au sujet des failles zero-day dans Microsoft Exchange. Faisons le point.

Désormais, ces deux failles de sécurité zero-day Exchange ont une référence CVE associée et nous savons quelles sont les versions de Microsoft Exchange affectées : Microsoft Exchange 2013, Microsoft Exchange 2016, et Microsoft Exchange 2019. À chaque fois, toutes les versions sont affectées, c'est-à-dire peu importe le "CU" qui est installé.

Sur son site, Microsoft précise : "La première vulnérabilité, identifiée comme CVE-2022-41040, est une vulnérabilité de type SSRF (Server-Side Request Forgery), tandis que la seconde, identifiée comme CVE-2022-41082, permet l'exécution de code à distance (RCE) lorsque PowerShell est accessible à l'attaquant". En résumé, nous avons donc :

  • CVE-2022-41040 : faille de type injection de requêtes forgées côté serveur exploitable par un attaquant authentifié
  • CVE-2022-41082 : faille permettant l'exécution de code arbitraire à distance pour un attaquant authentifié

D'après Microsoft, et c'est une précision importante, il convient d'être authentifié pour compromettre le serveur de messagerie Microsoft Exchange en exploitant ces deux vulnérabilités. Une attaque passe par l'exploitation des deux vulnérabilités, car la faille CVE-2022-41040 peut permettre à un attaquant d'exploiter la faille CVE-2022-41082 à distance, grâce à une requête malveillante.

L'entreprise américaine a confirmé que ces vulnérabilités étaient utilisées dans le cadre d'attaques.

Comment protéger son serveur Exchange ?

Au sein de son article lié à ces failles de sécurité, Microsoft a mis en ligne des indications pour permettre aux entreprises de se protéger. Tout d'abord, la firme de Redmond a repris la solution proposée par la société GTSC, à savoir bloquer certaines requêtes sur le serveur IIS.

Même si tout cela est détaillé sur le site de Microsoft (avec des images plus ou moins visibles), voici en résumé :

1 - Sur le serveur Autodiscover frontend, ouvrez la console IIS, accédez au module URL Rewrite et Request Blocking (blocage de requêtes).

2 - Ajoutez la chaîne ".*autodiscover\.json.*\@.*Powershell.*"  pour le chemin de l'URL

3 - Choisissez la condition d'entrée (input) suivante : {REQUEST_URI}

Si vous utilisez Microsoft Exchange, il est recommandé de mettre en place cette mesure protectrice dès que possible. Pour vous aider, Microsoft a mis en ligne son script "EOMTv2" sur GitHub.

Pour les administrateurs qui souhaitent vérifier si leur serveur Exchange a déjà été compromis, voici la commande PowerShell à exécuter (en précisant le chemin vers les journaux IIS, qui est par défaut "%SystemDrive%\inetpub\logs\LogFiles") :

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200

Ceci permet d'analyser les logs de IIS à la recherche d'une requête malveillante qui serait le signe d'une tentative d'exploitation.

En complément, et ça c'est nouveau par rapport aux informations publiées en fin de semaine dernière, Microsoft recommande de bloquer les ports associées à WinRM et à la gestion à distance via PowerShell, à savoir :

  • HTTP : 5985
  • HTTPS : 5986

L'objectif étant d'éviter que l'attaquant puisse accéder au serveur à distance via PowerShell, car ceci est possible en exploitant ces deux vulnérabilités.

Bientôt un correctif officiel ?

Le prochain Patch Tuesday sera mis en ligne par Microsoft le mardi 11 octobre 2022. Mais, il y a des chances pour qu'un correctif soit mis en ligne avant cette date afin de permettre aux entreprises de sécuriser leur serveur de messagerie dès que possible.

Source

The post Zero-day Exchange : Microsoft donne des précisions et confirme la présence d’attaques ! first appeared on IT-Connect.

Test Konyks Hydro : la gestion de l’arrosage pour votre jardin connecté

1 octobre 2022 à 09:30

I. Présentation

Dans cet article, je vous propose un test complet de la solution Konyks Hydro qui s'adresse directement à ceux qui veulent un jardin connecté ! L'objectif est simple : gérer l'arrosage de votre jardin à votre place, que ce soit pour des plantes ou votre potager, grâce à ce système d'arrosage connecté !

Dans le catalogue de produits Konyks, on retrouve 4 produits susceptibles de prendre place dans votre jardin : la caméra Wi-Fi 100% sans-fil Camini Go, la prise étanche Pluviose Easy, le capteur d'humidité et de température du sol Hydro, et le système d'arrosage connecté Hydro.

Le kit Konyks Hydro est composé de deux éléments :

  • Une base, qui se connecte à une prise électrique et à votre réseau WiFi, appelée Hydro Plug
  • Un module, qui se positionne sur votre robinet d'eau et qui gère le flux d'eau (ouverture / fermeture), appelé Hydro Dispenser

Konyks Hydro - Package

La base (à gauche sur la photo ci-dessus) communique avec le module positionné sur le robinet par l'intermédiaire d'onde RF (radio-fréquence 433Mhz), ce qui permet d'avoir une portée de 60 mètres (en champ libre) entre les deux éléments. Cette technique permet de contourner la limite de portée du WiFi en lui-même, et la base sert d'intermédiaire. D'ailleurs, une seule base peut gérer jusqu'à 4 robinets (ou des capteurs d'humidité du sol, vendus séparément).

On peut trouver différents cas d'usage lors desquels ce kit s'avère intéressant, même s'il le sera surtout au printemps et l'été. Grâce à la gestion automatique de l'arrosage, vous pouvez partir sereinement en vacances sans craindre pour vos plantes ou votre potager. Pour aller encore plus loin, on peut coupler l'utilisation de ce kit avec le capteur d’hygrométrie et température du sol (vendu séparément) qui peut servir de déclencheur à l'Hydro quand le sol est trop sec. Ainsi, on arrose uniquement quand c'est nécessaire : de quoi faire des économies sur la facture d'eau (et notre chère Planète appréciera).

Avant de passer à la suite, quelques précisions techniques :

  • Pression de 0,5 à 8 bars
  • Débit de 5 litres à 35 litres par minute
  • Etanchéité IP54
  • Raccords de robinet standards :
    • Entrée 3/4" NH (19mm) ou 1" BSP
    • Sortie 3/4" (19mm)
  • Compatible iOS et Android (applications Konyks, TuyaSmart, SmartLife)
  • Konyks - Fiche produit

II. Découverte et installation

A. Unboxing Konyks Hydro

A l'intérieur de la boîte aux couleurs de Konyks (comme le kit en lui-même d'ailleurs), les éléments sont bien callés. On retrouve une notice, la base et le module pour le robinet.

La base ressemble à un boitier CPL ou un répéteur WiFi (en moins imposant), et un peu sur le même principe que ces produits-là, elle intègre une prise électrique afin de ne pas condamner la prise murale. Un bon point. Il y a un bouton sous le marquage Konyks, en façade, et il est utile lors de la réinitialisation du boitier ou de l'appairage, mais aussi pour allumer ou éteindre la prise électrique intégrée à la base ! En résumé, voici le rôle de cette base :

  • Communiquer avec le module Hydro (un ou plusieurs éléments)
  • Communiquer avec Internet pour recevoir les ordres envoyés via l'application, les scénarios, etc...
  • Gérer l'appareil connecté sur la prise intégrée car oui elle joue le rôle de prise connectée par la même occasion !

Note : la prise est limitée à une charge maximale de 2300W.

Le second boitier du kit Hydro se fixe sur le robinet d'eau extérieur sur lequel on va venir fixer le tuyau d'arrosage. Autrement dit, il vient se positionner en rupture entre le robinet et le tuyau afin de gérer le flux d'eau. Le gros bouton noir sert à passer l'appareil en mode appairage afin de permettre l'intégration dans l'application. Ce même boutons sert aussi à activer/désactiver le Dispenser de manière ouvrir le robinet ou fermer le robinet sans avoir à utiliser son smartphone. Ce boitier est au couleur de Konyks, mais du coup il n'est pas très discret.

Petit bémol, les piles ne sont pas incluses au package donc il faut prévoir 4 piles AA en supplément pour équiper le module extérieur. Dommage que ce ne soit pas inclus.

B. Mise en route du kit Konyks Hydro

L'initialisation s'effectue à partir de l'application Konyks, disponible aussi bien sur iOS qu'Android, ou avec les applications TuyaSmart et SmartLife. L'occasion de vous rappeler que les appareils Konyks sont compatibles Tuya, ce qui permet l'utilisation de ces applications "génériques".

Tout d'abord, il faut s'occuper de la base (ou du hub, si vous préférez) car l'ajout dans l'application est un peu différent de d'habitude : il faut ajouter le Hub pour ensuite ajouter dans la configuration du Hub la gestion du module Dispenser. Pour commencer, on ajoute un appareil à son compte Konyks, en choisissant "Hydro Plug" dans la liste (ne pas se fier à l'image de box qui apparaît, c'est normal).

Ensuite, il faut initialiser le module extérieur "Hydro Dispenser", que vous pouvez initialiser au chaud à la maison avant d'aller le positionner à sa place "définitive". Pour l'ajouter, c'est dans les paramètres du Hub, puis "Gestion périphériques" pour ajouter un périphérique. C'est un peu différent du fonctionnement habituel, mais c'est bien expliqué. Au final, on obtient trois nouveaux appareils dans sa liste d'appareils Konyks puisque la base Hydro est 2-en-1.

L'installation du module Dispenser sur le robinet extérieur s'effectue sans difficultés si l'on a un robinet compatible. Toutefois, je ne suis pas expert en robinetterie mais ça m'a l'air d'être du standard. On peut également l'installer sur un distributeur 2 voies comme celui de chez Gardena que j'ai à la maison (voir photo ci-dessous). Ainsi, on peut avoir une voie avec un tuyau raccordé sur un pistolet-arroseur et la seconde voie, où il y a l'Hydro, qui sert à raccorder le système d'arrosage du jardin/potager. Dans les deux cas, le débit reste le même avec ou sans l'Hydro, ce qui est un bon point.

Installation Konyks Hydro

III. Les fonctionnalités intelligentes de l'Hydro

Parlons maintenant des fonctionnalités disponibles à partir de l'application Konyks et qui vont nous permettre de configurer le kit Hydro.

Tout d'abord, nous avons des fonctions propres à la prise connectée intégrée à la base Hydro. Il y a un bouton qui permet d'allumer ou d'éteindre la prise à distance, sur le même principe que pour les prises connectées individuelles de chez Konyks. On peut également créer un planning pour allumer ou éteindre la prise selon un horaire et certains jours de la semaine. Enfin, cette prise connectée est intégrable aux scénarios et aux automatisations.

Ensuite, nous avons des fonctions spécifiques au Dispenser pour gérer l'arrosage ! Le tableau de bord de l'appareil indique l'état des piles, ainsi que le volume d'eau utilisé lors de la dernière session d'arrosage. Pour la gestion de l'arrosage, il y a deux modes disponibles via l'application :

  • Mode manuel : déclencher l'arrosage pour 15 minutes, 30 minutes, voire même 60 minutes au maximum, avec un arrêt automatique.
  • Mode programmation : création de 1 à 3 planning d'arrosage, en utilisant les différentes programmations, ce qui permet d'arroser tôt le matin, et tard le soir, par exemple.

Enfin, la section "Accessoires" donne des informations sur le volume d'eau consommé chaque jour ainsi que des données sur l'état du sol mais cela nécessite le capteur d’hygrométrie vendu séparément. Dans les différents menus de l'application, aucune fonctionnalité ne fait référence au réglage du débit d'eau : c'est ouvert ou fermé.

Grâce à ces différentes fonctions, le robinet sur lequel se situe le kit Hydro devient connecté, c'est-à-dire que vous pouvez ouvrir et fermer le robinet à distance depuis votre smartphone, mais aussi par l'intermédiaire des assistants vocaux et du bouton physique. Au-delà des commandes manuelles, c'est la programmation des actions qui est encore plus intéressante : le robinet peut s'ouvrir à une heure précise, selon un planning, et s'arrêter à un moment précis afin d'accomplir une action de manière automatique.

Il y a aussi un potentiel intéressant avec les scénarios car on peut déclencher ou non l'arrosage selon la météo. Par exemple, s'il y a de la pluie, on peut décaler l'arrosage de 24h ou 48h, ce qui permet de ne pas arroser s'il y a déjà eu de la pluie dans la journée. Cette information est récupérée à partir de votre emplacement géographique et les données de météo.

IV. Conclusion

Le kit Konyks Hydro répond à un vrai besoin : la gestion automatique de l'arrosage, tout en apportant des fonctions connectées très tendances afin d'assurer une gestion et une configuration à distance depuis son smartphone. Tout ça, sans pour autant supprimer la fonction de déclenchement manuel puisqu'il y a le bouton sur l'Hydro Dispenser. C'est un appareil intéressant, qui est simple à utiliser et à configurer : il devrait plaire à ceux qui souhaitent automatiser l'arrosage pendant les vacances ! Le fait d'avoir une fonction "prise connectée" sur l'Hydro Hub est également une belle surprise !

Lorsque vous achetez ce kit, tout est compris donc vous n'avez pas de Box domotique à acheter en complément car c'est une fonction déjà assurée par l'Hydro Hub. C'est probablement pour cette raison que le prix pourra sembler un peu élevé : 99,90 euros.

The post Test Konyks Hydro : la gestion de l’arrosage pour votre jardin connecté first appeared on IT-Connect.

Les enseignes de prêt-à-porter Jules et BZB impactées par une cyberattaque !

30 septembre 2022 à 14:30

En ce moment, c'est un véritable festival : les cyberattaques s'enchaînent et des entreprises importantes en font les frais. Aujourd'hui, ce sont les enseignes de prêt-à-porter Jules et BZB (Bizbee) qui sont impactées !

Comme le signale le site LeMagIT, les sites de e-commerce de Jules et BZB évoquent une simple opération de maintenance. Chez Jules, nous avons une page avec pour titre "Site en maintenance", et chez BZB, c'est la même chose avec en gros titre "Notre site se refait une beauté". Rien qu'à voir le design de la page de maintenance, on sent qu'elle a été mise en place en urgence... Voici un aperçu.

Cyberattaque Jules

Cyberattaque BZB (Bizbee)

Et pour cause, toujours d'après les journalistes du site LeMagIT, qui ont pris le temps de contacter quelques boutiques des enseignes concernées, ce n'est pas vraiment une maintenance prévue : les deux marques sont victimes d'une attaque informatique ! Cette attaque serait survenue dans la nuit du 28 au 29 septembre 2022, ce qui a eu pour impact immédiat de rendre indisponibles les services métiers : plus possible de passer des commandes, plus de réapprovisionnement dans les magasins, etc...

Quoi qu'il en soit, le fait que ces deux marques soient touchées au même moment n'est probablement pas un hasard : elles appartiennent au groupe FashionCube. Les autres marques du groupe ne semblent pas impactées, car les sites fonctionnent. On peut citer notamment Pimkie, Rouge Gorge et Grain de Malice. En ce moment, les équipes de CGI doivent être sur le pont, car c'est cette société qui a en charge la gestion des systèmes informatiques du groupe FashionCube.

Cyberattaque : Camaïeu en liquidation judiciaire

En juin 2021, c'est l'enseigne Camaïeu qui a subi une attaque informatique. Résultat, pendant une semaine, le site Internet avait été indisponible. Il y a quelques jours, Camaïeu a été placé en liquidation judiciaire : déjà en difficultés financières à l'époque, cette attaque informatique n'a surement pas arrangé les choses.

Pour le moment, il n'y a aucune information officielle au sujet de cette cyberattaque qui touche Jules et BZB. Quand il y aura du nouveau, l'article sera mis à jour.

Bon courage aux équipes !

Source

The post Les enseignes de prêt-à-porter Jules et BZB impactées par une cyberattaque ! first appeared on IT-Connect.
❌