FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 2 décembre 2021IT-Connect

Les serveurs proxy et reverse proxy pour les débutants

2 décembre 2021 à 17:00

I. Présentation

Dans ce tutoriel, nous allons aborder les notions de proxy et reverse proxy de manière théorique, car ce sont deux notions très importantes en informatique.

Les notions de proxy et reverse proxy sont très proches, c'est pour cette raison que les deux seront présentés dans le même article, mais aussi parce qu'il est indispensable de connaître ces deux approches.

II. C'est quoi un proxy ?

Un serveur proxy, appelé également serveur mandataire, est un serveur qui jouera le rôle d'intermédiaire entre un client et un serveur distant. Par exemple, entre les ordinateurs connectés au réseau local d'une entreprise et Internet (et ses milliards de sites).

Jouer le rôle d'intermédiaire entre deux hôtes, c'est-à-dire ? Dans quel but ? En se positionnant entre le client source et le serveur cible, le serveur proxy va pouvoir réaliser plusieurs actions :

  • Filtrage, ce qui va permettre de bloquer certains sites ou certaines catégories de sites.
  • Cache, ce qui va permettre de mettre en cache les requêtes (exemple : page web) afin de les retourner plus rapidement aux postes de travail.
  • Compression, ce qui va permettre de réduire le poids des pages au moment de retourner le résultat aux clients.
  • Journalisation, toutes les requêtes reçues de la part des clients (postes de travail) seront stockées dans des journaux (logs).
  • Anonymat, puisque votre poste de travail se cache derrière le proxy, le serveur Web verra seulement le proxy.
  • Droits d'accès, puisque le proxy est un intermédiaire, il peut servir à positionner des droits d'accès pour filtrer les accès, au-delà du filtrage Web.

Prenons un exemple pratique : un poste de travail est configuré pour utiliser un proxy et l'utilisateur souhaite accéder au site "www.it-connect.fr". Le poste de travail va demander au serveur proxy de récupérer la page du site "www.it-connect.fr", alors le proxy va se connecter au site "www.it-connect.fr" et retourner la page Web au poste client. D'un point de vue du serveur qui héberge le site "www.it-connect.fr", on verra seulement le serveur proxy et on ignore la présence du poste de travail.

En quelques mots, on peut dire que le poste client demande au proxy d'aller récupérer le contenu de la page web à sa place et de lui retourner le résultat. Les serveurs proxy sont très souvent utilisés pour la navigation Internet, il agit donc sur les protocoles HTTP et HTTPS, mais on peut rencontre d'autres types de proxy (exemple : Proxy SOCKS pour faire du SSH).

A. Proxy et proxy transparent

En entreprise, il est très fréquent d'utiliser un serveur proxy et bien souvent il est là pour réaliser du filtrage Web afin de sécuriser la navigation Internet des utilisateurs, notamment dans les établissements scolaires. Par exemple, on va empêcher les utilisateurs d'accéder aux sites pornographiques.

Il y a deux manières d'intégrer un proxy :

  • Un proxy (classique)

Le proxy doit être déclaré sur le poste client afin que ce dernier soit configuré de manière à passer par le proxy lorsqu'une requête est envoyée, plutôt que de contacter directement l'hôte distant. Si le serveur proxy n'est pas configuré sur le poste client, alors la requête sera envoyée directement au serveur distant, comme si le serveur proxy n'existait pas.

Il y a plusieurs façons d'intégrer un serveur proxy dans une infrastructure. Cela peut être en DMZ, comme ça les postes clients contactent le serveur proxy isolé, et c'est ce serveur qui se connecte à Internet, et non les postes clients directement. Dans certains cas, la fonction de proxy est assurée directement par le pare-feu et donc dans ce cas, il n'y a pas la notion de DMZ (voir second schéma).

Schéma Proxy

  • Un proxy transparent (implicite)

Lors de l'utilisation d'un proxy transparent, appelé aussi proxy implicite, le proxy ne doit pas être configuré sur le poste et ce dernier l'utilisera sans s'en rendre compte, car le proxy sera utilisé comme passerelle au niveau de la configuration du poste client. C'est la configuration idéale pour filtrer le trafic émis par les postes clients.

Dans ce cas, la fonction de pare-feu et de serveur proxy transparent sont généralement regroupée sur un même serveur/équipement. Même si l'on pourrait mettre le serveur proxy transparent sous le pare-feu, et que les trames soient relayées entre le proxy et le pare-feu.

Schéma Proxy Transparent

B. Comment configurer un proxy sur un poste de travail ?

Sur un poste client, il y a plusieurs manières de configurer un proxy. Tout d'abord, il faut savoir qu'un proxy peut se configurer au niveau de chaque logiciel, sous réserve que le logiciel prenne en charge l'utilisation d'un proxy.

Sous Windows, le fait de configurer un proxy dans les "Options Internet" de la machine va permettre d'utiliser ce proxy dans d'autres logiciels qui vont venir se référer à cette configuration. Néanmoins, certains logiciels comme Firefox intègrent leur propre gestion du proxy (même si par défaut il va utiliser la configuration du système), ce qui peut permettre d'outrepasser la configuration du système.

Sur Windows 11, pour configurer un proxy, il faut cliquer sur "Paramètres", "Réseau et Internet" puis "Proxy". Ensuite, il faudra cliquer sur "Configurer" au niveau de l'option "Utiliser un serveur proxy" et il ne restera plus qu'à renseigner l'adresse du proxy.

Configurer proxy Windows 11
Configuration d'un proxy sur Windows 11

Dans Firefox, au sein des options, il faut cliquer sur l'onglet "Général" à gauche et tout en bas, au niveau de "Paramètres réseau", cliquer sur "Paramètres". La fenêtre "Paramètres de connexion" s'affiche et là on peut définir plusieurs proxy.

Configuration d'un proxy dans Firefox
Configuration d'un proxy dans Firefox

Vous allez me dire, comment configurer le proxy sur un parc informatique complet sans effectuer la configuration à la main... Dans ce cas, vous avez plusieurs solutions :

  • Utiliser une GPO pour déployer les paramètres de configuration du proxy sur les postes (au niveau de Windows ou des navigateurs)
  • Utiliser une GPO pour préciser l'emplacement d'un script d'auto-configuration du proxy ("proxy.pac") qui contient une fonction JavaScript "FindProxyForURL" dont l'objectif est d'indiquer si, pour une URL précise, le navigateur doit accéder au site directement ou s'il doit passer par le proxy. Le fichier doit porter l'extension "PAC" pour "Proxy Automatic Configuration".

C. Quels logiciels pour mettre en place un proxy ?

Pour mettre en place un serveur Proxy, il existe de nombreuses solutions. Certaines sont gratuites, d'autres sont payantes. Lorsque l'on parle de serveur proxy, j'ai un nom qui me vient en tête directement : Squid.

Squid est un logiciel qui permet de monter un proxy (et même un reverse proxy) sous Linux, il est performant et très célèbre. Il est toujours maintenu aujourd'hui et sa première version date de juillet 1996 ! Si vous montez un pare-feu avec PfSense, il est possible d'installer le paquet "Squid" pour ajouter la fonctionnalité de proxy à son pare-feu. En complément, l'installation du paquet "Squid-Guard" permettra d'effectuer du filtrage Web.

Au niveau des solutions payantes, il y a deux solutions assez connues : Olfeo et UCOPIA.

D. Le proxy est la notion d'anonymat

Je souhaitais revenir un peu plus en détail sur la notion d'anonymat lorsque l'on utilise un serveur proxy. Certes, en utilisant un serveur proxy il est possible d'être anonyme vis-à-vis du site que l'on visite, mais il faut savoir que le proxy va garder une trace de toutes les requêtes que vous lui envoyez. Autrement dit, il connaîtra tout votre historique de navigation. Pour être réellement anonyme sur Internet, la meilleure méthode consiste à utiliser un VPN.

E. Proxy de mise en cache

Un proxy de mise en cache, appelé "proxy-cache", effectue la mise en cache des données sur son disque local. Dans certains cas, on peut utiliser un proxy de mise en cache pour distribuer des mises à jour de logiciels : le proxy va télécharger une fois la mise à jour sur Internet et la mettre en cache, et ensuite il n'aura plus qu'à la distribuer aux postes clients directement, plutôt que chaque poste client se connecte sur Internet pour télécharger la mise à jour. Par exemple, l'éditeur ESET propose une fonctionnalité de mise en cache pour distribuer les mises à jour des signatures antivirus.

Il est à noter que cette mise en cache peut également être bénéfique dans le cadre de la navigation Internet.

F. Port utilisé par un serveur proxy

Il n'y a pas de port associé obligatoirement aux serveurs proxy, car ce n'est pas un protocole en soi. Malgré tout, il y a deux ports que l'on voit très souvent : 3128 et 8080. Pourquoi ? Tout simplement parce que le port 3128 est utilisé par défaut par Squid, et la popularité de ce logiciel fait que l'on associe souvent le port 3128 à la notion de proxy. Un autre numéro de port que l'on rencontre souvent est le 8080.

Néanmoins, rien ne vous empêche de monter un proxy et d'utiliser le port 80 comme port d'écoute.

G. Contourner les restrictions avec un proxy

Grâce à un proxy, on va pouvoir contourner les restrictions, que ce soit les restrictions géographiques ou les restrictions appliquées au sein d'un réseau local de votre entreprise (par un pare-feu, par exemple).

Prenons un exemple, vous avez besoin d'accéder au site "domaine.xyz" mais vous ne pouvez pas, car le pare-feu en sortie de votre réseau bloque l'accès à ce site. Comme le montre le schéma ci-dessous, la requête est bloquée par le pare-feu.

Pour contourner cette restriction, vous pouvez vous appuyer sur un proxy externe situé sur Internet. De cette façon, votre PC va demander au proxy d'accéder au site "domaine.xyz" et le proxy va vous retourner le résultat. La requête n'est pas bloquée, car vous contactez le proxy et non pas le site en direct. On obtient le schéma suivant :

Attention, je dis que la requête n'est pas bloquée par le pare-feu si l'on passe par un proxy, mais cela dépend de la configuration du pare-feu, et éventuellement du proxy :

  • Si le pare-feu effectue du filtrage DNS ou de site Web, il y a de fortes chances qu'il bloque une liste de proxy connu pour être utilisé pour contourner les restrictions.
  • Si le proxy écoute sur un port particulier comme le 3128 ou le 8080 et que le pare-feu n'autorise pas ces ports en sortie vers Internet, la connexion vers le proxy ne pourra pas aboutir.

Si vous êtes motivé, vous pouvez toujours monter votre propre proxy sur le port 80 (http) ou 443 (https) afin de l'utiliser comme rebond.

III. C'est quoi un reverse proxy ?

À l'inverse du proxy, le reverse proxy comme son nom l'indique fonctionne à l'inverse, c'est-à-dire qu'il permet aux utilisateurs externes d'accéder à une ressource du réseau interne. Lorsque vous accédez à une ressource protégée par un reverse proxy, vous contactez le reverse proxy et c'est lui qui gère la requête, c'est-à-dire qu'il va contacter le serveur cible à votre place et vous retourner la réponse. Le client n'a pas de visibilité sur le ou les serveurs cachés derrière le reverse proxy. Le reverse proxy agit comme une barrière de protection vis-à-vis des serveurs du réseau interne, et il va permettre de publier la ressource de façon sécurisée.

Un cas d'usage courant, c'est d'avoir plusieurs serveurs Web derrière un reverse proxy. Ce dernier va pouvoir répartir la charge entre les différents serveurs Web et en cas de panne d'un serveur Web, vous ne verrez pas la différence, car le reverse proxy orientera les requêtes en conséquence. Si l'on schématise une infrastructure Web qui s'appuie sur un reverse proxy intégré au pare-feu, on obtient :

Schéma Reverse Proxy

Si le serveur reverse proxy est un serveur à part entière, on va venir le positionner en DMZ, et dans ce cas, les serveurs Web peuvent être connectés au réseau local. Les flux provenant de l'extérieur, c'est-à-dire des postes clients qui veulent se connecter au site Web, continuent d'arriver sur le reverse proxy qui sert d'intermédiaire.

Comme dans le cas d'un proxy, le reverse proxy va pouvoir mettre en cache certaines ressources afin de soulager les serveurs Web, mais aussi pour améliorer les performances du site grâce à la compression des données. Par exemple, le reverse proxy va pouvoir mettre en cache des ressources statiques comme les scripts JavaScript.

Si l'on fait un parallèle avec le casino et les jeux de table, on peut dire que le croupier (le reverse proxy) distribue les cartes (les connexions) aux joueurs (aux serveurs) autour de la table (du réseau local) qui participent à la partie. Merci Geoffrey pour cette idée d'analogie. 😉

A. L'en-tête HTTP et le champ "X-Forwarded-For"

Le proxy peut configurer l'en-tête "X-Forwarded-For" pour ajouter à l'en-tête des requêtes HTTP l'adresse IP du client d'origine. De cette façon, le serveur qui reçoit la requête du reverse proxy pourra tracer le client d'origine malgré tout puisque le reverse proxy lui communique l'information.

Cette notion est importante d'un point de vue de la sécurité, notamment si elle est gérée sur le serveur Web directement : on pourra bloquer uniquement ce client s'il effectue une attaque brute force sur notre serveur Web, plutôt que de bloquer le reverse proxy, ce qui serait forcément problématique.

B. Quels logiciels pour mettre en place un reverse proxy ?

Pour mettre en œuvre un reverse proxy, il existe plusieurs solutions open source très connues, comme Apache et son module mod_proxy, mais aussi Nginx. Pour rappel, Apache et Nginx sont également très utilisés en tant que serveur Web. Le serveur Web de chez Microsoft, inclus à Windows et nommé IIS dispose aussi d'un module lui permettant de jouer le rôle de reverse proxy. Il existe également le logiciel HAProxy qui est aussi gratuit et open source.

Sans oublier Squid, que l'on peut utiliser comme proxy puisque je l'ai déjà cité précédemment, mais aussi en tant que reverse proxy Squid. Si vous installez un pare-feu PfSense, vous pouvez lui ajouter la fonction de reverse proxy grâce au paquet Squid.

The post Les serveurs proxy et reverse proxy pour les débutants first appeared on IT-Connect.

Emotet se propage sous la forme d’un paquet d’installation Adobe PDF

2 décembre 2021 à 07:46

Le malware Emote se propage actuellement sous la forme d'un package d'installation Windows permettant d'installer la liseuse de PDF Adobe.

Emotet est un botnet/malware très connu, car il est très répandu, et en début d'année 2021, on apprenait qu'Europol avait pris le contrôle de l'infrastructure d'Emotet et que la police avait pu démanteler le réseau. Sauf qu'il y a deux semaines environ, Emotet est de nouveau entré en activité, dans une nouvelle version !

Pour être distribué, il s'appuie principalement sur deux méthodes : les e-mails d'hameçonnage et les pièces jointes malveillantes. Dès lors qu'il est en place sur un ordinateur, il va récupérer des adresses e-mails dans la boite aux lettres de la victime pour diffuser des e-mails malveillants et chercher à se propager toujours un peu plus. Quant à l'ordinateur déjà compromis, il y a de fortes chances pour qu'un ransomware soit exécuté en guise de charge utile. Cela peut-être TrickBot ou Qbot.

L'e-mail envoyé par Emotet n'est pas le premier d'une conversation. Au contraire, le malware reprend l'une de vos conversations existantes avec l'un de vos contacts et essaie de la poursuivre, en incitant le destinataire à cliquer sur un lien. En cliquant sur le lien, on se retrouve sur une fausse page Google Drive avec un bouton pour prévisualiser le document.

En vérité, le lien qui se cache sur ce document est particulier puisqu'il s'agit d'un lien "ms-appinstaller" où l'objectif est de charger un package d'installation hébergé sur Microsoft Azure. Par exemple, le lien peut-être "ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller".

Si l'on cherche à installer le paquet, Windows demande une confirmation. Lorsque l'on regarde les informations, tout porte à croire que le paquet est sain et officiel, notamment parce que l'éditeur est "Adobe Inc" et qu'il y a l'icône de l'application. Malheureusement, ce n'est pas Adobe PDF qui est en cours d'installation, mais Emotet. En cas de validation, le malware sera téléchargé sur votre poste et une DLL sera stockée dans le dossier "temp" de votre profil utilisateur. En complément, elle sera stockée avec un nom aléatoire dans le répertoire AppData/Local du profil.

Une clé de Registre est ajoutée (dans "HKCU\Software\Microsoft\Windows\CurrentVersion\Run") de manière à exécuter automatiquement la DLL lorsque l'utilisateur ouvre sa session.

Emotet pourra ensuite agir sur votre machine, avec de fortes chances pour que cela se termine par l'exécution d'un ransomware...

Source

The post Emotet se propage sous la forme d’un paquet d’installation Adobe PDF first appeared on IT-Connect.
À partir d’avant-hierIT-Connect

PowerShell et les variables d’environnement

1 décembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment manipuler les variables d'environnement sous Windows à l'aide de PowerShell et quelques commandes utiles.

Contrairement aux variables déclarées dans un script ou le temps d'une session PowerShell, les variables d'environnement sont enregistrées au niveau du système. Avant de passer à la pratique, je vous propose un rappel sur la notion de variables d'environnement.

II. C'est quoi une variable d'environnement ?

Une variable d'environnement est une variable dynamique et globale au sein d'un système d'exploitation. Les différents processus de la machine peuvent accéder à ces variables pour obtenir des informations sur la configuration actuelle du système, en l'occurrence Windows dans notre exemple. Les autres systèmes comme Linux et macOS utilisent des variables d'environnement aussi.

Sur Windows, on retrouve plusieurs dizaines de variables d'environnement, dont :

  • ComputerName : nom de l'ordinateur
  • LogonServer : serveur utilisé pour authentifier la session actuelle, généralement un contrôleur de domaine Active Directory en entreprise, ou l'hôte local s'il s'agit d'une session locale
  • SystemDrive : lettre du lecteur où est installé Windows, généralement "C:"
  • Username : nom de l'utilisateur actuel
  • UserProfile : chemin vers le profil Windows de l'utilisateur
  • Processor_Architecture : architecture du processeur, par exemple AMD64

Ces variables d'environnement sont très utilisées par le système d'exploitation, mais aussi par les logiciels installés sur votre machine, et elles sont aussi très utiles dans les scripts. Le nom de l'ordinateur récupérable via "ComputerName", c'est très pratique.

Quand je dis que ces variables sont dynamiques, c'est que la valeur peut évoluer dans le temps, en fonction de la configuration matérielle de l'ordinateur, mais aussi de sa configuration et même de l'utilisateur connecté sur l'ordinateur.

Par exemple, si je me connecte avec l'utilisateur "florian" sur mon PC, la variable d'environnement "Username" aura la valeur "florian". Ensuite, si je me connecte avec l'utilisateur "it-connect", la variable "Username" prendra pour valeur "it-connect", etc.

III. Lister les variables d'environnement avec PowerShell

Ouvrez une console PowerShell ou Windows PowerShell car nous allons commencer à manipuler. Pour lister l'ensemble des variables d'environnement, on interroger le lecteur de variables d'environnement : Env:. Comme on le ferait pour lister le contenu d'un dossier, on va utiliser la commande Get-ChildItem, ce qui donne :

Get-ChildItem Env:

Comme vous pouvez le voir sur l'image ci-dessous, toutes les variables d'environnement sont affichées. Nous avons le nom et la valeur de chaque variable.

Get-ChildItem Env:
Get-ChildItem Env:

Avec l'alias de Get-ChildItem, ça fonctionne aussi et c'est plus court :

gci env:

Si l'on veut afficher la valeur d'une variable spécifique, on peut préciser son nom à la suite de "env:", comme ceci :

gci env:computername

Par exemple, la variable d'environnement PSModulePath nous donne les chemins vers les différents répertoires où PowerShell regarde pour charger ses modules.

gci env:psmodulepath

Cela retourne :

C:\Users\florian\Documents\WindowsPowerShell\Modules;C:\Program Files\WindowsPowerShell\Modules;C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules

Cette sortie n'est pas très lisible parce que tous les chemins sont sur la même ligne, pour préciser un chemin par ligne, on peut découper la chaîne en ciblant le caractère ";", comme ceci :

($env:PSModulePath).split(";")

IV. Utiliser une variable d'environnement dans un script PowerShell

Historiquement, lorsque l'on utilisait l'Invite de commandes et les commandes MS-DOS, pour consulter une variable d'environnement, il suffisant d'encadrer son nom avec le symbole "%". Par exemple :

%COMPUTERNAME%

Sauf qu'en PowerShell cette syntaxe ne fonctionne pas ; l'écriture est différente. Pour utiliser une variable d'environnement afin de récupérer sa valeur, on va utiliser cette syntaxe :

$env:<nom de la variable>

Par exemple pour le nom de l'ordinateur :

$env:COMPUTERNAME

Lors de l'exécution de cette commande, PowerShell va lire le contenu de la variable d'environnement et l'afficher dans la console. Le nom de l'ordinateur sera retourné.

Variable d'environnement COMPUTERNAME en PowerShell
Variable d'environnement COMPUTERNAME en PowerShell

De cette façon, on peut utiliser n'importe quel variable d'environnement dans un script PowerShell. Par exemple, pour afficher le nom de votre ordinateur, exécutez :

Write-Host "Le nom de mon ordinateur est $env:computername"

Il y a une variable qui est très utilisée, notamment par les logiciels, c'est la variable "USERPROFILE" car elle permet d'obtenir le chemin du profil de l'utilisateur actuel. Pour l'afficher le principe est le même que la précédente variable :

$env:USERPROFILE

J'en profite aussi pour vous préciser que vous pouvez écrire les noms de variable en majuscules ou minuscules, cela n'a pas d'importance.

V. Modifier une variable d'environnement avec PowerShell

Il est possible de modifier une variable temporairement, le temps d'un script par exemple. Pour cela, on peut utiliser Set-Item pour modifier la variable. Par exemple, pour ajouter le répertoire "C:\PS_MODULES" à la variable PSModulePath, on va utiliser cette commande :

Set-Item -Path Env:PSModulePath -Value ($Env:PSModulePath + ";C:\PS_MODULES")

Le caractère ";" devant le nom du chemin est important pour agir comme séparateur entre la valeur que l'on ajoute et la valeur précédente. Le fait d'utiliser "($Env:PSModulePath + ";C:\PS_MODULES")" permets de reprendre les valeurs actuelles et d'ajouter notre valeur.

Voici une autre syntaxe pour ajouter notre chemin supplémentaire :

$env:psmodulepath += ";C:\PS_MODULES"

Si l'on veut que la variable PSModulePath contienne seulement le dossier "C:\PS_MODULES", on doit faire :

Set-Item -Path Env:PSModulePath -Value "C:\PS_MODULES"

Tout cela n'est que temporaire et s'applique à la session PowerShell en cours. Si vous fermez la console et que vous la rouvrez, votre modification sera perdue !

Note : pour créer une variable d'environnement temporaire, on va utiliser la commande : New-Item -Path Env:itconnect -Value "www.it-connect.fr". La commande précédente permet de créer une variable nommée "itconnect" avec la valeur "www.it-connect.fr".

Pour modifier de façon persistante une variable d'environnement, il faut utiliser la class .NET "[System.Environment]" d'après la documentation. Cependant, cette méthode ne fonctionne pas du tout à chaque fois... Dommage. La modification est effectuée temporairement aussi.

Voici une commande pour ajouter le chemin "C:\PS_MODULES" à la variable d'environnement PATH.

[System.Environment]::SetEnvironmentVariable("Path",$Env:Path + ";C:\PS_MODULES")

Si vous connaissez une méthode fiable pour modifier une variable d'environnement de façon persistante, je suis preneur. Sinon, la meilleure méthode reste la modification via l'interface graphique.

The post PowerShell et les variables d’environnement first appeared on IT-Connect.

HiTune X6 : les nouveaux écouteurs true-wireless de chez UGREEN

1 décembre 2021 à 09:50

Récemment, UGREEN a dévoilé une nouvelle paire d'écouteurs sans-fil équipés de la réduction de bruit active : les HiTune X6. Présentation.

Ces écouteurs true-wireless sont totalement sans-fil et la connexion avec votre smartphone, votre PC ou votre tablette s'effectue au travers d'une connexion Bluetooth 5.1, avec une portée de 10 mètres. D'ailleurs, UGREEN annonce une autonomie totale de 26 heures, en tenant compte que vous pouvez les recharger avec la station de charge, bien entendu. Avec une charge complète des écouteurs, vous pouvez tenir 6 heures en mode normal, c'est-à-dire sans la réduction de bruit (ANC) active. Sinon, l'autonomie descend légèrement : 5 heures 30.

Concernant la réduction de bruit active, c'est l'une des fonctions clés de ces écouteurs. La technologie intégrée aux écouteurs permettrait de réduire les sons extérieurs jusqu'à -35 dB. C'est une évolution en comparaison des précédentes générations de la gamme HiTune de chez Ugreen puisque c'est le premier modèle à intégrer l'ANC.

Chaque écouteur est équipé d'un driver de 10 mm pour l'audio, et de trois micros, soit un total de 6 micros. En combinant ces micros et l'ANC, les appels devraient être clairs et de bonne qualité même dans un environnement un peu bruyant. Le tout avec un poids plume puisque chaque écouteur pèse seulement 5 grammes. A noter également qu'ils sont certifiés IPX5.

Une surface tactile recouvre chacun des écouteurs afin de permettre des contrôles avec le doigt, en fonction du nombre d'appui et du type d'appui (court ou long). Par exemple, vous pouvez mettre en pause/lecture la musique ou accepter/raccrocher un appel téléphonique, mais aussi gérer l'ANC et le volume, ou encore passer à la piste suivante ou précédente.

Ugreen HiTune X6

Au sein de la boîte, vous allez retrouver la station de charge (qui se recharge elle-même via USB-C), un câble USB, et 3 paires d'embouts silicones pour s'ajuster à plusieurs morphologies d'oreilles (S, M, L). L'ensemble est harmonieux, avec un mélange de gris et de noir, et semble assez joli esthétiquement !

Parlons du prix pour finir. Ils sont proposés à 79,99 euros, mais à l'occasion de leur sortie, il y a une promotion qui permet de les obtenir à 61,99 euros, grâce au code "HITUNEX6F2" et à un coupon Amazon (cumulable). Cette promotion est valide jusqu'au 10 décembre 2021.

Si cela vous intéresse, voici le lien pour les acheter : Amazon - HiTune X6

The post HiTune X6 : les nouveaux écouteurs true-wireless de chez UGREEN first appeared on IT-Connect.

HP : 150 modèles d’imprimantes affectés par 2 vulnérabilités vieilles de 8 ans

30 novembre 2021 à 18:53

Les chercheurs en sécurité de chez F-Secure ont découvert deux failles de sécurité au sein des appareils multifonctions (MFP) de chez HP, et cela concerne au moins 150 modèles différents.

Alexander Bolshev et Timo Hirvonen, deux chercheurs en sécurité de chez F-Secure, ont découvert deux failles de sécurité au sein des appareils multifonctions HP. Ces failles remontent au moins à 2013 et donc pendant tout ce temps, les utilisateurs étaient exposés à des cyberattaques. Néanmoins, les chercheurs de F-Secure n'ont pas connaissance d'attaques où les hackers ont exploité ces failles de sécurité.

HP est au courant de ces vulnérabilités depuis le 29 avril 2021, suite aux informations remontées par F-Secure.

C'est quoi ces failles ? Comment protéger son imprimante ?

Ces failles de sécurité sont identifiables avec les références CVE suivantes :

La vulnérabilité CVE-2021-39237 nécessite un accès physique à l'imprimante pour être exploitée. En exploitant cette vulnérabilité, l'attaquant peut récupérer des informations.

La seconde vulnérabilité, CVE-2021-39238, est une faille de type "buffer overflow" et elle est un peu plus sévère, ce qui se traduit par un score CVSS de 9.3 contre 7.1 pour la première faille. En exploitant cette faille, l'attaquant peut effectuer une exécution de code à distance afin de prendre le contrôle du MFP.

Plusieurs scénarios d'attaques sont envisageables. F-Secure expose le scénario présent sur l'image ci-dessous, où un utilisateur se fait piéger en visitant un site malveillant, et ce même site exploite la vulnérabilité sur l'imprimante ciblée, ce qui lui permet de prendre le contrôle de cette imprimante et ensuite de récupérer les informations qui transitent par l'imprimante, voire même de progresser sur le réseau de la victime.

Source : F-Secure

La bonne nouvelle c'est que le 1er novembre 2021, HP a publié des correctifs pour ces deux vulnérabilités critiques sous la forme de mises à jour de firmware (micrologiciel de l'imprimante).

Quels sont les modèles affectés ?

La liste des modèles est très longue, il y a des modèles HP LaserJet, HP PageWide, HP ScanJet, etc. Je vous invite à utiliser les liens ci-dessus pour consulter la liste des appareils affectés directement sur le site HP.

Une fois sur le site HP, il vous suffit de cliquer sur le lien "Affected products" pour afficher la liste.

Au-delà de la mise à jour du firmware...

Pour se protéger plus largement contre les vulnérabilités qui touchent les imprimantes, et au-delà d'appliquer les mises à jour de firmware, voici quelques recommandations partagées à cette occasion :

  • Désactiver l'impression via USB
  • Positionner les imprimantes sur un VLAN séparé, derrière un firewall
  • Autoriser uniquement les connexions sortantes depuis les imprimantes vers certaines adresses IP ou VLANs (donc pas vers Internet)
  • Déployer un serveur d'impression pour la communication entre les imprimantes et les postes de travail

Voici le lien vers le document "HP Printing Security Best Practices" pour creuser le sujet.

Source

The post HP : 150 modèles d’imprimantes affectés par 2 vulnérabilités vieilles de 8 ans first appeared on IT-Connect.

Configuration Bginfo : afficher des infos systèmes sur le bureau de Windows

30 novembre 2021 à 17:15

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer et déployer Bginfo sur des machines Windows pour afficher des informations système sur le Bureau, uniquement lorsqu'un Administrateur se connecte.

Bginfo est un logiciel gratuit qui fait partie de la suite d'outils SysInternals et il est connu de la plupart des administrateurs Windows. C'est un logiciel tout simple, mais qui permet d'afficher sur le Bureau Windows, des informations très utiles : nom de la machine, adresse IP, domaine, espace disque disponible, adresse MAC, version de Windows, vitesse du lien réseau, type de CPU, quantité de RAM, etc... En fonction de vos besoins, car il est totalement personnalisable.

Mon objectif est le suivant : afficher des informations sur le Bureau Windows lorsque les membres d'un groupe spécifique se connectent sur les postes (par exemple, les membres du service informatique) afin d'afficher quelques informations utiles. Dans le cas où un utilisateur lambda se connecte sur le poste, les informations de BgInfo ne seront pas affichées. Bien sûr, cela peut s'appliquer sur les serveurs.

Avant de commencer, téléchargez le logiciel "BgInfo" via ce lien : Télécharger BgInfo sur le site Microsoft

II. Configuration de BgInfo

Exécutez BgInfo : l'interface est minimaliste et ce que vous voyez en premier lieu à l'écran, c'est-à-dire les lignes blanches sur un fond noir, cela correspond à ce qui va s'afficher sur le bureau Windows en superposition du fond d'écran.

Il est possible de modifier le texte et les éléments à afficher, notamment pour écrire les intitulés en français et supprimer/ajouter certains champs (voir la liste sur la droite). La police, la couleur, la taille du texte, etc... sont également modifiables.

Voici un exemple de modèle que j'ai créé :

Si vous voulez faire un copier-coller, voici le contenu :

Informations générales:
Nom hôte:       <Host Name>
Domaine:        <Logon Domain>
Logon server:   <Logon Server>
Utilisateur:    <User Name>
Adresse IP:     <IP Address>
Démarré depuis: <Boot Time>

Caractéristiques:
CPU:            <CPU>
Espace disque:  <Free Space>
RAM:            <Memory>
Réseau:         <Network Speed>
Version OS:     <OS Version>
-----------------
IT-Connect - www.it-connect.fr

En cliquant sur le bouton "Preview" vous pouvez voir ce que ça donne sur la machine locale où vous êtes actuellement. Voici ce que ça donne avec mon modèle :

Exemple BgInfo

En cliquant sur le bouton "Custom" à droite, vous pouvez créer des champs personnalisés. Par exemple, vous pouvez récupérer une valeur dans le Registre, exécuter une requête WMI, un script VBS ou PowerShell pour récupérer une information, récupérer des informations sur un fichier, etc. Personnellement, je n'ai jamais créé de champs supplémentaires via BgInfo, mais il faut savoir que ça existe.

Par défaut, BgInfo reprend le fond d'écran de l'utilisateur et il ajoute le texte sur cette même image. Si vous le souhaitez, vous pouvez définir un fond d'écran personnalisé qui sera utilisé lorsque BgInfo s'appliquera. A vous de voir.

Une fois que votre modèle est prêt, cliquez sur "File" dans le menu puis sur "Save". Enregistrez ce fichier : ce sera notre modèle à déployer sur les postes. Pour ma part, je nomme ce fichier "Template_Bginfo.bgi".

Quand vous souhaitez modifier ce template, il suffit de l'ouvrir puisque les fichiers ".bgi" sont associés à BgInfo.

III. Déployer Bginfo par GPO

Passons maintenant au déploiement de Bginfo par GPO. Pour cela, nous allons créer un dossier "BgInfo" au sein du partage "Netlogon" de notre contrôleur de domaine. Dans ce dossier, déposez "Bginfo.exe" et le modèle "Template_Bginfo.bgi".

Note : vérifiez que le template BGI soit bien en lecture seule pour les utilisateurs afin d'éviter qu'il soit modifié. Si un utilisateur mal intentionné modifie le template BGI pour ajouter l'exécution d'un script VBS malveillant, cela peut avoir des conséquences ! D'où l'intérêt de faire attention aux droits.

Dans ce dossier, nous allons ajouter également un script Batch qui va permettre d'exécuter BgInfo à l'ouverture de session, en utilisant notre modèle. On peut aussi trouver une alternative en PowerShell, mais pour lancer un simple exécutable, un script Batch c'est léger et efficace.

Ce qui nous donne le code suivant :

@echo off
%logonserver%\netlogon\BGinfo\Bginfo.exe %logonserver%\netlogon\BGinfo\Template_Bginfo.bgi /accepteula /silent /timer 0
Exit

Script BgInfo

La variable d'environnement %netlogon% permet de récupérer automatiquement le nom du contrôleur de domaine auprès duquel notre machine s'est authentifiée. Cela va permettre d'aller récupérer Bginfo sur le serveur le plus proche de notre poste (en théorie, si vos sites AD sont bien configurés). Ensuite, on ajoute des options pour accepter les conditions d'utilisation du logiciel (/accepteula) et pour l'exécuter en mode silencieux (/silent).

Une fois que le script est prêt, vous devez l'enregistrer dans le répertoire "Bginfo" du répertoire "Netlogon". Enfin, vous pouvez le mettre dans un autre partage si vous le souhaitez, mais cela me semble plus logique de le stocker au même endroit que l'exécutable.

Maintenant, créez une nouvelle GPO à l'aide de la console de Gestion des stratégies de groupe. Pour ma part, je nomme cette GPO "BgInfo" tout simplement. Oui, ce n'est pas très original comme nom.

Modifiez la GPO et parcourez l'arborescence comme ceci :

Configuration utilisateur > Stratégies > Paramètres Windows > Scripts (ouverture/fermeture de session)

Cliquez sur "Ouverture de session" et dans l'onglet "Scripts", cliquez sur "Ajouter" puis sur "Parcourir". Il ne vous restera plus qu'à choisir le script "bginfo.bat" via le chemin réseau. Comme ceci :

Ensuite, validez et fermez l'éditeur de la GPO, car elle est prête ! Nous avons seulement besoin de lancer ce script à l'ouverture de session. J'ai lié la GPO au niveau de mon domaine Active Directory directement, car je souhaite avoir les informations de BgInfo sur toutes les machines (serveurs + postes de travail).

Néanmoins, il nous reste à gérer la partie filtrage de sécurité de la GPO. Je vous rappelle que je souhaite exécuter BgInfo seulement au sein de la session de certains utilisateurs. Pour cela, j'ai créé un groupe de sécurité "Adm-Bginfo" sur mon Active Directory et j'ai mis un utilisateur à l'intérieur.

Au niveau du filtrage de sécurité, il faut supprimer "Utilisateurs authentifiés" et ajouter "Adm-Bginfo", comme ceci :

Nous devons aussi ajouter "Utilisateurs authentifiés" en lecture via l'onglet "Délégation". Cliquez sur "Ajouter", indiquez "Utilisateurs authentifiés" et sélectionnez "Lecture" comme autorisation. Vous devez obtenir ceci :

C'est obligatoire si l'on veut que le filtrage de sécurité fonctionne. Plus d'infos à ce sujet au sein de mon cours sur les GPO : Appliquer une GPO à un groupe spécifique.

Voilà, tout est prêt, il ne reste plus qu'à tester !

IV. Tester BgInfo sur un poste Windows 11

Sur un poste Windows 11 de mon domaine Active Directory, je me connecte avec l'utilisateur membre du groupe "Adm-Bginfo". Une fois sur le Bureau Windows, voici ce que j'obtiens :

BgInfo - Informations systèmes sur le Bureau de Windows
BgInfo - Informations système sur le Bureau de Windows

On peut voir les informations s'afficher à l'écran, en superposition du fond d'écran. On peut voir que je suis sur le poste "PC-01", que je suis connecté au domaine "IT-CONNECT" et que je me suis authentifié auprès du serveur "SRV-ADDS-01".

Sympa, non ? Maintenant, à vous de passer à l'action si BgInfo vous intéresse !

The post Configuration Bginfo : afficher des infos systèmes sur le bureau de Windows first appeared on IT-Connect.

Test Konyks Camini Go : une caméra extérieure sans-fil et full HD

30 novembre 2021 à 10:00

I. Présentation

La Konyks Camini Go est la première caméra de chez Konyks pouvant être utilisée aussi bien en extérieur qu'en intérieur. Jusqu'ici, la marque française proposait plusieurs caméras pour l'intérieur dans sa gamme de produits Camini. Il s'agit d'une caméra Wi-Fi et qui fonctionne sur batterie, elle est donc totalement sans-fil.

J'ai eu l'occasion de m'en procurer un exemplaire alors je vous propose mon test de la caméra Camini Go de chez Konyks !

Les caractéristiques de la caméra Camini Go sont les suivantes :

  • Résolution du capteur : Full HD 1080p - Compression H.264
  • Angle de vision de 116°
  • Connectivité Wi-Fi sur un réseau 2,4 GHz
  • Batterie rechargeable de 10 000 mAh - environ 3 mois d'autonomie
  • Vision nocturne jusqu'à 8 mètres
  • Stockage des enregistrements sur une carte microSD (jusqu'à 128 Go) ou Cloud (payant)
  • Audio bidirectionnel : microphone et haut-parleurs intégrés
  • Certification IP65 pour la résistance aux intempéries
  • Détection de mouvements
  • Scénarios, automatisation, contrôles, notifications, etc... sur son smartphone
  • Compatibilité avec les assistants vocaux
  • Ne nécessite aucun abonnement, ni de bridge/pont
  • Poids : 320 grammes

II. Package et design

On ne change pas une formule qui fonctionne : Konyks propose un packaging conforme à ses habitudes, avec un bel aperçu du produit et surtout des informations très précises sur les caractéristiques du produit. À deux trois détails près, la liste des caractéristiques ci-dessus reprend les informations écrites sur la boîte.

À l'intérieur, nous avons la caméra Camini Go et elle est venue accompagnée d'un guide de démarrage rapide, d'un câble microUSB pour la recharge, des deux supports de fixation ainsi que de la visserie associée. Je trouve que c'est bien d'avoir plusieurs options de montage.

Vous l'avez peut-être constaté ou non, mais il n'y a pas de chargeur USB (seulement le câble) donc il faudra piquer celui de votre smartphone ou connecter la caméra sur votre PC pour la recharger.

La caméra est relativement compacte et elle tient dans la main, mais je la trouve un peu lourde personnellement par rapport à d'autres caméras dans le même esprit que j'ai pu tester. Enfin, ce n'est qu'un détail, car elle ne va pas passer sa vie dans la paume de ma main.

Plus sérieusement, à l'avant de la caméra nous retrouvons le capteur CMOS, le détecteur de mouvement, le micro, ainsi que les différentes LEDs pour la vision infrarouge. Sur les deux côtés, il n'y a rien si ce n'est qu'il y a une étiquette à décoller pour que ce soit plus esthétique.

À l'arrière, c'est intéressant, car nous avons le haut-parleur de la caméra que vous pouvez voir facilement sur les photos ci-dessous. Au centre, c'est la partie aimantée qui sert à positionner le support de fixation (voir ci-dessous), et la partie basse de la caméra donne accès à différents éléments.

Pour être plus précis, après avoir retiré le cache de protection, on peut accéder au bouton on/off de la caméra, au bouton reset, à la prise microUSB qui sert à recharger la caméra et à l'emplacement pour la carte microSD (non fournie). Le cache de protection s'enlève complètement, c'est un peu dommage et en plus il n'est pas très pratique à positionner, mais il faudra y prêter une attention particulière, car il sert à protéger la connectique contre les intempéries.

Il y a deux types de support de fixation : un support de fixation avec une base magnétique qui va maintenir la caméra grâce à un aimant (et ce support peut se fixer grâce au ruban adhésif double face fourni), et un second support de fixation va venir se visser sur la caméra. Si l'installation est effectuée en extérieur, je pense qu'il vaut mieux privilégier le support à visser notamment si la caméra est exposée au vent. Si elle est à l'abri, sous un carport par exemple, on peut miser sur le support magnétique. D'ailleurs, la caméra supporte une plage de température assez large, mais dont il faut tenir compte : de -10°C à +50°C.

En résumé, je dirais que la caméra Camini Go est assez sobre d'un point de vue esthétique, le boîtier est en plastique blanc avec une façade noire. La qualité de fabrication est satisfaisante et le boîtier me semble solide, et prêt à affronter la pluie, le vent, la chaleur et le froid.

III. Initialisation de la caméra

La mise en route s'effectue à partir de l'application Konyks, disponible gratuitement sur Android et iOS. L'idée étant d'associer la caméra Camini Go à son compte Konyks, aux côtés des autres appareils de la marque si vous en avez. L'initialisation s'effectue rapidement et le processus est facile à suivre. Après avoir démarré la caméra, il faut ajouter un nouvel appareil dans l'application. À ce moment-là, un code QR s'affiche sur le smartphone et il faut le scanner avec la caméra, en positionnant le smartphone à environ 20 cm. Grâce à cette opération, la caméra va récupérer des informations comme la connexion Wi-Fi à utiliser. Ensuite, il ne restera plus qu'à donner un petit nom à la caméra et le tour est joué !

IV. Application

L'application Konyks sert à piloter la caméra, à effectuer la configuration et à accéder aux enregistrements. Lorsque l'on accède à la caméra, on voit l'image en direct : on peut zoomer et passer en mode plein écran, ainsi que d'autres infos comme l'autonomie restante. Ensuite, il y a des boutons d'action un peu partout répartis sur l'écran. Voici quelques actions possibles :

  • Gérer la qualité du live HD/SD
  • Activer ou désactiver le rendu sonore côté smartphone
  • Prendre une capture d'écran ou une vidéo (enregistrée directement sur le smartphone)
  • Activer ou désactiver la vision nocturne (par défaut en mode automatique)
  • Activer ou désactiver la détection de mouvement, avec gestion de la sensibilité
  • Accéder aux enregistrements
  • Modifier le thème de l'application (clair ou sombre)

Au sein des paramètres avancés de la caméra, on retrouve certains paramètres identiques à ceux inclus sur l'interface globale de gestion de la caméra. On peut accéder à quelques options supplémentaires et spécifiques, comme la possibilité d'inverser l'image, d'activer l'audio bidirectionnel, de définir une alerte quand la batterie atteint 15%, etc...

Si vous préférez miser sur le stockage Cloud plutôt que le stockage local afin d'externaliser les enregistrements, il faudra passer à la caisse. La première offre d'abonnement est à 4,50 euros par mois pour un historique de 7 jours et jusqu'à 3 caméras. Pour un historique sur 30 jours, il faudra compter 9 euros par mois (et vous pouvez inclure jusqu'à 5 caméras). C'est dommage qu'il ne soit pas possible d'envoyer les enregistrements sur un serveur FTP, pour ceux qui ont un NAS à la maison, ça pourrait être cool.

Note : sans carte microSD, ni stockage Cloud, la caméra est en mesure de stocker quelques copies d'écrans des dernières détections. Ou alors, elles sont envoyées et mises en cache sur le smartphone. Quoi qu'il en soit elles sont accessibles, mais ce ne sont que des photos. Avec la carte microSD, ce sont des séquences vidéos qui seront enregistrées.

En complément, et comme je l'indiquais en introduction, la caméra est compatible avec les assistants vocaux Alexa et Google. Oui, d'accord, mais ça veut dire quoi exactement ? Par exemple, si vous avez un appareil Echo Show d'Amazon, avec Alexa, donc, vous pouvez demander à Alexa d'afficher l'image de la caméra sur l'écran de l'appareil Echo : "Alexa affiche caméra extérieure" (selon le nom donné à la caméra). Vous pouvez faire la même chose chez Google avec un appareil Nest Hub.

V. Image et détection

De jour, la qualité d'image est suffisamment bonne pour vous permettre d'identifier le visage d'une personne. Pour cela, il faudra s'appuyer sur l'image streamée en HD. De nuit, le résultat est satisfaisant même si l'image est plus pixelisée. Les différentes LEDs infrarouges intégrées à la caméra sont efficaces. C'est en noir et blanc, mais ça, c'est normal.

Voici un exemple :

Je suis plutôt content de la qualité d'image de cette caméra Konyks Camini Go.

Concernant la détection, une notification sera envoyée, accompagnée d'une photo, lorsqu'un mouvement sera détecté. À ce niveau, je trouve que la caméra de Konyks est réactive, aussi bien avec les humains que les animaux. Si vous trouvez que la caméra n'est pas assez sensible, il est possible de gérer la sensibilité via les options (voir les copies d'écran ci-dessus). Ce qui manque, c'est de ne pas pouvoir créer une zone d'exclusion pour la détection. Cette fonction est bien pratique lorsque la caméra a dans son objectif une zone que vous ne souhaitez pas surveiller (exemple : la voie publique).

Quelques mots sur l'audio....

Actuellement, le haut-parleur n'est pas utilisé comme une sirène lorsqu'un mouvement est détecté. C'est dommage, car il pourrait être exploité à cet usage, à condition qu'il soit suffisamment puissant. Quant au micro, il fonctionne correctement, mais il sature par moment, ce qui peut compliquer la compréhension et du coup, ça perd un peu d'intérêt.

Quelques mots sur les scénarios...

La caméra Camini Go s'intègre parfaitement au système de scénarios de Konyks. Par exemple, si vous avez des volets roulants pilotés par des interrupteurs Konyks (Vollo), vous pouvez fermer les volets si un mouvement est détecté par la caméra Camini Go, ou allumer la lumière ou une lampe si vous utilisez une prise connectée Konyks.

VI. Conclusion

Simple d'utilisation et efficace quand il s'agit de détecter les mouvements, la caméra Konyks Camini Go est une bonne caméra. 

Avec une bonne qualité de fabrication, une application simple et intuitive, et une bonne qualité d'image, cette caméra ne manque pas d'atouts, mais elle n'est pas parfaite !

Au-delà des petits bémols évoqués tout au long de l'article, ce qui est un peu juste à mon sens c'est l'autonomie de 3 mois. Cela veut dire que tous les 3 mois (plus ou moins), il faudra démonter la caméra pour la recharger, là où des modèles de la concurrence vont jusqu'à 6 mois voire 1 an d'autonomie. Moi, personnellement, ça me gêne.

Avec la Camini Go, pour un prix de 120 euros, on a une caméra totalement autonome : Wi-Fi, sur batterie et avec un stockage en local, ce qui est appréciable.

The post Test Konyks Camini Go : une caméra extérieure sans-fil et full HD first appeared on IT-Connect.

Le client Zoom pour Windows bénéficie de la mise à jour automatique

30 novembre 2021 à 08:25

Zoom a annoncé le lancement d'une nouvelle fonctionnalité pour le client Zoom pour Windows et macOS : la mise à jour automatique lorsqu'une nouvelle version est disponible.

Cette fonctionnalité est appréciable, car elle va permettre aux utilisateurs de bénéficier d'un client Zoom à jour, sans réaliser le moindre effort. Conserver un logiciel à jour est intéressant vis-à-vis de la sécurité, mais aussi pour bénéficier des derniers correctifs de bugs (même si parfois cela génère de nouveaux dysfonctionnements... hum, hum).

La mise à jour automatique du client Zoom pour tous les utilisateurs est disponible pour Windows et macOS. Pour Linux, ce n'est pas pris en charge. Quant aux applications pour mobile, c'est assez facile, car on peut gérer activer les mises à jour automatiques au sein des magasins d'applications, notamment le Play Store de Google.

Comme le précise Jeromie Clark de chez Zoom, l'option sera activée par défaut lors de la première installation de Zoom ou lors de l'installation de la première mise à jour qui intègre cette fonctionnalité. L'utilisateur a l'opportunité de désactiver cette fonction en décochant la case qui va bien. Un paramètre que l'on peut retrouver dans les options du client Zoom à tout moment.

Il y a deux canaux disponibles pour obtenir les mises à jour Zoom : lent ou rapide. Avec le mode lent, vous misez plutôt sur la stabilité, tandis qu'avec le mode rapide, vous bénéficiez à chaque fois des dernières mises à jour stable, et donc, des nouvelles fonctionnalités.

Attention, indépendamment du choix du canal de mise à jour, si l'option de mise à jour automatique est activée et qu'une mise à jour de sécurité critique de Zoom est disponible, celle-ci sera installée.

Pour les entreprises, il existait déjà la possibilité de maintenir à jour automatiquement le client Zoom. Cette nouveauté permet de proposer cette fonction à tout le monde, aussi bien les particuliers que les professionnels.

Source

The post Le client Zoom pour Windows bénéficie de la mise à jour automatique first appeared on IT-Connect.

Un serveur Cloud vulnérable peut être détecté et compromis en 30 minutes

29 novembre 2021 à 18:08

À peine 30 minutes, c'est le temps qu'il faut aux pirates dans certains cas pour repérer et compromettre un serveur vulnérable mis en ligne sur Internet.

Vous n'êtes pas sans savoir que Google propose aux entreprises d'héberger leurs serveurs au sein de Google Cloud Platform, comme d'autres hébergeurs : OVHcloud, Microsoft Azure, Amazon AWS, etc... Les chercheurs en sécurité de chez Google Threat Intelligence ont analysé de près les serveurs compromis et hébergés chez Google. Suite à cette analyse, ils ont pu constater qu'un serveur vulnérable est généralement piraté en quelques heures à peine, tandis que dans certains cas, c'est beaucoup plus rapide : moins de 30 minutes !

Il s'avère que les adresses IP publiques sont continuellement scannées par les pirates, à l'aide d'outils automatiques, afin de détecter les instances cloud vulnérables. Les experts de Google vont même plus loin et affirment : "la question n'est pas de savoir si une instance Cloud vulnérable sera détectée, mais plutôt à quel moment".

Ces serveurs sont vulnérables, car la configuration est mauvaise ! Dans 48% des cas, c'est un mot de passe faible qui est à l'origine du piratage ! Ensuite, dans 26% des cas c'est une faille de sécurité qui est exploitée et dans 12% des cas, c'est un problème de configuration.

La question que l'on peut se poser, c'est : que se passe-t-il une fois que le serveur est compromis ?

Et bien, dans une grande majorité des cas, 86% pour être précis, le serveur est utilisé pour miner des cryptomonnaies. Il est fort probable qu'une grande partie de ce processus de compromission, de la détection à l'installation du logiciel de minage, soit automatisé. En effet, dans 58% des cas observés, il y a moins de 30 secondes entre le moment où le serveur est compromis et le moment où le logiciel de minage est installé.

Sinon, le serveur compromis peut être utilisé à d'autres fins : réaliser des scans de ports vers d'autres serveurs (10%), effectuer des attaques contre d'autres serveurs exposés sur Internet (8%) ou encore héberger des logiciels malveillants (6%).

Retrouvez le rapport complet de Google sur cette page : Google - Threat Horizons

The post Un serveur Cloud vulnérable peut être détecté et compromis en 30 minutes first appeared on IT-Connect.

CronRAT : un malware Linux qui est configuré pour s’exécuter le 31 février

29 novembre 2021 à 11:23

Un nouveau Cheval de Troie d'accès à distance baptisé CronRAT et conçu pour les serveurs Linux cible les boutiques en ligne dans l'objectif de voler des données de carte de paiement.

Découvert par les chercheurs en sécurité de Sansec, le Cheval de Troie de type RAT (Remote Access Trojan), CronRAT, est particulièrement sophistiqué et doté de techniques de furtivité inédites. En effet, CronRAT génère différentes lignes dans le système de planification "cron" du serveur Linux compromis. Ce qui est étonnant, c'est que les lignes ajoutées sont prévues pour s'exécuter le 31 février : une date inexistante. La syntaxe des lignes ajoutées à la crontab sont valides, mais l'exécution de ces tâches génère une erreur. Néanmoins, cela ne se produira pas puisque le 31 février n'existe pas.

Le code du malware est caché au sein du nom des tâches et il bénéficie d'une multitude de couches de compression et du décodage en base64. Il s'agirait d'un malware codé en bash. Les chercheurs de Sansec précisent qu'il dispose de fonction d'autodestruction, de modulation du temps et d'un protocole binaire particulier pour communiquer via le port 443/TCP avec un serveur de contrôle distant.

D'après Sansec, CronRAT n'est pas détecté par les autres fournisseurs de sécurité, en tout cas pour le moment, et que pour le détecter, ils ont du réécrire une partie de leur algorithme eComscan. Sur le site d'analyse VirusTotal, les résultats sont inquiétants : 12 moteurs antivirus ont été incapables d'analyser le fichier malveillant, et pour ceux qui ont pu l'analyser, il y en a 58 qui ne l'ont pas détecté comme une menace.

Lorsque CronRAT est en place sur un site d'e-commerce, il va être en mesure de capturer les coordonnées bancaires avant qu'elles soient chiffrées, sans être détecté par les solutions de sécurité. On parle d'attaques de type Magecart. C'est pour cette raison que l'on parle d'un Cheval de Troie d'accès à distance, car il n'est pas présent directement sur le poste de la victime.

Source

The post CronRAT : un malware Linux qui est configuré pour s’exécuter le 31 février first appeared on IT-Connect.

GPO : comment empêcher des utilisateurs de se connecter sur les PC ?

29 novembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment empêcher certains utilisateurs de se connecter sur les postes de votre domaine Active Directory à l'aide d'une GPO.

À l'aide d'une GPO, nous allons pouvoir empêcher tous les membres du groupe de sécurité "Sec-Bloquer-Connexion-PC" de se connecter sur un ou plusieurs ordinateurs/serveurs de votre domaine Active Directory.

Par exemple, si vous avez quelques comptes utilisateurs Active Directory qui sont destinés à être utilisés uniquement sur certains postes, il est tout à fait pertinent de bloquer la connexion sur les autres PC de votre parc informatique.

Dans le même esprit, si vous avez des comptes de votre annuaire Active Directory synchronisés sur Office 365 mais qui n'ont plus d'utilité sur l'infrastructure locale, vous pouvez les empêcher de se connecter sur vos postes. Cela vous permet de les maintenir actifs dans votre Active Directory, et donc sur Office 365 (sans les transformer en compte Cloud), sans pour autant leur permettre une connexion sur les postes.

Pour cette démonstration, je vais utiliser un contrôleur de domaine Active Directory sous Windows Server 2022 (mais cela fonctionne sur les versions antérieures) et un poste de travail sous Windows 11.

II. L'option "Se connecter à" de l'Active Directory

Si l'on veut seulement restreindre un ou deux comptes afin qu'ils puissent se connecter sur quelques postes spécifiques, on peut utiliser l'option "Se connecter à" accessible via les propriétés du compte dans l'Active Directory.

Cette option permet de définir les ordinateurs sur lesquels cet utilisateur est autorisé à se connecter. Cette option est pratique à petite échelle, et je lui préfère la méthode par GPO qui est plus flexible, mais il faut savoir que cette possibilité existe.

Active Directory - Option "Se connecter à"
Active Directory - Option "Se connecter à"

Maintenant, passons à la méthode par GPO.

III. GPO "Interdire l'ouverture d'une session locale"

Avant de créer la GPO, on va créer notre groupe de sécurité "Sec-Bloquer-Connexion-PC". Tous les membres de ce groupe ne pourront pas se connecter sur les ordinateurs du domaine présent dans l'OU "PC" de mon Active Directory. Dans ce groupe, j'ajoute l'utilisateur "Malcom Unchien" afin de faire un test après la mise en place de la GPO.

Désormais, on peut créer la GPO à l'aide de la console "Gestion de stratégie de groupe". Pour ma part, j'ai appelé cette GPO "Bloquer-Connexion-PC" et je l'ai liée à l'OU "PC".

Note : pour éviter de se retrouver coincer en cas de mauvaise manipulation, je vous déconseille d'appliquer cette GPO sur les contrôleurs de domaine (OU "Domain Controllers").

Ce qui donne :

Une fois la GPO créée, je vous invite à la modifier et parcourez l'arborescence de cette façon :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Attribution des droits utilisateur

À cet endroit, vous allez trouver plusieurs paramètres dont celui nommé "Interdire l'ouverture d'une session locale" et que l'on va configurer.

Double-cliquez sur ce paramètre pour le configurer. Je vous invite à cocher l'option "Définir ces paramètres de stratégie". Ensuite, cliquez sur "Ajouter un utilisateur ou un groupe" et recherchez le groupe "Sec-Bloquer-Connexion-PC", ce qui donne :

Interdire l'ouverture d'une session locale
Interdire l'ouverture d'une session locale

Il ne reste plus qu'à valider. Pour rappel, tous les membres de ce groupe ne pourront pas se connecter sur un PC en local grâce à ce paramètre de GPO.

Note : si un utilisateur restreint dispose d'une autorisation pour se connecter en Bureau à distance (RDP) sur un serveur ou un poste spécifique, il pourra continuer à se connecter via la connexion distante RDP même si la GPO s'applique sur ce même poste. Par défaut, un utilisateur lambda ne peut pas se connecter en RDP.

La GPO est prête. Maintenant, je bascule sur mon poste Windows 11, je mets à jour les GPO puis je redémarre le poste :

gpupdate /force

Suite au redémarrage, si j'essaie de me connecter sur le poste avec le compte "Malcom Unchien", je ne peux pas ! Ma GPO fonctionne bien et j'obtiens le message "La méthode de connexion que vous tentez d'utiliser n'est pas autorisée. Pour plus d'informations, contactez votre administrateur réseau".

En fonction de vos besoins, ajoutez les utilisateurs au groupe de sécurité et liez la GPO sur les OUs qui contiennent les PCs sur lesquels appliquer la restriction.

The post GPO : comment empêcher des utilisateurs de se connecter sur les PC ? first appeared on IT-Connect.

Préparer une carte SD pour son Raspberry Pi avec Raspberry Pi Imager

28 novembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment utiliser Raspberry Pi Imager pour préparer une carte SD avec Raspberry Pi OS prête à l'emploi en quelques minutes.

Raspberry Pi Imager est un outil open source, relativement récent, développé par la fondation Raspberry Pi directement et qui va permettre de déployer sur une carte SD (ou une clé USB, etc.) l'image d'une distribution Linux en quelques clics. En l'occurrence, je vais déployer l'image Raspberry Pi OS sur ma carte microSD afin d'utiliser ce système sur mon Raspberry Pi. L'objectif de Raspberry Pi Imager est de simplifier encore un peu plus la mise en route d'un Raspberry Pi.

La bonne nouvelle, c'est que pour utiliser Raspberry Pi Imager, vous n'avez pas besoin de télécharger au préalable l'image ISO du système à installer ! Une liste de système est proposée et l'image sera téléchargée via Internet directement.

Je vais procéder depuis Windows en récupérant l'outil au format exécutable (il est disponible aussi sur macOS et Linux) et je vous invite à le récupérer sur GitHub via ce lien : Télécharger - Raspberry Pi Imager

Vous pouvez aussi le récupérer sur le site officiel de Raspberry Pi.

II. Utilisation de Raspberry Pi Imager

L'installation s'effectue en quelques clics... Sans option spécifique. Une fois que c'est fait, exécutez Raspberry Pi Imager sur votre ordinateur.

Commencez par cliquer sur "Choisissez l'OS" pour choisir le système à déployer sur la carte SD.

Raspberry Pi Imager
Raspberry Pi Imager

Plusieurs systèmes sont proposés, à commencer par Raspberry Pi OS bien sûr. Pour rappel, il s'agit du nouveau nom du système Raspbian, optimisé pour le Raspberry Pi et basé sur Debian. Vous avez le choix entre une version avec ou sans interface graphique (Desktop ou Lite).

Ensuite, vous pouvez retrouver d'autres distributions, organisés par catégorie comme RecalBox pour le rétrogaming dans la catégorie "Emulation and Game OS", ou encore "LibreELEC" dans la catégorie "Media player - Kodi OS". A vous de choisir et de valider.

Note : lors du choix de certaines distributions, il faut bien choisir la version qui correspond à votre version de Raspberry Pi.

De retour sur le menu principal, cliquez sur "Choisissez le stockage". Dans la liste, sélectionnez votre carte microSD (ou votre clé USB, etc.).

Nous avons choisi le système et sélectionné un espace de stockage, il ne reste plus qu'à cliquer sur le bouton "Ecrire".

Un message d'avertissement s'affiche pour vous indiquer que les données sur le périphérique sélectionné pour l'installation seront supprimées. Validez en cliquant sur "Oui". Pensez à sauvegarder vos données en amont si nécessaire.

Patientez pendant l'installation de l'image de votre système sur votre carte SD ! Raspberry Pi Imager va télécharger l'image du système et la déployer sur la carte SD.

Le message "Raspberry Pi OS (32 bits) a bien été écrit sur SDHC Card" s'affiche. Parfait. Cliquez sur "Continuer" car c'est déjà terminé, votre système est prêt à l'emploi !

Et ensuite, on fait quoi ? 🙂

III. Premier démarrage du nouveau système

Et bien, il faut insérer la carte microSD dans le Raspberry Pi et l'alimenter pour qu'il démarre.

Lorsque vous Raspberry Pi OS va démarrer, vous allez vous retrouver sur le Bureau avec le compte "pi" intégré au système, il sera demandé de finaliser l'installation en suivant un assistant.

Cliquez sur "Next" pour accéder à la première étape.

Vous allez devoir définir un nouveau mot de passe, choisir la langue pour le clavier, etc... Ce sont des étapes assez basiques qu'il faut suivre les unes après les autres.

Pour aller plus loin dans la configuration Raspberry Pi, je vous invite à cliquer sur le bouton pour afficher le menu principal (la framboise en haut à gauche), puis sous "Préférences", cliquez sur "Configuration du Raspberry Pi". Par exemple, cela peut vous permettre d'activer l'accès SSH sur votre Raspberry Pi.

Alors, dites-moi tout, qu'avez-vous prévu avec votre Raspberry Pi ?

The post Préparer une carte SD pour son Raspberry Pi avec Raspberry Pi Imager first appeared on IT-Connect.

Comment monter un disque chiffré avec BitLocker sous Linux ?

26 novembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment monter un disque chiffré avec BitLocker sous Linux à l'aide de l'outil Dislocker. Cette manipulation permet également de déverrouiller une clé USB chiffrée avec BitLocker.

Lorsque l'on chiffre une clé USB ou un disque dur externe avec BitLocker To Go, on peut y accéder facilement à partir d'une machine Windows. En effet, lorsque l'on connecte le périphérique à son PC, Windows affiche une notification afin de demander la clé de déverrouillage. Facile. Par contre, sous Linux, c'est un peu différent, car il faut s'appuyer sur un utilitaire, en l'occurrence Dislocker, et effectuer quelques manipulations avant de pouvoir accéder au contenu du disque.

Environnement : pour ma part, je vais installer Dislocker sur mon Raspberry Pi qui tourne sur une base de Debian. Une simple clé USB chiffrée avec BitLocker me servira de cobaye.

Si BitLocker est un sujet qui vous intéresse, voici quelques tutoriels BitLocker dans un environnement Windows :

II. Installation de Dislocker

L'installation du paquet Dislocker est très classique, il suffit de mettre à jour le cache des paquets et de lancer l'installation, comme ceci :

sudo apt-get update
sudo apt-get install dislocker

On valide l'installation du paquet et le tour est joué.

III. Utilisation de Dislocker pour monter un périphérique USB chiffré

Maintenant, je vous invite à connecter votre clé USB, votre disque externe (ou interne, mais ça il fallait le faire avant de démarrer) à votre PC. Ensuite, suivez les étapes ci-dessous.

A. Créer les deux points de montage pour Dislocker

Commencez par créer deux points de montage, que l'on appellera "bitlocker" et "bitlockerloop" (vous pouvez donner d'autres noms). Vous comprendrez par la suite pourquoi il faut créer deux points de montage. Ce qui donne :

sudo mkdir /media/bitlocker
sudo mkdir /media/bitlockerloop

B. Repérer le périphérique BitLocker

Une fois que c'est fait, il faut que l'on identifie notre disque sur la machine. Pour cela, exécutez la commande suivante :

sudo fdisk -l

Cette commande va lister l'ensemble des disques et volumes visibles par votre machine. Dans la liste des périphériques, je parviens à repérer ma clé USB et sa partition qui correspond à "/dev/sda1".

C. Déchiffrer le volume BitLocker avec Dislocker

Désormais, nous pouvons déchiffrer le volume sur notre machine Linux à l'aide de Dislocker. Là, je vais spécifier "/dev/sda1" puisque ça correspond à ma clé USB. Ensuite, on spécifie le point de montage "/media/bitlocker". Ce qui donne :

sudo dislocker /dev/sda1 -u /media/bitlocker

Le prompt va afficher "Enter the user password:" et là il ne faut pas indiquer le mot de passe du compte qui exécute la commande via sudo, mais le mot de passe BitLocker qui permet de déverrouiller le volume protégé. Si vous mettez le bon mot de passe et que tout se passe bien, la commande n'affiche pas de retour.

Note : il est possible d'ajouter le mot de passe directement dans la commande Dislocker, mais il sera en clair alors ce n'est pas recommandé. Exemple :

sudo dislocker -r -V /dev/sda1 -uVotreMDP -- /media/bitlocker

Attention : dans la commande ci-dessus, il n'y a pas d'espace entre "-u" et le mot de passe, mais c'est normal.

A partir de là, Dislocker est en mesure de déchiffrer notre volume, mais si l'on regarde dans "/media/bitlocker", on voit seulement un fichier nommé "dislocker-file" qui est un binaire généré par Dislocker. Il joue le rôle de déchiffreur entre le système Linux et notre partition chiffrée avec BitLocker.

D. Monter le volume Bitlocker sur Linux

Il faut s'appuyer sur le fichier "dislocker-file" pour monter notre volume chiffré au sein du second point de montage "/media/bitlockerloop". Cette fois-ci, le montage va être effectué avec la commande classique, à savoir "mount" et il faudra bien spécifier l'option "loop" compte tenu du format très particulier du fichier dislocker-file.

Ce qui donne :

sudo mount -o loop /media/bitlocker/dislocker-file /media/bitlockerloop

À partir de là, on peut accéder au contenu de notre périphérique chiffré avec BitLocker depuis notre machine Linux ! Par exemple, en listant le contenu du répertoire "/media/bitlockerloop", on voit bien le contenu de la clé USB s'afficher :

sudo ls -l /media/bitlockerloop

BitLocker sous Linux

Voilà, votre périphérique protégé par BitLocker est accessible sous Linux ! Nous n'allons pas en rester là, voyons deux trois petites choses supplémentaires...

E. Démonter le volume BitLocker sur Linux

Une fois que vous n'avez plus besoin de ce volume, il faudra le démonter. Pour cela, on va utiliser la commande "umount" et commencer par le point de montage "bitlockerloop" pour ensuite démonter le point de montage "bitlocker", ce qui donne :

sudo umount /media/bitlockerloop
sudo umount /media/bitlocker

C'est bon, vous pouvez déconnecter votre clé USB ou votre disque.

F. Intégrer le montage Dislocker dans /etc/fstab

Grâce au fichier /etc/fstab, on peut automatiser le montage de notre volume protégé par Bitlocker, en s'appuyant sur Dislocker. Editez le fichier :

sudo nano /etc/fstab

Ajoutez la ligne suivante en adaptant les valeurs, notamment le volume cible à monter et le mot de passe de déverrouillage.

/dev/sda1 /media/bitlocker fuse.dislocker user-password=VotreMDP,nofail 0 0

Ensuite, ajoutez une seconde ligne pour monter le volume chiffré au sein du point de montage "/media/bitlockerloop".

/media/bitlocker/dislocker-file /media/bitlockerloop auto nofail 0 0

Sans même redémarrer votre machine, vous pouvez recharger le contenu de fstab avec la commande suivante :

mount -a

Si vous obtenez une erreur, vérifiez les lignes du fichier /etc/fstab et veillez à bien libérer les points de montage au préalable.

G. Créer un script bash pour monter le volume via Dislocker

Si vous souhaitez vous faciliter la vie, sans pour autant intégrer le montage dans fstab, vous pouvez créer un script bash qui reprend les commandes vues précédemment. Par exemple (sans intégrer le mot de passe en clair) :

#!/bin/bash
sudo dislocker /dev/sda1 -u /media/bitlocker
sudo mount -o loop /media/bitlocker/dislocker-file /media/bitlockerloop

Il ne reste plus qu'à enregistrer le script et à lui attribuer les droits d'exécution.

chmod +x /home/pi/dislocker.sh

Enfin, voici le lien vers le GitHub du projet Dislocker où vous pouvez trouver plus d'infos, notamment sur les fichiers "fuse.dislocker" et "dislocker-file".

Amusez-vous bien !

The post Comment monter un disque chiffré avec BitLocker sous Linux ? first appeared on IT-Connect.

Black Friday 2021 : sélection de bons plans high-tech !

26 novembre 2021 à 08:14

A l'occasion du Black Friday, je vous propose ma sélection de bons plans high-tech : peut-être que vous allez trouver votre bonheur pour vous faire plaisir ou préparer vos cadeaux de Noël.

Il est fort possible que j'ajoute quelques offres tout au long de la journée, pensez à venir faire un tour de temps en temps ! 🙂

Informatique

Disque SSD portable - Crucial 1 To (USB-C)

Clavier sans-fil avec touchpad intégré - Logitech K400 Plus

Bracelet connecté - Xiaomi Mi Band 6

Maison connectée

Caméra de surveillance intérieure - Netatmo

Détecteur de fumée connecté (batterie 10 ans) - Netatmo

Caméras de surveillance sans-fil (x2) avec HomeBase - Eufy Security eufyCam 2C

Caméras de surveillance sans-fil 2K (x2) avec HomeBase - Eufy Security eufyCam 2 Pro

Caméra intérieur 2K - Eufy Security Camera 2K

Appareils Amazon Echo avec Alexa - Echo Dot, Echo Show, etc.

  • Prix d'origine : 129,99 €
  • Prix actuel : 84,99 €
  • Lien : https://amzn.to/313GY4Q
  • Voir tous les produits sur Amazon directement

Audio

Enceinte sans-fil Bluetooth - Soundcore Motion+

Casque sans-fil Bluetooth avec réduction de bruit active - Soundcore Life Q30

Bonus

Petit bonus parce que j'adore ces films : le coffret "Jurassic Park Collection" avec les trois premiers films en Bluray est disponible à 19,99 euros au lieu de 39,99 euros : voir cette offre. Dans le même esprit, le coffret avec les 8 films d'Harry Potter en Bluray est disponible à 72,99 euros au lieu de 121 euros : voir cette offre.

Retrouvez également les offres de chez Ecovacs Robotics et UGREEN au sein de ces articles dédiés.

N'hésitez pas si vous avez des questions sur les produits inclus à cet article.

The post Black Friday 2021 : sélection de bons plans high-tech ! first appeared on IT-Connect.

Piratage GoDaddy : 1,2 million de comptes WordPress dans la nature !

25 novembre 2021 à 14:10

L'hébergeur américain GoDaddy a été victime d'un piratage, ce qui a donné lieu à une fuite de données importante : 1,2 million de comptes sont dans la nature. Que s'est-il passé ?

GoDaddy a été victime d'une intrusion et les pirates ont pu accéder à l'environnement Managed WordPress. Désormais, les vannes sont fermées depuis le mercredi 17 novembre suite à la découverte de l'intrusion, mais les pirates ont eu accès à des informations pendant plusieurs semaines : depuis le 6 septembre 2021, pour être précis.

Que contient cette fuite de données GoDaddy ?

Ce piratage a donné lieu à une fuite de données importante avec 1,2 million de comptes, tandis que GoDaddy compte environ 20 millions de clients dans le monde.

Au sein de cette fuite de données, on retrouve les numéros de client et les adresses e-mail associées. On retrouve aussi le mot de passe d'origine du compte "admin" de WordPress, renseigné au moment du provisionnement de l'application sur l'hébergement Web GoDaddy, est présent dans les données récupérées par les pirates.

GoDaddy précise que l'on peut aussi retrouver les noms d'utilisateur et mots de passe pour l'accès en FTP et à la base de données, ainsi que la clé privée SSL pour certains clients.

Par précaution, GoDaddy a réinitialisé les mots de passe compromis et renouvelé les certificats concernés par cette fuite de données. Les clients ont reçu un e-mail pour être avertis de la situation (voir l'e-mail reçu).

L'origine de cette attaque serait un mot de passe compromis, qui a permis à l'attaquant (ou aux attaquants) d'accéder au système d'approvisionnement des sites WordPress de l'hébergeur GoDaddy.

Source

The post Piratage GoDaddy : 1,2 million de comptes WordPress dans la nature ! first appeared on IT-Connect.

Comment configurer le SNMP sur VMware ESXi ?

25 novembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer le SNMP sur un serveur VMware ESXi afin de pouvoir l'intégrer dans une solution de supervision comme Centreon, Zabbix, Eyes of Network, etc.

Grâce à l'activation du SNMP sur votre hôte ESXi, vous allez pouvoir surveiller sa charge CPU, l'occupation de ses datastores, la RAM consommée, etc... Ce qui me semble indispensable.

Pour ma part, j'utilise un serveur VMware ESXi 7.0 autonome, sur lequel je vais me connecter via l'interface web d'administration afin d'effectuer une partie de la configuration du SNMP. Pour le reste, ce sera en console via SSH.

II. Configuration du SNMP sur ESXi 7.0

La première étape consiste à démarrer le service "snmpd" sur l'hôte ESXi. Pour cela, cliquez sur "Host" à gauche puis "Manage". Ensuite, cliquez sur l'onglet "Services" et dans la liste recherchez "snmpd" : on constate que le service est actuellement arrêté.

Sélectionnez le service "snmpd" et cliquez sur le bouton "Start" pour démarrer le service. Désormais, il va s'arrêter et démarrer automatiquement avec l'hôte ESXi.

Démarrer le service SNMP sur VMware ESXi
Démarrer le service SNMP sur VMware ESXi

Une fois que cette opération est effectuée, connectez-vous à votre serveur ESXi via SSH car pour la suite, nous allons jouer de la ligne de commande via esxcli.

En exécutant la commande ci-dessous, vous pouvez afficher la configuration actuelle du SNMP. Ce sera l'occasion de voir que rien n'est configuré.

esxcli system snmp get

Maintenant, nous allons configurer le SNMP sur notre hôte ESXi. Partons du principe que l'on souhaite autoriser le serveur de supervision avec l'adresse IP "192.168.10.150" et déclarer la communauté SNMP "itconnect".

Pour cela, il faut déclarer une nouvelle "cible" sur notre serveur ESXi, voici la commande correspondante :

esxcli system snmp set [email protected]/itconnect

Au sein de la commande ci-dessus, la valeur "161" correspond au numéro de port par défaut du SNMP. Ensuite, nous devons activer le SNMP. Cette action est nécessaire en complément de l'activation du service en lui-même. Voici la commande correspondante :

esxcli system snmp set --enable true

En positionnant le paramètre "--enable" à "false", vous pouvez désactiver le SNMP. Vous pouvez tester la configuration SNMP en exécutant cette commande :

esxcli system snmp test

Vous devriez obtenir le message suivant :

Comments: There is 1 target configured, warmStart notification queued for transmit to configured destinations., test completed normally.

Si vous obtenez le message "Must first configure at least one v1|v2c|v3 trap target" c'est que la cible n'est pas bien déclarée.

Ensuite, il faut autoriser le SNMP au niveau du pare-feu de l'hyperviseur ESXi. Pour cela, il y a plusieurs solutions : ouvrir le flux peu importe l'hôte source, ouvrir le flux pour un sous-réseau complet ou ouvrir le flux seulement pour un serveur, en l'occurrence celui de supervision. Pour cette règle de pare-feu, on va pouvoir s'appuyer sur la règle prédéfinie "snmp" intégrée à ESXi.

Pour ouvrir le flux à tout le monde, utilisez la commande ci-dessous :

esxcli network firewall ruleset set --ruleset-id snmp --allowed-all true

A l'inverse, pour filtrer les accès, on va commencer par refuser les accès à tout le monde ("--allowed-all false") :

esxcli network firewall ruleset set --ruleset-id snmp --allowed-all false

Puis, on va déclarer l'hôte de supervision pour l'autoriser explicitement :

esxcli network firewall ruleset allowedip add --ruleset-id snmp --ip-address 192.168.10.150/32

Enfin, après avoir configuré la règle, il faut l'activer :

esxcli network firewall ruleset set --ruleset-id snmp --enabled true

Pour vérifier si votre serveur de supervision parvient à interroger votre hôte ESXi, vous pouvez utiliser l'outil Linux "snmpwalk", en ligne de commande. Avec ce que nous venons d'établir comme configuration, l'hôte ESXi est interrogeable avec le SNMP V2c.

Remarque : si vous préférez utiliser SNMPv3, je vous invite à lire la documentation VMware. Cette version est prise en charge depuis ESXi 5.1, alors c'est une possibilité.

Pour interroger l'hôte ESXi (192.168.10.149) en SNMP sur la communauté "itconnect" avec snmpwalk, cela donne :

snmpwalk -v 2c -c itconnect 192.168.10.149

En retour, vous devriez avoir de nombreuses lignes puisque l'on n’a pas spécifié d'emplacement au sein de la MIB. Si c'est bien le cas, c'est tout bon ! Votre hôte ESXi est prêt à être ajouté à votre solution de supervision...

The post Comment configurer le SNMP sur VMware ESXi ? first appeared on IT-Connect.

Windows 10 et KB5007253 : une nouvelle màj pour les problèmes d’impression

25 novembre 2021 à 07:37

Microsoft a publié une nouvelle mise à jour (KB5007253) qui doit résoudre plusieurs problèmes d'impression sur les imprimantes en réseau, notamment les erreurs 0x000006e4, 0x0000007c, et 0x00000709.

Alors que certains ont pu s'en sortir, d'autres cherchent toujours une solution aux problèmes d'impression en réseau. La solution pourrait bien être là, devant vous, prête à être installée sur vos postes de travail : la mise à jour KB5007253 pour Windows 10 !

Il s'agit d'une mise à jour cumulative optionnelle pour Windows 10 version 2004, Windows 10 20H2, Windows 10 21H1 et Windows 21H2. Il s'agit d'une mise à jour en preview, en complément des mises à jour de septembre 2021, et elle devrait être intégrée au Patch Tuesday de décembre 2021. En attendant, vous pouvez la tester dès maintenant afin de voir si elle résout les problèmes d'impression ! Je fais notamment référence aux erreurs au moment de l'impression sur une imprimante réseau ou au moment de l'ajout d'une imprimante réseau sur Windows.

La mise à jour KB5007253 est là pour corriger des bugs, et ne contient aucun correctif de sécurité. Au total, il y a 33 bugs corrigés par cette mise à jour ! Alors comme je le disais, elle corrige les bugs d'impression  0x000006e4, 0x0000007c, et 0x00000709. À part cela, elle corrige un problème où Excel plantait au moment de l'export en PDF sur certaines machines, mais aussi un problème d'affichage de certaines polices d'écriture.

Pour installer la mise à jour, il faut se rendre sur la machine au sein de Windows Update et effectuez une recherche. Elle apparaîtra ensuite comme une mise à jour optionnelle. Sinon, vous avez les options habituelles comme le Microsoft Catalog où tous les paquets sont disponibles : KB5007253.

Si vous testez cette mise à jour et qu'elle corrige enfin vos problèmes d'impression, n'hésitez pas à laisser un commentaire ! 🙂

The post Windows 10 et KB5007253 : une nouvelle màj pour les problèmes d’impression first appeared on IT-Connect.

Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ?

24 novembre 2021 à 10:00

I. Présentation

Dans cet article, je vais vous parler des bonnes pratiques de l'ANSSI en matière de politique de mot de passe, et nous verrons quelles sont les solutions techniques envisageables pour appliquer ces recommandations dans un environnement Active Directory.

Pour rédiger cet article, je me suis appuyé sur le guide publié par l'ANSSI le 08 octobre 2021 et qui s'appelle "Recommandations relatives à l'authentification multifacteur et aux mots de passe - v2.0".

II. Les bonnes pratiques de l'ANSSI sur les mots de passe

Avant de rentrer dans la technique, je souhaitais vous proposer une synthèse des bonnes pratiques de l'ANSSI au sujet des politiques de mot de passe. Ce guide aborde d'autres sujets, comme l'authentification multifacteurs, mais ici, on va se concentrer uniquement sur l'aspect "politique de mot de passe".

Tout d'abord, une politique de mot de passe définit les règles à respecter par un utilisateur lorsqu'il souhaite définir un nouveau mot de passe pour son compte. À cela s'ajoutent des règles de gestion des mots de passe, comme la limite du nombre d'essais avant verrouillage du compte, la gestion de l'historique des mots de passe, etc.

A. Longueur minimale du mot de passe, en nombre de caractères

Pour les mots de passe ne devant pas être mémorisés par l'utilisateur, l'ANSSI recommande une longueur minimale beaucoup plus importante : minimum 20 caractères. Le stockage de ce précieux sésame s'effectuera dans votre gestionnaire de mots de passe.

Pour les mots de passe devant être mémorisés par l'utilisateur, ce qui est le cas du mot de passe Active Directory puisqu'il permet à l'utilisateur d'accéder à sa session Windows, l'ANSSI met à disposition le tableau suivant à la page 28 de son guide :

Source : Guide de l'ANSSI

Le niveau a choisir dépend de la sensibilité du compte concerné. Pour un compte d'un utilisateur lambda, on se situera sur les deux premiers niveaux de sensibilité. Pour les utilisateurs qui ont accès à des ressources sensibles ou des données confidentielles, on définira à minima le niveau de sensibilité "Moyen à fort". Et enfin, pour les administrateurs, la sensibilité sera au maximum, et donc il est recommandé de mettre en place l'authentification multifacteurs en complément. Tout cela pour dire que la longueur minimale à imposer n'est pas une évidence et dépend du niveau de criticité du compte.

Il faut retenir aussi qu'il est bien souvent plus pertinent d'augmenter la longueur de son mot de passe plutôt que de chercher à conserver la longueur tout en le complexifiant. Cela va permettre d'avoir une meilleure entropie sur votre mot de passe, et donc, de le rendre plus robuste, plus fort (voir cet article).

B. Ne pas imposer de longueur maximale pour les mots de passe

Imposer une longueur minimale est une excellente idée, mais à l'inverse imposer une longueur maximale est une mauvaise idée, ou alors elle doit être très élevée (et là pour des questions de sécurité et contrainte vis-à-vis du logiciel en lui-même). Fixer une longueur maximale revient aussi à empêcher l'utilisation de passphrase, appelée aussi "phrase de passe".

C. La complexité des mots de passe

En imposant des contraintes sur les types de caractères qu'un utilisateur doit utiliser pour définir un mot de passe, on définit ce que l'on appelle la règle de complexité des mots de passe. Pour cela, on met à la disposition de l'utilisateur différents jeux de caractères : les chiffres, les lettres A à Z en minuscules, les lettres de A à Z en majuscules, les caractères spéciaux, etc. Plus il y a de jeux de caractères autorisés, plus il y a de combinaisons possibles.

Généralement, pour s'en sortir et respecter cette notion de complexité des mots de passe, les utilisateurs vont remplacer un "a" par un "@", un "o" par un "0", ou encore ajouter un "!" à la fin du mot de passe. C'est un grand classique. On le sait tous, et on a tous fait ça un jour pour inventer un mot de passe.

Dans le cas d'une tentative d'attaque en ligne, c'est-à-dire contre un système actif, cette méthode reste encore efficace à condition que le compte ciblé soit en mesure d'être verrouillé au bout de quelques tentatives en échec. Par contre, dans le cas d'une attaque hors ligne où il est possible d'effectuer du brute force sans limites, il y a de fortes chances pour que le mot de passe soit deviné. En effet, il existe des outils et des dictionnaires capables d'imaginer ces variantes, et donc, de trouver votre mot de passe.

D. Le délai d'expiration des mots de passe

Alors que pendant longtemps, on entendait qu'il était nécessaire d'imposer aux utilisateurs de changer leur mot de passe tous les 6 mois ou une fois par an, aujourd'hui ce n'est plus aussi évident. Quel est l'intérêt de modifier son mot de passe "Bonjour1" par "Bonjour2" ? Si le mot de passe précédent fuite, il y a des chances pour que le suivant soit deviné assez facilement.

L'ANSSI précise que pour les comptes non sensibles, c'est-à-dire les comptes des utilisateurs : "Si la politique de mots de passe exige des mots de passe robustes et que les systèmes permettent son implémentation, alors il est recommandé de ne pas imposer par défaut de délai d’expiration sur les mots de passe des comptes non sensibles comme les comptes utilisateur." [page 30 du guide].

Par contre, pour les comptes avec des privilèges, il est recommandé d'imposer un délai d'expiration compris entre 1 et 3 ans.

E. Contrôler la robustesse des mots de passe

Un mot de passe qui respecte la longueur minimale et les contraintes de complexité, est-il pour autant un mot de passe robuste ? En voilà une bonne question, et c'est un point très intéressant soulevé par l'ANSSI.

Ainsi, il est recommandé de :

  • Vérifier si votre mot de passe a déjà fait l'objet d'une fuite de données.

En fait, si vous définissez un mot de passe qui à première vue semble complexe, mais qu'il est présent dans un dictionnaire qui circule sur Internet ou qui est utilisé par certains outils, alors on peut douter de sa robustesse.

Dans le même esprit, lorsqu'il y a une fuite de données suite à un piratage, on se retrouve avec d'énormes bases de données de mots de passe constituées à partir ces fuites. Si le nouveau mot de passe que vous venez de choisir se situe dans une fuite de données, il vaut mieux le changer immédiatement, car la probabilité qu'il soit trouvé est plus élevée. Par exemple, le site Have I Been Pwned permet de rechercher un mot de passe dans une base regroupant les données d'un ensemble de fuites d'information.

  • Bloquer les suites de caractères ("12345", "azerty", "aaaa", "abcd", etc.)
  • Bloquer l'utilisation d'informations personnelles dans le mot de passe (nom, prénom, date de naissance)
  • Bloquer la réutilisation d'un mot de passe déjà utilisé lors des X derniers mots de passe (gestion de l'historique des mots de passe)

III. Quelles solutions techniques ?

En prenant connaissance des différentes recommandations de l'ANSSI en matière de politique de mot de passe, on se rend compte que d'un point de vue technique, cela ne va pas forcément être évident à mettre en œuvre. Enfin, c'est comme tout, il suffit d'avoir les bons outils alors cela tombe bien, car nous allons en parler de ces solutions potentielles.

Ici, j'évoque le cas des mots de passe stockés dans l'Active Directory et utilisé par les utilisateurs pour une connexion à Windows. En complément ce mot de passe peut être utilisé pour se connecter sur Microsoft 365, s'il y a un outil tel que Azure AD Connect en place au sein de votre infrastructure. Le stockage des mots de passe doit être effectué de façon sécurisée et il convient de ne pas activer le chiffrement réversible au niveau de votre Active Directory, même si c'est demandé par la solution logicielle que vous souhaitez utiliser.

A. Les politiques de mots de passe de l'Active Directory

La première solution qui nous vient à l'esprit, c'est la politique de mots de passe native à l'Active Directory. Il y a deux types de politiques de mots de passe : celle définie par GPO, et celle que l'on définira sous la forme d'objets appelée stratégie de mots de passe affinée.

Si l'on compare les recommandations de l'ANSSI avec les possibilités offertes nativement par l'Active Directory, on voit rapidement qu'on ne pourra pas appliquer toutes les recommandations.

Exemple d'une politique de mot de passe affinée
Exemple d'une politique de mot de passe affinée

Sur des choses basiques comme la longueur minimale ou l'âge maximal du mot de passe, ce sera gérable. Par contre, sur les recommandations plus spécifiques comme le blocage de certaines chaînes de caractères ou la vérification dans les fuites de données, ce ne sera pas possible avec la méthode native de l'Active Directory. Pour la complexité des mots de passe, il est bien possible d'imposer le fait que le mot de passe doive respecter une certaine complexité, mais cette complexité n'est pas ajustable. Dommage.

Voici un récapitulatif :

Même si cette méthode ne remplit pas toutes les cases vis-à-vis des recommandations de l'ANSSI, il vaut mieux mettre en place une stratégie de mot de passe affinée plutôt que de ne rien faire.

B. La solution Password protection for Windows Server Active Directory

Azure AD intègre une fonctionnalité baptisée "Password protection for Windows Server Active Directory". Cette fonctionnalité s'applique aux utilisateurs Cloud, mais aussi aux utilisateurs locaux de l'Active Directory lorsqu'il y a une synchronisation avec Azure AD Connect.

Avec Azure AD Password Protection, vous allez renforcer la sécurité de vos mots de passe locaux puisque vous allez pouvoir bloquer certains termes (et leurs variantes) à partir d'un dictionnaire personnalisé, limité à 1000 entrées. Par exemple, avec l'entrée "it-connect", les mots de passe suivants sont bloqués : "it-connect123", "it-c0nnect14!" ou encore "1t-c0nnect14!". Certaines substitutions ne sont pas prises en compte, car si l'on bloque "securite", on peut définir "S€curite14!" comme mot de passe.

En complément, Microsoft dispose de sa propre liste globale de mots de passe interdits (car trop faibles). J'ignore combien de mots de passe contient cette liste (ce n'est pas précisé) mais certains mots de passe présents dans des fuites de données semblent fonctionner. En tout cas, un mot de passe basique comme "Password123!" est bien bloqué alors qu'il pourrait matcher avec la politique de sécurité. Idem pour "Azerty123!" qui est bien bloqué, par contre "Motdepasse123!" et "123soleil" sont autorisés. J'ai tendance à penser que l'outil de Microsoft analyse surtout les mots anglais et qu'il ne doit pas forcément se référer à une liste externe comme I Have Been Pwned.

En cumulant une politique de mot de passe affinée et la protection Password Protection en complément, on obtient la synthèse suivante :

Cette fonctionnalité est incluse dans certaines licences et vous devez couvrir vos utilisateurs. L'installation est assez simple et s'appuie sur la mise en œuvre d'agents sur vos serveurs locaux. L'outil en tant que tel est peu configurable pour le moment, ce qui est dommage.

Si vous souhaitez en savoir plus sur Password Protection, je vous invite à lire ce tutoriel :

C. La solution Specops Password Policy

En termes de solution payante et proposée par un éditeur tiers, je souhaitais inclure Specops Password Policy (SPP) à cet article. Pourquoi ? Pour une raison simple : je connais ce logiciel et je sais qu'il répond à la majorité des recommandations de l'ANSSI, pour ne pas dire toutes.

Ce logiciel va beaucoup plus loin que la solution native intégrée à l'Active Directory, notamment pour gérer la complexité des mots de passe. En fait, vous pouvez créer des règles très précises pour imposer l'utilisation à minima de X majuscules, X minuscules, X chiffres, etc...

Concernant le blocage des suites de caractères, c'est géré par SPP, car il y a une option pour bloquer les caractères identiques consécutifs, et il est possible de créer des expressions régulières pour empêcher certains patterns.

Pour bloquer la présence des informations personnelles dans le mot de passe (nom, prénom, date de naissance), c'est un peu plus complexe. L'outil intègre une option pour empêcher l'utilisation de l'identifiant dans le mot de passe, ce qui dans de nombreux cas, devrait permettre de bloquer le nom et le prénom puisque c'est souvent utilisé pour construire le login Active Directory de l'utilisateur. Pour la date de naissance, cette option n'est pas prise en charge par l'outil proposé par Specops. Pour cela, il faudrait pouvoir se référer à un attribut de l'Active Directory, pour chaque utilisateur. Néanmoins, la solution SPP intègre la gestion de dictionnaires personnalisés, ce qui vous permet d'importer des dictionnaires existants, ou de créer votre propre dictionnaire : vous pouvez créer un dictionnaire avec toutes les dates de naissance de vos salariés (cela signifie aussi qu'un utilisateur X ne pourra pas utiliser dans son mot de passe la date de naissance d'un utilisateur Y, car le dictionnaire est commun à tous les utilisateurs ciblés par la politique).

Pour ma part, je vous recommande de créer un dictionnaire avec le nom de votre entreprise, car c'est souvent réutilisé dans les mots de passe. Enfin, à partir des mots du dictionnaire l'outil bloquera aussi les variantes (exemple : le mot "itconnect" implique que "itc0nnect" avec un zéro sera bloqué aussi), en prenant compte de nombreuses méthodes de substitution (plus que la solution Microsoft présentée ci-dessus).

Aperçu de Specops Password Policy
Aperçu de Specops Password Policy

La solution de l'éditeur Specops est capable de vérifier si votre mot de passe a été compromis (fuite de données, collecté via les honey pots SpecOps, etc.), en s'appuyant à la fois sur une base locale et sur une base en ligne au travers d'une API. Cette base en ligne est actualisée quotidiennement et elle contient 2,5 milliards de mots de passe. Si c'est le cas, l'utilisateur sera notifié par e-mail/SMS et invité à changer son mot de passe de nouveau. Sur ce point, on est vraiment conforme vis-à-vis des préconisations de l'ANSSI.

Voici un récapitulatif :

Pour découvrir plus en détail ce logiciel, je vous invite à lire mon tutoriel complet au sujet de Specops Password Policy, dans lequel vous pouvez retrouver également une vidéo de démonstration (réalisée par mes soins).

IV. Conclusion

Suite à la lecture de cet article, vous avez connaissance des recommandations de l'ANSSI en matière de politique de mot de passe, et en plus, vous avez quelques pistes à explorer afin de mettre en pratique ces recommandations sur un annuaire Active Directory. En complément de la mise en œuvre de cette politique de mot de passe, il ne faudra pas oublier de configurer le verrouillage des comptes afin de bloquer les attaques Brute Force.

Si vous connaissez d'autres solutions susceptibles de mettre en place une politique de mot de passe qui respecte les best practices de l'ANSSI, n'hésitez pas à poster un commentaire.

The post Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ? first appeared on IT-Connect.

Attaque des imprimantes « PrintJack » : trois risques potentiels

24 novembre 2021 à 08:23

Des chercheurs en sécurité italiens ont publié un rapport nommé "Vous faites trop confiance à votre imprimante" et qui met en avant les problèmes de sécurité liés aux imprimantes. Un ensemble de trois attaques nommé "PrintJack" est associé à cette analyse.

Les chercheurs en sécurité expliquent que les imprimantes exposées sur Internet sont "recrutées" dans le cadre d'attaque DDoS, mais elles peuvent aussi être victimes d'impression en boucle, ou encore permettre la fuite de données via la capture de trames sur le réseau.

Pour le service informatique, les imprimantes c'est un peu l'éternel boulet, elles sont partout, car elles sont encore indispensables, et pourtant même les modèles récents seraient encore à la traîne en matière de cybersécurité et confidentialité des données. Le rapport met en avant un non-respect du RGPD sur certains modèles à cause des fuites de données potentielles, et une non-conformité à la norme ISO/IEC 27005:2018, correspondante à la gestion des risques liés à la sécurité.

Giampaolo Bella et Pietro Biondi expliquent qu'ils ont pu s'appuyer sur le moteur de recherche Shodan pour récupérer une liste des adresses IP publiques qui répondent sur le port TCP/9100. Au niveau européen, ce sont plusieurs dizaines de milliers d'appareils qui ont répondu présents... Avec en tête l'Allemagne avec 12 891 imprimantes, tandis que la France arrive quatrième de ce classement avec 6 634 imprimantes exposées sur Internet, uniquement sur le port TCP/9100.

Attaque n°1 : DDoS

En exploitant des vulnérabilités connues, comme la faille CVE-2014-3741, notamment pour effectuer une exécution de code à distance, les attaquants parviennent à prendre le contrôle des imprimantes. Ensuite, ces imprimantes sont exploitées dans le cadre d'attaques DDoS pour cibler un tiers en fonction des plans des attaquants.

Les chercheurs expliquent qu'il y a une douzaine de vulnérabilités disponible dans la base du MITRE et qui représentent des risques de sécurité sérieux. Quand on sait qu'une imprimante en production n'est que très rarement mise à jour au niveau du firmware, l'appareil est d'autant plus vulnérable. Compte tenu de la quantité d'imprimantes exposées sur Internet, on comprend que les hackers s'intéressent fortement à ces équipements.

Attaque n°2 : les impressions en boucle

L'attaque par saturation est la seconde évoquée dans ce rapport et elle est réalisée en envoyant des tâches d'impression en boucle jusqu'à ce que l'imprimante n'ait plus de papier. L'objectif étant de purger tous les bacs de l'imprimante. En soi, cette attaque n'est pas dramatique, mais elle va perturber la production, en plus de consommer inutilement de l'encre et du papier.

D'après les chercheurs en sécurité, cette attaque est réalisable facilement à l'aide d'un script Python qui crée une boucle d'impression qui se répète mille fois. Ensuite, l'imprimante devient folle et imprime sans s'arrêter.

Attaque n°3 : les fuites de données

En interceptant les données qui transitent entre un poste ou un serveur d'impression et une imprimante, notamment dans le cadre d'une attaque man in the middle, l'attaquant peut récupérer des données en clair.

Dans le rapport, un exemple est donné où les chercheurs ont pu se positionner entre l'émetteur de l'impression et l'imprimante avec le logiciel Ettercap, et ensuite ils ont pu récupérer le contenu d'un fichier PDF en capturant le trafic réseau avec WireShark.

Cette troisième attaque peut s'avérer particulièrement dangereuse pour l'entreprise cible, mais l'attaquant doit s'installer sur le réseau, bien au-delà de l'imprimante en elle-même.

Retrouvez le rapport sur cette page : You Overtrust Your Printer

Avec les imprimantes de plus en plus connectées à Internet, voire même exposées sur Internet dans certains cas, ces petits appareils inoffensifs en apparence peuvent représenter un véritable risque en matière de sécurité.

Source

The post Attaque des imprimantes « PrintJack » : trois risques potentiels first appeared on IT-Connect.
❌