FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 29 novembre 2021Flux principal

Le MacBook Air M1 d'Apple coûte moins de 900 € pendant le Cyber Monday

29 novembre 2021 à 16:58

[Le Deal du Jour] Voilà près d'un an qu'Apple a introduit son MacBook Air doté de la puce M1, synonyme de performances décuplées par rapport à l'ancienne génération sous Intel. Cet ultraportable reste une référence, qui bénéficie actuellement d'une promotion très intéressante : son prix passe de 1 129 euros à 899 euros chez Cdiscount. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article Le MacBook Air M1 d’Apple coûte moins de 900 € pendant le Cyber Monday est apparu en premier sur Numerama.

Vous devez vraiment faire attention aux autorisations que vous donnez aux applications

29 novembre 2021 à 15:41

Plus de 9 millions d'utilisateurs de Huawei ont été infectés par un malware. Ce dernier volait leurs données à travers des jeux, pourtant téléchargés sur la plateforme officielle du constructeur. L'affaire rappelle qu'il est nécessaire de surveiller les autorisations données à nos applications. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article Vous devez vraiment faire attention aux autorisations que vous donnez aux applications est apparu en premier sur Numerama.

À partir d’avant-hierFlux principal

Apple Watch Series 7, Switch Lite : voici les meilleures affaires du Black Friday sur Ebay

26 novembre 2021 à 17:01

C'est le jour J, le Black Friday est officiellement lancé ! eBay propose depuis quelques minutes maintenant des offres à la fois agressives et très avantageuses pour qui veut se faire plaisir ou entamer les achats de Noël. On retrouve parmi la multitude d’offres sur la plateforme de e-commerce : des Switch Lite accompagnées d’Animal crossing et d’un abonnement de trois mois au Nintendo Switch Online ou encore de l'Apple Watch de dernière génération en version 41 mm. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

L'article Apple Watch Series 7, Switch Lite : voici les meilleures affaires du Black Friday sur Ebay est apparu en premier sur Numerama.

Comment changer les DNS de Windows

4 septembre 2016 à 21:57

Comment changer ses serveurs DNS (Domain Name System) de Windows, afin de pouvoir configurer ses propres serveurs DNS (Google, etc).
Les serveurs de noms ou DNS permettent de convertir les adresses littérales en adresses IP.
Modifier ses serveurs DNS peut donc permettre de contourner certains filtrages DNS.

Cette page vous guide dans la modification des DNS de Windows 10, 7, 8 et Windows 11.

Changer les DNS dans Windows

Comment changer les serveurs DNS sur Windows

Rappelez vous que chaque interface réseau : votre carte Ethernet (par câble) et votre carte Wi-Fi ont leurs propres configurations.
Si vous désirez modifier les DNS, vous devez le faire pour chaque carte.
Surtout, si vous avez tendance à utiliser les deux modes de connexion.

Pour obtenir la liste des adresses des serveurs de noms :

Comment changer les DNS de Windows 10

Voici un tutoriel qui vous guide pour changer les DNS d'une carte Ethernet ou carte Wi-Fi sur Windows 10 :

Comment changer les DNS de Windows 11

Dans ce tutoriel, je vous donne deux méthodes pour changer les DNS de Windows 11, depuis les paramètres ou en PowerShell :

Comment changer les DNS de Windows depuis les connexions réseau

Voici comment modifier les adresses des serveurs de noms dans les interfaces réseaux de Windows.

Temps nécessaire : 5 minutes.

Comment changer les DNS de Windows 7, 8, 10

  1. Ouvrir les interfaces réseaux de Windows

    Sur votre clavier, appuyez sur la touche Windows + R
    Dans la fenêtre exécuter, saisissez : ncpa.cpl

    Ouvrir les connexions réseaux sur Windows

  2. Ouvrir les propriétés de la carte réseau

    Dans le cas où vous êtes connecté en filaire (connexion par câble), faites l'opération sur la carte Ethernet.
    Alors que si la connexion est en WiFi, l'opération de changement de DNS doit être effectuée la carte Wifi/Wireless.

    Faites un clic droit sur la carte réseau en question puis Propriétés.comment changer les DNS de Windows

  3. Modifier l'adresse TCP/IPV4

    Repérez et sélectionnez TCP/IP V4
    puis cliquez sur Propriétés.comment changer les DNS de Windows

  4. Changer les serveurs DNS

    La configuration TCP/IP v4 s'ouvre alors.
    Dans la partie basse, cochez l'option : utilisez le serveur DNS de l'adresse suivante
    Enfin saisissez le DNS préféré (primaire) et éventuellement un serveur DNS (secondaire).comment modifier les DNS de Windows

  5. Valider les changements

    Cliquez sur OK pour prendre en compte les changements.
    Répétez l'opération pour les paramètres TCP/IP V6.

Bravo ! Vous avez modifié les serveurs DNS de Windows.

En Powershell

Get-DnsClientServerAddress
  • Ensuite utilisez la commande Set-DNSClientServerAddress pour changer les DNS de Windows :
Set-DNSClientServerAddress "NomInterface" –ServerAddresses ("adresse-serveur-DNS-prefere", "adresse-serveur-DNS-secondaire")
  • Remplacez dans la commande :
    • NomInterface : le nom de l'interface réseau
    • adresse-serveur-DNS-prefere : l'adresse du serveur DNS principal
    • adresse-serveur-DNS-secondaire : l'adresse du serveur DNS secondaire
  • Par exemple pour changer les serveurs DNS en 1.1.1.1 et 1.0.0.01 sur l'interface Ethernet0 :
Set-DNSClientServerAddress "Ethernet0" –ServerAddresses ("1.1.1.1","1.0.0.1")
Comment changer les DNS de Windows en Powershell
Bravo ! vous avez réussi à changer les DNS de Windows en Powershell.

En ligne de commandes avec netsh

Il est tout à fait possible de changer la configuration IP en ligne de commandes.
Et donc on peut modifier les serveurs DNS de cette manière.
Cela se fait avec la commande CLD netsh.

  • Puis utilisez la commande Get-DnsClientServerAddress pour la configuration DNS et le nom des interfaces réseau (colonne InterfaceAlias)
Get-DnsClientServerAddress
  • Ensuite utilisez la commande Set-DNSClientServerAddress pour changer les DNS de Windows :
Set-DNSClientServerAddress "NomInterface" –ServerAddresses ("adresse-serveur-DNS-prefere", "adresse-serveur-DNS-secondaire")
  • Remplacez dans la commande :
    • NomInterface : le nom de l'interface réseau
    • adresse-serveur-DNS-prefere : l'adresse du serveur DNS principal
    • adresse-serveur-DNS-secondaire : l'adresse du serveur DNS secondaire
  • Par exemple pour changer les serveurs DNS en 1.1.1.1 et 1.0.0.01 sur l'interface Ethernet0 :
Set-DNSClientServerAddress "Ethernet0" –ServerAddresses ("1.1.1.1","1.0.0.1")
Bravo ! vous avez réussi à changer les DNS de Windows depuis l'invite de commandes avec netsh.

Dans le registre Windows

La configuration IP des interfaces est stockée dans le registre Windows.
On peut donc modifier directement celle-ci.

  • Sur votre clavier, appuyez sur la touche
    + R
  • Puis saisissez regedit et OK
  • Cela ouvre l'éditeur du registre Windows, déroulez à gauche :
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
  • On trouve alors chaque interface avec son GUID {XXXX}. Cliquez sur chacun pour trouver celui de votre interface réseau Ethernet ou Wifi
  • A droite, cherchez la valeur NameServer, c'est elle qui stocke les adresses des serveurs DNS. Par exemple ci-dessous, c'est 192.168.1.1.
  • Il suffit alors de double-cliquer sur NameServer et saisir les adresses des serveurs de noms souhaités.
  • Lorsque la valeur NameServer est vide, cela signifie que les DNS sont en DHCP. C4est à dire que les serveurs DNS sont récupérés automatiquement depuis votre box internet
  • Enfin pour spécifier plusieurs adresses, DNS préféré et auxiliaire, on les sépare par des virgules. Ci-dessous, les adresses DNS de Quad9.
Bravo ! vous avez réussi à changer les DNS de Windows depuis le registre Windows.

Utilitaires pour changer les DNS

Il existe bien entendu beaucoup d'utilitaires pour modifier ses serveurs DNS.
Notamment : QuickSetDNS

Comment changer les DNS configurés dans Windows
QuickSetDNS

ou encore DNSJumper

Puis DNS Angel permet de changer de serveurs DNS depuis une liste prédéfinie : DNS Angel

Enfin YogaDNS permet de gérer plusieurs serveurs DNS et créer des règles de résolution DNS.
Plus d'informations :

YogaDNS : un client DNS avancé pour gérer plusieurs serveurs DNS

Comment vérifier ses DNS sur Windows

Vous avez changé les serveurs DNS mais souhaitez vérifier que la modification a fonctionné.

Vous pouvez utiliser aussi une commande depuis l'invite de commandes de Windows :

ipconfig /all

Cela retourne toute la configuration TCP pour chaque interface réseau.
Ici pour la carte Ethernet, on retrouve bien les serveurs DNS Google 8.8.8.8

L’article Comment changer les DNS de Windows est apparu en premier sur malekal.com.

« admin-password » : les mots de passe par défaut de vos appareils connectés sont une plaie

25 novembre 2021 à 11:17

Le Royaume-Uni va interdire l’utilisation de mots de passe par défaut trop faciles à deviner. Une idée plutôt intéressante qui pourrait, relativement simplement, limiter le risque d’attaques et de vol de données. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article « admin-password » : les mots de passe par défaut de vos appareils connectés sont une plaie est apparu en premier sur Numerama.

Et si l’on ouvrait de force le code source des logiciels qui ne sont plus mis à jour ?

24 novembre 2021 à 11:10

code source

Un amendement propose de forcer l'ouverture du code source des logiciels, lorsque les mises à jour ne sont plus assurées. Une idée qui entend répondre au problème de l'obsolescence logicielle, mais qui fait face à des obstacles en nombre. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article Et si l’on ouvrait de force le code source des logiciels qui ne sont plus mis à jour ? est apparu en premier sur Numerama.

Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ?

24 novembre 2021 à 10:00

I. Présentation

Dans cet article, je vais vous parler des bonnes pratiques de l'ANSSI en matière de politique de mot de passe, et nous verrons quelles sont les solutions techniques envisageables pour appliquer ces recommandations dans un environnement Active Directory.

Pour rédiger cet article, je me suis appuyé sur le guide publié par l'ANSSI le 08 octobre 2021 et qui s'appelle "Recommandations relatives à l'authentification multifacteur et aux mots de passe - v2.0".

II. Les bonnes pratiques de l'ANSSI sur les mots de passe

Avant de rentrer dans la technique, je souhaitais vous proposer une synthèse des bonnes pratiques de l'ANSSI au sujet des politiques de mot de passe. Ce guide aborde d'autres sujets, comme l'authentification multifacteurs, mais ici, on va se concentrer uniquement sur l'aspect "politique de mot de passe".

Tout d'abord, une politique de mot de passe définit les règles à respecter par un utilisateur lorsqu'il souhaite définir un nouveau mot de passe pour son compte. À cela s'ajoutent des règles de gestion des mots de passe, comme la limite du nombre d'essais avant verrouillage du compte, la gestion de l'historique des mots de passe, etc.

A. Longueur minimale du mot de passe, en nombre de caractères

Pour les mots de passe ne devant pas être mémorisés par l'utilisateur, l'ANSSI recommande une longueur minimale beaucoup plus importante : minimum 20 caractères. Le stockage de ce précieux sésame s'effectuera dans votre gestionnaire de mots de passe.

Pour les mots de passe devant être mémorisés par l'utilisateur, ce qui est le cas du mot de passe Active Directory puisqu'il permet à l'utilisateur d'accéder à sa session Windows, l'ANSSI met à disposition le tableau suivant à la page 28 de son guide :

Source : Guide de l'ANSSI

Le niveau a choisir dépend de la sensibilité du compte concerné. Pour un compte d'un utilisateur lambda, on se situera sur les deux premiers niveaux de sensibilité. Pour les utilisateurs qui ont accès à des ressources sensibles ou des données confidentielles, on définira à minima le niveau de sensibilité "Moyen à fort". Et enfin, pour les administrateurs, la sensibilité sera au maximum, et donc il est recommandé de mettre en place l'authentification multifacteurs en complément. Tout cela pour dire que la longueur minimale à imposer n'est pas une évidence et dépend du niveau de criticité du compte.

Il faut retenir aussi qu'il est bien souvent plus pertinent d'augmenter la longueur de son mot de passe plutôt que de chercher à conserver la longueur tout en le complexifiant. Cela va permettre d'avoir une meilleure entropie sur votre mot de passe, et donc, de le rendre plus robuste, plus fort (voir cet article).

B. Ne pas imposer de longueur maximale pour les mots de passe

Imposer une longueur minimale est une excellente idée, mais à l'inverse imposer une longueur maximale est une mauvaise idée, ou alors elle doit être très élevée (et là pour des questions de sécurité et contrainte vis-à-vis du logiciel en lui-même). Fixer une longueur maximale revient aussi à empêcher l'utilisation de passphrase, appelée aussi "phrase de passe".

C. La complexité des mots de passe

En imposant des contraintes sur les types de caractères qu'un utilisateur doit utiliser pour définir un mot de passe, on définit ce que l'on appelle la règle de complexité des mots de passe. Pour cela, on met à la disposition de l'utilisateur différents jeux de caractères : les chiffres, les lettres A à Z en minuscules, les lettres de A à Z en majuscules, les caractères spéciaux, etc. Plus il y a de jeux de caractères autorisés, plus il y a de combinaisons possibles.

Généralement, pour s'en sortir et respecter cette notion de complexité des mots de passe, les utilisateurs vont remplacer un "a" par un "@", un "o" par un "0", ou encore ajouter un "!" à la fin du mot de passe. C'est un grand classique. On le sait tous, et on a tous fait ça un jour pour inventer un mot de passe.

Dans le cas d'une tentative d'attaque en ligne, c'est-à-dire contre un système actif, cette méthode reste encore efficace à condition que le compte ciblé soit en mesure d'être verrouillé au bout de quelques tentatives en échec. Par contre, dans le cas d'une attaque hors ligne où il est possible d'effectuer du brute force sans limites, il y a de fortes chances pour que le mot de passe soit deviné. En effet, il existe des outils et des dictionnaires capables d'imaginer ces variantes, et donc, de trouver votre mot de passe.

D. Le délai d'expiration des mots de passe

Alors que pendant longtemps, on entendait qu'il était nécessaire d'imposer aux utilisateurs de changer leur mot de passe tous les 6 mois ou une fois par an, aujourd'hui ce n'est plus aussi évident. Quel est l'intérêt de modifier son mot de passe "Bonjour1" par "Bonjour2" ? Si le mot de passe précédent fuite, il y a des chances pour que le suivant soit deviné assez facilement.

L'ANSSI précise que pour les comptes non sensibles, c'est-à-dire les comptes des utilisateurs : "Si la politique de mots de passe exige des mots de passe robustes et que les systèmes permettent son implémentation, alors il est recommandé de ne pas imposer par défaut de délai d’expiration sur les mots de passe des comptes non sensibles comme les comptes utilisateur." [page 30 du guide].

Par contre, pour les comptes avec des privilèges, il est recommandé d'imposer un délai d'expiration compris entre 1 et 3 ans.

E. Contrôler la robustesse des mots de passe

Un mot de passe qui respecte la longueur minimale et les contraintes de complexité, est-il pour autant un mot de passe robuste ? En voilà une bonne question, et c'est un point très intéressant soulevé par l'ANSSI.

Ainsi, il est recommandé de :

  • Vérifier si votre mot de passe a déjà fait l'objet d'une fuite de données.

En fait, si vous définissez un mot de passe qui à première vue semble complexe, mais qu'il est présent dans un dictionnaire qui circule sur Internet ou qui est utilisé par certains outils, alors on peut douter de sa robustesse.

Dans le même esprit, lorsqu'il y a une fuite de données suite à un piratage, on se retrouve avec d'énormes bases de données de mots de passe constituées à partir ces fuites. Si le nouveau mot de passe que vous venez de choisir se situe dans une fuite de données, il vaut mieux le changer immédiatement, car la probabilité qu'il soit trouvé est plus élevée. Par exemple, le site Have I Been Pwned permet de rechercher un mot de passe dans une base regroupant les données d'un ensemble de fuites d'information.

  • Bloquer les suites de caractères ("12345", "azerty", "aaaa", "abcd", etc.)
  • Bloquer l'utilisation d'informations personnelles dans le mot de passe (nom, prénom, date de naissance)
  • Bloquer la réutilisation d'un mot de passe déjà utilisé lors des X derniers mots de passe (gestion de l'historique des mots de passe)

III. Quelles solutions techniques ?

En prenant connaissance des différentes recommandations de l'ANSSI en matière de politique de mot de passe, on se rend compte que d'un point de vue technique, cela ne va pas forcément être évident à mettre en œuvre. Enfin, c'est comme tout, il suffit d'avoir les bons outils alors cela tombe bien, car nous allons en parler de ces solutions potentielles.

Ici, j'évoque le cas des mots de passe stockés dans l'Active Directory et utilisé par les utilisateurs pour une connexion à Windows. En complément ce mot de passe peut être utilisé pour se connecter sur Microsoft 365, s'il y a un outil tel que Azure AD Connect en place au sein de votre infrastructure. Le stockage des mots de passe doit être effectué de façon sécurisée et il convient de ne pas activer le chiffrement réversible au niveau de votre Active Directory, même si c'est demandé par la solution logicielle que vous souhaitez utiliser.

A. Les politiques de mots de passe de l'Active Directory

La première solution qui nous vient à l'esprit, c'est la politique de mots de passe native à l'Active Directory. Il y a deux types de politiques de mots de passe : celle définie par GPO, et celle que l'on définira sous la forme d'objets appelée stratégie de mots de passe affinée.

Si l'on compare les recommandations de l'ANSSI avec les possibilités offertes nativement par l'Active Directory, on voit rapidement qu'on ne pourra pas appliquer toutes les recommandations.

Exemple d'une politique de mot de passe affinée
Exemple d'une politique de mot de passe affinée

Sur des choses basiques comme la longueur minimale ou l'âge maximal du mot de passe, ce sera gérable. Par contre, sur les recommandations plus spécifiques comme le blocage de certaines chaînes de caractères ou la vérification dans les fuites de données, ce ne sera pas possible avec la méthode native de l'Active Directory. Pour la complexité des mots de passe, il est bien possible d'imposer le fait que le mot de passe doive respecter une certaine complexité, mais cette complexité n'est pas ajustable. Dommage.

Voici un récapitulatif :

Même si cette méthode ne remplit pas toutes les cases vis-à-vis des recommandations de l'ANSSI, il vaut mieux mettre en place une stratégie de mot de passe affinée plutôt que de ne rien faire.

B. La solution Password protection for Windows Server Active Directory

Azure AD intègre une fonctionnalité baptisée "Password protection for Windows Server Active Directory". Cette fonctionnalité s'applique aux utilisateurs Cloud, mais aussi aux utilisateurs locaux de l'Active Directory lorsqu'il y a une synchronisation avec Azure AD Connect.

Avec Azure AD Password Protection, vous allez renforcer la sécurité de vos mots de passe locaux puisque vous allez pouvoir bloquer certains termes (et leurs variantes) à partir d'un dictionnaire personnalisé, limité à 1000 entrées. Par exemple, avec l'entrée "it-connect", les mots de passe suivants sont bloqués : "it-connect123", "it-c0nnect14!" ou encore "1t-c0nnect14!". Certaines substitutions ne sont pas prises en compte, car si l'on bloque "securite", on peut définir "S€curite14!" comme mot de passe.

En complément, Microsoft dispose de sa propre liste globale de mots de passe interdits (car trop faibles). J'ignore combien de mots de passe contient cette liste (ce n'est pas précisé) mais certains mots de passe présents dans des fuites de données semblent fonctionner. En tout cas, un mot de passe basique comme "Password123!" est bien bloqué alors qu'il pourrait matcher avec la politique de sécurité. Idem pour "Azerty123!" qui est bien bloqué, par contre "Motdepasse123!" et "123soleil" sont autorisés. J'ai tendance à penser que l'outil de Microsoft analyse surtout les mots anglais et qu'il ne doit pas forcément se référer à une liste externe comme I Have Been Pwned.

En cumulant une politique de mot de passe affinée et la protection Password Protection en complément, on obtient la synthèse suivante :

Cette fonctionnalité est incluse dans certaines licences et vous devez couvrir vos utilisateurs. L'installation est assez simple et s'appuie sur la mise en œuvre d'agents sur vos serveurs locaux. L'outil en tant que tel est peu configurable pour le moment, ce qui est dommage.

Si vous souhaitez en savoir plus sur Password Protection, je vous invite à lire ce tutoriel :

C. La solution Specops Password Policy

En termes de solution payante et proposée par un éditeur tiers, je souhaitais inclure Specops Password Policy (SPP) à cet article. Pourquoi ? Pour une raison simple : je connais ce logiciel et je sais qu'il répond à la majorité des recommandations de l'ANSSI, pour ne pas dire toutes.

Ce logiciel va beaucoup plus loin que la solution native intégrée à l'Active Directory, notamment pour gérer la complexité des mots de passe. En fait, vous pouvez créer des règles très précises pour imposer l'utilisation à minima de X majuscules, X minuscules, X chiffres, etc...

Concernant le blocage des suites de caractères, c'est géré par SPP, car il y a une option pour bloquer les caractères identiques consécutifs, et il est possible de créer des expressions régulières pour empêcher certains patterns.

Pour bloquer la présence des informations personnelles dans le mot de passe (nom, prénom, date de naissance), c'est un peu plus complexe. L'outil intègre une option pour empêcher l'utilisation de l'identifiant dans le mot de passe, ce qui dans de nombreux cas, devrait permettre de bloquer le nom et le prénom puisque c'est souvent utilisé pour construire le login Active Directory de l'utilisateur. Pour la date de naissance, cette option n'est pas prise en charge par l'outil proposé par Specops. Pour cela, il faudrait pouvoir se référer à un attribut de l'Active Directory, pour chaque utilisateur. Néanmoins, la solution SPP intègre la gestion de dictionnaires personnalisés, ce qui vous permet d'importer des dictionnaires existants, ou de créer votre propre dictionnaire : vous pouvez créer un dictionnaire avec toutes les dates de naissance de vos salariés (cela signifie aussi qu'un utilisateur X ne pourra pas utiliser dans son mot de passe la date de naissance d'un utilisateur Y, car le dictionnaire est commun à tous les utilisateurs ciblés par la politique).

Pour ma part, je vous recommande de créer un dictionnaire avec le nom de votre entreprise, car c'est souvent réutilisé dans les mots de passe. Enfin, à partir des mots du dictionnaire l'outil bloquera aussi les variantes (exemple : le mot "itconnect" implique que "itc0nnect" avec un zéro sera bloqué aussi), en prenant compte de nombreuses méthodes de substitution (plus que la solution Microsoft présentée ci-dessus).

Aperçu de Specops Password Policy
Aperçu de Specops Password Policy

La solution de l'éditeur Specops est capable de vérifier si votre mot de passe a été compromis (fuite de données, collecté via les honey pots SpecOps, etc.), en s'appuyant à la fois sur une base locale et sur une base en ligne au travers d'une API. Cette base en ligne est actualisée quotidiennement et elle contient 2,5 milliards de mots de passe. Si c'est le cas, l'utilisateur sera notifié par e-mail/SMS et invité à changer son mot de passe de nouveau. Sur ce point, on est vraiment conforme vis-à-vis des préconisations de l'ANSSI.

Voici un récapitulatif :

Pour découvrir plus en détail ce logiciel, je vous invite à lire mon tutoriel complet au sujet de Specops Password Policy, dans lequel vous pouvez retrouver également une vidéo de démonstration (réalisée par mes soins).

IV. Conclusion

Suite à la lecture de cet article, vous avez connaissance des recommandations de l'ANSSI en matière de politique de mot de passe, et en plus, vous avez quelques pistes à explorer afin de mettre en pratique ces recommandations sur un annuaire Active Directory. En complément de la mise en œuvre de cette politique de mot de passe, il ne faudra pas oublier de configurer le verrouillage des comptes afin de bloquer les attaques Brute Force.

Si vous connaissez d'autres solutions susceptibles de mettre en place une politique de mot de passe qui respecte les best practices de l'ANSSI, n'hésitez pas à poster un commentaire.

The post Politique de mot de passe : comment appliquer les bonnes pratiques de l’ANSSI ? first appeared on IT-Connect.

Comment la fin d’un contrat pourrait booster Windows sous architecture ARM

23 novembre 2021 à 14:42

Plus le temps passe, plus Apple creuse son avance face à Microsoft dans le secteur de l’informatique. Le passage sur l’architecture ARM a fait des miracles pour les MacBook, mais de leur côté les PC sous Windows sont encore à la peine. Mais cela pourrait changer, puisqu’un contrat d’exclusivité entre Microsoft et Qualcomm pourrait prendre fin bientôt. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

L'article Comment la fin d’un contrat pourrait booster Windows sous architecture ARM est apparu en premier sur Numerama.

Au fait, pourquoi GeForce s'appelle GeForce ?

21 novembre 2021 à 21:08

On vous parle d'une époque où l'on comparait les polygones entre les jeux vidéo, où les ordinateurs s'appelaient Pentium II et Pentium III et où l'on se montrait très fier de sa carte son Sound Blaster. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

L'article Au fait, pourquoi GeForce s’appelle GeForce ? est apparu en premier sur Numerama.

[Vidéo] Mise à jour de ma baie informatique (Ubiquiti Inside)

Aujourd’hui petite vidéo pour mettre à jour ma baie informatique. J’avais déjà sorti une vidéo où je vous expliquais comment monter une baie, comment câbler les noyaux RJ45 et comment faire quelque chose de propre. Cette vidéo a été publiée il y a quelques années déjà, depuis il y a eu pas mal de changement, …

L’article [Vidéo] Mise à jour de ma baie informatique (Ubiquiti Inside) est apparu en premier sur Tech2Tech | News, Astuces, Tutos, Vidéos autour de l'informatique.

Les élèves seront désormais sensibilisés à la sobriété numérique et à l'écoconception

17 novembre 2021 à 18:52

Des dispositions dans la loi visant à réduire l'empreinte environnementale du numérique en France visent à sensibiliser les jeunes à la sobriété numérique et aux enjeux environnementaux dans l'informatique. Pour les ingénieurs, un module sur l'écoconception est aussi prévu au programme. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article Les élèves seront désormais sensibilisés à la sobriété numérique et à l’écoconception est apparu en premier sur Numerama.

Un service d'email du FBI a été piraté pour envoyer de fausses alertes de sécurité

15 novembre 2021 à 12:27

Des dizaines de milliers de mails estampillés FBI ont été envoyés à cause d'une faille de l'agence fédérale étasunienne. Ils évoquaient une cyberattaque imaginaire, mais étaient heureusement inoffensifs. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

L'article Un service d’email du FBI a été piraté pour envoyer de fausses alertes de sécurité est apparu en premier sur Numerama.

Le nouveau processeur d’IBM est une avancée dans la course à la suprématie quantique

15 novembre 2021 à 11:48

IBM vient de présenter un nouveau processeur quantique, théoriquement plus puissant que les supercalculateurs actuels. Mais l'avancée de l'entreprise dans le secteur est à nuancer. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article Le nouveau processeur d’IBM est une avancée dans la course à la suprématie quantique est apparu en premier sur Numerama.

4 fonctionnalités méconnues des cartes graphiques Nvidia pour améliorer votre expérience de jeu sur PC

12 novembre 2021 à 15:44

Si Nvidia est reconnu pour la puissance technique de ses cartes graphiques, il ne s’agit pas de l’unique atout du constructeur. Depuis quelques années la marque américaine a mis en place un écosystème logiciel qui permet de gérer finement son matériel. On vous explique tout sur ces petites applications bien cachées dans l'interface des pilotes. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article 4 fonctionnalités méconnues des cartes graphiques Nvidia pour améliorer votre expérience de jeu sur PC est apparu en premier sur Numerama.

Guardia : L’école de cybersécurité post-bac va ouvrir en France en octobre 2022

9 novembre 2021 à 09:00
Par : UnderNews

Co-créée par des professionnels du secteur de la cybersécurité et de l’éducation, Guardia est une école unique en Europe conçue pour former les futurs talents de la cybersécurité. Deux écoles ouvriront leurs portes en octobre 2022, en plein cœur de Lyon et Paris.

The post Guardia : L’école de cybersécurité post-bac va ouvrir en France en octobre 2022 first appeared on UnderNews.

Bloquer les attaques sur son serveur Web (Apache + PHP) avec CrowdSec

2 novembre 2021 à 10:30

I. Présentation

Dans ce tutoriel, nous allons voir comment l'outil gratuit CrowdSec va nous permettre de protéger un serveur Web (Apache et PHP) contre les attaques informatiques.

Pour rappel, CrowdSec est un outil open source, gratuit, français, qui s'inspire du célèbre outil Fail2ban et qui a pour objectif de protéger votre serveur, en détectant puis en bloquant les attaques.

Récemment, les équipes de CrowdSec ont travaillé sur le développement d'un bouncer PHP pour protéger les serveurs Web qui tournent sur "Apache + PHP". Une excellente une idée puisque PHP est utilisé sur une très très grande majorité des sites Internet à l'échelle mondiale.

A. L'objectif du jour

Pour suivre ce tutoriel, nous allons utiliser deux machines : un serveur Web qui sera notre cible, et une seconde machine pour émettre une attaque très légère, mais réelle. Ce qui donne :

  • Un serveur Web sous Debian 11
    • Apache et PHP installés, avec un site Web tout simple
    • CrowdSec va être déployé pour protéger le serveur
  • Un poste client pour simuler une attaque, sous Kali Linux pour ma part
    • L'outil Nikto sera utilisé pour effectuer un scan du serveur Web afin de rechercher des vulnérabilités ou des erreurs de configuration

Avant d'aller plus loin, je vous invite à prendre connaissance de mon premier article au sujet de CrowdSec où je présente plus précisément l'outil et dans lequel nous avons vu comment protéger un serveur Web sous Nginx.

Si vous êtes prêt à découvrir ce second cas d'usage de CrowdSec, poursuivez la lecture !

II. Mise en place d'Apache et PHP sur Debian 11

Pour la mise en place du serveur Apache avec PHP, je vous recommande de lire ce tutoriel sur la mise en place d'un serveur LAMP sous Debian 11. Il servira de point de départ afin d'avoir un serveur Web opérationnel.

On va se contenter d'une simple page d'accueil "index.php" avec un message "Hello !". Pour créer cette page, suivez ces quelques étapes.

sudo nano /var/www/html/index.php

Insérez ce petit bout de code :

<?php
echo "<h1>Hello !</h1>";
?>

Enfin, supprimez la page d'accueil d'origine d'Apache.

sudo rm /var/www/html/index.html

Le serveur Web est prêt, nous avons une page PHP en place. Elle est accessible sur le domaine it-connect.tech.

III. Installation de CrowdSec sur Debian 11

Sur Debian 11, CrowdSec est directement dans les dépôts, ce qui va nous faciliter la vie. Il suffit de mettre à jour le cache des paquets et de lancer l'installation :

sudo apt-get update
sudo apt-get install -y crowdsec

Le cas échéant, si le paquet n'est pas disponible, vous devez utiliser cette méthode pour réaliser l'installation :

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash 
sudo apt install crowdsec

Lors de l'installation, CrowdSec va analyser votre machine afin de détecter les services présents et de télécharger les collections associées. Ces composants vont permettre à CrowdSec de détecter les attaques (sans les bloquer).

On peut lister les collections avec la commande suivante :

cscli collections list

Si la collection "base-http-scenarios" est présente dans la liste, ce qui normalement le cas si vous avez déjà installé Apache sur votre serveur, cela va notamment permettre de bloquer les mauvais User Agents, comme ceux utilisés par certains outils de scans. Ceci n'est qu'un exemple, car cette collection va détecter d'autres événements comme la recherche de backdoors, etc.

On peut regarder si nous avons des décisions actives au niveau de notre instance CrowdSec. En toute logique, non. Vérifions que ce soit bien le cas avec la commande ci-dessous issue de "cscli", l'ensemble de commandes associées à CrowdSec.

sudo cscli decisions list

IV. Mon serveur Web Apache + PHP vs Nikto

A. Premier scan avec Nikto

Rappel : Nikto est un outil open source qui sert à analyser un serveur Web à la recherche de vulnérabilités ou de défaut de configuration.

Avant toute chose, il faut installer l'outil Nikto sur la machine qui sert à réaliser le scan. Pour ma part, j'utilise Kali Linux via WSL (Windows Subsystem for Linux).

L'installation s'effectue très simplement :

sudo apt-get update
sudo apt-get install nikto

Avant d'exécuter le scan Nikto, vous pouvez vérifier que votre machine Kali Linux parvient à charger la page d'accueil de votre site :

curl -I it-connect.tech

Si vous obtenez un résultat avec un code de retour HTTP égal à 200, c'est tout bon ! Maintenant, on va lancer un scan de notre serveur Web avec Nikto. Pour cela, on spécifie l'adresse IP de l'hôte cible ou le nom de domaine, et on laisse tourner. Comme ceci :

nikto -h it-connect.tech

Suite au scan avec Nikto, mon adresse IP est bien dans le viseur de CrowdSec puisqu'il a décidé de bannir mon adresse IP. Cependant, l'adresse IP n'est pas bloquée. En effet, CrowdSec doit s'appuyer sur un Bouncer pour appliquer la décision et bannir l'adresse IP.

sudo cscli decisions list

On peut voir aussi que mon analyse avec Nikto a généré plusieurs alertes, ce qui donne des indications sur les types d'attaques détectés (reason).

cscli alerts list

B. Installation de PHP Composer

Pour déployer le Bouncer PHP sur son serveur, il faut installer Composer sinon il ne s'installera pas correctement. Pour l'installer, nous avons besoin de deux paquets : php-cli et unzip, que l'on va installer sans plus attendre :

sudo apt-get update
sudo apt-get install php-cli unzip

Ensuite, il faut se positionner dans son répertoire racine et récupérer l'installeur avec Curl :

cd ~
curl -sS https://getcomposer.org/installer -o composer-setup.php

Une fois qu'il est récupéré, il faut vérifier que le hash SHA-384 correspond bien à l'installeur que l'on vient de télécharger. Cela permet de s'assurer de l'intégrité du fichier. On stocke le hash dans une variable nommée "HASH" :

HASH=`curl -sS https://composer.github.io/installer.sig`

Puis, on lance la commande fournie sur le site officiel de Composer qui va permettre de vérifier le hash avant que l'installation soit lancée :

php -r "if (hash_file('SHA384', 'composer-setup.php') === '$HASH') { echo 'Installer verified'; } else { echo 'Installer corrupt'; unlink('composer-setup.php'); } echo PHP_EOL;"

Vous devez obtenir le message "Installer verified". Sinon, cela signifie que votre installeur est corrompu, vous devez relancer le téléchargement.

Enfin, lancez l'installation de Composer :

sudo php composer-setup.php --install-dir=/usr/local/bin --filename=composer

Pour vérifier que l'installation est opérationnelle, exécutez simplement :

composer

Vous devez obtenir ceci :

Composer est correctement installé, vous pouvez passer à l'installation du Bouncer en lui-même.

C. Mise en place du Bouncer PHP

Souvenez-vous du premier tutoriel sur CrowdSec où j'utilisais un serveur NginX. J'avais utilisé le Bouncer NginX directement pour bloquer les adresses IP que CrowdSec souhaitait bannir. Cette fois-ci, comme nous n'utilisons pas NginX mais Apache, on va se tourner vers un autre Bouncer : PHP.

Note : le Bouncer PHP développé par CrowdSec prend en charge de nombreuses versions (PHP 7.2.x, 7.3.x, 7.4.x et 8.0.x).

Nous avons besoin de Git pour installer ce Bouncer afin de cloner le projet. Pour installer Git :

sudo apt-get install git

Ensuite, on récupère le projet en le clonant en local :

git clone https://github.com/crowdsecurity/cs-php-bouncer.git

On obtient un dossier nommé "cs-php-bouncer" dans lequel on va se positionner :

cd cs-php-bouncer/

Puis, on lance le script d'installation (il ne doit pas être lancé avec le compte "root", ni "sudo" !) en spécifiant que l'on utilise le serveur Web "Apache" :

./install.sh --apache
Installation du Bouncer PHP sur CrowdSec
Installation du Bouncer PHP sur CrowdSec

Enfin, on suit les instructions qui s'affichent à l'écran pour finaliser l'installation. On définit comme propriétaire sur le dossier "/usr/local/php/crowdsec/" l'utilisateur associé à Apache. Par défaut, il s'agit de l'utilisateur "www-data".

sudo chown www-data /usr/local/php/crowdsec/

Puis, on termine en rechargeant la configuration d'Apache :

sudo systemctl reload apache2

Si on liste les Bouncer installés sur notre serveur, on va voir qu'il apparaît dans la liste :

sudo cscli bouncers list

D. Deuxième scan avec Nikto : le bouncer PHP va-t-il se montrer intraitable ?

Cette fois-ci, on devrait être en mesure de détecter l'attaque, de décider de bannir l'adresse IP de l'hôte "Nikto" et surtout d'appliquer la décision grâce au Bouncer PHP. C'est ce que nous allons vérifier.

On peut commencer par utiliser Curl pour vérifier que l'on obtient bien un code de retour HTTP 200.

curl -I it-connect.tech

Puis, on lance notre scan Nikto :

nikto -h it-connect.tech

Cette fois-ci, le scan mouline un peu... Comme s'il était bloqué par quelque chose. Si on force son arrêt (CTRL+C) et que l'on relance la commande Curl, on peut voir que le code de retour HTTP a changé : HTTP/1.0 403 Forbidden. Ce qui correspond à un accès refusé sur la page, y compris si l'on essaie d'accéder au serveur avec l'adresse IP au lieu du nom.

Si j'essaie d'accéder au site avec un navigateur, on peut voir qu'un message s'affiche pour indiquer que mon adresse IP a été bloquée par CrowdSec ! Le Bouncer PHP est entré en action !

Je vous rappelle que l'on peut débannir manuellement une adresse IP avec la commande suivante (nous allons utiliser cette commande dans la suite du tutoriel) :

sudo cscli decisions delete --ip X.X.X.X

De la même façon, on peut aussi bannir manuellement une adresse IP :

sudo cscli decisions add --ip X.X.X.X

V. Bouncer PHP : mise en place d'un captcha

Avec la configuration actuelle, l'adresse IP sera bloquée pour une durée de 4 heures et l'utilisateur n'a pas de possibilité d'être débloqué pendant ce temps. À moins de prendre la peine de contacter le Webmaster du site...

Pour limiter l'impact des éventuels faux positifs sur la règle "bad user agents", nous allons présenter un captcha à l'utilisateur bloqué, plutôt qu'un blocage pur. De cette façon, un robot sera bloqué tandis qu'un utilisateur réel pourra  déverrouiller l'accès au site. Nous allons réserver le même sort au crawlers malveillants (robots d'exploration).

Pour cela, il faut éditer le fichier de configuration nommé "profiles.yaml", qui est au format YAML, comme son nom l'indique.

sudo nano /etc/crowdsec/profiles.yaml

Ce fichier contient une configuration par défaut qui sert à bloquer les adresses IP pendant 4 heures, peu importe le type d'attaque détectée. Nous souhaitons conserver ce comportement, à l'exception de deux types d'alertes :

  • http-crawl-non_statics
  • http-bad-user-agent

Il faut que l'on ajoute notre configuration au début du fichier, et non pas à la fin. À ce jour, CrowdSec gère la priorité par rapport à l'ordre dans le fichier puisque dès que l'on match sur une règle, on ne vérifie pas la suite (un peu sur le même principe que les ACL sur un routeur, finalement) compte tenu de la présence de la directive "on_success: break" (voir ci-dessous).

Autrement dit, si l'on ajoute notre configuration spécifique à la suite dans le fichier profiles.yaml, cela ne fonctionnera pas, car la première règle correspondra (matchera) toujours, et donc notre règle ne sera pas prise en compte.

Voici le bout de code à ajouter au tout début du fichier :

# Bad User agents + Crawlers - Captcha 4H
name: crawler_captcha_remediation
filters:
- Alert.Remediation == true && Alert.GetScenario() in ["crowdsecurity/http-crawl-non_statics", "crowdsecurity/http-bad-user-agent"]
decisions:
- type: captcha
duration: 4h
on_success: break
---

La partie "filters" sert à spécifier que l'on cible seulement les scénarios d'alertes "http-crawl-non_statics" et "http-bad-user-agent". Ensuite, au niveau du "type", on spécifie "captcha" au lieu de "ban" qui est l'action standard.

Enfin, la partie "duration" sert à spécifier la durée pendant laquelle on présente un captcha à l'adresse IP associée au "blocage". En l'occurrence, 4h par défaut, mais vous pouvez modifier cette valeur.

Au final, vous obtenez ceci :

Sauvegardez le fichier et fermez-le. Il ne reste plus qu'à relancer CrowdSec :

sudo systemctl restart crowdsec

Avant de refaire des tests, on va supprimer la décision qui s'applique actuellement sur notre adresse IP, c'est-à-dire "ban". On utilise la commande ci-dessous en remplaçant "X.X.X.X" par l'IP publique correspondante.

sudo cscli decisions delete --ip X.X.X.X

Ensuite, il faut que l'on simule un accès depuis un user-agent non autorisé, car si j'utilise Firefox, Chrome, Brave, Edge, etc... cela ne fonctionnera pas, car ce sont des user-agent légitimes. Pour cela, on peut se référer à la liste de user-agents malveillants relayée par CrowdSec sur GitHub. Pour l'outil à utiliser, on partira sur l'excellent Curl que l'on a déjà utilisé précédemment.

Nous allons utiliser le modèle de commande suivant :

curl -I it-connect.tech -H "User-Agent: <nom-user-agent>"

Voici quelques exemples :

curl -I it-connect.tech -H "User-Agent: Cocolyzebot"
curl -I it-connect.tech -H "User-Agent: Mozlila"
curl -I it-connect.tech -H "User-Agent: OpenVAS"
curl -I it-connect.tech -H "User-Agent: Nikto"

En effectuant deux-trois requêtes Curl à destination de notre site, on se retrouve rapidement avec un code d'erreur HTTP : 401 Unauthorized. Comprenez accès non autorisé.

Maintenant que je suis bloqué par CrowdSec, on va utiliser un navigateur classique pour voir comment réagit le serveur Web.

Aaaaah ! Bonne nouvelle ! Une page avec un captcha s'affiche ! Pour outrepasser le blocage, il suffit de compléter le captcha, de cliquer sur "Continue", afin d'accéder au site.

CrowdSec - Page de blocage avec captcha
CrowdSec - Page de blocage avec captcha

Si on liste les décisions actives, on peut voir que mon adresse IP est bien associée à l'action "captcha" au lieu de l'action "ban". On peut voir aussi que mon instance CrowdSec a banni quelqu'un d'autre, qui visiblement, s'en prend à mon serveur Web.

sudo cscli decisions list

Si l'on effectue un scan avec Nikto comme nous l'avons fait à plusieurs reprises dans cette démonstration, nous n'aurons pas le captcha, nous allons être directement bannis. En fait, il y a bien un user-agent Nikto, mais le scan avec cet outil va générer d'autres alertes avant celle sur le user-agent, ce qui implique que c'est l'action "bannir" qui va s'appliquer avant l'action "captcha". En soi, ce n'est pas plus mal, car quelqu'un qui scanne notre serveur Web, on préfère autant qu'il soit complètement bloqué.

VI. Conclusion

Voilà, nous venons de voir comment sécuriser une application ou un site Internet qui tourne sur un serveur Web Apache + PHP en détectant et bloquant les attaques avec CrowdSec. On peut voir que CrowdSec est un outil efficace et personnalisable grâce à la mise en place du captcha.

Je vous rappelle que vous pouvez démarrer un container Metabase pour accéder à un dashboard afin de visualiser de beaux graphiques et avoir des métriques précises quant à l'activité de CrowdSec sur votre serveur (voir mon précédent tutoriel).

Pour finir, quelques liens :

The post Bloquer les attaques sur son serveur Web (Apache + PHP) avec CrowdSec first appeared on IT-Connect.

Secure boot Violation : Invalid signature detected check secure boot policy in setup

26 octobre 2021 à 17:23

Au moment de démarrer votre PC, une fenêtre rouge Secure Boot Violation s'affiche que l'on peut traduire par violation du démarrage sécurisé.
Elle indique un message : Invalid signature detected check secure boot policy in setup.
Cela peut empêcher de démarrer sur une clé USB bootable et même parfois accéder à Windows 10 ou Windows 11.

Ce tutoriel vous donne vous explique à quoi correspond ce message Secure boot Violation.
Mais surtout, il vous donne plusieurs solutions pour résoudre ce message de blocage au démarrage du PC.

Secure boot Violation : Invalid signature detected check secure boot policy in setup

Qu'est-ce que le Secure boot Violation

Le Secure boot (démarrage sécurisé) est un dispositif présent sur les PC UEFI.
Il vise à protéger votre appareil contre la compromission et les attaques malveillantes.
Notamment contre les bootkit qui modifie le démarrage en insérant un code malveillant.

Lorsque le Secure Boot détecte l'exécution d'un code inconnu, le dispositif de sécurité bloque le démarrage du PC avec le message Secure Boot Violation.
Il indique alors Invalid signature detected check secure boot policy in setup, ce qui signifie qu'une signature numérique invalide est détectée.
En effet, le Secure Boot ne permet de démarrer que sur des firmwares UEFI signés numériquement.

Secure Boot Violation lorsqu'un code inconnu ou potentiellement malveillant tente de s'exécuter au démarrage du PC

Ainsi, la violation du démarrage sécurisé peut se produire dans les cas suivants :

  • Si un bootkit ou malware a modifié le firmware UEFI de votre OS Windows ou Linux
  • Vos fichiers de démarrage dont le firmware UEFI sont corrompus ou endommagés
  • Vous tentez de démarrer sur une clé USB bootable avec un firmware UEFI invalide
  • Votre clé USB amorçable est corrompu ou mal créée

Comment résoudre Secure boot Violation

Désactiver le Secure boot

La méthode la plus simple pour éviter l'erreur Secure Boot Violation est de désactiver le Secure boot.
Ainsi, sans le démarrage sécurisé, plus aucune violation du démarrage sécurisé ne peut se produire.
C'est plutôt une méthode pour contourner le message de Secure boot Violation.

Toutefois, il faut bien comprendre que cela comporte un risque surtout si vous tentez de démarrer sur une clé USB dont le firmware UEFI est inconnu ou dont la source est inconnue.
Ainsi cela n'est pas recommandé pour des raisons de sécurité.
Evitez donc de démarrer votre PC sur une clé USB provenant d'un programme inconnu.

Recréer la clé USB bootable

Si vous tentez de démarrer sur une clé USB d'installation de Windows ou Linux, le Secure boot Violation n'a pas lieu d'être puisque ces OS utilisent un firmware UEFI signés et valides.
En général, il s'agit d'un problème lors de la création de la clé USB.
Notez que cela peut aussi avoir pour source un problème matériel sur la clé USB aboutissant à une corruption possible des fichiers de démarrage ou les rendant illisibles.

Dans ce cas là, il faut recréer la clé USB bootable, essayez notamment avec le logiciel Rufus.
N'hésitez pas non plus à tester avec une autre clé USB.
Les tutoriels suivants peuvent vous aider à résoudre le Secure boot Violation :

Réparer le démarrage de Windows ou grub

Par contre si cela se produit au démarrage de Windows ou Linux, il faut réparer le démarrage.
En effet, il se peut que les fichiers de démarrage dont le firmware UEFI soient endommagés ou corrompus.
Ainsi, la signature numérique n'est plus conforme et l'erreur de Secure boot Violation s'affiche.

Pour vous aidez suivez ces tutoriels :

L’article Secure boot Violation : Invalid signature detected check secure boot policy in setup est apparu en premier sur malekal.com.

Créer une clé USB bootable avec Rufus

25 mars 2020 à 16:39

Rufus est un logiciel gratuit et libre très efficace pour créer une clé USB bootable (démarrable).
Vous pouvez le faire à partir d'un fichier ISO ou utiliser Rufus pour télécharger automatiquement l'image ISO.

Avec Rufus, vous pouvez créer une clé USB d'installation de Windows ou Linux (Ubuntu, Debian, Mint, etc.).
Mais aussi de dépannage par exemple avec le Live CD Malekal, Medicat, Clonezilla, Rescatux, etc.

Voici un tutoriel complet pour utiliser Rufus et comment créer une clé USB Bootable.

Créer une clé USB bootable avec Rufus

Introduction

Voici les étapes à réaliser afin de créer une clé USB Bootable avec Rufus.

  1. Il faut télécharger le fichier ISO ou utiliser Rufus pour le faire pour vous.
  2. Ensuite, on utilise Rufus pour mettre les données du fichier ISO sur la clé USB et le rendre « démarrable » ou « bootable » en anglais.
  3. Enfin vous pouvez démarrer l’ordinateur sur la clé USB bootable.
Rufus ne permet pas la création de clé USB Multiboot, c'est à dire qui intègre plusieurs ISO.
Si vous désirez en créer une, vous pouvez utiliser Ventoy.
Plus d'informations : Créer une clé USB Multi-boot avec Ventoy.

Créer une clé USB bootable avec Rufus

Pour Windows 11, il existe aussi ce tutoriel :

Après avoir récupérer le fichier ISO et insérez la clé USB dans votre PC.
Si la clé USB contient des fichiers importants, copiez les vers un autre emplacement.

Temps nécessaire : 20 minutes.

Créer une clé USB bootable avec Rufus

  1. Télécharger Rufus

    Télécharger Rufus depuis ce lien ou depuis le site Rufus.

  2. Choisir le lecteur de la clé USB

    Dans Périphérique, sélectionnez le lecteur de votre clé USB ou DVD-Rom.

  3. Charger le fichier ISO

    Cliquez ensuite à droite dans Selection puis naviguer dans votre disque afin de sélectionner le fichier ISO. Pour Windows, vous pouvez télécharger les fichiers ISO avec Rufus. Voir le paragraphe suivant ou à partir de ces liens :

  4. Régler le schéma de partition et système de destination

    Enfin dans schéma de partition et système de destination à droite, réglez en :
    - UEFI : Si l'ordinateur est récent (> 2013) alors il est réglé en UEFI et il faut donc choisir GPT (non CMS).
    - MBR et BIOS (ou UEFI-CMS) : Si l'ordinateur est ancien (<2013).
    Créer une clé USB Bootable avec Rufus

  5. Les autres réglages de la clé USB

    Nom de volume : laisser la valeur par défaut.
    Système de fichiers et Taille d’unité d’allocation : ne touchez à rien et laisser selon le schéma de partition. Rufus fait les réglages qui vont bien.Créer une clé USB Bootable avec Rufus

  6. Lancer la création de la clé USB avec Rufus

    Enfin quand tout est réglé, cliquez en bas sur DEMARRER.
    Puis Rufus propose de formater la clé USB.
    Cliquez sur OK pour continuer.
    Lancer la création de la clé USB avec Rufus

  7. Formatage et préparation de la clé USB Bootable

    Puis Rufus effectue les opérations.

    Créer une clé USB Bootable avec Rufus

  8. Patientez durant la création de la clé USB Bootable

    Enfin la copie du contenu de l'ISO s'effectue.
    Patientez, cela va prendre plusieurs minutes
    .Créer une clé USB Bootable avec Rufus

  9. Fin de la création de la clé USB Bootable

    Une fois la clé USB bootable prête, le Statut vous l'indique.
    Vous pouvez démarrer votre PC dessus à l'aide ce tutoriel :

    Créer une clé USB Bootable avec Rufus
Bravo ! vous avez réussi à créer une clé USB bootable avec Rufus

En vidéo

Au besoin cette vidéo vous guide pour créer une clé USB Bootable avec Rufus.

Télécharger les fichiers ISO de Windows depuis Rufus

Sachez que Rufus récupère automatiquement le fichier ISO depuis le site de Microsoft.
Ainsi, vous êtes certains d'utiliser des sources de Windows sans logiciel malveillants.

Voici comment télécharger les ISO de Windows 8, Windows 10 et Windows 11 avec Rufus.

  • Lancez Rufus
  • Cliquez sur Sélection puis Télécharger
Télécharger les ISO de Windows 8 ou 10 avec Rufus
  • Une opération s'effectue que vous pouvez visualiser dans la partie Statut tout en bas.
Télécharger les ISO de Windows 8 ou 10 avec Rufus
  • Puis une fenêtre Télécharger une image ISO s'ouvre
  • Choisissez la version de Windows : Windows 8 ou Windows 10.
Télécharger les ISO de Windows 8 ou 10 avec Rufus
  • Puis sélectionnez la release. Cela correspond à la version de windows 8 ou 10.
Télécharger les ISO de Windows 8 ou 10 avec Rufus
  • Dans l'étape d'après, on choisit l'édition de Windows : Famille, Pro, Education.
Télécharger les ISO de Windows 8 ou 10 avec Rufus
  • Ensuite sélectionnez l'édition puis la langue
Télécharger les ISO de Windows 8 ou 10 avec Rufus
  • Enfin sélectionnez l'architecture : x86 ou x64.
  • Vous devez bien prendre celle corresponde à celle du PC où vous souhaitez réinstaller Windows.

Plus de détails sur cette page : Comment vérifier si Windows est en 32-bits ou 64-bits

Télécharger les ISO de Windows 8 ou 10 avec Rufus
  • Enfin une fois que tout est réglé, cliquez sur le bouton Télécharger.
Télécharger les ISO de Windows 8 ou 10 avec Rufus
  • Sélectionnez l'emplacement sur votre disque où enregistrer le fichier ISO de Windows.
Télécharger les ISO de Windows 8 ou 10 avec Rufus
  • Enfin le téléchargement du fichier ISO de Windows s'effectue. Cela peut prendre du temps selon la vitesse de la connexion internet.
Télécharger les ISO de Windows 8 ou 10 avec Rufus
Bravo ! vous avez réussi à télécharger les fichiers ISO de Windows.

Démarrer sur la clé USB Bootable

Maintenant que le support USB est prêt, vous pouvez démarrer votre ordinateur sur votre clé USB Bootable.

L’article Créer une clé USB bootable avec Rufus est apparu en premier sur malekal.com.

❌