KrISS feed 8.11 - Un simple et superbe (ou stupide) lecteur de flux. Par Tontof
  • Saturday 16 October 2021 - 12:01

    Quand tu regardes une vidéo les images sautent, restent bloqués… ?

    Tu n’es pas tous seul !

    J’ai pratiquement ce problème avec sur tous les PC que je teste avec une distribution dérivée d’Ubuntu !

    Je sais pas comment un problème si gros peut être aussi peu discuter… C’est quand même super chiant !

    Au début, j’ai essayé d’activer l’accélération du processeur, mais rien… ça ne marche pas…

    Bref après recherche, le pourquoi du problème c’est en rapport avec des codecs et l’accélération vidéo…

    … c’est très chiant à régler sur Firefox, mais j’ai une autre solution toute simple.

    (mais si tu veux bidouiller, tu peux regarder une solution ici)

    Sinon la solution radicale, MAIS QUI MARCHE :

    Utilise un navigateur Chromium

    Ça peut être Vivaldi par exemple, mais perso j’utilise « Ungoogled Chromium » qui est Chromium, mais sans toutes les merdes de Google 😉

    … et c’est tout… c’est la solution 😉

    Va sur YouTube, Vimeo etc… les vidéos ne laggent plus ! MAGIQUE !

    … je sais, la solution est un peu radicale, changer complètement de navigateur, mais c’est le truc le plus simple que j’ai trouvé…

    Perso, j’utilise toujours Firefox, mais quand je veux voir une vidéo sans lag j’utilise Chromium.

  • Friday 15 October 2021 - 18:45
    Certifications, rançons, coordination de l'écosystème... L'Assemblée nationale esquisse une première série de proposition pour les assurances cyber.

  • Friday 15 October 2021 - 18:11
    L’une des quatre maisons les plus influentes du monde de ventes aux enchères d’œuvres d’art et d’objets de collection, Sotheby’s, va ouvrir une plateforme destinée aux NFT. « Sotheby’s Metaverse », annoncé le 14 octobre, va organiser sa première vente, « Natively Digital 1.2: The Collectors », d’ici la fin du mois. Les NFT représentent […]
  • Friday 15 October 2021 - 17:06
    Optimiser les dépenses SaaS n'est pas une option, mais une priorité pour les équipes en charge de la gestion d’actifs informatiques.

  • Friday 15 October 2021 - 16:56
    Microsoft a annoncé, le jeudi 14 octobre, la fermeture de son réseau social LinkedIn en Chine avant la fin de l’année. Le pays ne cesse d’accentuer sa censure sur internet, et de nombreux autres réseaux sociaux ont déserté le territoire ces dernières années. Parmi les (nombreux) réseaux sociaux américains, seul LinkedIn est encore disponible en […]
  • Friday 15 October 2021 - 16:21
    Le chiffre est spectaculaire, DingTalk, l’application de messagerie d’Alibaba destinée aux professionnels a annoncé le 13 octobre avoir 500 millions d’utilisateurs. Il s’agit, en entreprise, d’une des applications les plus populaires en Chine. 19 millions d’organisations de tout ordre l’utiliseraient. Le raz de marée DingTalk DingTalk a bénéficié, comme le reste du secteur, du Covid-19 […]
  • Friday 15 October 2021 - 16:00

    I. Présentation

    Dans ce tutoriel, nous allons voir comment installer WordPress facilement sur son serveur Web LAMP : Linux, Apache, MariaDB (MySQL) et PHP. Ce guide vous aidera étape par étape pour installer WordPress correctement.

    WordPress est un CMS (Content Management System) créé en 2003 qui va permettre de mettre en ligne un site Internet sans partir de zéro puisqu'il permet de créer, de modifier et d'administrer facilement un site web.

    Aujourd'hui, c'est WordPress est le CMS le plus populaire et il permet de mettre en place de nombreux types de sites : sites vitrine, blog, sites d'e-commerce, etc...Grâce à son énorme communauté et les nombreux développeurs qui proposent des plug-ins (gratuits ou payants) afin de permettre la personnalisation de son site Web.

    Nativement, WordPress va permettre de créer des utilisateurs, des pages et des articles. Il va permettre aussi de gérer la configuration globale du site (nom, adresse, format des liens, etc...). Cette base solide doit être complétée par des plug-ins (appelés aussi extensions) qui vont permettre d'ajouter des fonctionnalités à votre site WordPress, mais aussi d'avoir un thème graphique correspondant à vos attentes.

    II. Prérequis pour installer WordPress

    Certains hébergeurs proposent une installation clé en main, il suffit de cliquer sur un bouton et WordPress se déploie tout seul. Par contre, si vous gérez vous-même votre serveur, par exemple sur un serveur VPS ou un serveur dédié, c'est vous qui allez devoir réaliser l'installation.

    Quant aux ressources que doit avoir votre machine, c'est-à-dire l'espace de stockage, le CPU et la RAM, j'ai envie de dire "ça dépend". En effet, au début ce sera surement très peu, mais si votre site grossit et qu'il y a de nombreux visiteurs, vous allez avoir besoin d'adapter les ressources en conséquence.

    Pour suivre ce tutoriel, vous avez besoin d'une machine sous Linux, avec un accès "root" sur cette machine (ou un niveau de droits suffisants pour réaliser les manipulations qui vont suivre).

    A. L'archive d'installation de WordPress

    Connectez-vous sur votre serveur Linux en SSH afin de télécharger l'archive ZIP qui contient les sources de WordPress.

    Positionnez-vous dans le dossier "/tmp" et téléchargez la dernière version de WordPress :

    cd /tmp
    wget https://wordpress.org/latest.zip

    Voilà, laissez le téléchargement s'effectuer... Nous allons utiliser cette archive dans une prochaine étape.

    B. Le serveur Web

    Dans cet exemple, je vais partir sur un socle LAMP sous Debian 11 pour effectuer l'installation. Cela correspond à un serveur Web basé sur Linux (Debian 11) sur lequel on va retrouver Apache, MariaDB ou MySQL et PHP.

    Pour Apache, installez la dernière version disponible dans les dépôts de votre distribution et vérifiez que vous êtes en mesure d'activer certains modules ("deflate" pour la compression GZip, "rewrite" pour la réécriture d'URL et "ssl" pour le support du HTTPS).

    Au sujet de PHP, pour le moment je vous recommande de commencer par PHP 7.4 dans un premier temps et de basculer sur PHP 8 dans un second temps. Le support pour les mises à jour de sécurité de PHP 7.4 expire en novembre 2022.

    Pour le système de gestion de bases de données, MariaDB (open source fork de MySQL) ou MySQL (gratuit, mais propriétaire Oracle), installez la dernière version disponible.

    Si vous avez besoin d'aide pour mettre en place le serveur Web, c'est-à-dire installer les différents paquets, suivez le premier lien ci-dessous. Ce sera mon point de départ.

    III. Créer une base de données pour WordPress

    WordPress s'appuie sur une base de données afin de stocker toutes les informations liées à la configuration et à vos contenus (catégorie, pages, articles, etc.). Sur notre serveur Web, nous allons lui créer une base de données dédiée avec un utilisateur dédié, et ce dernier aura les droits uniquement sur la BDD WordPress.

    Que ce soit avec MariaDB ou MySQL, vous pouvez vous connecter à la console de votre instance avec la commande suivante :

    mysql –u root –p

    Saisissez le mot de passe "root" de votre instance : une console va s'ouvrir, prête à recevoir des commandes SQL.

    Première étape : la création de la base de données. Ne donnez pas un nom trop évident, mais parlant malgré tout, par exemple cela peut être : wp202110_itconnect. Ce nom reste parlant pour vous : on sait qu'il s'agit de la base de données WordPress (wp), créée en octobre 2021 pour le site "itconnect".

    CREATE DATABASE wp202110_itconnect;
    # Retour dans la console : 
    Query OK, 1 row affected (0.001 sec)

    Vous pouvez lister les bases de données de votre instance avec la commande suivante :

    SHOW DATABASES;

    On peut voir que notre base de données apparaît bien dans la liste :

    Deuxième étape : créer l'utilisateur qui sera administrateur de la base de données WordPress. Cet utilisateur sera nommé "adminwp202110_itconnect" et il aura comme mot de passe "Votre-Super-Mot-De-Passe".

    Ce qui donne la requête SQL suivante :

    CREATE USER 'adminwp202110_itconnect'@'localhost' IDENTIFIED BY 'Votre-Super-Mot-De-Passe';

    Troisième étape : donner tous les droits à l'utilisateur "adminwp202110_itconnect" sur la base de données WordPress. Notre serveur Web et la base de données étant sur le même serveur, nous allons donner ces droits pour une connexion locale. Ce qui donne :

    GRANT ALL PRIVILEGES ON wp202110_itconnect.* TO adminwp202110_itconnect@localhost;

    Enfin, il faut exécuter la commande suivante pour actualiser les droits et activer les nouveaux privilèges sur notre base de données :

    FLUSH PRIVILEGES;

    La base de données pour WordPress est prête. Pour le moment elle est vide, mais WordPress va créer sa structure de tables lors de l'installation. Quittez la console MariaDB / MySQL :

    exit

    Passons à l'étape suivante.

    IV. Décompresser l'archive WordPress à la racine du site

    Nous allons utiliser le site par défaut d'Apache, qui a pour racine "/var/www/html" afin de stocker les données de notre site WordPress. Au préalable, on supprime la page d'index créée par défaut par Apache :

    sudo rm /var/www/html/index.html

    Ensuite, on installe le paquet « zip » sur notre serveur pour pouvoir décompresser l’archive de WordPress :

    sudo apt-get update 
    sudo apt-get install zip

    On décompresser l'archive dans "/var/www/html" grâce à la commande suivante (en étant positionné dans le dossier où l'on a téléchargé le fichier latest.zip) :

    sudo unzip latest.zip -d /var/www/html

    L'option "-d" permet de définir là où sera décompressée l'archive. Le dossier WordPress apparaitra donc dans "/var/www/html" qui est le dossier où sont stockées les pages web par défaut.

    Le problème, c'est que là on vient de décompresser le contenu de l'archive ZIP dans un dossier nommé "wordpress", ce qui donne : /var/www/html/wordpress. Du coup, pour accéder à notre site, il faudra faire : http://domaine.fr/wordpress/. Ce n'est pas top, nous allons corriger cela dès maintenant.

    Déplacez-vous dans le dossier "/var/www/html" :

    cd /var/www/html

    Ensuite, exécutez la commande ci-dessous pour déplacer tout le contenu du dossier "wordpress" à la racine de notre site :

    sudo mv wordpress/* /var/www/html/

    Puisque le dossier "wordpress" ne sert plus à rien, on va le supprimer :

    sudo rm wordpress/ -Rf

    Enfin, on termine en donnant les droits à l'utilisateur "www-data" (correspondant à Apache) sur tous les fichiers de notre site, de manière récursive :

    sudo chown -R www-data:www-data /var/www/html/

    On obtient une belle liste de fichiers et dossiers. Au niveau des droits et pour des raisons de sécurité, vous devez avoir 755 sur les dossiers et 644 sur les fichiers. Ce qui est le cas par défaut si vous n'avez pas fait de modifications. En aucun cas vous ne devez poser des droits "777" sur un dossier ou un fichier.

    Aperçu des droits WordPress
    Aperçu des droits WordPress

    Si vous avez un doute ou que vous pensez avoir modifié les droits, vous pouvez rectifier la situation.

    Pour les fichiers, exécutez cette commande :

    sudo find /var/www/html/ -type f -exec chmod 644 {} \;

    Pour les dossiers, exécutez cette commande :

    sudo find /var/www/html/ -type d -exec chmod 755 {} \;

    Passez à la suite : ce sera à partir d'un navigateur.

    V. Installation de WordPress

    Pour la première fois, nous allons nous connecter sur l'interface web WordPress dans le but d'effectuer l'installation. Pour cela, il faut se rendre sur "http://IP-SERVEUR" avec votre navigateur préféré. Si vous avez déjà enregistré le nom de domaine et que l'enregistrement A du DNS pointe vers votre serveur, vous devriez pouvoir accéder au site grâce au nom de domaine du serveur.

    Note : vous pouvez aussi tricher avec le fichier hosts de votre machine cliente (Linux : /etc/hosts - Windows : C:\Windows\System32\drivers\etc\hosts) afin d'associer l'adresse IP de votre serveur à un nom de domaine en créant un enregistrement local.

    La première étape consiste à choisir la langue du site et de l'interface de WordPress. Ça devrait aller. 🙂

    Ensuite, cliquez sur le bouton "C'est parti !". WordPress va générer lui-même le fichier "wp-config.php" : il s'agit d'un fichier de configuration très sensible qui contient des informations confidentielles comme le nom de la base de données, le nom de l'utilisateur pour s'y connecter et le mot de passe associé. Indispensable pour que PHP (et donc WordPress) puisse utiliser votre base de données.

    Voilà l'étape la plus délicate de l'installation via l'assistant. Vous devez renseigner les différents champs pour indiquer à WordPress comment se connecter à votre base de données.

    • Nom de la base de données : dans cet exemple, ce sera "wp202110_itconnect"
    • Identifiant : le nom de l'utilisateur qui a les droits sur la base de données, en l'occurrence "adminwp202110_itconnect"
    • Mot de passe : le mot de passe de cet utilisateur
    • Adresse de la base de données : si le serveur Web et la base de données sont sur le même serveur, indiquez "localhost", sinon indiquez l'adresse IP du serveur distant
    • Préfixe des tables : chaque table de la base de données WordPress aura un préfixe. Par défaut, ce préfixe est "wp" donc par exemple la table des utilisateurs sera nommée "wp_users". Il faut personnaliser ce préfixe et le rendre un peu plus aléatoire pour des raisons de sécurité. Pour ma part, je vais partir sur "web14_", mais vous pouvez prendre aussi quelque chose d'aléatoire comme "sg389_".

    Quand vous êtes prêt, cliquez sur "Envoyer". Ce qui donne au final :

    Indiquez à WordPress comment il doit se connecter à votre base de données.
    Indiquez à WordPress comment il doit se connecter à votre base de données.

    WordPress va tester de se connecter à votre base de données et si cela fonctionne, un bouton "Lancer l'installation" va s'afficher. Cliquez dessus.

    Installer WordPress sous Linux : c'est le grand moment !
    Installer WordPress sous Linux : c'est le grand moment !

    Il ne reste que quelques champs à renseigner comme le titre du site (modifiable ultérieurement) et la création d'un premier compte utilisateur. Je dirais même d'un compte administrateur, car ce compte sera admin du site. Évitez les identifiants trop évidents comme "admin", "administrateur", "webadmin", "adminwordpress", etc... Prenez quelque chose de plus original et personnel !

    Choisissez un mot de passe complexe pour cet utilisateur, indiquez l'adresse e-mail associée et cliquez sur "Installer WordPress". Si vous désirez monter votre site tranquillement sans qu'il soit indexer par Google et consort, cochez la case associée à l'option "Visibilité par les moteurs de recherche".

    WordPress est installé ! Cliquez sur le bouton "Se connecter". Sur la page de connexion qui apparaît, authentifiez-vous avec le compte admin que vous venez de créer, pour ma part "adm_florian".

    Avant d'aller plus loin, prenez 30 secondes pour retourner sur votre console Linux et réaliser deux petites opérations. Tout d'abord pour supprimer le fichier "wp-config-sample.php", car il n'a plus d'intérêt (nous avons notre fichier wp-config.php définitif).

    sudo rm /var/www/html/wp-config-sample.php

    Ensuite, pour appliquer des droits très restrictifs sur le fichier "wp-config.php" pour le basculer en lecture seule seulement pour Apache. Indispensable pour des raisons de sécurité.

    sudo chmod 400 /var/www/html/wp-config.php

    Suite à la connexion, vous arrivez sur l'interface d'administration de WordPress. C'est votre centre de contrôle pour créer vos pages, vos articles, mais aussi ajouter des extensions, des thèmes et configurer WordPress dans son ensemble.

    Cette interface d'administration est accessible à l'adresse suivante : http://<adresse-ip-ou-domaine>/wp-admin/.

    L'interface d'administration de WordPress
    L'interface d'administration de WordPress

    En haut de l'interface, on peut qu'il y a une notification avec un "1". Cette icône correspond aux mises à jour et signifie qu'il y a une mise à jour disponible. Il peut s'agir d'une mise à jour de WordPress, d'une extension, d'un thème ou d'une traduction.

    Par défaut, WordPress est livré avec deux extensions :

    • Akismet Anti-Spam qui est une extension performante pour lutter contre les spams dans les commentaires (je vous la recommande si vous envisagez de laisser la possibilité de publier des commentaires sur votre site)
    • Hello Dolly qui ne sert pas à grand-chose puisqu'elle sert seulement à afficher les paroles de la chanson "Hello, Dolly" de Louis Armstrong. Ne me demandez pas pourquoi, mais elle est là.

    Ces deux extensions sont désactivées par défaut. En fait, une extension peut être présente sur votre installation de WordPress, c'est-à-dire qu'elle est téléchargée, mais non activée. De toute façon, lorsqu'une nouvelle extension est ajoutée sur WordPress, il faut toujours l'activer manuellement.

    Le suivi des mises à jour est indispensable
    Le suivi des mises à jour est indispensable

    Sur le site en lui-même, c'est-à-dire la partie publique, cela donne :

    WordPress est installé et il ne demande plus qu'une chose : être configuré et personnalisé.

    Je vous recommande fortement de maintenir dans le temps votre site WordPress et de bien suivre les mises à jour. C'est un outil très populaire et donc, de fait, très ciblé par les hackers. Lorsque vous choisissez d'installer une extension, veillez à ce que ce soit une extension suivie (regardez la fréquence des mises à jour et la date de la dernière mise à jour) et bien notée.

    Il y a également de bonnes extensions à mettre en place pour sécuriser son site WordPress contre les attaques courantes en ajoutant une fonction de pare-feu à WordPress. Pensez également à mettre en place une solution pour sauvegarder votre site (base de données + fichiers).

    Si vous avez des questions sur l'installation ou sur WordPress, n'hésitez pas à laisser un commentaire sur ce tutoriel. De même si vous aimeriez un tutoriel sur une fonctionnalité particulière.

    The post Comment installer WordPress facilement sur un serveur Apache ? first appeared on IT-Connect.
  • Friday 15 October 2021 - 15:40

    En 2024, Paris organisera les Jeux Olympiques d’été, l’occasion pour le gouvernement français et les industriels de s’allier pour tester, déployer et normaliser leur arsenal de nouveaux dispositifs de surveillance : drones, reconnaissance faciale, analyses de comportements… On revient ici sur ce que l’on sait aujourd’hui de ce projet dystopique, sur ce qui a déjà été testé et sur la résistance qui s’organise.

    Les Jeux Olympiques, accélérateurs de surveillance

    Les Jeux Olympiques sont depuis longtemps l’occasion d’une intensification des outils de surveillance de la population. Cela avait été le cas pour Pékin en 2008, avec un déploiement massif de caméras dans les rues et dans les transports en commun. Mais aussi à Rio de Janeiro où dès 2010, en préparation des JO de 2016, l’entreprise IBM profitait de cette occasion pour développer son Integrated Operation Centre, « Centre de commande et de coordination ». Ce centre de commande visait à agglomérer les données de la municipalité, des collectivités, des transports publics, de la météo, etc., dans le but d’obtenir de l’information en temps réel et de construire des modèles prédictifs de gestion de la ville. C’est le début du fantasme du pilotage à distance de la ville.

    Enfin, les JO de Tokyo 2020 —qui ont finalement eu lieu à l’été 2021 — se positionnent comme les Jeux Olympiques ayant employé le plus de gadgets technologiques (voitures autonomes, robots, etc.) et les premières utilisations de la reconnaissance faciale. Cette dernière était prévue pour filtrer l’accès à certains lieux (en scannant les visages des athlètes, des journalistes, etc.) à l’aide d’un système fourni par l’entreprise japonaise NEC et la française Atos (également présente aux JO 2024). Plusieurs associations avaient ainsi dénoncé, en juillet 2021, le danger de la surveillance biométrique déployée à Tokyo. Si à Tokyo la reconnaissance faciale a été mise en place sur un public fortement limité par la crise sanitaire, les JO de Paris 2024 seraient le premier grand événement à déployer ce type de dispositif sur des millions de visiteurs et visiteuses.

    Voici que les grands évènements deviennent des accélérateurs et transformateurs de la sécurité. Ils permettent de faire entrer dans le droit commun certaines technologies et pratiques jusqu’alors illégales, faisant ainsi sauter le verrou qui en bloquait la massification. En plein vote, la loi Drone 2 est à replacer dans le contexte des futurs Jeux Olympiques : le ministère de l’Intérieur a déjà acheté 600 drones et il voudrait pouvoir les utiliser pour les Jeux Olympiques.

    Industriels et gouvernement main dans la main

    Le gouvernement français ne compte pas non plus rater son rendez-vous de 2024. Michel Cadot, le délégué interministériel aux Jeux, considère ainsi que « la question de la sécurité est prioritaire » quand, de son côté, le préfet Pierre Leutaud souligne que « les innovations technologiques seront un atout majeur ». En septembre dernier, Jean-Michel Mis, député de la majorité, a rendu au Premier ministre un rapport tout entier destiné à la légalisation de ces nouveaux dispositifs de surveillance poussant à l’adoption d’une loi facilitant la surveillance biométrique pour les Jeux.

    C’est encore plus franc du côté des industriels de la sécurité, qui se sont regroupés dans un comité intitulé « GICAT » — « Groupement des industries françaises de défense et de sécurité terrestre et aéroterrestre » —, un lobby de pression sur les pouvoirs publics visant à faciliter le déploiement de leurs dispositifs de surveillance. Son délégué, Gérard Lacroix, n’a aucun problème à souligner que les JO seront un enjeu essentiel pour les entreprises françaises et qu’il compte bien faire comprendre aux parlementaires la nécessité de « faire évoluer certains textes » trop restrictifs. Comprendre : les textes qui protègent les libertés.

    Autres lobbies, ceux du « Comité Filière Industrielle de sécurité » pour « COFIS » (sorte de lien institutionnel entre les principales industries sécuritaires et le gouvernement) et du « Safe Cluster » (un « pôle de compétitivité des filières sécurité et sûreté »), tous deux directement à l’origine d’un site de lobby « J’innove pour les JO ».

    Signalons enfin que l’État a déjà commencé à soutenir financièrement ces projets. Comme nous l’écrivions ici, l’Agence Nationale de la Recherche (ANR) a déjà financé à hauteur de plusieurs millions d’euros des expérimentations de vidéosurveillance automatisée (surveillance des réseaux sociaux, mouvements suspects, reconnaissance faciale), alors même que la plupart de ces projets sont purement illégaux.

    Les préparations en amont : expérimentations en folie

    Les JO se préparent de longue date et la coupe du monde de Rugby en 2023 semble se profiler pour être une sorte de répétition générale sécuritaire. Mais avant cela, il faut mettre au point les technologies, former les agent·es qui les utiliseront et anticiper les réactions du public. Il s’agit d’abord de financer, d’expérimenter en grandeur nature des technologies illégales. Alors que le cadre législatif n’autorise en aucun cas – pour l’instant – ce type de traitement des données biométriques, les industriels et les pouvoirs publics passent par le procédé très commode des « expérimentations ». Celles-ci, de par leur cadrage temporel et spatial, rendraient la surveillance (et la violation de la loi) plus « acceptable » – c’est d’ailleurs tout l’angle pris par Jean-Michel Mis dans son rapport technopolicier.

    Ainsi, dès 2020, des expérimentations étaient prévues et confirmées en France, notamment pour essayer des dispositifs de reconnaissance faciale. À Metz, en 2020, un dispositif de reconnaissance faciale a ainsi été testé à l’entrée du stade, s’attirant les critiques de la CNIL (pour l’illégalité du projet) et des supporters.

    Ce fut aussi le cas lors du tournoi Roland Garros, à l’automne 2020, où la Fédération Française de Tennis (FFT), en partenariat avec le Comité Stratégique de Filière « Industries de Sécurité » et l’équipe de marque des JOP 2024, a accueilli plusieurs expérimentations, comme annoncé au Sénat.

    Les municipalités en profitent pour s’inscrire dans l’agenda sécuritaire

    Au-delà de ces expérimentations, plusieurs collectivités s’organisent pour transformer en profondeur leur arsenal sécuritaire. C’est le cas d’Élancourt qui accueillera certaines compétitions des JO et qui a signé en 2019 un contrat avec l’entreprise GENETEC pour expérimenter de nouveaux types de vidéosurveillance. L’objectif de la ville est même de devenir une « vitrine » pour l’entreprise, avec un nouveau commissariat pour 2024.

    C’est également le cas de Saint-Denis, où un centre de supervision urbain (CSU) flambant neuf a vu le jour en 2021. Le parc technique, aujourd’hui doté de 93 caméras, va être élargi pour atteindre les 400 caméras d’ici 2024 en vue des Jeux Olympiques. Et les élus planifient déjà de doter la vidéosurveillance d’intelligence artificielle pour automatiser la constatation des infractions.

    Ainsi, les élu·es en profitent pour renouveler leurs dispositifs de surveillance et accélérer l’installation de technologies, surfant sur la vague sécuritaire.

    Lutter contre les Jeux Olympiques et le monde qu’ils incarnent

    Depuis longtemps, les Jeux Olympiques soulèvent réticences et contestations de la part des habitant·es des villes accueillant les épreuves, fissurant l’image parfaitement polie produite par le CIO et les métropoles. Au fil des années, les luttes contre les Jeux Olympiques et le monde qu’ils représentent se multiplient et se coordonnent à travers le monde.

    En France, les collectifs NON aux JO 2024 et Saccage 2024 mettent l’accent sur le pillage social, écologique et sécuritaire que sont les JO 2024. La lutte s’était cristallisée autour des Jardins ouvriers d’Aubervilliers et du plan prévoyant leur remplacement par un solarium attachée à une piscine d’entraînement. Une occupation des terres avait même été lancée. Jusqu’à l’expulsion des militant·es et de la destruction de ces jardins, quelques jours avant qu’une partie du projet ne soit déclarée illégale par la justice. Des événements s’organisent, comme ici, à Aubervilliers, le 16 octobre, pour faire face à l’agression olympique qu’il s’agisse du cas d’Aubervilliers, d’autres villes ou plus généralement des questions de surveillance (lire la tribune « Non au Big Brother Olympique »).

    Conclusion

    La semaine prochaine s’ouvrira à Paris le salon Milipol, un des plus gros salons internationaux de sécurité intérieure. Un rendez-vous international de la répression. La crème de la technologie française s’exposera : Thalès, Evitech, Two I, Atos ou encore Idémia. Au programme notamment, un retour sur le G7 de Biarritz, considéré comme un modèle à suivre en termes de gestion de grands événements. Des inspirations pour les JO 2024 ?

  • Friday 15 October 2021 - 15:17
    Ce n'est pas un scoop que de dire que les plateformes de vidéoconférences sont polluantes. D'après une de Purdue Universit, elles émettent jusqu'à 1 kg de CO2 et utilisent jusqu'à 12 litres d'eau potable par heure et par participant. Par ailleurs, il y a déjà eu des failles de sécurité entraînant la divulgation d'informations personnelles. […]
  • Friday 15 October 2021 - 15:10
    Que vous ayez envie d’installer Windows 10 ou Windows 11 les offres et les promotions Whokeys sur les licences Windows et Office sont toujours disponibles ! Les licences Windows 10 seront bien compatibles Windows 11 donc pas d’inquiétude ! Si vous n’aviez pas encore de licence Windows 10, vous pouvez toujours profiter des offres attractives …
  • Friday 15 October 2021 - 14:47
    Depuis le début de la pandémie de Covid-19, l’activité des rançongiciels, ces logiciels malveillants bloquant les ordinateurs afin de réclamer aux victimes de l’argent, est en pleine expansion. Le nombre de victimes a même augmenté au deuxième trimestre 2021. Afin de mieux comprendre l’écosystème actuel des cybermenaces, Google a analysé plus de 80 millions d’échantillons […]
  • Friday 15 October 2021 - 14:24
    Alors que la proposition de texte règlementaire sur l’intelligence artificielle est au cœur des discussions entre le Parlement européen (...)
  • Friday 15 October 2021 - 14:06
    Quelle place pour la cybersécurité dans la réflexion prospective du Cigref à l'horizon 2030-2035 ? Réponse en quelques morceaux choisis.

  • Friday 15 October 2021 - 12:00
    Exécution de code arbitraire à distance Élévation de privilèges Windows Server avec rôle Contrôleur de domaine, toutes versions Le …
  • Friday 15 October 2021 - 11:46

    De multiples vulnérabilités ont été découvertes dans le noyau Linux de SUSE. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à l'intégrité des données et une élévation de privilèges.

  • Friday 15 October 2021 - 11:39
    Quels changements engager entre développeurs et équipes de sécurité IT pour améliorer le développement sécurisé (...)
  • Friday 15 October 2021 - 11:04
    Pour aider la division Reality Labs de Facebook qui travaille sur des projets de lunettes intelligentes, de réalité augmentée et de réalité virtuelle, un nouveau projet de recherche a été lancé. Du nom d’Ego4D, son objectif principal consiste à collecter des milliers d’heures de séquences vidéo filmées à la première personne afin de former des […]
  • Friday 15 October 2021 - 10:22
    Partout dans le monde, le déploiement croissant des caméras de vidéosurveillance a entraîné une explosion des données vidéo au cours des dix dernières années. Intel a décidé de se pencher sur ces nouvelles technologies. Le vice-président du département IoT d’Intel, Chen Wei, a annoncé lors d’un sommet dédié à l’Internet des Objets, l’implantation d’une nouvelle […]
  • Friday 15 October 2021 - 10:15

    De multiples vulnérabilités ont été découvertes dans Google Chrome OS. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur.

  • Friday 15 October 2021 - 10:12

    De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

  • Friday 15 October 2021 - 10:00

    I. Présentation

    Dans ce tutoriel, nous allons voir comment automatiser le processus de mise à jour d'une machine Linux sous Debian ou Ubuntu. En effet, à partir d'un certain nombre d'instances de VM (ou de machines physiques), il est assez fastidieux de taper ne serait-ce qu'une fois par mois : "apt update && apt upgrade" sur toutes vos machines. L'objectif de cet article est de se la jouer fainéant, mais surtout futé en automatisant le processus.

    "Je choisis une personne paresseuse pour un travail difficile, car une personne paresseuse va trouver un moyen facile de le faire." - Bill Gates 

    II. Automatiser le processus de mise à jour avec un script bash

    Nous allons créer un petit script bash pour réaliser notre automatisation. Afin de garder une trace de chaque exécution, je vais rediriger le contenu de stderr (en cas de retour d'une erreur lors de l'exécution du script) et stdout (en cas de succès).

    Plus d'informations concernant la redirection des flux standard sous Linux.

    Suivez les étapes ci-dessous, les commentaires sont là pour vous guider.

    # Création du fichier
    touch /home/user/script.sh 
    
    # Edition du script
    nano /home/user/script.sh
    # Contenu du script "script.sh"
    #!/bin/bash
    echo ">>------------------------------------------------$(date)---------------------------------------------<<" >> /var/log/update_upgrade.log
    echo ">>------------------errors------------------------------$(date)---------------errors------------------------------<<" >> /var/log/update_upgrade.err
    export DEBIAN_FRONTEND=noninteractive
    apt-get update && apt-get upgrade -y >> /var/log/update_upgrade.log 2>> /var/log/update_upgrade.err
    
    # On donne les droits d'exécution sur le script
    chmod u+x /home/user/script.sh 
    
    # On édite la crontab 
    crontab -e 
    
    # Adaptez l'heure de la cron en fonction de l'heure à laquelle vous souhaitez faire votre test. 
    06 17 * * * /home/user/script.sh
    
    # Affichez les logs 
    cat /var/log/update_upgrade.*
    

    Je vais détailler quelques éléments du script ci-dessous :

    - "DEBIAN_FRONTEND=noninteractive" : Nous allons activer ce mode par le biais de l'instanciation d'une variable DEBIAN_FRONTEND.  Utilisez ce mode lorsque vous n'avez besoin d'aucune interaction lors de l'installation ou de la mise à niveau du système via apt. Il accepte la réponse par défaut pour toutes les questions. Il peut envoyer un message d'erreur à l'utilisateur root, mais c'est tout. Une interface parfaite pour les installations automatiques. On peut utiliser ce mode dans des fichiers Dockerfile, des scripts shell, etc.

    - ">> /var/log/update_upgrade.log" : Redirige la sortie standard du couple de commandes vers le fichier update_upgrade.log, afin d'avoir une trace de ce qu'il s'est passé.

    - "2>> /var/log/update_upgrade.err" : Redirige la ou les erreurs en cas d'échec du couple de commandes vers le fichier update_upgrade.err. Normalement, ce fichier devrait toujours être vide. Le cas contraire indiquerait que vous avez un problème lors de l'exécution des deux commandes (il faudrait le cas échéant, déprogrammer la tâche cron, puis investiguer manuellement). Cas concret : si vous avez une coupure internet pile au moment du lancement du processus, apt vous renverra une erreur.

    Il est à noter que les upgrades de tous les paquets se feront automatiquement sur Debian/Ubuntu, sauf les upgrades du noyau Linux, qui sont exclus par défaut, lorsque apt upgrade est automatisé. Pour faire ce genre de mise à jour, il faudrait manuellement taper la commande. 

    Note 1 : Si au sein de votre parc informatique, vous avez un très grand nombre de machines Debian/Ubuntu (plus d'une centaine) par exemple, il serait peut-être judicieux de créer votre propre reposiotry local. Je vous laisse le soin de consulter ces deux articles si le sujet vous intéresse :

    Ubuntu : comment créer son propre repository local ?  

    Debian : comment créer son propre repository local ?

    Note 2 : lors de la première exécution du script, il se peut que vous obteniez les messages (warnings) suivant :

    cat /var/log/update_upgrade.err

    Après quelques recherches, cette erreur intervient lors de la première exécution du script. Mais par la suite, vous ne devriez pas la rencontrer de nouveau.

    En effet d'après ce que j'en ai déduit, le processus dpkg parent d'apt s'inquiète que la modification du mode frontend ait été changée, et nous le signale simplement. En aucun cas, ces messages qui pourraient s'apparenter à des "erreurs fatales" ne sont bloquants pour la mise à jour des dépôts distants et l'installation de nouveaux paquets, donc pas de stress ! 🙂

    III. Automatiser le processus de suppression des paquets obsolètes  ?

    Hum... Selon moi ce n'est pas une bonne idée, car certaines applications (anciennes ou non) peuvent reposer sur d'anciens packages. Je ne vous recommande pas d'effectuer cette automatisation au risque de perturber certains services de vos serveurs et d'occasionner un dysfonctionnement.

    Selon moi, la commande "apt autoremove" doit être exécutée manuellement et avec une attention toute particulière, afin de bien évaluer l'impact de la suppression des paquets détectés comme obsolète/plus utile.

    IV. Conclusion et idées d'optimisations

    L'automatisation c'est génial ! Mais, gardez en tête qu'il faut de temps à autre jeter un œil au fichier de log, afin de vérifier que les automatisations fonctionnent comme vous le souhaitez.

    Pour cela, je vous conseille de vous créer un fichier Excel ou équivalent avec la création d'un planning de tâche cron. C'est ce que j'utilise actuellement, et cela me permet de "prendre de la hauteur" sur l'ensemble de mes automatisations, et de ne pas être perdu parmi les nombreuses tâches cron qui s'exécute (à savoir des dizaines...).

    Afin de ne pas vérifier tous les fichiers de logs apt un par un sur tous vos serveurs, il pourrait être judicieux d'implémenter un serveur RSYSLOG afin de centraliser la gestion de vos logs de mises à jour. Comme je suis sympa, je vous donne le morceau de configuration a ajouter dans la configuration rsyslog côté client (pas besoin de mettre quoi que ce soit dans la configuration côté serveur rsyslog).

    Ajoutez ce bout de code à la fin du fichier /etc/rsyslog.conf de la machine qui transfert ses logs, et adaptez le en conséquence.

    # ...
    $ModLoad imfile
    $InputFileName /var/log/update_upgrade.log
    $InputFileTag tag_app_log:
    $InputFileStateFile app_log1
    $InputFileSeverity info
    $InputFileFacility apt-update-upgrade
    $InputRunFileMonitor
    apt-update-upgrade @ip-du-serveur-rsyslog:514

    # Si-vous utilisez TCP pour le transfert des logs au lieu d'UDP, veilliez à mettre deux @@ au lieu d'un.

    A vous de jouer !

    The post Automatiser le processus de mise à jour Apt sur Debian first appeared on IT-Connect.
  • Friday 15 October 2021 - 09:56

    De multiples vulnérabilités ont été découvertes dans les produits TrendMicro. Elles permettent à un attaquant de provoquer un déni de service et une élévation de privilèges.

  • Friday 15 October 2021 - 09:53
    Amazon et Google ont suivi attentivement la session du Sénat américain de ce 14 octobre. Une proposition de loi bipartisane a été déposée afin d'interdire aux géants de la tech de pousser leurs produits au détriment de ceux de leurs concurrents sur leurs propres plateformes. Le Sénat veut mettre fin à l’autoréférencement La loi contient […]
  • Friday 15 October 2021 - 09:53
    Au cours des cinq dernières années, il y a eu une augmentation exponentielle des cyberattaques dans le monde et une grande partie d'entre (...)
  • Friday 15 October 2021 - 09:34
    Après l'Allemagne en 2016, Doctolib se tourne désormais vers l'Italie. La plateforme de e-santé travaille sur ce dossier depuis déjà plusieurs mois. Cette stratégie se concrétise par le rachat de son concurrent italien Dottori.it. Doctolib veut investir 250 millions d'euros en Italie C'est officiel : Doctolib met la cap vers l'Italie avec le rachat de son […]
  • Friday 15 October 2021 - 08:52

    Microsoft a confirmé l'existence de plusieurs problèmes d'impression qui touchent Windows 11, son nouveau système d'exploitation, mais aussi Windows 10 ainsi que Windows Server.

    Ces nouveaux problèmes concernent l'installation des imprimantes en elles-mêmes. Compte tenu du type de problème, ce sont les entreprises qui sont concernées plutôt que les particuliers. Au total, il y a trois nouveaux bugs différents comme vous allez pouvoir le découvrir en lisant cet article.

    Dans certains cas, l'imprimante ne veut pas s'installer si le déploiement de l'imprimante s'effectue via une connexion IPP (Internet Printing Protocol) ou au travers d'une connexion HTTP.

    Par ailleurs, si vous configurez des paramètres d'impression personnalisés sur l'imprimante au niveau de votre serveur d'impression, il y a des chances pour que ces paramètres ne s'appliquent pas correctement sur le poste client.

    D'après la documentation de Microsoft, la majorité des systèmes sont affectés, quoi que la liste évolue en fonction du bug (voir lien vers la documentation Microsoft) :

    • Desktop : Windows 10, version 21H1; Windows 10, version 20H2; Windows 10, version 2004; Windows 10, version 1909; Windows 10, version 1809; Windows 10, version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1; Windows 11, version 21H2
    • Server : Windows Server 2022; Windows Server, version 20H2; Windows Server, version 2004; Windows Server, version 1909; Windows Server, version 1809; Windows Server 2016; Windows Server 2012; Windows Server 2008 SP2

    Visiblement, ce n'est pas le patch cumulatif d'Octobre 2021 qui est en cause de ce problème. En effet, Microsoft précise que pour corriger ce problème sur Windows 10, il faut installer le nouveau patch cumulatif pour bénéficier des dernières mises à jour.

    Pour Windows 11 en revanche, il faudra patienter en attendant qu'un correctif soit mis en ligne : Microsoft est en cours d'investigation sur ce dysfonctionnement. En attendant, il faut installer les pilotes à la main, sous réserve d'avoir les droits pour le faire !

    En début de semaine, je vous parlais d'un autre problème d'impression sous Windows 11 qui concerne les imprimantes Brother connectées en USB.

    De votre côté, avez-vous rencontré ces problèmes ?

    Source

    The post De nouveaux problèmes d’impression touchent Windows 10 et… Windows 11 ! first appeared on IT-Connect.
  • Friday 15 October 2021 - 08:39
    Pour faire face à la pénurie mondiale de semi-conducteurs, Taïwan Semiconductor Manufacturing Company (TSMC) vient d'annoncer la construction d'une usine de semi-conducteurs au Japon. Les fabricants du monde entier cherchent des solutions pour augmenter leur capacité de production et cela passe nécessairement par l'implantation de nouveaux sites. TSMC va construire une usine de semi-conducteurs au Japon […]
  • Friday 15 October 2021 - 08:17

    L'outil de monitoring Sysmon est bien connu des administrateurs système Windows. Désormais, il est utilisable sur Linux puisque Microsoft vient de publier une version open source sur GitHub avec les instructions d'installation.

    Sysmon pour System Monitor, fait partie de la suite d'outils Sysinternals et il s'agit d'un outil de monitoring qui va surveiller l'activité de votre serveur Windows. Il est intéressant pour détecter les activités malveillantes, car il peut veiller sur votre système à la recherche d'événements spécifiques : création d'un utilisateur, création de fichiers, etc. Il se configure à l'aide d'un fichier de configuration et il va ensuite venir alimenter l'Observateur d'événement de votre machine.

    Désormais, Sysmon est disponible pour Linux, sous la forme d'un projet open source disponible sur GitHub ! C'est ce que l'on vient d'apprendre par l'intermédiaire de Mark Russinovich de chez Microsoft et du co-fondateur de la suite Sysinternals.

    Pour le moment, l'installation n'est pas aussi simple qu'avec la majorité des paquets. Il faut compiler soi-même le paquet et s'assurer d'avoir toutes les dépendances, comme par exemple installer au préalable SysinternalsEBPF sur sa machine. Tout cela est expliqué dans la documentation sur GitHub (voir lien ci-dessus).

    Lorsqu'il sera configuré et actif sur une machine Linux, l'outil Sysmon va venir écrire ses événements dans le fichier "/var/log/syslog" de la machine.

    D'après les tests effectués par le site Bleeping Computer, il vaut mieux configurer l'outil pour restreindre ce qui est loggué car sinon ça va rapidement devenir énorme en termes de logs (et surcharger votre serveur Syslog). D'ailleurs, il y a même des événements surveillés par défaut qui ne fonctionneront pas sur Linux : ce qui est associé au Registre, par exemple.

    Les événements ajoutés dans le fichier "syslog" sont au format XML, comme dans l'Observateur d'événements de Windows, ce qui ne facilite pas la lecture avec la console Linux.

    Pensez-vous tester Sysmon sur Linux ?

    Source

    The post L’outil Sysmon de Windows est désormais disponible sur Linux ! first appeared on IT-Connect.
  • Friday 15 October 2021 - 08:02
    Dans un billet de blog publié le 13 octobre, Facebook présente un modèle d’intelligence artificielle capable de prédire ce qui va se produire grâce à une vidéo. Baptisé Anticipative Video Transformer (AVT), il pourrait très bien être intégré, à terme, dans des lunettes de réalité augmentée. Une approche innovante Comme l’explique l’entreprise, la plupart des […]
  • Thursday 14 October 2021 - 18:15
  • Thursday 14 October 2021 - 17:36
    Hyundai Motor a récemment annoncé vouloir développer ses propres puces, afin de ne plus être dépendant des fabricants actuels. Ces derniers ne peuvent plus livrer dans les temps, à cause de la pénurie mondiale de semi-conducteurs. Le constructeur automobile emboîte ainsi le pas à certains de ses concurrents, comme Tesla. Avec la pandémie de Covid-19, […]
  • Thursday 14 October 2021 - 17:25
    Dans cette chronique, nous aborderons les tendances à suivre pour réussir sa stratégie de référencement naturel en 2022. Expérience utilisateur, ergonomie, UX sont les “nouveaux” critères qui doivent être traités avec précision depuis le lancement du projet Core Web Vitals de Google. En outre, le contenu reste un facteur extrêmement important à travailler pour le […]
  • Thursday 14 October 2021 - 17:08
    CodinGame et CoderPad veulent fournir un service de recrutement technique de bout en bout, de l'évaluation des compétences à l'entretien en ligne.

  • Thursday 14 October 2021 - 16:16
    Les ministres des Finances et gouverneurs de banques centrales des pays du G7 se sont réunis le 13 octobre à Washington pour échanger sur les Monnaies numériques de banque centrale (MNBC). Le communiqué final (pdf) de cette rencontre trace les lignes directrices de cette nouvelle forme de monnaie. Aucun pays de G7 n’a décidé d’émettre […]
  • Thursday 14 October 2021 - 16:12

    Alors que les entreprises continuent d’être les cibles privilégiées des cyberattaquants et qu’elles continuent de payer leurs rançons afin de limiter les dégâts, notre gouvernement tente d’apporter une réponse avec un rapport qui fait part de recommandations pour "lever les freins au développement en France d'un marché mature de la cyber assurance". L'objectif est défini : en structurant le segment assurantiel, c'est tout l'écosystème numérique français qui pourrait devenir plus robuste grâce à une meilleure prévention.

    The post Cyber assurance : le parlement Français prévoit de sanctionner les entreprises qui payent leurs rançons first appeared on UnderNews.
  • Thursday 14 October 2021 - 15:59
    Alors qu'il y a quelques jours, le directeur interministériel du numérique de l’État interdisait aux agents publics d'utiliser Microsoft 365, OVHcloud et Whaller viennent de déployer une plateforme de communication souveraine pour l'administration publique. Le cloud souverain était une volonté du gouvernement français, c'est aujourd'hui une réalité. La donnée au cœur de la stratégie du gouvernement […]
  • Thursday 14 October 2021 - 15:51

    La société Yubico propose des clés d'authentification physiques appelées Yubikey et cette gamme de produits va accueillir un nouveau modèle doté d'un capteur biométrique. La clé YubiKey Bio va vous permettre de vous authentifier avec votre empreinte digitale.

    Les entreprises sont de plus en plus nombreuses à prôner l'authentification sans mot de passe, et certains services s'y mettent, comme Microsoft qui propose cette possibilité pour se connecter à son compte Microsoft sans mot de passe. À la place du mot de passe, vous devez utiliser une solution plus sécurisée et plus fiable, comme l'authentification biométrique justement, ou une application comme Microsoft Authenticator qui génère des codes à usage unique.

    De son côté, Yubico vient de présenter une nouvelle clé d'authentification baptisée YubiKey Bio et qui a la particularité d'intégrer un lecteur d'empreintes digitales. La clé YubiKey Bio s'apparente à une clé USB standard, avec un connecteur USB-A ou USB-C selon la version, avec un capteur biométrique sur le dessus. Sur un PC portable, cela s'annonce particulièrement pratique tandis que sur un ordinateur fixe, il faudra avoir un port USB en façade ou alors prévoir une rallonge sur le bureau pour qu'elle soit à portée de l'utilisateur.

    Au niveau des standards d'authentification pris en charge par cette clé, il y a le FIDO2/WebAuthn et l'U2F. Par contre, ce modèle n'est pas compatible avec l'OTP ou le standard Smart Card.

    Où est-il possible de s'authentifier avec la clé YubiKey Bio ? Cette clé permet de s'authentifier sur de nombreux services tels comme votre compte Google, votre compte Microsoft, GitHub, Bitwarden Premium, Citrix Workspace, GitLab, CloudFlare, etc... Mais aussi les réseaux sociaux. Que ce soit avec de l'authentification sans mot de passe ou au sein d'un processeur d'authentification à plusieurs facteurs. Vous pouvez retrouver la liste sur cette page.

    La clé YubiKey Bio est vendue 80 € HT avec le connecteur USB-A et 85 € HT avec le connecteur USB-C. Vous pouvez l'acheter sur le site officiel de Yubico.

    Puisque l'on parle d'authentification, je vous rappelle que l'ANSSI a publié un nouveau guide au sujet des mots de passe et de l'authentification multifacteur.

    The post Yubico lance des clés d’authentification avec capteur biométrique first appeared on IT-Connect.
  • Thursday 14 October 2021 - 15:43
    Le projet KServe (composante de Kubeflow) accueille ModelMesh, un gestionnaire de modèles qu'IBM utilise sur son offre Watson.

  • Thursday 14 October 2021 - 15:32
    L'une des vulnérabilités corrigées par Microsoft mardi dernier était exploitée par un groupe de cyberespions chinois (...)
  • Thursday 14 October 2021 - 15:26
    L’un des concurrents principaux du suédois iZettle, acquis par PayPal en 2018, et de Jack Dorsey’s Square, souhaite pénétrer en profondeur le marché américain et affirmer ses ambitions mondiales. SumUp acquiert la start-up Fivestars pour la somme de 317 millions de dollars, après avoir racheté le français Tiller, ou encore la plateforme e-commerce Shoplo. L’acquisition […]
  • Thursday 14 October 2021 - 14:36
    La stratégie principale de Twitter tend à évoluer en matière de publicité. Stimuler l’engagement vers les sites web, favoriser la découverte d’applications et de services, accroître leur utilisation et donc, augmenter le retour sur investissement : tels sont les nouveaux objectifs de la firme. Cela débute par la mise à jour de ses fonctionnalités pour […]
  • Thursday 14 October 2021 - 14:08
    Une très vaste enquête menée par Reuters révèle que la branche indienne d’Amazon a copié de manière systématique les produits de ses vendeurs tiers pour ses propres marques, et a manipulé les résultats de recherche sur sa plateforme pour ensuite les promouvoir. Le média s’est procuré des milliers de pages de documents internes, notamment des […]
  • Thursday 14 October 2021 - 13:53
    Dans son intervention liminaire aux Assises de la sécurité à Monaco, Guillaume Poupard, a rappelé que « l’écosystème (...)
  • Thursday 14 October 2021 - 12:12
    Apple ne pourra pas atteindre son objectif de production d’avant fêtes, pour sa nouvelle gamme d’iPhone. La faute à la pénurie mondiale de semi-conducteurs, essentiels pour les smartphones. La marque à la pomme souhaitait produire 90 millions d’iPhone avant 2022. Toutefois, avec la pénurie mondiale de puces, plusieurs de ses fournisseurs ne peuvent plus s'approvisionner. […]
  • Thursday 14 October 2021 - 11:25

    De multiples vulnérabilités ont été découvertes dans les produits Juniper. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

  • Thursday 14 October 2021 - 11:15
    En annonçant la formation d'une équipe d'action en matière de cybersécurité, Google compte fournir (...)
  • Thursday 14 October 2021 - 11:13
    Le marketing traditionnel même combiné au marketing digital de base, ne suffit parfois pas à engager un prospect ou un client. Laisser une bonne impression et créer une relation sur le long terme, demande une stratégie marketing réfléchie. De plus en plus d'entreprises utilisent la gamification pour cela, avec notamment la création de minis-jeux. Gizmo […]
  • Thursday 14 October 2021 - 11:09
    La Cnil s’attaque à Francetest, une société transférant les données des pharmaciens au fichier SI-DEP, le fichier (...)
  • Thursday 14 October 2021 - 10:56

    De multiples vulnérabilités ont été découvertes dans IBM Cloud Foundry Migration Runtime. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et un contournement de la politique de sécurité.

  • Thursday 14 October 2021 - 10:52
    Le 5 mai 2017, à quelques heures de la traditionnelle trêve électorale du second tour, sortent sur Internet les MacronLeaks. Chose inédite dans la vie politique française, des dizaines de milliers de documents internes de collaborateurs plus ou moins proches de l’un des finalistes, Emmanuel Macron, se retrouvent dans la nature à la suite à […]
  • Thursday 14 October 2021 - 10:50

    De multiples vulnérabilités ont été découvertes dans les produits Palo Alto Networks. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service et une atteinte à la confidentialité des données.

  • Thursday 14 October 2021 - 10:43
    Canva a annoncé le lancement d’une suite d’outils gratuits dédiés à la création et au montage vidéo pour un rendu quasi professionnel. Un mouvement intelligent de la part de la licorne australienne, puisque ce format est de plus en plus utilisé. Les outils de création jugés trop compliqués par de nombreux travailleurs En effet, l’entreprise […]
  • Thursday 14 October 2021 - 10:34

    Cet article sur le Zero Trust Network Access (ZTNA) a pour but de donner les principes fondamentaux sur lesquels reposent le ZTNA. Nous allons voir une définition du modèle Zero Trust après avoir contextualisé les enjeux actuels sur les accès distants.

    The post ZTNA et introduction au modèle Zero Trust first appeared on UnderNews.
  • Thursday 14 October 2021 - 10:29

    De multiples vulnérabilités ont été découvertes dans le noyau Linux de Red Hat. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

  • Thursday 14 October 2021 - 10:19
    Les perspectives ne sont pas bonnes pour le marché de l'automobile... Les ventes de voitures ont dégringolé de 13% au cours du troisième trimestre sur le marché chinois. La pénurie de semi-conducteurs met à mal une industrie tout entière. L'Association chinoise des concessionnaires automobiles a déclaré qu'il s'agissait de la pire baisse depuis le début de […]
  • Thursday 14 October 2021 - 10:06
    Cinq fournisseurs français sont désormais dans la boucle du projet Open XDR Platform, que HarfangLab avait initié en 2020.

  • Thursday 14 October 2021 - 10:00

    I. Présentation

    Dans ce tutoriel, nous allons voir comment installer Windows 11 sur un PC non compatible, c'est-à-dire un PC qui ne supporte pas le Secure Boot, qui n'a pas de puce TPM 2.0 ou moins de 4 Go de RAM.

    Au-delà de l'installation sur un ordinateur, cette manipulation est également utile pour installer Windows 11 sur une machine virtuelle si l'hôte physique ne respecte pas tous les prérequis, que la VM n'a pas suffisamment de RAM, ou si votre logiciel de virtualisation ne prend pas en charge l'exposition TPM au niveau de la VM.

    Note : si vous désirez mettre à niveau Windows 10 vers Windows 11 sur un PC non compatible, suivez mon tutoriel dédié à cette manipulation.

    Mon PC Windows 10 n'est pas compatible Windows 11, que faire ?
    Mon PC Windows 10 n'est pas compatible Windows 11, que faire ?

    Avant de commencer, je tiens à vous rappeler qu'il est déconseillé d'installer Windows 11 sur une machine non compatible. Pourquoi ? Déjà, car vous faites une croix sur certaines fonctionnalités de sécurité (notamment les mises à jour de sécurité) si vous n'avez pas de puce TPM, mais aussi parce que Microsoft spécifie qu'il peut y avoir des crashs au niveau du noyau de Windows, mais aussi des écrans bleus de la mort (Blue screen of dead). Au final, cela peut mener à une perte de données pour les plus malchanceux.

    Installer Windows 11 sur un PC non compatible, c'est possible et ce n'est plus un secret. Il y a même plusieurs façons de faire : en modifiant le Registre lors de l'installation, en modifiant le fichier ISO d'installation de Windows 11, et enfin, en modifiant la clé USB bootable d'installation de Windows 11.

    Aujourd'hui, je vais vous expliquer comment modifier le Registre pendant l'installation pour bypasser les prérequis de Windows 11, et nous verrons aussi comment créer une clé USB bootable Windows 11 avec Rufus.

    Avant de commencer, vous allez devoir télécharger un ISO de Windows, rendez-vous sur cette page pour savoir comment procéder : télécharger un ISO de Windows 11.

    II. Rappel sur les prérequis de Windows 11

    Avant de commencer, voici un rappel au sujet des prérequis de Windows 11 :

    • Un CPU 64 bits, 1 GHz minimum, deux cœurs minimum (Intel, AMD ou Qualcomm)... Et pas trop ancien... C'est-à-dire Intel Core 8th génération et supérieur, et AMD Ryzen 2000 et plus récents.
    • RAM : 4 Go minimum
    • Stockage : 64 Go minimum
    • UEFI Secure Boot supporté et actif
    • Un module TPM 2.0 actif
    • Une puce graphique compatible DirectX 12 avec un pilote WDDM 2.0
    • Un écran avec une résolution minimale de 720p et de 9 pouces minimum

    Des informations que vous pouvez retrouver sur le site de Microsoft : Microsoft Docs - Prérequis Windows 11

    Sachez que si vous utilisez un processeur 32 bits, vous ne pourrez pas installer Windows 11, car Windows 11 existe seulement en 64 bits.

    Pour rappel, vous pouvez analyser votre machine avec l'outil officiel "PC Health Check" afin de savoir quels sont les prérequis que ne respecte pas votre PC.

    III. Windows 11 : bypasser les prérequis avec le Registre

    Grâce à ces modifications dans le Registre pendant le processus d'installation, nous allons pouvoir bypasser plusieurs prérequis : TPM, Secure Boot et la RAM. Démarrez l'installation de Windows 11... Vous allez arriver sur cet écran :

    Sans aller plus loin, utilisez le raccourci clavier "MAJ + F10" pour ouvrir une Invite de commande (cmd.exe), comme ceci :

    Une fois l'invite de commande ouverte, saisissez la commande suivante :

    regedit.exe

    Cela va ouvrir l'éditeur du Registre. Parcourez l'arborescence du registre de cette façon :

    HKEY_LOCAL_MACHINE\SYSTEM\Setup

    Effectuez un clic droit sur "Setup" à gauche, puis sous "Nouveau" cliquez sur "Clé" afin de créer une nouvelle clé nommée "LabConfig" (en respectant la casse).

    Installation de Windows 11 - Création de la clé LabConfig
    Installation de Windows 11 - Création de la clé LabConfig

    Au sein de la clé LabConfig, nous allons devoir créer trois valeurs DWORD 32 bits :

    • BypassTPMCheck
    • BypassSecureBootCheck
    • BypassRAMCheck

    Commençons par la première valeur nommée "BypassTPMCheck". Effectuez un clic droit sur "LabConfig" (ou dans la partie de droite après avoir cliqué sur "LabConfig"), puis sous "Nouveau" cliquez sur "Valeur DWORD 32 bits".

    Nommez la valeur "BypassTPMCheck". Validez puis modifiez la valeur pour indiquer "1" à la place de "0". Voilà, la première valeur est créée.

    Windows 11 : création de la valeur BypassTPMCheck
    Windows 11 : création de la valeur BypassTPMCheck

    Répéter cette opération pour créer deux autres valeurs à "1" : BypassSecureBootCheck et BypassRAMCheck.

    À la fin, au sein de la clé LabConfig, vous obtenez ceci :

    Aperçu de BypassTPMCheck, BypassSecureBootCheck et BypassRAMCheck
    Aperçu de BypassTPMCheck, BypassSecureBootCheck et BypassRAMCheck

    Vous pouvez fermer l'éditeur de Registre et l'Invite de commande. Ensuite, poursuivez l'installation de Windows 11 normalement : vous n'allez plus être embêté par les prérequis !

    Patientez pendant l'installation...

    Voilà, après le redémarrage, il ne reste plus qu'à suivre les dernières étapes de l'installation de Windows 11... Si vous installez Windows 11 Famille, le compte Microsoft et la connexion Internet seront obligatoires, tandis qu'un compte local pourra être utilisé avec Windows 11 Pro.

    IV. Créer une clé USB bootable Windows 11

    Pour créer une clé USB bootable afin d'installer Windows 11 tout en bypassant les prérequis (ou pas d'ailleurs), je vous invite à utiliser l'outil Rufus. En complément, vous avez besoin d'un ISO de Windows 11 et d'une clé USB de 8 Go minimum (elle sera formatée alors pensez à sauvegarder vos données).

    Récupérez la dernière version sur la page suivante et prenez la version "rufus-3.16_BETA2.exe" qui est la plus récente au moment où j'écris cet article.

    Exécutez le logiciel, sélectionnez votre clé USB au niveau du champ "Périphérique" et cliquez sur le bouton "Sélection" pour rechercher votre fichier ISO sur votre machine.

    Ensuite, pour le paramètre "Option d'image", sélectionnez "Extended Windows 11 Installation (no TPM/no Secure Boot/8GB- RAM)" si vous souhaitez bypasser les prérequis.

    Créer une clé bootable Windows 11 qui bypass les prérequis
    Créer une clé bootable Windows 11 qui bypass les prérequis

    Pour le reste des paramètres, vous pouvez laisser les valeurs par défaut. Cliquez sur "Démarrer" pour lancer la création de la clé bootable. Ce sera plus ou moins rapide en fonction de la réactivité de votre clé USB.

    La clé USB Windows 11 est prête, vous pouvez installer le système d'exploitation sans avoir à réaliser les modifications dans le Registre comme nous l'avons vu précédemment ! Profitez bien !

    The post Comment installer Windows 11 sur un PC non compatible ? first appeared on IT-Connect.
  • Thursday 14 October 2021 - 09:48
    Après une longue bataille, The Intercept a finalement réussi à publier une liste secrète détenue par Facebook. Sur cette liste, figurent les noms de 4 000 organisations et individus jugés dangereux par le réseau social. Une grande partie des noms qui se trouvent sur cette liste sont liés à la menace terroriste islamiste. Bien plus […]
  • Thursday 14 October 2021 - 09:43

    De multiples vulnérabilités ont été découvertes dans le noyau Linux de SUSE. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et un contournement de la politique de sécurité.

  • Thursday 14 October 2021 - 09:21
    En 2021, le prix de l'énergie solaire est tombé aussi bas que celui du charbon en Chine. On constate une baisse de 63% rien qu'entre 2011 et 2018... C'est un cap important pour le développement de l'énergie solaire en Chine, qui pourrait représenter la moitié de la production électrique chinoise d'ici la moitié du siècle... La […]
  • Thursday 14 October 2021 - 08:42
    À compter de ce mercredi 13 octobre, la Maison Blanche organise un sommet virtuel mondial avec plus de trente autres pays. Celui-ci va traiter de la menace toujours plus accrue posée par les rançongiciels et permettre d’élaborer des plans pour mieux s’en prémunir. Un fléau mondial propulsé par la pandémie Les rançongiciels, ou ransomwares en […]
  • Thursday 14 October 2021 - 08:15
    La révolution digitale a profondément transformé le quotidien des entreprises. Au fil du temps, le digital est devenu le pivot de nombreux métiers, dont celui des marketeurs et entrepreneurs. Pour les aider à parfaire leurs connaissances dans le domaine, Ad4Screen, une agence média et marketing 100% Mobile & Cross Device, propose l’accès à plusieurs de […]
  • Thursday 14 October 2021 - 08:02

    Apple a publié une nouvelle mise à jour mineure, mais importante de son système d'exploitation iOS, qui passe en version 15.0.2, afin de corriger deux failles zero-day. L'une permet d'accéder à des infos personnelles, tandis que l'autre permet d'exécuter des commandes avec des privilèges élevés.

    Apple a corrigé cette vulnérabilité sans même crédit ou informer Denis Tokarev, le développeur à l'origine de cette découverte. D'ailleurs, cela fait 7 mois qu'il a prévenu Apple de l'existence de cette vulnérabilité. Ce n'est pas la première fois qu'Apple oublie de créditer Denis Tokarev puisque le cas s'est déjà produit en juillet dernier, lorsqu'il a découvert une faille dans iOS 14.7. Au total, entre 10 mars et le 4 mai 2021, il a découvert 4 failles Zero-Day dans iOS. Ces failles sont aujourd'hui corrigées, dont deux lorsqu’iOS 15.0 est sorti.

    Cette expérience rencontrée par Denis Tokarev avec Apple n'est pas un cas isolé, puisque d'autres personnes ont rencontré une expérience similaire lorsqu'ils ont signalé un bug de sécurité via la plateforme Apple Security Bounty Program. Parfois, Apple chercher à corriger les bugs de sécurité discrètement sans mettre en avant les auteurs de ces découvertes.

    La faille zero-day corrigée dans iOS 15.0.2 correspond à un bug de sécurité exploitable par le biais d'applications installées à partir de l'App Store et donnant un accès non autorisé à des données sensibles, et normalement protégées par les mécanismes de sécurité du système iOS.

    À l'occasion de la sortie d'iOS 15.0.2 et d'iPadOS 15.0.2, Apple a corrigé une seconde faille zero-day activement exploitée par les pirates et correspondante à la CVE-2021-30883. Il s'agit d'une vulnérabilité de type corruption de mémoire au sein du composant IOMobileFrameBuffer. Lorsqu'elle est exploitée, l'attaquant peut, au travers d'une application malveillante, exécuter des commandes avec les droits du noyau iOS sur l'appareil.

    Si vous avez un iPhone ou un iPad et que vous utilisez iOS 15, il est temps de faire un arrêt au stand pour installer la mise à jour afin de protéger votre appareil et vos données.

    Source

    The post Apple publie iOS 15.0.2 dans le but de corriger deux failles zero-day first appeared on IT-Connect.
  • Thursday 14 October 2021 - 08:01
    Dans l’optique de concurrencer les principaux acteurs du secteur comme OpenSea, Coinbase lance sa propre marketplace intitulée Coinbase NFT. L’entreprise a la volonté de se démarquer de ses concurrents en proposant une interface plus intuitive. C’est aussi l’occasion pour la société d’acquérir une nouvelle source de revenus, elle qui est fortement tributaire des frais de […]
  • Wednesday 13 October 2021 - 18:48
    OVHcloud a subi une panne réseau globale ce matin, après la reconfiguration d'un routeur dans un datacenter aux États-Unis.

  • Wednesday 13 October 2021 - 18:37
    Les Assises de la sécurité 2021 – Guillaume Poupard , directeur général de l'ANSSI, a évoqué devant la presse les évolutions de la directive NIS que souhaitent porter la France à l'occasion de sa présidence du Conseil de l'Union européenne qui démarre le 1er janvier 2022.

  • Wednesday 13 October 2021 - 18:03
    Au nom de la lutte contre le terrorisme, Facebook tient une liste noire d’individus et organisations dangereuses dite DIO (dangerous individuals (...)
  • Wednesday 13 October 2021 - 17:27
    Les produits et services annoncés à la Google Cloud Next' 21 ne sont pas tous disponibles immédiatement. Le point pour quelques-uns d'entre eux.

  • Wednesday 13 October 2021 - 17:25
    Après le FIC au début septembre, c’est le second rendez-vous incontournable dans la cybersécurité. les Assises de la (...)
  • Wednesday 13 October 2021 - 17:07
    Oracle prépare l'ouverture prochaine de 14 régions cloud supplémentaires, dont deux dans les régions PACA et Île-de-France.

  • Wednesday 13 October 2021 - 17:07
    Vers un conflit Apple - Visa ? Un possible plan de l’entreprise bancaire visant à réduire les frais versés à Apple Pay interroge. Il prévoit que les émetteurs de cartes ne versent plus rien à Apple lorsque leurs clients paient, par Apple Pay, mais avec une de leurs cartes, des services récurrents comme des abonnements […]
  • Wednesday 13 October 2021 - 16:32
    Après avoir une nouvelle fois disparu des radars pendant plusieurs semaines, Jack Ma vient de réapparaître à Hong Kong, où il a rencontré certains de ses associés. Le milliardaire a donc quitté la ville de Hangzhou, où son empire entrepreneurial est basé, pour se rendre dans la capitale économique de l’Asie. Il n’y était pas […]
  • Wednesday 13 October 2021 - 16:03

    Dans un monde désormais transformé par la pandémie, Avast - spécialiste de la cybersécurité - a identifié comment les cyber-préjudices ont dépassé les problèmes de sécurité pour inclure de sérieuses menaces sur la vie privée et l'identité.

    The post Étude AVAST – Les Français face aux lacunes informatiques first appeared on UnderNews.
  • Wednesday 13 October 2021 - 16:00
    Nous pouvons nous accorder sur le fait que la retransmission de la Formule 1 à la télévision n’a rien à voir avec ce qu’elle était il y a 30 ans. Aujourd'hui, les courses sont couvertes de manière beaucoup plus riche et intéressante, notamment depuis que la F1 a lancé F1 Insights en 2018, apportant des […]
  • Wednesday 13 October 2021 - 15:29
    Le 11 octobre, quatre trains autonomes ont circulé entre les gares Berliner Tor et Bergedorf/Aumühle, sur plus de 20 kilomètres. Cette démonstration a pu être réalisée grâce à la coopération du constructeur Siemens Mobiliy et la ville de Hambourg. D’ici la fin de l’année, un train autonome devrait être mis en service sur les lignes […]
  • Wednesday 13 October 2021 - 15:06
    Au fil des ans, les attaques par déni de service distribué, visant à saturer un réseau ou des systèmes pour les faire (...)
  • Wednesday 13 October 2021 - 14:53
    Microsoft a récemment publié une étude, Microsoft Digital Defense Report, sur les « dernières tendances en matière de cybersécurité ». Dévoilé à l’occasion des Assises de la Sécurité 2021, ce rapport (pdf) dévoile notamment le rôle important de la Russie dans la majorité des piratages. Il est fondé sur l’analyse de 24 trillions « de […]
  • Wednesday 13 October 2021 - 14:51
    Distributed Cloud, Work Safer, Intelligent Product Essentials... Que cachent ces marques que Google Cloud a introduites à la Next '21 ?

  • Wednesday 13 October 2021 - 14:32

    Après plusieurs mois de développement, ASUSTOR a publié la nouvelle version de son système pour NAS : ADM 4.0. Dès aujourd'hui, ADM 4.0 est disponible en version stable.

    Je vous ai déjà parlé des nouveautés d'ADM 4.0 à l'occasion de la sortie de la bêta, mais cette sortie officielle est l'occasion d'en parler une nouvelle fois.

    ASUSTOR annonce avoir retravaillé l'interface utilisateur : dans la pratique, cela se traduit par une nouvelle page de connexion, plus personnalisable, notamment au niveau de l'apparence, mais aussi de la disposition. Pour aller plus loin, d'autres thèmes sont proposés et il y a un mode sombre.

    Mise à part l'apparence, ASUSTOR a travaillé sur l'ergonomie et sur l'expérience utilisateur. Par exemple, lors d'une recherche d'un fichier sur votre NAS, vous pouvez obtenir une prévisualisation en temps réel des résultats, et avoir accès aux informations sur le fichier.

    ADM 4.0

    La nouvelle fonctionnalité Web Center fait son apparition. Elle permet de regrouper les fonctionnalités liées à la création et la gestion d'un serveur Web. Concrètement, Apache et NginX vont devenir configurables directement à partir de l'interface web d'ADM, au sein d'un espace dédié. Ce qui devrait plaire à ceux qui veulent héberger un site ou une application sur leur NAS.

    ASUSTOR ADM 4.0

    ADM 4.0 va permettre à ASUSTOR de mettre à niveau des composants au cœur du système, là on parle vraiment de mécanique pure. Prenons le cas du noyau Linux : il passe en version 5.4. Grâce à cette mise à niveau du noyau, ASUSTOR propose le système de fichiers exFAT gratuitement, puisqu'il est intégré à cette version du noyau Linux. Jusqu'ici, ce n'était pas le cas, car cela nécessitait l'acquisition d'une licence (à l'époque, Microsoft n'était pas autant tourné vers le monde du libre).

    En complément, le paquet SAMBA est mis à niveau vers la version 4.12, de quoi gagner en performances, mais aussi en sécurité pour bénéficier des correctifs contre les vulnérabilités récentes. ASUSTOR va plus loin et évoque une amélioration des performances de l'ordre de 5%, et une meilleure prise en charge des sauvegardes effectuées à partir de Time Machine, sous macOS. Autre composant qui va bénéficier d'une mise à jour : OpenSSL.

    Si vous avez un NAS ASUSTOR, vous pouvez mettre à jour votre équipement vers ADM 4.0, tout en sachant qu'il est disponible sur les séries suivantes : AS10, AS31/32, AS40, AS50/51, AS61/62, AS63/64, AS70, AS71, Nimbustor, Lockerstor, Lockerstor Pro.

    Une nouvelle version d'ADM, à découvrir ici : Site officiel - ASUSTOR

    Si vous êtes intéressé par ASUSTOR, n'hésitez pas à lire mon test de l'ASUSTOR Drivestor 2 Pro.

    The post NAS ASUSTOR : le système ADM 4.0 est disponible ! first appeared on IT-Connect.
  • Wednesday 13 October 2021 - 14:32
    La Commission du commerce équitable japonaise a décidé de lancer une enquête sur Google et Apple. Objectif : déterminer si les deux géants exercent un monopole ou des pratiques anticoncurrentielles dans le secteur des systèmes d’exploitation pour mobile. Les deux OS se partagent le monopole du marché nippon iOS détient 70 % de parts de […]
  • Wednesday 13 October 2021 - 14:01
    L’une des plus grandes attaques DDoS jamais envoyées a été atténuée par Microsoft. Pendant plus de dix minutes, trois courtes rafales ont été enregistrées dont une première vague enregistrant un volume de bande passante atteignant 2,4 Tbps. L’attaque ciblait un client européen de Microsoft Azure, l’offre de cloud computing de la société. Une des plus […]
  • Wednesday 13 October 2021 - 13:59

    De multiples vulnérabilités ont été corrigées dans Microsoft Windows. Elles permettent à un attaquant de provoquer un contournement de la fonctionnalité de sécurité, une atteinte à la confidentialité des données, un déni de service, une élévation de privilèges, …

  • Wednesday 13 October 2021 - 13:59

    Une vulnérabilité a été corrigée dans Microsoft .Net. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.

  • Wednesday 13 October 2021 - 13:59

    De multiples vulnérabilités ont été corrigées dans les produits Microsoft. Elles permettent à un attaquant de provoquer un contournement de la fonctionnalité de sécurité, une atteinte à la confidentialité des données, un déni de service, une élévation de …

  • Wednesday 13 October 2021 - 13:59

    De multiples vulnérabilités ont été corrigées dans Microsoft Office. Elles permettent à un attaquant de provoquer une exécution de code à distance, une usurpation d'identité et une atteinte à la confidentialité des données.

  • Wednesday 13 October 2021 - 13:59

    De multiples vulnérabilités ont été corrigées dans Microsoft Edge. Elles permettent à un attaquant de provoquer .

  • Wednesday 13 October 2021 - 13:33
    Dans la bataille à laquelle se livrent les différents réseaux sociaux pour attirer un maximum de créateurs sur leurs plateformes, Snapchat se distingue en annonçant l’arrivée de Snapchat Challenges, des défis rémunérés à l’intention de ses meilleurs créateurs ainsi que de nouveaux outils de monétisation. Avec Spotlight Challenges, Snapchat drague les utilisateurs de TikTok Snapchat […]
  • Wednesday 13 October 2021 - 13:08
    Ponctuellement, ce 2ème mardi du mois, Microsoft a livré sa mise à jour de sécurité régulière, anciennement (...)
  • Wednesday 13 October 2021 - 12:37
    Après un an de reprise en main de ses géants technologiques, l’Administration centrale de régulation du marché chinois (SAMR) va largement étendre ses capacités. Signe qu’elle ne compte pas réduire ses efforts. Réorganisation en trois branches Le QG de l’organisation, qui se trouve à Pékin, va ainsi embaucher davantage de personnel tandis que celle-ci va […]
  • Wednesday 13 October 2021 - 12:07
    Un milliard de dollars : voici la somme qu’injectera Google pour soutenir la transformation numérique en Afrique durant les cinq prochaines années. Avec cet argent, le géant technologique souhaite principalement installer un câble sous-marin pour améliorer la connectivité sur le continent. Elle proposera également des prêts à faible taux d’intérêt pour les petites entreprises, des […]
  • Wednesday 13 October 2021 - 11:36
    Coup dur ce matin pour des milliers de sites marchands, institutionnels, services et presse (dont lemondeinformatique.fr) hébergés chez OVH. (...)
  • Wednesday 13 October 2021 - 11:35
    Après avoir réorganisé son top management, Thomas Kurian, CEO de Google Cloud a lancé l’évènement Next (...)
  • Wednesday 13 October 2021 - 11:33

    Ce matin, l'hébergeur français OVH a connu une panne importante sur son infrastructure, notamment sur le routage IPv4, rendant inaccessibles des milliers de sites Internet, dont IT-Connect. En cause : une erreur humaine et un mauvais copier-coller.

    Chez OVH, une opération de maintenance sur les routeurs était prévue ce matin, notamment pour augmenter la capacité d'OVH à traiter et absorber les attaques DDoS, de plus en plus nombreuse d'après Octave Klaba, le fondateur. Malheureusement, cette opération de maintenance s'est mal passée et c'est devenu un vrai cauchemar pour les équipes techniques.

    À partir de 09h30 et jusqu'à environ 10h20, des milliers de sites étaient inaccessibles, y compris le site d'OVH en lui-même ainsi que les sites de l'hébergeur permettant de suivre les incidents.

    Octave Klaba n'a pas tardé à s'exprimer par l'intermédiaire de son compte Twitter. Après avoir précisé qu'il s'agissait d'une erreur humaine, il a publié un second message pour être un peu plus précis : c'est un mauvais copier-coller qui est à l'origine de cette panne générale. En effet, une ligne de configuration qui devait être injectée sur une seule ligne s'est retrouvée sur deux lignes, ce qui n'a pas eu du tout le même effet !

    Panne OVH du 13 octobre 2021
    Panne OVH du 13 octobre 2021 - Source : Twitter.com

    En tout cas, c'est appréciable que le fondateur d'OVH prenne le temps d'expliquer précisément ce qui s'est passé, en toute transparence.

    Pendant ce temps, Twitter s'est déchaîné comme d'habitude et certains n'ont pas hésité à préciser qu'il s'agissait du premier jour de travail chez OVH pour l'ancien employé de Facebook, en référence à l'énorme panne de la semaine dernière.

    The post Panne OVH : l’origine ? Une erreur humaine et un mauvais copier-coller ! first appeared on IT-Connect.
  • Wednesday 13 October 2021 - 11:31
    Ce 12 octobre, Microsoft France a officialisé la promotion de Paul Dominjon au poste de directeur des solutions de cybersécurité. (...)
  • Wednesday 13 October 2021 - 11:22
    Forcepoint est en passe d'élargir son offre dans le domaine de la cybersécurité. Le fournisseur américain a annoncé (...)
  • Wednesday 13 October 2021 - 11:13

    Beaucoup de sites, même dont les auteurs sont des personnes qui ont une sensibilité pour le domaine du libre et de la vie privée, intègre du pistage…

    … et certaines fois elles le savent… sauf qu’elles ne savent pas comment s’en débarrasser !

    En fonction de comment tu as construit ton site (avec un CMS ou codé main), c’est plus ou moins facile de s’en débarrasser.

    Moi, j’utilise WordPress, donc certains de mes conseils vont s’appliquer spécifiquement à ce CMS, mais d’autres sont générales et peuvent s’appliquer peut importe ce que tu utilises 😉

    Comment vérifier si mon site intègre du pistage ?

    La plupart du pistage que tu peux ajouter sans faire exprès sur ton site, va prendre la forme de requêtes externes qui vont se produire quand tu visites une page.

    Pour détecter ces connexions externe, j’utilise uBlock Origin.

    Quand tu vas sur ton site, tu peux cliquer sur l’icône de uBlock Origin, et cliquer le « plus » en bas de la fenêtre, ça t’affichera toutes les connexions que fait ton site.

    Si tu vois des connexions à facebook.com, google.com, fonts.google.com etc… c’est que tu as du travail ^^

    Pour t’aider à voir qu’est-ce qui déclenche ces requêtes, tu peux utiliser le journal des requêtes réseau.

    N’utilise pas Google Analytics

    Tu veux avoir des statistiques sur ton site, je sais…

    Tu veux savoir combien il y a eu de visiteurs aujourd’hui, quels sont les sites qui te ramènent le plus de visiteurs etc…

    Ça tombe bien, tu n’as pas besoin de Google Analytics pour ça !

    Il existe des tas d’outils de statistiques qui sont beaucoup moins intrusifs que Google Analytics, et qui en plus sont beaucoup plus simple à utiliser et à lire que Google Analytics.

    Ces outils vont te donner des statistiques globales, et ne collectent pas de données individuelles sur tes visiteurs.

    J’ai fait une liste de ces outils ici.

    N’utilise pas Google Fonts

    Quand tu utilises les polices Google, le navigateur de tes visiteurs va faire une requête vers Google… bref pas top, surtout qu’on peut éviter ça 😉

    Si tu es sur WordPress, pas mal de thèmes permettent d’utiliser des polices « Locales »

    Dans ce cas, tu as juste à télécharger les polices que tu veux utiliser, et à les uploader sur WordPress pour pouvoir les utiliser. (regarde la documentation de ton thème pour la procédure précise) (par exemple, si tu utilises GeneratePress, tu peux voir ça ici)

    Et si tu as envie d’utiliser des Google Fonts, tu peux toujours les télécharger et les importer sur ton site 😉

    Voilà un article pour t’aider à faire la transition

    Évite d’intégrer des modules tiers…

    Quand tu intègres des vidéos YouTube, des sons SoundCloud etc… tu fais des connexions vers ces services 😉

    Évite au maximum d’intégrer des modules qui font des requêtes externe.

    Comme alternative, tu peux faire un lien ou mettre en place une fenêtre de consentement pour que le visiteur puisse accepter ou refuser la connexion vers des services tiers.

    N’ajoute pas de boutons de partage

    Tu sais ces boutons que l’on voit sur les sites qui permettent de partager l’article sur Facebook, Twitter…

    Certains de ces boutons font des requêtes vers ces réseaux sociaux !

    Et c’est encore plus le cas quand tu utilises les boutons officiels de Facebook, Twitter…

    Si tu veux vraiment mettre des boutons de partage, assure-toi qu’ils ne font pas de requêtes externe 😉

    Autre solution : n’en mets pas du tout. Il y a vraiment des gens qui les utilisent ?

    Désactive les émojis sur WordPress

    Pas de panique, tu vas pouvoir continuer d’utiliser des émojis !

    C’est juste que par défaut WordPress charge les émojis de manière externe à chaque fois qu’un visiteur de ton site doit afficher des émojis (il fait une requête vers s.w.org)

    C’est très facilement désactivable en ajoutant un petit bout de code ! J’ai expliqué ça ici.

    Et ne t’inquiète pas : les émojis vont continuer de s’afficher 😉

    En fait, les navigateurs récents se chargent aujourd’hui de faire le boulot d’afficher les émojis, localement, sans avoir à faire de connexion externe.

    Attention aux plugins que tu utilises !

    Certains plugins font des requêtes externes.

    Après avoir installé un nouveau plugin, je te conseille de regarder sur uBlock Origin s’il n’y a pas de nouvelles connexions externe qui ont été ajoutées à ton site.

    S’il y en a :

    • Soit tu peux trouver comment désactiver ces connexions (grâce à ton moteur de recherche favoris)
    • Soit désinstalle ce plugin et tu en trouves un nouveau.

    J’ai eu le cas du plugin Mailpoet qui chargeait des Google Fonts externe, mais j’ai réussi à bloquer ça avec un bout de code.

  • Wednesday 13 October 2021 - 11:05
  • Wednesday 13 October 2021 - 10:36

    Une vulnérabilité a été découverte dans les produits Adobe. Elle permet à un attaquant de provoquer une injection de requêtes illégitimes par rebond (CSRF).

  • Wednesday 13 October 2021 - 10:32

    De multiples vulnérabilités ont été découvertes dans Intel HAXM. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et une élévation de privilèges.