Ce vendredi 29 septembre 2023, Discord a subi une panne générale affectant plusieurs régions du monde, dont la France. Même si nous ignorons la cause de l'incident, voici ce que l'on sait pour le moment.

Très populaire auprès des gamers et des informaticiens, Discord est tombé en panne ce vendredi 29 septembre 2023, sur l'heure de midi. De nombreuses communautés ont été impactées par cette panne, notamment le serveur IT-Connect qui était indisponible.

Il suffit de se rendre sur le site DownDetector pour se rendre compte que la panne est importante. En France, il y a de nombreux signalements depuis 12h01 et ce n'est pas terminé puis que Discord est toujours inaccessible ! Pourtant, il y a eu un retour d'une dizaine de minutes vers 14h00. La panne est mondiale, en attente des signalements similaires dans d'autres pays : Italie, États-Unis, Japon, Brésil, etc...

Discord est inaccessible depuis les différents supports, notamment les applications et le site web. Les utilisateurs ne peuvent plus charger l'interface de Discord, ce qui, forcément, ne permet plus d'envoyer ni de recevoir de messages.

D'ailleurs, au moment d'accéder à Discord, on peut constater une page générée par le service Cloudflare avec le message d'erreur "Sorry, you have been blocked." - Le service Cloudflare est probablement utilisé par Discord pour gérer les flux et assurer une protection contre les cyberattaques. Là, visiblement, il y a un problème lié au blocage d'une adresse IP.

J'essaierai de mettre à jour l'article par la suite afin d'apporter des précisions, notamment si Discord communique sur les raisons de cet incident technique. Il pourrait s'agir d'un acte malveillant qui a eu un impact sur le bon fonctionnement de Discord au niveau mondial.

The post Ce vendredi 29 septembre 2023, Discord a subi une panne mondiale ! first appeared on IT-Connect.

Des pirates sont parvenus à tromper l'intelligence artificielle Bing Chat de Microsoft grâce à de fausses publicités ! Dans ses réponses, l'IA fait la promotion de sites de téléchargement qui distribuent des logiciels malveillants !

Le chatbot IA Bing Chat est disponible à partir du navigateur Microsoft Edge, mais aussi avec un raccourci dans la zone de recherche de Windows 11. C'est un concurrent à Google Bard et ChatGPT d'OpenAI. Lancé en février 2023 sans publicités, Microsoft a commencé à intégrer des publicités dans les réponses de son chatbot à partir de mars 2023 afin de générer des revenus à partir de cette nouvelle fonctionnalité accessible gratuitement.

Les pirates, déjà adeptes de campagnes de malvertising dans les moteurs de recherche, ont vu l'arrivée des publicités dans Bing Chat comme une nouvelle opportunité de piéger les utilisateurs. Ceci est d'autant plus vrai que le fait de converser avec une IA peut inspirer une confiance injustifiée, comme si elle était infaillible et qu'elle ne pourrait nous faire que de bonnes recommandations.

Quand Bing Chat répond à une question, il intègre plusieurs liens pour justifier ses propos et permettre à l'utilisateur d'approfondir ses recherches. Jusque là, c'est plutôt intéressant. Par contre, c'est plus inquiétant quand ce lien renvoie l'utilisateur vers un site malveillant.

Les chercheurs en sécurité de Malwarebytes ont repéré des publicités malveillantes dans les réponses de Bing Chat ! Ils ont remarqué que lorsque vous demandiez à Bing Chat comment télécharger le logiciel "Advanced IP Scanner", le chatbot IA retournait directement un lien de téléchargement dans le chat. En survolant ce lien, le chatbot affiche le résultat et dans ce cas il peut y avoir deux liens : une publicité en premier, et le premier résultat "naturel" en second. Dans le cas présent, le lien publicitaire était un lien malveillant menant tout droit vers un malware. Cette publicité malveillante a été créée par un pirate qui a préalablement compromis le compte publicitaire d'une société australienne.

En cliquant sur le lien, l'utilisateur est redirigé vers un premier domaine qui traite les utilisateurs et les robots différemment, avant de rediriger l'utilisateur vers le site "advenced-ip-scanner[.]com" qui est une copie du site officiel. Le nom de domaine est proche de l'original puisqu'il y a seulement une lettre remplacée : un "a" par un "e". Le téléchargement offert à l'utilisateur correspond à un package d'installation MSI sauf qu'il s'agit d'une version modifiée qui contient un malware. Malheureusement, Malwarebytes n'est pas parvenu à identifier ce malware, ni même ce qu'il fait sur la machine, mais il est probable que ce soit un info-stealer (voleur d'informations).

Source

The post Bing Chat : des publicités malveillantes repérées dans les réponses du chatbot IA ! first appeared on IT-Connect.

I. Présentation

Sur Windows 11 22H2, comment utiliser Microsoft Copilot en étant en France ? C'est la réponse à laquelle nous allons répondre dans cet article ! La bonne nouvelle, c'est que c'est très simple même si ce n'est pas parfait.

Depuis le 26 septembre 2023, Microsoft Copilot est disponible sur Windows 11 22H2 grâce à la mise à jour Moment 4 qui intègre plus de 150 fonctionnalités d'après Microsoft. Pour en savoir plus sur cette mise à jour qui n'ajoute pas uniquement l'assistant IA, vous pouvez lire cet article :

• Les nouveautés de Windows 11 22H2 Moment 4

Mais au fait, pourquoi Microsoft Copilot n'est pas accessible en France ?

D'après le site allemand DrWindows qui a pu obtenir l'information auprès de Microsoft, Microsoft Copilot n'est pas accessible en France, et plus globalement en Europe, car cet assistant IA n'est pas conforme avec la législation européenne. Microsoft est en discussion avec la Commission européenne dans l'objectif de respecter le Digital Markets Act afin de pouvoir proposer Microsoft Copilot en France et dans le reste de l'Europe. En attendant, si vous souhaitez le tester et l'utiliser, vous devez suivre cette astuce.

De manière générale, le Digital Markets Act (DMA) donne du fil à retordre aux géants américains (Amazon, Meta, Microsoft, Apple, etc.) et les oblige à effectuer des modifications importantes. Dernièrement, c'est Meta qui a annoncé que WhatsApp allait être compatible avec les autres messageries (Telegram, Signal, etc.) afin de respecter le DMA.

II. Activer Microsoft Copilot

Pour commencer, vous devez configurer Windows Update sur votre PC et effectuer les dernières mises à jour.

Ouvrez les paramètres Windows afin d'accéder à Windows Update. Ici, vous devez activer la fonctionnalité "Recevez les dernières mises à jour dès qu'elles sont disponibles" pour que votre machine récupère les dernières mises à jour, y compris celles optionnelles (nécessaire dans ce cas).

La mise à jour que vous devez télécharger et installer s'intitule "2023-09 Aperçu de la mise à jour cumulative pour Windows 11 Version 22H2 pour les systèmes x64 (KB5030310)" dans Windows Update.

Après installation et redémarrage de votre machine Windows 11, plusieurs nouveautés feront leur apparition, notamment un relooking de l'Explorateur de fichiers, mais toujours pas de Microsoft Copilot. C'est normal.

Ouvrez l'invite "Exécuter" sur votre PC. Vous pouvez utiliser le raccourci "Win + R".

Exécutez la commande suivante :

microsoft-edge:///?ux=copilot&tcp=1&source=taskbar

Validez, et là, c'est magique : la barre latérale Microsoft Copilot va apparaître sur la droite de votre écran ! Vous pouvez profiter de l'assistant IA, que ce soit pour affiner les réglages de votre PC, résumer un e-mail ou lui poser la question de votre choix...

La mauvaise nouvelle, c'est qu'à chaque fois que vous allez fermer la barre latérale Microsoft Copilot (au plus tard à chaque redémarrage de votre PC), il faudra relancer la commande magique pour ouvrir Copilot. En effet, il n'y a pas le raccourci dans la barre des tâches, ni même le raccourci "Win + C" à cause de la restriction actuelle.

Plutôt que de passer par "Exécuter" à chaque fois, vous pouvez créer un nouveau raccourci qui contient la commande à exécuter. Un simple clic droit puis "Nouveau" > "Raccourci" vous permettra de le créer. Une fois sur votre Bureau, ou ailleurs, un double-clic vous permettra de lancer Microsoft Copilot.

III. Conclusion

Grâce à cette astuce, vous pouvez utiliser Microsoft Copilot sur votre PC sans affecter sa configuration. En effet, nous n'avons pas modifié la région de la machine ou quoi que ce soit.... En attendant que le service soit conforme à la législation européenne (ce qui va probablement impacter la façon dont le service traite nos données), pensez à l'utiliser dans une machine virtuelle de test (même si ce n'est pas obligatoire).

The post Comment utiliser Microsoft Copilot en France ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons installer Apache2 en tant que reverse proxy sur un serveur Apache Guacamole. L'objectif est de publier Apache Guacamole en HTTPS, avec un certificat SSL valide obtenu via Let's Encrypt, sans s'appuyer sur une autre machine. Précédemment, nous avons vu comment atteindre le même objectif mais en utilisant un firewall pfSense avec HAProxy en guise de reverse proxy. Cette fois-ci, tout se fait sur la même machine !

• Comment installer Apache Guacamole sur Debian ?
• Comment publier Apache Guacamole avec pfSense et HAProxy ?

Si l'on reprend le schéma présenté au sein du tutoriel d'introduction, le reverse proxy va être mis en place directement sur la machine Apache Guacamole située en DMZ. Dans ce cas pratique, le firewall pfSense, nommé "Pare-feu" sur le schéma, sera toujours présent. Sur ce firewall, que ce soit un pfSense ou un autre modèle, il conviendra de créer une règle de redirection de port pour que les flux sur le port 443 (HTTPS) soient redirigés vers le serveur Apache Guacamole (bien sûr, vous pouvez utiliser un port personnalisé).

Au final, l'objectif sera d'accéder à Apache Guacamole via l'URL suivante : https://guaca.it-connect.tech/ - Sans avoir besoin d'ajouter "/guacamole/#/" à la fin de l'URL.

II. Configurer le pare-feu

Puisque le pare-feu gère l'adresse IP publique ainsi que les flux entrants et sortants entre Internet, la DMZ et le réseau local, c'est lui qui doit être configuré pour que les flux HTTPS soient redirigés vers le serveur Apache Guacamole.

• Le NAT et le PAT pour les débutants

Du côté du pare-feu, il y a deux règles à créer :

• Rediriger le port 443 en externe vers le port 443 en interne, pour accéder à Apache Guacamole en HTTPS
  • Vous pouvez utiliser un port différent en externe, notamment pour masquer le service de l'extérieur
• Rediriger le port 80 en externe vers le port 80 en interne
  • Si vous souhaitez rediriger les flux HTTP vers HTTPS pour les connexions à Apache Guacamole (facultatif)
  • Pour obtenir un certificat Let's Encrypt avec la méthode de vérification en mode Web (challenge de vérification)

Par contre, vous n'avez plus besoin d'une règle pour rediriger le port 8080 externe vers le port 8080 en interne (ce port étant celui utilisé par défaut par Guacamole).

Cette configuration est à adapter selon le type de pare-feu que vous utilisez et sur quel port externe vous souhaitez publier Apache Guacamole.

III. Obtenir un certificat SSL (Let's Encrypt) pour Apache Guacamole

La suite va se dérouler sur le serveur Apache Guacamole en lui-même. La première étape consiste à demander un certificat Let's Encrypt. Pour cet exemple, ce sera pour le domaine "guaca.it-connect.tech" donc au préalable, il convient de créer l'enregistrement DNS pour associer l'adresse IP publique du pare-feu à ce nom de domaine.

Ensuite, direction la ligne de commande pour mettre à jour le cache des paquets :

sudo apt-get update

Puis, installez les paquets ci-dessous pour bénéficier de Certbot sur votre machine. Cet outil va nous permettre de demander un certificat Let's Encrypt.

sudo apt-get install certbot python3-certbot-apache

Une fois que les paquets sont installés, effectuez la demande de certificat à l'aide de la commande ci-dessous. Puisque la méthode de challenge "http" est utilisée, il faut que le serveur Web soit accessible sur le port 80 (d'où la règle de pare-feu précédente), le temps de demander le certificat. L'alternative consiste à utiliser la méthode "dns" basée sur la création d'un enregistrement DNS spécifique. Dans cette commande, précisez aussi le nom de domaine pour lequel vous souhaitez obtenir un certificat.

sudo certbot certonly --standalone --preferred-challenges http -d guaca.it-connect.tech

Quelques secondes plus tard, le certificat doit être délivré et stocké sur votre serveur !

Remarque : si vous avez déjà installé le paquet Apache2, vous devez stopper le processus "apache2" sur le serveur de manière à libérer le port 80. Sinon, vous allez obtenir le message d'erreur "Problem binding to port 80: Could not bind to IPv4 or IPv6."

Ainsi, vous avez deux fichiers :

/etc/letsencrypt/live/guaca.it-connect.tech/fullchain.pem
/etc/letsencrypt/live/guaca.it-connect.tech/privkey.pem

Ces deux fichiers seront utiles pour la suite de la configuration, car on va les déclarer dans la configuration du site Apache.

Note : ce certificat SSL doit être renouvelé automatiquement, grâce à la présence de la tâche planifiée déclarée dans le fichier "/etc/cron.d/certbot". Si un jour cela échoue et que vous devez renouveler manuellement le certificat, exécutez la commande suivant : sudo certbot renew --apache

IV. Reverse proxy Apache2 pour Apache Guacamole

Le certificat SSL étant en votre possession, vous pouvez passer à la suite : l'installation d'Apache2 que l'on va configurer en tant que reverse proxy.

Commencez par installer le paquet Apache2 :

sudo apt-get install apache2

Puis, activez le démarre automatique du service correspondant :

sudo systemctl enable apache2

De manière à pouvoir utiliser Apache2 en tant que reverse proxy et qu'Apache Guacamole puisse être accessible en HTTPS, vous devez activer plusieurs modules. Voici la commande à exécuter :

sudo a2enmod proxy proxy_wstunnel proxy_http ssl rewrite

Pour que les modules soient chargés par le serveur Web, il convient de redémarrer le service :

sudo systemctl restart apache2

Voilà, la première étape est effectuée. Désormais, vous devez configurer le reverse proxy.

Créez un nouveau site qui sera déclaré dans le fichier "guacamole.conf" :

sudo nano /etc/apache2/sites-available/guacamole.conf

Dans ce fichier, intégrez le contenu suivant :

<VirtualHost *:80>
   ServerName guaca.it-connect.tech
   Redirect permanent / https://guaca.it-connect.tech/
</VirtualHost>

<VirtualHost *:443>
   ServerName guaca.it-connect.tech

   SSLEngine On
   SSLCertificateFile /etc/letsencrypt/live/guaca.it-connect.tech/fullchain.pem
   SSLCertificateKeyFile /etc/letsencrypt/live/guaca.it-connect.tech/privkey.pem

   ProxyPass / http://127.0.0.1:8080/ flushpackets=on
   ProxyPassReverse / http://127.0.0.1:8080/

   <Location /websocket-tunnel>
      Order allow,deny
      Allow from all
      ProxyPass ws://127.0.0.1:8080/websocket-tunnel
      ProxyPassReverse ws://127.0.0.1:8080/websocket-tunnel
   </Location>

</VirtualHost>

La première partie de la configuration (<VirtualHost *:80>) est facultative puisqu'elle sert seulement à rediriger les flux HTTP vers HTTPS, donc on peut s'en passer à condition de bien préciser HTTPS lorsque l'on accède à Apache Guacamole.

La seconde partie de la configuration (<VirtualHost *:443>) sert à configurer Apache2 en tant que reverse proxy pour les connexions en HTTPS. C'est pour cette raison que l'on spécifie les options ProxyPass et ProxyPassReverse prévues à cet usage. En fait, on précise que si l'on accède à la racine du site ("/"), on doit rediriger le flux en local sur le port 8080 ("http://127.0.0.1:8080/"). Par ailleurs, les options SSLCertificateFile et SSLCertificateKeyFile sont là pour préciser le chemin vers les fichiers du certificat Let's Encrypt.

Note : cette configuration part du principe que l'on va accéder à Apache Guacamole sans préciser "/guacamole"/ à la fin de l'URL. Si vous souhaitez le conserver, vous devez le rajouter dans les URL de la configuration.

Cette configuration est inspirée de la documentation officielle d'Apache Guacamole où vous pouvez obtenir des explications supplémentaires.

• Documentation - Reverse proxy Apache Guacamole 

Enregistrez le fichier.

Activez le site et testez la configuration, avant de finir par un redémarrage du service Apache2 (si le test retourne "Syntax OK") :

sudo a2ensite guacamole.conf
sudo apachectl configtest
sudo systemctl restart apache2

Le reverse proxy est prêt !

V. Configurer Tomcat

La dernière étape consiste à affiner la configuration du serveur Apache Guacamole pour récupérer l'adresse IP d'origine du client connecté dans l'historique des sessions (problématique évoquée dans mon précédent article avec l'utilisation de HAProxy comme reverse proxy). Puis, on modifiera aussi le serveur Tomcat pour ne pas avoir besoin de saisir "/guacamole/" dans l'URL d'accès à Guacamole.

A. Tomcat9 et l'IP d'origine

Avec la configuration actuelle, l'hôte distant dans l'historique des sessions Guacamole serait toujours égal à l'adresse IP du reverse proxy, que ce soit avec un client du réseau local ou un client distant. Pour que l'adresse IP d'origine du client soit visible dans Apache Guacamole, il faut adapter la configuration de Tomcat.

Depuis la ligne de commande du serveur Apache Guacamole, éditez le fichier de configuration de Tomcat9.

sudo nano /etc/tomcat9/server.xml

L'objectif va être d'ajouté ce bout de code (indiqué dans la documentation officielle) :

<Valve className="org.apache.catalina.valves.RemoteIpValve"
    internalProxies="127.0.0.1"
    remoteIpHeader="x-forwarded-for"
    remoteIpProxiesHeader="x-forwarded-by"
    protocolHeader="x-forwarded-proto" />

La seule valeur à modifier, c'est celle du champ "internalProxies" où vous devez indiquer l'adresse IP de votre reverse proxy (correspondante à l'interface qui communique avec Guacamole). Ici, ce sera "127.0.0.1", car il est en local.

Ce bloc s'ajoute à la fin du fichier de configuration, à cet endroit pour être précis :

Sauvegardez et relancez le service Tomcat9.

sudo systemctl restart tomcat9

Suite à cette modification, c'est bien l'adresse IP d'origine du client qui est visible dans Apache Guacamole !

B. Supprimer "guacamole" dans l'URL

Dernier point de configuration : se débarrasser de "/guacamole/" dans l'URL pour que l'on soit en mesure d'accéder à Apache Guacamole via l'URL "https://guaca.it-connect.tech". Bien sûr, cette étape est facultative.

Pour cela, il faut renommer la WebApp d'Apache Guacamole, au niveau du répertoire de Tomcat9.

Commencez par accéder au répertoire des WebApps

cd /var/lib/tomcat9/webapps

Puis, arrêtez le service Tomcat9 :

sudo systemctl stop tomcat9

Actuellement, nous avons :

• Le fichier guacamole.war qui correspond à la WebApp de Guacamole
• Le répertoire guacamole qui contient les données de cette WebApp
• Le répertoire ROOT qui contient la page par défaut de Tomcat9

L'objectif va être de faire en sorte que "guacamole.war" devienne "ROOT.war" pour prendre la place de la page par défaut. Ainsi, on pourra accéder à son interface sans préciser de suffixe dans l'URL.

Commencez par supprimer le répertoire "guacamole" (attention, je dis bien le répertoire).

sudo rm guacamole/ -Rf

Puis, renommez le dossier "ROOT" en "ROOT-ORIGINAL" pour "libérer la place". Et, renommez la WebApp de Guacamole :

sudo mv ROOT/ ROOT-ORIGINAL/
sudo mv guacamole.war ROOT.war

Démarrez le service Tomcat9 :

sudo systemctl start tomcat9

En image, cela donne l'enchaînement de commandes suivant :

Désormais, suite à cette manipulation, Apache Guacamole est accessible en direct sans préciser "/guacamole/" :

VI. Conclusion

Il ne vous reste plus qu'à mettre en place cette configuration et à effectuer vos tests de connexion ! Apache Guacamole doit être accessible en HTTPS grâce au reverse proxy mis en place en local ! Ainsi, les connexions entre votre PC et Apache Guacamole seront sécurisées.

The post Apache Guacamole avec un reverse proxy Apache2 et un certificat Let’s Encrypt first appeared on IT-Connect.

Quatre ans après le Raspberry Pi 4, une nouvelle version du nano-ordinateur est disponible en précommande : le Raspberry Pi 5 ! Quelles sont ses caractéristiques ? Quel est son prix ? Faisons le point !

Le Raspberry Pi 5 est un ordinateur tout-en-un, comme ses prédécesseurs, est son matériel a été mis à niveau de manière à ce qu'il soit 2 à 3 fois plus performant que la génération précédente.

Ce nouveau modèle bénéficie d'un SoC conçu en collaboration avec Broadcom lui permettant de franchir un cap en termes de performances. Ce SoC Broadcom BCM2712 est équipé de 4 cœurs cadencés à 2.4 GHz (architecture ARM Cortex-A76, 64 bits).

La partie graphique va aussi bénéficier d'une mise à niveau notable grâce au GPU VideoCore VII (800 MHz) puisqu'il prend en charge les technologies OpenGL ES 3.1 et Vulkan 1.2. Il intègre deux ports HDMI (4Kp60), ce qui signifie que l'on peut connecter deux écrans. Le HDR est aussi pris en charge.

Pour ceux qui utilisent une carte microSD pour stocker le système d'exploitation, sachez que le slot microSD du Raspberry Pi 5 est deux fois plus performant que la génération précédente grâce à la prise en charge du mode haute vitesse SDR104. En plus, le Raspberry Pi 5 bénéficie d'une interface PCIe 2.0, ce qui permet d'ajouter un disque SSD NVMe, par exemple !

Les ports USB 3.0 (5 Gbps) seront aussi plus performants (meilleure bande passante) grâce à une puce SouthBridge dédiée sur la carte.

Voici les autres caractéristiques techniques à connaître :

• Wi-Fi 5 double bandes 802.11ac (donc pas de Wi-Fi 6)
• Bluetooth 5.0 + BLE
• 2 × USB 3.0 et 2 × USB 2.0
• 1 Gbps Ethernet, avec support du PoE+
• 2 × émetteurs/récepteurs MIPI à 4 voies
• Alimentation 5V/5A DC via USB-C (prise en charge du Power Delivery)
• Raspberry Pi standard 40-pin
• Horloge temps réel (RTC), alimenté par une batterie externe
• Bouton on/off

Raspberry Pi 5 : prix et versions

Pour le Raspberry Pi 5, vous avez le choix entre deux versions : 4 Go ou 8 Go de RAM LPDDR4X-4267. Déjà disponible en précommande, la sortie officielle du Raspberry Pi est prévue pour fin octobre. Voici les tarifs annoncés :

• Raspberry Pi 5 (4 Go RAM) : 60 dollars, soit environ 57 euros HT
• Raspberry Pi 5 (8 Go RAM) : 80 dollars, soit environ 76 euros HT

Bien que le système d'exploitation Raspberry Pi OS, dont la prochaine version sera basée sur Debian 12 Bookworm, est recommandé, vous pouvez utiliser le système de votre choix sur votre Pi !

Pour en savoir plus, vous pouvez consulter cette page.

The post Le Raspberry Pi 5 est officiel ! Quelles sont les nouveautés ? A quel prix ? first appeared on IT-Connect.