Voler des données à l'aide du son produit par le bruit des touches d'un clavier ? C'est possible ! Une équipe de chercheurs universitaires britanniques a formé un modèle d'apprentissage capable de traduire un enregistrement en texte, avec une précision de 95%.

Lorsque l'on frappe au clavier, chaque touche émet un son. Ce son est spécifique à chaque touche. Des chercheurs ont mené une expérience intéressante qui montre qu'à partir des sons générés, on peut deviner ce qui est écrit, ce qui pourrait permettre de voler des informations confidentielles comme un mot de passe. Cela est d'autant plus réaliste que les micros sont de plus en plus précis.

La première étape de l'attaque consiste à entrainer le modèle à partir des sons générés par le clavier que l'on cible. Ceci peut être effectué à partir d'un microphone proche du clavier, ou à partir du smartphone de la victime, préalablement infecté par un malware. On peut même imaginer enregistrer les sons via une réunion sur Zoom, Teams, etc. Dans une démo, les chercheurs ont utilisé un Apple MacBook Pro dont le clavier est utilisé dans tous les ordinateurs Apple des deux dernières années, un iPhone 13 Mini placé à 17 cm de la cible ainsi que le logiciel Zoom.

À partir de ces enregistrements, ils ont créé une représentation graphique des ondes et des spectrogrammes, ceci dans le but de visualiser facilement la différence entre deux frappes sur deux touches différentes. Les images des spectrogrammes ont été utilisées pour entraîner "CoAtNet", un classificateur d'images, afin que la prédiction soit plus précise et efficace.

Résultats lors des tests : CoANet a obtenu une précision de 95% à partir des enregistrements capturés à partir du smartphone et de 93% à partir des enregistrements capturés par Zoom, ce qui n'est pas étonnant, car via Zoom il peut y avoir une qualité moindre sur les enregistrements. Par ailleurs, Skype a donné des résultats moins précis, mais toujours exploitables : 91,7 %.

Comment se protéger contre cette méthode ?

Le document mis en ligne par les chercheurs donne des indications pour se protéger contre cette technique d'attaque très particulière ! Voici la liste des recommandations :

• Utiliser des mots de passe aléatoires (ainsi ce sera difficile de deviner le mot de passe même avec 95% de précision)
• Utiliser l'authentification biométrique ou un gestionnaire de mots de passe avec la fonction d'auto-remplissage des champs sur le formulaire de connexion
• Ne pas saisir au clavier toujours de la même façon (facile à dire)
• Utiliser un logiciel qui génère des bruits de frappe aux claviers, ou qui applique un filtre pour supprimer ces bruits

Source

The post Voler des données à partir du bruit généré par la saisie au clavier, c’est possible ! first appeared on IT-Connect.

I. Présentation

Si vous cherchez comment utiliser ChatGPT à partir de PowerShell, alors vous êtes au bon endroit ! Le module PowerShell nommé PowerShellAI intègre différentes commandes pour solliciter GPT-3, GPT-4 ainsi que DALL-E ! Ce qui revient, en quelque sorte, à utiliser ChatGPT depuis PowerShell ! Allez, je me risque à écrire cet article !

• Voir la vidéo sur YouTube

Même si les réponses obtenues sont toujours à vérifier et à analyser, notamment pour bien comprendre ce que l'on fait, s'appuyer sur l'intelligence artificielle de ChatGPT pour coder en PowerShell peut s'avérer très pratique au quotidien ! Voici quelques usages :

• Obtenir de l'aide ou des exemples sur une commande
• Obtenir une liste de valeurs ou des informations diverses et variées
• Demander une explication sur la dernière commande exécutée
• Obtenir des explications sur la dernière erreur PowerShell rencontrée
• Générer une image à partir d'une simple description

Pour fonctionner, le module PowerShellAPI sollicite les modèles de langage d'OpenAI via l'API. De ce fait, si vous utilisez la version gratuite de ChatGPT, vous avez le droit à un forfait limité mais qui se consomme très lentement...rassurez-vous.

Retrouvez le module PowerShellAI sur GitHub :

• GitHub - PowerShellAI

II. Installer le module PowerShellAI

Puisque PowerShell est multiplateforme, ce module est disponible sur Windows, Linux et macOS. Toutefois, vous avez le choix entre utiliser Windows PowerShell 5.1 (sous Windows) ou une version supérieure de PowerShell. Dans cet exemple, mon PC est sous Windows 11 22H2 et j'utilise PowerShell 7.3.5.

Pour installer le module PowerShellAI, vous pouvez utiliser la méthode habituelle :

Install-Module -Name PowerShellAI

Puis, vous pouvez importer ce module avec la commande suivante :

Import-Module PowerShellAI

Ce module contient de nombreuses commandes. La liste complète est accessible avec cette commande :

Get-Command -Module PowerShellAI

Il ne suffit pas d'installer ce module PowerShell afin de pouvoir l'utiliser. Vous avez besoin d'une clé d'API qu'il faut générer à partir de votre compte OpenAI. Pour cela, accédez à la page suivante et connectez-vous à votre compte OpenAI :

• OpenAI - Créer une clé d'API

Cliquez sur "Create new secret key".

Donnez un petit nom à cette nouvelle clé secrète, par exemple "PowerShell".

La clé secrète va apparaître à l'écran : copiez la valeur, et gardez-la au chaud (dans votre gestionnaire de mots de passe, par exemple). Elle ne sera pas récupérable par la suite, donc si vous la perdez, vous devez supprimer la clé et en créer une nouvelle.

Dans la console PowerShell ou au début de votre script, tout dépend ce que vous faites, indiquez cette commande :

$env:OpenAIKey = "sk-xxxxxxxxxxxxxxxxxxxxxxxxxxx"

Elle aura pour effet de créer une variable d'environnement (temporaire) nommée "OpenAIKey" et qui aura pour valeur votre clé d'API OpenAI. Grâce à cela, le module PowerShellAI peut solliciter les intelligences artificielles d'OpenAI !

Vous êtes prêt pour la suite !

III. Interroger ChatGPT avec PowerShell

A. Chater avec (Chat)GPT en PowerShell

Commençons par la base : interroger le modèle de langage GPT-3, comme on le fait au travers de ChatGPT, pour lui poser une question. Pour cela, le module PowerShellAI propose d'utiliser la commande "Get-GPT3Completion" ou son alias "gpt". La commande "Get-GPT4Completion" sert à solliciter GPT-4 mais il faut disposer d'un abonnement à ChatGPT Plus.

Par exemple :

gpt "Qu'est-ce que PowerShell ?"

Ce qui donne le résultat suivant :

Bien que cet usage soit possible, ce n'est pas forcément ce qui va m'intéresser le plus : pour une question de ce type, autant utiliser l'interface web de ChatGPT ou passer par Bing Chat.

Par contre, vous pouvez solliciter l'intelligence artificielle pour obtenir de l'aide sur une commande, ou des exemples sur l'utilisation d'une commande. Ceci représente un complément à l'utilisation de la commande Get-Help intégrée nativement à PowerShell.

gpt "Peux-tu m'expliquer la commande New-LocalUser ?"
gpt "Peux-tu me montrer un exemple d'utilisation de New-LocalUser ?"
gpt "Peux-tu m'expliquer la commande New-LocalUser et me montrer un exemple ?"

Voici le résultat obtenu :

L'exemple retourné est correct. Par contre, l'explication de la commande est partiellement correct : la commande New-LocalUser sert à créer un nouveau compte utilisateur local, mais elle ne sert pas à modifier ou supprimer un compte. Pour ces deux dernières actions, il y a d'autres commandes dédiées (voir cet article sur la gestion des comptes utilisateurs locaux avec PowerShell).

Au-delà de solliciter GPT, PowerShellAI peut aussi solliciter sa copine DALL-E pour générer une image à partir d'une simple description. A partir de PowerShell, je n'ai pas encore trouvé d'intérêt, mais sachez que c'est possible.

Get-DalleImage "une image d'un ordinateur volant dans la foret"

IV. Générer du code PowerShell avec ChatGPT...depuis PowerShell

On pourrait utiliser la commande "gpt" pour s'appuyer sur GPT pour générer du code PowerShell. Toutefois, il y a une commande beaucoup plus sympathique : copilot. Cette commande va permettre de générer du code PowerShell (ou dans un autre langage), tout en proposant de l'exécuter immédiatement, de le copier, ou de l'expliquer. De plus, le code retourné bénéficie de la coloration syntaxique, ce qui n'est pas le cas si l'on utilise la commande "gpt".

Voici un exemple :

copilot "écrit moi une fonction PowerShell pour obtenir un prénom aléatoirement"

On peut voir que le résultat est parfaitement lisible et que plusieurs actions sont proposées.

Par exemple, on peut copier le bout de code pour le coller dans VSCode ou PowerShell ISE afin de l'utiliser. La fonction PowerShell générée est correcte et fonctionnelle.

Pour générer du code PowerShell ou obtenir des exemples, la commande "copilot" est vraiment cool. Je pense qu'il y a un vrai potentiel pour apprendre et progresser, mais aussi pour combler nos trous de mémoire, tout en restant dans la console PowerShell. A condition que GPT n'effectue pas trop d'erreurs... D'où l'intérêt de regarder plusieurs sources.

On peut également solliciter Copilot pour améliorer du code en utilisant la commande "Get-OpenAIEdit".

Par exemple, on peut lui demander d'ajouter une aide à la fonction "Get-RandomName" générée précédemment.

(Get-OpenAIEdit -InputText @'
Function Get-RandomName {
    $Names = @("John", "Jane", "Bob", "Sally", "Tom", "Harry", "Emma", "Olivia", "Noah", "Liam")
    $RandomName = Get-Random -InputObject $Names
    return $RandomName
    }
'@ -Instruction 'Ajoute une aide complete a cette fonction').text

Il y a deux paramètres à préciser :

• -InputText : le bout code à améliorer, modifier, donc ici ce sera la fonction
• -Instruction : les consignes pour la modification

Résultat, il m'a retourné le code suivant :

Function Get-RandomName {
<#
   .SYNOPSIS
   This function returns a random name from a list of names
   .DESCRIPTION
   This function returns a random name from a list of names
   .PARAMETER
   None
   .EXAMPLE
   Get-RandomName
   .NOTES
   Author: Thomas Lee
#>

   $Names = @("John", "Jane", "Bob", "Sally", "Tom", "Harry", "Emma", "Olivia", "Noah", "Liam")
   $RandomName = Get-Random -InputObject $Names
   return $RandomName
}

Ceci permet d'avoir une base qu'il faudra améliorer, mais on gagne tout de même du temps !

V. Obtenir de l'aide sur les erreurs PowerShell

Vous êtes dans la console PowerShell, vous exécutez une commande ou un script, et là, vous obtenez une erreur ? Vous ne parvenez pas à interpréter cette erreur ? Grâce à l'intelligence artificielle, vous pouvez obtenir un premier avis !

La commande "Invoke-AIErrorHelper" de PowerShellAI sollicite GPT pour lui demander d'expliquer l'erreur. C'est pratique car lui il tient compte du contexte pour expliquer l'erreur, et pas seulement du nom de l'erreur en lui-même.

VI. Obtenir des explications sur une commande PowerShell

Dans le même esprit, la commande "Invoke-AIExplain" sert à vous fournir une explication sur la dernière commande exécutée, en tenant compte des valeurs des différents paramètres. Par contre, cette commande fonctionne seulement sur une commande : si vous venez d'exécuter un script, il ne pourra pas être expliqué.

VII. Conclusion

Si vous appréciez ChatGPT et que vous utilisez PowerShell, vous devriez apprécier le module PowerShellAI ! C'est pratique de pouvoir générer des commandes et des fonctions à partir de PowerShell, et d'obtenir des explications sur une erreur ou une commande. On peut gagner du temps grâce à ce module !

A chaque fois que vous sollicitez l'IA via l'API, ceci consomme de votre forfait. Pour voir où vous en êtes, consultez cette page. Malheureusement en version gratuite, le forfait expire au bout de quelques mois (ce qui signifie qu'il faudra payer ou recréer un compte).

Enfin, n'oubliez pas deux choses :

• L'intelligence artificielle ne vous remplacera pas : c'est avant tout un outil
• Ne transmettez pas d'informations confidentielles quand vous sollicitez GPT

Bravo à Doug Finke, l'auteur de ce module (qui est aussi l'auteur de l'excellent module ImportExcel), pour son travail.

The post Utiliser ChatGPT avec PowerShell pour coder plus efficacement first appeared on IT-Connect.

I. Présentation

Voici mon avis complet et mon test de l'ENGWE M20, un vélo électrique de type fat bike qui a une véritable allure de moto ! Et, autant vous le dire tout de suite : ce modèle est une dinguerie ! Il m'a surpris, clairement.

• Test ENGWE EP-2 Pro Upgraded

Commençons à nous intéresser de plus près au modèle M20 que j'ai eu l'opportunité de tester. Pour rappel, ENGWE est une marque spécialisée dans les vélos électriques, qui existe depuis plus de 20 ans et qui a vendu plusieurs centaines de milliers de vélos à travers le monde. C'est une marque avec une très bonne réputation.

• Site officiel - Fiche produit

II. Déballage et découverte de l'ENGWE M20

Voilà, le carton est arrivé à la maison depuis l'entrepôt européen d'ENGWE, donc il n'y a pas de frais de douane à prévoir ! Une première bonne nouvelle. Avant de réceptionner le colis, échauffez-vous, car le colis pèse un peu plus de 40 kilos ! Le poids du vélo avec une seule batterie est annoncé à 42,7 kilos. À l'intérieur du carton, les différents éléments sont correctement protégés avec beaucoup de mousse plastique. Que ce soit le cadre, le dérailleur, le guidon, etc... Tout est soigneusement protégé. Rien à signaler : aucune rayure, aucun élément abimé.

Le vélo est livré en kit, c'est-à-dire qu'il est nécessaire de l'assembler : mais le nombre d'éléments à assembler est assez faible. Il faut monter le guidon, la roue avant, le garde-boue avant, l'éclairage avant et les pédales. Rien de plus, car certains éléments, comme la béquille et l'éclairage arrière, sont déjà en place ! Vous n'avez pas d'outillage à prévoir, si ce n'est une paire de ciseaux pour couper les colson car les outils sont inclus ! Certes, ce n'est pas du Facom, mais pour assembler ce vélo, ce sera amplement suffisant.

Est-ce qu'il y a une notice pour le montage ? Oui, elle est en anglais et manque un peu de précision... Fort heureusement, il y a une vidéo officielle sur YouTube qui est suffisamment claire pour être suivie et permettre de monter le vélo facilement (voir ici). Il faut compter environ 45 minutes entre l'ouverture du carton et la première utilisation. On peut être plus rapide au montage, mais j'ai un peu galéré sur le montage de l'éclairage avant. En effet, il y a plusieurs écrous et vis à peine serrés, ce qui fait que l'éclairage bouge dans tous les sens, mais on finit par y arriver ! En complément, il peut s'avérer utile d'ajouter un peu de graisse sur certains éléments comme la chaîne.

Au-delà des outils, le vélo électrique est livré avec un chargeur et son câble d'alimentation, ainsi que plusieurs planches de stickers à l'effigie d'ENGWE.

Une fois le montage effectué, on se retrouve avec un vélo électrique qui a l'allure d'une moto ! Les deux phares ronds à l'avant me font penser à certaines motos. La selle en cuir de couleur Camel et plutôt large pour une selle de vélo lui donne un côté à la fois classe et vintage. En prolongeant un peu le cadre sur l'arrière, ENGWE aurait pu intégrer un porte-bagage : ce serait clairement un plus, même si l'on a la petite sacoche.

Ce fat bike est équipé de deux pneus imposants de 20 pouces, ce qui est une habitude chez ENGWE. À cela s'ajoutent une suspension avant et une suspension arrière sous la selle, ainsi qu'un frein à disque à l'avant et à l'arrière. Pour les vitesses, il faut compter sur un dérailleur Shimano avec 7 vitesses et un seul plateau. Tout est fait pour que l'on soit en bonne condition aussi bien sur la route que dans les chemins : grâce à la puissance de l'électrique, on devrait pour se sortir de nombreuses situations sans forcer !

Remarque : la fourche avec suspension peut-être verrouillée ou non, pour gérer l'amortie

Ce modèle est proposé en trois coloris : noir, vert et blanc. Vous l'aurez deviné, ici, c'est la version blanche. Le cadre est en alliage d'aluminium et les différentes soudures sont propres. L'ensemble est de très bonne qualité, avec de très belles finitions. ENGWE se montre rassurant !

Avant de partir faire un tour, parlons de la batterie, car elle doit être rechargée avant le grand dé part. Tout d'abord, l'ENGWE M20 a la particularité d'avoir la batterie fixée sur le cadre, là où certains modèles intègrent la batterie dans le cadre. Quand vous achetez ce modèle, vous avez le choix entre :

• Une version avec une seule batterie de 13 Ah
• Une version avec deux batteries de 13 ah, soit 26 Ah

La seconde batterie vient se fixer sur la partie supérieure du cadre, là où il y a une sacoche accrochée sur ma version. C'est appréciable de voir qu'ENGWE a pensé à ajouter une sacoche à la version une batterie. Cette sacoche peut accueillir une seconde batterie. Que ce soit avec la sacoche ou la seconde batterie, on a l'impression qu'il s'agit du réservoir à pétrole de la moto, heu... du vélo !

Pour recharger la batterie, deux options sont proposées :

• Retirer la batterie, ce qui implique de déverrouiller la batterie avec la clé avant de pouvoir l'extraire et de la recharger où l'on souhaite à l'aide du chargeur officiel
• Connecter directement le vélo à une prise électrique, toujours à l'aide du même chargeur, sans devoir retirer la batterie du cadre - Le connecteur est protégé par un cache en silicone.

En complément du port pour le connecteur d'alimentation, la batterie intègre un port USB-A que l'on peut utiliser pour recharger un autre appareil, tel qu'un smartphone. Astucieux, car la batterie du vélo électrique devient en quelque sorte une batterie externe. Comptez 5 heures pour une charge complète de la batterie. Attention, le chargeur devient brulant pendant la charge.

Enfin, terminons par une fiche technique avec les dimensions, car c'est à prendre en considération puisque ce vélo n'est pas pliable.

III. Première utilisation

La batterie est pleine, il est temps de partir rouler... Il suffit de démarrer le vélo en appuyant sur le bouton situé sur la tranche du dessus de l'écran. Ce modèle n'a pas de sécurité liée à la clé : qu'il y ait la clé ou non dans la batterie, vous pouvez activer le vélo et partir avec ! C'est dommage. La clé sert uniquement à verrouiller ou déverrouiller la batterie pour qu'elle puisse être retirée ou non du vélo. Il conviendra de prévoir un antivol en supplément.

Avant de démarrer, inutile de chercher à régler la hauteur de la selle : ce n'est pas possible. Vous allez devoir vous installer comme un biker et attraper le guidon assez large. Par contre, le guidon est inclinable (il faut dévisser 4 vis pour faire l'ajustement !), ce qui permet de l'incliner plus ou moins vers vous. Malgré l'absence de réglage de la selle, il est utilisable par des personnes de différentes tailles (approuvé entre 1m55 et 1m85).

Une fois en place sur le vélo, on est confortablement installé, avec le dos bien droit à 90 degrés. Une position appréciable.

Tout au long du trajet, un compteur, ou ordinateur de bord si vous préférez, équipé d'un écran LCD et de 3 boutons affichera diverses informations : vitesse, niveau d'assistance (de 1 à 5), distance parcourue, la vitesse actuelle, le niveau de batterie restant ou encore la vitesse moyenne. Un boitier de commande présent sur le guidon, juste à gauche de l'écran permet de gérer l'éclairage nocturne, mais aussi de klaxonner, car il y a un réel klaxon dans ce vélo, bien plus efficace qu'une sonnette. Pour connaître le niveau de charge de la batterie, il y a aussi des voyants lumineux présents sur la batterie, en plus de l'indicateur présent sur l'écran.

Remarque : des paramètres avancés permettent de personnaliser le vélo, notamment pour gérer la consommation en énergie et ajuster la taille des pneus, si vous êtes amené à tuner un peu le vélo. C'est important pour que la vitesse reportée sur le compteur soit correcte.

Pour apporter des précisions sur les niveaux d'assistances électriques, voici des précisions sur les niveaux proposés :

• Niveau 1 : 25%
• Niveau 2 : 50%
• Niveau 3 : 100%
• Niveau 4 : 150%
• Niveau 5 : 200%

Avec le niveau d'assistance 5, qui est celui qui consomme le plus rapidement la batterie, sans pédaler, simplement en tournant la poignée d'accélérateur, on peut atteindre une vitesse de 40-42 km/h sur la route. En descente, on peut atteindre 50 km/h. Ce vélo électrique est propulsé par un puissant moteur de 750 W (1000 W en crête - couple de 55 Nm). Le constructeur précise aussi que l'ENGWE M20 peut monter des côtes de maximum 10° avec l'assistance électrique totale.

Au-delà de porter un casque pour conduire ce vélo, voici quelques précisions sur la réglementation associée à la vitesse :

Attention tout de même, sur le site du service public, c'est précisé : "Les vélos pouvant aller au-delà de 25 km/h sont des vélos débridés. Ils ne sont pas autorisés à circuler sur la voie publique.", à moins de l'immatriculé à en croire ce même site : "Un vélo électrique peut aller jusqu'à 45 km/h. Il appartient alors à la classe des cyclomoteurs (classe L1e-b). Si vous achetez un vélo électrique de cette classe, vous devez l'immatriculer."

Avec ce vélo, vous avez le choix pour votre trajet : il est aussi bien à l'aise sur la route bitumée, que dans un chemin, sur le sable, sur la neige ou dans un chemin boueux. On peut remercier ses pneus larges ! Malgré son poids non négligeable, le vélo est très maniable, ce qui est un bon point. Dans les chemins avec des bosses, il faut être prudent, bien entendu.

Il est beaucoup moins agréable à manipuler lorsque l'on est à l'arrêt, par exemple pour le rentrer au garage. C'est aussi beaucoup moins agréable sans aucune assistance électrique compte tenu du poids du vélo : vos mollets s'en souviendront.

Comme je l'avais constaté lors de mon test de l'ENGWE EP-2 Pro Upgraded, à partir du niveau 3 et quand on commence à dépasser 30 km/h, on a l'impression de pédaler dans le vide. Il faudrait un plateau supplémentaire pour que l'on puisse compléter l'assistance à la force des jambes (et atteindre des vitesses folles en descente).

Personnellement, ce vélo m'a fait vraiment kiffer en dehors des routes bitumées et sur des petits trajets de 10 ou 15 km. Sur les longs trajets sur asphaltes, il fait le job aussi, mais c'est moins fun. Clairement, en mode tout-terrain, on prend plaisir à rouler avec ce fat bike !

Avec le niveau d'assistance électrique au maximum (plein gaz quoi), où l'on profite le plus de la puissance du moteur, on peut viser au moins 35 km d'autonomie (cela dépend de votre poids, de la température extérieure, du type de chemin emprunté, etc.). En mode assistance, où l'on sera assisté pendant le pédalage, l'autonomie est de 75 km. Pour doubler l'autonomie, il conviendrait d'ajouter une seconde batterie puisque ce modèle est prévu pour !

Note : en appuyant sur le bouton "-", le mode assistance s'active c'est-à-dire que le vélo roule à 5 km/h de manière fixe et que vous êtes positionnés à côté en train de marcher. Ainsi, vous pouvez pousser le vélo sans forcer.

La balade est terminée, il est temps de ranger le vélo ! Hélas, vous ne pourrez pas gagner de la place, car ce vélo ne peut pas se plier, donc pour le transporter il conviendra d'utiliser un porte-vélo.

IV. Conclusion

C'est tellement cool de rouler avec ce vélo ! Vraiment ! L'accélération est excellente, on dépasse les 30 km/h en quelques secondes sans faire le moindre effort. En fonction de sa forme, du parcours, on peut jouer sur les différents niveaux d'assistance électrique pour être soulagé par le moteur du vélo. Et si l'on a juste envie de s'amuser, on tourne la poignée d'accélérateur et on profite, sans pédaler. Les performances sont bonnes, l'autonomie aussi. Les gros rouleurs pourront acheter une batterie supplémentaire. Je suis persuadé que son look et son style atypiques vont séduire certains d'entre vous !

Le principal point négatif, c'est le fait qu'il ne soit pas possible de verrouiller le vélo avec la clé : avec ou sans clé, on peut le démarrer et partir avec, c'est dommage.

Si vous souhaitez vous laisser tenter, sachez que l'ENGWE M20 est commercialisé au prix de 1 249,99 euros. Vous pouvez l'acheter directement sur le site officiel de la marque (voir le lien ci-dessous). Pour les nouveaux clients, il y a un code promo qui permet d'obtenir 2% de réduction : Newengweeu. Pour un vélo électrique avec de telles performances, c'est un prix très intéressant.

The post Test Engwe M20 first appeared on IT-Connect.

Pour vous aider à protéger votre identité en ligne, Google va mettre à disposition des utilisateurs de nouvelles fonctionnalités permettant de demander la suppression de certains contenus visibles dans les résultats de recherche. Ce qu'il faut savoir...

Google vient d'annoncer des nouveautés pour "Results about you", son outil qui va permettre à l'utilisateur de recenser les résultats de recherche qui intègrent ses données personnelles, que ce soit une adresse e-mail, une adresse postale, ou encore un numéro de téléphone.

En complément, Google va permettre aux utilisateurs de demander la suppression des résultats correspondants à des photos personnelles. Mais, pas n'importe lesquelles : uniquement les photos "explicites", publiées sans votre consentement. S'il s'agit d'une photo utilisée dans le cadre d'une activité commerciale, sur une page du site de votre employeur par exemple, Google n'effectuera pas la suppression. Mais bon, dans ce cas précis, il sera plus intéressant de s'adresser au bon interlocuteur en interne...

Google explique que la page ne sera pas désindexée du moteur de recherche, mais elle ne s'affichera plus, tout simplement.

Dans le cas où une nouvelle page devient référencée sur Google et qu'elle contient une donnée personnelle à votre sujet, vous recevrez aussi une notification. À ce sujet, Google précise : "Aujourd'hui, nous avons considérablement mis à jour et amélioré l'outil, pour vous aider à garder une trace de vos informations de contact personnelles dans Search et vous alerter lorsque nous les trouvons, afin que vous puissiez les faire supprimer."

Quand sera-t-il lancé en France ?

Annoncé en mai 2022, puis lancé aux États-Unis en septembre 2022, la version de l'outil Results about you accessible outre Atlantique n'est pas aussi complète et efficace que la nouvelle version que vient d'annoncer Google.

Pour le moment, Google n'a pas précisé la date de lancement au niveau mondial de Results about you, mais ce serait "prochainement" avec la prise en charge de nouveaux pays et de nouvelles langues.

Par contre, ce que l'on sait, c'est qu'au courant du mois d'août, Google va déployer une autre fonctionnalité qui vise à flouter automatiquement les images violentes, choquantes et pornographiques.

The post Le moteur de recherche Google va autoriser la suppression de vos informations et vos photos first appeared on IT-Connect.

Disponible depuis juin 2023, la fonctionnalité Cross-Tenant Synchronization (CTS) d'Azure Active Directory (futur Microsoft Entra ID) peut être exploitée pour effectuer des mouvements latéraux entre les tenants. Explications.

Au sein de Microsoft Azure, chaque organisation dispose de son tenant avec ses propres utilisateurs, ses ressources, ses stratégies, ses paramètres, etc... Une même entreprise peut avoir un seul tenant, ou plusieurs tenants, pour des raisons d'organisation. Tout dépend de la structure de l'entreprise et de sa taille.

Grâce à la fonction Cross-Tenant Synchronization d'Azure Active Directory, il est possible de synchroniser les utilisateurs et les groupes entre plusieurs tenants, ce qui facilite les interactions entre les tenants et la collaboration, tout en permettant une segmentation. Dans ce cas, un tenant source est synchronisé avec un tenant de destination, et c'est bien le tenant source qui va pousser les utilisateurs vers le tenant de destination (synchronisation unidirectionnelle).

En cas de mauvaise configuration de cette synchronisation, un attaquant qui prendrait le contrôle d'un tenant Azure Active Directory et qui aurait des privilèges élevés sur ce tenant, pourrait exploiter cette fonctionnalité pour effectuer des mouvements latéraux. Pour obtenir un accès persistant, il pourrait même déployer sa propre configuration de la fonction CTS.

Entre mouvements latéraux et porte dérobée

L'entreprise Vectra, spécialisée dans la cybersécurité, a publié un rapport au sujet des mouvements latéraux possibles avec la fonction CTS d'Azure Active Directory. La première bonne nouvelle, c'est que cette technique ne serait pas exploitée par les pirates pour le moment : "Nous n'avons pas observé l'utilisation de cette technique dans la nature, mais compte tenu de l'abus historique d'une fonctionnalité similaire, nous présentons des détails pour que les défenseurs comprennent comment l'attaque se présenterait et comment surveiller son exécution."

Dans la pratique, si un pirate parvient à compromettre un tenant, à obtenir des privilèges élevés et que ce tenant se synchronise sur un autre tenant (synchronisation sortante) via la fonctionnalité CTS, il pourrait créer son propre compte et l'ajouter au périmètre de la synchronisation. De ce fait, il bénéficierait d'un accès au tenant de destination : un joli mouvement latéral.

Pour la persistance, cela consiste à déployer une nouvelle configuration CTS avec une synchronisation entrante sur le tenant. Ainsi, le pirate peut synchroniser les comptes de son propre tenant vers le tenant compromis. Vectra parle même d'une porte dérobée puisque si le compte synchronisé est supprimé, mais que la configuration CTS reste présente, le pirate peut synchroniser un nouveau compte et récupérer de nouveau l'accès.

La recommandation de Vectra est de limiter au maximum la stratégie de synchronisation CTS (spécifier des groupes et utilisateurs précis / ne pas ouvrir à tout le monde) afin de garder le contrôle et éviter que n'importe quel compte puisse être synchronisé. Par ailleurs, il est recommandé de combiner l'utilisation de l'accès cross-tenant avec l'accès conditionnel.

Source

The post La fonctionnalité CTS d’Azure AD peut être utilisée pour faire des mouvements latéraux first appeared on IT-Connect.