Si vous êtes un utilisateur d'Outlook.com et que vos e-mails à destination de comptes Gmail sont bloqués et considérés comme spam, sachez que vous n'êtes pas le seul ! Faisons le point !
Microsoft a mis en ligne un nouveau document de support pour évoquer un problème rencontré par les utilisateurs d'Outlook.com lors de l'envoi d'un e-mail vers un utilisateur de Gmail, la solution de messagerie de Google. Ceci affecterait uniquement les domaines Outlook.com spécifiques à chaque pays, c'est-à-dire "@outlook.fr" pour la France, "@outlook.de" pour l'Allemagne ou encore "@outlook.be" pour la Belgique. Au total, il y a une trentaine de domaines comme ceux-là.
Lorsque le problème est rencontré, l'e-mail n'est pas délivré dans la boite aux lettres du destinataire et l'utilisateur Outlook.com reçoit un message l'informant de ce rejet : "Remote server returned message detected as spam -> 550 5.7.1 [[ IPAddress]] Gmail has detected that this message;is likely suspicious due to the very low reputation of the sending;domain. To best protect our users from spam, the message has been blocked."
Ce message indique que l'e-mail en provenance d'Outlook.com est considéré comme spam, car il a été émis à partir d'un domaine avec une faible réputation.
Si ce problème est rencontré maintenant, ce n'est surement pas un hasard : depuis le début du mois d'avril, Google applique une politique plus stricte pour les "bulk senders" (envois en masse d'e-mails) afin de lutter contre les spams et l'usurpation de domaines de messagerie. Pour approfondir ce sujet de façon générale, vous pouvez lire ces deux articles :
Microsoft travaille sur une solution pour résoudre ce problème pour tous les utilisateurs, car c'est bien l'entreprise américaine qui a la gestion d'Outlook.com et des différents domaines de messagerie. En attendant, une solution temporaire est proposée.
Elle consiste à ajouter un alias "@outlook.com" à votre compte et à envoyer des e-mails aux utilisateurs de Gmail en utilisant cet alias, plutôt que l'adresse e-mail principale. Ce domaine n'étant pas affecté par ce problème, les e-mails devraient passer. Vous pouvez lire cette documentation pour apprendre à créer un alias.
Google a annoncé une nouvelle fonctionnalité de sécurité très intéressante pour son navigateur Google Chrome qui permettra à chaque cookie de session d'être lié à l'appareil, ce qui empêche un attaquant de compromettre un compte à partir d'un cookie volé. Faisons le point !
Lorsqu'un utilisateur se connecte à un site web ou un service en ligne, un cookie de session est déposé sur son appareil dès lors que l'authentification réussie. Ce cookie est présent que le compte soit protégé ou non par du MFA. C'est pour cette raison que les cybercriminels utilisent des logiciels malveillants, notamment des info-stealers, capables de voler les cookies de session, car ce précieux fichier permet d'usurper la session d'un utilisateur sans connaitre les identifiants.
Lorsque vous naviguez sur Internet, les cookies de sessions sont gérés par les navigateurs. Google Chrome, qui est le navigateur le plus utilisé au monde, pourrait être doté d'une nouvelle fonctionnalité baptisée Device Bound Session Credentials (DBSC). L'objectif est clair : empêcher qu'un cookie volé puisse être réutilisé.
Quand la fonctionnalité DBSC est activée dans Google Chrome, elle va s'appuyer sur la puce TPM pour générer une paire de clés privée/publique pour chiffrer chaque cookie d'authentification. Grâce à ce processus basé sur de la cryptographie à clé publique et au fait que les clés ne peuvent pas être exfiltrées, si un pirate vole un cookie de session, il ne pourra rien en faire ! Une paire de clés unique est utilisée pour chaque session.
Kristian Monsen, ingénieur logiciel chez Google, précise : "En liant les sessions d'authentification à l'appareil, DBSC vise à perturber l'industrie du vol de cookies puisque l'exfiltration de ces cookies n'aura plus aucune valeur." - Si cette fonctionnalité est aussi efficace que l'annonce Google, ce serait une excellente nouvelle !
Google explique que les puces TPM ont la réputation d'avoir un temps de latence élevé et des problèmes de fiabilité, mais que pour l'utilisation de DBSC, celui-ci est tout à fait acceptable. Google a réalisé différents tests, et les résultats sont satisfaisants : "Le taux d'erreur est très faible, de l'ordre de 0,001 % actuellement."
Comment activer cette fonctionnalité ?
La fonctionnalité Device Bound Session Credentials est actuellement en cours de développement, mais une première version expérimentale peut être activée dans les paramètres du navigateur Google Chrome. Vous devez accéder à "chrome://flags" afin d'activer la fonctionnalité "enable-bound-session-credentials".
Dans ce tutoriel, nous allons voir comment déployer des applications sur Windows 11 à l'aide de MDT, en prenant des packages au format MSI ou EXE comme source. Ainsi, lors du déploiement d'un ordinateur, le système d'exploitation Windows et les applications seront installés automatiquement.
La solution MDT peut être utilisée pour déployer l'image de Windows 11 sur un ou plusieurs ordinateurs, que ce soit une image vierge officielle ou une image personnalisée capturée à partir d'une image de référence. MDT intègre aussi une gestion des applications, ce qui va nous permettre d'installer automatiquement des applications sur les machines déployées, grâce à l'ajout d'étapes supplémentaires dans notre séquence de tâches.
En effet, dans le cas présent, les applications ne sont pas intégrées à l'image WIM déployée puisque nous allons installer un système vierge, et suite au déploiement de l'image WIM, les applications seront installées.
La première étape consiste à télécharger les sources d'installation de l'application que vous souhaitez installer. Dans cet exemple, nous allons utiliser 7-Zip. En complément, dans la vidéo, un second logiciel sera utilisé pour la démonstration : Adobe Reader DC (qui est très particulier à déployer).
Lorsque vous téléchargez le paquet d'installation, priorisez le format MSI autant que possible, car il prend en charge les installations silencieuses, et donc automatique, des applications. Pour 7-Zip, nous avons la chance de pouvoir télécharger un package MSI :
Une fois que le téléchargement est effectué, vous devez stocker ce fichier dans un répertoire. Par exemple, vous pouvez nommer ce répertoire "7zip". Il est important de bien organiser vos sources, surtout que l'ajout d'application dans MDT fonctionne par dossier, et non par fichier.
Ensuite, vous pouvez continuer...
III. Créer une application dans MDT
A. Installer 7-Zip avec MDT
Désormais, vous devez intégrer l'application dans MDT afin qu'elle soit référencée et que vous puissiez l'associer à une séquence de tâches (ou un rôle). À partir de la console DeploymentWorkbench, effectuez un clic droit sur "Applications" puis cliquez sur "New Application".
Remarque : si vous envisagez d'intégrer de nombreuses applications, il est important de créer des dossiers pour organiser vos applications, par métier, par exemple.
Un assistant s'exécute et vous propose de choisir le type d'application. Vous devez choisir "Application with source files" car nous allons importer dans MDT les sources d'installation de l'application. La seconde option est utile pour une application disponible sur un partage réseau distant, tandis que la troisième option permet de créer des bundles d'application, c'est-à-dire des groupes de plusieurs applications.
Indiquez les détails de l'application, en précisant, à minima, le nom de l'application. Vous pouvez aussi ajouter d'autres précisions comme la version, l'éditeur et la langue.
Ensuite, l'étape "Source" s'affiche à l'écran. Ici, vous ne pouvez pas sélectionner un fichier, mais uniquement un dossier. Ceci signifie que tout le contenu du dossier sera intégré dans MDT en tant que "source de l'application". De ce fait, il est important d'isoler le package MSI dans un répertoire où c'est le seul fichier. Ceci peut sembler étonnant, mais c'est pourtant utile dans certains cas lorsque le package MSI a besoin de s'appuyer sur un fichier de configuration INI, ou de charger un fichier de mise à jour MSP.
À l'étape "Destination", indiquez le nom du répertoire dans lequel stocker les sources de cette application. Ce répertoire sera créé dans le dossier "Applications" du DeploymentShare. Passez à la suite.
L'étape "Command Details" est cruciale puisque c'est ici que vous devez indiquer la commande à exécuter pour installer l'application. Lorsqu'il s'agit d'un package MSI, msiexec.exe doit être utilisé et l'option "/qn" permettra d'effectuer une installation silencieuse. Dans certains cas, il sera nécessaire de préciser le nom de l'exécutable(".exe") et de trouver le bon commutateur pour effectuer l'installation silencieuse (/S, par exemple), s'il existe.
msiexec.exe /i 7z2301-x64.msi /qn
MDT installera l'application à partir du fichier "7z2301-x64.msi". Il n'est pas utile de mentionner le chemin du fichier, car il est déjà référencé dans "Working directory".
Remarque : dans le cas d'un exécutable, précisez simplement le nom du fichier ".exe" ainsi que le(s) commutateur(s) à ajouter pour effectuer l'installation silencieuse.
Poursuivez jusqu'à la fin... Voilà, l'application 7-Zip a été intégré à MDT !
Désormais, vous devez ajouter l'application à une séquence de tâches pour qu'elle soit déployée.
B. Installer Adobe Acrobat Reader DC avec MDT
Le déploiement d'Adobe Acrobat Reader DC avec MDT (ou par GPO) est un peu particulier, puisqu'il faut commencer par télécharger l'exécutable sur le site officiel d'Adobe, via cette page.
Puis, vous devez ouvrir l'EXE avec 7-Zip pour extraire son contenu, car vous avez besoin des trois fichiers suivants :
Le fichier d'installation MSI nommé "AcroRead.msi" a besoin des données du fichier "Data1.cab" pour installer l'application. Sauf qu'en l'état, une ancienne version datant de 2015 sera déployée sur la machine. De ce fait, il faut impérativement installer le patch représenté par le fichier MSP "AcroRdrDCUpd2400120615.msp" pour mettre à jour l'application. Vous devez ajouter ces trois fichiers dans le répertoire avec vos sources d'installation à importer dans MDT.
Ce qui donne la ligne d'installation suivante à introduire dans MDT à l'étape "Command Details" :
IV. Ajouter l'application à une séquence de tâches
Pour déployer une application avec MDT, vous avez plusieurs possibilités dont l'utilisation d'une étape dans la séquence de tâches ou l'affectation de l'application à un rôle.
Lorsque l'application est affectée à la séquence de tâches, toutes les machines qui seront déployées par cette séquence de tâche bénéficieront de l'application. À l'inverse, le rôle permettra d'associer une application à un rôle fonctionnel, et ce rôle sera associé à une machine. C'est une logique un peu différente.
Ici, nous allons utiliser la méthode la plus simple : la séquence de tâches. Nous allons modifier la séquence de tâches "Déployer Windows 11 Pro 23H2" déjà existante, mais vous pouvez créer une séquence de tâches de toutes pièces.
Dans les propriétés de la séquence de tâches :
1 - Cliquez sur l'onglet "Task Sequence".
2 - Sélectionnez la tâche "Install Applications" sous "State Restore".
3 - Cliquez sur "Install a single application", car l'autre option est utilisée pour la gestion par rôle (ou sélection manuelle lors du déploiement).
4 - Cliquez sur "Browse" pour sélectionner l'application.
5 - Sélectionnez l'application 7-Zip précédemment ajoutée à MDT et validez. Nous pourrions aussi choisir un bundle.
Vous pouvez aussi renommer la tâche pour indiquer "App - 7-Zip" à la place de "Install Applications" pour que ce soit plus évocateur. Sachez également que vous pouvez ajouter plusieurs tâches pour le déploiement d'applications, via le bouton "Add", ou simplement en faisant un copier-coller de celle-ci.
Validez. La séquence de tâches est prête !
Désormais, il ne reste plus qu'à déployer une nouvelle machine basée sur cette séquence de tâches pour vérifier si 7-Zip est bien installé, ou non.
V. Tester sur un PC
Lorsque la séquence de tâches sera terminée, la machine bénéficiera d'un système d'exploitation ainsi que des applications présentes dans la séquence de tâches. En tant qu'administrateur système, vous gagnez un temps précieux dans la préparation d'une nouvelle machine !
VI. Conclusion
Voilà, nous venons de voir comment installer des applications sur Windows 11 à l'aide d'une séquence de tâches MDT ! De quoi gagner du temps lors du déploiement en masse de postes de travail Windows !
Si vous déployez une application à partir d'un fichier EXE et que ce dernier ne propose pas de commutateur pour l'installation silencieuse, sachez que MDT peut tout de même déclencher l'installation. Mais, dans ce cas, c'est vous qui devez intervenir à l'écran pour déclencher l'installation.
Plutôt que de s'appuyer sur des paquets d'installation MSI ou EXE, vous pouvez utiliser MDT pour déployer des applications en utilisant le gestionnaire de paquets Chocolatey, voire même WinGet qui est intégré à Windows 11 et qui peut accéder au catalogue d'applications du Microsoft Store. Ceci pourrait faire l'objet d'un prochain article et d'une prochaine vidéo !
Pour clarifier son offre, Microsoft a pris la décision de dissocier son service Teams et Microsoft 365, au niveau mondial. Ainsi, cette particularité n'est plus spécifique à l'Europe. Faisons le point sur ce changement !
Désormais, à l'échelle mondiale, Microsoft Teams devient un produit autonome qu'il faut payer en supplément de l'abonnement Microsoft 365. Il n'y aura plus de cette différence entre l'Europe et le reste du monde, et c'est tant mieux, car ceci permet de clarifier l'offre au niveau mondial. Les nouvelles options permettent d'acheter des abonnements à Microsoft 365 sans Teams, ainsi que la possibilité de payer un abonnement pour une version autonome de Teams.
"Ce faisant, nous répondons également aux commentaires de la Commission européenne en offrant aux entreprises multinationales plus de flexibilité lorsqu'elles souhaitent standardiser leurs achats à travers les différentes zones géographiques.", a précisé un porte-parole de Microsoft au site Windows Report.
Si vous n'utilisez pas Microsoft Teams, ceci vous permet de souscrire à un abonnement Microsoft 365 sans ce service, ce qui permet d'économiser quelques euros par mois et par utilisateur. D'ailleurs, ces quelques euros par mois pourront être utilisés pour payer un autre service, tel que Slack, puisque c'est aussi l'idée de départ : laisser plus de liberté aux organisations et aux utilisateurs. Slack avait porté plainte auprès de la Commission Européenne à ce sujet.
En principe, cette nouvelle offre commerciale globale est entrée en vigueur depuis le 1er avril 2024. Vous pouvez consulter les tarifs des abonnements Microsoft 365 sans Teams sur cette page du site Microsoft.
Dans cet article, nous allons revenir sur la porte dérobée présente dans la bibliothèque XZ Utils afin d'évoquer les distributions Linux affectées, ainsi qu'un outil permettant de vérifier si votre serveur est affecté ou non !
Pour rappel, la bibliothèque de compression de données XZ Utils, correspondante au paquet "liblzma", est victime d'une compromission de la chaîne d'approvisionnement (supply chain attack) : les deux dernières versions (5.6.0 et 5.6.1) contiennent du code malveillant qui permet de déployer une porte dérobée sur le système. Cette backdoor offre la possibilité de se connecter en SSH sur la machine et d'exécuter du code malveillant sans être authentifié.
Cette vulnérabilité est associée à la référence CVE-2024-3094 et elle est considérée comme critique (score CVSS v3.1 de 10 sur 10).
Tout d'abord, sachez que les versions vulnérables de XZ Utils sont utilisées par certaines distributions Linux en cours de développement, dont voici la liste :
Fedora Rawhide
Fedora 41
Debian Sid (les versions testing, unstable et expérimentale de Debian)
openSUSE Tumbleweed
openSUSE MicroOS
Par ailleurs, si vous utilisez Kali Linux, votre machine peut être affectée : "Si vous avez mis à jour votre installation Kali le 26 mars ou après, mais avant le 29 mars, il est crucial d'appliquer les dernières mises à jour aujourd'hui pour résoudre ce problème.", peut-on lire sur cette page du site de Kali Linux.
Désormais, les mainteneurs de ces différentes distributions ont fait le nécessaire pour revenir sur une version non vulnérable. Cependant, c'est-à-vous de faire la manipulation pour revenir en arrière si votre machine est affectée.
Pour vérifier si votre machine est affectée ou non, vous pouvez exécuter le script Bash "CVE-2024-3094 Checker" disponible sur GitHub. Ce script communautaire fonctionne sur les différentes distributions et va regarder qu'elle est la version de XZ Utils installée sur votre machine, et vous indiquer, si oui ou non, vous êtes vulnérable.
Par exemple, sur une machine Debian, la commande suivante est utilisée pour effectuer la vérification :
dpkg -l | grep "xz-utils"
Pour rappel, vous ne devez pas utiliser les versions 5.6.0 et 5.6.1 de XZ Utils, car elles sont compromises. D'ailleurs, si vous utilisez une distribution où le gestionnaire de paquets Apt est utilisé (Debian, par exemple), le script vous proposera de revenir sur la version stable non compromise la plus récente, à savoir la 5.4.6. Enfin, il est également recommandé de lire le bulletin de sécurité publié sur le site de la distribution que vous utilisez.
