Les smartphones, c'est le symbole du gaspillage des ressources et la production de ces petites merveilles implique l'utilisation de nombreux métaux rares : autant vous dire que l'impact sur l'environnement n'est pas neutre. Alors, plutôt que de changer d'appareil à la moindre panne, faites un geste responsable : faites-le réparer. Oui d'accord, mais comment ? Où ? Quand ? La plateforme française Reevive.fr veut apporter une vraie réponse à cette problématique.

Chez soi ou au bureau, on peut être amené à utiliser une quantité importante d'appareils électroniques divers et varié : ordinateurs, mobiles, consoles de jeux, écouteurs, etc... Autant d'appareils susceptibles de tomber en panne un jour ou l'autre. Quand ce moment arrive, déjà on est déçu, et ensuite on se demande comment faire : quelle est la panne ? Est-ce réparable ? À quel prix ? Autant de questions auxquels il n'est pas toujours facile de répondre à moins de solliciter un professionnel. D'ailleurs, si l'appareil n'est plus sous garantie, il ne sera pas forcément simple de trouver un réparateur de qualité.

En 2020, deux Français, Matthieu Huet et Vianney Bernard, ont eu l'excellente idée de créer la plateforme Reevive.fr dans le but de prolonger la durée de vie des appareils électroniques, et par conséquent de limiter le gâchis et de lutter contre la surconsommation. Le concept de Reevive est très intéressant et il répond à un véritable besoin : mettre en relation des réparateurs agréés avec des personnes qui ont un problème avec un appareil électronique.

Cette plateforme va simplifier le processus de réparation de certains appareils électroniques en vous permettant d'identifier facilement un réparateur agréé et en mesure de vous aider. Concrètement, comment ça se passe ? Tout d'abord, il faut identifier votre appareil en sélectionnant le type puis la marque parmi une sélection (Apple, Samsung). La seconde étape consiste à identifier le problème (écran, batterie, connecteur de charge, audio, bouton, etc...) de l'appareil afin d'apporter cette précision sur la plateforme. Ensuite, l'utilisateur doit faire un choix entre aller chez le réparateur directement, envoyer le produit par La Poste (en Chronopost Express) ou s'appuyer sur le service de coursier à vélo.

Si l'on souhaite se rendre chez le réparateur par ses propres moyens, le site Reevive vous propose d'indiquer votre adresse afin de vous proposer une liste de réparateurs agréés situé à proximité. Surtout, les réparateurs proposés sont en mesure de réparer votre appareil : d'où l'intérêt de bien choisir le bon modèle dès le départ et d'indiquer le type de problème que vous rencontrez. Pour qu'un réparateur soit référencé sur Reevive, il doit être audité en amont (qualité de service, réactivité, tarifs de la réparation, type de pièces, etc...) afin d'espérer intégrer le réseau de plus de 1 300 réparateurs de Reevive.

Au final, une estimation du coût de la réparation est indiquée, et si cela vous convient, il ne vous reste plus qu'à passer commande sur le site Reevive pour valider la prise en charge. Pour le paiement, le client a le choix entre un paiement comptant ou un paiement en 3 fois sans frais.

Au-delà de faciliter la réparation de votre appareil, Reevive propose aussi des smartphones reconditionnés en France ainsi que des accessoires (protection en verre pour l'écran, par exemple). À l'heure actuelle, le catalogue contient différents modèles d'iPhone plus ou moins récents associés à une garantie contractuelle de 12 mois.

Il me semble important d'encourager les initiatives de ce type pour montrer qu'il existe de réelles solutions pour prolonger la durée de vie d'un appareil sans galérer ! Et puis, c'est important de faire ces gestes simples pour préserver notre chère planète Terre... et cela commence en changeant nos habitudes.

Qu'en pensez-vous ?

Article sponsorisé

The post Reevive, une plateforme pour faire réparer votre smartphone sans vous déplacer ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à intégrer au domaine Active Directory les machines déployées à l'aide de MDT. Dans cet exemple, il s'agit d'un déploiement d'une machine Windows 11 22H2, mais cela peut s'appliquer aux autres versions de Windows, y compris Windows 10.

Ainsi, lorsqu'une déploie une machine par le réseau grâce à MDT, celle-ci sera intégrée au domaine Active Directory de façon automatique. Autrement dit, on automatise le processus de jonction au domaine dans MDT.

• [Article + vidéo] Installer MDT sur Windows Server 2022 pour déployer Windows 11 22H2

Pour effectuer la jonction au domaine avec MDT, il y a au moins trois méthodes envisageables :

• Par délégation Active Directory : on donne les autorisations sur une unité d'organisation spécifique à un utilisateur (que l'on utilise dans MDT)
  • Mot de passe en clair dans le fichier de configuration MDT, à moins de l'encoder en base64 (voir ici)
• Script PowerShell : on exécute un script PowerShell dans la séquence de tâches de MDT
  • Mot de passe en clair, masqué ou chiffré dans le script
• Utilisation de l'outil SJDomain
  • Pas de mot de passe car on crée l'objet dans l'annuaire Active Directory avant le déploiement (ce n'est pas la méthode la plus simple, mais surement la sécurisée)

Dans ce tutoriel, la méthode basée sur la délégation Active Directory sera démontrée. C'est probablement la méthode la plus fréquente.

On a besoin :

• D'un compte utilisateur dédié à MDT pour la jonction des machines au domaine Active Directory (pas de compte administrateur !)
• D'attribuer des droits à l'utilisateur sur une OU spécifique (on utilise une OU dédiée pour accueillir les nouvelles machines).
• De configurer le CustomSettings.ini de MDT (pour déclarer les informations sur le domaine et les identifiants)

J'insiste sur le fait qu'en aucun cas, le compte utilisé ne doit être Administrateur du domaine !

II. Jonction au domaine AD : créer un utilisateur MDT

Commencez par créer un compte utilisateur dans l'Active Directory, en PowerShell ou à l'aide de votre console préférée. Dans mon exemple, l'utilisateur s'appelle "cds-mdt@it-connect.local".

Ce compte doit avoir les options "Le mot de passe n'expire jamais" et "L'utilisateur ne peut pas changer de mot de passe" cochées pour éviter les expirations non maitrisées du mot de passe (et par extension l'échec de la jonction au domaine).

Une fois que ce compte est créé, il faut lui attribuer des droits sur une unité d'organisation de l'annuaire. Dans cet exemple, c'est l'OU "Provisioning" qui est utilisée. Une fois l'OU créée, effectuez un clic droit dessus et cliquez sur "Propriétés".

Cliquez sur l'onglet "Sécurité" (1) puis sur "Avancé" (2) pour accéder à la gestion avancée des permissions. Une nouvelle fenêtre s'ouvre, cliquez sur "Ajouter" (3).

Cliquez sur "Sélectionnez un principal" de façon à sélectionner l'utilisateur créé précédemment. Commencez par ajouter des permissions qui s'appliquent à "cet objet et tous ceux descendants".

Sélectionnez "Créer des objets Ordinateur" et "Suppr. des objets Ordinateur" et cliquez sur "OK".

Cliquez de nouveau sur "Ajouter" pour ajouter des permissions supplémentaires. Toujours pour le même compte, mais cette fois-ci sur les "Objets Ordinateur descendants" uniquement.

Dans la liste des autorisations, décochez "Lister le contenu" et cochez les permissions suivantes :

• Lire toutes les propriétés
• Écrire toutes les propriétés
• Autorisations de lecture
• Modifier les autorisations
• Écriture validée vers le nom d'hôte DNS
• Écriture validée vers le nom principal du service
• Modifier le mot de passe
• Réinitialiser le mot de passe

Quand c'est fait, cliquez sur "OK".

Les permissions pour l'utilisateur MDT sont en place. Cliquez sur "OK" une nouvelle fois.

Voilà, la configuration de l'Active Directory est terminée. La suite se passe dans MDT.

III. Configurer la jonction au domaine automatique avec MDT

Ouvrez la console Deployment Workbench pour configurer votre MDT. Effectuez un clic droit sur votre Deployment Share sur la gauche et cliquez sur "Propriétés". Cliquez sur l'onglet "Rules".

La zone de texte à l'écran correspond au fichier de configuration CustomSettings.ini. Ici, pour que la machine soit intégrée au domaine de façon automatique, vous devez déclarer et renseigner plusieurs options :

• MachineObjectOU = l'OU ciblée
• JoinDomain = Nom DNS du domaine AD
• DomainAdminDomain = Nom court du domaine AD
• DomainAdmin = Nom de l'utilisateur
• DomainAdminPassword = Mot de passe de l'utilisateur

Ce qui donne :

En ce qui concerne l'OU ciblée par l'option "MachineObjectOU", il faut indiquer le Distinguished Name (DN) de cette OU. Quand c'est fait, cliquez sur "OK".

• Comment récupérer le Distinguished Name (DN) d'un objet AD ?

Pour finir, il faut mettre à jour l'image de démarrage Lite Touch. Effectuez un clic droit sur le Deployment Share (toujours dans la console) et cliquez sur "Update Deployment Share". Conservez l'option par défaut et continuez jusqu'à la fin...

IV. Tester la jonction au domaine AD

Pour tester, rien de plus simple : il faut déployer une nouvelle machine ! Dans mon cas, ce sera une machine virtuelle. Au moment d'arriver à l'étape "Computer Details" où l'on peut indiquer le nom de l'ordinateur, on constate que l'option "Join a domain" est activée et préconfigurée. Ici, on visualise le nom du domaine, l'OU, l'utilisateur, etc...

Laissez les valeurs précisées (elles correspondent à celle du fichier CustomSettings.ini) et démarrez le déploiement...

Une fois le système d'exploitation déployé, vous devriez constater que la machine est intégrée au domaine Active Directory ! C'est visible dans les informations système de Windows 11 :

Par ailleurs, c'est visible aussi dans l'annuaire Active Directory puisque l'unité d'organisation "Provisioning" contient un nouvel objet qui correspond à notre machine fraîchement déployée.

V. Conclusion

Voilà, nous venons de voir comment intégrer au domaine Active Directory une machine déployée avec MDT ! Grâce à l'automatisation de cette étape, ce sont quelques précieuses minutes qui seront gagnées lors du déploiement de chaque machine (au lieu de le faire manuellement). Sur le déploiement de plusieurs dizaines ou centaines de machines, croyez-moi, cela compte ! La méthode basée sur SJDomain pourra être abordée dans un prochain article.

The post Déploiement avec MDT – Intégrer les machines au domaine Active Directory first appeared on IT-Connect.

Afin de lutter contre les cyberattaques et la compromission de comptes, Microsoft va forcer le number matching dans son application Microsoft Authentificator lorsqu'une notification push est envoyée sur un appareil pour valider le second facteur d'authentification.

La technique dite de fatigue MFA (ou MFA Bombing) est de plus en plus utilisée par les cybercriminels pour parvenir à compromettre des comptes utilisateurs : dans le cas où un pirate dispose déjà du mot de passe d'un compte utilisateur et qu'il doit compléter le second facteur, il peut bombarder l'utilisateur de notifications sur son smartphone (notifications dans Microsoft Authenticator, par exemple). Cela peut agacer l'utilisateur, qui naïvement, va valider la connexion pour ne plus être embêté. Résultat, le pirate obtient un accès au compte malgré la présence du MFA.

Il s'agit d'une technique qui a déjà fait ses preuves puisqu'elle a été utilisée dans plusieurs cyberattaques connues notamment chez Uber et Cisco. Pour lutter contre cette méthode, Microsoft propose l'activation du number matching pour les notifications MFA de Microsoft Authenticator : un numéro s'affiche sur la page de connexion Microsoft (côté ordinateur) et il doit être saisit sur le smartphone. Ainsi, il ne s'agit pas de simplement approuver ou refuser la connexion.

Désormais, ce qui change, c'est que cette option n'en est plus une : "Le number matching est une amélioration clé de la sécurité des notifications traditionnelles du deuxième facteur dans Microsoft Authenticator. Nous supprimerons les options de gestion et appliquerons le number matching à tous les utilisateurs des notifications push de Microsoft Authenticator à partir du 8 mai 2023." - Oui, depuis hier, cette option est activée et vous ne pouvez pas la désactiver.

Microsoft précise que ce changement est en cours de déploiement pour ses services, donc pour le moment, certains utilisateurs peuvent être confrontés au number matching, et d'autres non. Au final, tout le monde sera traité de la même façon et cette information est précisée dans cette documentation officielle.

Source

The post Fatigue MFA : Microsoft vient de forcer l’activation du number matching dans Authenticator ! first appeared on IT-Connect.

De nombreuses attaques sont en cours sur les serveurs de gestion d'impression équipés de la solution PaperCut ! Des entreprises restent vulnérables à la CVE-2023-27350 alors qu'un correctif existe depuis plusieurs semaines.

La faille de sécurité CVE-2023-27350 intéresse particulièrement les cybercriminels et plusieurs groupes l'utilisent activement dans le cadre d'attaques. Pour rappel, il s'agit d'une faille d'exécution de code à distance sans authentification au préalable, qui impacte toutes les versions 8.0 ou ultérieures de PaperCut MF ou NG sur tous les OS, à la fois pour les serveurs d'application et de site.

De son côté, Microsoft a repéré deux groupes de pirates soutenus par l'État iranien nommés Mint Sandstorm (précédemment suivi sous le nom de PHOSPHORUS) et Mango Sandstorm qui effectuent des attaques sur les serveurs PaperCut en visant cette vulnérabilité. Dans un tweet, l'entreprise américaine précise : "L'activité d'exploitation de PaperCut par Mint Sandstorm semble opportuniste et touche des organisations de tous les secteurs et de toutes les zones géographiques."

Récemment, on a appris que les groupes de ransomware Clop et LockBit exploitaient aussi cette vulnérabilité dans le cadre d'attaques pour bénéficier d'un accès initial au réseau d'une entreprise.

De son côté, l'agence américaine CISA a déjà ajouté cette faille de sécurité à sa liste des vulnérabilités connues et exploitées dans le cadre d'attaques depuis le 21 avril dernier.

PaperCut : comment se protéger de la CVE-2023–27350 ?

Pour se protéger, il est recommandé aux utilisateurs des versions concernées d'effectuer une mise à niveau vers les versions 20.1.7, 21.2.11 et 22.0.9 de PaperCut MF et PaperCut NG. Ces versions (et les prochaines) permettent d'être protégé contre les attaques en cours.

Pour les entreprises qui utilisent une version plus ancienne que la version 19 de PaperCut, sachez qu'il n'y aura pas de correctif puisque ce sont des versions en fin de vie. De ce fait, il va falloir passer par l'achat d'une nouvelle licence PaperCut ou d'une mise à niveau de la licence actuelle.

Enfin, pour exploiter cette vulnérabilité, plusieurs chemins d'exploitation sont possibles, notamment une technique assez récente et qui permettrait de ne pas être détectée comme l'explique cet article sur VulnCheck.

Source

The post CVE-2023-27350 : plusieurs groupes de pirates ciblent les serveurs PaperCut ! first appeared on IT-Connect.

Des nouvelles de la cyberattaque qui a impactée Western Digital en mars dernier : les pirates sont parvenus à récupérer une copie d'une base de données qui contient les données personnelles des clients de la boutique en ligne de la marque. Mauvaise nouvelle.

Pour rappel, le 26 mars 2023, Western Digital a subit une cyberattaque importante puisque les pirates informatiques du gang de ransomware BlackCat (ALPHV) sont parvenus à compromettre le réseau interne de l'entreprise et à dérober des données. D'ailleurs, suite à cet incident, de nombreux services My Cloud avaient été mis hors ligne : My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi, SanDisk Ixpand Wireless Charger.

Ce week-end, et après avoir mené l'enquête de son côté accompagné par des experts, Western Digital a envoyé une notification par e-mail à ses clients pour les informer d'une fuite de données personnelles. Voici ce que l'on peut lire dans ce communiqué : "D'après cette enquête, nous avons récemment appris qu'aux alentours du 26 mars 2023, un tiers non autorisé a obtenu une copie de la base de données Western Digital contenant certaines informations à caractère personnel liées aux clients de notre boutique en ligne."

Puis, l'entreprise américaine donne des précisions sur la nature de ces données ! Il s'agit de noms de clients, des adresses d'expédition et de facturation, des adresses e-mails et des numéros de téléphone. Cette base de données contient aussi deux autres informations protégées par du chiffrement (avec salage) : le mot de passe du compte et les numéros partiels de la carte de paiement.

Pour le moment, et par précaution, il n'est plus possible de se connecter à son compte ou d'effectuer une commande sur la boutique en ligne de Western Digital. Un retour en ligne est prévu pour aujourd'hui, même si une autre version du communiqué évoque le 15 mai 2023.

Si vous êtes client chez Western Digital, vous devez être méfiant : des pirates informatiques pourraient exploiter les coordonnées récupérées pour mener des attaques de phishing. Par ailleurs, il est recommandé de changer son mot de passe sur la boutique WD quand ce sera possible.

Merci à @Ludo_chan de m'avoir fourni une copie du communiqué de Western Digital.

The post Cyberattaque Western Digital : les données personnelles des clients sont dans la nature ! first appeared on IT-Connect.