La solution ONLYOFFICE Workspace passe en version 12.5 ! L'occasion pour l'éditeur d'apporter des fonctionnalités supplémentaires en termes de sécurité, mais ce n'est pas tout...! Faisons le point sur les nouveautés.

Pour rappel, avec ses solutions ONLYOFFICE, l'éditeur Ascensio System propose une alternative aux entreprises qui ont besoin de collaborer en ligne sur des documents, de partager ces mêmes documents, etc... En toute sécurité et sans passer par les solutions de chez Microsoft, Google, etc... ONLYOFFICE est une solution flexible qu'il est possible d'utiliser en mode Cloud ou d'héberger sur ses propres serveurs. Aujourd'hui, cette solution de bureautique en ligne compte plus de 10 millions d'utilisateurs dans le monde, et le fait qu'il y ait des versions libres et gratuites fait d'ONLYOFFICE une solution à part. D'ailleurs, le code source est accessible sur GitHub.

Voilà, maintenant parlons des nouveautés d'ONLYOFFICE Workspace 12.5 qui est une solution qui intègre à la fois les éditeurs en ligne d'ONLYOFFICE mais aussi la gestion de projets, les e-mails, le CRM, etc.

Plus de sécurité pour l'authentification

Désormais, ONLYOFFICE Workspace est capable de détecter et bloquer les attaques par brute force. Cela signifie que s'il y a des tentatives de connexion infructueuses, elles seront détectées et au bout d'un certain nombre d'échecs, l'adresse IP d'origine sera bloquée pour une durée définie. Les seuils sont personnalisables à partir des options du portail d'ONLYOFFICE. Par ailleurs, les adresses IP de confiance peuvent être ajoutées à une liste blanche pour ne pas faire l'objet de blocage.

L'authentification multifacteurs était déjà prise en charge, mais de nouvelles options sont ajoutées avec cette nouvelle version. On peut citer la possibilité de rendre obligatoire le second facteur d'authentification pour certains utilisateurs ou certains groupes, et le fait de définir des adresses IP sources pour lesquelles le second facteur d'authentification n'est pas requis. Toujours sur l'aspect authentification, la politique de mots de passe interne à la solution peut obliger l'utilisateur à définir un mot de passe avec un minimum de caractères, ou avec un maximum de caractères.

De nouvelles options pour les partages externes

Au sein d'une suite de bureautique en ligne, il est essentiel de pouvoir partager des documents avec des personnes externes à l'entreprise. ONLYOFFICE Workspace propose cette possibilité, en allant un peu plus loin avec la version 12.5. Désormais, pour un même document, il est possible d'avoir plusieurs liens de partage externe, avec chacun une configuration différente. Ainsi, et c'est nouveau également, un fichier peut être disponible via un lien pour une durée déterminée et ce partage peut être protégé par mot de passe. Une nouveauté appréciable !

Au-delà du partage de fichiers, le partage de dossiers complets est possible également. Lorsqu'il s'agit d'un dossier, c'est toute l'arborescence qui est partagée.

De nouveaux plugins : ChatGPT et Zoom

Avec cette nouvelle version d'ONLYOFFICE Workspace, les utilisateurs bénéficient de la dernière version des éditeurs en ligne. Au-delà d'ajouter la prise en charge de SmartArt, le support de l'Unicode ou encore les équations LaTex, ce sont aussi les plugins ChatGPT et Zoom qui sont accessibles. Si l'on prend l'exemple de ChatGPT, il devient accessible au sein de l'interface de l'éditeur et vous pouvez lui soumettre vos demandes. Il devient possible de solliciter ChatGPT pour vous aider à écrire du texte, pour résumer un document, pour générer un tableau, etc...

Concernant le plugin Zoom, il va permettre à l'utilisateur d'intégrer la visioconférence Zoom à l'intérieur de l'interface ONLYOFFICE. Donc, sur une même page, vous pouvez avoir un aperçu de votre réunion en cours sur la gauche et l'éditeur de texte sur la droite. Ce plugin Zoom peut être utilisé pour planifier une réunion ou rejoindre une réunion déjà prévue. Ces deux plugins doivent être activés à partir de l'interface d'ONLYOFFICE.

Enfin, comme le montre l'image ci-dessus, les amateurs de thèmes sombres apprécieront l'arrivée de cette nouveauté visuelle dans ONLYOFFICE Workspace 12.5.

Source : communiqué de presse

The post ONLYOFFICE Workspace 12.5 : plus de sécurité et intégration de ChatGPT first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à mettre en place des quotas sur un serveur de fichiers sous Windows Server 2022. Suite à l'installation du rôle FSRM sur notre serveur, nous avons l'opportunité d'utiliser cette fonctionnalité.

• Installer FSRM sous Windows Server 2022

La mise en place de quotas va permettre à la fois de surveiller l'utilisation de l'espace de stockage de votre serveur, mais également de garder la maîtrise de cet espace de stockage. Si l'on prend l'exemple de répertoires utilisés par les utilisateurs finaux pour stocker des données, cela peut rapidement partir en vrille. Entre ceux qui vont stocker des photos de vacances, et ceux qui vont créer des copies de leurs clés USB pour faire des sauvegardes, on en voit de toutes les couleurs...

Windows Server, par l'intermédiaire de FSRM, prend en charge deux types de quotas :

• Quota conditionnel : autorise les utilisateurs à dépasser la limite, mais l'administrateur peut recevoir une alerte.
• Quota inconditionnel : empêche l'utilisateur de dépasser la limite (mode strict), dans ce cas il n'est plus possible d'écrire dans le répertoire lorsque le quota est atteint.

Pour faciliter la création et la gestion de ces quotas, nous pouvons configurer des modèles de quotas. D'ailleurs, FSRM est livré avec un ensemble de modèles prêts à l'emploi et personnalisables.

En matière d'alerte et reporting, FSRM est capable de réaliser différentes actions lorsqu'un pourcentage du quota est atteint : notification par e-mail, rapports, observateur d'événements (logs) ou encore l'exécution d'une commande.

Remarque : cet article s'inscrit dans une série d'articles sur la gestion d'un serveur de fichiers sous Windows Server 2022.

II. Configurer un quota avec FSRM

Dans cet exemple, l'objectif va être d'appliquer un quota conditionnel de 1 Go sur le répertoire partagé "Partage" accessible aux salariés de l'entreprise pour s'échanger des documents, de façon temporaire, et sans passer par la messagerie électronique.

À partir de la console FSRM, c'est la section "Gestion de quota" qui va nous intéresser. Elle se découpe en deux sections :

• Quotas pour visualiser les règles actives, c'est-à-dire les quotas déjà configurés sur des répertoires
• Modèles de quotas pour créer un nouveau modèle, et voir ou modifier les quotas existants

Dans la liste des modèles de quotas, il y en a un qui s'intitule "Limite de 2 Go" et que l'on peut modifier de manière à l'adapter à notre besoin : limiter à 1 Go. Il suffit de faire un clic droit dessus puis "Modifier les propriétés du modèle" pour le modifier.

Ici, on va changer le nom du modèle et adapter la limite afin de préciser 1 Go. Validez. On peut voir qu'il s'agit d'un quota inconditionnel, donc il ne sera pas possible de dépasser la limite. Des notifications sont également configurées :

• Par e-mail, lorsque le quota atteint 85%, 95% et 100%
• Par un événement dans l'Observateur d'événements de Windows, lorsque le quota atteint 95% et 100%

Cela est personnalisable, y compris pour modifier le corps de l'e-mail que recevra l'utilisateur ou le texte de l'événement dans les logs Windows.

La fonction "Commande" est pratique pour exécuter des actions avancées. Par exemple, le modèle "Limite de 200 Mo avec extension de 50 Mo" présent par défaut dans FSRM positionne un quota inconditionnel à 200 Mo, et si la limite est atteinte, le système va automatiquement allouer une extension de 50 Mo supplémentaires grâce à l'exécution d'une commande. Ce qui donne :

Revenons à notre configuration.

Au moment de valider, l'assistant vous demandera "Comment voulez-vous appliquer les modifications du modèle aux quotas existants ?". Cela signifie que si vous avez déjà utilisé ce modèle pour définir des quotas sur des dossiers, vous pouvez faire en sorte de modifier le quota sur tous les dossiers qui utilisent ce modèle. C'est un choix à faire, mais ici nous partons de zéro donc, peu importe le choix, cela n'aura pas d'impact.

Le modèle de quota étant prêt, nous allons l'appliquer. Effectuez un clic droit sur "Quotas" puis cliquez sur "Créer un quota".

Un assistant s'ouvre... Il va falloir commencer par préciser le chemin du répertoire sur lequel appliquer un quota. Cliquez sur "Parcourir" (1), sélectionnez le répertoire "Partage" (2) et validez avec "OK" (3). Ce quota doit appliquer les règles de notre modèle, donc choisissez "Limite de 1 Go" sous "Dériver les propriétés de ce modèle de quota (recommandé)" (4) et cliquez sur "Créer" (5). L'autre possibilité consiste à ne pas utiliser de modèle et définir manuellement le quota sur ce dossier.

Sur la copie d'écran ci-dessus, on peut voir deux options très importantes :

• "Créer un quota sur le chemin d'accès", ce qui permet d'appliquer le quota directement sur le répertoire sélectionné
• "Appliquer automatiquement le modèle et créer des quotas sur les sous-dossiers existants et nouveaux", ce qui permet d'appliquer le quota sur chaque sous-dossier de la racine sélectionnée. Ainsi, chaque sous-dossier aura un quota de 1 Go. C'est un mode de fonctionnement différent et très pratique pour les profils utilisateurs.

Le quota étant créé, il apparaît dans la liste. On peut aussi voir le pourcentage utilisé pour le moment, ici 35% par rapport au quota de 1 Go.

La configuration est terminée. Vérifions si cela fonctionne.

III. Tester le quota

À partir du serveur ou d'un poste de travail ayant accès au partage, il suffit de déposer des données dans le partage de façon à dépasser le quota pour vérifier s'il fonctionne. Ici, j'essaie de déposer une archive ZIP qui fait plus d'un 1 Go... Résultat, je ne peux pas ! Le message "Espace disque insuffisant" s'affiche ! Le quota inconditionnel est entré en action.

Dans le même temps, un événement a été créé dans le journal "Application" de l'Observateur d'événements du serveur. Tous les événements liés à FSRM ont la source SRMSVC.

Et, conformément à la configuration de mon modèle, j'ai aussi reçu une notification par e-mail. Voici celle que j'ai reçue suite à ce test : "L’utilisateur IT-CONNECT\Administrateur a atteint la limite du quota sur P:\Partage sur le serveur SRV-ADDS-01. La limite de quota est de 1024,00 Mo et l’utilisation actuelle est de 364,96 Mo (35 % de la limite)."

IV. Conclusion

Suite à la lecture de ce tutoriel, vous êtes capable de mettre en place des quotas sur votre serveur de fichiers Windows Server ! Une étape importante dans la configuration de son serveur pour éviter les débordements et garder la maîtrise de son espace de stockage. Dans le prochain épisode, nous continuerons à explorer les fonctionnalités de FSRM.

The post Windows Server 2022 et FSRM – Gestion des quotas sur les dossiers first appeared on IT-Connect.

Oups ! À cause d'un bug, ChatGPT a laissé fuiter l'historique des conversations de ses utilisateurs. Pour stopper l'hémorragie, OpenAI l'a déconnecté en urgence. Que s'est-il passé ? Faisons le point.

Cette semaine, ChatGPT a été mis hors ligne pendant une dizaine d'heures, non pas parce qu'il y avait une panne sur les serveurs ou parce qu'il était trop sollicité, mais bien parce qu'il a laissé fuiter des informations qu'il devait garder pour lui : des utilisateurs ont pu accéder à l'historique des conversations entre ChatGPT et d'autres utilisateurs inconnus. Cet historique est apparu sur la gauche, dans la barre latérale qui recense les dernières requêtes que l'on effectue à partir de son compte OpenAI.

Fort heureusement, il n'y a que le titre de la requête qui était visible, et non pas l'intégralité de l'échange avec le chatbot ChatGPT. Toutefois, le titre peut contenir des informations précises (et sensibles) donc c'est un vrai incident en matière de confidentialité.

OpenAI a remis en ligne ChatGPT au bout de quelques heures, mais il n'était plus possible d'accéder à son historique personnel, et par extension à celui des autres utilisateurs.... Désormais, cette fonctionnalité est de nouveau accessible à partir du site habituel et le bug a été résolu par les développeurs d'OpenAI. Finalement, la boulette ne semble pas provenir de ChatGPT directement, mais plutôt de l'interface que nous utilisons pour interagir avec le chatbot qui s'est légèrement emmêlé les pinceaux.

Pour conclure, on peut dire que cet incident est là pour nous rappeler qu'il ne faut pas communiquer d'informations confidentielles à ChatGPT : ces informations sont stockées et conservées, et nous ne savons pas réellement ce qu'en fait OpenAI... Même si l'on peut se douter que nos requêtes viennent nourrir le modèle. Malheureusement, aujourd'hui, trop de personnes communiquent des informations sensibles à ChatGPT.

Que pensez-vous de cet incident ?

Source

The post À cause d’un bug, ChatGPT laisse fuiter l’historique de vos conversations ! first appeared on IT-Connect.

Microsoft a officialisé le lancement de Loop, sa nouvelle application collaborative pleinement intégrée à l'écosystème Microsoft 365 et qui va venir concurrencer des solutions existantes comme Notion et Asana. Faisons le point sur cette nouveauté.

Accessible dès maintenant en version preview, Microsoft Loop va permettre la création d'espaces de travail et de pages, dans le même esprit que sur Notion. D'ailleurs, Notion est une solution très populaire en entreprise, mais que l'on peut aussi utiliser en tant que particulier.

Toutefois, il y a une différence majeure dans Loop et celle-ci devrait intéresser beaucoup de personnes : Microsoft Loop est pleinement intégré à la suite Microsoft 365, ce qui lui permet d'exploiter Word, Excel et PowerPoint. L'objectif de Microsoft Loop est de permettre à l'utilisateur de créer un espace de travail collaboratif pour regrouper des idées, des tâches, des documents, au sujet d'un projet, par exemple.

L'idée derrière Microsoft Loop, c'est de permettre à l'utilisateur de profiter de toutes ses applications à partir d'une interface unifiée. Autrement dit, cela évite de basculer sans cesse d'une application à une autre, en principe. On peut imaginer un espace de travail pour un projet au sein duquel vous allez associer les documents relatifs à ce projet, les tâches, les idées, etc. Chaque personne ayant un accès à un espace de travail pourra réagir, commenter, afin qu'il y ait de l'interaction et que cet espace de travail soit collaboratif.

Microsoft ne manque pas l'occasion de mettre en avant son fameux Microsoft 365 Copilot puisqu'il prendra place aussi dans cette application, au même titre que Word, Excel, PowerPoint et Teams vont en profiter. Autrement dit, Microsoft Loop a le droit aussi à sa dose d'intelligence artificielle, en l'occurrence ici une IA générative.

Microsoft Loop va aussi intégrer des "composants", c'est-à-dire du contenu (liste de tâches, tableau, etc.) qui sera synchronisé et partagé entre toutes les applications Microsoft 365.

La vidéo de présentation officielle vous donnera un aperçu de l'interface de Microsoft Loop ainsi que de ses fonctionnalités. Vous pouvez aussi tester sur cette page.

Source

The post Microsoft Loop, le nouvel outil de Microsoft qui vient concurrencer Notion first appeared on IT-Connect.

Lors du premier jour de la compétition de hacking Pwn2Own 2023 qui se déroule actuellement à Vancouver, au Canada, les participants sont parvenus à trouver des failles de sécurité dans Windows 11, macOS et le système de la Tesla Model 3. Mais ce n'est pas tout !

Si l'on regarde le programme de ces trois journées de compétition, on voit que les équipes de hackers ont prévu de faire des démos d'exploits zero-day dans une multitude de produits : Adobe Reader, Ubuntu Desktop, Microsoft SharePoint, VirtualBox, Windows 11, macOS, Microsoft Teams, VMware Workstation et le système Tesla. De ce fait, il faudra s'attendre à ce qu'il y ait des correctifs pour ces produits dans les semaines à venir : lorsqu'une faille de sécurité est dévoilée lors de cette compétition, le fabricant dispose de 90 jours pour proposer un correctif. Une fois ce délai dépassé, la Zero Day Initiative rend publiques les informations sur la faille en question.

Au final, lors de cette compétition qui se déroule du 22 au 24 mars 2023, les participants peuvent gagner jusqu'à 1 080 000 dollars en récompense, dont une voiture Tesla Model 3. Avec toujours la possibilité de remporter une voiture Tesla et la somme de 150 000 dollars en piratant une Tesla.

Les résultats de la première journée

Lorsque la démo est effectuée par une équipe, ce travail est évalué notamment pour valider ou non l'exploit. Si c'est validé, l'équipe remporte de l'argent et des points au classement. Lors de cette première journée, il y a eu une première faille de sécurité validée dans Adobe Reader. En effet, AbdulAziz Hariri de Haboob SA a démontré une attaque contre Adobe Reader en utilisant un ensemble de 6 bugs lui permettant d'échapper à la sandbox et de contourner une liste d'API interdites. Grâce à son travail, il a gagné 50 000 dollars.

On note aussi la découverte d'un exploit dans Windows 11 permettant une élévation de privilèges. Marcin Wiązowski est à l'origine de cette découverte, et il a reçu 30 000 dollars en récompense. Sinon, il y a eu un échec de validation pour un exploit dans Ubuntu.

Par ailleurs, voici les autres failles de sécurité validées :

• Exploit dans Microsoft SharePoint, ce qui permet à STAR Labs de remporter 100 000 dollars
• Exploit dans VirtualBox, ce qui permet à Pham de Qrious Security de remporter 40 000 dollars
• Exploit dans la Tesla Gateway, ce qui permet à Synacktiv de remporter 100 000 dollars
• Exploit dans Ubuntu (mais déjà démontré), ce qui permet à STAR Labs de remporter 15 000 dollars
• Exploit dans macOS, ce qui permet à Synacktiv de remporter 40 000 dollars

Place à la deuxième journée de compétition dans quelques heures...

Source

The post Windows 11, Ubuntu et la Tesla hacké lors de la compétition Pwn2Own 2023 first appeared on IT-Connect.