Au sein de son Patch Tuesday de Novembre 2022, Microsoft a corrigé un bug dans la gestion du marqueur Mark of the Web au sein des images ISO, ce qui devrait permettre de bloquer certaines attaques qui s'appuyaient jusqu'ici sur des images ISO malveillantes.

Avant de parler de ce problème de sécurité, parlons du marqueur "Mark of the Web" (MoTW) en lui-même. Lorsqu'un fichier provient d'Internet, Windows l'identifie grâce à ce fameux marqueur, ce qui permet ensuite d'adopter un comportement adéquat. Par exemple, s'il s'agit d'un fichier Word provenant d'Internet, alors on l'ouvre en mode protégé. Pour cela, le fichier dispose d'un attribut nommé "Zone.Identifier" qui permet d'attribuer un fichier à une zone : ordinateur local, sites de confiances, Internet, etc... Un marqueur très important et pris en charge par Windows, ainsi que par certains logiciels (Microsoft Office, 7-Zip, etc.).

CVE-2022-41091 : un problème de sécurité lié aux images ISO

Depuis Windows 8, il est possible de monter une image ISO d'un simple "double clic". Cela a pour effet de créer un lecteur virtuel sur le système, et ce lecteur donne accès au contenu de l'image ISO.

Bill Demirkapi, ingénieur au sein de l'équipe Microsoft MSRC, affirme qu'une vulnérabilité a été corrigée dans la gestion du marqueur MoTW au sein des images ISO. En effet, le marqueur n'était pas propagé aux fichiers contenus dans une image ISO. De ce fait, une image ISO en provenance d'Internet était identifiée sauf que ce n'était pas le cas des fichiers à l'intérieur de cette image. Enfin, tout dépend du type de fichiers, car cela fonctionnait pour les documents Microsoft Office, mais pas pour les liens ".LNK" ce qui permet de pointer vers n'importe quel élément. Une aubaine pour les cybercriminels qui ont pu utiliser cette faiblesse pour diffuser des logiciels malveillants via des campagnes de phishing.

Si un utilisateur monte une image ISO et qu'il ouvrir un fichier "LNK" malveillant, il sera exécuté automatiquement par Windows sans afficher le moindre avertissement. Normalement, une fenêtre de confirmation apparaît lorsque le fichier provient d'Internet, mais là ce n'est pas le cas. Grâce à la mise à jour de novembre 2022, la vulnérabilité CVE-2022-41091 est corrigée.

CVE-2022-41049 : contournement de MoTW avec des archives ZIP

En complément de cette faille de sécurité, Microsoft a corrigé la vulnérabilité CVE-2022-41049, associée aussi à la fonction Mark of the Web. Will Dormann, à l'origine de cette découverte a évoqué deux manières d'exploiter cette faille de sécurité.

La première méthode permet de faire planter Windows SmartScreen sous Windows 11 22H2 et de bypasser les avertissements de sécurité lors de l'ouverture de fichiers contenus au sein d'archives ZIP.

Baptisée "ZippyReads", la seconde méthode consiste à créer une archive ZIP contenant un fichier en lecture seule. Lorsque cette archive est ouverte dans l'Explorateur Windows, l'indicateur MoTW n'est pas propagé à ce fichier en lecture seule, ce qui permet de l'exécuter sans être confronté à l'avertissement de sécurité.

À ce jour, il y aurait une autre vulnérabilité dans MoTW découverte par Will Dormann et qui ne serait pas corrigée. En effet, lorsqu'un script JavaScript est utilisé et qu'il contient une signature malformée, il peut être exécuté sur la machine sans qu'il y ait le moindre avertissement.

Le danger vient et continuera de venir par Internet et par les fichiers malveillants, alors soyez méfiants. Pour rappel, mon article complet au sujet du Patch Tuesday est disponible à l'adresse ci-dessous. Ce mois-ci, Microsoft a corrigé 68 vulnérabilités et 6 failles zero-day, notamment celles dans Microsoft Exchange Server.

• Microsoft - Patch Tuesday - Novembre 2022

Source

L'article Windows et MoTW : Microsoft a corrigé une vulnérabilité exploitée pour distribuer des malwares est disponible sur IT-Connect : IT-Connect.

I. Présentation

La marque allemande devolo vient de lancer deux nouveaux répéteurs Wi-Fi 6 afin de compléter sa gamme de produits : devolo WiFi 6 Repeater 3000 et devolo WiFi 6 Repeater 5400. Dans cet article, je vais vous présenter le modèle devolo WiFi 6 Repeater 3000. Un second test est disponible pour ce deuxième modèle (voir ici).

Spécialiste du réseau et plus particulièrement du CPL, cela fait plusieurs années que devolo propose des solutions "CPL + WiFi", ainsi que des répéteurs WiFi. Toutefois, ce sont les premiers répéteurs WiFi 6 de la marque.

Commençons par quelques caractéristiques techniques pour faire connaissance avec ce répéteur WiFi :

• Norme WiFi 6
• Débit jusqu'à 3000 Mbits/s (2 400 Mbits/s sur le 5 GHz et 574 Mbits/s sur le 2,4 GHz)
• Gestion des flux MU-MIMO 2x2
• Compatible avec les normes de sécurité WPA2 et WPA3
• Intègre 1 port RJ45
• Compatible WiFi Mesh
• Configuration avec l'application mobile (réseau WiFi principal, réseau invité, contrôle parental, etc.)
• Garantie : 3 ans
• Prix : 99,90 euros
• Fiche produit - Site officiel

Pour rappel, l'objectif d'un répéteur WiFi est d'améliorer la couverture d'un réseau sans-fil WiFi et de permettre de connecter un plus grand nombre d'appareils. Selon le nombre d'appareils dont vous disposez, la Box Internet de votre opérateur peut saturer (d'une offre à une autre, la Box n'est clairement pas de la même qualité).

II. Découverte du Repeater 3000

Il est temps de partir à la découverte du répéteur devolo et de l'installation pour mettre fin aux problèmes de WiFi ! Ce n'est pas moi qui le dis, c'est marqué sur la boîte. Sur le packaging, devolo met bien en avant le fait que ce modèle soit compatible WiFi 6. À l'arrière de la boîte, l'utilisateur pourra trouver quelques infos techniques.

À l'intérieur, il y a le répéteur WiFi en lui-même, ainsi qu'un guide de mise en route rapide (recto verso). Il n'y a pas besoin d'alimentation puisque le répéteur se connecte directement sur une prise. Pour ceux qui envisagent d'exploiter le port Ethernet du répéteur pour connecter un appareil en filaire, sachez que le câble réseau RJ45 n'est pas inclus.

Regardons de plus près le boîtier devolo, dont les dimensions sont les suivantes (sans tenir compte de la prise) : 71 x 149 x 45 mm. Le boîtier reprend les codes habituels de la marque : totalement blanc, avec le nom "devolo" à la verticale. Il est également très bien aéré puisqu'il y a des aérations sur 4 faces du boîtier. Sur un côté, nous avons le seul et unique bouton physique, que l'on utilisera lors de la mise en route initiale, ainsi qu'un bouton de réinitialisation. C'est en dessous que se situe le port Ethernet 1 Gbit/s, qui permettra de connecter un appareil en filaire.

Petite déception : ce boîtier n'intègre pas de prise électrique, ce qui signifie que la prise où il sera connecté ne pourra pas être utilisée pour un autre usage. Dommage, car devolo sait le faire avec ses boîtiers CPL. Néanmoins, le répéteur peut être connecté sur une multiprise si cela est nécessaire, contrairement à un boîtier CPL. En façade, nous avons des LEDs sous la forme d'un signal WiFi : ce sera utile par la suite, notamment pour connaître la qualité du signal entre le répéteur et la box principale.

La qualité de fabrication du boîtier est très bonne, ce qui n'est pas une surprise ! Cela fait des années que devolo produit des appareils avec une très belle finition.

III. Mise en place du répéteur : installation et configuration

Sur son site, devolo précise : "Il suffit de le brancher, d’appuyer sur le bouton et le tour est joué". Très bien, c'est ce que nous allons chercher à vérifier en effectuant la mise en place de ce répéteur. Au-delà des nouveautés techniques, devolo a cherché à faire des efforts pour que l'appareil soit plus simple à installer. Résultat, la marque a également développé une nouvelle application mobile.

Il faut savoir qu'il y a deux façons de mettre en place ce répéteur : avec l'application devolo, en se laissant guider pas à pas, ou sans utiliser l'application. J'ai pris la décision de faire la mise en route sans l'application, afin de voir si c'était réellement simple de mettre en place ce répéteur. Les étapes à suivre sont les suivantes, d'après la documentation.

1 - Connecteur le répéteur sur une prise électrique

2 - Attendre 3 minutes

3 - Appuyer 5 secondes sur le bouton du répéteur (pour le basculer en mode association)

4 - Appuyer sur le bouton WPS de votre routeur/box (dans un délai de 2 minutes)

5 - Voilà, c'est prêt !

Alors, effectivement, c'est aussi simple que ça ! En suivant ces étapes, très simples, si ce n'est que certaines personnes pourront bloquer un peu sur la partie "WPS", le répéteur se met en route très facilement. In fine, il diffuse le même réseau WiFi que votre box, ce qui vient étendre la couverture de votre réseau WiFi. À partir du moment où les LEDs sont allumées en façade du boîtier, c'est que le réseau est prêt. Cette indication est importante, car elle indique la qualité du signal WiFi entre le répéteur et la Box, comme l'icône WiFi sur un smartphone ou un ordinateur.

Ici, on peut voir que le signal est à son maximum. Le répéteur est positionné à une distance d'environ 7 mètres de mon routeur WiFi qui diffuse le signal.

Dans l'application, au premier lancement, on doit indiquer s'il s'agit d'une nouvelle installation ou d'une installation existante. Puisque le répéteur vient d'être mis en place, il faut choisir la seconde option. En étant connecté au même réseau WiFi, on peut gérer le répéteur. L'accueil de l'application donne un aperçu des appareils devolo sur le réseau, ici constitué uniquement du répéteur devolo.

En choisissant le répéteur WiFi, on peut accéder à la vue d'ensemble de cet appareil, ainsi qu'à sa configuration. En ce qui me concerne, le message "La couverture WiFi peut être améliorée" m'a interpellé. En appuyant dessus, une page "Conseils de placement" s'ouvre afin de nous donner quelques conseils pour bien placer le répéteur dans son logement. Autrement dit, si le signal est excellent, c'est bien, mais il faut peut-être éloigner un peu plus le répéteur de la Box afin d'accroître la couverture globale du réseau WiFi.

Preuve que l'application est en cours d'évolution, une mise à jour est sortie pendant mon test, faisant apparaître le menu "Clients" dans le menu du bas, afin de voir les clients connectés au travers du répéteur WiFi. Voici un exemple :

L'application intègre un bouton "Interface web du dispositif ouvert" qui permet d'accéder à l'interface de gestion du répéteur WiFi. En appuyant dessus, l'interface de gestion s'ouvre dans une autre page via le navigateur du smartphone. Cette page permet d'accéder à la configuration avancée du répéteur, car finalement dans l'application c'est assez limité. Premier constat : il y a une mise à jour du firmware à effectuer, ce qui n'était pas mis en avant dans l'application (il est nécessaire de naviguer un moment dans les menus pour trouver).

L'interface Web de gestion de l'appareil est accessible sans authentification, car il n'y a pas de mot de passe par défaut (il est possible d'en définir un). Ce n'est pas la première fois que je fais ce reproche sur du matériel devolo. N'importe quel appareil connecté à votre réseau local peut se connecter sur le répéteur et l'administrer.

Passage du mode répéteur au mode point d'accès

Bien que le boîtier s'installe en mode répéteur par défaut, il est possible de changer le mode pour qu'il fonctionne en mode point d'accès. Ainsi, il gère lui-même le réseau et peut remplacer le WiFi de votre Box (qu'il faudra désactiver). En mode point d'accès, le boitier prend en charge aussi les deux bandes de fréquences, sur un même réseau ou sur deux réseaux séparés (un en 2,4 GHz, l'autre en 5 GHz).

Sur son site, devolo met en évidence le fait qu'il y ait la possibilité d'activer un réseau WiFi invité, mais je ne suis pas parvenu à l'activer. Via l'application, la fonction est bloquée, car le firmware ne serait pas suffisamment à jour, sauf que le répéteur est en version 5.10.3 et que la version 5.5 est requise. Lorsque l'on passe par l'interface Web, l'option n'est pas grisée, mais on ne peut pas l'activer. En fait, pour l'activer il est obligatoire d'utiliser le répéteur en mode point d'accès (et non en mode répéteur) sauf que ce n'est pas expliqué de cette façon. Pour le contrôle parental, c'est pareil, sauf que l'option apparaît seulement en mode point d'accès donc cela porte moins à confusion.

L'ergonomie de la nouvelle application est bonne, mais par contre elle est trop incomplète pour le moment, car pour configurer réellement le répéteur, il faut impérativement passer par l'interface Web. Par ailleurs, il y a quelques bugs d'affichage. On peut considérer que le fait que ce soit épuré dans l'application est avantageux pour les utilisateurs qui ne sont pas très à l'aise, mais pour les utilisateurs avancés, il y a un côté frustrant.

IV. Performances

Vous n'avez peut-être pas fait le rapprochement, mais le devolo WiFi 6 Repeater 3000 peut atteindre un débit maximal de 3 000 Mbit/s. Bien sûr, c'est une valeur nominale qui ne tient pas compte des pertes de paquets et des divers éléments qui vont perturber le signal WiFi.

J'ai pu profiter de l'utilisation en tant que répéteur WiFi pour effectuer du transfert de fichiers entre mon ordinateur et mon NAS, via le protocole SMB. Ci-dessous, un graphique avec les mesures réalisées.

Si j'effectue ce même test sans utiliser le répéteur WiFi, il y a une différence énorme. Je m'explique. Sans répéteur WiFi, dans les mêmes conditions, j'obtiens un débit compris entre 3,21 Mo/s et 20,4 Mo/s en fonction de la taille des fichiers, et parfois le transfert échoue à cause de la connexion qui est de mauvaise qualité (à cause de l'éloignement). Lorsque le répéteur est en place, la connexion est stable et les performances boostées.

Finalement, je dirais qu'en mode répéteur WiFi les performances sont correctes et il y a un réel intérêt à mettre en place cet appareil devolo. S'il y a un nombre d'appareils importants à connecter via le répéteur WiFi, il sera préférable de s'orienter vers le modèle Repeater 5400.

V. Conclusion

Le répéteur devolo Repeater 3000 est un produit avec une très belle finition, qui se met en place de manière simple (de beaux progrès à ce niveau-là) et qui est assez performant en mode répéteur WiFi. La nouvelle application propose une meilleure ergonomie, mais elle peut être frustrante pour les utilisateurs avancés, car elles offrent très peu de possibilités pour la configuration. De ce fait, il faudra se tourner vers l'interface d'administration en mode web.

Au-delà de sa fonction de répéteur WiFi autonome, sachez que ce modèle est compatible avec les installations WiFi Mesh et qu'il peut aussi fonctionner comme point d'accès (ce qui implique qu'il remplace le WiFi de votre Box).

Enfin, son prix est fixé à 99,99 euros : beaucoup plus élevé que certains modèles concurrents, et un peu cher à mon avis, mais ce n'est pas étonnant compte tenu du positionnement de devolo sur le marché.

L'article Test devolo WiFi 6 Repeater 3000 est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans cet article, je vous donne mon avis sur le répéteur devolo WiFi 6 Repeater 5400, dans la continuité de mon test du répéteur devolo WiFi 6 Repeater 3000. Pour rappel, il s'agit des deux nouveaux répéteurs WiFi 6 imaginés par la marque allemande devolo.

Commençons par quelques caractéristiques clés de ce répéteur WiFi :

• Norme WiFi 6 - Standards IEEE 802.11 a/b/g/n/ac/ax/k/v/r
• Débit jusqu'à 4800 Mbits/s (4800 Mbits/s sur le 5 GHz et 574 Mbits/s sur le 2,4 GHz)
• Gestion des flux MU-MIMO 2x2 + 4x4
• Compatible avec les normes de sécurité WPA2 et WPA3
• Intègre 2 port RJ45 (1 Gbit/s)
• Compatible WiFi Mesh
• Configuration avec l'application mobile (réseau WiFi principal, réseau invité, contrôle parental, etc.)
• Garantie : 3 ans
• Prix : 149,90 euros
• Fiche produit - Site officiel

Le Repeater 5400 est un modèle plus haut de gamme vis-à-vis du Repeater 3000, car il intègre 2 ports Ethernet au lieu d'un seul, et surtout il est mieux équipé en termes d'antennes WiFi, ce qui lui permet d'avoir une bande passante plus importante (idéal pour des flux 4K, par exemple). L'écart de prix est de 50 euros entre les deux modèles.

II. Découverte du répéteur devolo WiFi 6 Repeater 5400

Dans le même esprit que pour le Repeater 3000, devolo met une nouvelle fois en avant sa volonté de mettre fin à vos problèmes de WiFi à la maison ! Il est vrai qu'un répéteur WiFi est idéal pour les personnes qui ont des problèmes de couverture WiFi au sein de leur logement puisqu'il va permettre d'améliorer la portée globale du réseau WiFi en diffusant le même réseau sans-fil que la Box Internet.

À l'intérieur de la boîte, nous avons le répéteur devolo, l'alimentation externe ainsi qu'un guide rapide. Avec ce modèle, devolo nous fait la promesse d'une mise en route simple et rapide. Nous le vérifierons par la suite. Il est à noter qu'il n'y a pas de câbles Ethernet RJ45 dans la boîte : un achat à prévoir en supplémentaire, si vous souhaitez exploiter la connectique réseau du répéteur.

Le déballage étant fait, regardons de plus près le répéteur dont les dimensions sont les suivantes : 115 x 37 x 140 mm. Personnellement, j'aime beaucoup le format et le design de ce répéteur WiFi, qui a des allures de petit routeur. Le port d'alimentation est accompagné par deux ports RJ45 en 1 Gbit/s ainsi qu'un bouton "Reset" et un bouton "Add". Le bouton "Add" sert à la mise en route pour associer le répéteur devolo avec son routeur WiFi déjà en place, mais aussi pour activer le WPS sur le répéteur afin de connecter un nouvel appareil au réseau.

Sur la face avant, il y a des LEDs qui s'allument pour servir d'indicateur de puissance du signal WiFi. C'est un point commun entre le Reapeter 3000 et le Reapeter 5400.

Ce répéteur se positionne aussi bien à plat qu'à la verticale. Si vous choisissez la seconde option, sachez qu'il y a un pied rétractable qu'il faut mettre en place afin que le répéteur se maintienne en position verticale.

III. Mise en place du répéteur : installation et configuration

La mise en route de ce répéteur est super simple ! Comme pour le Repeater 3000, devolo tiens sa promesse avec le Repeater 5400, à savoir : "Il suffit de le brancher, d’appuyer sur le bouton et le tour est joué". Dans la pratique, voici la marche à suivre pour mettre en place le répéteur pour qu'il diffuse le même réseau que votre routeur (Box).

1 - Connecteur le répéteur sur une prise électrique

2 - Attendre 3 minutes

3 - Appuyer 5 secondes sur le bouton du répéteur (pour le basculer en mode association)

4 - Appuyer sur le bouton WPS de votre routeur/box (dans un délai de 2 minutes)

5 - Voilà, c'est prêt !

En suivant ces quelques étapes, le répéteur est en place ! C'est agréable de pouvoir le mettre en place aussi facilement ! Les LEDs sur la façade indiquent la qualité du signal WiFi. Ici, le répéteur WiFi est placé à environ 7 mètres de la Box, dans une autre pièce avec plusieurs murs à traverser.

Depuis plusieurs semaines ou plusieurs mois, devolo travaille sur une nouvelle application. À ce jour, et comme je le disais dans mon test du Repeater 3000, l'application est épurée et surtout adaptée pour les utilisateurs novices. Pour les utilisateurs avancés qui veulent accéder à toutes les options de configuration, il faut recourir à l'interface de gestion Web pour configurer réellement l'appareil. Au passage, cette interface Web n'est pas protégée par un mot de passe, ce qui me gêne personnellement (on peut ajouter un mot de passe, mais il faut y penser !).

L'application affiche l'ensemble des appareils devolo connectés à notre réseau local, en affichant le détail de la configuration de chaque appareil. Il est également possible de vérifier les mises à jour du firmware, de voir les clients connectés et d'effectuer un test de débit (on est redirigé vers le site de SpeedTest).

Je vous recommande de lire mon autre test pour avoir plus d'informations sur l'application

L'interface Web est beaucoup plus complète et aboutie. Je le répète, mais c'est grâce à elle que l'on peut réellement configurer son répéteur WiFi !

La section "Réseau invité" est accessible uniquement lorsque le répéteur est utilisé en point d'accès (contrairement au bug dans l'application qui laisse penser qu'il s'agit d'un firmware non à jour). A noter la prise en charge du WPA3 pour la clé de sécurité, que ce soit pour le réseau invité ou le réseau principal.

Il en va de même pour la fonctionnalité "Contrôle parental" qui est uniquement accessible en mode point d'accès. C'est logique, mais c'est à préciser. Les restrictions de connexion basée sur le temps s'effectuent en ajoutant les adresses MAC des appareils.

Passage du mode répéteur au mode point d'accès

Le mode répéteur WiFi correspond au mode principal et par défaut de ce boîtier. Toutefois, on peut décider d'utiliser cet appareil comme point d'accès principal pour diffuser et gérer un réseau WiFi à part entière. Ce modèle s'y prête particulièrement, car il est bien dimensionné avec ses deux ports RJ45, le WiFi 6 et sa panoplie d'antennes.

Lorsque l'on diffuse son propre réseau WiFi, on peut définir le nom du SSID, ainsi que la clé de sécurité (WPA2, WPA3 ou mix), ainsi que les bandes de fréquences que l'on souhaite utiliser. Un seul réseau peut gérer le deux bandes de fréquences 2,4 GHz et 5 GHz. Sinon, on peut utiliser deux réseaux distincts ou activer uniquement une bande. C'est flexible.

IV. Performances

Il est temps d'évoquer les performances. En mode répéteur, ce modèle dépote bien ! Et surtout, ce que j'ai constaté c'est qu'il tenait bien la charge même si l'on commence à le solliciter avec plusieurs appareils. C'est précisément sur ce type de cas que l'on voit la différence avec le Repeater 3000.

Vous n'avez peut-être pas fait le rapprochement, mais le devolo WiFi 6 Repeater 5400 peut atteindre un débit maximal de 5400 Mbit/s.

Ci-dessous, les résultats de mes tests de performances en mode "point d'accès", sur du transfert de fichiers entre mon PC et mon NAS, via le protocole SMB. De très bonnes performances en somme !

Mêmes conditions et même constat que pour le test du Repeater 3000 : si j'effectue ce même test sans utiliser le répéteur WiFi, il y a une différence énorme, à savoir que j'obtiens un débit compris entre 3,21 Mo/s et 20,4 Mo/s en fonction de la taille des fichiers. Parfois, le transfert échoue à cause de la connexion qui est de mauvaise qualité (dû à l'éloignement). Lorsque le répéteur est en place, la connexion est stable et les performances boostées.

Les performances avec ce modèle sont nettement meilleures vis-à-vis du modèle Repeater 3000. Cela n'est pas une surprise, mais c'est bien de pouvoir le constater dans la pratique. Le Repeater 5400 est vraiment très performant, en plus d'étendre la portée du réseau WiFi !

Sur une connexion unique, avec un seul équipement qui charge la connexion du répéteur WiFi, le Repeater 5400 fait un peu mieux que le Repeater 3000. Je me répète, mais la différence se fait surtout quand il y a de nombreux appareils connectés : ce modèle est mieux dimensionné.

V. Conclusion

Avec un design qui me plaît particulièrement, le répéteur devolo Repeater 5400 a l'avantage d'intégrer deux ports Ethernet 1 Gbit/s ! Dommage qu'il n'ait pas un port USB pour effectuer le partage d'un périphérique, comme on peut le voir sur certains routeurs (ce qui aurait du sens en mode point d'accès, mais ce n'est pas sa fonction première). Ce produit a de très belles finitions et trouvera facilement une place sur votre bureau ou ailleurs.

À l'instar du Repeater 3000, le modèle Repeater 5400 est également très simple à mettre en place et c'est appréciable. La nouvelle application propose une meilleure ergonomie, mais elle peut être frustrante pour les utilisateurs avancés, car elles offrent très peu de possibilités pour la configuration. L'interface de gestion en mode Web permet de rattraper le coup.

Bien que ce soit un excellent répéteur WiFi, sachez que ce modèle est compatible avec les installations WiFi Mesh. Il peut aussi fonctionner en mode point d'accès et la bonne nouvelle, c'est qu'il est bien dimensionné pour assurer cette fonction !

Son prix est fixé à 149,99 euros : 50 euros de plus vis-à-vis du Repeater 3000, mais si votre budget vous le permet, je vous encourage vivement à acquérir ce modèle, car il est nettement plus performant. Cela est d'autant plus vrai si vous avez beaucoup d'appareils à connecter.

L'article Test devolo WiFi 6 Repeater 5400 est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce nouvel épisode au sujet de Microsoft Exchange Server 2019, nous allons apprendre à configurer les enregistrements DNS nécessaires au bon fonctionnement de notre serveur de messagerie Exchange. Ces enregistrements, de différents types, sont indispensables. Au-delà d'en faire la configuration, il est important de connaître l'utilité de ces enregistrements DNS.

• Installation pas-à-pas de Microsoft Exchange 2019 sur Windows Server 2022
• Exchange 2019 : comment ajouter un nouveau domaine ?
• Désactiver les accès externes au Centre d’administration Exchange

II. Exchange : les enregistrements DNS indispensables

Pour qu'un serveur de messagerie puisse fonctionner, que ce soit un serveur Exchange ou basé sur une autre solution, il y a des prérequis à respecter au niveau des enregistrements DNS. Les types d'enregistrements DNS "MX", "A", "CNAME" ou encore "SPF" sont généralement associés.

Les enregistrements DNS vont permettre aux clients et aux autres serveurs de messagerie de localiser notre serveur Exchange et de vérifier qu'il est bien légitime pour envoyer des e-mails avec ce domaine. Par ailleurs, ces enregistrements DNS vont permettre de configurer la fonctionnalité "Autodiscover", c'est-à-dire la découverte automatique, dont l'objectif est de faciliter la configuration des clients de messagerie (par exemple, l'ajout d'une boîte aux lettres dans Outlook). Ce point sera détaillé dans un prochain article.

Type d'enregistrement	Nom DNS	Valeur	Priorité
A	mail.domaine.fr	Votre IP publique	-
CNAME	autodiscover.domaine.fr	mail.domaine.fr	-
MX	@	mail.domaine.fr	10

A. Enregistrements DNS "MX"

Tout d'abord, nous avons l'enregistrement DNS de type "MX" correspondant à "Mail Exchange" (qui n'a rien à voir avec le nom de produit Microsoft Exchange) dont l'objectif est de permettre de localiser le(s) serveur(s) de messagerie associés à un nom de domaine. Au même titre qu'un enregistrement DNS peut permettre de trouver le serveur Web qui héberge le site Internet d'une entreprise, l'enregistrement MX est spécifique aux serveurs de messagerie.

Une fois le serveur de messagerie identifié grâce à l'enregistrement MX, l'e-mail pourra être envoyé. Cela signifie que l'enregistrement MX va permettre le routage des messages. Parfois, au lieu de router les flux directement vers un serveur de messagerie, on indique à la place un service anti-spam, ce qui permet de filtrer les e-mails avant qu'ils n'arrivent jusqu'au serveur Exchange.

Dans cet enregistrement DNS "MX" on va préciser le nom de domaine, le nom FQDN du serveur de messagerie (un autre enregistrement permettra de faire le lien entre ce nom complet FQDN et l'adresse IP du serveur), ainsi qu'une priorité et une durée de vie (TTL). La priorité est utile dans les projets importants où il y a plusieurs serveurs en parallèle, afin d'assurer une redondance. Dans notre cas, il n'y a qu'un seul serveur Exchange donc la priorité n'a pas un réel intérêt, mais c'est à connaître. Le serveur avec la priorité la plus faible sera consulté en premier.

Note : l'enregistrement MX doit impérativement pointer vers un domaine, au même titre qu'un enregistrement CNAME. L'enregistrement MX doit pointer vers un domaine associé à un enregistrement A (IPv4) ou AAAA (IPv6) mais par vers un CNAME.

B. Enregistrements DNS "A" et "CNAME"

Un enregistrement DNS de type A permettra d'indiquer l'adresse IPv4 du serveur de messagerie Exchange, en associant un sous-domaine tel que "mail.domaine.fr". Ici, on reprend le même nom de domaine que celui utilisé dans l'enregistrement MX (comme vous pouvez le voir dans le tableau ci-dessus).

Quant à l'enregistrement CNAME, on l'utilisera pour créer des alias, notamment sur la partie Autodiscover ou l'accès au Webmail (OWA).

C. Enregistrements DNS "SPF"

L'enregistrement DNS de type "SPF" pour Sender Policy Framework joue un rôle important pour sécuriser un minimum le nom de domaine public. Grâce à lui, on peut déclarer quelles sont les adresses IP (IPv4 ou IPv6) ou les noms de domaine autorisés à envoyer des e-mails pour ce nom de domaine.

Autrement dit, nous devons autoriser le serveur Exchange à envoyer des e-mails pour ce domaine et lorsqu'un serveur de messagerie recevra un e-mail avec ce domaine de messagerie, il pourra le vérifier par lui-même grâce à la lecture de l'enregistrement SPF. Ce qui donne :

v=spf1 mx include:mail.domaine.fr ~all

Dans le cas où l'on a besoin d'autoriser un autre serveur externe à envoyer des e-mails pour ce nom de domaine, nous pourrons aussi l'ajouter à cet enregistrement SPF. Il y a notamment les paramètres "ip4" et ip6" qui permettent de déclarer des adresses IPv4 et IPv6 pour spécifier un hôte.

D. Enregistrements DMARC (+ DKIM)

Pour finir, nous allons évoquer les enregistrements DMARC (et la norme DKIM qui est associée) : bien qu'ils ne soient pas indispensables pour que le serveur Exchange fonctionne et que l'on puisse envoyer/recevoir des e-mails, ils ne doivent pas être ignorés. Ils jouent un rôle important pour améliorer la sécurité et la délivrabilité des e-mails, ce qui évite de finir en spam dans certains cas.

DKIM pour Domain Keys Identified Mail est une norme d'authentification qui permet d'ajouter une signature chiffrée dans l'en-tête des e-mails que vous envoyez. Les e-mails restent accessibles en clair, mais l'intérêt c'est de lutter contre l'usurpation d'identité et l'altération des messages, car on est capable de vérifier que le serveur émetteur est bien qui il prétend être.

DMARC pour Domain-based Message Authentication, Reporting, and Conformance permet d'indiquer une politique à appliquer dans le cas où une usurpation d'identité est détectée. En effet, avec DKIM (et SPF) on authentifie et vérifie l'émetteur, mais que faire dans le cas où il y a un problème ? C'est là que DMARC entre en jeu et cette politique se définit au sein du DNS.

Pour la mise en œuvre de DKIM et DMARC, ce sera abordé dans un prochain épisode. Pour en savoir, vous pouvez lire cet article qui s'applique à Office 365 mais où les concepts de DKIM et DMARC sont détaillés.

• Office 365 - Mise en place de DKIM et DMARC

III. Les enregistrements internes et externes

Un serveur de messagerie Exchange, au même titre qu'un Active Directory, s'appuie sur le DNS pour son fonctionnement. Ce serveur Exchange hébergé sur votre infrastructure (dans une DMZ) est accessible à la fois depuis l'extérieur et depuis l'intérieur de votre réseau local.

Les enregistrements DNS évoqués précédemment seront configurés sur la zone DNS publique, auprès du fournisseur que vous avez choisi au moment d'acheter votre nom de domaine. Par exemple, si l'on achète le nom de domaine "domaine.fr" chez OVHcloud, il faudra se connecter sur l'interface de gestion d'OVHcloud pour configurer la zone DNS. Ainsi, lorsqu'un hôte cherchera à localiser le serveur de messagerie pour ce domaine, il obtiendra l'adresse IP publique votre serveur Exchange.

Quand il est connecté à l'extérieur du réseau, c'est bien qu'il utilise l'adresse IP publique. Par exemple, un utilisateur connecté avec son PC au réseau d'un hôtel, ou encore un serveur de messagerie qui a besoin de contacter votre serveur pour vous transmettre un e-mail. Par contre, quand l'hôte est en interne (par exemple, l'ordinateur fixe connecté au réseau local), il doit utiliser les adresses IP locales (ici 10.10.100.211/24) pour atteindre le serveur Exchange. Sauf que ce n'est pas déclaré dans la zone DNS publique. De ce fait, il faut configurer le serveur DNS qui héberge déjà la zone DNS de l'Active Directory pour qu'il effectue la résolution avec l'adresse IP interne lorsque le client est en interne. Cela passe par la création d'une zone supplémentaire.

En résumé, les connexions en provenance de l'extérieur doivent arriver sur l'adresse IP publique et les connexions internes doivent arriver sur l'adresse IP locale, même si l'on utilise les mêmes noms de domaine. Grâce au DNS, on peut arriver à ce résultat.

IV. Configurer les zones DNS

Le domaine "florianburnel.fr" est pris à titre d'exemple.

A. La zone DNS publique pour Exchange

La zone DNS publique doit être configurée auprès du fournisseur (registrar) où le domaine a été acquis. Pour la partie Exchange, je retrouve 4 enregistrements : MX, A, CNAME et SPF correspondants à ce que j'évoquais précédemment.

En mode texte :

$TTL 3600
@ IN SOA dns104.ovh.net. tech.ovh.net. (2022111004 86400 3600 3600000 300)
  IN NS ns104.ovh.net.
  IN NS dns104.ovh.net.
  IN MX 10 mail.florianburnel.fr.
  600 IN TXT "v=spf1 include:mail.florianburnel.fr ~all"
  autodiscover IN CNAME mail.florianburnel.fr.
  mail IN A 4.233.92.148

À partir d'une machine cliente, il est possible de vérifier la résolution de noms. On peut utiliser Resolve-DnsName en PowerShell, ou l'outil nslookup, voire même l'outil en ligne MXToolbox. On peut remarquer que c'est opérationnel et que l'adresse IP publique est associée à "mail.florianburnel.fr".

La résolution de noms fonctionne aussi pour l'enregistrement associé à l'Autodiscover.

Passons à la zone DNS privée.

B. La zone DNS interne pour Exchange

D'un point de vue du DNS interne, nous allons appliquer le principe du PinPoint DNS, c'est-à-dire que l'on va créer une zone "mail.domaine.fr" et une zone "autodiscover.domaine.fr" qui vont contenir un enregistrement de type A qui pointe vers l'adresse IP locale du serveur Exchange Server 2019. C'est préférable d'utiliser cette méthode plutôt que de créer la zone "domaine.fr" sinon cela oblige à maintenir la zone deux fois : en local et sur l'interface du fournisseur DNS.

Ouvrez la console DNS et créez une nouvelle zone. Un assistant s'exécute.

Nous allons créer une zone primaire "Primary zone" et elle sera stockée dans l'Active Directory ("Store the zone in Active Directory").

A l'étape suivante, on décide de répliquer cette zone auprès de tous les contrôleurs de domaine du domaine "it-connect.lan" pour unifier la résolution de noms pour cette zone.

En ce qui concerne le nom de la zone, nous allons indiquer "mail.florianburnel.fr" pour définir un enregistrement local personnalisé uniquement pour ce sous-domaine.

On poursuit en choisissant de refuser les mises à jour dynamiques ("Do not allow dynamic updates"). Puis, on finalise l'ajout de la zone.

Dans cette nouvelle zone, on ajoute un nouvel hôte via un enregistrement de type "A".

Nous n'indiquons pas de nom, car on souhaite jouer sur la résolution "mail.florianburnel.fr", et non d'un autre hôte. Pour l'adresse IP, il faut indiquer l'adresse IP privée du serveur Exchange, à savoir "10.10.100.211" dans mon cas. Ainsi, la résolution s'effectuera sur l'adresse IP interne pour cette adresse.

Répétez l'opération pour la zone Autodiscover, à savoir "autodiscover.florianburnel.fr" dans mon cas et créez le même enregistrement A. Au final, vous obtenez 2 nouvelles zones.

À partir du serveur ou d'un hôte qui utilise ce serveur comme DNS, on peut tester la résolution de noms. Cette fois-ci, c'est bien l'adresse IP "10.10.100.211" qui est renvoyée à la place de l'adresse IP publique. Cela fonctionne !

Une autre méthode basée sur le principe du "Split-Brain DNS" consiste à créer des politiques au niveau du serveur DNS. Ce n'est pas très user-friendly comme méthode si vous n'êtes pas à l'aise avec PowerShell. Vous pouvez lire ces deux articles pour approfondir le sujet :

• Tutoriel - Split-Brain DNS sur Windows Server
• Microsoft Docs - Split-Brain DNS

V. Conclusion

Nous venons de voir les grands principes des enregistrements DNS avec les serveurs de messagerie, en prenant l'exemple d'Exchange Server. Puis, nous avons également vu comment effectuer la configuration des zones DNS externes et internes.

L'article Microsoft Exchange Server 2019 – Comprendre et configurer les enregistrements DNS est disponible sur IT-Connect : IT-Connect.

Lenovo a mis en ligne une nouvelle version de BIOS pour certains modèles d'ordinateurs portables dans le but de corriger trois failles de sécurité découvertes par un chercheur en sécurité d'ESET.

En avril, Martin Smolár, un chercheur en sécurité de chez ESET, a fait la découverte de trois failles de sécurité présentes dans le BIOS de certaines machines ESET. Ces vulnérabilités sont associées aux références suivantes : CVE-2022-3430, CVE-2022-3431, et CVE-2022-3432. D'ailleurs, en avril dernier, il avait découvert un autre ensemble de vulnérabilités, toujours dans les appareils Lenovo et toujours au niveau du firmware. Ces trois premières vulnérabilités ont été corrigées dans la foulée, tandis que pour celles évoquées dans cet article, cela vient d'être fait par Lenovo.

Au sein du bulletin de sécurité de Lenovo, on peut en apprendre plus sur ces trois failles de sécurité, et notamment sur les appareils impactés.

- CVE-2022-3430 : cette vulnérabilité située dans le pilote WMI Setup, peut permettre, à un attaquant disposant de privilèges élevés, de modifier la configuration du démarrage sécurisé en modifiant une variable NVRAM.

- CVE-2022-3431 : cette vulnérabilité située dans un pilote utilisé pendant la fabrication du matériel peut permettre, à un attaquant disposant de privilèges élevés, de modifier la configuration du démarrage sécurisé en modifiant une variable NVRAM.

- CVE-2022-3432 : cette vulnérabilité affecte uniquement le modèle Ideapad Y700-14ISK et comme il n'est plus sous support, Lenovo ne fournira pas de correctif !

Ces vulnérabilités impliquent d'avoir des privilèges élevés sur la machine, donc l'intérêt, c'est probablement de pouvoir s'en prendre au BIOS de la machine de manière à positionner un logiciel malveillant persistant, notamment en altérant la configuration du Secure Boot.

La liste des appareils concernés est relativement longue. Voici quelques modèles cités par Lenovo : IdeaPad 5 Pro, ThinkBook 13x, ThinkBook 14 G4, ThinkBook 15 G4, Yoga Slim 7, IdeaPad Creator 5, etc... N'hésitez pas à vérifier sur le site de Lenovo, tout en sachant qu'un appareil peut être affecté par une vulnérabilité, mais pas à une autre.

Des mises à jour de BIOS sont disponibles dès à présent sur le site de Lenovo : à vos mises à jour !

Source

L'article PC portables Lenovo : une nouvelle mise à jour du BIOS permet de corriger 3 vulnérabilités est disponible sur IT-Connect : IT-Connect.