Mise à jour de la base de données, veuillez patienter...

Lors de l'événement Black Hat Asia 2022, des chercheurs en sécurité chinois sont parvenus à contourner les protections de plusieurs fournisseurs de solutions WAF très populaires. Faisons le point.

Pour rappel, un WAF pour Web Application Firewall est un pare-feu applicatif web qui va surveiller les flux à destination d'une application web dans le but de bloquer les tentatives d'attaques. Par exemple, un WAF va bloquer les requêtes malveillantes comme les injections SQL (appelées SQLi) et les attaques XSS (cross-site-scripting) à destination d'un site web.

Les chercheurs en sécurité sont parvenus à contourner 7 solutions WAF du marché, en l'occurrence ici des WAF-as-a-service, et les noms que je vais vous donner vont probablement vous parler : AWS (Cloud Amazon), F5, CSC, Fortinet, Cloudflare, Wallarm et la solution open source ModSecurity destinée aux serveurs Apache.

Ils ont pris l'attaque SQLi comme cas représentatif et ils ont conçu AutoSpear dans le but de contourner et inspecter automatiquement les WAF existants dans la nature. L'outil de test AutoSpear, par l'intermédiaire d'un algorithme, est capable de générer de nombreuses charges dans le but de trouver une requête capable de contourner le mécanisme de protection WAF.

Les résultats publiés montrent que les WAF sont vulnérables à l'outil AutoSpear utilisé par les chercheurs en sécurité à l'origine de ces travaux, à savoir Zhenqing Qu, Xiang Ling et Chunming Wu. En effet, on constate que AutoSpear atteint un taux de réussite sur ses attaques de plus de 89% contre les WAF d'AWS. Comme le montre le tableau ci-dessous, le taux de réussite sur 100 requêtes (avec des requêtes soumises selon différentes méthodes) est plus ou moins important selon les fournisseurs de WAF :

La bonne nouvelle, c'est que les 7 fournisseurs de WAF sont sur le coup pour corriger cette vulnérabilité potentielle ! Vous pouvez retrouver des informations supplémentaires sur les travaux réalisés sur cette page : Black Hat Asia 2022.

The post Black Hat Asia 2022 : 7 solutions WAF contournées par des chercheurs en sécurité first appeared on IT-Connect.

Pendant cette vague de chaleur, même les centres de données ont souffert ! Au Royaume-Uni, Google Cloud et Oracle ont subi des pannes directement liées à la chaleur étouffante de ces derniers jours. Explications.

Ce mardi, certains services Cloud de Google et Oracle étaient indisponibles ou ralentis à cause de cette panne au sein de deux centres de données basés à Londres, au Royaume-Uni. En cause, la canicule où la chaleur a eu raison du système de refroidissement qui ne s'est pas montré suffisamment efficace. Comme en France, la température a dépassé les 40°C au Royaume-Uni ce mardi 19 juillet 2022.

Côté Google, c'est le datacenter associé à la zone europe-west2 qui a subi cette panne à 20h13 heure française. Pendant cet incident, voici les services Google Cloud impactés : Google Compute Engine (GCE), Persistent Disk et Autoscaling. En fait, cela pouvait empêcher certains clients de démarrer des machines virtuelles, ce qui n'est pas neutre. Google a résolu le problème dans la nuit du 19 au 20 juillet.

Côté Oracle, c'est également à cause de la chaleur puisque l'entreprise américaine associe cet incident aux températures non habituelles dans la région. Parmi les services Oracle Cloud impactés par cet incident, nous pouvons citer le stockage d'objets, le calcul et les volumes de blocs. D'après les détails de l'incident, cette panne s'est déclenchée en milieu d'après-midi, avant que le service revienne partiellement à la normale en fin de soirée : « Nous poursuivons les travaux de réparation pour réduire davantage les températures de fonctionnement et atténuer l'impact sur les services ».

Une preuve de plus que cette vague de chaleur qui malheureusement risque de se reproduire, était très intense.

Source

The post Google Cloud et Oracle : une panne au Royaume-Uni à cause de la canicule first appeared on IT-Connect.

Le fabricant Chuwi propose un Mini PC avec un rapport qualité/prix plutôt intéressant compte tenu de la configuration : 319 euros au lieu de 399 euros grâce à un coupon de 80 euros à appliquer sur Amazon.

Son format et ses caractéristiques sont idéals pour en faire un bon PC de bureau, mais également pour répondre à d'autres besoins : une box domotique sous Jeedom ou monter son premier serveur de virtualisation pour faire quelques tests, par exemple. La connectique et l'évolutivité ont l'air intéressantes.

Dans le même esprit que les NUC de chez Intel, le modèle LarkBox X de chez Chuwi est compatible Windows 11 (licence incluse) et il propose la configuration suivante :

• Processeur : AMD Ryzen 7 3750H avec 4 cœurs et une fréquence maximale de 4.0 GHz
• Puce graphique : Radeon RX Vega 10
• RAM : 8 Go DDR4, extensible jusqu'à 32 Go
• Stockage : 256 Go en SSD
• Connexion au réseau : Wi-Fi 6 et 2 ports RJ45
• Connectiques : DisplayPort, HDMI 2.0, USB 3.0 (x4), USB-C
• Système d'exploitation : Windows 11 Famille mais vous pouvez installer le système de votre choix

Petit et léger, ce Mini PC pèse seulement 400 grammes donc il peut être fixé derrière un écran qui dispose d'un support VESA. Sinon, sur votre bureau, il sera discret également compte tenu de sa taille : 12,8 cm x 12,8 cm sur 5 cm de haut.

Pour profiter de ce tarif, il faut se rendre sur Amazon et appliquer le coupon de 80 euros. Voici le lien pour accéder à l'offre : Bon plan - Mini PC

The post Bon plan : ce Mini-PC avec 8 Go de RAM, 256 Go de SSD et un Ryzen 7 passe à 319 euros first appeared on IT-Connect.

Aujourd'hui, je vais vous parler de CHATONS, mais pas ceux que vous croyez. Ici, il s'agit plutôt de vous parler d'un collectif que l'on m'a fait découvrir récemment au travers d'un commentaire sur IT-Connect. Grâce à CHATONS, vous allez pouvoir rechercher des services en ligne libres, éthiques et décentralisés.

Présentation de CHATONS, en quelques mots...

CHATONS est un collectif créé en 2016 par l'association Framasoft, dont l'acronyme signifie Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires. Ce collectif propose un annuaire en ligne qui référence des entreprises et associations, considérées comme des hébergeurs, qui proposent différents services et qui respectent certaines consignes.

Il est question de nombreux services divers et variés, parmi lesquels : messagerie électronique, réseau social, microblogging, prise de notes, diffusion de fichiers vidéo, partage de fichiers et de documents, etc. En ce qui concerne les consignes et règles à respecter, voici la liste des règles que l'on peut retrouver sur le site du collectif :

"La particularité de CHATONS est que les membres de ce collectif s'engagent notamment :

• à n'utiliser que des logiciels libres ;
• à ne pas exploiter les données des bénéficiaires de leurs services (= ne pas transmettre ou exploiter vos données) ;
• à ne pas utiliser de régies publicitaires (ou autres services de pistage) ;
• à proposer régulièrement des rencontres "physiques" avec leurs bénéficiaires, afin de réduire la fracture numérique."

Même si le chat est un animal plutôt solitaire, ici l'objectif est plutôt d'être solidaire en s'orientant vers des structures locales (la souveraineté numérique passe par-là) plutôt que de s'orienter vers les leaders du marché que l'on connaît tous : les GAFAM - Google, Apple, Facebook, Amazon et Microsoft. Je ne rentrerai pas dans le débat du "pour ou contre les GAFAM", et je ne vais rien vous apprendre si je vous dis que je suis utilisateur de ces solutions, ce qui ne m'empêche pas de m'intéresser aux initiatives locales et aux logiciels libres.

Comment fonctionne la recherche sur CHATONS ?

Pour rechercher un hébergeur, il est possible de s'appuyer sur plusieurs critères : le type de service, par alternative (par exemple, je cherche une alternative à Dropbox ou à YouTube), basée sur un logiciel spécifique ou par localisation pour trouver un service proche de chez vous. Pour affiner le résultat, on peut sélectionner le type de structure, selon si vous préférez vous orienter vers une entreprise ou une association, par exemple. Quoi qu'il en soit, vous êtes sûr de trouver une structure dont les services reposent sur des logiciels libres, donc vous n'entendrez pas parler des GAFAM.

Au-delà de vous proposer une liste de CHATONS correspondants à votre recherche, cet annuaire en ligne peut vous aider à identifier le nom d'une alternative à un service spécifique. Par exemple, si vous recherchez une alternative au service de partages de fichiers Dropbox, vous allez obtenir une liste d'hébergeurs pouvant répondre à ce besoin, mais vous pourrez voir aussi qu'il y a une solution populaire qui répond à ce besoin : Nextcloud.

Que pensez-vous de ce collectif ? Le connaissiez-vous ?

Pour en savoir plus et découvrir ce collectif, c'est par ici : chatons.org

The post Avec CHATONS, recherchez des services en ligne libres, éthiques et décentralisés first appeared on IT-Connect.

À l'occasion de l'événement Microsoft Inspire, la firme de Redmond vient d'annoncer Viva Engage, une brique supplémentaire pour Viva au sein de Microsoft Teams. Quel est l'objectif de Viva Engage ? Éléments de réponse dans cet article.

Microsoft Viva Engage semble être le futur de Yammer, le réseau social de Microsoft que les entreprises peuvent mettre en place en interne. Viva Engage est directement intégré à Microsoft Teams par l'intermédiaire de Microsoft 365 et quand on regarde l'interface, elle me fait directement penser à celle de... Facebook ! Et pourtant Yammer devrait garder sa place, que les utilisateurs se rassurent : Yammer ne va pas disparaître. Viva Engage ne fait qu'améliorer l'expérience, et l'application Communautés pour Teams est rebaptisée Viva Engage (voir cet article).

L'utilisateur pourra renseigner son profil avec différentes informations (probablement que certaines seront remontées automatiquement), publier des posts, mais aussi des stories : Microsoft voit loin, et ces différentes fonctionnalités font penser à Facebook. D'ailleurs, si l'on prend l'exemple d'un post, l'utilisateur pourra réagir comme on peut le faire sur Facebook, LinkedIn, etc... mais également ajouter un commentaire ou partager la publication. Microsoft estime que Viva Engage sert à encourager les échanges entre salariés au travers de conversations, d'événements, de communautés et de partage d'informations. Le matin en arrivant au bureau, attendez-vous à regarder les stories de vos collègues !

La vidéo de lancement de Microsoft Viva Engage est visible ici :

L'annonce officielle de Microsoft est disponible par ici : Announcing Microsoft Viva Engage.

The post Microsoft Teams va accueillir Viva Engage, une fonctionnalité qui ressemble à Facebook first appeared on IT-Connect.