Chaque année, l'événement annuel Microsoft Build est très attendu par les professionnels, et cette nouvelle édition se déroulera du 24 au 26 mai 2022. Il s'agira, une nouvelle fois, d'un événement entièrement en ligne.

L'événement Microsoft Build s'adresse aux développeurs, aux ingénieurs, aux étudiants, aux startups et aux professionnels de l'informatique de manière générale afin d'en apprendre plus sur les dernières nouveautés (ou les nouveautés à venir) concernant les produits Microsoft.

La firme de Redmond parlera d'Office, de Windows, de Teams, mais aussi de son Cloud Azure, etc... Par exemple, lors de la conférence Build 2021, Microsoft avait commencé à parler de Windows 11 lors de la keynote de lancement de l'événement !

À cause du contexte sanitaire actuel, et comme depuis quelques années maintenant, l'événement sera une nouvelle fois virtuel puisqu'il sera accessible en ligne. Microsoft va faire évoluer sa formule pour cette édition en proposant du contenu "spécifique au marché" pour la France, l'Allemagne, le Japon, l'Amérique latine et le Royaume-Uni. Généralement, les conférences sont diffusées plusieurs fois afin qu'un maximum de personnes puisse les suivre, en fonction de leur disponibilité, mais aussi pour limiter l'impact du décalage horaire.

Pour finir, voici le lien vers le site de l'événement Microsoft Build.

À noter dans vos agendas !

Source

The post Microsoft Build 2022 se déroulera du 24 au 26 mai prochain first appeared on IT-Connect.

Les développeurs russes travaillent activement sur le développement d'un nouveau magasin d'applications : NashStore. Ce sera une alternative au Google Play Store et il sera lancé officiellement le 9 mai 2022 !

Cette date n'est pas choisie par hasard, car elle correspond au "Jour de la victoire" : c'est le jour où, tous les ans, les Russes célèbrent leur victoire sur l'Allemagne nazie lors de la Seconde Guerre mondiale. Chez nous, c'est le 8 mai, chez eux c'est le 9 mai.

Cette alternative, nommée NashStore, a été développée en réponse à la décision de Google de suspendre tous les paiements sur le Play Store à destination de la Russie (achats d'applications, paiements in-app, etc.). Autrement dit, Google ne souhaite plus rémunérer les développeurs d'applications russes et l'entreprise américaine à demander à ce que ces applications deviennent gratuites.

Suite à cette décision, les développeurs et éditeurs russes qui gagnaient leur vie grâce aux revenus sur le Play Store se retrouvent pénalisés. Avec NashStore, ils veulent être indépendants et reprendre leurs activités. D'ailleurs, si l'on traduit "NashStore" en français, cela donnerait "NotreStore".

Ce store sera bien sûr accessible à tous les Russes et il sera compatible avec les banques russes, notamment le système de paiement Mir qui est spécifique à la Russie.

Source

The post NashStore : la Russie va lancer son alternative au Play Store first appeared on IT-Connect.

C'est un petit événement dans la vie du navigateur de Google : l'entreprise de Mountain View a mis en ligne Chrome 100 ! Quelles sont les nouveautés ajoutées par les développeurs de Google pour marquer le coup ? Faisons le point.

Ce mardi 29 mars 2022, Google a lancé Chrome 100 dans le canal stable afin qu'il soit disponible pour les utilisateurs du monde entier. Pendant ce temps, Chrome 101 est déjà la nouvelle version Beta et Chrome 102 la nouvelle version Canary.

Alors que l'on avait déjà eu un aperçu du nouveau logo de Chrome par l'intermédiaire des versions en cours de développement, il est désormais officiellement intégré à une première version stable à l'occasion de la sortie de Chrome 100. Comme vous allez le voir ci-dessous, la différence est... légère !

Comme on pouvait s'y attendre, le User-Agent de Chrome passe sur trois chiffres au lieu de deux chiffres, puisque l'on est passé à 100. Il y a quelques mois, les développeurs s'interrogeaient sur les risques de passer de 2 à 3 chiffres, mais finalement, cela ne semble pas poser problème plus que cela. Dans le cas où un site contrôle l'accès en fonction du user-agent et que des problèmes sont rencontrés avec Chrome 100, il faut reporter l'incident à Google.

À part cela, voici une liste des quelques nouveautés et changements de Chrome 100 :

• Nouvelle API "Digital Goods API" pour permettre l'achat sur le Google Play Store à partir d'application Web
• Nouvelles fonctionnalités intégrées à Chrome DevTools (outils de développement)
• Nouvelle API "Multi-Screen Window Placement API" pour permettre aux applications Web d'exploiter plusieurs écrans. Google précise : "Cette fonctionnalité permet de débloquer des espaces de travail multi-écrans modernes pour les applications web."
• Nouvelle façon d'analyser les chaînes constituant les cookies en autorisant une chaîne vide pour l'attribut "domain". Cette modification permet à Chrome d'être conforme à la spécification RFC6265bis et d'améliorer son interopérabilité avec Safari et Firefox, qui traitent déjà correctement les chaînes vides.

Sachez que Chrome 100 intègre 28 correctifs de sécurité, dont 9 correspondants à des failles de sécurité importantes.

Bientôt, ce sera au tour de Firefox de passer en version 100 donc je referai un point sur les nouveautés à ce moment-là. J'ai envie de dire : à vos mises à jour !

Source

The post Chrome 100 est disponible ! Quelles sont les nouveautés ? first appeared on IT-Connect.

L'entreprise Sophos affirme qu'elle vient de corriger une faille de sécurité critique au sein de ses pare-feux et que cette vulnérabilité est activement exploitée dans le cadre d'attaques informatiques !

Pour rappel, Sophos est une entreprise spécialisée dans les solutions de sécurité, notamment des boîtiers UTM (pare-feu "avancé") et des solutions de protection pour postes clients et serveurs.

La vulnérabilité est associée à la référence CVE-2022-1040 et elle hérite d'un score CVSS de 9,8 sur 10 ! Elle affecte tous les firewalls Sophos qui utilisent le système en version 18.5MR3 (18.5.3) ou une version plus ancienne !

Sophos : comment se protéger de la CVE-2022-1040 ?

La bonne nouvelle, c'est que des correctifs sont disponibles, y compris pour certains modèles qui ne sont plus maintenus (end-of-life). C'est un effort appréciable réalisé par Sophos. Si vous avez activé l'option d'installation automatique des correctifs, votre pare-feu est probablement déjà protégé !

Voici la liste des correctifs mise en ligne sur le site de Sophos (bulletin de sécurité Sophos) :

• Correctifs pour les versions sous support :  v17.0 MR10 EAL4+, v17.5 MR16 et MR17, v18.0 MR5(-1) et MR6, v18.5 MR1 et MR2, et v19.0 EAP - disponible depuis le 23 mars 2022
• Correctifs pour les versions en fin de vie : v17.5 MR12 à MR15, et v18.0 MR3 et MR4 - disponible depuis le 23 mars 2022
• Correctifs pour les versions en fin de vie : v18.5 - disponible depuis le 24 mars 2022
• Correctif pour la version v18.5 MR3 - disponible depuis le 24 mars 2022
• Correctifs intégrés aux versions v19.0 GA et v18.5 MR4 (18.5.4)

Si vous utilisez un pare-feu qui ne bénéficiera pas de cette mise à jour, c'est une mauvaise nouvelle. Vous devez mettre à niveau votre appareil autant que possible pour bénéficier de ce correctif.

Pour vérifier si le correctif est installé ou non, vous pouvez suivre cette procédure.

C'est quoi cette faille CVE-2022-1040 ?

La vulnérabilité CVE-2022-1040 est dangereuse, car elle permet d'outrepasser l'authentification sur le portail utilisateur (User Portal) et l'interface d'administration ! Si une attaque réussit, le hacker peut exécuter du code arbitraire à distance sur votre Sophos. C'est un chercheur en sécurité externe qui a remonté l'information à Sophos par l'intermédiaire du programme de Bug Bounty.

Sur le site de Sophos, c'est précisé : "Sophos a observé que cette vulnérabilité était utilisée pour cibler un petit nombre d'organisations spécifiques, principalement dans la région de l'Asie du Sud.". Néanmoins, il ne faut pas exclure que d'autres entreprises soient ciblées, notamment en Europe où le matériel Sophos est fréquent dans les entreprises.

Source

The post Pare-feu Sophos : cette faille critique est activement exploitée ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons voir comment activer le protocole HTTP/2 sur un reverse proxy HAProxy installé sur un serveur PfSense. Même si l'on peut encore utiliser HTTP/1.1 pour son site Web, il est fortement recommandé d'activer la prise en charge de HTTP/2 (disponible depuis plusieurs années) pour bénéficier des nouveautés de cette version, notamment :

• Compression des en-têtes HTTP pour accélérer la vitesse de chargement des pages
• Multiplexage pour effectuer plusieurs échanges en simultanées sur une même connexion TCP
• Priorisation des requêtes
• Server Push : pour une seule requête d'un client, le serveur peut envoyer plusieurs réponses
• Etc.

Il faut savoir que les navigateurs tels que Firefox, Chrome, Safari, etc... prennent en charge le HTTP/2 uniquement avec un certificat SSL. Cela n'est pas étonnant dans le sens où le HTTPS s'est démocratisé depuis plusieurs années maintenant.

Cet article vient en complément de deux autres articles mis en ligne récemment :

• PfSense : reverse proxy HTTPS avec HAProxy et ACME (Let’s Encrypt)
• Pfsense : redirection HTTP vers HTTPS avec HAProxy

Si vous avez mis en place un reverse proxy HTTPS en suivant mon tutoriel, alors vous avez tout intérêt à compléter votre configuration via l'activation du HTTP/2 comme nous allons le voir aujourd'hui. Dans tous les cas, je ne reviendrai pas sur la mise en place du reverse proxy en lui-même.

II. Activer le HTTP/2 dans HAProxy

Connectez-vous à l'interface Pfsense, puis sous "Services", cliquez sur "HAProxy". Vous allez arriver sur l'onglet "Frontend" dans HAProxy : cela tombe bien, car c'est justement la configuration du frontend qu'il va falloir ajuster.

Remarque : cette configuration s'applique uniquement sur les frontends HAProxy qui fonctionne en HTTPS avec gestion du certificat sur le reverse proxy.

Éditez votre frontend et descendez dans la page, jusqu'à la section "SSL Offloading" où vouez allez trouver l'option suivante : "Advanced certificate specific ssl options". Il faut que l'on renseigne cette option avec la valeur suivante :

alpn h2,http/1.1

Grâce à cette valeur, on précise que le reverse proxy prend en charge HTTP/2 ainsi que HTTP/1.1 : de quoi rester compatible sans difficulté avec les machines plus anciennes.

Il ne reste plus qu'à sauvegarder et à recharger HAProxy pour profiter de ce changement dans la configuration ! Si vous avez plusieurs frontends, vous devez répéter l'opération à chaque fois.

Côté serveur Web, activez également HTTP/2 pour qu'il soit actif sur toute la chaîne. Sur un serveur Web Apache, c'est tout simple :

sudo a2enmod http2
sudo systemctl restart apache2

III. Tester que HTTP/2 est bien actif

À l'aide de l'outil "curl", nous pouvons tester facilement notre site Web derrière le reverse proxy pour voir si HTTP/2 est opérationnel. La commande ci-dessous fonctionne très bien avec PowerShell 7 mais aussi sur une machine Linux en installant le paquet "curl". Il suffit de remplacer "www.domaine.com" par votre nom de domaine.

curl -I -k --http2 https://www.domaine.com

Cette commande permet d'afficher l'en-tête HTTP, et au début nous pouvons voir "HTTP/2 200" cela signifie que la page s'est correctement chargée et que nous avons bien communiqué avec le serveur en HTTP/2 ! Parfait !

The post Reverse Proxy PfSense : activer le HTTP/2 dans HAProxy first appeared on IT-Connect.