La nouvelle version de Windows 11, à savoir Windows 11 22H2, semble poser des problèmes aux gamers qui constatent une forte baisse des performances sur les cartes graphiques NVIDIA.
D'après les messages mis en ligne sur différentes plateformes, notamment sur le forum de Microsoft, certains utilisateurs rencontrent des problèmes lorsqu'ils jouent, depuis l'installation de la mise à jour Windows 11 22H2. Il y aurait des ralentissements très importants, avec un processeur sous-utilisé, ce qui donne l'impression que la machine bégaye par manque de ressources, et des blocages intempestifs.
Premier exemple, sur Reddit, un utilisateur affirme : "J'ai été confronté à un ralentissement insensé dans les jeux. L'utilisation de mon processeur dans les jeux a considérablement diminué, passant dans certains cas de 80% à 5%. Je viens de revenir à la dernière mise à jour et mon expérience de jeu est bien meilleure."
Deuxième exemple, toujours sur Reddit, un autre utilisateur affirme : "Je viens de passer à la version 22H2 et j'ai affaire à des FPS extrêmement instables dans tous mes jeux. J'ai de bonnes spécifications pour les jeux et je n'ai jamais eu de problèmes auparavant (Ryzen 3600, 1070 TI, 16 Go de RAM). Les jeux sont pratiquement injouables." - En lisant ces différentes remontées, on peut comprendre la frustration lorsque l'on a des ralentissements avec une configuration basée sur un processeur i9-12900k et une carte graphique 3080ti....
Ce qui est sûr, c'est que les ralentissements sont liés à cette nouvelle version de Windows 11 22H2 car en revenant en arrière, le problème disparaît !
Microsoft et NVIDIA vont probablement se pencher sur le problème pour proposer une solution. D'ailleurs, NVIDIA a déjà indiqué aux utilisateurs de faire remonter les bugs sur Reddit pour avoir un maximum d'informations et faciliter le debug. En attendant, si vous utilisez une carte graphique NVIDIA, que vous êtes sous Windows 11 et que vous envisagez de jouer ce week-end, évitez d'installer la version 22H2 car la fête sera sûrement gâchée... Affaire à suivre.
Le gestionnaire de mots de passe KeePassXC sert à stocker des identifiants composés d'un nom d'utilisateur et d'un mot de passe, et il est également capable de générer les codes à usage unique (TOTP) nécessaire dans le cadre d'une authentification à plusieurs facteurs. Ainsi, à partir de KeePassXC il devient possible de compléter un processus d'authentification multifacteurs, notamment dans le navigateur grâce à l'extension officielle qui est capable de compléter le formulaire automatiquement pour indiquer un code valide. C'est ce que nous allons voir dans ce tutoriel : comment configurer le TOTP dans KeePassXC ?
II. KeePassXC : intégration d'une TOTP à une entrée
Prenons l'exemple de l'entrée "IT-Connect.tech - Compte administrateur" déjà enregistrée dans mon coffre-fort avec les éléments suivants : nom d'utilisateur, mot de passe et URL. Pour rappel, l'URL est nécessaire pour que l'extension dans le navigateur puisse faire la correspondance avec la base KeePass au moment où j'arrive sur la page d'authentification.
Pour générer des codes à usage unique pour ce compte, il faut configurer la fonction TOTP. Pour cela, il suffit d'effectuer un clic droit puis sous "TOTP" de choisir "Configurer TOTP".
Ensuite, du côté de l'applicatif qui prend en charge le MFA, il faut afficher l'habituel QR code pour effectuer la configuration. En effet, habituellement on scanne ce QR code avec son smartphone, sauf que cette fois-ci, c'est une clé qu'il nous faut. Dans cet exemple, la clé est indiquée directement à l'écran : il me suffit de la copier. Dans certains cas, vous trouverez un bouton du style "Le QR code ne fonctionne pas" ou "Je ne peux pas lire le QR code" permettant d'accéder à la clé.
À ce moment-là, il faut faire un copier-coller de la clé secrète dans le champ "Clé secrète" de la fenêtre KeePassXC, puis cliquer sur "OK", comme ceci :
Suite à cette manipulation, le menu "TOTP" de KeePassXC pour cette entrée, donne accès à de nouvelles options : "Copier le TOTP" pour copier le code à usage unique valide actuellement, ou "Afficher le TOTP" pour voir le code à l'écran.
En cliquant sur "Afficher le TOTP", le code s'affiche, avec le temps restant avant expiration et un bouton permettant de le copier.
Afin de finaliser la configuration de l'application, il faut saisir le code actuel et valider. Dans mon cas, il s'agit d'un site de test sous WordPress, équipé d'un plugin pour gérer le MFA (Tutoriel - MFA sous WordPress).
Lors de la prochaine connexion, et à condition d'avoir la base KeePassXC déverrouillée ainsi que l'extension dans le navigateur, KeePassXC va proposer de remplir le formulaire avec le nom d'utilisateur et le mot de passe, puis le code TOTP ! Ainsi, on complète le processus de double authentification de façon quasi automatique !
III. Transférer le code TOTP sur son mobile
Dans le menu "TOTP" de KeePassXC, il y a une entrée nommée "Afficher le QR code" qui affiche une fenêtre comme celle-ci :
Ceci permet de transférer la génération des codes à usage unique à une autre application sur votre mobile. Que ce soit Aegis, FreeOTP, Microsoft Authenticator, Google Authenticator, etc... Cela va permettre d'ajouter la prise en charge de ce compte sur l'application mobile. Du coup, le code TOTP peut être généré depuis KeePassXC mais aussi depuis l'application mobile.
Cette méthode est intéressante pour supprimer la gestion du TOTP dans KeePassXC afin de basculer sur une application mobile classique, sans avoir à reconfigurer le MFA au niveau de l'application. Si c'est votre objectif, il faudra aller jusqu'au bout : retourner dans "Configurer TOTP" sur l'entrée dans KeePassXC, supprimer la clé secrète et valider (à faire uniquement si la gestion du code TOTP est assurée par ailleurs !).
IV. Conclusion
Très pratique, cette fonctionnalité de KeePassXC évite d'avoir recours à son smartphone pour générer les codes à usage unique. Néanmoins, et comme je le disais dans mon article de présentation de KeePass et KeePassXC, le fait d'avoir tous les facteurs d'authentification dans le même coffre-fort peut représenter un risque. Si une personne parvient à dérober et déverrouiller votre base KeePass, elle a en sa possession tous les éléments nécessaires pour utiliser vos identifiants, malgré la présence du MFA.
Ce qu'il est possible de faire, c'est utiliser deux bases KeePassXC distinctes : l'une avec des entrées "utilisateur + mot de passe + URL" et l'autre avec des entrées "utilisateur + TOTP + URL". J'ai testé, cela fonctionne, mais ce n'est pas aussi pratique : il faut maintenir 2 bases, et il faut switcher de base en cours d'authentification pour que l'extension dans le navigateur récupère le code TOTP.
La fonctionnalité Smart Links de LinkedIn est actuellement exploitée par des pirates informatiques dans le cadre de campagnes de phishing, dans le but d'outrepasser les solutions de protection des e-mails et de rediriger les utilisateurs vers des sites malveillants.
Une fois de plus, les cybercriminels ne manquent pas d'ingéniosité quand il s'agit de contourner une fonction de sécurité ! Cette fois-ci, c'est la fonction Smart Links de LinkedIn qui est exploitée, comme le rapportent les analystes de chez Cofense. Il s'agit d'une fonctionnalité destinée aux entreprises qui est disponible pour les utilisateurs de Sales Navigator. Elle permet de partager des documents à partir d'un seul lien.
Sans surprise, tout cela est accompagné par diverses statistiques sur l'utilisation de ces liens, notamment le nombre de consultations. On peut imaginer que les cybercriminels pourront utiliser les données analytiques pour optimiser leur campagne...malveillante !
Pour le moment, les analystes de chez Cofense ont détecté des campagnes ciblant les utilisateurs slovaques, mais cette technique pourrait bien se développer et toucher également les utilisateurs français. En l'occurrence dans ces campagnes, il s'agit de leurres orientés sur les services postaux slovaques, avec notamment un e-mail censé provenir de "Slovenská pošta" où l'utilisateur est invité à régler les frais d'un colis en attente d'expédition. Même si la technique d'utiliser la fonction Smart Links de LinkedIn semble nouvelle, le sujet de l'e-mail quant à lui est un grand classique.
Voici un exemple d'e-mail :
Cet e-mail contient un bouton de confirmation qui intègre une URL LinkedIn Smart Link ("linkedin[.]com/slink?code=g4zmg2B6") contenant des variables dans le but de rediriger la victime vers une page de phishing. Ici, la fonctionnalité est clairement détournée puisque l'utilisateur est renvoyé vers une page malveillante, alors que normalement c'est utilisé pour de la publicité, des pages marketing, etc.
Une fois sur la page, qui est une copie de la page officielle du service "Slovenská pošta", l'utilisateur doit régler la somme de 2,99 euros. Alors bien sûr, ici, ce n'est pas l'argent qui intéresse directement les pirates, mais plutôt la possibilité de collecter des numéros de cartes bancaires.
De son côté, LinkedIn affirme travailler sur cette problématique afin de renforcer la protection des utilisateurs et éviter que LinkedIn soit utilisé comme rebond dans le cadre de campagnes de phishing.
Aujourd'hui, nous lançons officiellement le serveur Discord pour la communauté IT-Connect ! Un espace d'échange et d'entraide qui prend la place du forum, abandonné il y a plusieurs années.
Vous êtes très nombreux à visiter le site chaque jour, à étudier l'informatique, à travailler sur des projets et vous poser des questions sur l'installation et la configuration d'un service, d'une application, etc... Sauf que suite à l'abandon du forum, IT-Connect n'avait plus d'espace adapté pour l'échange et l'entraide, car les commentaires au sein des articles, ça atteint rapidement ses limites.
Aujourd'hui, avec ce serveur Discord dédié à la communauté IT-Connect, nous avons enfin un nouvel espace répondant à ce besoin ! N'hésitez pas à nous rejoindre : plus la communauté sera grande, plus ce sera facile de trouver une réponse à ses questions.
Ce serveur Discord est ouvert à tous, dans le sens où nous acceptons tous les étudiants en informatique, les professionnels de l'informatique, mais aussi les personnes passionnées avec un minimum de connaissance dans le domaine ! Les débutants sont acceptés autant que les experts, ce n'est pas le niveau qui compte ! Nous souhaitons que ce soit un espace privilégié où l'on "parle tous le même langage" : celui parlé par les personnes qui exerce un métier passion de ce domaine aux nombreuses facettes.
Pour nous, ce sera aussi l'occasion d'apprendre à connaître les lecteurs d'IT-Connect et les personnes qui soutiennent ce site : car vous connaissez les auteurs et les rédacteurs du site, mais l'inverse n'est pas vrai ! Alors, maintenant, n'attendez plus et rejoignez-nous !
Découverte en 2007, une vulnérabilité dans le langage Python reste toujours sans correctif à ce jour. Aujourd'hui, on parle d'elle de nouveau, car elle affecte plus de 350 000 dépôts qui sont vulnérable à une exécution de code arbitraire.
La faille de sécurité associée à la référence CVE-2007-4559 a été découverte en 2007, et bien que ce soit surprenant, elle n'a jamais reçu de correctif ! La seule chose effectuée, c'est une mention dans la documentation pour avertir les développeurs d'un risque éventuel, car tout dépend des fonctions utilisées dans votre code Python. Ce message est un avertissement qui indique "qu'il peut être dangereux d'extraire des archives de sources non fiables".
Cette vulnérabilité se situe dans le package "tarfile" de Python, dont le but est de permettre la lecture et l'écriture d'archives au format TAR. Plus précisément, cette faille de type "directory transversal" est présente dans les fonctions tarfile.extract() et tarfile.extractall(). En l'exploitant, un attaquant peut écraser un fichier système présent sur votre machine. Sur le site officiel de Python, un exemple datant de 2007 est donné : "Si vous mettez dans une archive TAR un fichier nommé "../../../../../etc/passwd" et que l'administrateur décompresser l'archive, alors le fichier /etc/passwd est écrasé.". C'est un exemple, mais il y en a d'autres, notamment une variante qui s'appuie sur un lien symbolique.
Une vulnérabilité ignorée et redécouverte !
Plus tôt cette année, un chercheur de l'entreprise Trellix (issue de la fusion de McAfee Enterprise et de FireEye) a redécouvert la vulnérabilité CVE-2007-4559 alors qu'il enquêtait sur un autre problème de sécurité. Les chercheurs de Trellix ont approfondi leurs recherches vis-à-vis de cette vulnérabilité et il s'avère qu'elle est présente dans des milliers de projets logiciels, certains open source, d'autres non.
Ils ont analysé un échantillon de 257 dépôts Python : au final, 61% des dépôts analysés sont vulnérables à cette vulnérabilité. En utilisant ce taux de positivité, les chercheurs de Trellix estiment qu'il y a au moins 350 000 dépôts vulnérables, sur 588 840 dépôts GitHub qui intègrent du code Python avec la fonction "import tarfile" ! Une grande partie de ces dépôts correspondent à des outils de machine learning comme GitHub Copilot.
Trellix estime également que cette vulnérabilité affecte des entreprises dans de nombreux domaines : aussi bien la sécurité, le Web, la Data Science, etc...
Cette vulnérabilité est exploitable aussi bien sur Linux que sur Windows, comme le montre Kasimir Schulz, chercheur chez Trellix. Dans ce rapport technique, on peut voir deux vidéos de démonstration sur les deux systèmes d'exploitation.
Trellix a également sur 11 000 projets pour qu'ils ne soient plus vulnérables à cette faille de sécurité, en adaptant le code. Dans les semaines à venir, il y a des chances pour que de nombreux projets soient mis à jour afin de patcher : c'est en tout cas ce que l'on peut espérer. Reste à savoir s'il y aura une réaction de la Python Software Foundation, maintenant que cette vulnérabilité refait la une de l'actualité.
