I. Présentation

Après avoir vu comment utiliser le client SSH natif de Windows 10, nous allons voir comment installer et configurer OpenSSH Server sur Windows Server 2019. La partie serveur d'OpenSSH est également disponible sur Windows 10. De cette façon, il sera possible de se connecter en SSH sur une machine Windows, de la même façon qu'on le fait sous Linux

Cette solution offre une alternative à la connexion distante à l'aide de PowerShell.

Tutoriel disponible au format vidéo :

II. Installer OpenSSH Server sur Windows

L'installation d'OpenSSH Server sur Windows 10 ou Windows Server 2019 peut s'effectuer de deux façons : à partir de PowerShell ou de l'interface graphique. Quoi qu'il en soit, OpenSSH Server correspond à une fonctionnalité facultative de Windows.

A partir d'une console PowerShell ouverte en tant qu'administrateur, la commande suivante permet l'installation :

Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

Sinon, à partir de l'interface graphique suivez les étapes suivantes. Cliquez sur le menu Démarrer, sur Paramètres puis sur la section "Applications".

Sur la gauche, choisissez "Applications et fonctionnalités" et à droite cliquez sur "Fonctionnalités facultatives".

Cliquez sur le bouton "Ajouter une fonctionnalité".

Utilisez la barre de recherche pour saisir le mot clé "ssh" et trouver plus facilement la fonctionnalité "Serveur OpenSSH". Cochez la case associée et cliquez sur le bouton dans le bas de la fenêtre pour démarrer l'installation.

Patientez pendant l'installation... Elle ne prendra que quelques secondes.

L'installation d'OpenSSH Server ne nécessite pas de redémarrer votre machine. Maintenant, passons à la configuration et la connexion sur un hôte équipé d'OpenSSH Server.

III. Configurer OpenSSH Server sur Windows

A. Démarrage automatique du serveur OpenSSH

Pour commencer la configuration, nous allons démarrer le serveur OpenSSH d'une part, et d'autre part nous allons le configurer en démarrage automatique.

Plutôt que le faire à partir de la console "Services", je vous propose d'exécuter deux commandes PowerShell, ce sera plus efficace. Voici l'état actuel du service "OpenSSH SSH Server" :

Pour démarrer le service "sshd" correspondant à "OpenSSH SSH Server", on va utiliser la commande suivante :

Start-Service -Name "sshd"

Ensuite, pour le modifier et définir le mode de démarrage sur "Automatique" au lieu de "Manuel" :

Set-Service -Name "sshd" -StartupType Automatic

La commande ci-dessous vous permettra de vérifier qu'il est bien en cours d'exécution.

Get-Service -Name "sshd"

B. Configuration d'OpenSSH Server sur Windows

Sur Windows, la configuration d'OpenSSH est stockée à l'emplacement ci-dessous où l'on va trouver le fichier sshd_config :

%programdata%\ssh\

Au sein du fichier sshd_config, nous allons retrouver les options classiques d'OpenSSH. Nous pouvons le configurer de la même façon qu'on le ferai la configuration SSH sous Linux.

Attention tout de même : à ce jour, il y a des options non supportées comme les options X11. La liste complète des options non supportées est disponible sur le site Microsoft : OpenSSH - Options non supportées

• Modifier le port d'écoute SSH

Pour modifier le port d'écoute par défaut (recommandé) et utiliser un autre port que le n°22, il faut modifier l'option "Port". Pour modifier le fichier de configuration, vous devez ouvrir l'éditeur de texte en tant qu'administrateur pour avoir le droit d'enregistrer le fichier.

Ensuite, il faut décommenter la ligne "#Port 22" et changer le numéro de port, comme ceci :

Après chaque modification de la config, il est indispensable de redémarrer le service SSH pour charger les nouveaux paramètres. PowerShell permet de le faire facilement :

Restart-Service "sshd"

A la suite de la modification du port, si la connexion SSH ne fonctionne pas, regardez du côté du pare-feu Windows. En effet, lors de l'installation d'OpenSSH Server, une règle est créée pour autoriser les connexions sur le port 22.

Voici la commande pour créer une règle de pare-feu qui autorise les connexions entrantes sur le port 222 :

New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd) - Port 222' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 222

Je vous invite à en profiter pour désactiver la règle créée par défaut puisqu'elle n'est plus utile :

• L'option "PermitRootLogin"

Cette option est généralement configurée lorsque l'on est sous Linux pour empêcher l'utilisateur "root" de s'authentifier directement en SSH. C'est une restriction que l'on met en place pour des raisons évidentes de sécurité.

Concernant OpenSSH sous Windows, cette option ne fonctionne pas mais il y a une alternative. Il faut utiliser la directive DenyGroups pour refuser l'accès à certains groupes, notre cible sera le groupe "Administrateurs" pour empêcher les comptes admins locaux de se connecter en SSH.

Dans le fichier de configuration, il faut commenter les deux lignes suivantes, sinon la directive DenyGroups ne fonctionne pas :

# Match Group administrators
# AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

A la suite, ajoutez la ligne suivante :

DenyGroups administrateurs

Redémarrez le service SSH et tentez de vous connecter à votre serveur avec un compte administrateur : l'accès doit être refusé !

• Les options DenyUsers, AllowUsers, DenyGroups et AllowGroups

Pour gérer les autorisations de connexion sur le serveur en SSH, les options DenyUsers, AllowUsers, DenyGroups et AllowGroups seront nécessaires. Les règles s'appliquent dans l'ordre cité précédemment.

Par exemple, la combinaison suivante ne peut pas fonctionner : l'accès est refusé à tous les utilisateurs.

AllowGroups utilisateurs
DenyGroups *

Si l'on précise seulement :

AllowGroups administrateurs

Il n'y a que les membres du groupe "Administrateurs" qui sont autorisés à se connecter. Il est à noter que les valeurs doivent être inscrites en minuscules.

Pour autoriser les membres d'un groupe de sécurité d'un domaine Active Directory, la syntaxe est la suivante :

AllowGroups <nom-netbios-domaine>\<nom-groupe>
AllowGroups itconnect\informatique

A l'inverse, si l'on veut empêcher tous les utilisateurs du domaine "itconnect" à se connecter :

DenyUsers itconnect\*

On peut également effectuer des restrictions par rapport à un hôte. Si l'on veut autoriser seulement les connexions avec le compte "florian" depuis l'adresse IP "192.168.1.150", on précisera :

AllowUsers florian@192.168.1.150

Si vous souhaitez vous connecter et que vous obtenez le message "Access denied", c'est que l'utilisateur est incorrect ou que le mot de passe est incorrect, ou alors que vos règles de gestion des permissions vous bloque.

• L'option "ChrootDirectory"

Pour cloisonner un utilisateur dans un dossier lorsqu'il se connecte, on va s'appuyer sur la directive "ChrootDirectory". Toujours dans le même fichier de configuration, on va utiliser cette ligne pour chrooter dans le dossier "C:/scripts" :

ChrootDirectory C:/scripts

Attention, il est à noter que le chroot s'applique uniquement sur les sessions SFTP, avec WinSCP par exemple, ou les sessions SCP. Si vous lancez une connexion classique avec PuTTY ou le client SSH de Windows, vous serez libre de naviguer sur le système...

Il faut ajouter une seconde directive pour empêcher l'accès SSH classique et forcer l'utilisation du SFTP : ForceCommand avec la valeur "internal-sftp". Si vous souhaitez faire du transfert de fichiers et utiliser le ChrootDirectory, c'est l'idéal, mais ça bloque l'accès en ligne de commande. Ce qui donnera :

ChrootDirectory C:/scripts
ForceCommand internal-sftp

Les options peuvent s'appliquer de façon dynamique en fonction des utilisateurs ou des groupes. Par exemple, si on veut appliquer cette restriction et le chroot "C:/scripts" uniquement à l'utilisateur "florian", cela donnera :

Match User florian
     ChrootDirectory C:/scripts
     ForceCommand internal-sftp

On s'appuiera sur "match group" pour cibler un groupe plutôt qu'un utilisateur. Grâce à cette possibilité, on peut chrooter, isoler, les utilisateurs dans des dossiers différents. La variable %username% ne fonctionne pas dans sshd_config.

IV. Utiliser le client OpenSSH sur Windows

Pour rappel, voici la vidéo qui sert à installer et utiliser le client OpenSSH sous Windows 10.

Pour établir une connexion SSH avec ce client, c'est très simple :

ssh <utilisateur>@<hote>
ssh florian@192.168.1.10

Si vous souhaitez utiliser PuTTY ou une autre application, c'est possible bien sûr !

Lorsque la connexion SSH est établie, on peut bien sûr exécuter des commandes PowerShell. Cela nécessite d'exécuter la commande "powershell.exe" pour lancer le shell et après c'est parti !

The post Installer et configurer OpenSSH Server sur Windows Server 2019 first appeared on IT-Connect.

Ces derniers jours, nous entendons beaucoup parler de WhatsApp et du mécontentement des utilisateurs suite à l'annonce de Facebook qui a décidé de modifier la politique de confidentialité. De nombreux utilisateurs sont bien décidés à se tourner vers une alternative et le nom de deux applications revient sans cesse : Signal et Telegram.

Face à la curiosité de WhatsApp, les utilisateurs migrent vers Signal

Un lecteur d'IT-Connect a attiré mon attention vers une autre application : Olvid. Une messagerie instantanée sur mobile, sécurisée par du chiffrement bout en bout, développée par une entreprise française et recommandée par l'ANSSI.

Là où Olvid se différencie de WhatsApp, Signal et Telegram, c'est qu'il ne nécessite pas de numéro de téléphone pour s'inscrire ! L'application demande "juste rien" pour créer un compte : pas d'e-mail, pas de nom, de pas prénom, pas d'adresse, etc... L'application est clean et n'ira pas fouiller dans votre carnet d'adresses. Le serveur central utilisé par Olvid sert à la mise en relation des messages entre les contacts mais il ne sert pas à stocker les messages ! En cas de piratage, vos conversations ne vont pas fuiter sur la toile... De manière générale, Olvid ne collecte pas et n'exploite pas vos données personnelles.

"À part vous, personne ne saura jamais avec qui vous avez échangé. Pas même nous."

L'ANSSI n'a pas dit clairement "utilisez Olvid à la place de WhatsApp" mais Olvid est une application recommandée par l'ANSSI et qui a obtenue une certification CSPN. L'ANSSI a audité le code source d'Olvid et l'évaluation s'est portée sur plusieurs axes : authentification des utilisateurs, authentification des échanges, chiffrement des messages et des pièces jointes et chiffrement des sauvegardes du carnet de contact.

L'application Olvid est gratuite pour envoyer des messages (y compris avec des pièces jointes) et pour recevoir des appels audio/vidéo sécurisés. Pour émettre des appels, il faut disposer d'un abonnement payant facturé 4.99 € par mois. Si cette messagerie instantanée vous intéresse dans le cadre d'un usage professionnel, sachez qu'Olvid propose des offres pour les entreprises.

L'application Olvid est disponible sur Android et iOS. Puisque l'application ne requiert pas de numéro de téléphone, vous pouvez l'utiliser depuis une tablette sans problème car il n'est pas utile d'avoir une carte SIM.

Découvrir Olvid

Olvid - ANSSI

The post Olvid, l’alternative à WhatsApp recommandée par l’ANSSI first appeared on IT-Connect.

Nvidia a publié une mise à jour de ses pilotes de cartes graphiques pour Windows et Linux dans le but de corriger six failles de sécurité critiques.

Ces vulnérabilités exposent directement les machines sous Windows et Linux à plusieurs types d'attaques : déni de service, élévation de privilèges et corruption de données. Pour exploiter ces vulnérabilités, l'attaquant doit avoir un accès local sur la machine cible. Cela implique qu'un autre vecteur d'attaque doit être exploité pour prendre le contrôle de la machine, et ensuite dans un second temps, exploiter les vulnérabilités au sein du pilote Nvidia.

Nvidia a corrigé les différentes vulnérabilités en déployant une mise à jour de ses pilotes, à l'exception des cartes Nvidia Tesla. En effet, les failles référencées CVE‑2021‑1052, CVE‑2021‑1053 et CVE‑2021‑1056 ne sont pas corrigées pour le moment au sein du pilote Nvidia Tesla à destination de Linux. Une mise à jour du pilote d'affichage Nvidia pour l'utilisation d'un GPU Tesla sur Linux sera publiée le 18 janvier 2021. De manière générale, ces vulnérabilités ont un score CVSS V3 compris entre 5.3 et 8.4.

Bulletin officiel de Nvidia

En complément des vulnérabilités qui touchent les pilotes graphiques, Nvidia a corrigé dix vulnérabilités au sein du logiciel Nvidia Virtual GPU (vGPU) utilisé pour les bureaux virtuels. Les entreprises peuvent récupérer une mise à jour à partir du portail entreprise de Nvidia.

Nvidia encourage les utilisateurs à mettre à jour le pilote de leur carte graphique, que ce soit pour les cartes Nvidia GeForce, RTX, Quadro, NVS ou Tesla. Vous devez viser le versions suivantes : GeForce 461.09 sur Windows et 460.32.03 sur Linux. 

Téléchargement pilote Nvidia

Source

The post Nvidia corrige six failles critiques : mettez à jour vos pilotes ! first appeared on IT-Connect.

I. Présentation

On se retrouve aujourd'hui pour le test Soundcore Mini 3, la nouvelle enceinte de chez Soundcore (Anker). Ce modèle ultra-compact est en mesure de vous suivre partout et de se glisser facilement dans votre sac, mais la qualité sonore est-elle au rendez-vous ?

Bien plus petite que ses grandes sœurs que l'on a pu découvrir ensemble, notamment les enceintes Soundcore Flare 2 et Soundcore Flare+, voici ses caractéristiques :

- Sortie audio : 6 Watts
- Connectivité sans-fil : Bluetooth 5.0
- Connectivité filaire : aucune
- Waterproof : IPX7 (entièrement étanche)
- Capacité de la batterie : 1 800 mAh
- Temps de charge : entre 3h et 4h
- Autonomie : 15 heures
- Entrée : 5 V/1 A

En complément de cet article, je vous propose de découvrir l'enceinte Soundcore Mini 3 dans une vidéo où je fais un déballage, une démo avec l'audio et je vous montre l'application Soundcore en détail.

II. Package et design

L'enceinte est livrée dans une boîte aux couleurs de Soundcore et l'ensemble est bien emballé. Une notice et un câble USB-C accompagne l'enceinte Soundcore Mini 3.

D'ailleurs, la boîte nous donne des informations pertinentes sur l'enceinte. On apprend qu'elle est équipée de la technologie BassUp pour booster les basses, que le son est ajustable grâce à l'égaliseur personnalisable sur l'application et, enfin, qu'elle est dotée de la fonctionnalité PartyCast.

La fonctionnalité PartyCast sert à synchroniser une centaine d'enceintes Soundcore Mini 3 pour diffuser le son sur plusieurs enceintes en même temps. De quoi faire une grosse fiesta mais pour ça, on attendra...

L'enceinte est dotée de plusieurs boutons, un bouton on/off, deux boutons pour gérer le volume, un bouton pour gérer le Bluetooth et le mode PartyCast, ainsi que le bouton central qui est multifonction. Ce bouton multifonction va permettre de gérer la lecture/pause, de changer de piste et de gérer les appels téléphoniques. Le micro est situé dans la continuité du bouton Bluetooth, sur la partie basse de l'enceinte.

III. Qualité audio

Pour continuer ce test Soundcore Mini 3, je vais vous livrer mes impressions sur la partie audio.

Bien qu'elle soit petite par la taille, sa puissance audio est remarquable ! Comme système audio d'appoint à emporter un peu partout avec soit, aussi bien en réunion qu'en balade ou même pour faire une sortie sportive, cette enceinte est tout à fait adaptée et suffisante ! Le rendu sonore est bon et ne sonne pas creux... L'inconvénient, c'est les vibrations générées par l'enceinte lorsqu'elle est posée sur une table ou un meuble. Je trouve que c'est gênant et que ça vient ternir le rendu audio. Posée dans l'herbe ou en suspension accrochée à un sac, cette sensation de vibration disparaît.

Le mode PartyCast

Ce mode qui sert à associer une centaine d'enceintes entre elles s'annonce très intéressant sur le papier. Dans la pratique, c'est une galère à l'utiliser... En fait, la notice est incorrecte ! J'ai réussi à trouver la solution en cherchant sur Internet et je suis tombé sur le forum Soundcore.

Contrairement à ce qui est indiqué dans la notice, voici comment il faut procéder :

1 - Allumer les deux enceintes (ou plus) et en connecter une seule sur le smartphone
2 - Appuyer deux secondes sur le bouton Bluetooth de l'enceinte connectée au smartphone : ce sera l'enceinte maître. La led Bluetooth va clignoter en blanc, lentement
3 - Appuyer deux fois de suite sur le bouton Bluetooth de la deuxième enceinte pour la passer en mode "esclave". La led Bluetooth va clignoter en blanc, rapidement
4 - La led Bluetooth de l'enceinte esclave devrait rester allumée en blanc fixe une fois l'association effectuée

Une fois l'initialisation réussie (avec la bonne méthode c'est mieux), on peut profiter de ce mode. J'ai pu tester avec deux enceintes et ça fonctionne vraiment bien ! Il n'y a pas d'écho, la synchronisation est très bien gérée et le son se retrouve bien amplifié pour le coup.

L'application Soundcore

Dans ma vidéo, je vous présente en détail l'application Soundcore et ses différentes fonctionnalités. Celle qui est le plus intéressante, c'est l'égaliseur sonore. Il y a plusieurs modes prédéfinis et vous pouvez paramétrer vos propres profils audio.

En complément, il est possible de gérer le volume, d'activer/désactiver le BassUp, de faire lecture/pause ou encore d'éteindre l'enceinte. Enfin, sachez que cette app est disponible pour Android et iOS.

IV. Conclusion

Pour conclure ce test Soundcore Mini 3, je dirais que cette petite bête de 230 grammes en a dans le ventre et la technologie BassUp apporte une puissance supplémentaire. Attention, toutefois aux vibrations un peu désagréable comme je le disais. A part cela, la qualité audio est bonne, l'application offre un bon complément et l'égaliseur est top !

Totalement waterproof, vous allez pouvoir l'emmener partout avec vous l'été prochain, sans avoir peur de la faire tomber dans l'eau car elle va résister sans problème. Dommage qu'il n'y ait pas de mousqueton proposé dans le package en plus de la lanière intégrée, cela aurait pu faciliter l'accroche sur un sac, par exemple.

L'enceinte Soundcore Mini 3 est vendue 35.99 € : un prix raisonnable et qui correspond au marché pour les enceintes concurrentes de ce gabarit.

The post Test Soundcore Mini 3 : ne vous fiez pas à sa taille ! first appeared on IT-Connect.

Cette semaine, WhatsApp a demandé à ses utilisateurs d'accepter une nouvelle politique de confidentialité sous peine de ne plus pouvoir utiliser l'application. En acceptant cette nouvelle politique, vous donnez votre accord à Facebook pour récolter des données à votre sujet via WhatsApp et cela déplaît fortement ! C'est pour cette raison que de nombreuses personnes ont migré vers la messagerie Signal.

Dans cette histoire liée à la nouvelle politique de confidentialité de WhatsApp, les Européens seraient mieux protégés grâce au RGPD. Par contre, pour les utilisateurs en dehors de l'Europe, il faudra bien accepter de partager ses données pour continuer à utiliser WhatsApp. Niamh Sweeney, qui est la responsable en charge de la politique de confidentialité de WhatsApp, a confirmé sur Twitter que ce changement ne concernait pas les utilisateurs européens. Néanmoins, le message concernant la nouvelle politique s'est bien affiché..

Le comportement de Facebook agace, d'autant plus que ce n'est pas la première fois qu'il y a des modifications de ce type sur les services gérés par Facebook. Cela déplaît aux utilisateurs et certains ont pris la décision de laisser tomber WhatsApp au profit de Signal ou Telegram.

La messagerie Signal est une bonne alternative, car elle est sécurisée et elle s'appuie sur du chiffrement bout-en-bout. C'est également la messagerie recommandée par Edward Snowden, l'ancien agent de la CIA, ce qui est rassurant d'un côté.

Ce qui a donné un coup de boost à Signal, c'est le tweet lâché par Elon Must, l'homme le plus riche du monde. D'un simple "Use Signal" que l'on peut traduire par "Utilisez Signal", le patron de Tesla a fait exploser les inscriptions sur le service Signal. À tel point que la messagerie saturait : les codes de vérification envoyés à l'inscription partaient en retard.

Use Signal

— Elon Musk (@elonmusk) January 7, 2021

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Ce coup de boost tombe à pic pour Signal. En effet, l'application a intégré de nouvelles fonctionnalités récemment pour se mettre à niveau vis-à-vis de la concurrence dans le but d'attirer le grand public. Même en intégrant de nouvelles fonctionnalités, Signal garde ses engagements en matière de confidentialité.

Sur Signal, vous pouvez également réaliser des appels vidéos en groupe protégés par le chiffrement. Une fonctionnalité appelée "Blur", c'est-à-dire "Flou" en français, est accessible pour flouter automatiquement les visages sur une photo.

Lancée en juillet 2014 et disponible sur Android, iOS, Windows et Linux, l'application Signal connaît un très joli début d'année 2021 qui lui ouvre de belles perspectives

The post Face à la curiosité de WhatsApp, les utilisateurs migrent vers Signal first appeared on IT-Connect.