Après avoir révélé une faille au sein de Windows, nous apprenons que les chercheurs de l'équipe Project Zero de chez Google ont découvert une nouvelle vulnérabilité : cette fois-ci au sein de la plateforme GitHub, dont Microsoft est le propriétaire.

Cette faille de sécurité critique est située au sein de la fonctionnalité "Actions" de GitHub et elle permet une attaque par injection. Alors qu'il s'est passé 90 jours depuis que l'équipe Project Zero a informé GitHub de ce problème de sécurité, celui-ci n'est pas résolu. Étonnant puisque selon Google, 95,8% des failles sont corrigées en respectant ce délai de 90 jours. Plus précisément, le signalement a eu lieu le 21 juillet 2020, ce qui laissait aux équipes de GitHub jusqu'au 18 octobre pour corriger cette faille.

D'après Felix Wilhelm, de l’équipe Project Zero, la majorité des dépôts populaires de GitHub sont vulnérables. En fait, tout dépend des commandes de flux de travail définies dans Actions au niveau du dépôt.

Pour l'heure, la résolution de ce bug est assez floue : de son côté GitHub indique que les commandes vulnérables sont prêtes à être désactivées, tout en demandant à chaque fois un délai supplémentaire à l'équipe de Project Zero afin que la faille ne soit pas divulguée. En fait, GitHub a fait le mort malgré des interrogations de Project Zero... Avant de dire que tout était résolu, puis de dire l'inverse un jour avant la fin du délai imparti et qu'ils ne seraient pas prêt d'ici le 2 novembre.

À force de relance et d'accepter des jours de grâce supplémentaires, soit 14 jours de grâce au total, Project Zero a procédé à la divulgation de cette faille, car selon sa politique, le délai ne peut excéder 104 jours.

Source

The post CVE-2020-15228 : une vulnérabilité grave sur le plateforme GitHub first appeared on IT-Connect.

I. Présentation

Prendre un document Word et l'exporter en PDF avant de le transférer par e-mail ou de la partager, c'est une opération classique, voire quotidienne. Pour un ou deux fichiers comme ça, tous les jours, difficile de faire autrement que de le faire manuellement.

Par contre, si l'on vous demande de convertir 50, 100 ou même 1 000 documents Word en PDF, comment allez-vous faire ? Les ouvrir un par un et les exporter, je ne pense pas... Il y a plusieurs manières de faire, des logiciels peuvent vous aider à le faire, mais vous pouvez aussi par PowerShell et ça c'est cool !

En effet, j'ai trouvé le script ConvertWordTo-PDF pour convertir un Word en PDF avec PowerShell et il fonctionne parfaitement ! Je vous invite à le récupérer depuis le lien suivant : ConvertWordTo-PDF - Merci @Patrick Gruenauer pour ce script.

II. Ajouter ConvertWordTo-PDF sur votre PC

Après avoir téléchargé l'archive ZIP, nous pouvons ajouter le script sur le PC en tant que module directement grâce au fichier .psm1 qui est intégré à l'archive. Créez un dossier pour ce module et copiez le fichier dedans, ce qui donne :

C:\Program Files\WindowsPowerShell\Modules\ConvertWordTo-PDF\ConvertWordTo-PDF.psm1

Puisque ce fichier provient d'Internet, il faut le débloquer grâce à cette commande à exécuter en tant qu'administrateur :

Unblock-File "C:\Program Files\WindowsPowerShell\Modules\ConvertWordTo-PDF\ConvertWordTo-PDF.psm1"

Ensuite, on peut importer le module :

Import-Module ConvertWordTo-PDF

Il ne reste plus qu'à voir comment l'utiliser.

III. Convertir Word en PDF avec PowerShell

La commande ConvertWordTo-PDF s'utilise avec deux paramètres :

• SourceFolder : le dossier source qui contient tous les documents Word à convertir
• DestinationFolder : le dossier destination où seront stockés tous les fichiers PDF générés. Ce paramètre est facultatif, s'il n'est pas précisé les PDF seront créés dans le dossier source

Simple à utiliser. Pour convertir tous les documents Word du dossier "C:\TEMP\Word" en PDF dans le dossier "C:\TEMP\PDF", voici la commande :

ConvertWordTo-PDF -SourceFolder "C:\TEMP\WORD\" -DestinationFolder "C:\TEMP\PDF\"

Tous les documents DOCX et DOC de ce dossier seront convertis en PDF.

Pour chaque fichier du dossier, l'opération s'effectue en trois étapes : on ouvre le document, on l'enregistre en PDF grâce à la méthode SaveAs() dans laquelle on spécifie le format de sortie (PDF) et on ferme le document.

$doc = $word.documents.open($f.FullName) 
$doc.saveas($path,$FormatPDF) 
$doc.close()

Maintenant, c'est à vous de jouer...

The post PowerShell : comment convertir des documents Word en PDF ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons jouer un peu avec Hyper-V, ou plutôt avec PowerShell afin de collecter une information au sujet des machines virtuelles qui tournent sur le serveur Hyper-V. A l'aide de PowerShell, nous allons obtenir la date de création des VMs sur un serveur Hyper-V. Nous verrons également commencer procéder sur un cluster Hyper-V.

II. Manipulation de Get-VM

La commande Get-VM sert à obtenir des informations au sujet des machines virtuelles associées à un hôte Hyper-V. Cette commande donne accès à différentes propriétés, dont la propriété CreationTime qui correspond à ce que l'on cherche : la date de création d'une VM.

• Obtenir l'information pour une seule VM

Commençons par obtenir l'information pour une seule VM, par exemple une VM nommée "VM-01" où l'on va seulement afficher la date de création :

Get-VM -Name "VM-01" | Select-Object CreationTime

 

• Obtenir l'information pour toutes les machines virtuelles

Afin d'obtenir la date de création de toutes les machines virtuelles d'un hôte Hyper-V, peu importe si la VM est allumée ou éteinte, on pourra utiliser la commande ci-dessous. En complément, on ajoute un tri sur la date de création.

Get-VM * | Select-Object VMName, CreationTime | Sort-Object CreationTime

VMName   CreationTime
------   ------------
VM-01    10/12/2019 10:50:49
VM-02    10/12/2019 15:43:42
VM-03    20/03/2020 08:10:04

• Obtenir l'information sur un cluster Hyper-V

Ce type d'information peut également être récolté sur un cluster Hyper-V, ce qui peut être intéressant plutôt que d'interroger tous les hôtes un par un... On va devoir utiliser la commande Get-ClusterGroup en complément.

Get-ClusterGroup | Where {$_.GroupType -eq 'VirtualMachine' } | Get-VM | Select-Object VMName, CreationTime

Avec ces trois commandes, vous devriez pouvoir vous en sortir en fonction de votre infrastructure 😉

The post Hyper-V : comment obtenir la date de création des VMs ? first appeared on IT-Connect.

Google annonce qu'une faille 0-day est présente au sein de Windows et puisque Microsoft ne l'a pas corrigée dans le temps imparti, le géant américain a décidé de publier les informations au sujet de cette faille critique.

La faille révélée par l'équipe de recherche de Google Project Zero est exploitée actuellement dans le cadre d'attaques qui visent le système d'exploitation Windows, combinée à une autre faille critique présente dans Chrome. En fait, un correctif pour cette vulnérabilité sera déployé dans le prochain Patch Tuesday qui sortira le mardi 10 novembre. De son côté, Google a corrigé la vulnérabilité qui touche Chrome au sein de la version 86.0.4240.111 du navigateur.

Finalement, l'attaque s'effectue en deux étapes : d'abord en exploitant une vulnérabilité dans Chrome qui permettait d'exécuter du code malveillant, puis ensuite la vulnérabilité dans Windows qui permet de sortir du conteneur sécurisé du navigateur. Nous parlerons alors d'une fuite dans la sandbox.

Pourquoi Google a-t-il dévoilé la faille de Windows ? En fait, les équipes de recherches ont prévenu Microsoft et ont laissé 7 jours à la firme de Redmond pour corriger cette faille. Puisque Microsoft n'a pas corrigé et déployé le patch dans les 7 jours, Google a révélé cette faille 0-day. Dans son rapport, Google intègre une proof of concept pour prouver que la vulnérabilité existe et qu'elle est exploitable. D'ailleurs, celle-ci touche le noyau de toutes les versions de Windows, à partir de Windows 7 et jusqu'à la toute dernière version de Windows 10 (20H2). Reste à voir si Microsoft publiera un correctif pour Windows 7 puisque ce système n'est plus sous support.

Remarque : la faille Windows est référencée sous le nom CVE-2020-17087 alors que la faille Chrome quant à elle hérite du nom CVE-2020-15999.

The post Google révèle une faille 0-day dans Windows first appeared on IT-Connect.

Une nouvelle référence vient s'ajouter au catalogue Raspberry Pi, il s'agit du Raspberry Pi 400. Sa particularité ? Être directement intégré au sein d'un clavier, ce qui est une nouveauté en termes de format.

L'intégration d'un ordinateur directement au sein d'un clavier n'est pas sans rappeler de très anciens modèles, notamment le Commodore Amiga. Pour cette version spéciale du Raspberry Pi 400, la fondation Raspberry a repris cette idée et c'est plutôt bien vu !

Le Raspberry Pi 400 est très proche du Raspberry Pi 4, à la différence qu'il intègre 4 Go de RAM et que la gestion thermique est améliorée. Le clavier compact dans lequel il est intégré ne dispose pas de pavé numérique. Plus précisément, voici les caractéristiques de ce nouveau modèle :

• CPU : Cortex A72 (4 coeurs)
• Wi-Fi compatible 2,4 GHz et 5 GHz
• Un port RJ45 Gigabit Ethernet
• Bluetooth 5.0
• Deux ports micro-HDMI compatibles 4K @ 60 fps
• Deux ports USB 3.0
• Un port USB 2.0
• Un port USB-C
• Un port microSD

Au niveau des tarifs, pour l'ordinateur seul vous devez compter environ 70 euros. Il y a des kits complets vendus environ 110 euros par certains partenaires afin d'inclure un bloc d'alimentation, une microSD, un câble micro-HDMI, un guide d'utilisation et la souris filaire officielle (la classe). Il est à noter que Raspberry Pi OS est préinstallé sur la microSD fourni.

Raspberry précise également que depuis le début de la pandémie du Covid-19, la demande a augmentée concernant son Raspberry Pi 4, pour deux raisons précises : l'utilisation d'un Raspberry Pi pour le télétravail ou pour suivre des cours à distance.

Alors ce nouveau modèle, il vous plaît ?

🧲 Lire l'annonce officielle

The post Raspberry Pi 400 : un Raspberry directement intégré dans un clavier first appeared on IT-Connect.