Un groupe de chercheurs en sécurité a dévoilé les détails sur une vulnérabilité dans les communications SSL/TLS qui permettrait à un attaquant de casser le chiffrement et lire des informations sensibles. Baptisée "Raccoon Attack", cette vulnérabilité est exploitable seulement sous certaines conditions.

Cette faille est vieille de plus de 20 ans, car elle réside dans le protocole d'échange de clés Diffie-Hellman (DH) utilisé depuis SSLv3 : disponible depuis 1996. Aujourd'hui, elle concerne également TLS 1.2, mais ne concerne pas TLS 1.3. Grâce à Diffie-Hellman, un secret commun est généré entre le client et le serveur afin de créer des clés de session SSL/TLS qui seront utilisées par les deux parties pour communiquer de façon sécurisée.

Le problème réside au sein de ce secret : parfois il commence par des zéros. Grâce à des mesures temporelles, les chercheurs arrivent à déterminer si le secret commence par un zéro ou non. Si l'on couple cela au fait que l'attaquant intercepte quelques trames lors de l'initialisation Diffie-Hellman, alors l'attaquant a suffisamment d'informations pour calculer le secret commun aux deux parties. S'il dispose du secret commun, il devient possible de déchiffrer les flux.

C'est très difficile d'exploiter cette attaque pour plusieurs raisons : il faut cibler un serveur avec une configuration spécifique puisqu'il doit utiliser Diffie-Hellman et ensuite il faut réaliser des mesures temporelles précises, tout en étant capable d'intercepter les trames entre le client et le serveur. De nos jours, les navigateurs Internet ne supportent plus Diffie-Hellman : Firefox était le dernier à le supporter, mais ce n'est plus le cas depuis juin 2020 et la sortie de Firefox 78.

Au niveau de Windows, Microsoft a également corrigé son OS vis-à-vis de cette faille. Faisant référence à la CVE-2020-1596, il y a différentes KB associées dont la KB4571756 pour Windows 10 v2004. De son côté, le paquet openssl a également résolu le problème depuis la version 1.0.2f en réponse à la faille CVE-2020-1968 tout en précisant que la version 1.1.1 n'est pas concernée par cette faille Raccoon Attack.

📌 portal.msrc.microsoft.com

📌 openssl.org

📌 raccoon-attack.com

The post Raccoon Attack : une faille dans SSL/TLS vieille de 20 ans first appeared on IT-Connect.

Au moment où vous lisez ce texte, votre environnement est certainement saturé de stimuli qui réclament votre attention. Il y a d'ailleurs de fortes chances qu'avant de finir la lecture de cet article, vous soyez pris d'assaut par des notifications, des appels ou tous autres déclencheurs externes censés vous être utiles. Notre rapport à la technologie est très dépendant des notifications et divers autres mécanismes qui permettent de le rendre interactif. Toutefois, ces mêmes mécanismes sont désormais l'un des premiers obstacles à une réelle concentration et une productivité supérieure.

De nos jours, on chercher tous à « stay focused », à rester concentrés sur l’essentiel malgré les distractions. Fort heureusement, il existe des solutions simples pour booster son attention et optimiser son temps de travail. Rester concentrer lorsque l'on travaille au service informatique, ce n'est pas simple : il y a souvent des utilisateurs qui appellent ou qui viennent directement au bureau, ce qui nécessite d'être capable de jongler intellectuellement entre plusieurs tâches mais est-ce réellement efficace ? Il est peut être temps de revoir ses habitudes de manière générale que ce soit d'un point de vue professionnel ou personnel. Voici quelques pistes pour s'améliorer.

Changer son rapport à la technologie

L'un des plus gros points de vente des smartphones à leur début, est qu'ils transformaient la technologie en une discussion interactive. On nous promettait alors des smartphones capables de nous informer dès l'instant où un événement se produisait. On n'imaginait pas une seconde qu'on deviendrait victimes de cette interactivité constante. Dans les pires cas de figure, on en arrive presque à développer des réflexes pavloviens vis-à-vis de nos mobiles.

Ces mêmes techniques peaufinées sur les mobiles se sont invitées sur ordinateur. Les réseaux sociaux encouragent encore et toujours à autoriser les notifications. Les systèmes d'exploitation promettent une expérience interconnectée qui vous suit de votre mobile à votre station de travail, de votre montre connectée à votre tablette.

La première solution pour se défaire de ces chaînes technologiques, c'est de changer son rapport à la technologie. Pour ce faire, on cherchera à identifier les sources de distraction et leurs déclencheurs, on fera le bilan de nos propres habitudes productives et contre-productives ; et enfin, on apprendra à dompter son temps en se fixant des objectifs réalisables.

Comment identifier les déclencheurs de distractions ?

L'une des distractions les plus courantes aujourd'hui, ce sont les réseaux sociaux. Et leurs déclencheurs sont les notifications intempestives. Ce ne sont toutefois pas les seules distractions. Chaque personne a une propension à se tourner vers les sites et les contenus qui lui apportent satisfaction lorsqu'ils sont tentés de procrastiner. Il faudra donc faire preuve de rigueur et d'honnêteté personnelle pour dresser la liste de tous les sites qui répondent à ces critères.

Une fois que ces éléments ont été identifiés, il faudra combattre activement leurs notifications. Les méthodes varient selon les cas de figure. Pour certains, la solution idéale consiste à paramétrer depuis les profils sociaux. Pour d'autres, il s'agira d'utiliser le mode "Ne Pas Déranger" de son mobile ou d'éliminer les notifications de ces plateformes.

Cette solution a beau être efficace, elle est loin d'être parfaite. En effet, pour certains, la boîte email peut être un véritable piège à productivité. Une notification banale peut les lancer sur une piste glissante dont ils ne parviennent pas à sortir. Si c'est votre cas, éliminer les notifications de la boîte email peut être contre-productif. D'autant plus que c'est un outil de travail précieux !

Dans ce contexte, il est possible de renverser les rôles et de mettre la technologie à votre service. Pour rester concentré, on peut faire usage de services spécialisés qui gèrent les notifications, bloquent l'accès à des sites distrayants et quantifient efficacement votre productivité. Un moyen de mieux comprendre vos propres processus cognitifs, et d'améliorer votre concentration sur la durée.

Comment dompter son temps ?

Lorsqu'il s'agit du temps dont on dispose, une bonne pratique universelle est de décortiquer efficacement ses objectifs. Chaque objectif global doit pouvoir être scindé en tâches bien plus petites et réalisables dans des délais spécifiques.

En procédant à cette subdivision concrète des objectifs en tâches, on parvient à dégager son esprit de considérations trop grandes. Plutôt que d'être pris d'assaut par des pensées parasites en rapport avec les objectifs à moyen et long terme, on peut se consacrer pleinement à la réalisation des tâches quotidiennes.

C'est une stratégie qui a fait ses preuves et qui est prisée par les travailleurs les plus productifs dans tous les domaines. Peu importe que ce soit dans le monde de l'entrepreneuriat, dans les domaines créatifs ou même scientifiques. Qui plus est, c'est une astuce pratique pour se motiver à travailler, lorsque les missions à long terme sont trop intimidantes.

Identifier les bonnes habitudes et les renforcer

Optimiser sa productivité ne peut se faire tant qu’on n’a pas une bonne compréhension de ses propres atouts. Tandis que certains sont plus productifs lors des premières heures, d'autres ont des pics de productivité moins réguliers. Tandis que certains peuvent apporter leur attention complète à une tâche pendant de longues heures, d'autres ont besoin de faire des pauses fréquentes pour rester investis dans leur travail. Il est impératif d'identifier votre profil spécifique afin d'en tirer le maximum.

Selon vos atouts, vous pourrez alors développer des routines qui mettent l'accent sur les bonnes habitudes, tout en éliminant au maximum celles qui vous nuisent. Concrètement, il peut s'agir de vous coucher plus tôt et de vous lever encore plus tôt, si votre pic de productivité a lieu dans la matinée. Il peut être question d'adopter une hygiène de travail plus saine, en alternant les tâches lourdes et moins fatigantes pour se ménager.

The post Comment rester concentré ? Entraînez votre cerveau et améliorez votre concentration first appeared on IT-Connect.

I. Présentation

Microsoft Teams offre de nouvelles possibilités pour communiquer avec ses collègues et les membres d'une équipe projet. Au-delà de la possibilité d'envoyer des messages dans les conversations privées ou liées à un canal d'une équipe, Microsoft propose d'envoyer directement un e-mail dans un canal : le message sera alors publié dans le canal sous forme d'e-mail, et non comme un simple message textuel. Il est également possible de télécharger l'e-mail original au format EML comme s'il s'agissait d'un fichier publié dans Teams.

II. Autoriser les utilisateurs à envoyer des e-mails à un canal

Microsoft offre la possibilité aux administrateurs Office 365 d'empêcher l'utilisation d'une adresse e-mail au sein des canaux Teams. Voyons comment vérifier l'état actuel de votre tenant.

A l'aide d'un compte Administrateur, connectez-vous à l'interface d'administration Teams : https://admin.teams.microsoft.com/

Lorsque c'est fait, sur la gauche cliquez sur "Paramètres à l'échelle de l'organisation", puis sur "Paramètres Teams". Sur la droite, différents paramètres vont s'afficher, dont une partie "Intégration de la messagerie" qui contient le paramètre suivant : Autoriser les utilisateurs à envoyer des e-mails à une adresse de messagerie de canal.

Vous l'aurez compris, cette option doit être activée pour que les e-mails à destination de vos canaux Teams soient autorisés. Si vous souhaitez limiter ces e-mails à certains domaines de messagerie, par exemple uniquement celui de votre entreprise, vous devez compléter l'option "Accepter les e-mails du canal provenant de ces domaines SMTP".

Maintenant, voyons comment cela se présente dans le client Teams.

III. Envoyer un e-mail à un canal Teams

La première étape consiste à récupérer l'adresse e-mail du canal. En effet, chaque canal dispose de sa propre adresse e-mail générée par Microsoft.

Ouvrez Teams et dans la liste de vos équipes et canaux, cliquez sur le canal pour lequel vous souhaitez récupérer l'adresse e-mail. Ensuite, cliquez sur "..." pour afficher plus d'options et cliquez sur "Obtenir l'adresse e-mail".

Une fenêtre va s'ouvrir, vous pouvez dès à présent copier l'adresse e-mail.

Si l'on regarde les options avancées en cliquant sur le lien, nous pouvons voir qu'il est possible de restreindre l'utilisation de cette adresse e-mail. Par défaut, n'importe qui peut envoyer des e-mails à votre canal : même quelqu'un que vous ne connaissez pas s'il parvient à récupérer l'adresse e-mail. Vous pouvez modifier ce comportement en choisissant d'autoriser seulement les membres de cette équipe ou certains domaines de messagerie (paramètre gérable à l'échelle de l'entreprise directement dans le panneau d'administration Teams).

Si vous modifiez la configuration, pensez à cliquer sur "Enregistrer". 📢 Attention, cela s'applique seulement à ce canal.

Ensuite, il suffit d'ouvrir Outlook et d'insérer dans le champ "A" l'adresse e-mail obtenue. Il ne reste plus qu'à rédiger l'e-mail et à l'envoyer....

Dans le canal Teams, l'e-mail apparaîtra de cette façon :

Nous voyons bien que la mise en forme est différente vis-à-vis d'un message classique. Si vous avez une signature dans votre e-mail, elle sera également reprise dans le message Teams. Si vous cliquez sur "Afficher l'e-mail d'origine", vous allez pouvoir télécharger un fichier EML correspondant à l'e-mail.

Il ne reste plus qu'à passer l'information à vos collègues pour utiliser cette fonctionnalité intéressante 😉

The post Comment envoyer un e-mail à un canal Teams ? first appeared on IT-Connect.

Retour d'un bon plan sur une imprimante 3D de chez Creality sur la boutique en ligne Tomtop : le modèle Creality 3D Ender-3 V2 passe à 194.65 euros avec la livraison gratuite et rapide depuis l'Allemagne.

Le volume d'impression de cette imprimante est de 220*220*250mm, ce qui est identique au volume d'impression de la V1 de cette imprimante 3D. La précision est de +/- 1 mm et la machine est compatible avec le très célèbre logiciel Cura. En cas de coupure de courant, l'imprimante est capable de reprendre là où elle c'était arrêtée.

Par rapport à la V1, cette nouvelle version apporte plusieurs améliorations, elle est notamment plus silencieuse, elle intègre un écran de 4,3'' avec une interface plus ergonomique, et le plateau chauffant s'annonce beaucoup plus résistant dans le temps.

Pour obtenir ce tarif il est nécessaire d'indiquer le code promo "TPV23D" dans le panier avant de procéder au paiement 😉. L'imprimante est fournie avec 20 mètres de filaments PLA blanc.

📌 Profiter du bon plan

Rappel : puisque le produit est expédié directement depuis l'Allemagne, d'une part la livraison est gratuite, mais cela permet également d'éviter les frais de douane.

The post Bon plan du jour : Creality 3D Ender-3 V2 à 195 euros first appeared on IT-Connect.

Microsoft a intégré une nouvelle fonctionnalité intéressante à la dernière preview de Windows 10 : la possibilité de monter un disque physique via WSL 2 afin de permettre d'accéder aux données d'un disque avec un système de fichiers Unix tel que EXT4.

Au sein de Windows 10 Insider Preview Build 20211, il devient possible d'accéder à des fichiers stockés sur un disque formaté dans un système de fichiers non pris en charge par Windows nativement, comme l'EXT4. Lorsque le disque physique sera monté grâce à WSL 2 et la commande "wsl --mount", les données seront accessibles depuis l'Explorateur de fichiers Windows.

Au niveau de l'Explorateur, il faudra accéder à \wsl$ et ensuite dans le dossier de montage. Intéressant pour les personnes qui utilisent un PC en Dual boot Windows/Unix car cela permet d'accéder à vos données depuis les deux systèmes d’exploitation.

Le système de fichiers utilisé par défaut pour monter un disque est l'EXT4. Pour utiliser un autre système de fichiers Unix, il faudra le spécifier au moment du montage. Pour démonter un disque et le détacher de votre système, la commande "wsl --unmount" devra être utilisée. Deux commandes qui ne sont pas sans rappeler "mount" et "umount" sous Linux.

Microsoft précise qu'il y a quelques limitations pour le moment :

- Seuls les disques entiers peuvent être montés. Autrement dit, il n'est pas possible de monter seulement une partition.
- Les disques USB sont pris en charge, mais pas les lecteurs flash en USB (clé USB, par exemple)
- La commande "wsl --mount" supporte seulement les systèmes de fichiers supportés nativement par le noyau Linux

Comme l'a rapporté @Joff dans un commentaire sur le site, le dernier patch de sécurité pour Windows 10 v2004 bloque WSL 2 sur les machines ayant installées ce correctif et génère le message d'erreur "The remote procedure call failed". Microsoft travaille sur le sujet.

📌 Comment installer WSL 2 sous Windows 10 ?

Source

The post WSL 2 intègre l'accès aux systèmes de fichiers Linux depuis Windows first appeared on IT-Connect.