Baptisée LogoFAIL par les chercheurs en sécurité de Binarly, cet ensemble de vulnérabilités dans l'UEFI affecte le matériel de pratiquement tous les fabricants où une puce x86 ou ARM est utilisée. L'exploitation de LogoFAIL permet le déploiement d'un bootkit via la bibliothèque d'images du firmware. Faisons le point sur cette menace potentielle.

À l'occasion de la conférence BlackHat Europe 2023 qui s'est déroulée à Londres, les chercheurs en sécurité de Binarly ont levé le voile sur LogoFAIL, une technique d'attaque qui repose sur un ensemble de vulnérabilités présentes dans les bibliothèques d'analyse d'images utilisées par les fournisseurs pour afficher les logos pendant le processus de démarrage de la machine. De ce fait, des centaines de modèles d'ordinateurs, aussi bien sous Windows que Linux, sont vulnérables à cette technique d'attaque qui affecte, une nouvelle fois, l'UEFI.

Cette attaque consiste à déployer un bootkit, un logiciel malveillant qui affecte le processus de démarrage de la machine et qui est difficile à détecter et à éliminer. D'ailleurs, en début d'année 2023, le bootkit BlackLotus avait fait parler de lui, car il parvenait à outrepasser le Secure Boot de Windows. Si l'on prend l'exemple de LogoFAIL, la technique permet de rendre inefficaces des mécanismes de protection comme l'Intel Boot Guard.

Comment exploiter LogoFAIL ?

Pour exploiter l'ensemble de vulnérabilités LogoFAIL, il est nécessaire d'altérer le contenu de la bibliothèque d'images du firmware. Autrement dit, l'attaquant doit disposer d'une image de logo malveillante qui va remplacer l'image officielle chargée au démarrage de votre ordinateur, que ce soit le logo Samsung, le logo HP, le logo Acer ou encore celui de Dell.

Cette image spécialement conçue aura pour objectif de déployer la charge utile sur la machine ciblée. Ceci permettra à l'attaquant d'exécuter du code malveillant sur la machine, car il a un accès total au disque et à la mémoire de l'ordinateur (y compris sur le système d'exploitation en ligne).

L'attaque peut être déployée grâce à un accès physique à la machine, mais également à distance dans un scénario de post-exploitation, après la compromission initiale de la machine.

Désormais, les fabricants ont connaissance des vulnérabilités mises en évidence par LogoFAIL et ils vont déployer des mises à jour de sécurité pour le firmware des ordinateurs. Vous savez ce qu'il vous reste à faire....

Retrouvez les slides de la présentation de la conférence BlackHat Europe 2023 sur cette page. Voici également une vidéo de démonstration :

Source

The post LogoFAIL : un simple logo peut infecter l’UEFI de votre machine Windows ou Linux first appeared on IT-Connect.

Vous utilisez WordPress ? Vous devez passer à la version 6.4.2 dès que possible afin de vous protéger d'une faille de sécurité pouvant permettre l'exécution de code PHP sur un site vulnérable. Faisons le point sur cette menace.

Actuellement utilisé par plus de 800 millions de sites Web, le CMS WordPress est très populaire ! Alors, forcément, quand il est affecté par une faille de sécurité importante, il faut s'y intéresser de près.

• Comment installer WordPress sur un serveur Web ?

D'ailleurs, sur la page du site WordPress où sont présentés les changements apportés dans cette version, voici ce que nous pouvons lire au sujet de cette faille de sécurité qui vient d'être patchée : "Une vulnérabilité d'exécution de code à distance qui n'est pas directement exploitable dans le noyau ; cependant, l'équipe de sécurité estime qu'il y a un potentiel de gravité élevé lorsqu'elle est combinée avec certains plugins, en particulier dans les installations multisites."

Pour qu'une attaque soit réalisable, cette vulnérabilité "PHP POP" (Property Oriented Programming) doit être exploitée conjointement à une autre vulnérabilité. Ceci créerait une chaine d'exploitation permettant à l'attaquant d'exécuter du code PHP arbitraire sur le serveur Web. La vulnérabilité présente dans WordPress n'est pas critique, mais ce qui l'a rend dangereuse, c'est le fait qu'elle permette une exécution de code au travers d'autres extensions ou thèmes.

Par ailleurs, la plateforme Patchstack précise qu'une chaine d'exploitation pour cette faille de sécurité a été publiée sur GitHub il y a plusieurs semaines, et qu'elle a ensuite été introduite à l'outil PHPGGC.

Comment se protéger ?

Vous connaissez la réponse : pour vous protéger, vous l'aurez compris, vous devez mettre à jour WordPress pour passer sur WordPress 6.4.2 !

Toutefois, il convient de préciser que si vous utilisez une version inférieure à WordPress 6.4, vous n'êtes pas affecté. En effet, cette vulnérabilité a été introduite dans le core de WordPress 6.4 au sein de la classe "WP_HTML_Token" permettant d'améliorer le parsing HTML dans l'éditeur de blocs.

Par ailleurs, cette nouvelle version corrige 7 bugs importants non liés à la sécurité de WordPress.

Source

The post WordPress 6.4.2 vous protège de cette vulnérabilité facilitant l’exécution de code PHP ! first appeared on IT-Connect.

L'épuisement des ressources et les risques environnementaux font aujourd'hui partie des préoccupations majeures des gouvernements et de la société. Les progrès technologiques se révèlent être de véritables alliés pour faire face aux enjeux du développement durable à plusieurs niveaux. Comment la technologie impacte-t-elle le domaine de l'environnement ? Quels sont les métiers qui découlent de ce secteur ? Quelles formations pour accéder à ces métiers ?

Comment la technologie se met-elle au service du développement durable ?

Aujourd'hui, la technologie est utilisée dans le secteur du développement durable de bien des manières. L'internet des objets (IoT) est l'un de ces concepts qui permettent d'accélérer la transition durable. Il est capable de contribuer à la réduction de la consommation d'eau, d'énergie et d'autres matières premières. Il peut améliorer les performances et la rentabilité des secteurs économiques et même participer à la diminution des gaspillages. L'IoT facilite grandement la collecte et la transmission des données. Il est efficace pour contrôler presque tout ce qui permet de réduire votre empreinte écologique.

Les apports de la technologie ne se limitent pas à cette invention. Plusieurs autres secteurs bénéficient de ses avantages. C'est le cas notamment de l'agriculture, où elle favorise une exploitation agricole viable et une utilisation appropriée des ressources pour répondre aux besoins d'une population sans cesse croissante.

La technologie se met également au service de la gestion de l'eau et de la transition énergétique. Elle permet de diminuer considérablement le gaspillage sans pour autant renoncer au confort. Pour ce qui est du secteur de l'énergie, elle est utilisée pour optimiser la production et la distribution de l'électricité.

Quelles formations envisager pour travailler dans ces secteurs ?

L'écologie et le développement durable sont des défis importants pour notre société. Cela induit des besoins en termes d'emploi et par la même occasion de nombreuses possibilités de formation. Quelle voie choisir pour exercer un métier dans ces secteurs ?

Les diplômes d'enseignement supérieur

Accessibles juste après le bac, les établissements d'enseignement supérieur offrent un certain nombre d'options pour se former dans le domaine de l'environnement. Vous pouvez ainsi étudier le développement durable en master après avoir effectué une licence générale scientifique par exemple.

Ces études permettent de former des professionnels suffisamment compétents pour répondre aux besoins de croissance économique en prenant en considération les dimensions environnementales. L'offre de formation ne se limite pas là, vous pouvez aussi vous spécialiser en urbanisme, en santé ou encore en économie et gestion.

Si vous détenez déjà un bac+2, vous pouvez poursuivre en licence professionnelle pour vous spécialiser dans un domaine spécifique. Cela peut être dans le secteur du traitement des déchets, de la gestion de l'eau ou du développement durable.

Le BUT ou le BTS

Un grand nombre de postes dans le domaine de l'environnement concerne la gestion de l'eau et des déchets. De nombreux organismes sont à la recherche de profils qualifiés pour assurer ces missions. Les techniciens supérieurs sont des professionnels plébiscités. Heureusement, il existe des formations pour acquérir ce niveau de qualification :

• le BTS Métiers des services à l'environnement,
• le BTSA gestion et maîtrise de l'eau,
• le BUT Hygiène Sécurité et Environnement.

Le développement des énergies renouvelables est aussi un secteur en plein essor. De ce fait, les formations telles que le BTS FED (Fluides, Énergies, Domotique) ou le BUT Génie thermique et énergie sont des choix intéressants.

Ceux qui sont davantage attirés par la protection de la nature peuvent opter pour un BTS gestion forestière ou un BTSA gestion et protection de la nature. Vous disposez donc d'un bon nombre de choix pour vous former dans les métiers du développement durable.

Les écoles spécialisées

Les ingénieurs sont particulièrement recherchés dans le secteur de l'environnement. Les écoles d'ingénieurs représentent par conséquent de bonnes options pour obtenir un diplôme qui vous permet d'exercer un métier dans ce domaine.

Certaines d'entre elles se spécialisent dans l'agronomie, les énergies ou encore l'eau. D'autres proposent des formations plus généralistes avec une option en développement durable ou en environnement. Elles permettent d'obtenir à l'issue de la formation un diplôme bac+5 ainsi que le titre d'ingénieur.

Développement durable : quels sont les métiers qui recrutent ?

Les métiers dans les secteurs de l'environnement et du développement durable se développent de plus en plus. Nous vous en présentons quelques-uns qui utilisent la technologie et qui recrutent.

Technicien de traitement des déchets

Donner aux déchets une nouvelle vie, tel est le rôle du technicien en traitement des déchets. Ce spécialiste garantit le bon déroulement de l'ensemble du processus de traitement des déchets. L'objectif final est de s'en débarrasser ou de les revaloriser en les recyclant. Les opportunités de recrutement de ces professionnels sont nombreuses et cela ne risque pas de s'arrêter.

Ingénieur en traitement des eaux

Qu'il exerce dans le secteur privé ou public, l'ingénieur en traitement des eaux est chargé de mettre en plage et de gérer des projets relatifs au traitement de l'eau. Son principal objectif est de s'assurer que la qualité de l'eau est conforme aux règles en vigueur.

Ce métier est d'une grande importance pour répondre aux besoins d'accès à l'eau potable, mais aussi aux objectifs de protection de la biodiversité. Les profils qualifiés seront de plus en plus recherchés dans les collectivités territoriales.

Chargé d'études en environnement

Le chargé d'études en environnement est celui qui détermine les effets d'une construction sur la faune et la flore, mais également sur les activités économiques. Il pilote différentes sortes de projets en mettant la priorité sur le respect et la protection de l'environnement. Les entreprises et les collectivités recherchent ces profils, notamment pour se conformer aux réglementations en ce qui concerne les risques industriels et environnementaux.

Agent de développement des énergies renouvelables

L'agent de développement des énergies renouvelables est un acteur majeur dans la politique écologique des collectivités locales. Sa mission est claire : identifier et évaluer le potentiel en énergie renouvelable des bâtiments. Il s'occupe également de l'organisation et du suivi des travaux pour équiper ces bâtisses. C'est aussi à lui que revient le rôle de sensibiliser les habitants sur les stratégies menées par la collectivité en termes d'énergies renouvelables. Ce poste nécessite des connaissances accrues en technologies modernes pour piloter de tels projets.

Vous l'aurez compris, la technologie constitue un allié de taille pour le secteur du développement durable. Elle facilite la gestion des projets et contribue à une meilleure exploitation des ressources naturelles. Pour exercer un métier dans ces domaines, vous devez d'abord acquérir les compétences requises. Un master en développement durable permet notamment d'accéder aux postes les plus recherchés.

Article sponsorisé

The post Développement durable et technologie : est-ce compatible ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer PHP-FPM 8.2 sur un serveur Web Apache2 sous Debian 12. Avant cela, nous verrons pourquoi il faut préférer PHP-FPM plutôt que le module PHP pour Apache.

PHP-FPM pour PHP FastCGI Process Manager fonctionne différemment du module PHP pour Apache2. En fait, PHP-FPM va créer des processus distincts de deux du serveur Web, c'est-à-dire que la liste des processus contiendra des processus PHP-FPM et des processus Apache2. A l'inverse, lorsque PHP est exécuté en tant que module Apache, chaque processus Apache exécute son propre moteur de scripts PHP.

Pour optimiser les ressources, il est recommandé d'utiliser PHP-FPM plutôt que le module pour Apache connu sous le nom de "libapache2-mod-php". Avec PHP-FPM, vous pourrez gérer plus de connexions simultanées tout en utilisant moins de ressources. Intéressant, non ?

Remarque : sur un serveur existant, vous pouvez tout à fait passer de mod_php à PHP-FPM. Nous pouvons même dire que c'est recommandé !

II. Installation de PHP-FPM 8.2 sur Debian 12

Pour la suite de ce tutoriel, une machine sous Debian 12 sur laquelle le paquet Apache2 a été installé sera utilisée. Tout d'abord, nous devons installer le paquet PHP8.2-FPM, afin d'utiliser PHP 8.2. Ce qui donne :

sudo apt-get update
sudo apt-get install php8.2-fpm

Ensuite, nous devons activer deux modules dans Apache2 ainsi qu'un fichier de configuration :

sudo a2enmod proxy_fcgi setenvif 
sudo a2enconf php8.2-fpm 
sudo systemctl reload apache2

Voilà, PHP-FPM pour PHP 8.2 est installé et activé sur le serveur.

III. Intégrer PHP-FPM à Apache

Pour qu'Apache sollicite PHP-FPM pour l'exécution des scripts PHP, vous devez configurer chaque VirtualHost en conséquence. En fait, vous devez indiquer dans votre VirtualHost que pour tous les fichiers ".php", il faut solliciter PHP8.2-FPM en local.

Vous devez éditer le fichier de votre VirtualHost, par exemple :

sudo nano /etc/apache2/sites-available/support.it-connect.tech.conf

Puis, ajoutez ce bloc de 3 lignes à l'intérieur des balises <VirtualHost>, comme ceci :

<FilesMatch \.php$>
    SetHandler "proxy:unix:/run/php/php8.2-fpm.sock|fcgi://localhost/"
</FilesMatch>

Vous pouvez intégrer ces lignes à l'identique, si ce n'est qu'il faudra adapter en fonction de la version de PHP-FPM que vous utilisez. Ici, c'est bien "php8.2-fpm" qui est spécifié.

Enregistrez et redémarrez Apache pour prendre en compte les changements :

sudo systemctl restart apache2

En principe, la commande ci-dessous doit vous retourner la valeur "mpm_prefork_module (shared)".

sudo apachectl -M | grep 'mpm'

IV. Comment configurer PHP-FPM ?

Ceux qui ont l'habitude d'utiliser mod_php ont également l'habitude de modifier le fichier "/etc/php/8.2/apache2/php.ini" pour configurer PHP. Oubliez ce fichier ! Désormais, vous devez éditer le fichier suivant :

sudo nano /etc/php/8.2/fpm/php.ini

A l'intérieur, vous retrouvez toutes les directives pour configurer PHP : memory_limit, upload_max_filesize, max_file_uploads, session.cookie_httponly, etc...

Il vous suffit d'effectuer votre configuration et d'enregistrer le fichier.

; Whether or not to add the httpOnly flag to the cookie, which makes it
; inaccessible to browser scripting languages such as JavaScript.
; https://php.net/session.cookie-httponly
session.cookie_httponly = on

Ensuite, pour appliquer les modifications, nous n'allons pas redémarrer Apache2 ! C'est bien le service PHP-FPM qu'il faut redémarrer :

sudo systemctl restart php8.2-fpm.service

V. Conclusion

Après avoir appliqué cette configuration, votre serveur Web Apache2 exécute les scripts PHP à l'aide de PHP-FPM ! Si vous exécutez la commande "top" sur votre machine, vous devriez voir des processus "apache2" et des processus "php-fpm8.2".

The post Comment configurer Apache2 avec PHP-FPM 8.2 pour exécuter les scripts PHP ? first appeared on IT-Connect.

Google a résolu le problème qui affecte Google Drive et qui a engendré la perte de données d'utilisateurs : voici les deux solutions proposées pour récupérer vos documents !

• Panique chez Google Drive : des fichiers supprimés soudainement, sans action de la part des utilisateurs !

Souvenez-vous, il y a une dizaine de jours, c'était la panique chez Google Drive ! De nombreux utilisateurs se plaignaient de la suppression soudaine de fichiers stockés dans leur Drive, sans aucune action de leur part. Dans certains cas, les utilisateurs ont perdu plusieurs mois de données... Les utilisateurs ont clairement montré leur mécontentement, et c'est compréhensible : surtout que certains utilisateurs paient pour avoir un espace de stockage plus important.

Du côté de Google, il fallait d'une part identifier l'origine de ce bug très impactant pour les utilisateurs, et d'autre part, proposer une solution aux utilisateurs permettant la récupération des données perdues. Désormais, nous en savons beaucoup plus sur cet incident !

La firme de Mountain View affirme que ce problème provient du client desktop de Google Drive, et plus particulièrement la version 84, avec les versions comprises entre la 84.0.0.0 et la 84.0.4.0. Pour la récupération des données, Google propose deux méthodes.

Première méthode : en mode graphique

Google vous demande de télécharger et d'installer la dernière version de Google Drive pour desktop. Autrement dit, il s'agit d'installer la version 85.0.13.0 (ou une version plus récente). Après l'installation de la mise à jour, fermez Google Drive et relancez-le pour bénéficier de la nouvelle version.

Ensuite, cliquez sur l'icône Google Drive présent dans la zone d'accès rapide de Windows (en bas à droite), puis cliquez sur l'icône en forme de roue crantée en appuyant en même temps sur la touche MAJ du clavier. Ceci va permettre de faire apparaître des options supplémentaires, dont celle nommée "Récupérer à partir de sauvegardes".

Ceci va permettre de démarrer le processus de récupération de vos données, sauf si aucune sauvegarde n'a été trouvée. Le client Google Drive vous notifiera dans tous les cas. Les données restaurées seront stockées dans un dossier nommé "Google Drive Recovery" présent sur le Bureau de la session (ce qui peut être problématique s'il y a beaucoup de données et peu d'espace disque disponible sur la machine).

Deuxième méthode : en ligne de commande

Toujours sur le même principe, téléchargez et installez la dernière version de Google Drive. Ensuite, fermez Google Drive sur votre PC : cliquez sur l'icône Google Drive présent dans la zone d'accès rapide de Windows (en bas à droite), puis cliquez sur l'icône en forme de roue crantée afin de choisir "Quitter".

Ensuite, ouvrez une Invite de commandes sur votre PC Windows et exécutez la commande suivante :

"C:\Program Files\Google\Drive File Stream\launch.bat" --recover_from_account_backups

Ceci va déclencher la récupération des données en arrière-plan. "L'exécution est terminée lorsque GoogleDriveFS.exe n'est plus en cours d'exécution dans le Gestionnaire des tâches.", précise Google.

Les données restaurées seront stockées dans un dossier nommé "Google Drive Recovery" présent sur le Bureau de la session. Si vous avez besoin de stocker les données restaurées vers un autre volume, vous devez utiliser une option supplémentaire nommée "--recover_output_path" :

"C:\Program Files\Google\Drive File Stream\launch.bat" --recover_from_account_backups --recover_output_path "D:\chemin\vers\la\cible"

Sous Windows, des journaux seront générés à l'emplacement suivant :

%USERPROFILE%\AppData\Local\Google\DriveFS\Logs

Tout est expliqué pour cette page, aussi bien pour Windows que pour macOS.

Bon courage !

The post Perte de données Google Drive : voici comment récupérer vos données ! first appeared on IT-Connect.