Catégories
Expert Linux Sécurité

CentOS / Fedora / Red Hat : désactiver le pare-feu iptables

La référence des logiciels de protection pare-feu sous Linux est iptables. Cet outil de filtrage de paquets est un logiciel libre compatible Red Hat, CentOS et Fedora, tous basés sur RHEL. Ce tutoriel explique comment désactiver iptables et empêcher son redémarrage automatique ou manuel. Ce n’est pas recommandé niveau sécurité mais certains usages peuvent le nécessiter : test, développement ou simplement parce qu’une protection firewall est en place au niveau du réseau physique de l’entreprise.

Remarque : iptables est valable pour le protocole IPv4. Il existe aussi ip6tables pour IPv6, arptables pour ARP et ebtables pour les trames Ethernet. Le module générique noyau s’appelle x_tables. Par défaut, iptables est installé dans le dossier /usr/sbin/iptables.

 

Arrêter iptables sur Red Hat, CentOS, Fedora

1. Regarder le statut actuel de iptables :

systemctl status iptables

2. Stopper iptables :

systemctl stop iptables

 

Désactiver le démarrage automatique de iptables

1. Désactiver iptables pour empêcher son démarrage automatique :

systemctl disable iptables

2. Empêcher son démarrage manuel :

systemctl mask iptables
Catégories
Expert Sécurité Windows Server 2012 / R2 Windows Server 2016

Restaurer un fichier avec l’outil de Sauvegarde Windows Server

Les différentes versions de Windows Server sont livrées avec un outil de sauvegarde, qui permet de sauvegarder tout ou partie d’un serveur animé par le système d’exploitation de Microsoft. Basique mais gratuit et fiable, l’utilitaire Sauvegarde de Windows Server doit être installé car il n’est pas activé par défaut.

Ce tutoriel explique comment restaurer des fichiers et des dossiers depuis une sauvegarde Windows Server, à partir d’un backup réalisé avec le logiciel gratuit de Microsoft. Le support doit évidemment être physiquement branché au serveur ou accessible via le réseau pour pouvoir récupérer les fichiers.

Cette procédure est compatible avec les systèmes d’exploitation serveur Microsoft Windows Server 2016, 2012 / R2 et 2008 / R2.

 

Restaurer des fichiers avec Windows Server Backup

1. Ouvrir l’outil de Sauvegarde de Windows Server, par exemple via le Gestionnaire de serveur.

2. Dans la liste affichée, chaque ligne indique l’heure de début de la sauvegarde avec la description « Réussite » pour confirmer que tout s’est bien déroulé.

3. Cliquer sur « Récupérer » dans le menu de droite.

4. Indiquer où est stockée la sauvegarde.

5. Choisir la date à partir de laquelle effectuer la restauration de fichiers.

6. Préciser le type de données à récupérer : « Fichiers et dossiers » dans notre exemple.

7. Naviguer pour sélectionner les éléments à récupérer, fichier(s) et/ou dossier(s).

8. Répondre aux questions posées :

  • Restaurer à l’endroit d’origine ou dans un autre dossier (pour comparer les versions, par exemple)
  • Que faire si le fichier existe encore dans l’emplacement d’origine (créer une copie, remplacer l’actuel ou ne pas écraser l’existant)
  • Définir les mêmes attributs de sécurité sur les dossiers et fichiers (autorisations d’accès ou de modification)

9. Démarrer la restauration en cliquant sur le bouton « Récupérer » et laisser l’opération se dérouler.

10. A la fin de la récupération de fichiers, un message affiche le statut Terminé. Aucun mail ne sera envoyé pour prévenir l’administrateur système ou le gestionnaire de sauvegarde. Une ligne s’est ajoutée dans l’historique des tâches de la Sauvegarde Windows Server.

Catégories
Sécurité

Ajouter le support de TLS 1.1 et TLS 1.2 à Windows Server 2008

Windows Server 2008, système d’exploitation que l’on peut maintenant qualifié d’obsolète, est encore présent dans les entreprises. Pas la version R2 sortie en 2009 mais l’édition initiale de début 2008, faisant suite à WS 2003 R2. Dix ans plus tard, son support n’est plus assuré par Microsoft mais s’il est encore utilisé en tant que serveur de production, sa protection doit encore être assurée. Les sécurités de chiffrement type SSL et TLS doivent donc être mises à niveau pour protéger les machines qui hébergent des sites internet IIS, de la messagerie Exchange…

Fort heureusement, si le support est néanmoins terminé, il est toujours possible d’ajouter la prise en charge des chiffrements les plus récents. En effet, Microsoft livre un correctif pour offrir le support de TLS 1.1 et 1.2 à Windows Server 2008 SP2, de dix ans d’âge. Précision : ce fix est gratuit, le seul prérequis est d’avoir le Service Pack 2 d’installé et bien sûr d’avoir un certificat SSL TLS compatible avec cette version.

Evidemment, le plus sécurisant sera de mettre à jour l’OS du serveur pour le passer en Windows Server 2016 qui bénéficie du plus long cycle de vie actuel de maintenance, tant au niveau de la sécurité que des fonctionnalités.

 

Windows Server 2008 : activer TLS 1.1 et TLS 1.2

A lire : Update to add support for TLS 1.1 and TLS 1.2 in Windows Server 2008 SP2

Télécharger le KB4019276 (windows6.0-kb4019276-x64 ou windows6.0-kb4019276-x86)

Catégories
Expert Sécurité

FileZilla Server : activer le FTPS (FTP over TLS)

Le protocole FTP est utilisé depuis de nombreuses années pour échanger des fichiers. Ce moyen de communication a peu évolué mais la réglementation européenne RGPD / GDPR peut changer les choses. En effet, les entreprises sont tenues d’assurer la protection et la confidentialité des informations personnelles sur leurs clients et fournisseurs, cela peut donc aussi concerner les échanges par FTP. Pour se conformer à la loi, il faut chiffrer les transferts FTP avec TLS ou SSL. Avec le FTPS, pour FTP over TLS ou over SSL, est sécurisé de manière explicite ou implicite. Le FTPS peut aussi s’écrire FTPES.

Ce tutoriel explique comment configurer le FTPS (FTP over TLS) sur un serveur FTP FileZilla Server. Ce logiciel open source et gratuit est très populaire comme serveur FTP sur système d’exploitation Microsoft Windows.

 

Activer le FTP over TLS (FTPS) sur FileZilla Server

1. Ouvrir la console d’administration de FileZilla Server.

2. Aller dans le menu Edit, Settings.

3. Cliquer sur le menu « FTP over TLS settings » .

4. Cocher la ligne « Enable FTP over TLS support (FTPS) » .

5. Définir un port de connexion, par défaut le 990.

6. Cliquer sur le bouton « Generate new certificate » et remplir les informations demandées :

  • Key size : 4096 bits
  • 2-Digit country code : FR pour France, CA pour Canada, BE pour Belgique, CH pour la Suisse, DZ pour Algérie…
  • Full State or Province : nom de l’Etat ou de la région
  • Locality (City) : ville
  • Organization : nom de l’entreprise
  • Organization unit : nom du service, par exemple
  • Contact E-mail : adresse mail de contact
  • Common name : adresse du serveur
  • Save key and certificate to this file : où enregistrer le fichier de certificat

Cliquer sur « Generate certificate » pour créer le certificat avec la clé privée RSA.

7. Par défaut, le simple FTP (port 21) sera encore activé : cocher la ligne « Disallow plain unencrypted FTP » pour refuser les futures connexions par ftp:// :

Les autres informations de configuration sur FTPS sur FileZilla Server se trouvent sur le wiki du logiciel open source.

8. Valider par OK. Le serveur FTP se relance et devient FTPS uniquement. Les prochaines connexions de clients FTP devront se faire par FTPS (ftps://) et non plus par FTP (ftp://). Le client FTP FileZilla gère ce protocole.

 

Connexion à un serveur FTPS

1. Ouvrir un client FTP et demander une connexion au serveur distant.

2. Accepter le certificat proposé.

3. La connexion et les transferts FTP sont sécurisés.

Techniquement, la session FTPS utilise le protocole TLS 1.2, l’échange de clé ECDHE-RSA, le chiffrement AES-256-GCM et le MAC : AEAD.

 

Connexion en FTP à un serveur uniquement FTPS

Si le serveur FileZilla est configuré pour n’accepter que les connexions sécurisées FTPS, une tentative de connexion par FTP sur port 21 sera soldée par un échec :

Catégories
Internet Sécurité

MyFitnessPal : supprimer son compte

Si vous utilisez le service MyFitnessPal, vous avez certainement reçu un mail qui prévient d’un problème de sécurité qui a affecté le site web (qui n’est même pas https) :

On March 25, 2018, we became aware that during February of this year an unauthorized party acquired data associated with MyFitnessPal user accounts. The affected information included usernames, email addresses, and hashed passwords – the majority with the hashing function called bcrypt used to secure passwords.

En résumé et en français, le site My Fitness Pal a été piraté et les hackeurs ont dérobé les adresses e-mail, les noms d’utilisateur et les mots de passe. Ces derniers ne sont pas en clair, cela signifie que votre mot de passe n’a pas été lu de manière lisible.

Par exemple, un mot de passe tel que « password » pourrait être masqué en « a6ec8097f41d57bd408e4a05f06db218d » donc ce n’est pas un mot de passe dans la nature qui a été cambriolé. Les différents algorithmes de hachage cryptographique sont le MD5, le SHA256…

Explication par Wikipedia :

 

Piratage massif de MyFitnessPal

Pour en revenir à MyFitnessPal, le service Under Armour Connected Fitness a été hacké et les comptes trainent dans la nature. Si les mots de passe ne peuvent pas être exploités facilement, il sera possible aux pirates d’utiliser un décodeur de mot de passe pour accéder à votre compte.

Il n’y a que deux possibilités :

  • changer immédiatement le mot de passe du compte MyFitnessPal
  • ou supprimer le compte MyFitnessPal

A vous de juger si ce compteur de calories est réellement utile dans votre quotidien.

Mais ce n’est pas suffisant. Si le mot de passe utilisé par MyFitnessPal est le même que sur d’autres sites et services associés à votre même adresse mail, il devient urgent de modifier le mot de passe de ces sites en question. Pourquoi ? Parce que si un pirate trouve votre mot de passe MyFitnessPal grâce au vol massif des informations du site, ce hacker pourra se connecter sur vos autres comptes annexes. Il pourrait par exemple avoir accès à votre boite mail, à Amazon, votre banque en ligne… Une raison de plus pour ne pas utiliser le même password sur tous les sites et services en ligne.

 

Modifier un mot de passe MyFitnessPal

1. Aller sur le site My Fitness Pal : http://www.myfitnesspal.com/

2. S’identifier avec e-mail et mot de passe actuel.

3. Une fois connecté, cliquer sur le menu « Paramètres » en haut de l’écran :

4. Dans les Paramètres du compte, cliquer sur « Modifier le mot de passe » :

5. Indiquer le mot de passe actuel et saisir un nouveau code, deux fois pour le confirmer avant de valider par le bouton vert « Enregistrer modifications » :

6. Le mot de passe est immédiatement modifié.

 

Supprimer un compte MyFitnessPal

Solution plus radicale, la suppression du compte MyFitnessPal va définitivement régler le problème pour l’accès à ce site internet.

1. Se connecter sur le site MyFitnessPal.

2. Aller sur le menu « Paramètres » en haut de la page :

3. Tout en bas de la liste des Paramètres du compte, cliquer sur « Supprimer le compte » :

4. Une confirmation est demandée, cliquer sur le bouton vert « Supprimer mon compte » pour continuer :

5. Un message indique enfin que le compte a bien été supprimé.

Malheureusement, supprimer le compte n’empêchera pas de devoir changer l’accès aux autres sites qui utilisent le même mot de passe avec cette adresse e-mail.

Catégories
Internet Sécurité

Gmail : récupérer un mot de passe oublié

Dans une quête toujours plus absolue de la sécurité maximale, un compte Gmail reste protégé par un mot de passe qui se veut complexe donc impossible à deviner et difficile à cracker. Mais il peut arriver que l’on oublie son mot de passe, soit parce que ça fait longtemps qu’on ne l’a plus tapé, soit par un malencontreux trou de mémoire qui rend impossible l’accès à sa messagerie électronique. C’est aussi une solution pour essayer de récupérer la propriété d’un compte Gmail qui aurait été piraté par un hacker.

Gmail ou compte Google, même combat. Gmail étant un service de courriel proposé par Google, le fait d’oublier le mot de passe d’un compte Gmail rendra aussi impossible l’utilisation des autres services de Google, comme Drive, YouTube, Play Musique, Photos… Ce problème peut donc aussi concerner l’accès à l’agenda, Google Maps en mode profil connecté, Google+, etc.

Dès lors, quand on oublie son password, des possibilités sont offertes à l’utilisateur pour récupérer l’accès à son compte. Ce guide expose les différentes manières de retrouver un accès à son compte Google / Gmail quand on a oublié son mot de passe. Ces opérations sont réalisées sur un ordinateur avec un navigateur internet type Google Chrome mais les autres navigateurs (Firefox, Edge, Safari) proposent les mêmes fonctions, équivalentes également sur smartphones et tablettes (Android, iOS).

Google propose plusieurs manières de retrouver son mot de passe perdu de Gmail, que ce soit via une autre adresse de courriel, un téléphone ou avec des questions secrètes. Tour d’horizon et procédure.

A noter que Google ne propose jamais d’afficher le mot de passe utilisé, ni à l’écran, ni par mail, ni par courrier postal. Ce n’est ni gratuit ni payant, aucun service tiers ne peut dispenser ce service. Dans le cas d’oubli de mot de passe Google, la procédure de récupération va permettre de retrouver accès au compte mais en définissant un nouveau mot de passe, pas en lisant l’ancien.


 

Retrouver un mot de passe Google / Gmail

1. Ouvrir un navigateur internet et aller sur https://www.gmail.com/

2. Indiquer l’adresse e-mail nom@gmail.com et cliquer sur Suivant.

3. A l’écran de saisie du mot de passe omis, cliquer sur « Mot de passe oublié » :

4. Suivre les étapes proposées (dont l’ordre peut quelques fois différer).

Saisir votre dernier mot de passe Gmail (le dernier mot de passe dont vous vous souvenez pour ce compte). Sinon, cliquer sur « Essayer une autre méthode » pour continuer.

5. Si la double authentification par téléphone a été paramétrée, Google peut envoyer un SMS au numéro enregistré ou passer un appel avec un robot vocal. Si vous n’aviez pas indiqué de numéro de téléphone ou que celui-ci a entre temps changé, cliquer sur « Je n’ai pas mon téléphone » pour essayer une autre méthode.

6. On peut aussi obtenir un code de validation sur l’adresse e-mail de secours. Cette adresse secondaire avait été demandée lors de la création du compte Gmail, justement en cas d’oubli du mot de passe ou en cas de piratage du compte mail.

7. Si les précédentes méthodes ne sont pas satisfaisantes, il reste le jeu des questions secrètes qui avaient été posées à la création du compte Google.

8. Enfin, une dernière piste pour retrouver l’accès à Gmail serait d’indiquer la date (mois et année) à laquelle le compte Google avait été créé.

9. Si aucune des cinq méthodes n’est possible pour récupérer le compte, il faudra peut-être abandonner et créer un nouveau profil Google Gmail, ou attendre d’avoir le souvenir qui revient en mémoire pour essayer d’anciens mots de passe.

« Nous n’avons pas pu confirmer que ce compte vous appartient« 

Catégories
Expert Logiciels Sécurité Windows Server 2012 / R2

Installer Dell OpenManage Server

La supervision de parc informatique est indispensable en entreprise. Travailler sans outils d’alerte et de surveillance reviendrait à piloter un avion sans tableau de bord, sans aucune indication sur l’état du réservoir de carburant, la vitesse ou l’altitude de vol. Pour surveiller ses serveurs, le constructeur américain Dell offre un logiciel gratuit de supervision. Si les fonctions sont plus limitées que sur l’outil de monitoring iDRAC (integrated Dell Remote Access Controller) avec Lifecycle Controller, le superviseur gratuit Dell OpenManage Server Administrateur (OMSA) est utile à installer sur des serveurs de production. Cela permet par exemple de surveiller son système RAID pour diagnostiquer la panne d’un disque dur physique, un problème d’intégrité sur le volume RAID ou une alerte de firmware obsolète à corriger en urgence.

Ce tutoriel explique comment télécharger et installer l’outil gratuit Dell OpenManage Server (OMS) pour superviser ses serveurs informatiques.

Les prérequis sont faibles : Dell OpenManage Server Administrator 8.2 requiert un serveur Dell avec système d’exploitation Windows Server 2003, 2008 / R2 ou 2012 / R2.

 

Télécharger Dell Open Manage Server

1. Se rendre sur la page Dell OpenManage Server Administrator pour Windows.

2. A la partie « Dell OpenManage Server Administrator 8.2 Download » : choisir le fichier à télécharger, selon l’architecture 32 bits (x86) ou 64 bits (x64) du serveur.

 

Installer Dell Open Manage Server Administrator (OMSA)

1. Ouvrir le fichier .exe téléchargé pour décompresser l’archive, par exemple dans C:\openmanage

2. Aller dans C:\openmanage\windows pour exécuter setup.exe

3. Cliquer sur « Installer Server Administrator » :

4. Installation classique avec Suivant, accepter la licence. Dell recommande une installation « Typique » ce qui va mettre en place :

  • Server Administrator Web Server
  • Server Instrumentation
  • Storage Management
  • WMI
  • SNMP
  • Interface de ligne de commande
  • Journalisation du système d’exploitation
  • Outils de la ligne de commande DRAC
  • QLogic SNMP Agent

L’installation s’effectue par défaut dans le répertoire suivant : C:\Program Files\Dell\SysMgt

 

Accès à Dell OpenManage (OMSA)

1. Sur le serveur lui-même, ouvrir un navigateur sur l’adresse : https://localhost:1311
ou depuis un poste distant : https://nomserveur:1311 (ou par son adresse IP)

2. S’identifier avec le compte Administrateur local ou un compte Administrateur du domaine.

3. La page d’accueil affiche l’intégrité du serveur.

4. Le menu de gauche donne accès à des informations système, comme pour le stockage avec l’état des disques physiques, des Virtual disk RAID et même la version du firmware de la carte RAID si ce contrôleur a besoin d’être mis à jour.

Catégories
Expert Sécurité SGBD

Oracle : désactiver l’expiration automatique des mots de passe

Par défaut, Oracle 11g et 12c demande de modifier le mot de passe des comptes utilisateurs tous les 180 jours. Il s’agit d’une sécurité imposée par Oracle pour sécuriser l’accès aux bases et au SGBD. S’il est facile de réactiver un compte après expiration du mot de passe, on peut préférer que les mots de passe users ne soient jamais expirés, pour éviter le blocage d’une application métier, d’une opération de sauvegarde ou d’un compte administrateur car les logins sys* sont également concernés par l’expiration par défaut des comptes Oracle.

Le message d’erreur que l’on peut rencontrer : ORA-28001 : The password has expired.

Ce tutoriel explique comment désactiver le délai de 180 jours avant l’expiration d’un mot de passe Oracle.

 

Vérifier la durée d’expiration des mots de passe utilisateurs

1. Ouvrir une session SQL Plus ou SQL Developer.

2. Taper la commande suivante :

SELECT * FROM DBA_PROFILES WHERE RESOURCE_NAME = 'PASSWORD_LIFE_TIME';

3. Le résultat indique le nombre de jours avant expiration d’un compte, dans la colonne LIMIT :

 

Supprimer l’expiration de compte Oracle

1. Toujours connecté au serveur Oracle avec SQL Plus ou SQL Developer.

2. Utiliser la commande suivante :

ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED;

3. Le résultat doit être :

Profile DEFAULT modifié(e).

4. Vérifier que la modification ait été prise en compte en redemandant le PASSWORD_LIFE_TIME des DBA_PROFILES :

SELECT * FROM DBA_PROFILES WHERE RESOURCE_NAME = 'PASSWORD_LIFE_TIME';

On voit que la valeur est passée à UNLIMITED, c’est-à-dire sans illimité, sans limite en nombre de jours.

5. Cette modification ne s’applique pas aux comptes qui sont déjà expirés. S’il faut débloquer un login utilisateur, utiliser la commande suivante, décrite dans ce tutoriel.

ALTER USER username IDENTIFIED BY motdepasse ;
Catégories
Expert Sécurité SGBD

Oracle : modifier un mot de passe expiré

Par sécurité, il est recommandé de changer son mot de passe de temps en temps et il en est de même pour les comptes Oracle. Le serveur de bases de données demande d’ailleurs de le modifier régulièrement (tous les 180 jours, soit environ tous les 6 mois), toutefois sans prévenir à l’avance que le compte sera verrouillé si cette opération n’est pas effectuée (sauf si on utilise ce compte dans les 7 jours qui précèdent l’expiration). Et c’est justement un problème parce qu’on se retrouve un beau matin avec le message « ORA-28001 : the password has expired » et donc impossible de se connecter avec le compte utilisateur en question.

Cet autre tutoriel explique comment modifier son password Oracle depuis la console web Enterprise Manager mais ce guide montre comment changer le mot de passe d’un utilisateur Oracle en ligne de commande, avec SQLPlus ou SQLDeveloper.

Cette procédure fonctionne pour les serveurs de BDD Oracle 11g et 12c, qu’il soit installé sur Windows Server, Linux, UNIX ou dans un docker.

 

Mettre à jour un mot de passe utilisateur Oracle

1. Se connecter au serveur Oracle, local ou distant, en SQL Plus ou avec SQL Developer, avec un compte  utilisateur non expiré :

  • sqlplus user/password@serveurdistant   (où ‘distant‘ est l’alias de tnsnames.ora)
  • ouvrir une connexion SQL Developer sur le serveur en question

2. Saisir la commande suivante :

ALTER USER username IDENTIFIED BY "motdepasse" ;

username est le nom d’utilisateur et motdepasse le nouveau mot de passe.

Remarques : les guillemets sont optionnels mais indispensables en cas de caractères spéciaux, par exemple « mot&passe! » .

Il est possible de redéfinir le même mot de passe que celui précédemment utilisé. Cela ne modifiera donc pas le moyen d’accès des sessions enregistrées mais cela repoussera le délai d’expiration du compte.

3. Le retour doit être du type :

« Utilisateur modifié » (SQL Plus) ou « User username modifié(e) » (SQL Developer)

Et c’est reparti pour 180 jours de validité du mot de passe.

Catégories
Expert Linux Sécurité

Serveur NIS sur Fedora : mise à jour de mot de passe

L’administration d’un serveur NIS sur distribution Fedora se fait via la console Utilisateurs et groupes. Si la modification graphique est possible, la création d’un nouvel utilisateur ou la modification d’un mot de passe user doit se faire par une petite commande en console.

Ce tutoriel explique comment, avec un Linux Fedora, mettre à jour la liste des utilisateurs sur le serveur NIS afin que les postes clients reçoivent cette information et la prennent en compte. Par exemple, la modification sur le serveur du mot de passe d’un utilisateur NIS ne sera pas immédiatement pris en compte sur le poste client, il y a une manipulation à réaliser pour que les postes membres du réseau reçoivent cette mise à jour d’information.

Le serveur NIS stocke les noms d’hôte (/etc/hosts) et les comptes avec password (/etc/passwd) sur un serveur principal du réseau. NIS, pour Network Information Service, est un système de gestion d’utilisateurs sur UNIX / Linux aujourd’hui désuet. Aujourd’hui, sont préférés LDAP, Kerberos ou RADIUS, entre autres pour des raisons de sécurité.

 

Mise à jour des paramètres d’un serveur NIS (Linux)

Une fois les modifications faites sur la configuration Utilisateurs et groupes d’un serveur NIS :

1. Ouvrir un Terminal en local ou une connexion SSH distante

2. Taper les commandes suivantes :

cd /var/yp
make + touche Entrée pour valider

3. Sur le poste utilisateur, deux possibilités :

  • soit /etc/init.d/ypbind restart
  • soit redémarrer le système d’exploitation

Ainsi, on pourra se connecter avec le nouveau compte utilisateur ou avec le nouveau mot de passe réseau.

Catégories
Sécurité Windows 7

Antivirus gratuit pour Windows 7 : Microsoft Security Essentials

Si nous ne sommes pas habitués à voir des programmes gratuits chez Microsoft, nous pouvons saluer le logiciel antivirus gratuit proposé pour les systèmes d’exploitation Windows. Sorti en septembre 2009, Microsoft Security Essentials (MSE) est un logiciel gratuit de protection antivirale qui était alors disponible sur Windows XP, Vista et 7. Depuis, Windows 7 est le seul rescapé puisque c’est la seule version encore maintenue par Microsoft.Sur Windows 8, 8.1 et 10, Security Essentials est remplacé par Windows Defender, le nouveau nom de l’antivirus gratuit de Microsoft.

Microsoft Security Essentials est un programme antivirus gratuit pour protéger un ordinateur Windows 7. Cet anti-virus n’est donc pas payant, il fonctionne en français et il n’est pas nécessaire de le renouveler chaque année (comme Avast, par exemple). Inutile donc de payer pour un antivirus Kaspersky, Norton, BitDefender ou McAfee puisque Microsoft offre généreusement un bon outil pour neutraliser et éliminer les virus et autres logiciels malveillants.

Il ne faut pas avoir plusieurs logiciels antivirus sur la même machine. Pour installer MSE, il faudra d’abord désinstaller l’ancien programme de protection contre les virus et ensuite installer le logiciel Microsoft.

 

Télécharger Microsoft Security Essentials, antivirus gratuit pour Windows 7

Cliquer sur l’un des choix suivants, selon l’architecture de Windows 7 en 64 bits ou en 32 bits (le système 64bits est le plus répandu).

Télécharger “Antivirus gratuit pour Windows 7 (64 bits) : Microsoft Security Essentials” AntivirusMSE-64bits.exe – Téléchargé 37296 fois – 14 Mo

Télécharger “Antivirus gratuit pour Windows 7 (32 bits) : Microsoft Security Essentials” AntivirusMSE-32bits.exe – Téléchargé 54780 fois – 12 Mo

 

Installer l’antivirus gratuit Microsoft Security Essentials

1. Par un double clic, ouvrir le fichier téléchargé (AntivirusMSE-64bits.exe ou AntivirusMSE-32bits.exe).

2. Accepter le Contrôle de compte utilisateur par « Oui » :

3. Cliquer sur Suivant et J’accepte.

4. Cliquer sur « Je ne souhaite pas participer au programme pour l’instant » puis Suivant.

5. A l’écran Optimiser la sécurité, laisser coché « Si aucun pare-feu n’est activé, activez le Pare-feu Windows (recommandé) » afin de s’assurer que l’ordinateur soit bien protégé. Aller simplement sur Suivant.

6. Une dernière confirmation : cliquer sur Installer.

7. Après l’installation, le laisser « Analyser mon ordinateur immédiatement après l’obtention des dernières mises à jour » en cliquant sur Terminer.

8. Ainsi, la mise à jour antivirus se fera immédiatement et une rapide analyse du disque dur sera faite dans la foulée.

9. Une fois l’opération terminée, le logiciel antivirus indique que tout est bon et que le PC est protégé.

10. A l’usage, l’antivirus gratuit de Microsoft est simple à gérer. Il prévient par une notification à l’écran s’il bloque une menace et il suffira de suivre ses recommandations pour nettoyer l’ordinateur. On y accède par l’icône verte en bas à droite de l’écran, près de l’heure, icône qui devient orange ou rouge selon les menaces analysées sur le PC.

Remarque : dans le cas d’un PC qui n’est pas connecté à internet ou qui utilise une connexion très lente, on peut télécharger à l’avance le pack de mise à jour antivirus pour Microsoft Security Essentials.

Catégories
Intermédiaire Logiciels Sécurité

FileZilla : récupérer un mot de passe perdu

Vous gérez vos sites internet avec le client FTP FileZilla. Vous utilisez peut-être aussi ce logiciel open source pour les connexions SFTP (SSH FTP) pour aller sur des serveurs distants en Unix / Linux. Aussi, Filezilla gère le FTPS (FTP over SSL/TLS pour des connexions sécurisées. Ce logiciel compatible Windows, BSD et macOS est certainement le plus populaire des clients FTP, gratuit qui plus est.

Et comme tout logiciel de connexion FTP, on peut enregistrer des favoris FTP. FileZilla les gère en tant que « Sites » dans son Gestionnaire de sites (Site manager). Ce tutoriel explique comment lire un mot de passe FileZilla qui a été enregistré dans les sites FTP ou SFTP favoris. On peut aussi retrouver un mot de passe de site récent, simplement connecté par la « Connexion rapide » de FileZilla, c’est-à-dire l’historique récent de connexion FTP ou SFTP.

Ce guide fonctionne avec toutes les versions de FileZilla Client et a été réalisé sur un ordinateur Windows. Le chemin des dossiers sera donc différent sur un autre système d’exploitation.

Pour plus de facilité, on pourra préférer utiliser l’outil Notepad++ pour lire le fichier de configuration XML de FileZilla.

 

Retrouver un mot de passe FileZilla

1. Fermer le logiciel client FTP FileZilla.

2. Aller dans le dossier : Disque local (C:) > Utilisateurs > NomProfil > AppData > Roaming > FileZilla

Il faudra peut-être afficher les fichiers cachés de Windows.

On peut aussi y aller en direct, et sans activer les dossiers cachés, en tapant C:\Users\profil\AppData\Roaming\FileZilla

3. Les sites enregistrés (favoris FTP) se trouvent dans le fichier sitemanager.xml. Les sites récents sont dans recentservers.xml. Ouvrir l’un des fichiers avec le Bloc Notes Windows, WordPad, Notepad++ ou un autre éditeur de texte (double clic ou clic droit, Modifier).

4. Les informations de connexion et le mot de passe sont indiqués en clair dans le fichier texte XML, entre les balises <Pass> </Pass> :

<?xml version= »1.0″ ?>
<FileZilla3 version= »3.22.2.2″ platform= »windows »>
<Servers>
<Server>
<Host>ftp.monserveur.fr</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>windowsfacile</User>
<Pass>MotDePasse</Pass>
<Logontype>1</Logontype>
<TimezoneOffset>0</TimezoneOffset>
<PasvMode>MODE_DEFAULT</PasvMode>
<MaximumMultipleConnections>0</MaximumMultipleConnections>
<EncodingType>Auto</EncodingType>
<BypassProxy>0</BypassProxy>
<Name>Mon FTP</Name>

5. On retrouve ainsi, en quelques clics, le mot de passe égaré d’une connexion FTP ou SSH FTP.

Si le mot de passe est chiffré en base 64, il suffit de récupérer la ligne <Pass encoding= »base64″>XXX</Pass> et de passer le mot de passe sécurisé dans un convertisseur Base64 vers texte ASCII.

On peut aussi faire un Export des paramètres FileZilla pour enregistrer le fichier XML à un autre endroit que sur le profil, répertoire caché AppData et Roaming. La lecture du password sera identique, en clair dans le fichier texte.

Catégories
Expert Sécurité

Installer ou renouveler un certificat SSL dans Microsoft IIS

Les systèmes d’exploitation Windows peuvent héberger des sites web sans avoir à installer un serveur Apache ou WAMP, il s’agit du serveur IIS. Pour aller plus loin qu’une simple mise à disposition de pages html ou php, et pour répondre aux exigences de sécurité du web d’aujourd’hui, il est recommandé de protéger ses pages avec un certificat SSL pour diffuser des pages https. Un tel certificat s’achète auprès d’un fournisseur comme Symantec DigitCert, GoDaddy, Thawte, etc. Pour acheter un certificat SSL, il faudra sûrement fournir un CSR dont voici un tutoriel pour générer un Certificate Signing Request.

Le serveur Microsoft Internet Information Services, plus communément appelé IIS (ou 2IS à l’oral) est un composant gratuit qui s’installe comme un rôle supplémentaire sur Windows Server et sur les versions Workstation de Windows (10, 8.1, 7…). Il sert à héberger des sites web mais aussi des services d’accès à distance comme les RemoteApps via RDS (Remote Desktop Services).

Ce tutoriel explique comment configurer Microsoft IIS pour ajouter un certificat SSL ou renouveler un certificat SSL obsolète puisque ceux-ci ont une durée de vie (un an, deux ans, trois ans…).

 

Microsoft IIS : installer ou remplacer un certificat SSL

Ajouter le certificat sur le serveur Windows

1. Télécharger le certificat SSL chez le fournisseur. Le fichier doit être au format CRT (certificat de sécurité) ou P7B (certificat PKCS #7). Déposer ces fichiers sur le serveur web IIS qui a besoin de ce certificat HTTPS.

2. Sur le serveur Windows IIS, ouvrir une console MMC : touches Windows + R (Exécuter), « mmc » :

3. Ouvrir le menu Fichier et aller sur « Ajouter / supprimer un composant logiciel enfichable » (snap-in en anglais) :

4. A gauche, cliquer sur « Certificats » puis sur le bouton central « Ajouter » :

5. Choisir « Un compte d’ordinateur » (Computer account), « L’ordinateur local » (Local computer) et cliquer sur Terminer.

6. De retour sur la fenêtre « Ajouter ou supprimer des composants logiciels enfichables » on constate que le composant « Certificats (ordinateur local) » a été ajouté sur la partie de droite. Cliquer sur « OK » en bas de fenêtre pour valider l’ajout du composant snap-in.

7. Dans la Console1, dérouler « Racine de la console » , « Certificats (ordinateur local) » et « Autorités de certification intermédiaires » (Intermediate Certification Authorities en anglais). Dans le cas d’un renouvellement, on peut voir la liste des certificats existants et obsolètes qui ont déjà été configurés sur le serveur 2IS.

8. Faire un clic droit sur « Autorités de certification intermédiaires » pour choisir Toutes les tâches, Importer.

9. Faire Suivant pour valider « Ordinateur local » et charger le fichier PKCS #7 (fichier .p7b précédemment téléchargé). Attention, il faut changer le Type de fichier à ouvrir pour pouvoir trouver le fichier d’extension .p7b (chez GoDaddy par exemple, il s’agit d’un fichier gd-g2_iis_intermediates.p7b) :

10. A la question du « Magasin de certificats » , choisir « Placer tous les certificats dans le magasin suivant » et valider « Autorités de certification intermédiaires » :

11. L’importation peut prendre quelques secondes pendant lesquelles on se demande s’il se passe quelque chose. Un message avertit de l’importation réussie du certificat SSL.

 

Ajouter le certificat dans IIS

Le certificat SSL a été ajouté sur le serveur Windows mais pas encore dans le serveur web IIS. C’est ce que nous allons faire dans cette partie du tutoriel.

1. Ouvrir le Gestionnaire de serveur Windows. Dans le menu Outils, cliquer sur « Gestionnaire de services internet (IIS) » pour ouvrir la console de gestion IIS.

2. Dans la partie de gauche « Connexions » , cliquer sur le serveur web qui nécessite le certificat SSL.

3. Au centre de l’écran (Page d’accueil de NomServeurWeb), trouver et doubler cliquer sur « Certificats de serveur » dans le groupe IIS.

4. Dans le menu « Actions » à droite, cliquer sur « Terminer la demande de certificat » (Complete Certificate Request en anglais) :

5. Remplir les informations demandées :

  • Charger le fichier CRT délivré par le fournisseur de certificat SSL
  • Donner un nom pour reconnaitre ce certificat
  • Sélectionner le magasin « Personnel » pour ce nouveau certificat

6. Après validation, le nouveau certificat s’ajoute aux Certificats de serveur web.

7. Dans ce Gestionnaire de services Internet IIS, retourner sur le menu de gauche « Connexions » et dérouler NomServeurWeb, Sites et sélectionner le site qui a besoin du certif SSL (par exemple Default Web Site).

8. Dans « Actions » à droite, cliquer sur « Liaisons » (Bindings).

9. Cliquer sur « Ajouter » et configurer les paramètres demandés pour https et le port 443. Laisser « Adresse IP » en « Toutes non attribuées » et spécifier quel certificat utiliser. Valider et Fermer.

Dans le cadre d’un renouvellement, sélectionner la ligne « https » et « Modifier » : dans Certificat SSL, sélectionner le nouveau certificat identifiable grâce au « nom convivial » défini plus tôt. Valider et Fermer.

10. Dans le panneau « Actions » à droite, cliquer sur « Redémarrer » pour relancer le serveur web et prendre en compte le (nouveau) certificat SSL tout juste configuré.

11. Tester le certificat en allant sur le site internet avec « https » ou charger l’application web qui nécessitait le SSL (par exemple une application publiée sur RDS).

Catégories
Intermédiaire Linux Sécurité

Protéger Ubuntu contre les failles Spectre et Meltdown

Alors qu’on croyait Ubuntu, et plus généralement les distributions Linux, bien protégés contre les problèmes de sécurité, les failles Spectre et Meltdown concernent ici la couche hardware des serveurs et ordinateurs. Puisque le souci est lié au matériel, tous les système d’exploitation sont impactés, de Windows à macOS en passant par Unix et Linux.

Ubuntu n’échappe donc pas à la liste des acteurs qui ont dû trouver une solution pour protéger leurs utilisateurs des failles de sécurité CVE-2017-5715, CVE-2017-5753 (Spectre) et CVE-2017-5754 (Meltdown). Même le dernier Ubuntu 17.10 n’est pas protégé d’origine contre ce trou de sécurité puisque la faille a été découverte fin 2017 et corrigée tout début 2018.

Canonical et Ubuntu Foundation ont publié une annonce à ce sujet en sachant que tous les serveurs et ordinateurs qui tournent sous Ubuntu, avec un microprocesseur Intel, AMD ou ARM sont concernés.

 

Télécharger la mise à jour Ubuntu contre Meltdown et Spectre

C’est finalement assez simple de se protéger contre les deux failles de sécurité qui touchent les CPU : il suffit de télécharger et installer les mises à jour système Ubuntu pour faire une mise à jour du kernel.

Mise à jour Ubuntu :

sudo apt-get update

sudo apt-get upgrade

 

Versions de Kernel protégés contre Spectre et Meltdown

Liste des kernels protégés contre ces deux failles de sécurité.

  • Ubuntu 17.10 Artful : 4.13.0-25.39
  • Ubuntu 16.04 Xenial LTS : 4.4.0-108.131
  • Ubuntu 14.04 Trusty LTS : 4.4.0-1009.9

A noter que Ubuntu 17.04 (Zesty Zapus) ne recevra pas de patch car sa date de fin de support (end of life) est au 13 janvier 2018. Ce n’est pas une release LTS donc son cycle de 9 mois a pris fin, il faut mettre à jour vers Ubuntu 17.10.

Catégories
Sécurité Téléchargement

Télécharger les patchs Windows contre les failles Spectre et Meltdown

Une importante faille de sécurité a été découverte et concerne tous les ordinateurs et objets connectés du monde. Il ne s’agit pas d’une brèche dans un système d’exploitation mais d’un problème qui touche les processeurs, c’est-à-dire le moteur de chaque ordinateur, serveur et même les voitures connectées. Des attaques de type side channel attacks sont ainsi possibles. Pour une fois, diront les détracteurs, ce ne sont pas uniquement les produits Microsoft qui sont visés par ce trou de sécurité. Il s’agit ici d’une faille de sécurité découverte dans les processeurs des marques Intel, AMD, Apple, Qualcomm, IBM et ARM. Ces constructeurs sont ceux qui fournissent les microprocesseurs de tous nos appareils.

Rien que chez Intel, la gamme de produits concernés par ce problème est très large puisque tous les CPU fabriqués depuis dix ans sont impactés : Intel Core (i3, i5, i7 et M) depuis la première génération, Intel Xeon toutes séries, Intel Atom (C, E, A, x3, Z) et même les petits Intel Celeron et Pentium (J, N).

Cela concerne donc tous nos appareils, de l’ordinateur de Bureau sous Windows au serveur d’entreprise qui tourne avec VMware ou FreeBSD, en passant par nos tablettes et

Spectre et Meltdown sont des noms plus faciles à mémoriser pour les CVE-2017-5715, CVE-2017-5753 et CVE-2017-5754. Il faut savoir que les constructeurs et éditeurs ont été mis au courant depuis novembre 2017 mais un accord de non-divulgation (NDA) n’a rendu public ce problème de sécurité que depuis tout début janvier 2018, le temps que les acteurs trouvent une parade pour protéger leurs équipements.

 

Protéger Windows de Meltdown et Spectre

Windows Update

D’après Microsoft, il suffit de télécharger et d’installer les mises à jour Windows Update pour être protégé. C’est possible depuis le patch tuesday de janvier 2018 qui propose le patch cumulatif 2018-01. C’est ainsi la méthode la plus facile pour protéger son ordinateur contre ces deux failles majeures de sécurité.

Lancer Windows Update sur ordinateur et serveur (tutoriel) pour installer tout ce qui est proposé comme mises à jour importantes.

ou

Télécharger le patch

A chaque fois, choisir entre version 32 et 64 bits selon votre machine (explication).

Si problème après installation sur Windows 7, lire cette procédure.
L’installation de ce patch est déconseillée si votre machine est équipée d’un processeur AMD.

Pour les serveurs :

Redémarrer Windows après installation du patch correctif.

Catégories
Intermédiaire macOS Sécurité

Correctif à la faille de sécurité macOS High Sierra

Après l’importante faille de sécurité découverte le 28 novembre 2017 sur le système d’exploitation macOS High Sierra version 10.13, Apple a rapidement réagi en diffusant une mise à jour de sécurité pour éviter à ses utilisateurs de se faire pirater ou embêter par un proche un peu trop joueur.

Apple a donc diffusé un patch « Security Update 2017-001 » qui s’applique à macOS 10.13.1, soit la dernière version à date de son OS de bureau. Mais n’allez pas croire qu’il s’agit là de la première mise à jour de sécurité de l’année, il y a eu bien d’autres problèmes déjà corrigés dans les précédents patchs et mises à niveau de version.

Un update que l’on peut ici qualifier d’urgent, que la société californienne a diffusé au lendemain de sa découverte et que nous recommandons d’installer au plus vite sur tous les ordinateurs Apple : iMac, Mac Pro, Mac Mini et Macbook / Air / Pro.

 

Mon Mac est-il concerné par la faille de sécurité ?

Oui, si vous avez un ordinateur Apple qui tourne sous macOS High Sierra (10.13). Cela signifie que les versions précédentes de Mac OS ne sont pas touchées (macOS Sierra 10.12, El Capitan 10.11, Yosemite 10.10…).

1. Ouvrir le menu Pomme et choisir A propos.

2. Si « macOS High Sierra » en « Version 10.13 » ou « Version 10.13.1 » est indiqué, alors la machine est concernée.

On peut cependant admettre que les Macbook, iMac et Mac qui sont en permanence connectés à internet ne seront plus impactés début d’année 2018 car les différents processus de mise à jour (automatique ou manuelle) auront bouché ce trou de sécurité.

D’une manière plus générale, si la version indiquée est la 10.13.2, alors la faille est déjà corrigée.

 

Installer la mise à jour de sécurité macOS High Sierra 10.13

Mise à jour proposée en automatique

Une notification peut apparaitre en haut à droite de l’écran avec la proposition d’installer une « Nouvelle mise à jour » en précisant tout de même que celle-ci doit être réalisée « dès que possible » :

1. Cliquer sur « Mettre à jour » pour automatiquement installer ce patch correctif.

2. Une autre notification prévient du bon déroulement de l’opération :

 

Installation manuelle du correctif

1. Dans le dock (la barre d’icônes en bas de l’écran), cliquer sur le rond bleu « A » qui représente l’App Store de macOS.

2. Cliquer sur le bouton gris « Mises à jour » pour accéder aux nouvelles versions des logiciels et jeux de l’ordinateur.

3. Pour faire simple, installer toutes les mises à jour proposées mais il s’agit en particulier du Security Update 2017-001 :

Si aucune mise à jour n’est affichée, c’est que l’ordinateur a déjà téléchargé le correctif en automatique ou que cette mise à niveau de sécurité a déjà été appliquée par l’intermédiaire d’un autre patch update.

4. Après téléchargement et installation, redémarrer si nécessaire ou continuer simplement d’utiliser le poste.

 

Vérifier que la mise à jour soit bien installée (geek)

Il y a une méthode de power user pour s’assurer que le patch ait bien été installé.

1. Ouvrir un Terminal depuis les Applications ou les Utilitaires.

2. Taper et valider la commande suivante : what /usr/libexec/opendirectoryd

3. Si l’un de ces résultats apparait, cela signifie que le système est protégé de cette faille de sécurité root.

opendirectoryd-483.1.5 on macOS High Sierra 10.13
opendirectoryd-483.20.7 on macOS High Sierra 10.13.1

 

J’ai besoin de root !

S’il est absolument nécessaire d’activer le compte root d’un Mac, suivre cette procédure sur le site Apple Support.