• Presentation de Ylhered

  

  

  😉

  Présentations

• Prez

  

  @A-chaos Bienvenue à toi :affole:

  Présentations

• Apple étend le chiffrement de bout en bout aux sauvegardes iCloud, entre applaudissements et grincements

  

  Ça fait des Chocapic

  

  Apple a annoncé hier un changement majeur : les sauvegardes iCloud vont pouvoir être chiffrées de bout en bout. La décision, attendue depuis des années, est saluée par les ONG et provoque la déception du FBI. Elle pourrait également faire tache d’huile dans l’industrie.

  Chez Apple, plusieurs services bénéficient du chiffrement de bout en bout. C’est le cas d’iMessage depuis longtemps, Apple ne pouvant lire les échanges entre ses utilisateurs. Mais ce n’est plus vrai dès lors que la sauvegarde iCloud est activée, ce qu’elle est par défaut via le compte Apple, le même assurant la synchronisation des données entre les appareils.

  Le problème a toujours été le même et revient régulièrement sur le tapis. Ce fut le cas par exemple lors du massacre de San Bernardino (voir notre récapitulatif), quand l’iPhone 5C du terroriste fut retrouvé. Les espoirs étaient alors que la sauvegarde iCloud avait été laissée active, ce qui aurait permis – via un mandat délivré par un juge – de réclamer la copie des données. Le FBI avait vite déchanté. On se souvient du bras de fer qui avait alors eu lieu entre le Bureau et Apple et qui avait failli se régler devant les tribunaux. Jusqu’à ce que le FBI annonce ne plus avoir besoin de l’entreprise : il avait acheté une faille de sécurité lui permettant d’entrer dans l’iPhone.

  Dans un contexte de volonté politique de freiner le chiffrement de bout en bout pour faciliter le travail des forces de l’ordre – en peine avec la généralisation progressive de cette méthode – l’annonce d’Apple est un grand chambardement. D’autant qu’elle n’est pas la seule, puisque l’entreprise a présenté deux autres mesures.

  Chiffrement : ce qui change

  Actuellement, iCloud chiffre de bout en bout 14 catégories de données, dont les mots de passe du Trousseau et les données de Santé. Ces informations ne peuvent donc pas être lues, y compris par les forces de l’ordre équipées d’un mandat. Avec le changement, ce nombre passe à 23, incluant les photos, les notes et les fameuses sauvegardes.

  Apple précise dans son communiqué que les seules catégories majeures de données non comprises dans le chiffrement de bout en bout sont les données de Mail, Contacts et Calendrier « à cause du besoin d’interopérabilité » avec les autres systèmes véhiculant ce type de données.

  « La sécurité renforcée des données utilisateurs est plus urgente que jamais, comme démontré dans le rapport "The Rising Threat to Consumer Data in the Cloud" publié aujourd’hui. Les experts indiquent que le nombre total de fuites de données a plus que triplé entre 2013 et 2021, exposant 1,1 milliard d’enregistrements personnels à travers la planète en 2021 seulement. De manière croissante, les entreprises du secteur technologique réagissent à cette menace grandissante par l’implémentation du chiffrement de bout en bout dans leurs offres », a ainsi déclaré Apple. En clair, une brèche pourrait se produire chez Apple, qui préfère donc prendre les devants.

  Un exercice de communication intéressant, sur une base d’actions concrètes qui interviennent dans le sillage de plusieurs taches, entre l’épine Pegasus et d’autres évènements, comme la recherche par le gouvernement français d’un nouveau téléphone sécurisé. L’annonce intervient également après l’arrivée, sur iOS 16, d’un mode Isolement conçu pour renforcer la sécurité.

  Un chiffrement optionnel

  À compter d’iOS 16.2 (en release candidate), les utilisateurs pourront se rendre dans Réglages > iCloud pour découvrir une nouvelle ligne. Baptisée « Protection avancée des données », elle permettra d’activer le chiffrement de bout en bout pour les catégories supplémentaires. Car oui, il s’agira d’une option, exactement comme dans WhatsApp à l’heure actuelle.

  Apple va devoir se livrer à un autre exercice de communication, puisque l’activation de cette fonction ne sera pas anodine : en cas de perte du mot de passe, les données seront irrémédiablement perdues, comme dans tout service s’appuyant sur le chiffrement de bout en bout.

  Actuellement, on peut en effet définir un contact habilité à fournir un code de secours en cas de problème ou récupérer une clé de secours à 28 caractères fournie par Apple. Mais aucune de ces solutions ne pourra plus fonctionner une fois l’option activée. C’est donc une arme à double-tranchant et l’entreprise devra expliquer clairement les avantages et inconvénients de ce chiffrement de bout en bout quasi généralisé.

  Cette fonction ne sera pas disponible tout de suite. D’ici la fin de l’année, elle sera active aux États-Unis. Le reste du monde devra attendre le début d’année prochaine, sans plus de précision pour l’instant.

  […]

  Source et suite : nextinpact.com

  Actualités High-Tech

• [Présentation] Atterrissage imminent sur planete Warez

  

  @Dj0kt Bienvenue à toi :affole:

  Présentations

• Un p'tit suisse dans la place

  

  @Yamaha-L-Ancien Bienvenue à toi :affole:

  Présentations

• Présentation

  

  @Dany21 Bienvenue à toi :affole:

  Présentations

• Difficile de planquer vos bitcoins, silk road se fait rattraper

  

  Le mec il est doué avec un pc mais IRL c’est pas trop ça quand même haaahaha
  Sans déconner si demain je braque une somme pareille le lendemain je suis en Amérique du sud avec une nouvelle identité et dans un pays qui n’extrade pas de préférence!

  Actualités High-Tech

• IPTV GÉNÉRALISTE - Discussions Générales

  B

  @Tiburbob j’espère qu’un jour j’aurais comme toi la chance de tomber sur p*tt tout le monde en dit que du bien ici

  Généraliste

• Un peu d'humour en image

  

  @Mister158

  Daddy !!!:guirlande: :lol:

  Humour & Insolite

• Les studios Ghibli font recette

  

  Totoro, Chihiro, Kiki et autres héros d’Hayao Miyazaki filent leurs secrets culinaires dans un savoureux manuel.

  a0df3bbd-ba70-41d5-bf88-6d3f6fc392b0-image.png

  Il y a deux ans, une première édition de «Recettes des films du studio Ghibli» s’arrachait sous le manteau, très vite épuisée. Et pour cause… Le manuel, tout juste réédité, n’a rien d’une curiosité opportuniste pour «geeks en cuisine». Ici pas de tourte mortelle façon roi Joffrey dans «Game of Thrones» ou de feuilleté à la viande à la «Friends», mais une approche quasi philosophique du sens d’un repas dans la société japonaise.

  Dans les films d’Hayao Miyazaki, le goût reste un élément crucial, qu’il se manifeste par des nuages odorants émanant de bouillons infernaux ou des mets colorés foisonnant sur une table. «Chaque fois que nous créons une chose avec amour, espoir ou passion, dit le baron von Gikkingen dans «Le royaume des chats», nous donnons une âme à notre création.» Aussi les auteures, Minh-Tri Vo aux fourneaux, Apolline Cartier au visuel et Claire-France Thévenon au scénario, soignent-elles la mise en scène.

  Il y a deux ans, une première édition de «Recettes des films du studio Ghibli» s’arrachait sous le manteau, très vite épuisée. Et pour cause… Le manuel, tout juste réédité, n’a rien d’une curiosité opportuniste pour «geeks en cuisine». Ici pas de tourte mortelle façon roi Joffrey dans «Game of Thrones» ou de feuilleté à la viande à la «Friends», mais une approche quasi philosophique du sens d’un repas dans la société japonaise.

  5675f898-e141-4a31-b58b-708b75272e16-image.png

  Du bentô délirant de «Mon voisin Totoro» à la tourte de harengs au potiron de «Kiki la petite sorcière» en passant par les brioches aux haricots rouges du «Voyage de Chihiro», chaque plat est d’abord restitué dans le contexte du film. Dans «Princesse Mononoké», vibrante croisade pour l’harmonie entre l’homme et la nature, un moine sert une bouillie de riz au jeune héros victime d’une malédiction. Cette soupe «okayu» épaissie d’œufs et de saumon soulagera les esprits encombrés.

  Fou d’aviation qui a baptisé ses studios du nom d’un prototype, le Ghibli, Hayao Miyazaki déplore dans «Porco Rosso» que les femmes soient obligées de déserter les cuisines pour bosser sur les chantiers. Et de se consoler avec un plat de spaghetti aux boulettes.

  «Les recettes des films du studio Ghibli»
  Minh-Tri Vo, Apolline Cartier, Claire-France Thévenon
  Éd. Ynnis, 144 p.

  Source: https://www.tdg.ch/les-studios-ghibli-font-recette-304574317339

  Discussions générales

• Où télécharger de la music Hi-Res

  

  @dark-fate Je n’ai pas vraiment compris si tu cherchais un site légal ou non,par contre tu peux également jeter un oeil sur " MagnetDL " en tapant FLAC 24-96 (ou autre) dans la recherche,ça affichera des pages d’albums dans cette qualité,c’est du torrent généraliste et ya du choix.

  Direct Download et Streaming

• [Topic Unique] Les Séries que vous avez aimées et adorées

  

  @Violence ouais ça devrait te plaire je pense,moi j’ai adoré,l’interprétation est superbe (Jharrel Jerome ayant obtenu l’Emmy Award du meilleur acteur),cette histoire est révoltante et le dénouement incroyable… C’est un peu comme un très long film de 5h en 4 parties,dont Robert De Niro fait partie des producteurs exécutifs.

  Cinéma & Séries

• L'affichage des pubs en ligne consomme énormément d'énergie

  

  @Violence

  On est même à 2 doigts du spam

  Actualités High-Tech

• Logiciel de creation de plan

  R

  @arcturien merci beaucoup, je regarde le tout 🙂

  Logiciel & Software

• [Topic Unique] Quelle musique écoutez-vous ?

  

  Musique

• Cybersécurité : 6 grandes menaces actuelles et futures vues par kaspersky

  

  

  Actualités High-Tech

• Pat patrouille introuvable

  K

  @Celpal a dit dans Pat patrouille introuvable :

  @Aerya a dit dans Pat patrouille introuvable :

  YGG

  alors je fais comment pour rechercher sur YGG ? des que je clique quelque part, ça m’ouvre une autre page

  Ajoute un bloqueur de PUB style Ublock Origin

  Direct Download et Streaming

• Le youtubeur pedophile Norman enfin en prison

  

  @Raccoon a dit dans Le youtubeur pedophile Norman enfin en prison :

  Le pire dans toute cette “équipe” c’est Pyrorca, que je ne connaissais pas avant toutes ces histoires, qui prône la pédophilie et aurait apparemment fait aussi l’apologie de l’inceste. Ce taré mec a quand même 2 gamins.

  c’était une belle saloperie aussi celui-là, a ma connaissance il est toujours pas en prison

  Discussions générales

• [Topic Unique] Génération Free

  

  bonsoir
  effectivement j’avais restreint mes messages priver.
  chose qui n’est plus le cas pendant le mois de décembre.

  Torrent & P2P

• Au bord de la faillite, Qwant obtient un sursis auprès de la Banque européenne d'investissement,

  

  D’un autre côté, le budget de google et celui de Qwant n’ont rien de comparable, si qwant devait collecter et traiter les infos lui-même, ce serait le grand désert au point de vue résultats secondaires…

  Actualités High-Tech

Les tutoriels de PW

• Centreon: Présentation et tutoriels

  

  

  Première salve de tutoriels et astuces pour Centreon

  Centreon est un outil de supervision et de monitoring possédant de nombreuses fonctionnalités. C’est un programme modulaire qui se décompose en plusieurs parties :

  L’ordonnanceur qui se charge d’ordonnancer les tâches de supervision Une interface Web Les plugins

  Il permet de connaître à l’aide de son interface web et en temps réel l’état des périphériques supervisés, comme par exemple :

  Utilisation de la RAM Utilisation du processeur L’espace disque La communication sur le réseau Surveillance des services Notification par email Journalisation des évènements Etc.

  On peut superviser à peu près tout et n’importe quoi avec centreon: des serveurs qu’il soit physique ou virtuel, des hyperviseurs, des hôtes tout OS confondus, des base de données, des onduleurs, des imprimantes, des routeurs, des switchs, des interfaces…

  👇 Les tutoriels sont disponibles sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/fr/informatique/supervision
  https://wiki.planete-warez.net/informatique/supervision/centreon/présentation

  https://wiki.planete-warez.net/informatique/supervision/centreon/installation

  https://wiki.planete-warez.net/informatique/supervision/centreon/gestion-comptes-groupes

  https://wiki.planete-warez.net/informatique/supervision/centreon/commandes

  https://wiki.planete-warez.net/informatique/supervision/centreon/templates

  https://wiki.planete-warez.net/fr/informatique/supervision/centreon/plugins

  Je mettrais à jour au fur et à mesure que les articles seront publiés 😉

  Tutoriels informatiques

• Windows Terminal: Installation, configuration et personnalisation

  

  download.jpg

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/fr/informatique/microsoft/windows-Terminal

  – Windows Terminal est la nouvelle application de terminal pour les utilisateurs de ligne de commande fournie (gratuitement) par Microsoft.

  – Celui-ci inclus les fonctionnalités les plus demandées par les utilisateurs des outils en lignes de commande sous Windows, comme les onglets, le texte riche, la globalisation, les possibilités de configuration avancées, les thèmes et styles de l’interface et plus encore…

  – Ce tutoriel présente en détail l’installation et la configuration complète du Windows Terminal.

  – Petit exemple de ma config perso :

  text alternatif

  Installation de Windows Terminal (Vieilles configuration)

  ⚠️ Windows Terminal est maintenant fourni par défaut dans Windows 11. Si celui-ci est déjà installé sur votre machine, vous pouvez passez directement au chapitre Configuration

  –La configuration minimale est la suivante :

  65257b7f-bf31-4233-a0a6-9fe1ed7190e9-image.png

  – Pour obtenir le logiciel, la solution la plus simple et la plus rapide est de la télécharger depuis le Windows App Store ici:

  https://www.microsoft.com/fr-fr/p/windows-terminal-preview/9n0dx20hk701?activetab=pivot:overviewtab

  e59e5872-dd4a-49e6-b9b4-41ed60d041fd-image.png

  – Une fois le téléchargement terminé, vous pouvez lancer l’application. Par défaut, l’interface est neutre mais ne demande qu’à être personnalisée. A l’ouverture, le shell par défaut PowerShell est activé.

  – L’accès aux shells et aux paramétrage se fait à partir du bouton [V]. Le bouton [+] ouvre le shell défini par défaut dans un nouvel onglet. Initialement, le terminal intègre la configuration des shells PowerShell, cmd (l’original shell de MSDos) et Azure Cloud Shell :

  

  Configuration

  – Lancer le Terminal.

  – Les Paramètres sont définis dans un fichier en syntaxe JSON. Ils sont accessibles depuis le bouton [V]/Paramètres/Ouvrir le fichier JSON :

  4a248ca7-3a4e-498e-9f0f-e50198bd9320-image.png

  – Un clic sur cet item entraîne l’ouverture du fichier JSON dans votre éditeur de texte par défaut.

  – Comme le terminal est une application UWP, ses données sont déployées dans le dossier AppData de l’utilisateur.

  – Le chemin complet du fichier des paramètres se trouve ici:

  %USERPROFILE%\AppData\Local\Packages\Microsoft.WindowsTerminal_8wekyb3d8bbwe\LocalState\settings.json

  – Pour la même raison, il est recommandé de placer les fichiers de données utilisés par les paramètres dans le répertoire ms-appdata:///roaming/ soit:

  %USERPROFILE%\AppData\Local\Packages\Microsoft.WindowsTerminal_8wekyb3d8bbwe\RoamingState

  – Pour conserver les fichiers avec liaison au compte Microsoft (si activé) et itinérance de ceux-ci ou ms-appdata:///local/, mais cela fonctionnera également si les fichiers sont placés dans un autre path. Windows Terminal applique les paramètres à chaque fois que le fichier est sauvegarder dans l’éditeur de texte.

  Organisation du fichier settings.json

  – On trouve dans le fichier 3 sections principales:

  A la racine du fichier, les settings concernant le comportement global de windows terminal. les settings les plus importants étant: defaultProfile : indique le GUID du profile actif par défaut (les profils, resp. les shells sont identifiés par un GUID) initialCols , initialRows : taille initiale de la fenêtre profiles: dans cette section sont décrits les paramètres des shells: profiles > defaults: section qui reçoit la personnalisation par défaut du windows terminal profiles > list: liste des shells disponibles et surchage par shell de la personnalisation schemes: reçoit la customisation de thèmes de couleurs keybindings : settings d’affectation des touches

  download.png

  Paramètres par défaut

  – Dans la section defaults, on place les paramètres pour personnaliser le terminal quelque soit le shell ouvert. On pourra changer la personnalisation par shell dans les entrées de la section list.

  Plus d’info ici:
  https://docs.microsoft.com/en-us/windows/terminal/customize-settings/startup Paramètres par profiles

  – Un jeu de paramètres est stocké dans un profil, stockés dans la section profiles > list.

  – Initialement, chaque shell intégré possède son propre profile.

  – Chaque profil peut être identifié de manière unique par un GUID.

  – Le profil par défaut (« defaults ») permet d’effectuer des réglages par défaut pour tous les profiles, qui peuvent être surchargés pour chaque profil dans sa section respective. Ainsi initialement on dispose des entrées suivantes correspondantes aux 3 shells intégrés :

  { // powershell.exe profile "guid": "{61c54bbd-c2c6-5271-96e7-009a87ff44bf}", "name": "Windows PowerShell", "commandline": "powershell.exe", "hidden": false }, { // cmd.exe profile "guid": "{0caa0dad-35be-5f56-a8ff-afceeeaa6101}", "name": "cmd", "commandline": "cmd.exe", "hidden": false }, { // azure cloud shell profile "guid": "{b453ae62-4e3d-5e58-b989-0a998ec441b8}", "hidden": false, "name": "Azure Cloud Shell", "source": "Windows.Terminal.Azure" }

  – Les profils listés ici apparaissent dans le menu [V] si l’attribut hidden n’a pas la valeur true.

  Personnalisation

  – Ouvrez le fichier settings.json dans votre éditeur par défaut.

  – Sous la liste des profils, mettez à jour le profil powershell ( A adapter) :

  { // Make changes here to the powershell.exe profile. "guid": "{61c54bbd-c2c6-5271-96e7-009a87ff44bf}", "name": "Windows PowerShell", "commandline": "powershell.exe -NoLogo -NoExit", "hidden": false, "colorScheme": "Blue Matrix", "fontFace": "Cascadia Code", "fontSize": 10, "icon": "ms-appdata:///roaming/xxx.XXX" "backgroundImage": "ms-appdata:///roaming/xxx.gif", "backgroundImageOpacity": 0.2, "acrylicOpacity": 0.8, "useAcrylic": true, "startingDirectory": "Q:\\Development" }, name: Apparaît comme titre dans la barre supérieure acrylicOpacity: Opacité de la fenêtre useAcrylic: Utiliser l’acrylicOpacity, icon: Apparaît comme favicon dans la fenêtre backgroundImage: Image du background, cela peut être un GIF si vous le désirez !!

  ⚠️ Assurez-vous de mettre à jour l’icône et l’image d’arrière-plan à votre convenance)
  ⚠️ Assurez-vous que votre defaultProfile a le guid de votre powershell

  – La prochaine étape consiste à mettre à jour notre liste de schémas:

  "schemes": [ { "name": "Blue Matrix", "black": "#101116", "red": "#ff5680", "green": "#00ff9c", "yellow": "#fffc58", "blue": "#00b0ff", "purple": "#d57bff", "cyan": "#76c1ff", "white": "#c7c7c7", "brightBlack": "#686868", "brightRed": "#ff6e67", "brightGreen": "#5ffa68", "brightYellow": "#fffc67", "brightBlue": "#6871ff", "brightPurple": "#d682ec", "brightCyan": "#60fdff", "brightWhite": "#ffffff", "background": "#1d2342", "foreground": "#b8ffe1" } ],

  – Plus de thèmes disponible ici: https://windowsterminalthemes.dev

  – C’est à peu près pour les paramètres du terminal Windows, passons à l’ajout d’un plugin sympas nommé Oh My Posh 🔥

  Configuration de Powershell ⚡

  download.png

  – Prérequis:

  Installation d’une police Nerd Fonts ici appelée Cascadia Code: https://www.nerdfonts.com/font-downloads

  Vous pouvez en utiliser une autre police Nerd Font parmi la liste disponible, il faudra adapter le profile powershell en conséquence. les polices Nerd Fonts permettent d’afficher des icones dans les prompts avec les thèmes Oh My Posh qui le propose !
  {.is-warning}

  Git pour windows (optionnel): https://gitforwindows.org Posh-git (optionnel) (utilisez powershell)

  On change la politique de script de powershell qui va nbou bloquer plus tard :

  Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

  On installe le module GIT (optionnel):

  Install-Module posh-git -Scope CurrentUser

  

  Personnalisez votre invite PowerShell 🔨

  – Ouvrez votre profil PowerShell avec le bloc-notes ou l’éditeur de texte de votre choix.

  ⚠️ Ce n’est pas votre profil de terminal Windows.

  – Votre profil PowerShell est un script qui s’exécute à chaque démarrage de PowerShell.

  – Vous pouvez savoir si vous avez un profil et sa localisation avec la commande Powershell suivante:

  $PROFILE | Get-Member -Type NoteProperty

  ad01d152-c8b9-49bd-8880-5c11a89e3b9b-image.png

  – Si votre powershell n’a pas encore de profil, créez-en un ->

  if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }

  – Plus d’info ici: https://docs.microsoft.com/fr-fr/powershell/module/microsoft.powershell.core/about/about_profiles?view=powershell-7.1

  – Maintenant, allez-y et ajoutez le code suivant dans votre fichier de profil powershell pour ajouter git (optionnel):

  Import-Module posh-git Installation de Oh My Posh

  Documentation officielle ici: https://ohmyposh.dev/docs

  Oh My Posh est un moteur d’invite de commande personnalisé pour tout shell qui a la capacité d’ajuster la chaîne d’invite avec une fonction ou une variable.
  {.is-info}

  On installe manuellement Oh My Posh via Powershell:

  Set-ExecutionPolicy Bypass -Scope Process -Force; Invoke-Expression ((New-Object System.Net.WebClient).DownloadString('https://ohmyposh.dev/install.ps1'))

  

  Configuration de Oh My Posh

  Le thème est à configuré dans votre fichier de profil de Powershell en y ajoutant la ligne suivante:

  oh-my-posh init pwsh --config "$env:POSH_THEMES_PATH/paradox.omp.json" | Invoke-Expression

  j’utilise ici le thème paradox. À vous d’adapter 🙂

  – Plus de thèmes ici : https://ohmyposh.dev/docs/themes

  ⚠️ Vous pouvez utiliser bien sur, d’autres themes Oh my Posh si vous voulez, adaptez juste en conséquence:

  Votre fichier de profil Powershell. Votre fichier du theme en lui même. Astuce Polices Nerd Fonts

  Pour changer les polices Nerd Fonts cela peut aussi être fait graphiquement pour chaque profiles via le menu Paramètres/Votre Profil/Apparences/Type de polices

  
  

  Bonne personnalisation !!!

  :cosmonaute_pw_1: :cosmonaute_pw_2:

  SOURCES: franckgaspoz.fr, dev.to

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/fr/informatique/microsoft/windows-Terminal

  Tutoriels informatiques

• WireGuard: Comprendre et installer ce VPN nouvelle génération

  

  

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/fr/informatique/sécurité/wireguard

  WireGuard est un protocole VPN de nouvelle génération sous licence GPLv2 (ou MIT, BSD, Apache 2.0 ou GPL suivant le contexte) créé par Jason A. Donenfeld. Le site officiel étant accessible via ce lien : https://www.wireguard.com/.

  WireGuard se veut être plus simple, rapide et sécurisé que les protocoles VPN communs que sont OpenVPN et IPsec.

  La simplicité de configuration se passant en une seule phase standardisée contrairement à IPsec où deux phases, souvent difficiles à appréhender pour des novices, sont nécessaires. De plus la non utilisation de certificats, comme on la retrouve avec OpenVPN, simplifie la gestion à plus long terme et ne nécessite pas la création d’une PKI.
  La sécurité est assurée avec l’utilisation de primitives cryptographiques modernes mais aussi par la mise à disposition d’une seule combinaison de méthodes de chiffrements. De plus le code complet de WireGuard tient sur environ 4 000 lignes ce qui facilite les audits de sécurité et réduit sa surface d’attaque.
  La rapidité tient en grande partie des points précédents mais aussi parce que WireGuard fonctionne au niveau du noyau (seulement sous Linux) et non au niveau de l’espace utilisateur. Les tests présents sur le site officiel (https://www.wireguard.com/performance/) démontrent un très fort avantage de WireGuard sur OpenVPN et un avantage un peu plus ténu sur IPsec, à la fois en débit maximal atteint et en temps de latence. A savoir que d’autres tests sont disponibles sur Internet et tendent à placer WireGuard comme le plus performant même si l’écart n’est pas toujours aussi important, notamment avec IPsec.
  C’est un VPN de niveau 3 du modèle OSI. C’est-à-dire que c’est la couche Réseau (IP, ICMP, ARP et DHCP principalement) qui est redirigée dans le tunnel VPN. Le client VPN pourra atteindre le réseau distant mais ne sera pas vu comme appartenant directement à ce réseau comme on l’aurait avec un VPN de niveau 2 (par exemple avec OpenVPN et l’utilisation de sa carte TAP).

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/fr/informatique/sécurité/wireguard

  Tutoriels informatiques

• GLPI: Installer et configurer votre outil de gestion de parc et d'assistance utilisateurs

  

  

  Ce tutoriel est un condensé de ma propre procédure utilisée dans mon taf.

  Enjoy 😉

  Qu’est-ce que GLPI ?

  GLPI (Gestionnaire Libre de Parc Informatique) est un logiciel libre de gestion des services informatiques (ITSM) et de gestion des services d’assistance (issue tracking system et ServiceDesk). Cette solution libre est éditée en PHP et distribuée sous licence GPL.

  GLPI aide les entreprises à gérer leur système d’information. Parmi ses caractéristiques, cette solution est capable de construire un inventaire de toutes les ressources de la société et de réaliser la gestion des tâches administratives et financières. Les fonctionnalités de cette solution aident les administrateurs informatiques à créer une base de données regroupant des ressources techniques et de gestion, ainsi qu’un historique des actions de maintenance. La fonctionnalité de gestion d’assistance ou helpdesk fournit aux utilisateurs un service leur permettant de signaler des incidents ou de créer des demandes basées sur un actif ou non, ceci par la création d’un ticket d’assistance.

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/fr/informatique/selfhosted/glpi

  Tutoriels informatiques

• RustDesk: Héberger son propre serveur

  

  Hello :byebye:

  Ne connaissant pas Rustdesk (manque comblé par ce topic, merci @Indigostar 😉 ), j’ai décidé de vous faire un petit tuto pour héberger votre propre serveur RustDesk plutôt que de passer par leur serveur relais. Ce qui vous permet de renforcer la vie privée et d’avoir la main complète sur l’application.

  Rustdesk est un logiciel libre de contrôle à distance édité sous la licence GPL-3.0. Le client s’utilise aussi simplement que Teamviewer ou Anydesk, point important si on envisage de migrer les utilisateurs sur cet outil de télé-assistance.

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/informatique/selfhosted/rustdesk

  Tutoriels informatiques

• [Sécurité] Installation d'un proxy-cache Squid et filtrage via SquidGuard

  

  squid-proxy-logo.png

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/informatique/selfhosted/squid-squidguard

  Bonjour à tous,

  – Il y a différentes formes de serveurs de cache possible. Le type de serveur cache que vous verrez ici se place sur le réseau des clients, en intermédiaire avec des
  sites internet distants.

  – Ainsi, si tous les utilisateurs d’un même réseau local passent par un proxy-cache, lorsque le premier utilisateur va télécharger des fichiers sur Internet, ils seront stockés sur le proxy-cache.

  – Si un deuxième utilisateur demande les mêmes fichiers, ils seront pris dans le proxy-cache sauf si entre-temps ils ont été modifiés sur le site distant.

  – L’utilisation d’un proxy-cache peut donc permettre un accès plus rapide aux utilisateurs et un gain de bande passante au niveau de la connexion Internet.

  – Nous pouvons aussi ajouter une couche de sécurité avec des blacklists/whitelists.

  15305669305666_01-proxy_cache.png

  A. Introduction

  – Un autre intérêt d’un cache local est qu’il peut autoriser ou d’interdire l’accès à certains ressources en ligne : sites web, ports/services, etc. Il est alors possible de mettre en place une politique de sécurité globale pour tout un réseau local.

  – Il y a plusieurs façons d’utiliser un proxy-cache :

  son utilisation peut être optionnelle et l’accès direct à Internet peut être possible également (si on n’est intéressé que par le côté performance par exemple)

  son utilisation peut être obligatoire et explicite : le seul moyen d’accéder à Internet est alors de passer à travers le proxy-cache mais les utilisateurs doivent configurer manuellement leur navigateur (ou autre application) pour utiliser ce proxy-cache.

  son utilisation peut être obligatoire et implicite: le seul moyen d’accéder à Internet est de passer à travers le proxy-cache mais les utilisateurs n’ont pas besoin de configurer leur navigateur, leur connexion passe par le proxy-cache de manière transparente

  – En France et dans beaucoup de pays, il y a une obligation légale d’informer les utilisateurs de la collecte et de l’utilisation de leurs données qui pourraient être faites dans le cadre de la mise en place d’un proxy-cache. Dans une entreprise, les utilisateurs peuvent par exemple être amenés à signer une charte de bon usage du réseau qui précise les données collectées par le proxy et l’usage qui est fait de ces données.

  – Pour mettre en place ce proxy-cache, je vous propose d’utiliser le logiciel Squid.

  – Le fait de mettre en place un proxy sur un serveur dédié distant ou en local chez vous a pour bénéfice d’outrepasser les bridages/censures, que peut mettre en place un FAI. De plus, ici l’idée est d’essayer d’éviter au mieux, que des enfants surfant sur la toile tombent sur du contenu non recommandé. Évidemment, aucune protection ne peut égaler l’accompagnement d’un parent sur les risques, qu’on peut rencontrer en naviguant sur le web.

  – Pour ajouter une couche de filtrage, vous pouvez utilisez votre propre serveur DNS (unbound, pieHole) configuré sur les serveurs DNS d’OpenDNS family shield (voir le tuto précédent ici:

  http://planet-warez.ddns.net:4567/topic/76/sécurité-safe-search-google-via-le-fichier-hosts-protection-dns

  Table des matières A. Introduction B. Installez le proxy-cache Squid C. Configurer le proxy-cache Squid D. Paramétrez Firefox E. Contrôle d’accès horaires F. Authentification des utilisateurs G. Installer SquidGuard H. Configurer SquidGuard I. Reconfiguration du fichier squid.conf J. Mettre en place une tache planifiée pour la mise à jour de la blacklist K. Conclusion L. Sources B. Installez le proxy-cache Squid

  – On va attribuer une adresse IP fixe au serveur.

  – Vérifier le nom (ici ens33) de la connexion avec :

  ip link show (ou ip a)

  –Editez le fichier /etc/network/interfaces :

  nano /etc/network/interfaces

  – Pour du DHCP, il ressemble à ceci :

  f0f9d458-21e5-4da2-9fbc-e5fccd41ee19-image.png

  – Éditez le fichier pour de l’adresse IP fixe (A adapter selon votre réseau local) :

  auto ens33 iface ens33 inet static address 192.168.1.51 netmask 255.255.255.0 gateway 192.168.1.254 dns-nameservers 208.67.222.222 208.67.220.220

  – Commentez la ligne iface ens33 inet dhcp, Il doit maintenant ressembler à cela :

  b40d88f6-6f1e-424b-b127-f919e764fe22-image.png

  – On redémarre le réseau:

  systemctl restart network**g

  – Si cela ne marche pas, on reboot:

  systemctl reboot

  – Si cela ne marche toujours pas, on vérifie l’état de l’interface soit up via :

  ip link show

  – Si ce n’est pas le cas, on l’active (A adapter😞

  ifup ens33 C. Configurer le proxy-cache Squid

  – Toute la configuration se fait ensuite dans le fichier /etc/squid/squid.conf

  – Dans ce fichier, toutes les lignes commençant par # sont des commentaires.

  – Vous pouvez voir le contenu de ce fichier débarrassé des commentaires et des lignes vides par la commande :

  grep -vE ‘^#|^$’ /etc/squid/squid.conf

  3e6f3aaf-3b5d-45db-8942-4f49619ad093-image.png

  – Dans ce fichier de configuration, toutes les lignes commencent par une directive.

  – Ici vous voyez acl, http_access, http_port, coredump et refresh_pattern et il en existe bien d’autres!

  – La directive http_port indique l’adresse et le port sur lesquels écoute Squid. Par défaut, Squid écoute sur toutes les interfaces réseau sur le port 3128.

  – Vous pouvez configurer plusieurs directives http_port pour que Squid écoute sur plusieurs adresses ou ports.

  – La directive coredump_dir indique le répertoire dans lequel Squid peut écrire des fichiers core qui sont des fichiers d’erreurs.

  – Les directives refresh_pattern précisent les règles qui établissent si un fichier est “frais” ou “périmé”. Un fichier “périmé” est supprimé du cache. Vous pouvez laisser les règles par défaut.

  – Les directives les plus importantes à connaître sont acl et http_access. ACL signifie Access Control List. Les ACL sont donc des critères de contrôle d’accès qui seront ensuite utilisés par la directive http_access pour autoriser ou interdire les connexions HTTP en fonction de ces critères.

  – Concernant la directive acl:

  Le 2ème champ représente le nom de l’acl. Plusieurs directives acl avec le même nom vont cumuler les critères de chaque directive.

  Le 3ème champ indique le type d’acl. Il existe de nombreux types mais les plus importants sont src (source), dst (destination), port et time (temps).

  Le 4ème champ indique la valeur. En fonction du type, cette valeur pourra être l’adresse d’un réseau, un port, etc.

  – Dans la configuration par défaut, vous pouvez voir qu’une ACL Safe_ports est définie. Elle regroupe un ensemble de ports TCP courants et considérés comme sûrs auxquels vous pourrez donner accès à vos utilisateurs.

  – La directive http_access est suivie de allow ou deny pour autoriser ou interdire l’accès au proxy-cache.

  – Le dernier champ est le nom de l’ACL qui va être évaluée pour autoriser ou interdire l’accès.

  – Le nom de l’ACL peut être précédé d’un ! pour indiquer “le contraire” de l’ACL. Par exemple, par défaut, la première directive http_access est: http_access deny !Safe_ports

  –> Elle signifie “Accès interdit à tous les ports sauf les ports définis dans l’ACL Safe_ports”.

  – Les directives http_access sont lues dans l’ordre et sont exécutées dès qu’une règle correspond. Il est donc recommandé de toujours terminer par: http_access deny all pour interdire l’accès si aucune autre règle ne correspond.

  – Dans les règles par défaut, vous pouvez voir les règles suivantes :

  http_access allow localhost manager

  http_access deny manager

  qui n’autorisent l’accès à une règle “manager” qu’en local.

  – Squid est fourni avec un Cache Manager qui est une interface web de gestion du cache.

  – Vous pouvez y accéder en ligne de commande avec l’outil squidclient. Pour avoir un aperçu, installez le paquet squidclient et lancez la commande:

  squidclient mgr:info

  – Maintenant que vous connaissez les principales directives de Squid, vous allez pouvoir créer vos propres règles :mrgreen:

  – Commencez par sauvegarder le fichier squid.conf à titre de référence :

  cd /etc/squid && cp squid.conf squid.conf.defaults

  – Le fichier de configuration de Squid comportant plus de 5000 lignes, autant vous dire que nous n’allons pas tout afficher. :lolol:

  – On va donc créer un fichier de configuration sans les lignes commentées pour une meilleure visualisation.

  – Pour cela, on tape les commandes suivantes :

  cat /etc/squid/squid.conf.defaults | grep -v ^# |grep -v ^$ > /etc/squid/squid.conf

  –> La dernière commande permet de prendre toutes les lignes non-commentées du fichier squid.conf.defaults et les mettre dans le fichier squid.conf

  – Le fichier ressemble à cela:

  acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 "this" network (LAN) acl localnet src 10.0.0.0/8 # RFC 1918 local private network (LAN) acl localnet src 100.64.0.0/10 # RFC 6598 shared address space (CGN) acl localnet src 169.254.0.0/16 # RFC 3927 link-local (directly plugged) machines acl localnet src 172.16.0.0/12 # RFC 1918 local private network (LAN) acl localnet src 192.168.0.0/16 # RFC 1918 local private network (LAN) acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny managerinclude /etc/squid/conf.d/* http_access allow localhost http_access deny all http_port 3128 coredump_dir /var/spool/squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|?) 0 0% 0 refresh_pattern . 0 20% 4320

  – On définit notre réseau local:

  acl lan src 192.168.1.0/24

  – On autorise notre réseau local appelé “lan”

  http_access allow lan

  – Masquer notre adresse IP dans le header HTTP (X-Forwarded-For: unknown)

  forwarded_for off

  – Log d’erreurs en français :

  error_directory /usr/share/squid/errors/French

  – Rejet de tous les ports différents de ceux déclarés dans les acls

  http_access deny !Safe_ports

  – Empêcher les personnes extérieures au réseau de passer par le proxy :

  http_access deny all

  – On rajoute ensuite les 3 lignes suivantes à la fin du fichier :

  cache_effective_user proxy cache_effective_group proxy cache_mem 256 MB cache_dir ufs /var/spool/squid/squid 120 16 128

  –> Les dernières lignes signifie que l’on crée un répertoire de mémoire cache situé dans /var/spool/squid. Ce répertoire est de type ufs, sa taille maximum est de 120 Mo. Dans ce répertoire il y a 16 répertoire de niveau 1 qui contiennent chacun 128 répertoire de niveau 2.

  – Voilà à quoi ressemble mon fichier final commenté :

  #Directives d'accès acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 "this" network (LAN) acl localnet src 10.0.0.0/8 # RFC 1918 local private network(LAN) acl localnet src 100.64.0.0/10 # RFC 6598 shared address space (CGN) acl localnet src 169.254.0.0/16 # RFC 3927 link-local (directlyplugged) machines acl localnet src 172.16.0.0/12 # RFC 1918 local private network(LAN) acl localnet src 192.168.0.0/16 # RFC 1918 local private network (LAN) acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directlyplugged) machines #On définit notre réseau local acl lan src 192.168.1.0/24 #acl par défaut acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT #On autorise notre réseau local appelé "lan" http_access allow lan #Rejet de tous les ports différents de ceux déclarés dans les acls http_access deny !Safe_ports http_access deny CONNECT !SSL_ports #Autorise l’accès au cachemanager via squidclient qu’en local http_access allow localhost manager http_access deny manager #On autorise tous les fichiers externe de configuration par défaut include /etc/squid/conf.d/* #On autorise le réseau local http_access allow localhost #interdire l’accès si aucune autre règle ne correspond. #Empêche les personnes extérieures au réseau de passerpar le proxy http_access deny all #On écoute pas sur l’interface publique du serveur http_port 192.168.1.51:3128 #Masquer notre adresse IP dans le header HTTP(X-Forwarded-For: unknown) forwarded_for off #Log d’erreur en français : error_directory /usr/share/squid/errors/French #Répertoire des fichiers d'erreurs "core" coredump_dir /var/spool/squid #Précisent les règles qui établissent si un fichier est “frais” ou “périmé”. Un fichier “périmé” est supprimé du cache refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|?) 0 0% 0 refresh_pattern . 0 20% 4320 #Creation du répertoire de mémoire cache cache_effective_user proxy cache_effective_group proxy cache_mem 256 MB cache_dir ufs /var/spool/squid/squid 120 16 128

  – On relance maintenant Squid avec la commande :

  systemctl restart squid D. Paramétrer Firefox

  – Paramétrons le proxy dans le navigateur Firefox :

  Menu–>Options–>Paramètres réseau–>Paramètres…

  38f63a17-bdd7-42bf-a47e-8b0d5d32c0c6-image.png

  – Fermer firefox et le relancer puis tester l’accès à un site, cela devrait fonctionner.

  – En regardant le fichier access.log du serveur, nous pouvons observer que l’accès a été autorisé:

  cat /var/log/squid/access.log E. Contrôle d’accès horaires

  – Squid permet de restreindre l’accès de certains postes clients suivant des plages horaires.

  – On ajoute alors les lignes suivantes dans le fichier de configuration de Squid :

  #Définit les hôtes autorisés: acl allowed_hosts src 192.168.1.50 #Définition de la plage horaire sur laquelle les postes sont autorisés: acl limithour time 12:00-15:00 #Autorise l'accès http aux hôtes qui ont une plage horaire d'accès: http_access allow-allowed_hosts limithour

  – On teste alors sur le client et on observe que l’accès est bien restreint. C’est à dire que l’on peut accéder seulement de 12:00 à 15:00.

  F. Authentification des utilisateurs

  – Dans cette partie, on va montrer comment s’authentifier avec Squid.

  – On utiliseras Openssl pour créer le fichier de password de la manière suivante :

  printf "USERNAME:$(openssl passwd -crypt PASSWORD)n" | tee -a /etc/squid/squidusers

  – Créons l’utilisateur milou avec le password milou :

  printf "milou:$(openssl passwd -crypt 'milou')n" | tee -a /etc/squid/squidusers

  – Pour vérifier que le fichier est correct et fonctionnera avec Squid, utilisez la commande suivante :

  /usr/lib/squid/basic_ncsa_auth /etc/squid/squidusers

  – Rentrez votre login et votre mot de passe de la manière suivante :

  <login> <mot de passe>

  Si la réponse est OK, tout est bon

  Si la réponse est ERR, vérifiez votre fichier users

  – Pour sortir de la boucle appuyez sur ctrl + D.

  6c920150-8f79-422a-a077-ad55f42f6eb2-image.png

  – On modifie ensuite le fichier de configuration de Squid en rajoutant les lignes suivantes :

  – Avant la partie acl on ajoute les directives auth:

  auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/[b]squidusers[/b] auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours

  children : 5 est une valeur usuelle. Si vous avez de nombreux utilisateurs, il sera peut-être nécessaire d’augmenter ce nombre.

  realm : texte qui apparaîtra dans la fenêtre de demanded’identification.

  credentialsttl : durée de vie de l’identification.

  – Ensuite, à la fin de la partie acl on rajoute la directive acl nommée auth pour autoriser les utilisateurs à se connecter :

  acl auth proxy_auth REQUIRED

  – Ensuite on rajoute en 1er (important sinon l’authentification ne sera pas demandée) dans les directives http_access la directive pour pouvoir s’authentifier :

  http_access allow auth

  – On relance ensuite le service squid afin de vérifier que l’authentification mise en place fonctionne correctement:

  systemctl squid restart service squid restart

  – Firefox vous demandera une authentification au proxy:

  564afb88-05de-45a9-84f9-547aee7c04c0-image.png

  G. Installer SquidGuard

  – On installe SquidGuard via la commande suivante:

  apt install squidguard H. Configurer SquidGuard

  – SquidGuard est un logiciel complémentaire à Squid qui permet de gérer le filtrage avec des bases de données qu’il a créé à partir d’une blacklist.

  – Téléchargement de la blacklist de l’université de Toulouse :

  cd /tmp wget http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz

  – Extraction du fichier :

  tar -xzf blacklists.tar.gz

  – Copie du dossier Blacklist dans le répertoire de squidguard :

  cp -R blacklists/* /var/lib/squidguard/db/

  – Faire une copie du fichier de configuration de SquidGuard :

  cp /etc/squidguard/squidGuard.conf /etc/squidguard/squidGuard.default

  – Modification de SquidGuard :

  nano /etc/squidguard/squidGuard.conf

  – Seule la machine de l’admin pourra aller n’importe où :

  src admin { ip 192.168.1.50 }

  – Nous allons ensuite déterminer les catégories qu’on interdit (A adapter, se référer aux fichiers de l’archive Blacklist😞

  # les règles de filtrage dest adult { domainlist adult/domains urllist adult/urls expressionlist adult/very_restrictive_expression } dest porn { domainlist porn/domains urllist porn/urls expressionlist porn/very_restrictive_expression } dest publicite { domainlist publicite/domains urllist publicite/urls } dest aggressive { domainlist aggressive/domains urllist aggressive/urls } dest social_networks { domainlist social_networks/domains urllist social_networks/urls } dest phishing { domainlist phishing/domains urllist phishing/urls } dest malware { domainlist malware/domains urllist malware/urls }

  – Nous créons nos ACL qui autorisera ou interdira selon ce qu’on a déclaré précédemment :

  acl { admin { pass any } default { pass !adult !porn !publicite !aggressive !social_networks !phishing !malware all redirect https://www.zupimages.net/up/20/12/x0j2.jpg } }

  –> Le ! devant adult, porn , adult, publicite, aggressive, social_networks, phishing, malware signifie interdit.

  –>Si un utilisateur du réseau tombe sur un site interdit, le dit site sera bloqué et redirigé vers une page souhaitée

  –INFO: Je crois qu’il est impossible de rediriger du trafic HTTPS via cette méthode, si quelqu’un à une solution, je suis preneur bien évidemment 🙂

  – Voila à quoi ressemble mon fichier final débarrassé de tout commentaires:

  dbhome /var/lib/squidguard/db logdir /var/log/squidguard src admin { ip 192.168.1.101 } dest adult { domainlist adult/domains urllist adult/urls expressionlist adult/very_restrictive_expression } dest porn { domainlist porn/domains urllist porn/urls expressionlist porn/very_restrictive_expression } dest publicite { domainlist publicite/domains urllist publicite/urls } dest aggressive { domainlist aggressive/domains urllist aggressive/urls } dest social_networks { domainlist social_networks/domains urllist social_networks/urls } dest phishing { domainlist phishing/domains urllist phishing/urls } dest malware { domainlist malware/domains urllist malware/urls } acl { admin { pass any } default { pass !adult !porn !publicite !aggressive !social_networks !phishing !malware all redirect https://www.zupimages.net/up/20/12/x0j2.jpg } }

  – Création d’un lien symbolique du fichier de configuration squidGuard.conf dans /etc/squid/ :

  ln -s /etc/squidguard/squidGuard.conf /etc/squid/

  – Application des droits nécessaires :

  chown -R proxy:proxy /var/log/squid chown -R proxy:proxy /var/lib/squidguard

  – On ouvre dans un premier temps les logs dans un second terminal avec la commande:

  tail -f/var/log/squidguard/squidguard.log

  – Puis on génère la base de données des blacklists configurées en regardant les logs:

  squidGuard -C all

  –> Cela peut prendre du temps selon le nombre de catégories que vous voulez bloquer, ou si il y a un problème mais nous pouvons voire cela dans les logs.

  – Nous voyons que tous s’est bien passé:

  81708e50-155f-404b-83f7-902c56579966-image.png

  – On a donc générer dans chaque répertoire de catégories bloquées, un fichier domain.db et un urls.db.

  – SquidGuard les a générés en tant que root, il faut
  donc changer le propriétaire pour que l’utilisateur proxy ai le droit d’y accéder:

  ls -al /var/lib/squidguard/db/adult

  7d2ccf41-4388-4ee1-8410-36e9fcac31ad-image.png

  chown -R proxy:proxy /var/lib/squidguard

  f316a872-4d02-4e65-b0b0-2992251e5576-image.png

  – Ajout de mot interdit (A adapter selon les blacklist) :

  nano /var/lib/squidguard/db/adult/very_restrictive_expression

  – Et ajouter des mots entre pipes « | »

  – Regénérer la base après modifications :

  squidGuard -C all I. Reconfiguration du fichier squid.conf

  – Maintenant, il faut indiquer à Squid d’intégrer SquidGuard pour qu’il puisse traiter et filtrer les requetes HTTP.

  – Intégration du module de SquidGuard dans Squid:

  url_rewrite_program /usr/bin/squidGuard -c/etc/squid3/squidGuard.conf url_rewrite_children 10

  – On recharge la configuration et on redémarre le service:

  systemctl reload squid systemctl restart squid J. Mettre en place une tache planifiée pour la mise à jour de la blacklist

  – Créer un script bash:

  cd /tmp nano updateblacklist #!/bin/bash cd /tmp wget http://dsi.ut-capitole.fr/blacklists/download/blacklists.tar.gz tar -xzf blacklists.tar.gz cp -rf blacklists/* /var/lib/squidguard/db/ rm -Rf blacklists* squidGuard -C all systemctl squid restart

  – Rendre le script exécutable :

  chmod +x updateblacklist

  – Ajouter le script dans cron.weekly :

  mv updateblacklist /etc/cron.weekly/ K. Conclusion

  – Une fois tout cela réalisé avec un peu d’effort pour la mise en place, on a donc un serveur proxy fonctionnel apportant un contrôle d’accès efficace pour les utilisateurs et assez souple pour pouvoir l’adapter facilement en fonction des besoins.

  – On peut être débarrassé de certains contenus sur la toile MAIS ce n’est pas 100% fiable.

  – Je pense, qu’il faut tout de même expliquer aux enfants, qu’ils peuvent tomber sur du « mauvais » contenu et dans ce cas prévenir un adulte ou tout simplement fermer la page en question.

  L. Sources

  https://memo-linux.com/installer-un-proxy-squid-et-un-filtrage-avec-squidguard-sous-debian/
  https://ngiraud.net/index.php/2019/02/16/squid-squidguard-proxy/
  https://www.supinfo.com/articles/single/812-configurer-serveur-proxy-squid
  https://doc.ubuntu-fr.org/tutoriel/comment_mettre_en_place_un_proxy_squid_avec_authentification_ncsa
  https://kifarunix.com/how-to-setup-squid-proxy-basic-authentication-with-username-and-password/
  http://irp.nain-t.net/doku.php/220squid:060_squidguard

  Tutoriels informatiques

• Pi-Hole: Un bloqueur de pub et de malware pour tout votre réseau

  

  

  On a tous fait cela dès le démarrage de notre navigateur favori : installer un adblocker (bloqueur de pubs). Par contre, en utilisant le navigateur de la télé ou un appareil Android, etc… C’est un peu plus galère de trouver quelque chose de correct. Et puis, s’il y a plusieurs appareils dans la maison, ben il faut recommencer l’opération et ce, pour chaque navigateur !

  Dans ce tutoriel, nous allons donc résoudre une problématique simple: fournir un bloqueur de publicité à l’ensemble des machines de notre réseau et le gérer de manière centralisée.

  Pour cela, nous allons utiliser un outil développé pour cet usage : Pi-Hole

  Pi-Hole est un DNS sinkhole, comprendre « entonnoir ». Il va utiliser les requêtes DNS faites par vos appareils pour valider ou non le trafic et ainsi vous mettre à l’abri des adresses et domaines connus comme diffusant de la pub, des malwares, etc.

  Pour rappel, DNS veut dire Domain Name System, soit système de noms de domaine. Alors qu’est-ce qu’un nom de domaine me direz-vous? Et bien par exemple, « planete-warez.net » en est un exemple. Un nom de domaine est un identifiant unique pour une ou plusieurs ressources, généralement administrées par une seule entité.

  Le nom de la machine plus le nom de domaine est appelé FQDN pour Fully Qualified Domain Name ou nom de domaine pleinement qualifié. Il permet d’atteindre une machine précise juste en « l’appelant ». Par exemple, lorsque vous tapez « www.trucmachin.com », vous appelez en faite la machine « www » qui appartient au domaine « trucmachin.com ».

  Sauf que nos ordinateurs eux ne comprennent pas le langage des humains, tout ce qu’ils comprennent c’est le binaire et il ont donc besoin d’une adresse IP, qui est l’équivalent d’un numéro de téléphone, pour joindre le site Internet.

  Donc, à chaque fois que vous entrez le nom d’un site Internet dans votre navigateur, ou que vos cliquez sur un lien, votre ordinateur commence par demander à un serveur DNS l’adresse IP qui correspond à ce nom.

  Pi-Hole va donc inspecter ces demandes (il y en a des centaines par jour!) et automatiquement bloquer celles connues pour héberger des publicités ou même des fichiers malveillants.

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/informatique/selfhosted/pi-hole

  Tutoriels informatiques

• [Sécurité] Sécuriser son serveur SSH

  

  

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/informatique/sécurité/secure-ssh

  Sommaire I. Présentation II. Sécurisation générale de SSH A. Modifier le port et l’interface réseau d’écoute par défaut B. Configurer le timeout des sessions SSH C. Empêcher la connexion de l’utilisateur root en SSH III. Sécuriser l’authentification par mot de passe classique A. Autoriser seulement la connexion pour un ou plusieurs utilisateurs. IV. Authentification par clés publique/privée A. Désactivez l’authentification par mot de passe classique V. Pour aller plus loin I. Présentation

  – Dans ce tutoriel, nous allons voir comment sécuriser le service SSH sous Linux, en respectant quelques best practices en matière de configuration d’un serveur SSH.

  – Le protocole SSH est recommandé pour la connexion à distance, la réalisation de sauvegardes, le transfert de fichiers à distance via scp ou sftp, et bien plus encore. SSH est parfait pour préserver la confidentialité et l’intégrité des données échangées entre deux machines situées sur des réseaux différents, ou sur le même réseau.

  – Son principal avantage est l’authentification du serveur, grâce à l’utilisation de la cryptographie à clé publique pour l’authentification. (aussi appelée SSH password-less). Sous Linux (et Windows), l’implémentation de ce protocole se fait par le biais du packet OpenSSH.

  – Depuis quelques années, au grès des mises à jour, OpenSSH a vu sa sécurité durcie, notamment en ce qui concerne les messages d’erreurs (trop verbeux) au départ. Ce guide ne sera pas très long étant donné que les développeurs ont fait un gros effort afin d’éviter que la configuration d’OpenSSH ne soit trop permissive par défaut.

  Environnement : Client SSH : Kali Linux (2021.3) - 192.168.175.128 Serveur SSH : Ubuntu 20.04.1 LTS - 192.168.175.129 Deux utilisateurs : tintin, haddock

  –> Toutes les commandes ci-dessous seront exécutées par l’intermédiaire de l’utilisateur root.

  – Avant de commencer, installez SSH sur votre serveur :

  sudo apt install openssh-server # apt utilise aussi l'alias ssh, pour identifier le paquet openssh-server II. Sécurisation générale de SSH

  – Quelle que soit la méthode de connexion au serveur SSH, il y a certaines règles communes à respecter afin de brouiller les pistes pour un attaquant :

  Modifier le port et l’interface réseau d’écoute par défaut Fixer un Idle timeout pour ne pas avoir de sessions SSH qui restent actives Empêcher la connexion de l’utilisateur root (sur les distributions Linux récentes, cette fonctionnalité est désactivée par défaut) etc.

  – Pour cela, nous allons modifier le fichier /etc/ssh/sshd_config de notre serveur SSH. Editez ce fichier avec votre éditeur préféré :

  sudo nano /etc/ssh/sshd_config A. Modifier le port et l’interface réseau d’écoute par défaut

  – Par défaut, le port d’écoute SSH est 22, changez le afin de brouiller les pistes. Pour cela, modifiez le paramètre Port du fichier de configuration :

  Port 2021

  – L’interface d’écoute du protocole SSH est par défaut “Toutes les interfaces” : 0.0.0.0/0.

  Changez ce paramètre, afin que votre serveur SSH accepte seulement les connexions sur votre interface principale. Si vous n’avez pas plusieurs interfaces réseau (j’entends par la carte réseau) et adresses IP sur votre serveur, vous pouvez vous passer de cette modification.

  – Pour que SSH écoute seulement sur l’adresse IP “192.168.175.129”, voici la configuration :

  ListenAddress 192.168.175.129

  63189283-e50f-4410-940f-a65a2102f0d8-image.png

  – Puis, redémarrez le service :

  systemctl restart ssh B. Configurer le timeout des sessions SSH

  – Pour cette troisième modification, nous allons définir un temps maximal d’inactivité pour une session SSH, afin d’éviter que certaines connexions SSH restent actives indéfiniment.

  – Dans ce cas précis, si le service SSH ne détecte aucune activité sur le flux de connexion (en bref, si aucune commande n’est saisie pendant un laps de temps), alors il terminera automatiquement la connexion.

  –Si vous souhaitez que le client SSH se ferme (timeout) automatiquement après 10 minutes (600 secondes), modifiez le fichier sshd_config et définissez les deux paramètres suivants comme indiqué ci-dessous.

  f0561997-690b-42f2-b4c0-f6aa3f456a97-image.png

  ClientAliveInterval : ceci indique le délai d’attente en secondes. Après x secondes, le serveur SSH enverra un message au client demandant une réponse.

  ClientAliveCountMax : ceci indique le nombre total de messages de vérification envoyés par le serveur SSH sans obtenir de réponse du client SSH.

  – Nous en avons fini avec cette partie. Quelle que soit votre configuration, respectez ces règles. Pour valider ces changements, redémarrez le service SSH :

  systemctl restart ssh

  – Si vous avez modifié le port SSH, il faudra vous reconnecter en utilisant le nouveau port.

  C. Empêcher la connexion de l’utilisateur root en SSH

  – Même si depuis bien des années maintenant, la connexion de l’utilisateur root est désactivée par défaut dans la configuration SSH, il se peut que sur certaines vieilles bécanes, le processus d’authentification du super-utilisateur soit actif. Pour cela, recherchez la ligne suivante, et affectez lui la valeur No :

  PermitRootLogin No

  – Pour un site sur lequel on travaille, c’est un peu pénible de ne pas pouvoir se connecter en root, on pourrait être tenté d’activer l’accès root mais je le déconseille.

  A savoir que si la connexion root vous est nécessaire, elle demeure toutefois une faille de sécurité potentielle.

  III. Sécuriser l’authentification par mot de passe classique

  – Depuis que l’authentification par clé publique/privée existe, cette méthode est de moins en moins utilisée et déconseillée (car trop sensible aux attaques par brute force si le service SSH est mal configuré).

  – Toutefois, dans certains cas pour des serveurs n’étant pas hautement stratégiques, et non atteignables depuis internet, nous pouvons garder la méthode d’authentification classique. Dans cette partie, nous allons voir comment sécuriser cette méthode d’authentification.

  A. Autoriser seulement la connexion pour un ou plusieurs utilisateurs.

  – Dans mon cas, j’ai créé deux utilisateurs en amont :

  tintin haddock sudo nano /etc/ssh/sshd_config

  – Je vais autoriser seulement tintin à se connecter en SSH sur mon serveur.
  Ajoutez cette ligne :

  AllowUsers tintin

  –Sauvegardez les changements, et redémarrer votre service SSH:

  systemctl restart ssh

  – Tentez une connexion SSH depuis votre machine cliente en précisant l’utilisateur haddock :

  cea95148-b56b-423a-8568-70aa3d6ef456-image.png

  –> Comme l’utilisateur haddock n’est pas présent dans la liste, il se verra automatiquement refuser la connexion.

  – Vous préférez spécifier un groupe pour l’autorisation de connexion en SSH ? Ajoutez vos utilisateurs à un groupe, et spécifiez celui-ci dans la configuration de SSH.

  Par exemple :

  AllowGroups MonGroupeSSH IV. Authentification par clés publique/privée

  – Il existe un moyen radical de sécuriser notre connexion : en autorisant uniquement la connexion de l’utilisateur « root » à l’aide d’une clé RSA !

  On coupe court à toutes les attaques de type « brute force » (type d’attaque qui utilise toutes les combinaisons possibles pour se connecter).

  – La clé qu’on va générer, il faut vraiment la voir comme la clé d’une maison : si on ne l’a pas, on ne rentre pas. Donc triple backup, s’il vous plaît, ne la perdez pas !

  PS : si jamais vous la perdez quand même, il existe en général une console d’urgence chez votre hébergeur qui permet de retrouver son accès en éditant le fichier de configuration de SSH.

  – Comme dit précédemment, il est recommandé d’utiliser une authentification basée sur un couple de clés. Pour ce faire, créez la paire de clés en utilisant la commande suivante à partir de votre machine cliente, c’est à dire la machine avec laquelle vous allez vous connecter au serveur :

  ssh-keygen -b 8192

  8f0a3c14-799d-4526-bceb-e78e36fa31fa-image.png

  – Si la machine utilisée sera sous Windows vous pouvez générer une paire de clé via Putty.

  – Une fois le logiciel installé, utilisez l’utilitaire intitulé Puttygen, dans le dossier créé par l’installateur.

  text alternatif

  – Copiez L’ensemble du texte généré dans la fenêtre du haut, et conservez le dans un fichier texte que vous appellerez public-key.txt. Puis entrer un mot de passe à la ligne Key passphrase.

  – Confirmez-le sur la ligne du dessous. Ce mot de passe, il ne faudra pas le perdre : vous en aurez besoin quand vous voudrez charger votre clé privée. Si jamais vous vous faites voler votre clé privée, sans le mot de passe, elle sera tout simplement inutilisable.

  – Puis, cliquez sur le bouton Save private key et enregistrez la sur votre ordinateur:

  text alternatif

  –> Tous ces fichiers doivent être sauvegardés et conservés précieusement, car sans clé, pas de connexion possible.

  – Entrez la commande suivante, afin de copier votre clé publique vers le serveur SSH (en écoute sur le port 2021) depuis votre machine cliente :

  ssh-copy-id -p 2021 [email protected]

  – Bien sûr, l’utilisateur tintin devra s’authentifier afin de pouvoir déposer sa clé SSH. Afin de vérifier que votre clé est bien arrivée sur le serveur SSH, exécutez la commande suivante (vous ne devez plus entrer de mot de passe) :

  ssh -p 2021 [email protected]

  d89d587c-dee3-4928-b3c3-14afec708ff6-image.png

  – Si vous avez généré une paire de clé sous Windows, il va falloir la déclarer sur le serveur manuellement.

  Cela va se passer au niveau du homefolder du login qui va se présenter soit ici /home/tintin

  – Dans ce répertoire du home, il faut qu’un répertoire .ssh existe et qu’il contienne un fichier nommé authorized_keys

  – Donc il faut se logger avec le compte pour lequel on veut s’authentifier avec un certificat et créer le répertoire .ssh avec cette commande

  mkdir ~/.ssh

  – Pour être certain, déplacez vous dans le répertoire:

  cd ~ cd /home/tintin

  – Modifier les droits du répertoire .ssh avec la commande:

  chmod 700 .ssh

  – Entrer dans le répertoire .ssh:

  cd .ssh

  – Il faut ajouter votre clé publique dans un fichier nommé authorized_keys qui n’existe pas forcément.

  – Pour cela on va utiliser la commande echo à laquelle on demandera d’ajouter la clé publique dans le fichier authorized_keys.

  La commande écho délimite le début et la fin de la clé par " et "
  La clé publique doit être en une seule ligne, sans retour à la ligne etc

  26242799-d79a-4922-9031-2681a9fc1e1f-image.png

  – Pour copier la clé publique, dans puttygen, faire un clic droit sur cette dernière et choisir Tout sélectionner

  42f839ba-49c7-4db3-85a3-4dde2bcdf20d-image.png

  – Refaire un clic droit et copier toute la clé publique:

  3798e605-1c45-4379-9bd8-137912395abf-image.png

  – Côté serveur, coller la clé publique entre les 2 " "

  d6341433-7c2e-4ab1-a30b-c7bf3d0aaa9f-image.png

  – La commande à adapter avec votre clé publique est donc:

  echo "votreclépublique" >> authorized_keys

  – Modifiez les droits de authorized_keys avec la commande

  chmod 600 authorized_keys

  IMPORTANT: Tester le nouvel accès par clé sans couper la connexion SSH déjà ouverte en cas de soucis.

  A. Désactivez l’authentification par mot de passe classique

  – Afin de durcir la sécurité de notre serveur SSH, nous allons autoriser seulement la connexion par clé publique/privée.

  – Décommentez la ligne suivante dans le fichier et changer la valeur du paramètre PasswordAuthentication de yes à no :

  sudo nano /etc/ssh/sshd_config PasswordAuthentication no

  fa9eb29f-e111-47f6-8506-559f8e83796f-image.png

  – Puis, redémarrez le service SSH.

  sudo systemctl restart ssh

  – Si vous tentez de vous connecter sans fournir une clé privée, pour le processus d’authentification, une erreur sera retournée. Pour réaliser ce test, je bascule en root sur la machine cliente Kali, et j’essaie de me connecter :

  d36f8d36-8459-4d29-a93d-1500cbd317b3-image.png

  V. Pour aller plus loin

  – Pour aller plus loin, et notamment lutter contre les attaques brutes à destination du service SSH, vous pouvez miser sur Fail2ban ou CrowdSec pour protéger le service. Ma préférence va à CrowdSec qui est bien plus moderne/efficace et léger.

  – Voici deux tutoriels qui devraient vous aider :

  SSH - Fail2ban CrowdSec

  Et si vraiment SSH est un sujet qui vous intéresse et que vous souhaitez apprendre à le configurer plus précisément, je vous invite à lire notre cours sur le SSH

  SOURCES: ITconnect.fr - Tutos.eu

  Tutoriels informatiques

• Yunohost: Installation sous Debian 11

  

  Bonjour la communauté :byebye:

  – Suite à ce Topic et ce Post, nous allons voir comment installer YunoHost.

  –Je ne réinventerais pas la roue, je me suis basé sur la documentation officielle.

  –>J’irai donc droit au but 😉

  ⚡ Tutoriel effectué sous Debian 11.

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/informatique/selfhosted/yunohost

  Qu’est-ce que YunoHost ?

  – YunoHost est un système d’exploitation qui vise à simplifier autant que possible l’administration d’un serveur pour ainsi démocratiser l’auto-hébergement tout en restant fiable, sécurisé, éthique et léger. C’est un projet de logiciel libre maintenu exclusivement par des bénévoles. Techniquement, il peut être vu comme une distribution basée sur Debian GNU/Linux et peut s’installer sur de nombreux types de matériel.

  – Pour plus d’informations, vous pouvez lire le topic PW ici ou la documentation officielle

  Pré-requis

  Un serveur dédié ou virtuel avec Debian 11 (Bullseye) pré-installé (avec un kernel >= 3.12), avec au moins 512Mo de RAM et 16Go de capacité de stockage.

  Un ordinateur ou un smartphone pour lire ce guide et accéder à votre serveur.

  Lancer le script d’installation

  – Ouvrez la ligne de commande sur votre serveur (soit directement, soit en SSH avec Putty ou encore mieux avec Tabby !

  – Assurez vous d’être connecté en tant que root (ou tapez sudo -i pour le devenir)

  – Lancez la commande suivante :

  curl https://install.yunohost.org | bash

  ⚠️ Si curl n’est pas installé sur votre système, il vous faudra peut-être l’installer et relancer la commande:

  apt install curl curl https://install.yunohost.org | bash

  ⚠️ Autrement, si la commande n’affiche rien du tout, vous pouvez tenter :

  apt install ca-certificates apt install curl curl https://install.yunohost.org | bash

  – Sélectionner Oui :

  

  – Ici, à vous de voir si vous souhaitez que YunoHost gère votre configuration SSH. Vu que la mienne est spécifique, je sélectionne Non:

  

  – Patienter pendant l’installation des paquets :
  

  

  Lancer la configuration initiale

  – Vous pouvez lancer la configuration initiale à partir de l’interface web de YunoHost dans votre navigateur en tapant l’adresse IP publique de votre serveur. Généralement, votre fournisseur de VPS vous indique l’IP dans un email ou sur sa console de gestion.

  – Exemple ici en local pour le tuto:

  
  

  – Pour plus de facilité, nous allons faire la configuration initiale en ligne de commande mais la finalité est exactement la même 🙂

  – Lancer la commande de post-installation:

  yunohost tools postinstall

  

  – Il vous sera demandé ( à vous d’adapter) :

  Votre domaine principal

  – C’est le nom de domaine qui permettra l’accès à votre serveur ainsi qu’au portail d’authentification des utilisateurs. Vous pourrez ensuite ajouter d’autres domaines, et changer celui qui sera le domaine principal si besoin.

  Si l’auto-hébergement est tout neuf pour vous et que vous n’avez pas encore de nom de domaine, YunoHost recommande d’utiliser un domaine en .nohost.me / .noho.st / .ynh.fr (exemple : homersimpson.nohost.me). S’il n’est pas déjà utilisé, le domaine sera automatiquement rattaché à votre serveur YunoHost, et vous n’aurez pas d’étape de configuration supplémentaire. Toutefois, notez que l’utilisation d’un de ces noms de domaines implique que vous n’aurez pas le contrôle complet sur votre configuration DNS.

  Si en revanche vous avez déjà votre propre nom de domaine, vous souhaitez probablement l’utiliser. Vous aurez donc besoin ensuite de configurer les enregistrements DNS comme expliqué ici.

  ⚠️ Oui, vous devez configurer un nom de domaine. Si vous n’avez pas de nom de domaine et que vous n’en voulez pas en .nohost.me, .noho.st ou .ynh.fr, vous pouvez utilisez un « faux » domaine comme par exemple yolo.test et modifier votre fichier /etc/hosts pour que ce domaine pointe vers l’IP de votre serveur, comme expliqué ici.

  Votre mot de passe d’administration

  – C’est le mot de passe qui vous permettra d’accéder à l’interface d’administration de votre serveur. Vous pourrez également l’utiliser pour vous connecter à distance via SSH, ou en SFTP pour transférer des fichiers. De manière générale, c’est la clé d’entrée à votre système, pensez donc à la choisir attentivement.

  Créer un premier utilisateur

  – Une fois la configuration initiale faite, vous devriez être capable de vous connecter à la webadmin en utilisant le mot de passe d’administration.

  
  

  – Bien que votre serveur dispose maintenant d’un utilisateur admin, cet utilisateur admin n’est pas un utilisateur « standard » et ne peut pas se connecter sur le portail utilisateur.

  – Par conséquent, vous devriez ajouter un premier utilisateur « standard ».

  ⚠️ Le premier utilisateur que vous créez est un peu spécial : il recevra les emails envoyés à [email protected] et [email protected]. Ces emails peuvent être utilisés pour envoyer des informations ou des alertes techniques.

  – Pour plus de facilité, nous allons faire la configuration initiale en ligne de commande mais vous pouvez cet utilisateur à partir de l’interface web de YunoHost dans Utilisateurs > Nouvel utilisateur mais la finalité est exactement la même 🙂

  

  – Lancer la commande de création (A adapter):

  yunohost user create violence

  

  Lancer le diagnostic

  – Le système de diagnostic est conçu pour fournir un moyen facile de valider que tous les aspects critiques de votre serveur sont proprement configurés et pour vous guider dans la résolution des problèmes soulevés. Le diagnostic se lance deux fois par jour et envoie une alerte si un dysfonctionnement est détecté.

  – Pour plus de clarté et par recommandation, nous allons lancer le diagnostic via l’interface web. Toutefois, vous pouvez aussi le faire en laiant la commande suivantes:

  yunohost diagnosis run yunohost diagnosis show --issues --human-readable

  – Pour lancer le diagnostic, allez dans l’Administration Web dans la partie Diagnostic. Vous devriez obtenir un écran comme celui-ci :

  

  

  

  ⚠️ N.B. : ne partez pas en courant ! La première fois que vous lancerez le diagnostic, il est assez normal d’avoir plusieurs alertes rouges ou jaunes car vous devez généralement configurer les enregistrements DNS (si vous n’utilisez pas un domaine .nohost.me, .noho.st ou .ynh.fr), ajouter un fichier de swap .

  ⚠️ Si une alerte n’est pas pertinente (par exemple parce que vous ne pensez pas utiliser une fonctionnalité spécifique), il est tout à fait convenable d’indiquer le dysfonctionnement comme « À ignorer » en allant dans l’administration web > Diagnostic, et en cliquant sur le bouton « Ignorer » pour ce dysfonctionnement spécifique.

  Obtenir un certificat Let’s Encrypt

  – Une fois que vous avez configuré, si nécessaire, les enregistrements DNS et la redirection de ports, vous devriez être en mesure d’installer un certificat Let’s Encrypt. Ceci vous permettra d’avoir une connexion SSL sécurisée sur votre interface.

  Pour plus d’instructions détaillées, ou pour en savoir plus à propos des certificats SSL/TLS, voir la page correspondante ici.

  – Vous pouvez le faire dans la configuration de votre domaine (Ici le bouton est grisé car je n’ai pas de domaine valide)

  908f0547-5bac-4a25-aed7-3344135a43ff-image.png

  – Vous pouvez aussi utiliser la commande suivante:

  yunohost domain cert-install

  🎉 Félicitations !

  – Vous avez maintenant un serveur plutôt bien configuré. Si vous découvrez YunoHost, nous vous recommandons de jeter un œil à la visite guidée.

  – Vous devriez aussi être en mesure d’installer vos applications favorites.

  – N’oubliez pas de prévoir des sauvegardes !

  Tutoriels informatiques

• [Theme] Comment installer un thème Custom sous Windows 10/11

  

  Bonjour à tous,

  Je vais vous présentez les outils nécessaires afin de pouvoir installer des thèmes CUSTOM pour Windows10 et Windows11.

  Votre Windows pourrait ressembler au mien par exemple:

  Custom_Theme

  ⚠️ Ni Planète Warez, ni l’auteur de cet article ne sera tenu responsable d’un éventuel crash de votre machine ou de perte de données :)

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/informatique/microsoft/custom-themes

  Backup

  – Avant toute chose, créer un backup complet ou un point de restauration sur votre système pour revenir en arrière en cas de pépin.

  Patch des DLL système

  – Tout d’abord, il vous faut patcher certaines DLL système pour que vous puissiez appliquer des thèmes Customs:

  Uxtheme.dll Themeui.dll uxinit.dll

  – Pour se faire, les logiciels utilisés les plus connus sont ceux-la :

  Uxstyle Theme Signature Bypass UltraUxThemePatcher

  – Pour ma part, je n’utilise qu’UltraUxThemePatcher qui est régulièrement à jour et qui fonctionne très bien.

  – Une fois les DLL patchées, redémarrer le système.

  Téléchargement et ajout/copie de thèmes Custom

  – Ensuite, il vous faut téléchargez un thème Custom Windows10 compatible avec votre version de Windows (⚠️ Cela est très important pour ne pas avoir de black screen et se retrouver avec un Windows inutilisable) puis copiez le contenu du thème dans le dossier C:\Windows\Resources\Themes

  576434a5-73cb-4d9f-b43b-b8ef45e75a85-image.png

  – Cliquez avec le bouton droit sur un espace vide sur le bureau, sélectionnez Personnaliser puis section Thèmes ou Démarrer/Paramètres/personnalisation/Thèmes:

  87e10503-4337-402b-ace5-cf51e6ec8fc1-image.png

  – Faites défiler et sélectionnez le thème nouvellement ajouté pour l’appliquer.

  ⚠️ Compatibilité Thèmes/Windows ⚠️

  – En général, les thèmes compatibles de Windows égaux ou supérieur à la version 1903-19H1 sont compatibles jusqu’à la version 21h2 de Windows.

  ⚠️ En dessous de la 1903-19H1, les thèmes ne fonctionneront pas sauf si ils ont été créés pour la dite version.

  – Voici un tableau de code des versions de Windows à ce jour:

  59c852f3-cc06-4d96-ab27-b0fecb6edf1d-image.png

  🔨 Outils supplémentaires dont vous pourriez avoir besoin 🔨 OldNewExplorer: Retrouver l’apparence de l’ancien explorer de Windows 7+ options supplémentaires StartIsBack (SIB - Payant): Retrouver l’ancien Menu Démarrer. SIB est en général le seul compatible et utilisé par les DEV pour les thèmes Customs SecureUxTheme: Pour appliquer les thèmes de manière sécurisée Rainmeter: Pour les widgets 7Tsp: appliquer des packs d’icones ou autres themes Wallpaper Engine (Payant): Pour avoir des wallpapers animés

  ⚡ Pour SIB & Wallpaper Engine, il existe des versions non officiels

  Où télécharger des thèmes Customs ? VirtualCustom: Le forum le plus connus et le plus actif, c’est une vraie mine d’or d’informations pour créer ses thèmes avec Windows Style Builder, en télécharger, trouver des pack d’icones, curseurs, des logon screen, des gadgets Rainmeter, des skins Winamp/aimp3 etc… Devian art Gumroad Le web 🙂 ⚠️ Attention lors des mises à jour Windows ! ⚠️

  – On ne sais jamais si le thème custom utilisé sera compatible ou non avec une nouvelle version de Windows.
  – Donc l’idéal avant de faire une MAJ est d’appliquer le thème aero de base avant de faire la MAJ système. Ce n’est pas obligatoire mais conseillé.

  – Si jamais vous avez un problème pour appliquer un thème Custom suite à un upgrade/maj vers une version majeur :

  Après la mise à niveau, désinstallez simplement UltraUXThemePatcher et redémarrez votre PC Réinstallez UltraUXthemePatcher et redémarrez votre PC ⚡ BONUS: Se sortir d’un blackscreen ! ⚡

  ⚠️ Si jamais vous vous retrouvez face à un black screen après application d’un thème et que même l’accès en mode sans échec ne fonctionne pas correctement :

  – Bootez sur un live CD mini Windows10 comme celui présent dans Medicat ou accéder à un prompt de commande Windows :

  – Ouvrir l’invite de commande et aller dans C:\Windows\Ressources\Themes

  C: cd C:\Windows\Ressources\Themes

  – Prenons l’exemple du thème “Kinetik Aqua X” posant problème : le dossier et ses fichiers de thèmes ont cette arborescence:

  DIR: Kinetik Aqua X Kinetik Aqua X v1.theme

  – On supprime tout ce qui est attrait au thème posant problème:

  rmdir "Kinetik Aqua X" /S del "Kinetik Aqua X v1.theme"

  – On copie le thème Windows de base (aero) et on le renomme avec le même nom que celui qui posait problème:

  xcopy aero "Kinetik Aqua X" /i copy aero.theme "Kinetik Aqua X v1.theme"

  – On redémarre:

  shutdown /r

  Bonne customisation à tous 🙂

  :cosmonaute_pw_1: :cosmonaute_pw_2:

  Tutoriels informatiques

• Cracker des mots de passes Windows

  

  ⚠️ Retranscription de mon tuto sur Wareziens. Des erreurs peuvent subsister, merci d’en faire part!

  Bonjour,

  Je vais vous montrer ici comment cracker un mot de passe Windows 10 mais certains outils présentés peuvent cracker d’autres types de HASH.

  👇 Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

  https://wiki.planete-warez.net/informatique/microsoft/crack-sam-password

  ⚠️ Ni Planète Warez, ni moi-même ne saura en aucun cas tenu responsable de vos actes. Ce tutoriel ne doit être utilisé que sur des appareils qui vous appartiennent.

  SOMMAIRE A. RESET ET BYPASS DE PASSWORD B. CRACKER UN MOT DE PASSE WINDOWS B1. Dump des fichiers SAM et SYSTEM B2. Décrypter le password avec Ophcrack (antérieur à Windows 10) B3. Extraire le hash NTLM de votre password Windows B4. Décrypter le hash NTLM afin d’obtenir le mot de passe B4A. John the ripper B4B. Hashcat C. CONCLUSION D. LIENS ET DOCUMENTATION OFFICIELS E. SOURCES A. RESET ET BYPASS DE PASSWORD

  – La SAM pour Security Account Manager ou gestionnaire des comptes de sécurité est la base de données des comptes locaux sur Windows. Elle contient les mots de passe locaux. Elle fonctionne de pair avec le fichier SYSTEM.

  – L’utilitaire syskey de Microsoft est nécessaire si on veut se protéger contre un attaquant local (personne ayant un accès physique au local où se trouve le PC).

  – Cet utilitaire permet d’améliorer la sécurité sur la clé de chiffrement des mots de passe. (https://support.microsoft.com/fr-fr/topic/comment-faire-pour-utiliser-l-utilitaire-syskey-pour-sécuriser-la-base-de-données-du-gestionnaire-des-comptes-de-sécurité-de-windows-12c71056-b050-0838-12f9-95ac607c8288)

  – Des logiciels comme Offline NT Password & Registry Editor font le boulot comme il faut. On peux reset un mot de passe d’un compte, ou bien en créer un nouveau avec les droits administrateur qu’on peut supprimer par la suite.

  – Le site officiel: https://pogostick.net/~pnh/ntpasswd

  – Un tuto ici: http://www.octetmalin.net/windows/tutoriels/offline-nt-password-registry-editor.php

  – On peux sinon utiliser des suites de logiciels de dépannage comme Hiren’s boot cd par exemple qui a été mis à jour après plus de 6 ans d’absence, pour modifier la SAM, Offline NT Password & Registry y est disponible aussi d’ailleurs.

  EDIT: (Vous pouvez aussi utilisez Medicat)

  – L’intérêt est qu’avec des logiciels intégrés à HBCD/Medicat comme Lazesoft Password Recovery v4.0.0.1 et NT Password Edit v0.7, on aura une interface graphique sur un Win10 PE, ce qui est plus simple pour le débutant contrairement à Offline NTPassword & Registry

  – Lien: https://www.hirensbootcd.org/download/

  7f441fb5-77b9-467a-a00d-10d40ccb6dd4-image.png

  – Pour les PC antérieur à Windows 10, on peux aussi utiliser la dernière version gratuite de Kon Boot (v2.5). Pour Windows 10, il faudra passer à la caisse.
  https://www.piotrbania.com/all/kon-boot/

  Kon-Boot est un live CD qui permet de booter un Windows ou un Linux lorsqu’on a perdu son mot de passe. Si c’est sur un Windows, vous n’avez rien à faire… Il suffit de démarrer votre PC avec ce live CD puis de rentrer n’importe quel mot de passe lors du login.

  Si c’est pour un Linux, même chose, sauf qu’au login, vous devez entrer le login kon-usr (ou kon-fix si ça ne fonctionne pas du premier coup). Et hop, magie magie, vous serez en root sur la machine.

  Lorsque vous avez fini, n’oubliez pas de vous logger avec kon-fix une dernière fois pour restaurer la configuration d’origine.

  – Un tuto: https://gohouedeeric.jimdofree.com/tutoriel/kon-boot/

  – On peux aussi tenter d’utiliser la faille utilman.exe. Je crois qu’elle a été patchée depuis peu (je n’en suis pas sur). A TESTER

  – Un tuto: http://www.jewifrance.com/depannage-retrouver-un-mot-de-passe-oublie-ou-perdu-sur-windows/

  B. CRACKER UN MOT DE PASSE WINDOWS

  – Comment peut on retrouver son mot de passe Windows lorsqu’on l’a oublié?

  – On a pas beaucoup de solutions pour s 'en sortir:

  On reformate et réinstalle Windows: Méthode bourrin On reset le password avec les méthodes vu ci-dessus On décode le fichier SAM pour en trouver le mot de passe. B1. Dump des fichiers SAM et SYSTEM

  – Je pars du principe qu’on à accès à la machine pour lancer un Live CD comme Hiren’s Boot, Medicat ou Kali Linux.

  – Un petit tuto pour faire une clé USB bootable de HBCD ou Kali :
  https://lecrabeinfo.net/creer-une-cle-usb-dinstallation-de-windows-11-10-8-ou-7.html

  – Si pas d’accès physique à la machine mais sur le même réseau vous pouvez tester ce tuto (non testé pour ma part):
  https://www.hack**garticles.in/4-ways-capture-ntlm-hashes-network/

  – On peux aussi tester les failles suivantes si ça vous intéresse (non testé pour ma part) :
  https://null-byte.wonderhowto.com/how-to/hack**g-windows-10-dump-ntlm-hashes-crack-windows-passwords-0198268/

  – Le fichier SAM et SYSTEM nécessaires sont trouvable dans %SYSTEMROOT%\System32\config. Il suffit de les copier sur une clé USB ou tout simplement par les 2 commandes suivantes par le biais de HBCD ou Kali linux :

  reg save HKLM\SAM C:\sam reg save HKLM\SYSTEM C:\system

  – Pour ma part, je l’ai fait sous Kali linux: https://www.kali.org/downloads/

  – Une fois les 2 fichiers récupérés, nous avons 2 choix :

  Si la machine est inférieur à Windows 10, utiliser Ophcrack pour directement tenter une récupération du mot de passe. Décrypter et récupérer le hash du password pour pouvoir faire du brute force ou une attaque par dictionnaire.

  ⚠️ Le second choix est aussi valide pour les machines inférieurs à Windows 10

  B2. Décrypter le password avec Ophcrack (antérieur à Windows 10)

  – Ophcrack est disponible sous linux, il est directement installé dans Kali Linux et existe aussi pour Windows. Il utilise des tables dites RAINBOW (Arc en ciel) pour décrypter un fichier SAM/SYSTEM et un hash de password.

  – Il est disponible ici: https://ophcrack.sourceforge.io/download.php

  – Il vous faudra télécharger les tables XP et Vista, plus elles sont grosses, mieux c’est.

  – Elles sont disponible ici : https://ophcrack.sourceforge.io/tables.php

  – Lancez Ophcrack et indiquer manuellement à Ophcrack ou chercher chacune des tables :

  ccb678b4-91ac-4c9c-b929-8fe15d331724-image.png

  – Cliquez sur le bouton Load et choisissez Encrypted SAM:

  7777c422-27ca-4417-8ce6-86c6b5430d25-image.png

  – Sélectionnez le dossier ou se trouve vos 2 fichiers SAM et SYSTEM.

  – Cliquez ensuite sur le bouton Crack:

  9bc6b27e-6c7d-4d24-80be-314656d684b8-image.png

  – Laissez faire et découvrez votre mot de passe, le mien était “okey”, tout dépendra de la complexité du mot de passe et des perf de votre machine:

  4dd6f651-6f3e-42ca-b547-4449014a975b-image.png

  Tutoriels informatiques

• Ajouter automatiquement les jeux gratuits EpicGames à son compte

  

  EpicGames propose des jeux gratuits chaque semaine. Pas la peine de les télécharger pour en profiter, il suffit de les ajouter à son compte, en les “achetant” (à 0€ donc). Ça prend en compte la version US du site, à savoir par rapport aux dates/décalage horaire.

  text alternatif

  Charlie Laabs propose un Docker qui permet d’automatiser leur ajout à notre compte. Enfin presque automatiquement, le captcha ne pouvant plus pour l’instant être résolu automatiquement il faudra tout de même cliquer sur un lien.

  Voici ce que ça donne sur le Discord d’un ami (merci Matt !)

  text alternatif

  Il faut activer le 2FA sur son compte EpicGames, il semble que ce soit requis pour acquérir certains jeux et en tous cas ça permet de se connecter automatiquement à son compte. Je ne saurais que trop vous recommander de suivre mon fabuleux tutoriel (beh oui, je m’aime :P) au sujet de 2fauth.

  Dans le compte EpicGames, aller sur Mot de passe et sécurité puis activer le 2FA.

  text alternatif

  On obtient le fameux QRCode à scanner (ou la clé équivalente) et Enregistrer sous l’image du code. Copier la clé, on en aura besoin pour la configuration du Docker epicgames-freegames

  text alternatif

  Sur 2fauth, cliquer sur Nouveau et uploader l’image du QRCode

  text alternatif

  Le compte EpicGames va être créé automatiquement et générer un code à usage unique, à entrer en retour sur l’interface d’EpicGames (en bas du screen).

  text alternatif

  Il propose ensuite de sauvegarder les codes de secours qui permettront de s’affranchir du 2FA en cas de problème.

  text alternatif

  Et sous 2fauth nous avons bien maintenant notre compte EpicGames.

  text alternatif

  On peut ensuite passer à la configuration du Docker epicgames-freegames. Le Docker en lui-même est très simple à lancer puisqu’il est recommandé de passer par un fichier de configuration annexe.

  docker run -d \ --name=epic \ --restart always \ -e TZ=Europe/Paris \ -e BROWSER_NAVIGATION_TIMEOUT=100000 \ -v /volume1/docker/epicgames:/usr/app/config:rw \ -p 4207:3000 \ -m 2g \ --label=com.centurylinklabs.watchtower.enable=true \ charlocharlie/epicgames-freegames:latest

  Modifiez au besoin le montage de /usr/app/config où sera le fichier de configuration.
  -e BROWSER_NAVIGATION_TIMEOUT=100000 sert à palier à un timeout du navigateur, -m 2g sert à limiter l’utilisation de la RAM et comme toujours j’utilise Watchtower mais vous pouvez faire sans cette ligne --label=…

  J’utilise également CloudflareDDNS pour générer un sous-domaine sur Cloudflare et MàJ mon IP dynamique (fibre Orange). Evidemment, ne pas oublier de créer ensuite le reverse proxy inhérent dans Nginx Proxy Manager ou autre. Et dans ce cas n’oubliez pas d’activer le Websocket (case à cocher) sinon vous aurez une erreur 😉

  Mais on peut très bien ne le faire tourner qu’avec le classique IP:port

  docker run -d \ --name=epicddns \ --restart always \ -e ZONE=upandclear.org \ -e HOST=epic.upandclear.org \ -e [email protected] \ -e API=xxx \ -e PROXY=true \ -e FORCE_CREATE=true \ --label=com.centurylinklabs.watchtower.enable=true \ joshuaavalon/cloudflare-ddns

  Revenons à la configuration d’epicgames-freegames, on se base sur le config.json qu’il donne en exemple. Il est a créer/déposer dans le dossier monté pour /usr/app/config

  Voici le mien, avec des notifcations Discord, mon email:pwd EpicGames et la clé d’identification 2FA. On peut ajouter plusieurs outils de notification.

  { "runOnStartup": true, "cronSchedule": "5 16 * * *", "logLevel": "info", "webPortalConfig": { "baseUrl": "https://epic.upandclear.org", }, "accounts": [ { "email": "email_epicgames", "password": "pwd_epicgames", "totp": "clé_2fa_epicgames" }, ], "notifiers": [ { "type": "discord", "webhookUrl": "https://discordapp.com/api/webhooks/xx/xxx", }, ], }

  Si vous n’avez pas de domaine, remplacer https://epic.upandclear.org

  "baseUrl": "IP:port_publié_du_Docker"

  Le cron de la configuration lancera la requête tous les jours à 16h05. C’est la valeur par défaut, autant la modifier pour éviter le SPAM d’EpicGames tous les jours à la même heure…

  Une fois le Docker lancé on reçoit une notification pour aller valider le Captcha à la main (par défaut la notif est valable 24h)

  text alternatif

  Cliquer et on tombe sur l’URL du type https://neaj.upandclear.org/?targetId=A6423E30A5626BFC0FEC26FB1A3F17BF

  On complète le Captcha et le processus se déroule automatiquement.

  text alternatif
  text alternatif

  Le jeu est bien ajouté à la bibliothèque (cette semaine c’est notamment Iratus: Lord of the dead)

  text alternatif

  Il est bien ensuite en bibliothèque et installable quand on veut.

  text alternatif

  Avec le reçu par email

  text alternatif

  Si c’est la première fois qu’on utilise ce Docker et qu’on souhaite récupérer tous les jeux gratuits de la semaine on peut soit laisser faire le cron qui relancera l’opération tous les jours à 16h soit relancer à la main le Docker pour qu’il aille de suite récupérer tous les jeux.

  docker restart epic

  On peut voir le déroulé des opérations dans les logs (par curiosité)

  [2022-06-30 17:08:53.948 +0200] DEBUG: Launching a new browser user: "[email protected]" [2022-06-30 17:08:54.110 +0200] DEBUG: Launching a new page user: "[email protected]" [2022-06-30 17:08:54.439 +0200] INFO: Loading purchase page user: "[email protected]" purchaseUrl: "https://www.epicgames.com/store/purchase?highlightColor=0078f2&offers=1-5a2108f4db804040aaf44d139bd21bd1-xx&orderId&purchaseToken&showNavigation=true" [2022-06-30 17:09:05.713 +0200] DEBUG: Clicking placeOrderButton user: "[email protected]" [2022-06-30 17:09:05.923 +0200] DEBUG: Clicking euRefundAgreeButton user: "[email protected]" [2022-06-30 17:09:06.912 +0200] DEBUG: Waiting for receipt user: "[email protected]" [2022-06-30 17:09:08.254 +0200] DEBUG: Captcha detected user: "[email protected]" [2022-06-30 17:09:08.264 +0200] INFO: Go to this URL and do something user: "[email protected]" url: "https://epic.upandclear.org/?targetId=4770BC285A86FE0E95D22BF36E4F6EBA" [2022-06-30 17:09:53.864 +0200] INFO: Done purchasing Hood: Outlaws & Legends user: "[email protected]" [2022-06-30 17:09:53.864 +0200] INFO: Purchasing Iratus: Lord of the Dead user: "[email protected]" [2022-06-30 17:09:53.864 +0200] DEBUG: hcaptchaAccessibilityUrl not configured, captchas are less likely to be bypassed. Follow this guide to set it up: https://github.com/claabs/epicgames-freegames-node#hcaptcha-accessibility-cookies [2022-06-30 17:09:53.868 +0200] DEBUG: Logging in with puppeteer user: "[email protected]" [2022-06-30 17:09:53.868 +0200] DEBUG: Launching a new browser user: "[email protected]" [2022-06-30 17:09:54.126 +0200] DEBUG: Launching a new page user: "[email protected]" [2022-06-30 17:09:55.072 +0200] INFO: Loading purchase page user: "[email protected]" purchaseUrl: "https://www.epicgames.com/store/purchase?highlightColor=0078f2&offers=1-d250bdf072934b70ab080c6fcee77734-xx&orderId&purchaseToken&showNavigation=true" [2022-06-30 17:10:06.392 +0200] DEBUG: Clicking placeOrderButton user: "[email protected]" [2022-06-30 17:10:06.601 +0200] DEBUG: Clicking euRefundAgreeButton user: "[email protected]" [2022-06-30 17:10:07.604 +0200] DEBUG: Waiting for receipt user: "[email protected]" [2022-06-30 17:10:09.687 +0200] INFO: Done purchasing Iratus: Lord of the Dead user: "[email protected]" [2022-06-30 17:10:09.687 +0200] DEBUG: Closing browser user: "[email protected]" Run once: false Setting cron schedule as 5 16 * * *

  Tutoriels informatiques

• SteamCMD: Télécharger des items du Steam Workshop (Wallpaper Engine)

  

  Bonjour à tous,

  – Petit tuto pour vous expliquer comment télécharger des éléments du Steam Workshop.

  – Avant, je passai par Steam Workshop Downloader pour télécharger mes fonds d’écrans animés pour mon Wallpaper Engine cracké.

  – Mais depuis environ un mois, Steam a mis des protections pour Wallpaper Engine et d’autres jeux et ce n’est plus possible d’utiliser cet outils qui était fort pratique !

  La seule solution est donc de passer par SteamCMD et de se loguer sur son compte Steam. On va donc voir ça de suite.

  Installer SteamCMD

  – Télécharger SteamCMD à partir du wiki Valve : https://developer.valvesoftware.com/wiki/SteamCMD#Downloading_SteamCMD

  – Extraire l’archive de SteamCMD dans son propre dossier

  Se logguer à SteamCMD

  – Ouvrer le programme SteamCMD et attender qu’il se mette à jour :

  

  – Taper :

  login anonymous

  … si vous souhaitez vous connecter à un compte anonyme.

  ⚠️ Certains jeux/applications comme Wallpaper Engine nécessitent l’utilisation d’un compte Steam réel, sinon les téléchargements échoueront.

  – Dans notre cas, on se loggue à son propre compte da la manière suivante:

  logon username password steam_guard_access_code

  

  Télécharger avec SteamCMD

  – Vous êtes maintenant prêt à télécharger des fichiers. Pour se faire, utiliser la commande suivante:

  workshop_download_item Account_ID url_ID

  – Prenons l’exemple de ce fond d’écran animé pour Wallpaper Engine: https://steamcommunity.com/sharedfiles/filedetails/?id=2821407073

  –> On le télécharge de la manière suivante:

  workshop_download_item 431960 2821407073

  

  – Vous retrouverez les éléments téléchargés du Workshop dans votre répertoire de steamCMD dans :

  steamcmd\steamapps\workshop\content\431960

  

  – Plus d’informations sur SteamCMD ici :

  https://developer.valvesoftware.com/wiki/SteamCMD#Downloading_an_App

  @+

  Tutoriels informatiques

• [Active Directory] Corriger une erreur d’approbation au domaine sur un poste client

  

  

  Introduction

  – En entreprise, quand on administre un contrôleur de domaine, on a tous eu au moins une fois une station de travail indiquant que la relation d’approbation entre cette station de travail et le domaine principal a échoué.

  – Pour résoudre cette problématique, il faut se rendre jusqu’au poste en question, débrancher le câble réseau, se connecter avec le compte administrateur, remettre le câble réseau, retirer le poste du domaine, redémarrer l’ordinateur, rentrer de nouveau la machine dans le domaine.

  ⚡ Comme un bon admin est un admin qui lève ses fesses le moins souvent possible de sa chaise, voici comment régler le problème de son bureau via Powershell 🙂

  Corriger l’approbation via PowerShell

  – Dans un premier, faire débrancher le câble réseau à l’utilisateur de la machine afin qu’il puisse se connecter à sa session en locale. Une fois fait, il rebranche la connexion réseau et vous avez ainsi la main sur le poste à distance.

  – À partir de ce moment-là, faites l’ouverture d’une console PowerShell en tant qu’Administrateur. Puis renseigner la commande suivante :

  Test-ComputerSecureChannel

  – Celle-ci vous retournera un résultat comme ci-dessous, ceci indiquant bien que la relation d’approbation ne se réalise plus.

  

  – Une fois la validation de ce dysfonctionnement, nous allons ajouter les arguments suivants à notre commande précédente :

  Test-ComputerSecureChannel -Repair -Credential [email protected]

  – Le mot de passe du compte que vous utilisez pour faire la commande vous sera demandé :

  

  ⚡Ici, on renseigne le compte administrateur, mais vous pouvez indiquer tout autre compte qui possède les droits nécessaires pour faire l’ajout d’un ordinateur au domaine.

  – Faites le redémarrage de l’ordinateur et votre utilisateur va pouvoir de nouveau se connecter à sa session sans avoir le désagréable message d’erreur suivant : La relation d’approbation entre cette station de travail et le domaine principal a échoué

  Petite information complémentaire

  ⚠️ Il est possible que lors de l’exécution de la commande celle-ci vous retourne une erreur indiquant que le nom de l’ordinateur n’est pas présent au sein de votre serveur Active Directory.

  – Dans ce cas-là, vous devez effectivement faire la vérification sur ce dernier afin de voir si c’est bien le cas. Si le nom de la machine n’est pas présent en tant qu’objet de votre Active Directory, vous pouvez faire la création de celui-ci et refaire l’exécution de la commande sur le poste où vous avez le dysfonctionnement et ça fonctionnera !

  SOURCE: Tech2Tech

  Tutoriels informatiques

• [NAS] [QNAP] Problème de connexion avec certains Services WEB - Mettre à jour les Certificats ROOT Let's Encrypt

  

  Prérequis :

  Savoir utiliser un client SSH (Putty, kitty…) Savoit utiliser un éditeur texte vim (Ou utiliser le mode Edition du client sftp WinSCP) (on va essayer de minimiser ce dernier point)

  Joie, vous venez enfin d’intégrer le Tracker super privé que vous convoittiez, ou la dernière grosse board DDL …

  Mais Horreur, le logiciel de Download / BitTorrent de votre Nas ne parvient pas à se connecter aux serveurs en question.

  Tracker: [Peer certificate cannot be authenticated with given CA certificates] Error: Unable to establish a secure connection

  Pourtant le navigateur web de mon PC se connecte sans problème en HTTPS et je peux consulter le contenu disponible.

  Alors où est le problème ?

  Il y a de fortes chances que le problème concerne le certificat de sécurité SSL/TLS utilisé par les sites en question.
  Et que ce certificat provienne de l’Autorité de Certification Let’s Encrypt (CA qui fournit des certificats gratuits aux sites web).

  Let’s Encrypt utilisait dans sa chaîne de certification un Certificat Intermédiaire qui a expiré en Septembre 2021. Rien de problématique puisque maintenant il fournit un nouveau certificat pour la validation et qu’une très grande partie des Systèmes d’Exploitation ont intégré ces nouveaux Certificats Root Let’s Encrypt dans leur bundle de certificats Root CA.

  Malheureusement ce n’est pas le cas pour certains matériels anciens qui n’auront pas de mise à jour ainsi que pour certains Nas.
  C’est le cas pour des Nas QNAP (O.S QTS à jour), il n’y a pas eu de mise à jour du bundle de certificats Root CA.

  Comment savoir si mon Nas est concerné ?

  Il faut ouvrir une session admin (root) à distance sur le Nas par SSH et exécuter la commande suivante

  wget https://framadrive.org

  Votre Nas est concerné si vous avez ce retour

  Connecting to framadrive.org|94.130.9.91|:443... connected. ERROR: cannot verify framadrive.org's certificate, issued by ‘CN=R3,O=Let's Encrypt,C=US’: Issued certificate has expired. Alors que peut-on faire ?

  On va ajouter au Nas les certificats Let’s Encrypt nécessaires en suivant les commandes suivantes
  (on est toujours en session à dustance par SSH)

  # on cree un dossier de stockage mkdir ~/lets-encrypt-certs cd ~/lets-encrypt-certs # on recupere les certificats curl --ipv4 --insecure -O https://letsencrypt.org/certs/isrgrootx1.pem curl --ipv4 --insecure -O https://letsencrypt.org/certs/isrg-root-x2.pem # on modifie le nom des fichiers pour les rendre compatible ave openssl for filename in *pem; do cp $filename `openssl x509 -hash -noout -in $filename`.0; done; # on ajoute les fichiers de certificat au bundle de Certificats Root CA du systeme cp *.0 /etc/ssl/certs/ cd

  Et maintenant on valide la modification

  wget https://framadrive.org

  Résultat, Code 200, tout va bien

  Reusing existing connection to framadrive.org:443. HTTP request sent, awaiting response... 200 OK Length: 25337 (25K) [text/html] Saving to: ‘index.html’

  Dorénavant tous les softwares affectés par ce problèmes vont fonctionner correctement. Software comme wget, curl, transmission, …

  J’ai utilisé le site framadrive.org comme exemple pour respecter les urls illégales, je peux indiquer que ce problème concerne également au moins 2 trackers

  sharewood.*** (site généraliste français) re*******.*** (site de musique suisse)

  Remarques importantes :
  1 - Ni le forum ni moi-même ne sont responsables de vos actions sur votre Nas, si vous ne comprennez pas ce aque vous êtes en train de faire alors ne le faite pas !

  2 - Vu le fonctionnement du système QTS, cette modififcation sera écrasée après redémarrage du Nas 😕

  Je remercie fortement la personne qui m’a permis de tester ce HOW-TO sur son Nas QNAP 😉

  Nota : Je ferais un update quand je pourrais tester une solution pour rendre la modification permanente après redémarrage du Nas.

  Tutoriels informatiques

• Monter son serveur VPS Wireguard et l’utiliser avec un client Docker + kill switch + proxy

  

  Source : mon blog

  J’utilise depuis un petit bout de temps un VPS IONOS en guise de serveur VPN basé sur Wireguard. Ce protocole VPN bride moins le débit qu’OpenVPN et c’est bien pratique dans le cadre d’une utilisation “dédiée au trafic” (voici une idée des performances avec/sans VPN, celles-ci sont très aléatoires et données à titre indicatif). IONOS est le moins cher que j’avais trouvé mais ça fonctionne tout aussi bien avec des VPS OVH (trafic illimité), Vultr (Cloud Compute, trafic selon l’offre) ou encore Hetzner (Cloud, 20Tb de trafic mensuel).

  IONOS permet de louer un VPS dès 1.20€ TTC/mois (sans engagement contrairement à mes souvenirs) avec un trafic illimité et une bande passante de 400Mbps (malgré ma ligne fibre de 1Gbps c’est déjà pas mal). 512Mo de RAM suffisant amplement pour un serveur VPN (OpenVPN comme Wireguard). J’installe mon serveur avec le script d’Angristan et côté client je passe par 2 Dockers (dont 1 que je viens de changer car plus récent) : un client Wireguard avec kill switch/proxy/DNS over TLS etc d’intégrés de Quentin McGaw.

  Au menu :

  Installer le serveur IONOS (+ le firewall, obligatoire chez eux) Serveur Wireguard Client Docker Utilisation

  Il est compliqué de trouver un VPS qui allie petit prix et bande passante + trafic. Je privilégie IONOS pour son prix, 1.20€ TTC et son trafic illimité. La bande passante est limitée à 400Mbps, en deçà de mon débit fibre (1000/600Mbps) mais ce sera amplement suffisant pour mon utilisation : torrenting (rarement), bouncer IRC, streaming et surf.

  Une fois le compte validé par IONOS (pas la peine de penser Tor/BTC avec eux), je prends possession de mon VPS. J’y installe Debian 10 (besoin d’1GB de RAM pour Debian 11) et y adjoins une clé SSH (un mot de passe fonctionne aussi).

  text alternatif
  On peut suivre l’état d’avancement sur l’interface. IONOS oblige ensuite à définir une stratégie de pare-feu.

  text alternatif
  Pour pouvoir s’y connecter en SSH il est impératif d’ouvrir le port TCP 22 puis on peut définir un port UDP pour notre serveur Wireguard (ce que vous voulez). Ce sont évidemment de sports d’entrée, par défaut leur firewall ne ferme aucun port de sortie.

  text alternatif
  Wireguard n’est pas par défaut dans les dépôts de Debian 10 et son noyau de base ne le supporte pas (5.6 minimum)

  [email protected]:~# uname -sr Linux 4.19.0-18-amd64

  On doit donc installer les backports, rafraichir les sources et mettre à jour vers un nouveau noyau (5.10 ici)

  [email protected]:~# sh -c "echo 'deb http://deb.debian.org/debian buster-backports main contrib non-free' > /etc/apt/sources.list.d/buster-backports.list" [email protected]:~# apt-get update [email protected]:~# apt-get install -y linux-image-5.10.0-0.bpo.9-amd64 linux-image-amd64

  Après un reboot, le noyau est bien à jour

  [email protected]:~# uname -r 5.10.0-0.bpo.9-amd64

  Je peux ensuite y installer mon serveur Wireguard via le script d’Angristan. On vérifie/intègre quelques paramètres : le port Wireguard est évidemment celui qu’on a ouvert dans le pare-feu IONOS. Et j’utilise les DNS de dns.watch et quad9.

  [email protected]:~# curl -O https://raw.githubusercontent.com/angristan/wireguard-install/master/wireguard-install.sh % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 15088 100 15088 0 0 94300 0 --:--:-- --:--:-- --:--:-- 94300 [email protected]:~# chmod +x wireguard-install.sh [email protected]:~# ./wireguard-install.sh Welcome to the WireGuard installer! The git repository is available at: https://github.com/angristan/wireguard-install I need to ask you a few questions before starting the setup. You can leave the default options and just press enter if you are ok with them. IPv4 or IPv6 public address: 123.456.789.10 Public interface: ens192 WireGuard interface name: wg0 Server's WireGuard IPv4: 10.66.66.1 Server's WireGuard IPv6: fd42:42:42::1 Server's WireGuard port [1-65535]: 60177 First DNS resolver to use for the clients: 84.200.69.80 Second DNS resolver to use for the clients (optional): 9.9.9.9 Okay, that was all I needed. We are ready to setup your WireGuard server now. You will be able to generate a client at the end of the installation. Press any key to continue...

  Je lance l’installation dans la foulée. Il faut entrer un nom de client, pour moi ce sera NUC2 car il sera utilisé sur mon… NUC n°2 (je suis un grand créatif !)

  Tell me a name for the client. The name must consist of alphanumeric character. It may also include an underscore or a dash and can't exceed 15 chars. Client name: NUC2 Client's WireGuard IPv4: 10.66.66.2 Client's WireGuard IPv6: fd42:42:42::2 Here is your client config file as a QR Code: [QRcode] It is also available in /root/wg0-client-NUC2.conf If you want to add more clients, you simply need to run this script another time!

  Et voilà. Serveur installé. Je peux déjà afficher le contenu de la configuration (cat /root/wg0-client-NUC2.conf) en vue de son utilisation dans le client Docker.

  [Interface] PrivateKey = abc Address = 10.66.66.2/32,fd42:42:42::2/128 DNS = 84.200.69.80,9.9.9.9 [Peer] PublicKey = def PresharedKey = ghi Endpoint = 123.456.789.10:60177 AllowedIPs = 0.0.0.0/0,::/0

  En guise de client je passe par le Docker gluetun de qdm12. Il est très complet !
  Outre qu’il soit prévu pour un bon nombre de fournisseurs VPN, ilest compatible OpenVPN comme Wireguard, intère un kill switch (qui empêche une connexion hors VPN si le serveur distant est HS), un proxy shadowsock(SOCKS5)/HTTP/HTTPS, compatible ARM etc. En gros, il manque juste le café ^^

  J’installe ça sur le NUC2, dans sa version Custom Provider

  --name wireguard \ --restart always \ --cap-add=NET_ADMIN \ -e TZ=Europe/Paris \ -e VPNSP=custom \ -e VPN_TYPE=wireguard \ -e WIREGUARD_ENDPOINT_IP=123.456.789.10 \ -e WIREGUARD_ENDPOINT_PORT=60177 \ -e WIREGUARD_PUBLIC_KEY=def \ -e WIREGUARD_PRIVATE_KEY=abc \ -e WIREGUARD_PRESHARED_KEY=ghi \ -e WIREGUARD_ADDRESS="10.66.66.2/32" \ --label=com.centurylinklabs.watchtower.enable=true \ qmcgaw/gluetun

  Il suffit de remplir d’après de le fichier de configuration client Wireguard juste au-dessus :
  PUBLIC_KEY = PublicKey
  PRIVATE_KEY = PrivateKey
  PRESHARED_KEY = PresharedKey
  Et comme souvent j’ajoute Watchtower.

  On peut vérifier que tout fonctionne dans les logs du Docker

  [email protected]:/home/aerya/# docker logs wireguard ======================================== ======================================== =============== gluetun ================ ======================================== =========== Made with [IMG alt="❤️"]https://s.w.org/images/core/emoji/13.1.0/svg/2764.svg[/IMG] by ============ ======= https://github.com/qdm12 ======= ======================================== ======================================== Running version latest built on 2021-11-07T21:29:28.361Z (commit 6ffb94f) [...] 2021/11/08 14:40:40 INFO vpn: You are running on the bleeding edge of latest! 2021/11/08 14:40:41 INFO ip getter: Public IP address is 123.4456.789.10 (xxx xxx xxx) [...]

  Ou en suivant le Wiki. Pensez à changer le nom du Docker client “gluetun” pour le nom de votre Docker

  [email protected]:/home/aerya/docker/wireguard# docker run --rm --network=container:wireguard alpine:3.14 sh -c "apk add wget && wget -qO- https://ipinfo.io" fetch https://dl-cdn.alpinelinux.org/alpine/v3.14/main/x86_64/APKINDEX.tar.gz fetch https://dl-cdn.alpinelinux.org/alpine/v3.14/community/x86_64/APKINDEX.tar.gz (1/3) Installing libunistring (0.9.10-r1) (2/3) Installing libidn2 (2.3.1-r0) (3/3) Installing wget (1.21.1-r1) Executing busybox-1.33.1-r3.trigger OK: 8 MiB in 17 packages { "ip": "123.456.789.10", "city": "xxx", "region": "xxx", "country": "xxx", "loc": "xxx", "org": "AS8560 IONOS SE", "postal": "60306", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth"

  Son utilisation est simple. Par exemple pour faire en sorte que mon Docker ruTorrent passe par le VPN, il suffit de le forcer à utiliser le réseau de ce dernier via l’option [I]–network=container:wireguard[/I] (ou tout autre nom que vous auriez donné à votre Docker client).
  Le fait de faire passer un container par le réseau d’un autre empêche de publier un port. En effet, la publication de port (-p 927/80 ) n’est utile que lorsqu’on peut y accéder directement. Et vu que ça passe par le réseau VPN, ce n’est pas le cas.

  Le principe est le même pour tous les containers Dockers (sauf rares exceptions) : bouncer IRC (ZNC), blog, Nextcloud… A vous de voir l’intérêt de faire transiter telle ou telle application par un VPN.

  --name=rutorrentwireguard \ --restart always \ -v /home/aerya/docker/rutorrentwireguard/config:/config \ -v /mnt:/downloads \ -e PGID=0 -e PUID=0 \ -e TZ=Europe/Paris \ --net=container:wireguard \ romancin/rutorrent:0.9.8

  Pour vérifier que le container ruTorrent accède bien au Web via le VPN je contrôle son IP publique (qui est donc celle de mon VPS IONOS)

  [email protected]:/home/aerya# docker exec -it rutorrentwireguard curl icanhazip.com 123.456.789.10

  Et donc pour accéder à mon Docker ruTorrent, c’est dans le Docker VPN que je dois publier le port de l’interface Web : c’est le port mapping.
  Concrètement, si je veux accéder à mon interface port 80 depuis mon réseau local, alors qu’il accède à Internet via le VPN, je dois ouvrir le port 80 dans le Docker VPN.

  Avec -p 927/80 \ j’accèderai à ruTorrent via le port 927.
  /!\ pour lancer cette version du Docker wireguard, supprimez l’existant (docker stop wireguard puis docker rm wireguard)

  --name wireguard \ --restart always \ --cap-add=NET_ADMIN \ -e TZ=Europe/Paris \ -e VPNSP=custom \ -e VPN_TYPE=wireguard \ -e WIREGUARD_ENDPOINT_IP=123.456.789.10 \ -e WIREGUARD_ENDPOINT_PORT=60177 \ -e WIREGUARD_PUBLIC_KEY=def \ -e WIREGUARD_PRIVATE_KEY=abc \ -e WIREGUARD_PRESHARED_KEY=ghi \ -e WIREGUARD_ADDRESS="10.66.66.2/32" \ -p 927/80 \ --label=com.centurylinklabs.watchtower.enable=true \ qmcgaw/gluetun

  text alternatif
  On peut aussi s’en servir de proxy pour un navigateur ou une application. Voici un exemple avec un proxy HTTP
  /!\ pour lancer cette version du Docker wireguard, supprimez l’existant (docker stop wireguard puis docker rm wireguard)

  --name wireguard \ --restart always \ --cap-add=NET_ADMIN \ -e TZ=Europe/Paris \ -e VPNSP=custom \ -e VPN_TYPE=wireguard \ -e WIREGUARD_ENDPOINT_IP=123.456.789.10 \ -e WIREGUARD_ENDPOINT_PORT=60177 \ -e WIREGUARD_PUBLIC_KEY=def \ -e WIREGUARD_PRIVATE_KEY=abc \ -e WIREGUARD_PRESHARED_KEY=ghi \ -e WIREGUARD_ADDRESS="10.66.66.2/32" \ -p 927:80/tcp \ -p 8888:8888/tcp \ -e HTTPPROXY=on \ -e HTTPPROXY_PORT=8888 \ -e HTTPPROXY_USER=aerya \ -e HTTPPROXY_PASSWORD=motdepasse \ -e HTTPPROXY_STEALTH=on \ --label=com.centurylinklabs.watchtower.enable=true \ qmcgaw/gluetun

  Faut bien entendu publier le port du proxy HTTP (j’ai laissé celui par défaut) : 8888. On peut l’utiliser par exemple avec l’extension de navigateurs FoxyProxy

  text alternatif
  text alternatif

  Tutoriels informatiques

• Mettre à jour/Créer une ISO de Windows 11 sans puces TPM

  

  Salut,

  Voici une petite méthode pour pouvoir mettre à jour votre Windows 10 vers Windows 11 ou créer une ISO de Windows 11 vous permettant de l’installer.

  Cela peux être intéressant pour le tester sur de vieilles bécanes qui n’ont pas de puce TPM par exemple ou pour le “fun”

  Et le tout sans puce TPM !

  ⚠️ Ne faites pas ça sur des PC en production hein. A vos risques et périls !

  Télécharger l’ISO de Windows 11

  – Il vous faudra récupérer une ISO de Windows 11 disponible sur le site de Microsoft ICI

  – Vous pouvez aussi la faire avec UUP DUMP

  [[gallery]]
  c9eb455e-a46e-4c6e-9a77-010d9a9859a6-image.png
  W4VFiirJLh.png
  tNl32lxKBY.png

  Remplacer la DLL « appraiserres.dll »

  – Ensuite, pour bypasser le fait d’avoir une puce TPM, il est nécessaire de remplacer le fichier appraiserres.dll présent dans l’ISO de Windows 11.

  – Il vous faut donc décompresser votre ISO avec votre logiciel de décompression préféré.

  – Une fois votre fichier ISO décompressé, télécharger le fichier appraiserres.dll disponible sur ce Github

  – Remplacer le fichier appraiserres.dll dans le dossier Source par celui téléchargé:

  [[gallery]]
  ae5b2c66-de5b-42c5-8877-f0dd8a7fb55c-image.png
  177c6a4a-6b14-4a49-bfd7-c1c83f7e9056-image.png

  – Vous avez maintenant la possibilité de mettre à jour vers Windows 11 en exécutant le fichier Setup.exe disponible dans le dossier de votre ISO décompressé.

  ⚡ Note: Vous pouvez aussi refaire une ISO pour une installation via clé USB avec RUFUS si vous le souhaitez.

  SOURCE: Tech2Tech

  Tutoriels informatiques

• Installer Windows 11 sur un PC non compatible sans bricoler le fichier iso

  

  Il est maintenant possible d’installer Windows 11 très facilement sur une machine non compatible en ajoutant simplement deux clefs de registre à la volée au lieu de s’embêter à modifier l’iso, voici la démonstration en vidéo.

  La première partie concerne l’installation d’une machine virtuelle que l’on peut sauter d’autant plus vite que le paramétrage en est très négligé.

  Passez à 4’09’’ pour voir l’astuce.

  Tutoriels informatiques

• [Windows 11] Changer la position de la barre des tâches

  

  Changer la position de la barre des tâches

  

  Bien que Windows ait toujours placé sa barre des tâches en bas de l’écran par défaut, de nombreux utilisateurs préfèrent la placer en haut ou même à gauche ou à droite. Windows 11 ne fournit pas d’option de menu pour déplacer la barre des tâches n’importe où, mais avec un simple ajustement du registre (ou deux), vous pouvez la placer en haut de l’écran.

  Notez que, comme Microsoft ne prend pas en charge ce déplacement de la barre des tâches, certains bogues y sont associés:

  Lorsque vous déplacez la barre des tâches vers le haut, le menu Démarrer se déplace vers le haut mais s’aligne sur le coin supérieur gauche, même si les icônes de la barre des tâches restent centrées.

  La barre d’état système se trouve en haut à droite à sa place, mais si vous cliquez sur l’horloge, le haut-parleur ou sur les notifications, les menus contextuels correspondants apparaissent dans le coin inférieur droit. Le menu de recherche, cependant, est toujours aligné au centre.

  

  Si vous souhaitez que les icônes de la barre des tâches apparaissent au-dessus du menu Démarrer, vous pouvez toujours choisir de les aligner sur la gauche (plus de détails ci-dessous).

  Si vous pouvez utiliser Windows avec le placement étrange des menus volants et que vous voulez que votre barre des tâches soit en haut, suivez les étapes ci-dessous.

  Microsoft aurait pu éventuellement désactiver ce hack. Cependant, à partir de la version finale de Windows 11 (22000.194), cela fonctionne toujours.

  Ouvrez l’éditeur de registre Regedit. Vous pouvez le faire en appuyant sur la touche Windows + R et en tapant regedit ou en recherchant regedit à l’aide du menu de recherche.

  

  Allez dans le dossier suivant: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects3

  Ouvrez la clé Settings et éditez en double-cliquant dessus:

  

  Modifiez la cinquième valeur de la deuxième ligne de “03” à “01”. Vous pouvez le faire en supprimant le 03, puis en tapant 01. Cliquez sur OK.

  

  Si vous utilisez plusieurs moniteurs et que vous souhaitez que les barres des tâches de ces écrans soient également en haut de l’écran, vous devez modifier les mêmes valeurs en 01 pour toutes les clés de registre dans le dossier : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MMStuckRects

  Si vous n’avez pas plusieurs moniteurs, ce dossier n’existera pas.

  Fermez Regedit.

  Lancez l’invite de commande en mode administrateur. Vous pouvez le faire en recherchant “cmd”, en cliquant avec le bouton droit sur le premier résultat et en sélectionnant “Exécuter en tant qu’administrateur”. Cliquez sur Oui si vous êtes invité à confirmer.

  

  Arrêtez et redémarrez le processus explorer.exe en entrant la commande suivante: taskkill /f /im explorer.exe

  Et redémarrer explorer.exe:

  start explorer.exe

  

  À ce stade, vous devriez voir votre barre des tâches en haut de votre écran.
  Cependant, si vous souhaitez aligner votre bouton Démarrer et d’autres icônes sur la gauche afin qu’ils correspondent à l’emplacement du menu Démarrer, suivez les étapes ci-dessous.

  Aligner les icônes de la barre des tâches à gauche Faites un clic droit sur la barre des tâches et sélectionnez Paramètres de la barre des tâches:

  

  Développez les comportements de la barre des tâches en cliquant dessus:

  

  Sélectionnez Gauche dans l’alignement de la barre des tâches:

  

  Maintenant, les icônes devraient être sur la gauche:

  

  Si vous souhaitez revenir à la barre des tâches inférieure, remplacez simplement le “01” par “03” dans :

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects3

  SOURCE: Tom Hardware

  Tutoriels informatiques

• [Windows 11] Retrouver l'apparence de l'explorateur de fichier de Windows 10

  

  Retrouver l’apparence de l’explorateur de fichier de Windows 10

  

  Il y a beaucoup de choses sympa dans Windows 11, mais pour pas mal de gens, la nouvelle conception de l’explorateur de fichiers est décevante.

  Celui-ci possède une disposition similaire à l’explorateur de fichiers de Windows 10 et des fonctionnalités identiques, mais il n’y a pas de menu ruban (ce qui était pratique) et de nombreux éléments de menu courants tels que l’affichage d’extensions sont enterrés dans le sous-menu des options.

  Pire encore, les boutons des fonctions de base telles que couper, coller et renommer ne sont que des icônes sans texte au-dessus d’eux. Les listes de raccourcis que vous obtenez lorsque vous faites un clic droit sur un dossier peuvent également avoir moins d’options.

  Heureusement, ce n’est pas une raison pour ne pas télécharger un ISO Windows 11 et d’installer le nouveau système d’exploitation de Microsoft. Ci-dessous, vous trouverez un hack de registre qui ramène l’explorateur de fichiers Windows 10 et les menus contextuels.

  

  Ouvrez l’éditeur de registre Regedit. Vous pouvez le faire en appuyant sur la touche Windows + R et en tapant regedit ou en recherchant regedit à l’aide du menu de recherche.

  

  Allez dans le dossier suivant: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions

  

  Créez une clé de registre appelée Blocked si elle n’existe pas et déplacez-vous dedans :

  

  Faites un clic droit dans le volet de droite et sélectionnez Nouvelle chaîne->Valeur. Une nouvelle entrée apparaît avec le nom “Nouvelle valeur #” et un numéro.

  

  Renommez votre valeur en {e2bf9676-5f8f-435c-97eb-11607a5bedf7}

  

  Fermez Regedit et redémarrez.

  Votre ordinateur devrait maintenant afficher l’explorateur de fichiers Windows 10 classique, bien que certaines icônes puissent être un peu différentes. Par exemple, les dossiers de la bibliothèque dans Windows 11 sont de différentes couleurs, pas seulement du jaune.

  Dans l’ensemble, cependant, vous récupérez l’expérience utilisateur et les fonctionnalités que vous avez perdues.

  Si vous souhaitez revenir à l’explorateur de fichiers de Windows 11, supprimez simplement la chaîne {e2bf9676-5f8f-435c-97eb-11607a5bedf7}

  SOURCE: Tom Hardware

  Tutoriels informatiques