Aujourd’hui, nous avons publié l’Avis de sécurité 2501696 pour alerter les clients à une vulnérabilité divulguée publiquement dans le gestionnaire de protocole MHTML. Cette vulnérabilité pourrait permettre à des attaquants de construire des liens malveillants pointant vers des documents HTML qui, lorsqu’on clique dessus, génèrerait le document ciblée et exécuterait le script dans le contexte de sécurité de l’utilisateur et l’emplacement cible. Le résultat final de ce type de vulnérabilité est un script codé dans le lien exécuté dans le contexte du document cible ou le site Web cible.
…

Par défaut, le gestionnaire de protocole MHTML est vulnérable sur Windows XP et les versions ultérieures Windows pris en charge. Internet Explorer est un vecteur d’attaque, mais parce que c’est une vulnérabilité de Windows, la version de IE n’est pas pertinente.

Je vous ai mis en gras la partie importante. Vous pouvez remplacer le conditionnel du texte par du présent, cette faille est déjà largement exploitée sur des sites de crack et de porno.

En clair, en cliquant sur un lien, vous ne ferez pas que télécharger un document, vous exécutez un script qui peut modifier le document que vous téléchargez et va faire des choses sur votre ordinateur. Par exemple, le lien à cliquer pointe vraiment vers un document officiel de Microsoft (patch de sécurité, logiciel, jeu, …) mais alors que vous le téléchargez, le script peut modifier le programme ou vous rediriger vers un autre document modifié. Sans que vous ne puissiez voir quoi que ce soit, même en vérifiant la cible avant le téléchargement. En clair, on ne peut plus faire confiance aux liens de téléchargement¹.

Pour résumer, encore une fois, Internet Explorer + Windows, c’est non sécurisé!² Même avec le meilleur firewall et le meilleur anti-virus.

Pour vérifier votre système, rendez vous sur la page http://vulnerabilite.absolacom.com/2501696.mht. Si vous voyez le popup, vous êtes vulnérable et vous devriez installer le correctif fourni par Microsoft.

Dans le cas où vous verriez un bandeau comme sur l’image suivante, votre système est protégé contre l’utilisation à votre insu du protocole.

Par contre, faites attention: si vous autorisez tous les protocoles sur un site, celui ci peut alors faire n’importe quoi sur votre ordinateur! Ne vous laissez pas avoir par un message vous demandant d’activer ce protocole sous prétexte de vous autoriser à installer un jeu/ voir du porno/ communiquer avec vos amis/ accéder à un crack/ obtenir les 15975325 millions de dollars que vous auriez gagné….

1. sauf à utiliser un autre système d’exploitation, comme Linux, MacOS, ou un autre navigateur internet . Firefox, par exemple.
2. Microsoft a dépensé des milions pour des campagne publicitaires pour dire que IE8 était fun, rapide et sécurisé, ils ne vont donc pas dépenser un sou pour dire le contraire…

Il est conseillé de ne pas dépasser 150 dpi dans les réglages d’exportation ou d’impression afin de ne pas avoir un trop gros document, mais parfois, ce n’est pas suffisant pour obtenir un fichier assez léger pour être envoyé par mail.

Voici les commandes à utiliser pour alléger un document PDF

J’ai un document PDF qui servira d’exemple. La taille de base de ce document est de 26.4Mo.

Méthode 1: utiliser l’imprimante PDF de cups pour choisir les réglages

Il faut bien sûr que cups-pdf soit installé sur votre système.

Ouvrez le documents PDF avec votre lecteur de PDF, choisissez de l’imprimer sur l’imprimante PDF, et allez régler les options de manière à imprimer en 150 dpi.

Le nouveau document généré atteint alors une taille de 17.8Mo.

Méthode 2: passer par postscript pour regénérer un PDF léger

Ouvrez un terminal dans le dossier où se trouve votre PDF et entrez la commande suivante, en remplaçant foo par le nom de votre document:

pdftops -paper A4 foo.pdf

vous obtenez, après un temps plus ou moins long, un fichier foo.ps de taille supéroeure à votre PDF d’origine (34.8Mo dans mon cas)

ps2pdf13 foo.ps

Vous obtenez alors un fichier PDF (qui a remplacé votre PDF d’origine, attention à garder votre original au chaud!) très fortement allégé. Dans mon cas, le PDF final fait 1Mo, soit 26 fois moins que le document d’origine!

C’est très appréciable, n’est ce pas?

Il arrive parfois que le clavier reprenne sa valeur « par défault », à savoir US. Et vous vous retrouvez avec un clavier QWERTY et bien embêté.

Pas de panique! Suivez les instructions ci dessous, selon votre problème.

Clavier « us » en console (ctrl+alt+F1)

Identifiez vous. C’est peut être difficile, mais utilisez la console F2 pour tester et trouver les caractères que vous chezchez, puis revenez sur la console 1 pour vous identifier.

Entrez ensuite:

sudo dpkg-reconfigure console-setup

Répondez aux questions et, une fois l’assistant terminé, vous avez immédiatement un clavier dans la langue choisie.

Clavier « us » en graphique

Allez dans Système/ Préférences/ Clavier, puis l’onglet Agencements. Si vous avez votre agencement dans la liste affichée, cochez le par défaut et supprimez les autres agencement.

Si vous ne le voyez pas, cliquez sur le bouton Ajouter… et indiquez votre clavier.

Une fois cliqué sur le bouton Fermer, votre clavier est dans la langue choisie

Clavier « us » sur GDM (écran de connexion)

C’est un peu plus compliqué. D’abord parce qu’il faut toucher aux fichiers de configuration, et parce que le problème peut être à plusieurs endroits.

http://forum.ubuntu-fr.org/viewtopic.php?id=332920

Et comme je suis gentil, je vous évite la recherche, voici une image pour vous aider à trouver les touches qui vont bien pendant le « dépannage »

Correspondance QWERTY/AZERTY

title Windows
        rootnoverify (hd0,0)
        makeactive
        chainloader +1

Par contre, si votre freebox tombe en panne, vous allez vous retrouver dans la galère:

• Échange de la freebox en 3 semaines (au moins pour mon cas) alors que 6 jours sont annoncés
• Plus d’accès internet, surtout si vous n’avez pas activé le freewifi et récupéré vos codes d’accès. Et si comme moi vous travaillez avec le net, perte financière importante.

Bon, comme ça va bien de courir au MacDo pour profiter du wifi 15 fois par jour (et c’est pas bon pour la ligne), je vais vous expliquer comment utiliser un vieux Fast 800 qui traine au fond d’un placard.

Sachez que les freenautes dégroupés n’ont pas besoin d’identification pour accéder au net: c’est leur ligne téléphonique qui le fait pour eux. A partir de là, on pourrait penser que c’est simple.
Sauf que les modems/routeurs ADSL refusent de valider le fait qu’il n’y ait ni identifiant ni mot de passe ! Impossible donc d’utiliser un modem/routeur…

Sur une Ubuntu 9.04, voici ce qu’il convient de faire. Il vous faudra connaitre votre adresse IP fixe, indiquée dans votre console de gestion, et avoir un modem Fast 800 usb disponible

Installation des logiciels nécessaires

Vous devrez installer atm-tools (universe) et libatm1 qui est normalement installé d’office avec Ubuntu. Voyez avec google pour savoir comment les installer.

Paramétrer les DNS

Vous devrez paramétrer manuellement les serveurs DNS à utiliser avec votre connexion. Ouvrez en root le fichier /etc/resolv.conf et remplacez le tout avec ceci:

nameserver 212.27.40.240
nameserver 212.27.40.241

Création des scripts

En root, créez le fichier /etc/inid.d/freedeg et insérez le contenu suivant:

#!/bin/bash
 
MYIP=80.80.80.80 # indiquez ici votre adresse ip fixe
 
VPI=8
VCI=36
 
MYGATEWAY=`echo $MYIP | sed -e 's/[0-9]\+$/254/'`
 
ps -e | grep atmarpd > /dev/null
stat_daemon=$?
 
ifconfig -a | grep atm0 > /dev/null
stat_interface=$?
 
ifconfig | grep atm0 > /dev/null
interface_up=$?
 
case "$1" in
start)
 
   if [ $stat_daemon -ne 0 ] ; then
 
      atmarpd -b 2> /dev/null
      sleep 2
 
   fi
 
   if [ $stat_interface -eq 0 ] ; then
 
      ifconfig atm0 up
 
   else
 
      atmarp -c atm0
      ifconfig atm0 $MYIP netmask 255.255.255.0 mtu 1500 up
 
   fi
 
   atmarp -s $MYGATEWAY $VPI.$VCI null 2> /dev/null
   route del default 2> /dev/null
   route add default gw $MYGATEWAY
   echo -e "\nconnecté\n"
     exit 0
;;
 
stop)
 
   if [ $interface_up -eq 0 ] ; then
 
      if [ $stat_daemon -eq 0 ] ; then atmarp -d $MYGATEWAY ; fi
 
      route del default 2> /dev/null
      ifconfig atm0 down
 
   fi
 
   echo -e "\ndéconnecté\n"
   exit 0
;;
 
*)
   echo -e "\nUsage: sudo freedeg [start|stop]\n"
   exit 1
;;
esac

Pensez à mettre VOTRE IP fixe!

Sauvegardez le fichier, et rendez le exécutable (sudo chmod +x /etc/init.d/freedeg).

Activer la connexion au démarrage

Il ne reste normallement plus qu’à activer la connexion au démarrage de l’ordinateur.

Attention! Je suppose ici que le modem est branché correctement à l’ordinateur à chaque fois qu’il démarre. Si ce n’est pas le cas, le démarrage peut être très long.

entrez ceci dans un terminal:

sudo update-rc.d freedeg start 99 2 . stop 01 0 1 6 .

Lancer/ arrêter la connexion manuellement

dans un terminal, utilisez ces commandes:

sudo /etc/init.d/freedeg start # pour lancer la connexion
sudo /etc/init.d/freedeg stop # pour arrêter la connexion

Tester

Il vous suffit de lancer les commandes ci dessus et de vérifier que votre navigateur vous emmène où vous lui demandez.

Sources:
http://forum.ubuntu-fr.org/viewtopic.php?id=43971

Notez qu’il existe des outils graphiques pour réaliser ces opérations (par exemple seahorse sous Gnome), mais je n’en parlerais pas.

Sur l’ordinateur client (manu-desktop)

La première chose à faire, si vous n’avez pas de clef pour votre machine, est d’en générer une

manu@manu-desktop:~$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/manu/.ssh/id_rsa):
Created directory '/home/manu/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/manu/.ssh/id_rsa.
Your public key has been saved in /home/manu/.ssh/id_rsa.pub.
The key fingerprint is:
cd:9e:bb:0a:1e:22:29:fa:e3:dc:12:72:8a:15:13:58 manu@manu-desktop
manu@manu-desktop:~$ ls -l ~/.ssh
total 8,0K
3367418 -rw------- 1 manu manu 1,7K 2009-01-15 13:26 id_rsa
3367419 -rw-r--r-- 1 manu manu  399 2009-01-15 13:26 id_rsa.pub
manu@manu-desktop:~$

Ne mettez pas de passphrase et laisser les options par défaut pour la création de la clef. Il est aussi possible de spécifier les options via la ligne de commande:

ssh-keygen -qt rsa -b 1024 -C manu -f ~/.ssh/manu@manu-desktop.rsa -N ""

La commande précédente crée une clef rsa (-t) avec le commentaire (-C) manu d’une longueur de 1024 bits (-b) dans le fichier ~/.ssh/manu@manu-desktop.rsa (-f) avec une passphrase (-N) vide.

Sur le serveur (server)

Le compte utilisateur de connexion doit exister. Il n’est pas obligé que ce soit le même identifiant que sur le client. Par exemple, sur le serveur, mon compte est nommé zephir.

[root@server]:# adduser zephir
Ajout de l'utilisateur « zephir »...
Ajout du nouveau groupe « zephir » (1002)...
Ajout du nouvel utilisateur « zephir » (1002) avec le groupe « zephir »...
Création du répertoire personnel « /home/zephir »...
Copie des fichiers depuis « /etc/skel »...
Entrez le nouveau mot de passe UNIX :
Retapez le nouveau mot de passe UNIX :
passwd : le mot de passe a été mis à jour avec succès
Modification des informations relatives à l'utilisateur zephir
Entrez la nouvelle valeur ou « Entrée » pour conserver la valeur proposée
Nom complet []:
N° de bureau []:
Téléphone professionnel []:
Téléphone personnel []:
Autre []:
Ces informations sont-elles correctes ? [o/N] o
[root@server]:#

Sur l’ordinateur client (manu-desktop), fin des opérations

Il ne reste plus au client qu’à envoyer sa clef d’identification au serveur simplement par la commande suivante:

ssh-copy-id -i ~/.ssh/id_rsa.pub zephir@server

Acceptez l’identification du serveur, le mot de passe est demandé (puisque vous n’avez pas encore envoyé la clef) et la clef est copiée dans le fichier /home/zephir/.ssh/authorized_keys.
Tentez la commande suivante (Ctrl+D pour sortir)

ssh zephir@server

Vous ne devriez plus avoir de demande de mot de passe.

Sur le serveur, fin des opérations

Il est possible de sécuriser le serveur afin de n’accepter que les authentifications avec clef et sans demande de mot de passe (pour ssh. L’accès en local demandera toujours un mot de passe).
Ainsi, les tentatives d’attaque par force brute sont vouées à l’échec. MAIS, soyez conscient que vous ne pourrez plus vous connecter depuis une autre machine que celle pour laquelle vous avez envoyé la clef, pas plus que vous ne pourrez envoyer d’autres clefs.
Paramétrez le fichier /etc/ssh/sshd_config tel que ci dessous:

# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
 
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      %h/.ssh/authorized_keys
 
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Relancez ensuite le serveur ssh pour prendre en compte les modifications.

Note sur la sécurité

L’accès au serveur est possible sans authentification par l’utilisateur manu depuis l’ordinateur client (manu-desktop). Si cet ordinateur est un portable et qu’il se fait voler, celui qui arrivera à se connecter avec l’identité de manu arrivera sans demande de mot de passe à se connecter au serveur !
Réfléchissez bien à l’utilisation de ce mode de fonctionnement avant de le mettre en place.
En cas de vol, il suffira de supprimer le fichier /home/zephir/.ssh/authorized_keys pour que la clef volée avec le portable ne soit plus opérationnelle.
Vous pouvez, de même, recréer et changer vos clefs d’identification lorsque vous le voulez en réutilisant les commandes données en début d’article.

Liens:

http://doc.ubuntu-fr.org/gnupg
http://doc.ubuntu-fr.org/ssh

Je vous livre les manipulations qui m’ont permis de le faire fonctionner:

• Ouvrir le contôleur de volume (clic droit sur l’icone du haut parleur sur la barre des tâches et « ouvrir le contrôleur de volume »)
• Régler les options comme sur les captures ci dessous. Notez le périphérique contrôlé (HDA Intel)

Réglage de l'onglet lecture

Réglages de l'onglet enregistrement

Réglages de l'onglet options

• Lancer skype et ouvrir le réglage des préférences
• Ouvrir l’onglet son et régler comme sur la capture
  

  Options audio de skype

• Cliquez sur « Appliquer » et vous pouvez lancer un appel et profiter des communications par le réseau

A noter que j’utilise le noyau de FOZZY optimisé pour le AAO (http://aspireoneuser.com/forum/viewtopic.php?f=28&t=7560&start=0)