Meltdown et Spectre : d’où l’utilité d’une gestion centralisée du parc informatique

Si la correction de la faille Meltdown passera plus que probablement par un « patch » logiciel – une mise-à-jour du système d’exploitation, en l’occurrence – la faille Spectre demandera certainement une mise à jour plus proche du CPU, à savoir, un nouveau firmware pour la carte-mère.

Dans un parc informatique hétéroclite, le nombre de cartes-mère différentes peut être très élevé, ce qui complique et allonge considérablement la procédure. Je ne rappellerai donc jamais assez le besoin d’une gestion de parc informatique centralisée, permettant de réduire le nombre de fournisseurs, et, du coup, le nombre de sources pour la récupération des firmware.

Comme annoncé plusieurs fois, la priorité sera accordée au matériel informatique commandé via l’UDIMED.

YW

Réglement Général sur la Protection des Données

Il arrive… Il arrive vite !

Quelques liens pour vous documenter :

N’oubliez pas : le 25 mai 2017 à 00h00, théoriquement, n’importe quel résident de l’UE peut demander à votre DPO la liste exhaustive des données personnelles le concernant, où elles sont stockées, dans quel but, pendant combien de temps, et qui y a accès.  Il peut même demander une copie !

Bref… Il arrive… Il arrive vite !

Modification de la configuration réseau

Depuis plusieurs dizaines d’années, la configuration réseau des ordinateurs reliés par câble au réseau de l’ULg est dite « fixe ».  L’adresse IP que vous utilisez, reprise sur une étiquette collée sur la prise réseau, est encodée dans le système d’exploitation (Windows, MacOS, Linux) et ne change – normalement – pas.

Si à une époque lointaine, où les ordinateurs changaient peu souvent et où ils étaient moins nombreux, cela convenait très bien, de nos jours, c’est moins pratique !  Des utilisateurs plus mobiles ont d’autres exigences : pouvoir se brancher n’importe où, récupérer les mêmes ressources (imprimantes, dossiers partagés sur des serveurs…), utiliser une même prise pour plusieurs personnes qui travaillent à temps partiel… bref, les situations pouvant générer des problèmes réseaux se multiplient.

Le passage à un adressage dynamique est la première étape.  Dans ce mode de fonctionnement, c’est l’ordinateur qui est identifié, et non plus la prise où il se connecte.  C’est déjà le mode utilisé pour l’accès Wi-Fi… à savoir que vous n’avez pas toujours la même adresse IP, mais vous devez quand même avoir accès aux mêmes ressources.

C’est le but de l’opération prévue dans les semaines à venir : passer sur chaque ordinateur – un bon millier dans un premier temps – et le faire passer d’un adressage fixe à un adressage dynamique.  Cette opération prendra certainement plusieurs mois.  Dans un premier temps, cependant, le SeGI configurera le système d’adressage pour que chaque ordinateur récupére la même adresse que celle qu’il avait auparavant.  La différence est que ce n’est plus une adresse IP fixée « en dur » dans l’ordinateur, mais une adresse pré-allouée par le réseau.  Au terme de cette première étape, personne ne verra la différence.

Par après, l’adressage dynamique sera adapté pour que les problèmes qui survenaient auparavant – lors d’un déménagement, lors du remplacement d’un ordinateur, lors de l’utilisation à l’ULg d’un ordinateur normalement configuré pour le domicile, etc – n’arrivent plus.  Chacun devrait récupérer l’accès à ses ressources réseaux, qu’il soit relié au réseau via un câble, en Wi-Fi ou via le VPN.

Mais d’abord, la première étape…

Merci de réserver un accueil chaleureux aux informaticiens de l’UDIMED.  Evitez cependant le petit verre de calva à chaque ordinateur, sinon, ils ne finiront pas la journée 😉

Bien cordialement,

Yves Wesche

Formulaire de plainte

Victime de son succès, l’UDIMED peut aussi, parfois, décevoir.  Il ne faut jamais hésiter à contacter le directeur de l’UDIMED si vous n’êtes pas satisfait de la réponse obtenue.  Néanmoins, si vous préférez faire les choses dans les règles de l’art, un formulaire de plainte en bonne et due forme, avec envoi de copie, est disponible également.  Voir la page dans le menu de droite.

Virus de type cryptovirus – ransomware – rançongiciel

Depuis quelques semaines nous faisons face à une augmentation d’infections par des virus de type ransomware ou rançongiciel.

Qu’est-ce que c’est ?

Ces virus chiffrent (encryptent) la majorité des documents qu’ils trouvent sur l’ordinateur, ou dans son environnement accessible directement (clés USB, disques externes, disques réseaux…) :

  • Document Office (Word, Excel, PowerPoint, …)
  • Photos (Jpeg, Bmp, …)
  • Musiques (MP3)
  • Base de données (SQL, DB, …)

Une fois le chiffrement des fichiers effectués, un message vous informe que vous avez été infecté par un virus et que vos documents sont chiffrés. Une clé unique de déchiffrement est générée automatiquement sur les serveurs des pirates pour chaque personne infectée. Après quelque temps, cette clé est supprimée si la rançon n’a pas été payée.

Le seul moyen de récupérer les fichiers est de payer la rançon afin qu’ils vous fournissent la clé de déchiffrement.  Ces rançons peuvent varier de 500 $ à 1000 $ US.

Que deviennent mes fichiers ?

Ils sont toujours là, mais dans une version chiffrée, qu’il n’est pas possible de déchiffrer dans un temps raisonnable.  Ces virus étant récents et tous différents, il n’y a pas de clé unique ou universelle de déchiffrement.

Et les sauvegardes ?

Si ces sauvegardes se trouvent sur des médias externes qui sont en permanence reliés à l’ordinateur infecté, le virus y aura aussi accès et chiffrera également les sauvegardes.  Le conseil immédiat est de toujours débrancher votre média (clé USB, disque externe, disque réseau) de sauvegarde quand celle-ci est terminée.

Qui est impacté ?

Pour le moment, les ordinateurs infectés étaient équipés de MS-Windows… 3-2-1… trollez 😉

Comment sont infectées les machines ?

Principalement via les pièces jointes des e-mails ou via un lien.

Nous ne le répèterons jamais asssez, il est absolument primordial de vérifier la cohérence d’un e-mail avant de lui faire confiance.  Si l’expéditeur n’est pas connu, activez directement le mode « méfiance ».  Si l’expéditeur est connu mais que le contenu, la langue, l’orthographe, la pertinence du texte vous semble étrange, idem.  Vous vous doutez bien que les sujets ne seront pas « je suis un virus », « ne m’ouvrez pas » ou « je viens chercher votre argent », mais plutôt des sujets très anodins comme « facture », « invoice », « le fichier que tu m’as demandé », « la photo du p’tit dernier »…

Dans tous les cas, n’ouvrez pas de pièces attachées non sollicitées et ne suivez pas de lien par curiosité.

Que faire dans l’immédiat ?

Si le virus vous signale que vous avez été infecté, il est sans doute trop tard. Il y a peu de chance de récupérer les fichiers !
Si vous remarquez que l’infection est en cours (certains documents ne s’ouvrent subitement plus, leurs extensions de fichiers ont changé) : FORCEZ l’extinction IMMÉDIATE de la machine (appuyez 5 à 6 secondes sur le bouton ON/OFF), débranchez-la du réseau. Débranchez également tous disques / clés externes.  Prévenez ensuite l’UDIMED afin de récupérer les fichiers qui non pas encore été contaminés.

Et si je payais ?

Bien entendu, il reste la solution de payer si vous considérez que vos données valent plusieurs milliers d’euro.  Néanmoins, vous n’avez aucune garantie que les pirates vont effectivement vous communiquer la clé de déchiffrement.  De même, vous contribuez à financer leurs activités.

À retenir :

Il existe 2 catégories d’utilisateurs : ceux qui ont déjà perdu des données, et ceux à qui cela va arriver !
Effectuez des sauvegardes efficaces : tous les jours, sur un support distinct, distant et déconnecté quand non utilisé.

 

Pour l’équipe UDIMED
EY

Windows 10 : désactivez l’Assistant Wi-Fi

Merci de désactiver « l’Assistant » Wi-Fi de Windows 10 MAINTENANT.

w10_parametre_wifiSi vous êtes connecté avec votre compte Microsoft, cette fonctionnalité vous permet d’utiliser les réseaux Wi-Fi de vos contacts Facebook, Skype et Outlook, mais, d’emblée, permet à vos contacts d’utiliser vos réseaux Wi-Fi !!!  Comment ?  En partageant vos mots de passe, pardi !

La FAQ Microsoft se veut rassurante, bien sûr, mais il faut lire entre les lignes.

Pour désactiver cette fonctionnalité : Démarrer Icône Démarrer > Paramètres > Réseau et Internet > Wi‑Fi > Gérer les paramètres Wi‑Fi
et désactivez la seconde option.

Profitons-en pour rappeler que se connecter aux réseaux « ouverts » (la première option) est également fortement déconseillé.  Vous ne savez pas ce qu’on fait des données qui y transitent

Il est précisé dans la FAQ que les informations d’identification sur des réseaux 802.1X (comme ULg-Secure ou CHU-Secure) ne sont pas partagées avec vos contacts.  Mais ce sont les mêmes informations que celles utilisées pour les réseaux Guest ou ULg-Open.  La FAQ ne précise pas si l’identifiant/mot de passe que vous devez entrer sur la page qui s’affiche automatiquement sur smartphone ou, après avoir tenté de surfer quelque part, dans le navigateur sur PC, est également partagé avec vos contacts.  Dans le doute, abstenons-nous.

Je vous rappelle que votre identifiant/mot de passe ULg ou CHU est confidentiel et doit le rester.  Toute communication volontaire est interdite, et toute utilisation abusive relève de votre responsabilité.

YW

Windows 10

La mise à jour depuis Windows 7, 8 et 8.1 vers la 10 est disponible depuis ce jour.  Dans notre environnement professionnel, il convient de tenir compte des faits suivants :

  • compatibilité : avant de procéder à une quelconque mise à jour majeure de Windows, il convient de s’assurer que les applications qui sont exécutées sur l’ordinateur sont compatibles avec la nouvelle version.  Même si une procédure de « rollback » est prévue, il n’est pas garanti que cela fonctionnera.  Si les applications des « grands » éditeurs ne devraient pas poser de problèmes (quoique, attention aux vieilles versions), les applications « exotiques » (logiciels dédicacés à un appareil d’analyse, développements personnels ou par un tiers…) ont plus de risques de ne pas fonctionner à l’identique après la mise à jour.  Soyez très prudent et renseignez-vous avant !
  • conditions d’utilisation : ces litanies absconses que personne ne lit jamais sont pourtant des contrats qui régissent votre utilisation du logiciel, en l’occurrence, le système d’exploitation de l’ordinateur.  Beaucoup de subtilités s’y cachent et pourraient poser problème dans un environnement professionnel.  N’oubliez pas que vous avez un contrat avec l’ULg ou le C.H.U. et que celui-ci contient des clauses de confidentialités et d’autres contraintes qui ne sont pas compatibles avec, par exemple, la communication d’informations internes vers l’extérieur (ce qui est automatiquement le cas lorsque vous utilisez, par exemple, un « OneDrive/GoogleDrive/Dropbox »-like.  Exemple simple : Windows 8 déjà, stocke dans votre OneDrive, si vous avez activé le compte Microsoft, les réseaux Wi-Fi auxquels vous vous connectez, et leurs clés.  En d’autres mots : vos identifiants/mots de passe.
  • Cortana, l’assistant vocal : ou comment installer soi-même un micro espion dans votre bureau (« paranoïd » mode ON… really ?)
  • serveurs à l’étranger : tout ce qui est stocké sur un serveur relève de la législation du pays où ce serveur se trouve physiquement, pas du pays du siège social de l’entreprise, ni du pays du client.  Savez-vous où se trouvent ces serveurs ?  Savez-vous qui y a accès ?  Êtes-vous sûr que ce que vous en supprimez l’est réellement ?
  • « Votre Contenu » : la lecture du contrat de Services Microsoft est édifiante.  Même si Microsoft n’en réclame pas la propriété, vous accordez à Microsoft ou aux personnes qui auraient accès à « Votre Contenu » via les services Microsoft, des droits d’utilisation ou de modification plus que larges.  Si « Votre Contenu » contient en fait du contenu qui ne vous appartient pas (films, musique, fichiers de collègues, dossiers médicaux…) vous êtes néanmoins responsables de l’usage qui en sera fait par les autres.

Ces conditions abusives se retrouvent partout et pour tout (sauf dans le monde libre EFF FSF).  Si ça ne concerne que vos photos de vacances ou votre correspondance privée, tant pis pour vous si vous ne voulez pas y faire attention.  Mais, je le répète, dans un environnement professionnel, votre responsabilité envers les informations que vous détenez sur les autres est engagée.

Je reste à votre disposition pour plus d’infos.

Pour l’UDIMED,
Yves Wesche

Windows XP va tuer votre chat et brûler votre maison

Depuis quelques semaines, le monde se rend compte d’une catastrophe qui, pourtant, était prévue depuis plusieurs années : la fin du support de Windows XP par Microsoft le 8 avril prochain.

Que va-t-il se passer concernant les postes informatiques à la faculté de médecine qui sont encore équipés de ce système d’exploitation ?

Petit cours ultra accéléré : un système informatique est composé de 3 couches :

  1. matériel : à ce plus bas niveau : que du binaire, de l’électronique, des programmes en language « machine », etc.  Les bugs à ce niveau existent – et sont corrigés par les fameux « firmwares » – mais sont très rarement exploités du fait de la grande diversité de matériel existant.
  2. système d’exploitation : un ensemble de programmes informatiques qui présente une machine virtuelle aux niveaux supérieurs, et transforme les ordres qui en viennent en véritables modifications électroniques pour le matériel.  Lorsque vous déplacez la souris, c’est le système d’exploitation qui transforme ces modifications électroniques en d’autres modifications électroniques qui permettent d’afficher une petite « flèche » qui bouge.  Idem pour l’ouverture et la fermeture des différentes fenêtres…  Tout cela est une représentation virtuelle de ce qui se passe au niveau matériel… à moins que votre écran ne soit doté d’une clinche 😉 .  Les 3 systèmes d’exploitation les plus utilisés sont Microsoft Windows (90,7%), Apple OS X (7,5%) et GNU/Linux (1,7%).  Les bugs a ce niveau sont très nombreux, et plus ils concernent un grand nombre de postes, plus ils sont exploités.
  3. logiciels applicatifs : les programmes informatiques que les humains (mais pas seulement) utilisent pour réaliser des tâches diverses : traitement de texte, tableur, navigateur, e-mail, audio, video, photo, jeux…  A ce niveau, les bugs ont moins de pouvoir puisque les applications ne gèrent pas directement le matériel.  Cependant, beaucoup d’utilisateurs sont « administrateurs » de leurs postes, ce qui autorise les applications, s’exécutant avec les droits de l’utilisateur, à accéder directement au système d’exploitation.

Certains ajoutent un quatrième niveau : l’humain.  D’un côté, on peut le voir comme ça, ce niveau comporte également pas mal de bugs 😀

Windows XP est un système d’exploitation.  Son rôle central est donc primordial dans un système informatique. Sa part de marché – parmi tous les systèmes d’exploitation et même au sein de la même famille Windows – est encore très importante de par le monde, ce qui incite les pirates à chercher à exploiter ses bugs.

La fin du support signifie que les bugs découverts après le 8 avril 2014 – Windows XP existe depuis 2001 mais on trouve encore des bugs 13 ans plus tard – ne seront pas corrigés.  Cela laissera des failles, parfois de sécurité, par lesquelles pourraient s’infiltrer des malwares, ces virus, vers, scarewares et autre logiciels espions qui pourrissent la vie des utilisateurs et des services informatiques du monde entier.  Il faut cependant 1) qu’un bug soit découvert, 2) qu’il permette de s’infiltrer dans le système et, la plupart du temps 3) une intervention humaine.

Mon ordinateur va-t-il exploser le 8 avril prochain ?

Non… enfin, probablement pas.  Tout devrait se passer comme la veille et cela pourrait continuer longtemps encore à condition de respecter les conseils suivants, que vous devriez déjà respecter d’ailleurs :

pas de surf sur des sites peu sûrs.  Les sites webs proposant des films, des séries TV, de la musique, des images pornographiques, des jeux et autres… gratuitement – ou à des prix trop beaux pour être vrais – sont à ranger dans la catégorie « sites malfamés ».  Si ces sites très populaires ne sont pas suffisamment maintenus, des failles permettent de rediriger les utilisateurs vers des liens contenant des malwares.  Rappelons quand même que ces sites n’ont aucune raison d’être consultés dans le cadre professionnel à la faculté de médecine.  Il arrive cependant que des sites tout à fait légitimes soient également « vérolés ».  Prudence donc !

navigateur. Tenez également compte du fait que le choix du navigateur utilisé est déterminant puisque c’est lui qui est en contact direct avec les sites web.  Ses failles seront donc exploitées pour parvenir directement au système d’exploitation.  La dernière version d’Internet Explorer fonctionnant sur Windows XP est la 8, dont le support est prévu jusqu’en 2020.  Cependant, les infos sont contradictoires et certains produits récents comme Office 365 ne sont plus compatibles avec IE8.  Passez donc OBLIGATOIREMENT à Mozilla Firefox (de préférence), Google Chrome ou Apple Safari.

antivirus à jour.  L’ULg détient une licence institutionnelle pour l’antivirus AVIRA.  Il doit être installé et réaliser ses mises-à-jour automatiquement.  Si vous avez encore Sophos ou Norton, faites une demande d’intervention maintenant (voir dans le menu de droite).

firewall.  Théoriquement, les ordinateurs « personnels » de la faculté de médecine, reliés au réseau câblé, sont dans des zones sécurisées.  Ils ne peuvent pas être attaqués – sans communication sortante préalable – de l’extérieur de l’ULg.  Cependant, cela ne les protège pas des attaques venant des ordinateurs des collègues dans la même zone sécurisée.  Il est donc conseillé d’activer le firewall local également.

clés USB, CD, DVD, pièces jointes et liens vers des sites WWW dans les e-mails.  Ces sources externes doivent être surveillées d’extrèmement près.  Ne laissez pas n’importe qui insérer une clé USB ou un CD dans votre ordinateur, méfiez-vous des pièces jointes d’expéditeurs connus, n’ouvrez jamais de pièces jointes et ne cliquez jamais sur des liens dans des e-mails d’expéditeurs inconnus.

dossiers partagés.  Si vous activez le partage de fichiers et d’imprimantes sur votre ordinateur, celui-ci devient de facto un serveur.  Cette catégorie d’ordinateur doit être plus protégée que les autres, ce qui devient impossible si le support du système d’exploitation n’est plus assuré.  Désactivez aujourd’hui ces partages et contactez-nous, l’UDIMED dispose de serveurs – sauvegardés – sur lesquels ces fichiers peuvent être hébergés gratuitement en quantité raisonnable.

ne soyez plus administrateur sur votre poste, afin de réduire – mais pas supprimer – les possibilités pour les failles de mener directement au coeur du système d’exploitation.

Il faut cependant craindre une recrudescence des attaques sur un système laissé à l’abandon.  Donc, même en suivant tous ces conseils, cela vous protègera quelques mois, mais certainement pas des années.

Dois-je mettre à jour mon ordinateur vers Windows Vista, 7 ou 8 ?

Oui et non !  Oui car cela prolongerait la période pendant laquelle le support du système d’exploitation est assuré. Non car cela pourrait rendre votre ordinateur lent au point d’être pénible à utiliser ou casser la compatibilité avec des logiciels très spécifiques – souvent très chers aussi, d’ailleurs – qui n’ont pas d’équivalents sur des Windows plus récents.  C’est par exemple le cas d’ordinateurs reliés à des appareils d’analyse et d’acquisition d’un certain âge.

Dois-je paniquer et acheter vite fait un nouvel ordinateur ?

Paniquer, sûrement pas.  La question du remplacement de l’ordinateur dépend de ses capacités et de son utilité.  Si c’est un ordinateur bureautique classique assez puissant, on peut envisager la mise à jour, payante, du système d’exploitation, mais il faut s’assurer au préalable que les logiciels applicatifs que vous utilisez fonctionneront encore ou s’ils existent en version plus récente.  Cela signifie également qu’il faudra acheter une nouvelle licence ou, au moins, une licence de mise à jour.  MS-Office n’est pas concerné, l’ULg dispose d’une licence déjà payée pour tous les postes professionnels.  Pour les autres types d’ordinateur, l’évaluation se fera au cas par cas.

Dois-je passer sous Apple OS X ou GNU/Linux ?

Des bugs existent dans tous les systèmes d’exploitation.  Ces deux systèmes sont certes moins répandus, mais ne sont pas totalement à l’abri.  OS X ne fonctionne que sur les ordinateurs Apple et ceux-ci, à puissance équivalente, sont souvent plus chers.  Les distributions GNU/Linux les plus connues (Debian, Ubuntu, Red Hat/CentOS/Fedora, SuSE/OpenSUSE) fonctionnent sur tous les ordinateurs, même de générations précédentes, mais nécessitent un temps d’adaptation et beaucoup de bonne volonté…

Tenez également compte du fait que de très nombreuses applications ne fonctionnent qu’avec Windows.  Vous devez vérifier si vous pouvez vous en passer et travailler presqu’à l’identique avec d’autres applications.

Que faire si mon application ne fonctionne qu’avec Windows XP ?

S’il n’existe pas d’application équivalente, que l’application est irremplaçable car elle n’existe tout simplement pas pour des systèmes d’exploitation plus récents, qu’elle est liée à un appareil qui coûte un pont… il faudra envisager, à moyen terme, d’isoler totalement ce poste : plus de réseau, plus de clés USB, plus de CD, etc.

 

N’hésitez pas à nous contacter pour toute information supplémentaire, de préférence via le formulaire de demande d’intervention.

Finalement, non, votre chat ne mourra pas, sauf s’il avale la souris avec le câble, et la maison ne brûlera, éventuellement, que si Windows XP équipe votre détecteur d’incendie… et encore !

Bien à vous,

Pour l’UDIMED,
Yves Wesche

 

Cloud : je partage donc je suis !

5 Go par ci, 10 Go par là… gratuitement… qu’ont-ils tous à devenir subitement si généreux ?

Quand les utilisateurs n’avaient qu’un seul poste informatique, la question du stockage de leurs données ne se posait pas : sur ce poste, avec éventuellement, une sauvegarde à part.

Maintenant que l’on a un poste fixe, un portable, une tablette, un smartphone, une paire de lunette, une montre et peut-être sûrement un jour, des vêtements connectés, on voudrait que tout ce bel attirail utilise les mêmes données.  Or, où allez-vous les mettre ?  Chez vous ?  Sur un serveur que vous administrerez vous même ?  Non, c’est bien plus simple de confier tout cela à des professionnels !

Partagez vos données entre tous vos appareils ! VOS appareils ?  Vous êtes sûr ?  Les derniers scandales à propos de la NSA révélés par Edward Snowden, ça vous dit quelque chose ?

Google Drive, Microsoft OneDrive, Dropbox, mais également chez les fabriquants, Asus Webstorage, AcerCloud… tout le monde veut vos données.

Si ce sont VOS données et que vous les mettez dans le Cloud, ne venez pas vous plaindre s’ils les « perdent » ou les « partagent ».  Après tout, si votre compagne ne peut pas toucher votre assurance vie parce que vous aviez omis de mentionner un soucis de santé dans votre jeunesse, tant pis pour elle !

Mais si vos données concernent d’autres personnes, vous DEVEZ les protéger, et ça commence par ne pas placer ces données sur des serveurs dont vous n’avez pas, un tant soit peu, le contrôle.

Voici deux média, faites (ou pas) le lien :

La vidéo complète ici.

snowden1

L’article complet ici.
(edit : plus dispo sur le site de l’AFP.  Le même ici : https://www.rtbf.be/article/snowden-la-nsa-sert-aussi-des-interets-economiques-8184829)

Il y a deux sortes d’utilisateurs : ceux qui ont déjà perdu des données…

…et ceux à qui ça va arriver ! Sans vouloir être alarmiste, n’ayez pas trop confiance en votre matériel informatique.  Si vous avez des données importantes, sauvegardez-les.  Afin d’éliminer les différents systèmes mis en place un peu partout, leurs redondances, leurs gestions et leurs défaults, l’UDIMED prépare un système de sauvegarde sécurisé pour la faculté (10 GB/personne dans un premier temps)… Stay tuned…