Ulterius : du "remote desktop" facile via votre browser

Article publié sur : https://www.geekzone.fr/2017/06/12/ulterius-remote-desktop-facile-via-browser/
Pour faire du « remote desktop » (bureau à distance, dans la langue de chez nous), j’ai jusqu’ici toujours fait usage du soft intégré à Windows : simple, efficace, il permet facilement de prendre le contrôle d’une machine éloignée. D’autres lui préfèrent TeamViewer, plutôt bien équipé pour dépanner vos parents quand leur PC succombe aux spywares. Je rajoute aujourd’hui un…

3 Likes

Ouais. Ça nécessite donc d’ouvrir un port sur la box ou tout autre appareil de gestion Internet moderne…
Inutilisable pour Mme Michu (et je beurke ceux qui n’aime pas Mme Michu, elle a rien fait la pauvre), teamviewer a encore de beau jours devant lui :slight_smile:

Vivement IPv6… Oh, Wait!

1 Like

Merci pour le lien… je vais essayer mais effectivement le fait d’ouvrir un port est un frein.
Pour le moment je suis toujours sur Chrome Remote Desktop.

J’ai pas l’impression qu’il faille ouvrir un port sur la box, faut juste le renseigner à la connexion, non ?

Je veux bien que tu m’expliques comment ça marche parce que la, je vois pas comment ca peut, en tout cas sans ouvrir le port 22006 je crois

Ouverture des ports, top départ!

Dans le cas de Mme Michu, c’est son fils/neveu/whatever compétent en informatique qui installe le soft et ouvre (et forward !) le port sur la box, histoire de faire du dépanage à distance. Je ne vois pas le problème perso.

Comment Teamviewer bypass le problème ? Si tu veux te connecter à distance sur un PC il faut que ce soit ledit PC qui initie la connexion ?

Serveur central. Les machines “teamviewer” se connecte a un serveur central (donc uniquement en sortie) et la personne qui prends le contrôle se connecte au site web de teamviewer.
Donc, la, il n’y a pas de port a ouvrir et ca passe même tout par http, donc c’est difficile a bloquer proprement quand on explique au DAF que c’est DANGEREUX de mettre ce genre d’outil sur un pc qui gère les sous d’une société…

“Oui mais c’est pratique” “Tu viendras pas pleurer…”

1 Like

Vous êtes magiques. Je vous parle d’un petit soft léger pour faire du remote sans se prendre la tête avec votre tata, et vous me faites des grands mouvements de bras en mode panique parce qu’il faut ouvrir (momentanément) un port sur la machine distante (je passe sur la préférence à Chrome, parce que bon, perso je préfère ouvrir un port que de faire confiance à Google, mais ça c’est juste moi).

Et sinon, à quel moment j’ai dit que c’était top moumoute pour installer sur le “PC qui gère les sous d’une société” ?

Est-ce qu’on pourrait remettre les choses à leur place ? :wink:

1 Like

ALERTE! INCOMPATIBILITÉ DÉTECTÉ!

Je dis pas que l’outil est pas bien hein, et ta crainte concernant google bidule (similaire a celle qu’on peut avoir avec teamviewer, same shit) est totalement justifiée, juste que c’est pas utilisable pour le grand public dans 99% des cas, même si effectivement, le neveu peut parfois aider parce qu’il a eu besoin d’ouvrir un port pour que les torrents aillent plus vite.

En tout cas, dans mon entourage, c’est mort :slight_smile:

Tu veux que j’ouvre un porc? Mais pourquoi, tu as déjà faim? :slight_smile:

1 Like

Sinon tu sais que tu peux aussi changer le port et en utiliser un déjà ouvert ? Voire faire appel à un truc magique qui s’appelle l’UPnP pour que ça soit fait automatiquement sur sa box (qui, si elle est assez récente, en est équipée) ?

Pour info, je viens de faire le test ici, et sans rien configurer ni sur mon routeur, ni sur mon PC, ça a marché du premier coup en accès via le net (donc pas local). Peut-être tester la prochaine fois, avant de râler ? C’est magique l’UPnP.

Et si on veut vraiment couper les cheveux de la sécu en quatre, le choix d’un admin sys de préférer le serveur d’une boite externe plutôt que l’ouverture contrôlée d’un port sur une machine me surprend pour le moins. Mais ça, c’est un autre débat…

2 Likes

OK, donc horrible niveau confidentialité et potentiellement sécurité. Je préfère netemment prendre environ 3 minutes à configurer la box de ma maman pour avoir accès à sa bécane via le soft de la news (ou un autre), quite à durcir le mode d’authentification (je suppose qu’il propose pas encore le certificat :stuck_out_tongue: ?)

Edit : grillé par @Faskil !

AES encryption with support for SSL

Le certificat, non. Le chiffrement, si.

J’espère bien qu’il gère le chiffrement ! Je vais tester ça demain pour voir si je peux de mon taf accéder à ma machine chez moi, histoire de voir si mon minage de ETH se passe bien :ninja:

1 Like

Alors, je note de tester l’UPnP, j’ai jamais trop aimé ca, les trucs auto, mais pourquoi pas.

Huum ou est ce que j’ai dit que teamviewer ou google remote bidule était mieux - ou plutôt - que je préférais, en tant qu’admin sys, utiliser ce genre de service? Nulle part je crois, j’ai même dit que ca posait plein de problème de secu.
En revanche, j’ai affirmé que j’avais quelques “power users” au taf qui me font chier avec teamviewer et que c’est une galère a bloquer…

UPnP et teamviewer sont sur un bateau… :wink:

URL filtering sur *.teamviewer.com et c’est bloqué !

1 Like

Deux choses:

  1. Point parano: Il faudrait attendre une revue de code/audit de sécurité de ce soft (qui a l’air très bien, c’est pas la question) pour être sûr qu’aucune vulnérabilité n’existe (ou une config par défaut pas très sécurisée). C’est une bonne règle à suivre avant d’ouvrir un service sur Internet.
  2. Un avantage de RDP c’est qu’une grande partie du rendu est fait du côté client - du coup le “serveur” ne fait qu’envoyer la position de la souris et les clics ; aucun graphisme (ou peu) n’est transféré et du coup c’est très économe en bande passante. Je ne sais pas si ce soft permet la même chose.

Ensuite concernant TeamViewer, ça fait du “NAT busting” (vu que ça passe par un serveur central de rebond) mais ça veut aussi dire que TeamViewer peut tout à fait voir ce qui se passe (vu qu’ils sont en coupure). Du coup niveau confidentialité c’est très moyen. On peut très bien imaginer une agence de renseignement se placer ici, par exemple. Sans parler d’un employé malveillant ou autre possibilités à considérer.

Personnellement je pense que la façon la plus sûre (mais pas la plus simple) est de faire un VPN vers chez soi et n’ouvrir que ce port là (je conseille IPSEC mais OpenVPN marche bien aussi, et il vient de passer un audit de sécurité). Une fois qu’on est virtuellement sur le réseau local, là on ouvre RDP/VNC/Ulterius. De cette façon, notre session de prise de main à distance est chiffrée de façon forte.

Alors le VPN c’est clairement la solution la plus secure, mais c’est aussi pas forcément à la porté de Mami Tartanpion.
Il faut aussi noté que parfois sur une connexion “maison” (Orange je te juge de mon regard le plus accusateur) les ports par défaut du L2TP/IPSec sont tout bonnement bloqués/réservés pour autre chose par le FAI.

Vous vous trompez de combat effectivement. @Faskil parle d’un soft pour tata, pas pour la DSI d’Airbus. Après OpenVPN c’est pas plus compliqué à installer pour tata que teamviewer et consort. Par ailleurs ca passe par n’importe quel port (moi aussi je te regarde d’un oeil accusateur Orange avec ta BIO2 de chie), et ca gère les certificats.

De ton point de vue @Faskil face à un ultravnc ou similaire quels sont les plus de l’outil ?

Actuellement je me débrouille avec teamviewer qui simplifie pas mal la mise en relation mais au final je me dis qu’un vnc serait tout aussi efficace et ce sans passer par un tiers (modulo la nécessité de connaître l’iP de la cible)

Au pif, je dirais tout ca :

Pour la partie connaitre l’IP, ca peut se regler soit avec une IP fixe (de plus en plus commun, surtout chez certains FAI) ou un bete no-ip (ou equivalent moderne).