FantastIX a écrit 1338 commentaires

Reductio ad absurdum.

Après 10 ans, c'est toujours les mêmes rengaines, dans les deux camps. Et toujours autant de fermeture d'esprit et d'hypocrisie. C'est beau l'informatique, pas vrai?

--> []

Sincèrement, peut-être que d'arrêter de voir des biais en tout genre dans les contre-argumentations serait une manière d'encourager des discussions constructives, tu ne crois pas¹? C'est facile de taxer les autres de succomber à la résistance au changement, vraiment très facile… Les erreurs de conception et les usines à gaz, ça existe aussi. Encore faut-il en reconnaître une quand on la voit.

¹ T'inquiète, je crois que je connais ta réponse…

des logs binaires qui sont indexés, supportent des logs structurés et dont la rotation ne nécessite pas forcément des hacks façon logrotate. Les recherches sont aussi plus rapides et on n'a pas à se poser la question de droits sur les fichiers.

C'est la même question que se demander s'il vaut mieux une base de données ou des fichiers texte pour un journal. Il y en aura toujours pour trouver ça pratique et utile. La vraie question est: est-ce que c'est vraiment pertinent?

Il y’a d’une part ma faute (je n’arrive pas/n’ai pas envie de me plonger dans systemd/je lis les scripts bash assez intuitivement)

Je pense qu'on ne peut pas vraiment t'en vouloir (à commencer par toi) de n'avoir pas pris/eu le temps d'explorer. Après tout, c'est un système complet, qui n'a rien à voir avec l'ancien, ni dans sa philosophie, ni dans son approche, ni dans sa manière de coder, ni dans sa structure, ni dans sa terminologie, ni dans sa nomenclature, ni dans sa syntaxe… Tu as probablement passé un temps considérable à comprendre ce qui se faisait avant, du coup recommencer le même taf et devoir oublier¹ ce que tu avais appris peut paraître décourageant.

---

¹ En gros, hein, je parle de ressenti, ici, inutile de jouer sur les mots…

Tu peux parfaitement avoir toutes ses infos.

Je pense que tu n'as pas saisi le point de vue.

Ça n'est pas une question d'avoir les infos ou pas. C'est à propos de la manière d'y arriver. Là où grep était utile, en farfouillant dans un répertoire connu, il faut à présent lancer une commande, qui ne dit pas grand chose sur le ou les endroit(s) où elle va chercher ses infos.

systemd c'est tout ou rien […]

C'était précisément l'argumentation du contraire qui était avancée pour la promotion du bouzin.

As-tu essayé OAuth2?

De rien. Fais juste gaffe car OWL (ou Chouette) est sous licence propriétaire et payante. Tu as en réalité une version fonctionnelle pendant un mois. Passé ce délai, tu dois acheter louer la licence¹. Tu peux aussi activer OAuth2 — c'est ce que j'ai fait.

Attention, cependant, que OAuth2 requiert le second facteur d'authentification, c-à-d un email ou numéro de téléphone supplémentaire² (tout comme Google). Je ne recommande pas le second mais un compte email créé exprès pour le 2FA Office365, histoire d'empêcher le croisement des données d'identification.

---

¹ 10€ par an.
² Que quelqu'un me corrige si je me plante, bien entendu. Pour ma part, l'authentification OAuth2 ne fonctionnait pas correctement jusqu'à ce que je complète le "formulaire" 2FA de 'crosoft.

Oui, parce que parfois on oublie d'expliciter certaines étapes trop évidentes pour soi.

Ça paraît logique. Sauf que dans mon cas j'ai pris soin de suivre à la lettre les 10 étapes que j'ai indiquées — elles peuvent d'ailleurs être résumées à trois ou quatre. Et vu que je ne suis pas parvenu à reproduire le phénomène sur une autre version de LibreOffice, il y a de fortes chances que tu n'y parviennes pas non plus avec un document, puisque cette dernière opération l'exclut de l'équation. De plus, ça devrait confirmer que le problème est propre à ma version de LO, potentiellement en combinaison avec ma distribution Manjaro.

J'ai l'impression que le format de puce n'est enregistré dans le modèle que s'il est utilisé. Donc si on y ajoute une diapo avec un plan.

C'est d'office™ le cas avec une présentation, surtout en partant du document initial/par défaut, dont on modifie le maître. Et c'est précisément ce que je fais.

1/ tester en mode sans échec.

C'est fait. Aucune différence. Je l'ai ajouté dans mon post initial.

Je vais donc passer à 2, demander à la communauté. Je vais déjà attendre ton retour avant de procéder, vu que j'ai déjà une solution temporaire de contournement.

J'ai investigué davantage: j'ai supprimé le répertoire ~/.config/libreoffice et j'ai relancé loimpress. Le problème persiste.

Bon, je viens de faire la manipulation décrite avant (créer un fichier modèle vierge, puis modifier les styles de puces dans la dia maîtresse) avec une version de LibreOffice Impress dans une machine virtuelle et… ben, ça marche :-/ !

Encore plus fort?

J'ai recréé le même modèle, vierge, de présentation sur ma machine physique, sauvegardé, constaté que les styles de numérotation ne sont pas enregistrés avec le modèle; puis j'ai ouvert ce même modèle depuis LibreOffice Impress sur ma machine virtuelle, modifié les puces, enregistré le modèle. J'ai ensuite de nouveau ouvert le modèle sur ma machine physique et les styles sont là!

Je comprends plus rien. Il est où le problème? [À part entre la chaise et le clavier, bien entendu…]

Ma machine virtuelle est une LMDE (Linux Mint Debian Edition 4.0) avec Libre Office 6.1.5. Vu que je suis avec Manjaro, je ne peux pas revenir à une version antérieure de LibreOffice sur ma machine physique.

Par curiosité: un fichier d'exemple tel que tu le demandes t'aidera? Mes descriptions te donnent-elles un indice sérieux sur la source du problème? Y a-t-il une recette type à appliquer quand on a ce genre de brun?

Désolé, je n'ai plus le document, j'ai arrêté de m'esquinter là-dessus. De plus, l'original fait quelques dizaines de Mo et ne peut être public. Ceci dit, je pense qu'avec les informations que j'ai données, il est possible de recréer le problème:

1. Lancer LO Impress, utiliser le document en cours
2. Passer en mode maître
3. Sélectionner le cadre de texte, pas celui de titre; ne pas cliquer dans le cadre, juste sur son bord
4. Aller au menu Format > Puces et numérotation
5. Changer, par exemple, le type de puce d'au moins un des 10 niveaux
6. Fermer par Ok, constater que le cadre texte reflète bien les puces modifiées
7. Sauvegarder le document en tant que modèle
8. Fermer LO Impress
9. Ré-exécuter LO Impress et ouvrir le modèle précédemment sauvegardé…
10. Constater: le style de puce n'a pas été enregistré (en tout cas, chez moi, c'est ce que ça donne).

Voilà.

[…] Basic Authentication makes it easier for attackers armed with today’s tools and methods to capture users’ credentials (particularly if not TLS protected)

Ouais, bon, comme d'hab, quoi. Plutôt que de forcer TLS avec l'authentification de base, Microsoft sort son arme nucléaire et fume le protocole. Pourquoi être flexible quand on peut faire chier le monde…

Merci pour ton retour mais les ralentissements ne sont pas ma principale préoccupation…

J'ai cru voir passer il y a quelques semaines un avis sur l'obsolétisation (sic) prochaine sur Office 365 de l'authentification IMAP par mot de "passe de base". Est-ce bien d'actualité? Je ne parviens pas à retrouver l'article que j'ai vu passer, d'où ma question.

L'extension OWL¹ (Chouette en français, apparemment), sous licence expire prochainement et j'observe des "bizarreries" du genre délais extrêmement longs à l'envoi de mails mais pas partout — du moins pas tout le temps mais j'ai du mal à détecter un motif. Est-ce toujours une solution viable? Ou bien le seul recours est-il d'utiliser l'interface web d'Outlook 365?

---

¹ Que j'ai installée sur un compte de test.

Merci, c'était bien ça. Je suis pourtant passé dessus au moins une dizaine de fois et j'ai rien vu. Me sens vraiment très con sur ce coup-là…

Il est des personnes (journalistes, dissidents, lanceurs d'alerte) qui l'utilisent quotidiennement car leur vie en dépend.

Je te recommande les vidéos explicatives sur le sujet de Rob Braxman aka "The internet Privacy Guy", comme il se définit lui-même. C'est extrêmement instructif. IL fait un excellent résumé de ses recommandations lors d'un entretien avec David Bombal, un formateur en sécurité de Cisco.

Parce qu'à partir du moment où le fournisseur de service (soi-disant pour des raisons de sécurité) exige ton numéro de téléphone, il est capable de t'identifier avec près de 100% de certitude car il fait la relation entre tous les périphériques à partir desquels tu te connectes (navigateur, application, tablette, ordinateur), l'identifiant du téléphone et celui de l'opérateur de téléphonie (voir l'IMEI). En recroisant ces identifiants avec d'autres, données en provenance d'autres fournisseurs, plus les traces que tu laisses partout sur la toile en t'identifiant partout, quel que soit le compte que tu utilises, il set possible d'établir ton profil utilisateur (ce qui peut également inclure ton profil psychologique) avec une précision jamais égalée par un humain. Ceci est rendu possible car à un numéro de téléphone, correspond une personne, nom, prénom, adresse et numéro national et de compte bancaire, au minimum.

En gros: dès que le numéro de téléphone est connu d'un prestataire, même si tu te sers de comptes temporaires ou d'alias, même si tu crées des comptes différents pour chaque site où tu te connectes, ton numéro de téléphone les connecte tous ensemble¹ et toutes les traces que tu laisses et a laissées, détruisent complètement ton anonymat.

---

¹ Y compris les sites où tu n'as pas utilisé le 2FA, grâce à l'empreinte de tes navigateurs et périphériques (device/browser fingerprinting) qui sont laissées partout.

[…] sauf qu'on peut le réparer en reflashant.

Non.

Dire qu'il "suffit" de reflasher est d'une telle incorrection que ça passe sous silence les vers suffisamment sophistiqués pouvant aller jusqu'à rendre inopérant le firmware (pour ne citer que ça). Et dans ce cas, le flashage est impossible.

Techniquement, c'est pas du BIOS, mais je vais pas jouer sur les mots.

En effet. On ne parle plus de BIOS depuis quelque temps, terme qui est à présent remplacé par "firmware", soit [U]EFI.

la présence d'un rootkit possible est assez séparé de la question de la sécurité.

Pardon? En quoi un rootkit, potentiellement ou pas, et qui, par définition, sert de porte dérobée à l'accès d'un système à l'insu de son propriétaire est "assez éloigné de la question de la sécurité"??? Franchement, je suis abasourdi par une affirmation pareille. Ou c'est moi qui pige pas ou c'est toi. Ou autre encore que je vois pas mais tu vas devoir détailler. C'est quoi "la sécurité" pour toi?

Le premier, c'est un accès physique avec assez de temps pour installer le rootkit. C'est assez spécifique, mais si tu peux reflasher la puce mémoire, alors on peut supposer que tu peux installer le rootkit en question, et c'est indépendant du code du BIOS/UEFI et de sa sensibilité vu qu'il va se faire écraser et/ou augmenter.

Ton argumentation est à côté de la plaque et j'ai le sentiment que tu essaies d'argumenter n'importe quoi pour t'en sortir. L'attaque UEFI permet, justement de passer sous le radar¹ et de s'installer de façon permanente, en altérant les composants qui interviennent dans le chargement de l'OS (plus particulièrement du noyau). Et, au cas où tu souhaiterais le nier, peu importe le mode d'accès utilisé par l'attaque UEFI ou le niveau de difficulté à y parvenir: dès que l'ordi est compromis, c'est mort, contrairement aux autres attaques, où une réinstallation des composants logiciels (système d'exploitation) est suffisante pour purger le système des éléments compromis. Avec une attaque UEFI, rien ne garantit qu'une réinstallation du micrologiciel soit suffisante, pour autant qu'elle soit possible. Tout dépend de son degré de sophistication.

Alors si ça n'est pas suffisamment argumenté contre l'affirmation "le BIOS firmware (ou micrologiciel) n'est pas le plus sensible […]" à la faveur de "le firmware est [au moins] aussi sensible que le reste", je ne sais pas ce qu'il te faux. Non, faut, pardon :-D … Parce que, tu vois, si j'étais un pirate informatique, je m'arrangerais pour développer à la [quasi] perfection ma solution d'attaque de cette section de l'ordinateur².

L'autre choix, c'est de flasher depuis l'OS. La, on peut avoir une discussion sur savoir si c'est plus sur de ne pas pouvoir remplacer un logiciel (car en read-only dans une ROM) sachant que ça implique aussi de ne pas pouvoir le patcher en cas de pépin. Mais pareil, le fait de flasher ou pas n'est pas aussi important que le fait que ça implique d'avoir une faille avant pour exécuter du code ce qui rends à mon sens l'userspace plus sensible.

Je ne vois pas où tu veux en venir.

Mais tu parles de quoi, au juste? Des ordinateurs "modernes" (vendus après 2000) ou bien de ces vieilleries qui tournaient avec un BIOS en mémoire EPROM? Parce que 1) on ne vend plus ces antiquités depuis lulure et 2) les dernières versions de Windows qui tournaient dessus sont Windows 7, plus vendu non plus (même si on en trouve encore). Et, par extension, qu'est-ce que t'essaies de démontrer? Que les vieux chariots ont un BIOS moins vulnérables que les nouveaux? Si c'est ça, y a pas besoin d'argumenter, c'est une porte ouverte que je me garderais bien d'enfoncer…

Si j'ai uniquement une faille userspace, je peux te voler des infos, avec ou sans faille dans le BIOS/UEFI. Si j'ai qu'une faille UEFI/BIOS, bah, je suis quand même bien coincé en tant qu'attaquant.

Ah???? T'as déjà essayé? Non, je veux dire, pour de vrai et sans partir du principe/de l'a priori que c'est mort. Parce que si oui, ça veut dire que les concepteurs de CosmicStrand (pour commencer mais il y en a d'autres, bien d'autres) ont développé une solution sophistiquée pour pas grand chose. Franchement, j'ai un doute.

La, l'exemple parle d'une attaque sur le firmware, mais à part la persistance qui se fait au niveau de l'UEFI, il n'y a rien de spécial qui va montrer que l'UEFI est le plus sensible. Si je fais un implant qui persiste via cron, est ce que crond devient "le plus sensible en terme de sécurité" ?

Faisons un brin de logique, veux-tu: démontrer que l'affirmation "le BIOS n'est pas le composant le plus sensible" est fausse ne revient pas à démontrer que "le BIOS est le composant le plus sensible" est une affirmation vraie. S'il est aussi sensible que le reste (c'est ce que je défends comme position), alors ton affirmation est fausse, sans qu'il soit nécessaire de démontrer que "c'est le composant le plus sensible".

Garde quand même à l'esprit que si le firmware se fait plomber, le PC est bon pour le bac ou pour servir de banque de composants électroniques de réparation, façon Rossmann Group…

Même si le code de l'UEFI était blindé à mort avec 5 signatures incassables et 0 failles de sécurité, ç'est un implant qui est transmis par le fabricant. Tu peux pas faire grand chose contre ça, et ça marcherais aussi bien avec un pilote d'imprimante ou n'importe quoi d'autre.

Rien ne démontre que l'implantation d'un malware UEFI n'est possible que chez le fabricant; les fuites de clés (privées) et l'usurpation d'identité/certificat électronique, ça existe aussi. Le cas que j'ai cité, CosmicStrand n'est qu'un exemple dont j'eus souhaité qu'il te parlât suffisamment pour éviter de raconter n'importe quoi. Je n'ai peut-être pas suffisamment insisté ou fourni de sources…

Du coup, je suis pas sur de piger exactement le point que tu cherches à démontrer par ton lacunaire Ahem.

Qu'il est faux d'affirmer "le BIOS n'est pas le composant le plus sensible".

La, par exemple, je pense que le fabricant est plus sensible en terme de sécurité que le BIOS d'une machine, surtout parce que le fabriquant s'est fait poutré et que ce genre d'attaques arrivent, […]

Tu te bases uniquement sur CosmicStrand, faisant par là même un biais de sélection pour ton raisonnement. Est-ce le seul malware ciblant les firmwares? Je te laisse trouver par toi-même.

alors que des attaques sur le BIOS (ou l'UEFI), y en a 0

Rhoooo, dis, à ce stade, c'est vraiment de la mauvaise foi, hein?

• UEFI Attacks in the Wild - Eclypsium
• Exotic, yes. Rare, no.
• Pourquoi Microsoft développerait un scanner UEFI s'il n'y avait que 0 attaques, hein?

T'en as assez ou je continue³?

Et un implant, c'est pas une attaque. Pas plus que mettre un rootkit serait une attaque sur le kernel, sur une distro ou sur le projet GNU.

Qu'un implant ne soit pas une attaque (ce qui est une affirmation encore plus discutable) n'invalide en rien que ton affirmation est fausse depuis le début. Cependant, je commence à envisager que nous n’ayons pas la même définition du mot "sensible" …

Mais je suis d'accord sur la 2eme partie de ton commentaire.
En effet, tout le monde peut se tromper, mais je pense tu n'avais pas besoin d'en fait la démonstration par l'exemple avec ton début de commentaire.

C'te bonne paire. Forcément…

Raisonnement circulaire bouclé, puisque, par définition, tu estimes depuis le début que c'est moi qui me plante.

Je te propose d'en rester là, puisque nous sommes tous deux d'avis que c'est l'autre qui a tort et que rien ne semble nous faire changer de position. Alors allons nous asseoir chacun de notre côté, câliner notre chérie ou prendre un pot, c'est comme tu veux. En ce qui me concerne, en tous cas, cette discussion me fatigue.

---

¹ Notamment en raison de la quasi inexistence des outils de détection appropriés.
² Je te suggère, vigoureusement, de visionner les conférences Black Hat si tu ne les connais pas encore. À titre informatif, ce que j'y ai vu m'a tout simplement laissé sur le cul.
³ Ça m'a pris seulement 3 secondes sur duckduckgo.com…

Je puis te suggérer de faire un tour chez Slimbook, par exemple. C'est une société basée en Espagne. Et là, la question ne se pose même plus: leurs portables sont compatibles [GNU/]Linux, par définition. Ça n'est pas un placement de produit mais j'en ai acheté un (Slimbook Essential 15") et j'en suis pleinement satisfait.

Sinon, il y a aussi Tuxedo, marque allemande, un peu plus chère. Je n'ai aucun retour d'expérience dessus, par contre.

Ça coutait trop cher de récupérer les données des 3 milliards restant ?

Ils les ont déjà. C'est juste pour apaiser le monde qu'ils ont divisé le chiffre (à la louche) par deux.

Pour ma part, ça m'a plutôt fait penser à «Mangez-moi» de Billy Ze Kick, dans le ton de la polémique sus-citée (sic). Mais ta référence est bien plus… charmante ;-) .

Le titre qui se prolonge, pas le contenu des commentaires.

Tu sais ce qu'on dit, plus c'est long…

Ouais, bon, OK --> []

ça n'en est pas moins pardonnable

ça n'en est pas plus pardonnable

/o\