Je suis d'accord. Je doute que retirer les sites persos des comptes négatifs soit la bonne solution. Quelqu'un d'actif, qui n'a pas été considéré comme une personne "malveillante" dans le sens où elle essaie d'arnaquer les autres visiteurs, je ne crois pas qu'on doit retirer leur droit au site sur linuxfr. Quand je vois des gens qui disent vraiment des choses qui me déplaisent, je clique par sur leur site, c'est tout. Ou au contraire, je pourrais vouloir cliquer pour voir un peu qui est derrière de tels propos, par curiosité. Mais ça reste mon choix de cliquer ou non et je n'ai pas besoin de protection de la part de linuxfr.
Bien sûr cela ne concerne pas les comptes fermés. Ceux-là, oui, il me paraît évident que leur site perso doit disparaître.
Un autre cas qui pourrait être intéressant sont les comptes avec peu de commentaires/articles (disons moins de 10?) pour les gens qui créent juste un compte pour faire un journal et disparaître. Et encore, même eux, je suis pas sûr qu'il serait vraiment bien de faire ça. Je peux aussi comprendre les gens qui veulent un peu faire de la pub à leurs projets sans pour autant devoir absolument participer (on le sait, beaucoup de visiteurs lisent pendant des années sans jamais rien poster, souvent sans même avoir de comptes. Ça n'en fait pas moins des fidèles de linuxfr).
Enfin bon au final, je pense que je serais partisan de retirer uniquement les pages persos des comptes explicitement fermés ou flaggués comme "spam/scam".
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Ca m'ennuie tout de même pas mal de réinstaller je commençais à avoir bien tout tuner …
Alors tu vas découvrir l'une des joies de Linux: sauvegarde tout ce qui est sous /home/ (par exemple sur un disque dur externe), et sur ta prochaine installation, copie simplement toutes ces données à la place du nouveau /home/. Et tadaaa! Toutes tes configurations (ainsi que les données bien sûr) sont retrouvées (pour peu que tu utilises les mêmes logiciels bien sûr)!
Y a aussi le bureau dans le lot. Si tu utilisais Cinammon notamment (j'imagine, car l'ISO qui a été compromise était celle avec Cinammon par défaut), qu'il te plaisait et que tu l'as configuré, tu voudras peut-être t'assurer de réutiliser Cinammon après encore.
En fait souvent tu n'as même pas besoin de sauver sur disque externe si le home était dans une partition propre, que tu peux simplement garder et réutiliser direct sans formater. Mais comme c'est un peu avancé, je conseille de toujours sauver le home au cas où (de toutes façons, il vaut mieux faire des sauvegardes dès qu'on touche au système. C'est dans les bonnes pratiques…).
Et donc en attendant on met Mint sur la touche
Comme d'autres le disent en commentaire, c'est à chacun de voir. Les développeurs de Mint disent que tout est réglé. Donc tu peux aussi simplement réinstaller Mint en téléchargeant une nouvelle ISO.
C'est à chacun de décider s'il veut faire confiance immédiatement après cette compromission.
Moi je préfère être un peu parano, mais pas tout le monde n'est obligé de l'être.
vous me préconiserait quoi en parallèle … Sachant que Je n'ai pas envie de passer mes soirée à faire de la conf je veux du "plug and play" casi out-of-the-box … C'te bonne vieille Ubuntu ?
De nos jours, la plupart des distributions (même celles considérées "avancées") sont assez plug'n play. De manières générales, les distribs estampillées "grand public" seront Ubuntu ou Mageia, je pense. Y en a sûrement d'autres, mais ce sont les deux qui me viennent à l'esprit.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Ben ce que j'ai vu (notamment sur Linux Mint quand j'utilisais ça, c'est à dire plus depuis juillet, mais je doute que cela ait changé), ce n'est sûrement pas 1 seconde, mais probablement 0 qui a été configuré (alors pour appuyer sur une touche, faudrait vraiment être rapide). C'est simple, je ne voyais tout simplement pas le GRUB, pas même un flash. Et donc même si je me doutais bien que le GRUB n'était pas retiré totalement, cela en revient en pratique au même.
Note que cela ne me dérange pas outre mesure. En fait je pense que c'est même un très bon choix de configuration, du moment qu'on ait tout de même des moyens alternatifs pour parvenir au menu. Donc je ne demande pas "comment puis-je changer le timeout?", mais bien "comment avoir un timeout de 0, mais avoir un accès alternatif au GRUB tout de même?".
Si tu as la solution, ça m'intéresse. Car j'ai pas mal cherché sans succès.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Et si je mets un délai court aussi, y a moyen d'accéder au menu de GRUB au besoin (sans passer par le système et regénérer la configuration de GRUB, ce qui peut ne pas être si simple si par exemple le kernel a un problème et que je veux booter sur un kernel plus vieux)?
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
l'OS (windows) n'est pas réellement arrété, mais simplement mis en veille profonde
J'ai aussi vu récemment un ordi Ubuntu qui bootait super vite alors que je pense que la machine que j'ai doit être plus puissante à tous point de vue (mémoire, processeur… Bon l'autre avait probablement un vrai SSD alors que celle-ci a une sorte de SSD hybride — de mémoire — ce qui va jouer, quand même, on est d'accord).
probleme2 : le boot ne passes plus par grub puisque on ne relis pas les disques/partitions/OS
En fait me débarrasser du GRUB en temps normal tout en permettant d'y accéder si besoin (comme pour ce temps de chargement bios) est aussi une grosse question pour moi.
J'ai remarqué qu'Ubuntu et Linux Mint justement zappaient dorénavant GRUB. En fait cela m'intéresse de faire la même chose (par exemple sur une Fedora, ce que j'utilise en ce moment), car dans 99,9999% des cas, je choisis le choix 1 de toutes façons (et n'ai pas de double boot). J'aimerais quand même bien pouvoir garder un accès "caché" à GRUB, si jamais je veux essayer de booter sur un kernel un peu plus vieux (pour raison X ou Y), ou si je fais des tests avec des options de boot au kernel, ou je sais pas quoi.
Est-ce possible?
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
(?) je dis chance car on peut faire de grosse conn*rie avec ces variables ce qui n'est pas très cool selon moi.
Merci, mais je cherchais s'il existe une solution simple existante car comme tu le notes, on peut faire de grosses conneries, et bien que j'en ai probablement les compétences, je n'ai malheureusement pas le temps de tripatouiller le matériel.
C'était vraiment la curiosité qui m'a poussé à la question. Mais je vois que nous n'avons peut-être pas encore ces facilités. Merci quand même pour le lien et les infos.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Je voulais pas répondre, et je vais passer outre les comparaisons absolument malsaines (et complètement hors sujet) auxquelles tu as essayé de m'associer. Mais je pouvais pas laisser dire ces choses ci-dessous:
Je suis globalement d’accord avec le reste de ton commentaire, et c’est logique que les personnalités prennent un peu plus de mesures de sécurité que les autres.
Non, on n'est pas d'accord! Je n'ai absolument pas dit que les personnalités doivent prendre plus de mesures de sécurité que les autres. J'ai dit au contraire que ça arrive à tout le monde mais qu'on n'entend parler que des cas qui touchent les personnalités. Et je suis désolé, mais mes données valent autant (et même 10000 fois plus, à mes yeux à moi) que celles de n'importe quelle personnalité. Alors à part si vous vous foutez de vos données numériques, de les perdre ou de les savoir entre des mains malveillantes (y a des gens qui s'en fichent réellement, donc c'est pas un "si" hypothétique. Je connais pas mal de gens qui sont bien moins engoncés dans les méandres de l'informatique), ben non tout le monde doit prendre plus de mesures de sécurité.
Pour moi le système de mot de passe est cassé par conception
Ce n'est pas cassé. C'est simplement le meilleur système que nous arrivions à produire que tout un chacun accepte d'utiliser à l'heure actuelle (attention, je ne dis pas "le meilleur système" tout court. Il y a bien plus sophistiqué mais beaucoup d'utilisateurs refusent ou sont rebutés/perdus, cf. par exemple le cas du site des impôts). Ce n'est pas la faute des gens qui essaient de créer ces systèmes si les gens refusent de faire autre chose qu'une "tâche d'ordinateur".
<aparté>
D'ailleurs c'est assez marrant de penser que c'est nécessairement une tâche d'ordinateur. Les mots de passe existaient bien avant que les ordinateurs existent (ex: Ali Baba et son "Sésame, ouvre toi", et on sait que les mots de passe étaient déjà utilisé des milliers d'années plus tôt, par exemple chez les militaires romains ou en Grèce ancienne, etc.). Et je pense que cette notion existera chez l'humain, en dehors même de toute interaction avec l'informatique et les machines, pendant encore longtemps. Et ça explique aussi probablement pourquoi dans l'informatique, les utilisateurs ne semblent pas enclins à s'essayer aux autres systèmes d'identification. En un sens, je comprends bien même (tout en étant d'accord que ça a des limites à cause de la puissance de calcul des ordis actuels, problème qui n'existait pas en Grèce ancienne!). C'est très similaire à la problématique du vote électronique que l'on discute souvent ici: les gens comprennent le système, donc ils lui font plus confiance (ou du moins sont plus rassurés) qu'en d'autres systèmes dont ils ne comprennent pas les arcanes. </aparté>
Donc non ce n'est pas cassé. On n'arrive juste pas à la fois à trouver mieux, et à la fois à le faire accepter par tous. Si tu trouves ce Saint Graal, nous serons tous très heureux de lire les spécifications de ton système révolutionnaire. On n'attend que ça, un meilleur système acceptable par tous. Je pense même que tu en ressortiras riche. En attendant ce jour où tu nous donneras ce système, juste dire "le système de mot de passe est cassé par conception", ben c'est simplement condescendant. Des milliers de développeurs ou mathématiciens ont travaillé/travaillent sur les problématiques d'identification (et comme je l'ai expliqué, ça date pas d'hier) et arrivent difficilement à trouver le système idéal que tous acceptent d'utiliser (Mozilla s'y est aussi cassé les dents dernièrement!). Donc juste dire "c'est cassé", ce n'est pas un comportement constructif. Les seules choses constructives sont soit de trouver mieux, soit — en attendant — de sensibiliser les gens aux règles de base de la sécurité pour les protéger un minimum.
Et y’a des gens qui ont autre chose à foutre que ça, pas forcément par inconscience.
Eh bien si tu es absolument persuadée que leur dire en gros: « mais vous avez bien raison, vous avez autre chose à foutre que d'essayer de vous protéger un minimum. D'ailleurs c'est tout de la faute de ces idiots de développeurs qui nous font un système cassé par conception; le jour où vos comptes en ligne se feront compromettre et vos données effacées/copiées, vous pourrez vous dire que c'est de la faute du système et donc continuer ainsi plein de joie. » est plus constructif que d'essayer de dire « bon, on n'a malheureusement pas encore le système idéal. Il est imparfait, mais on fait ce qu'on peut et donc y a des limites à la sécurité de vos données; mais ensemble, si on suit quelques règles de base (un peu chiantes) et qu'on fait des efforts, on peut arriver à repousser un peu certaines attaques (des vrais responsables, qui ne sont ni les dévs ni les utilisateurs en général, on est tous d'accord sur ce point). »
En gros si tu penses vraiment que les indulger plutôt que les former un peu à créer des mots de passe un peu plus sûrs que d'autres, si tu penses que ça, ce n'est absolument pas de l'inconscience… ben je sais vraiment plus trop quoi dire.
Sur ce, cette fois c'est vraiment mon dernier message. J'ai assez nourri le troll.
P.S.: moi aussi j'ai autre chose à foutre que fermer les portes, surtout qu'on sait bien que le système de clé est "cassé par conception" (vous avez déjà vu des vidéos de crochetage de serrure? Bon ceci dit, je considère pas ce système "cassé par conception" non plus, je reprenais juste l'exception. Là encore, c'est juste le meilleur compromis prix/simplicité/compréhension qu'on arrive à trouver pour sécuriser des portes). Pourtant je le fais quand même.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
If the message disappears before you respond and you still need to enter BIOS,
restart the system by turning the computer OFF then back ON or pressing the RESET
button. You may also restart the system by simultaneously pressing , , and
keys.
Hmm… C'est pas ce que j'ai compris par ce passage que j'avais en effet lu. Moi je comprends simplement qu'ils disent "si vous n'avez pas réussi à rentrer dans le menu, redémarrez la machine (avec OFF/ON, ou reset ou ctrl-alt-del) et réessayez". Mais pour avoir essayé moi-même des dizaines de fois sur une machine où ce laps est quasi inexistant, c'est quasi impossible (j'ai ensuite lu sur plein de forums que je ne suis pas le seul).
Par contre j'ai lu sur un forum que beaucoup de cartes MSI permettraient de démarrer sur le BIOS si on l'allume en restant appuyé sur le bouton ON plus de 5 secondes, même si je n'ai rien trouvé dans le manuel qui parle d'une telle méthode. Faudra que j'essaye.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
as tu essayé d'activer ce mode fastboot dans ta carte-mère
Non je n'ai pas essayé car ça me ferait chier de perdre cet accès aisé, et surtout c'est pas moi qui utilise cet ordi. Donc je veux pas faire perdre de temps à la personne qui l'utilise juste pour satisfaire ma curiosité. :P Et donc je n'ai pas essayé.
Pour info, c'est pas seulement pour le bios d'ailleurs, y a aussi l'accès au menu de boot: si je ne mets pas les périphériques USB en priorité sur le disque (par exemple pour ne pas que l'ordi tente de booter sur toute clé USB qu'on a oublié d'enlever), on peut tout de même booter dessus en cliquant une touche particulière dans ce laps de temps avant grub. J'imagine qu'avec Fastboot, on perdrait aussi cela.
et surtout récupères tu vraiment ces 3 secondes ?
Ensuite soyons clair, si on allume l'ordi une fois dans la journée (le cas ici), 3 secs, franchement c'est pas très important. C'est uniquement le côté un peu "optimiseur" et bidouilleur qui parle là. On peut se passer d'activer cette fonction. Mais après avoir vu plusieurs machines qui bootent vraiment vraiment super vite, je me suis posé la question (car cette ordi est assez puissant quand même mais il ne boote pas aussi vite que d'autres que j'ai pu voir).
C'est donc vraiment par curiosité.
En même temps, je me souviens m'être battu pour essayer d'accéder au bios d'une connaissance il y a peu, et c'est là que j'ai découvert que les machines ont maintenant un logiciel sous Windows qui leur permet de demander l'accès au bios au prochain boot. Je me dis que si cela devient vraiment la nouvelle norme, les distribs linux devraient aussi avoir un tel logiciel. Y a-t-il une sorte d'API BIOS pour activer cette option?
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Oui enfin c’est pas parce que tu le dis que tu le fais.
Bon en même temps, si c'est ce que tu penses que j'essaie d'insinuer (tout en disant le contraire. Je le fais pour la forme, alors?), on peut aussi arrêter d'en discuter immédiatement. Non parce que les gens qui croient mieux savoir que toi ce que tu penses, ça commence à être fatigant. Affirmer que les utilisateurs seraient responsables d'une attaque sur un serveur qu'ils utilisent serait simplement d'une grave bêtise. C'est tout. Donc non ce n'est pas ce que j'ai dit, ni n'est ce que j’insinuerais en catimini.
Je comprends même pas comment le sujet peut être mis sur le tapis. J'avais d'ailleurs remarqué l'autre fil en commentaire sur le propos mais avais résisté d'y répondre pour ne pas nourrir le troll. Bon bah je me suis fait avoir la seconde fois et ai répondu!
le mot «responsable» qui m’a accroché car il véhicule l’idée c’est alors de sa faute s’il lui arrive quelque chose
"Responsable" a plusieurs sens. Et "être responsable" (tout court) ne véhicule absolument pas cette idée, bien au contraire. Je suis contre la déresponsabilisation à tout va des êtres pensants, ce qui est une forme de débilitation, c'est à dire d'affaiblissement du pouvoir de choix et de décision attribué à chacun.
tout le reste de la chaine est important
Comme toute chaîne, tous les maillons sont importants. Si t'as des serveurs super sécurisés, si de son côté, l'utilisateur fait n'importe quoi, il a de grandes chances de perdre ses données quand même. Croire que tout se joue de l'autre côté est faux, et en plus dangereux (pour soi et autrui). Les utilisateurs doivent en être conscients, être responsables, et cesser de tout mettre sur le dos des autres.
On parle de ce type d'attaques car elles touchent beaucoup de monde d'un coup, mais croire que les attaques sur compte unique n'existent pas, c'est se voiler la face. Y en a tous les jours, et j'en ai connu personnellement (en particulier une personne qui a perdu l'accès à son compte email et n'a même jamais réussi à le récupérer). Simplement certes les journalistes en parlent moins parce qu'on va pas faire un article chaque fois qu'un quidam quelconque perd son accès à un service (y aurait des articles tous les jours!), sauf lorsqu'il s'agit de personnalités, dissidents politiques, espionnage, journalistes, politiciens (ce sont juste quelques liens que j'ai trouvés en faisant une recherche vite fait. Je ne suis pas certain de la pertinence de toutes ces affaires, mais on en trouve pleins d'autres du genre. Y a l'embarras du choix)…
Une simple petite recherche sur un moteur de recherche avec "compte email hacké" retourne pleins d'articles et d'histoires persos sur ce sujet, de fils de discussions sur des forums regorgeant de gens à qui c'est arrivé (pas des personnalités, ça arrive à tout un chacun même si on ne parle dans la presse que des cas où une personnalité est touchée), et pleins d'articles sur comment récupérer un compte compromis.
Une grosse partie des compromissions ne se passent pas côté serveur, mais bien côté client, et ce quotidiennement. Simplement on n'en parle pas car ça fait moins jazzer dans la presse que X millions de comptes d'un seul coup. Alors non, toute la chaîne est important. Et justement promouvoir la sécurité seulement d'un côté, faire porter toute la sécurisation sur le "service" et ses admins/dévs, et dire aux utilisateurs que tout va bien, et de continuer comme ça, c'est justement irresponsable.
Sur ce, ce sera mon dernier message sur le sujet.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Le but n'est pas de culpabiliser l'utilisateur mais bien de le rendre acteur et responsable.
Donc non, je ne cherche nullement à culpabiliser les utilisateurs, bien au contraire. Je ne dis d'ailleurs jamais qu'ils sont responsables de l'attaque ou du vol de données, ou de l'usurpation de compte, ou de quoi que ce soit du genre. Je dis qu'ils sont "responsables de leurs actes", et surtout "responsables" (tout court: des êtres responsables). C'est pour moi quelque chose de très important et de fondamental de responsabiliser les gens. C'est le même mot, mais avec un sens bien différent (notamment positif plutôt que négatif).
sensibiliser aux pratiques de sécurité basiques serait sans doute bien plus efficace à court terme.
C'est ce qu'essaient de faire beaucoup de sites de nos jours, avec des règles sur les mots de passe de plus en plus restrictifs (longueur minimum, mot de passe avec au moins majuscule, minuscule, nombre, caractère spécial…). Et en général, ce que j'entends quand un site essaie de "sensibiliser" ainsi les utilisateurs, c'est "tain ils sont chiants, ça me force à créer un nouveau mot de passe plutôt que mon mot de passe habituel".
Quelqu'un citait même les impôts qui avaient tenté l'expérience de l'identification par clé et se sont retrouvé à être obligé de faire marche arrière car beaucoup de gens ne comprenaient pas.
Le problème est que dès qu'un site essaie de sensibiliser à de meilleures pratiques ou de leur proposer des systèmes d'identification plus sécurisés, beaucoup se plaignent. Un mot de passe par contre, ça oui tous comprennent. Et de préférence, simple, et qu'ils pourront dire à tout le monde (ça me tue toujours les gens qui me donnent leur mot de passe pour utiliser leur ordinateur ou leur boîte email).
D’autre part, la plupart de la chaine de sécurité est déjà côté serveur
Oui et les développeurs et admins essaient d'améliorer les choses (la sécurité est quand même vachement mieux de nos jours, globabelement, qu'il y a quelques années), mais la sécurité n'est pas encore parfaite (et ne le sera sans doute jamais). Alors on fait quoi? On critique les admins et développeurs en leur mettant tout sur le dos et en les traitant d'incapables car ils ont pas encore réussi à trouver le système idéal? Ou en attendant ce jour (totalement hypothétique), on prend un peu sur soi, on fait un effort et on est "responsable"?
Quand on achète une serrure moderne ultra-sophistiquée, on s'attend quand même à ce que vous preniez le temps de fermer la porte à clé en sortant (sinon la serrure sert à rien). Ou on achète une porte qui ferme en claquant, ce qui simplifie beaucoup, mais le jour où vous avez oublié la clé à l'intérieur, vous maudissez le fabricant d'avoir fait ce système. Et si vous avez une serrure biométrique, j'ose espérer que vous n'avez pas d'objet suffisamment de valeur pour donner envie à un voleur de vous arracher votre œil ou de vous couper le doigt (et même sans ça, les empreintes biométriques restent falsifiables). Y a pas de système parfait si on veut sécurité et confort d'utilisation.
Conclusion: personne ne culpabilise ou ne rend responsable les utilisateurs des méfaits perpétrés par des malfrats. Mais on veut rappeler qu'ils sont tous des êtres responsables (tout court) et qu'ils doivent agir en tant que tel. Et donc on les sensibilise aux pratiques de sécurité basiques, notamment en écrivant cet article sur linuxfr.org. C'est donc exactement ce que tu demandes!
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Sinon, l'auteur n'est pas développeur/employé MS, il est MVP Microsoft(
Oh ok. J'avais lu ça ("Microsoft MVP for Developer Security") et avais cru qu'il s'agissait d'un type de poste employé. Y a un admin pour mettre ça à jour?
Merci pour la correction.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Oui, ou même une erreur de ma part, plutôt qu'une confusion. Je voulais bien entendu dire les rainbow tables, pas hash tables qui sont en effet juste une structure de données qu'on utilise souvent en programmation.
Pour le reste, je crois que tu es plus calé que moi sur ce sujet (initialement je voulais même pas l'écrire cet article, mais ça n'intéressait personne visiblement. J'espérais plus de contributions).
Je n'ai pas envie d'encombrer l'article d'un passage beaucoup trop technique (qui va très bien en commentaire par contre, merci), par contre ce serait bien de remplacer mon texte erroné par une version simplifiée de ton texte. Si un admin passe dans le coin, ce serait possible?
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Ça dépend. De désinstaller pour réinstaller, ça pas de problème. Même les dévs de Mint conseillent de tout supprimer, s'il y a le moindre doute. Par contre bien sûr, ces derniers sous-entendent: tout supprimer pour réinstaller.
Là où je te rejoins, c'est qu'il est délicat de proposer de supprimer pour réinstaller une autre distribution, ce que je fais sur la fin. J'ai longtemps hésité si je devais faire cette suggestion ou pas. Mais à un moment donné, je me suis dit qu'il fallait être honnête avec moi-même. Personnellement je n'installerai plus Mint ni ne le conseillerai pour un petit bout de temps. Par contre je me tiendrai au courant et il n'est pas impossible que j'y revienne un jour. Mais dans l'immédiat, la confiance que je leur ai accordée à une époque a été ébranlée. C'est vraiment purement technique, rien d'émotionnel. Je serais heureux d'en discuter autour d'un verre avec un dév Mint. Je trouve toujours leur projet sympa, ainsi que les divers logiciels qu'ils ont créé, et je leur souhaite vraiment du succès. Je suis désolé pour eux, car c'est une position difficile. Mais je dois faire preuve d'honnêteté intellectuelle: je ne m'installerai plus de Mint pour l'instant, et ce serait donc malhonnête (et même presque malveillant) de prétendre que tout va bien et de conseiller aux autres ce que je refuserais pour moi-même.
C'est donc ma position, et le raisonnement qui m'a poussé à ce conseil, même s'il n'est peut-être pas justifié techniquement (mais justement c'est aussi ça le problème: on a du mal à le savoir. Trop de choses sont encore passées sous silence dans les journaux officiels de Mint, comme je le note dans la dépêche).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Posté par Jehan (page perso) le 07/03/16 à 11:01. Édité par 6 contributeurs. Modéré par Benoît Sibaud. Licence CC by-sa
En effet, le "nous", c'était "les contributeurs à la dépêche sur linuxfr" (c'est à dire la citation de MarbolanGos juste au dessus!). Je n'ai aucun lien avec Linux Mint, si ce n'est que j'en ai été un utilisateur à un moment donné, et que je trouve qu'il est important de relayer cette information (pour les gens sur linuxfr qui ne lisent que la première page).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Clairement. Et ça va pas aller en s'améliorant avec des machines de plus en plus puissantes (même si les processeurs s'améliorent moins vite maintenant, le nombre de cœurs eux augmentent).
Il faudrait peut-être un jour se décider à comprendre que c'est le principe de la protection par MDP qui est troué (parce qu'il est humainement impossible de respecter toutes ces consignes)
Je suis d'accord. Malheureusement la solution viendrait surtout des systèmes de login centralisé (qui a aussi ses problèmes), et sur le coup, seuls les gros services propriétaires (Facebook, Google…) ont réussi à s'y faire une place. Même Mozilla a essayé et vient d'abandonner. Donc il n'y a encore rien de viable (l'alternative "service proprio" n'étant pas considérable comme "viable" pour moi).
la faute ne vient pas des utilisateurs.
Alors comme je disais dans mon article, ce n'est pas seulement la faute des utilisateurs, mais chacun a sa part de responsabilité. C'est trop facile de rejeter le blâme sur "les autres" et de considérer l'informatique comme "magique", et que ça devrait marcher "tout seul". Non, ce n'est pas comme ça que ça se passe.
Par exemple je disais que les systèmes de login centralisé ont aussi leur lot de problème. Il y en a surtout un, majeur: un tel système est un "single point of failure" (point central d'échec?). S'il se fait trouer, un attaquant a accès à l'ensemble de vos services et données! Or que se passera-t-il au moment où un tel système est utilisé par tous? Les gens mettront-ils soudainement un mot de passe très fort sur ce point central? Pour beaucoup, non bien sûr que non! Ils continueront avec leur mot de passe à 5 caractères, qui est le nom du chien. Donc ça restera un très gros problème, peut-être pire.
D'ailleurs je suis sûr que la plupart des gens ont des mots de passe bidons sur leur compte Facebook ou Gmail, alors que ce sont déjà des systèmes de login centralisé.
En outre, je n'ai pas vu les utilisateurs se précipiter dès qu'on essaie de leur proposer des alternatives, que ce soit OpenID, Mozilla Persona, connexion validée par IM/XMPP… La plupart restent bien au choix avec leurs mots de passe faibles.
Enfin si tu parles de connexions avec clés, le problème est que la plupart des utilisateurs trouvent cela trop compliqué et ne veulent simplement pas utiliser (il faut mettre la clé sur un support portable, genre clé USB, pour utiliser sur un autre ordi, vous vous rendez compte! Et encore ça c'est quand ils ont fait l'effort d'essayer). Même les dévs sur github, environ 30% n'auraient pas de clés (ce que l'auteur de l'article trouve bas, mais que je trouve haut car je me vois pas taper mon mot de passe à chaque git push). Donc on en est à chercher soit des systèmes que les utilisateurs comprennent (les mots de passe), soit à trouver des systèmes plus simples mais qui d'une manière ou d'une autre vont enlever un peu de liberté aux utilisateurs (comme les propositions d'avoir une identification "nationale", genre avec une puce dans la carte d'identité, ce qui veut dire que toute connexion avec serait traqué par le gouvernement, ou à l'heure actuelle les identifications par grosses sociétés qui traquent aussi, mais pour la publicité ciblée).
Donc non, c'est trop facile de dire qu'aucune faute ne va aux utilisateurs. Ils sont encore (pour le moment) libres de choisir et ils font des choix, tous les jours. Cette façon de voir est trop asymétrique, si ce n'est dangereuse: aux uns (utilisateurs), on leur dit qu'ils ont bien le droit de ne pas réfléchir du tout et que d'autres devraient réfléchir à leur place (ce qui, selon moi, est une autre façon de leur dire qu'on veut leur enlever de la liberté); aux autres (développeurs et admins), on dit qu'ils sont vraiment trop des incapables — si ce n'est des idiots — de pas avoir encore trouvé le système de login idéal pour sécuriser complètement les connexions du premier groupe qui ne devrait pas avoir à réfléchir.
Ce n'est pas ma vision du futur idéal (bien qu'on ait l'air de s'y diriger).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Comme notent d'autres, il existe des méthodes. En fait pleins à différents niveaux. C'est pour ça que je dis dans la news:
Il y a peu de solutions à ce type de problème à l'heure actuelle en fait en tant qu'utilisateur (en tant que développeurs, il y a beaucoup plus).
Car les admins ont quand même pas mal de possibilités de savoir ce qu'il se passe d'anormal sur un serveur en temps réel, et je dois dire que j'ai trouvé ceux de Mint un peu légers sur le coup. Comme je le dis, je ne suis pas du tout expert en sécurité non plus, ni admin de formation, et je ne doute pas une seule seconde que je puisse me faire trouer aussi. Mais je mets tout de même un minimum de sécurité et j'ai pas l'impression qu'ils en aient mis la moindre. J'ai un serveur perso qui me sert à héberger des sites web de projet ou associatifs, des emails, etc.
Bon déjà j'ai fail2ban, que d'autres ont cité. Ça réduit les attaques de type "force brute". J'ai des règles très strictes pour SSH (je sais plus, probablement 3 tentatives seulement. On s'attend à ce que quelqu'un avec un accès SSH ne perde pas son mot de passe. D'ailleurs il devrait plutôt utiliser une clé). Un peu moins strictes (mais un peu quand même) pour IMAP (soyons un peu plus souple avec les utilisateurs IMAP qui peuvent être moins techniciens. Mais pas trop quand même. Au pire, l'utilisateur a son IP bloquée et il me contacte pour me demander de le débloquer). Des règles pour le HTTP (essayer de contenir un peu les DOS et autres bots un peu insistants), des règles sur les POSTs, des règles spécifiques Wordpress (tentatives de connexion répétées…), etc. On peut déjà pas mal limiter la casse avec fail2ban.
Ensuite ça limite pas tout, par exemple si quelqu'un connaît déjà une faille particulière sur une plateforme (Wordpress ou autre) et n'a donc pas besoin de tester des injections SQL sur tous les formulaires avec un bot, etc. alors il ne sera pas détecté par fail2ban. Par contre si ça lui permet disons de changer des fichiers sur le serveur, on peut avoir un script qui surveille les fichiers du site web et envoie une alerte au moindre changement de fichiers. On pourrait d'ailleurs imaginer la même chose pour les pages vitales (comme la page de download) en base de donnée: chaque modif du texte envoie un email à l'admin (le seul qui aurait le droit de toucher la page). Si c'est lui qui vient de l'effectuer, il ignore l'email. S'il n'a pas touché à la page, il sait immédiatement qu'il y a un problème.
Pour revenir sur les connexions SSH, car c'est un des nerfs du système, je reçois un email à chaque connexion SSH réussie (donc si je me suis pas connecté et que je reçois un email, je sais immédiatement qu'il y a un problème, puisque je suis le seul avec un accès). Bien sûr, je suis le seul admin sur mon petit serveur. S'il y avait 5 personnes avec accès au serveur (je ne parle pas d'un serveur avec accès simple-utilisateur, mais bien d'un serveur vital, genre pour les emails, le site, etc. Y aura jamais beaucoup de personnes autorisées sur celui-là) on peut imaginer alors un système un peu plus complexe en 2 temps, comme la réception d'un email automatique par cette personne seulement et l'obligation d'y répondre en moins de 5 minutes sinon tous les admins reçoivent une alerte à leur tour.
Ensuite root: je reçois aussi un email à chaque login root, avec le nom de l'utilisateur d'origine (y a plusieurs moyens de connaître cette info, comme logname, etc. Aussi je précise que la connexion SSH en root direct doit toujours être interdite sur un serveur. Ça permet notamment de savoir qui est l'utilisateur de base, par exemple pour détecter les montées de privilèges). Même une connexion sudo pourrait générer des emails automatiques.
Quant à un dump de base de données, je n'y ai jamais pensé et me rend compte que je n'ai rien fait, mais je suis sûr qu'il doit y avoir aussi moyen aussi de générer une alerte automatique à chaque tentative de dump. Vous pouvez ignorer votre message hebdomadaire (ou quotidien, pour un gros service) de backup, mais si vous recevez un message hors du créneau habituel, vous savez que quelque chose de louche est en train de se passer sur votre serveur.
Etc. etc. Les idées ne manquent pas au niveau administrateur pour détecter des choses qui ne devraient pas se produire sur un serveur. Le fait est qu'on n'est pas trop censé toucher un serveur en production. Donc dès qu'il y a une activité un peu inhabituelle, c'est assez facile à détecter, et envoyer des alertes à chaque mouvement n'est pas overkill selon moi. Surtout lorsqu'on a juste quelques serveurs, comme c'est probablement le cas de Mint (je doute qu'ils aient 1000 serveurs en production). Ensuite oui si vous avez des centaines de serveur, vous ferez les choses différemment (enfin probablement similaire, mais vous voudrez pas recevoir des emails pour un oui ou pour un non. À ce moment, vous pouvez avec des scripts un peu plus ciblés, des interfaces de gestion de votre parc pour gérer les alertes, etc.).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Comme dit Francesco, le problème n'est pas de savoir qui a raison, mais de savoir que ça se fait. Plein de boîtes ont attaqués pour bien moins que ça. Et le jour où ça t'arrive, tu t'en fous de savoir au fond de toi que cette attaque est absurde et que tu as raison: tu es attaqué en justice, c'est tout. Alors certes, tu peux potentiellement gagner, et ce faisant, récupérer des dommages et intérêts, mais ça n'enlève pas des années de stress (car ça dure longtemps en général), de temps perdu, etc. Et surtout d'argent perdu entretemps, à tel point que beaucoup de "petits" ne vont pas au bout des procès simplement car ils n'ont simplement pas les sous pour payer les avocats (technique classique d'une grosse boîte pour en ruiner une petite: on l'attaque en justice, même si les chances de perdre sont grandes, car on estime qu'on arrivera à couler financièrement la boîte avant que le procès arrive à sa fin).
Je conclurai en étant d'accord avec toi: il ne faut pas être parano. Ce que je dis n'a pas pour but d'être sans-cesse sur le qui-vive et d'avoir peur pour tout et rien. On a une idée, un projet, faut tenter et foncer! Je suis 100% d'accord, et j'encourage les gens de réaliser leurs passions plutôt que rester passif. Par contre si dès le départ, on part sur une copie d'un projet existant, alors là c'est un peu donner le bâton pour se faire battre. Avis perso. :-)
J'ai moi-même connu ça. Quand j'étais mineur et à peine arrivé dans l'univers de l'informatique, j'avais commencé à rentrer dans une équipe de développement de gens qui voulaient faire un jeu basé sur l'univers Star Wards. C'était purement communautaire, et il n'y avait pas idée de faire de l'argent dessus du tout non plus. C'était juste des fans de SW qui voulaient faire un jeu. Hop quelques mois après, courrier d'avocats de LucasArts, projet démantelé. Ce genre d'exemple est légion: des gens aiment un jeu, un univers, etc. Ils font un produit dérivé communautaire dans l'euphorie et se prennent des avocats aux fesses. Alors certes, faut pas être parano; mais faut pas être aveugle ou naïf non plus. :-P
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Aussi, est-ce que le fait que je ne gagne pas d'argent avec ça peut changer les choses ?
Ça n'entre pas en ligne de compte dans le droit d'auteur. S'ils veulent t'attaquer, ils peuvent. Ensuite même si le juge irait probablement en faveur de l'attaquant (tu fais une copie claire et assumée) , il ne demanderait pas beaucoup en dommage et intérêt si t'as pas gagné un kopeck. Donc ça vaut sûrement pas le coup pour cette société et donc dans les faits, ils ne t'attaqueraient que si ton projet commençait soit à avoir une certaine renommée soit si tu te décidais à faire des sous avec.
Bon par contre, il est toujours possible que tu te prennes une lettre d'avocat pour te faire peur et te faire retirer le projet sans pour autant aller jusqu'au tribunal.
Au final ça veut dire que ton projet est destiné à n'avoir jamais de succès ou à être à haut risque légal pour toi.
Comment ça se passe pour tous les jeux libres qui reprennent l'Othello, le Puissance 4 beaucoup d'autres jeux de sociétés ?
S'ils veulent éviter les problèmes, ils font des règles légèrement différentes, ils prennent un nom le plus différent possible; ou ils disent qu'ils se basent sur un jeu plus ancien (beaucoup de ces jeux de marques sont en fait eux-même des copies de jeux anciens), etc. Et puis simplement ils ont peut-être simplement la "chance" de pas faire le buzz; mais s'ils devenaient répandus, ce n'est pas dit que certains ne se feraient pas attaquer en justice (même avec des règles légèrement différentes et avec la pré-existence d'un jeu ancien, des ayant-droits peuvent tenter l'attaque, et — qui sait — gagner).
Jouer avec l’ambiguïté du droit d'auteur, c'est toujours se mettre soi-même une épée de Damoclès au dessus de la tête. Dans 99% des cas, ça passe (car 99% des projets ne font jamais de vague et restent très "confidentiels". 99% étant un nombre tiré de mon chapeau, ça pourrait être moins ou plus, mais on voit l'idée), mais ça veut pas dire que vous serez pas dans les 1%.
C'est pourquoi il vaut mieux ne jamais copier un jeu existant, mais en créer un. C'est toujours mieux. Et puis franchement c'est bien plus sympa pour toi aussi, non?
Enfin bon, pour finir sur une note positive, j'ai jeté un œil, c'est simple mais ça a l'air de faire son boulot. Dommage juste qu'il y ait encore et toujours des problèmes de droit d'auteur, dans un système pourri jusqu'à la moelle.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Pour les mots techniques qui n'ont pas reçu de trad "officielle", ma suggestion est de garder l'anglais en italique avec une tentative de trad entre parenthèse (ou l'inverse).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Au sujet du scanner, un petit ajout: le seul cas chiant pourrait être si on veut scanner plusieurs pages. Faire des AR serait alors chiant si c'est une autre pièce par exemple. Mais y a plusieurs solutions:
pour les feuilles volantes, on peut acheter un scanner avec chargeur (pas seulement avec vitre et pose à plat). Le notre le fait, et fait même le scan recto-verso en chargeur!
pour les livres, ou feuilles agrafés, etc. les scanners ont souvent des options pour envoyer sur l'ordi depuis le scanner. Donc pas besoin d'AR. Je n'ai jamais essayé et je ne suis pas sûr du niveau de support de fonctionnalité pour Linux. J'aimerais bien tester un jour.
Enfin il reste la possibilité de scanner sur une clé USB puis de ramener la clé. Tous les scanners ont cette fonctionnalité de nos jours. Bon cette dernière solution est pas idéale, je trouve, mais bien mieux que d'acheter un scanner par personne. :P
Pour le lecteur de cd/Dvd, je serais aussi de l'avis de le partagé
Oui en fait, c'est vrai que même le lecteur DVD, c'est pas mal de partager en fixe sur un serveur (c'est possible?). Ça lui donne une place fixe et évite de le chercher des heures si un membre de la famille/l'entreprise l'utilise. En plus le lecteur portable qui se balade entre tous les membres d'une famille, c'est un coup à le faire tomber et le péter.
on a de moins en moins l'utilité de ce support.
Oui j'en ai plus sur mon portable. Et je crois que ça m'ait arrivé qu'une seule fois dans l'année passée d'en avoir eu besoin (on m'a prêté un DVD et j'ai pas pu le lire).
D'ailleurs c'est possible de partager un lecteur DVD en réseau? Si quelqu'un a des infos là-dessus, je suis preneur. Un jour peut-être si l'utilité m'en venait…
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
ta question me fait penser à la question du scanner reseau dans une entreprise.
[…]
mais mettre le document dans le scanner, retourner devant le PC, pour ensuite lancer le logiciel de scan pour recuperer une partie du document.
Bon ça dépend du nombre de personnes pour un scanner. Alors certes un scanner pour 500 personnes, ça va vite poser problème. Mais un scanner pour 10, même 30 personnes, c'est franchement suffisant. Pour la fois sur 100 où y a un problème (quelqu'un qui veut utiliser le scanner au moment où tu en as besoin), ça reste un deal raisonnable. Bon à part peut-être si c'est une entreprise où plein de gens ont besoin du scanner tout le temps… Au final tout dépend du cas par cas.
Donc dans une utilisation familiale comme là, même si c'est peut-être une grand famille, on va quand même pas acheter un scanner par membre!
Pour le lecteur USB, je suis probablement plus d'accord, mais surtout car c'est petit et léger. Donc c'est plus pratique de le trimballer en USB. Mais notre scanner A3, je me vois certainement pas l'utiliser en USB, se faire chier avec des cables, et le trimballer sur les divers ordis! Il est très bien en réseau!
Disons que je suis pas d'accord avec la comparaison quoi. :-)
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Ok, ça dépend vraiment ce que tu veux faire, mais non si on parle d'illustrations et d'imprimables sérieux (de qualité un minimum pro, comme un graphiste, même amateur, voudrait faire), LibreOffice est certainement pas dans ma liste de logiciels à utiliser.
Attention, j'utilise LibreOffice, je fais des dossiers et autres docs du genre dont franchement l'approximation visuelle du résultat final me convient: quand je mets un visuel dans un doc de 10 pages de textes pour envoyer à des administrations qui de toutes façons s'en fichent complètement, je le place un peu au hasard à la base de toutes façons. "Hop, par là, ça a l'air d'être à peu près le milieu."
Alors c'est peut-être ça qui était demandé en fait; et dans ce cas là, ok. Mais s'il s'agit plutôt d'affiches, prospectus, de petites brochures ou trucs du genre, et qu'on veut un minimum de qualité, précision, etc. Notamment si on passe par un imprimeur pro. Alors non, sûrement pas LibreOffice.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
Dans la seconde partie du post, tu parles de logiciels test qui foirent. Donc peut-être as-tu vraiment des problèmes avec tes drivers, je sais pas.
Mais sinon, peut-être que ton driver est bien installé, et tu rencontres un problème assez classique de Blender qui ne voit pas ta carte pourtant parfaitement installée et fonctionnelle. Je l'ai eu aussi sur un ordi.
De mémoire, un "truc" qui marchait bien — et attention, c'est sale et horrible — c'est de lancer une fois blender en root. Blender détectera la carte à ce moment là. Puis après en lançant blender comme un utilisateur normal à nouveau, cette fois, ça détectera aussi. Oui, ce comportement est ridicule et incompréhensible, mais apparemment avec certaines versions du pilote, CUDA n'est disponible pour les utilisateurs "normaux" que si tu as d'abord exécuté du code CUDA en root. Tu n'as donc pas à lancer blender en root forcément. Tu peux lancer n'importe quoi d'autre avec du code CUDA en root, pour qu'après tout logiciel utilisateur ait aussi accès à CUDA.
Après une petite recherche, j'ai trouvé ce post qui réexplique notamment ce contournement de bug du pilote.
Un autre truc — il me semble, toujours de mémoire — est que Blender n'est pas forcément compilé avec toutes les options. Les paquetages de distribution sont typiquement décevants sur ce type de logiciel où on aimerait vraiment avoir le maximum d'options avancées dispos. C'est donc aussi possible que ta distrib livre un Blender compilé sans support CUDA (oui c'est triste, surtout pour un tel logiciel, mais il me semble avoir eu le cas). Il est souvent préférable d'utiliser les versions de Blender en téléchargement sur http://blender.org. C'est dommage, car ça casse complètement l'intégration (non dispo dans les menus, ni par double clic sur un fichier, etc.), mais de toutes façons, quand tu utilises Blender, tu en viens souvent à vouloir la dernière version.
Une autre solution est de compiler Blender toi-même avec toutes les options que tu veux, dont le support CUDA. Mais c'est pas forcément à la portée de tous (enfin sans trop de prise de tête quoi).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Sujet
Posté par Jehan (site web personnel, Mastodon) . En réponse à l’entrée du suivi Affichage du « site perso » d'un compte suivant son karma et son rôle. Évalué à 3 (+0/-0).
Je suis d'accord. Je doute que retirer les sites persos des comptes négatifs soit la bonne solution. Quelqu'un d'actif, qui n'a pas été considéré comme une personne "malveillante" dans le sens où elle essaie d'arnaquer les autres visiteurs, je ne crois pas qu'on doit retirer leur droit au site sur linuxfr. Quand je vois des gens qui disent vraiment des choses qui me déplaisent, je clique par sur leur site, c'est tout. Ou au contraire, je pourrais vouloir cliquer pour voir un peu qui est derrière de tels propos, par curiosité. Mais ça reste mon choix de cliquer ou non et je n'ai pas besoin de protection de la part de linuxfr.
Bien sûr cela ne concerne pas les comptes fermés. Ceux-là, oui, il me paraît évident que leur site perso doit disparaître.
Un autre cas qui pourrait être intéressant sont les comptes avec peu de commentaires/articles (disons moins de 10?) pour les gens qui créent juste un compte pour faire un journal et disparaître. Et encore, même eux, je suis pas sûr qu'il serait vraiment bien de faire ça. Je peux aussi comprendre les gens qui veulent un peu faire de la pub à leurs projets sans pour autant devoir absolument participer (on le sait, beaucoup de visiteurs lisent pendant des années sans jamais rien poster, souvent sans même avoir de comptes. Ça n'en fait pas moins des fidèles de linuxfr).
Enfin bon au final, je pense que je serais partisan de retirer uniquement les pages persos des comptes explicitement fermés ou flaggués comme "spam/scam".
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Exactement la période ou j'ai installé Mint à la place de Win10 sur mon PC ...
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 2.
Alors tu vas découvrir l'une des joies de Linux: sauvegarde tout ce qui est sous
/home/(par exemple sur un disque dur externe), et sur ta prochaine installation, copie simplement toutes ces données à la place du nouveau/home/. Et tadaaa! Toutes tes configurations (ainsi que les données bien sûr) sont retrouvées (pour peu que tu utilises les mêmes logiciels bien sûr)!Y a aussi le bureau dans le lot. Si tu utilisais Cinammon notamment (j'imagine, car l'ISO qui a été compromise était celle avec Cinammon par défaut), qu'il te plaisait et que tu l'as configuré, tu voudras peut-être t'assurer de réutiliser Cinammon après encore.
En fait souvent tu n'as même pas besoin de sauver sur disque externe si le
homeétait dans une partition propre, que tu peux simplement garder et réutiliser direct sans formater. Mais comme c'est un peu avancé, je conseille de toujours sauver lehomeau cas où (de toutes façons, il vaut mieux faire des sauvegardes dès qu'on touche au système. C'est dans les bonnes pratiques…).Comme d'autres le disent en commentaire, c'est à chacun de voir. Les développeurs de Mint disent que tout est réglé. Donc tu peux aussi simplement réinstaller Mint en téléchargeant une nouvelle ISO.
C'est à chacun de décider s'il veut faire confiance immédiatement après cette compromission.
Moi je préfère être un peu parano, mais pas tout le monde n'est obligé de l'être.
De nos jours, la plupart des distributions (même celles considérées "avancées") sont assez plug'n play. De manières générales, les distribs estampillées "grand public" seront Ubuntu ou Mageia, je pense. Y en a sûrement d'autres, mais ce sont les deux qui me viennent à l'esprit.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: fastboot linux ?
Posté par Jehan (site web personnel, Mastodon) . En réponse au message Fastboot et accès aisé au bios?. Évalué à 2.
Ben ce que j'ai vu (notamment sur Linux Mint quand j'utilisais ça, c'est à dire plus depuis juillet, mais je doute que cela ait changé), ce n'est sûrement pas 1 seconde, mais probablement 0 qui a été configuré (alors pour appuyer sur une touche, faudrait vraiment être rapide). C'est simple, je ne voyais tout simplement pas le GRUB, pas même un flash. Et donc même si je me doutais bien que le GRUB n'était pas retiré totalement, cela en revient en pratique au même.
Note que cela ne me dérange pas outre mesure. En fait je pense que c'est même un très bon choix de configuration, du moment qu'on ait tout de même des moyens alternatifs pour parvenir au menu. Donc je ne demande pas "comment puis-je changer le timeout?", mais bien "comment avoir un timeout de 0, mais avoir un accès alternatif au GRUB tout de même?".
Si tu as la solution, ça m'intéresse. Car j'ai pas mal cherché sans succès.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: fastboot linux ?
Posté par Jehan (site web personnel, Mastodon) . En réponse au message Fastboot et accès aisé au bios?. Évalué à 2.
Et si je mets un délai court aussi, y a moyen d'accéder au menu de GRUB au besoin (sans passer par le système et regénérer la configuration de GRUB, ce qui peut ne pas être si simple si par exemple le kernel a un problème et que je veux booter sur un kernel plus vieux)?
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: fastboot linux ?
Posté par Jehan (site web personnel, Mastodon) . En réponse au message Fastboot et accès aisé au bios?. Évalué à 2. Dernière modification le 14 mars 2016 à 19:16.
J'ai aussi vu récemment un ordi Ubuntu qui bootait super vite alors que je pense que la machine que j'ai doit être plus puissante à tous point de vue (mémoire, processeur… Bon l'autre avait probablement un vrai SSD alors que celle-ci a une sorte de SSD hybride — de mémoire — ce qui va jouer, quand même, on est d'accord).
En fait me débarrasser du GRUB en temps normal tout en permettant d'y accéder si besoin (comme pour ce temps de chargement bios) est aussi une grosse question pour moi.
J'ai remarqué qu'Ubuntu et Linux Mint justement zappaient dorénavant GRUB. En fait cela m'intéresse de faire la même chose (par exemple sur une Fedora, ce que j'utilise en ce moment), car dans 99,9999% des cas, je choisis le choix 1 de toutes façons (et n'ai pas de double boot). J'aimerais quand même bien pouvoir garder un accès "caché" à GRUB, si jamais je veux essayer de booter sur un kernel un peu plus vieux (pour raison X ou Y), ou si je fais des tests avec des options de boot au kernel, ou je sais pas quoi.
Est-ce possible?
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: UEFI ou BIOS old school?
Posté par Jehan (site web personnel, Mastodon) . En réponse au message Fastboot et accès aisé au bios?. Évalué à 2.
Merci, mais je cherchais s'il existe une solution simple existante car comme tu le notes, on peut faire de grosses conneries, et bien que j'en ai probablement les compétences, je n'ai malheureusement pas le temps de tripatouiller le matériel.
C'était vraiment la curiosité qui m'a poussé à la question. Mais je vois que nous n'avons peut-être pas encore ces facilités. Merci quand même pour le lien et les infos.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Quelques règles de base pour vos mots de passe
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 6.
Je voulais pas répondre, et je vais passer outre les comparaisons absolument malsaines (et complètement hors sujet) auxquelles tu as essayé de m'associer. Mais je pouvais pas laisser dire ces choses ci-dessous:
Non, on n'est pas d'accord! Je n'ai absolument pas dit que les personnalités doivent prendre plus de mesures de sécurité que les autres. J'ai dit au contraire que ça arrive à tout le monde mais qu'on n'entend parler que des cas qui touchent les personnalités. Et je suis désolé, mais mes données valent autant (et même 10000 fois plus, à mes yeux à moi) que celles de n'importe quelle personnalité. Alors à part si vous vous foutez de vos données numériques, de les perdre ou de les savoir entre des mains malveillantes (y a des gens qui s'en fichent réellement, donc c'est pas un "si" hypothétique. Je connais pas mal de gens qui sont bien moins engoncés dans les méandres de l'informatique), ben non tout le monde doit prendre plus de mesures de sécurité.
Ce n'est pas cassé. C'est simplement le meilleur système que nous arrivions à produire que tout un chacun accepte d'utiliser à l'heure actuelle (attention, je ne dis pas "le meilleur système" tout court. Il y a bien plus sophistiqué mais beaucoup d'utilisateurs refusent ou sont rebutés/perdus, cf. par exemple le cas du site des impôts). Ce n'est pas la faute des gens qui essaient de créer ces systèmes si les gens refusent de faire autre chose qu'une "tâche d'ordinateur".
<aparté>D'ailleurs c'est assez marrant de penser que c'est nécessairement une tâche d'ordinateur. Les mots de passe existaient bien avant que les ordinateurs existent (ex: Ali Baba et son "Sésame, ouvre toi", et on sait que les mots de passe étaient déjà utilisé des milliers d'années plus tôt, par exemple chez les militaires romains ou en Grèce ancienne, etc.). Et je pense que cette notion existera chez l'humain, en dehors même de toute interaction avec l'informatique et les machines, pendant encore longtemps. Et ça explique aussi probablement pourquoi dans l'informatique, les utilisateurs ne semblent pas enclins à s'essayer aux autres systèmes d'identification. En un sens, je comprends bien même (tout en étant d'accord que ça a des limites à cause de la puissance de calcul des ordis actuels, problème qui n'existait pas en Grèce ancienne!). C'est très similaire à la problématique du vote électronique que l'on discute souvent ici: les gens comprennent le système, donc ils lui font plus confiance (ou du moins sont plus rassurés) qu'en d'autres systèmes dont ils ne comprennent pas les arcanes.
</aparté>Donc non ce n'est pas cassé. On n'arrive juste pas à la fois à trouver mieux, et à la fois à le faire accepter par tous. Si tu trouves ce Saint Graal, nous serons tous très heureux de lire les spécifications de ton système révolutionnaire. On n'attend que ça, un meilleur système acceptable par tous. Je pense même que tu en ressortiras riche. En attendant ce jour où tu nous donneras ce système, juste dire "le système de mot de passe est cassé par conception", ben c'est simplement condescendant. Des milliers de développeurs ou mathématiciens ont travaillé/travaillent sur les problématiques d'identification (et comme je l'ai expliqué, ça date pas d'hier) et arrivent difficilement à trouver le système idéal que tous acceptent d'utiliser (Mozilla s'y est aussi cassé les dents dernièrement!). Donc juste dire "c'est cassé", ce n'est pas un comportement constructif. Les seules choses constructives sont soit de trouver mieux, soit — en attendant — de sensibiliser les gens aux règles de base de la sécurité pour les protéger un minimum.
Eh bien si tu es absolument persuadée que leur dire en gros: « mais vous avez bien raison, vous avez autre chose à foutre que d'essayer de vous protéger un minimum. D'ailleurs c'est tout de la faute de ces idiots de développeurs qui nous font un système cassé par conception; le jour où vos comptes en ligne se feront compromettre et vos données effacées/copiées, vous pourrez vous dire que c'est de la faute du système et donc continuer ainsi plein de joie. » est plus constructif que d'essayer de dire « bon, on n'a malheureusement pas encore le système idéal. Il est imparfait, mais on fait ce qu'on peut et donc y a des limites à la sécurité de vos données; mais ensemble, si on suit quelques règles de base (un peu chiantes) et qu'on fait des efforts, on peut arriver à repousser un peu certaines attaques (des vrais responsables, qui ne sont ni les dévs ni les utilisateurs en général, on est tous d'accord sur ce point). »
En gros si tu penses vraiment que les indulger plutôt que les former un peu à créer des mots de passe un peu plus sûrs que d'autres, si tu penses que ça, ce n'est absolument pas de l'inconscience… ben je sais vraiment plus trop quoi dire.
Sur ce, cette fois c'est vraiment mon dernier message. J'ai assez nourri le troll.
P.S.: moi aussi j'ai autre chose à foutre que fermer les portes, surtout qu'on sait bien que le système de clé est "cassé par conception" (vous avez déjà vu des vidéos de crochetage de serrure? Bon ceci dit, je considère pas ce système "cassé par conception" non plus, je reprenais juste l'exception. Là encore, c'est juste le meilleur compromis prix/simplicité/compréhension qu'on arrive à trouver pour sécuriser des portes). Pourtant je le fais quand même.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: manuel
Posté par Jehan (site web personnel, Mastodon) . En réponse au message Fastboot et accès aisé au bios?. Évalué à 3.
Hmm… C'est pas ce que j'ai compris par ce passage que j'avais en effet lu. Moi je comprends simplement qu'ils disent "si vous n'avez pas réussi à rentrer dans le menu, redémarrez la machine (avec OFF/ON, ou reset ou ctrl-alt-del) et réessayez". Mais pour avoir essayé moi-même des dizaines de fois sur une machine où ce laps est quasi inexistant, c'est quasi impossible (j'ai ensuite lu sur plein de forums que je ne suis pas le seul).
Par contre j'ai lu sur un forum que beaucoup de cartes MSI permettraient de démarrer sur le BIOS si on l'allume en restant appuyé sur le bouton ON plus de 5 secondes, même si je n'ai rien trouvé dans le manuel qui parle d'une telle méthode. Faudra que j'essaye.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: fastboot linux ?
Posté par Jehan (site web personnel, Mastodon) . En réponse au message Fastboot et accès aisé au bios?. Évalué à 2.
Non je n'ai pas essayé car ça me ferait chier de perdre cet accès aisé, et surtout c'est pas moi qui utilise cet ordi. Donc je veux pas faire perdre de temps à la personne qui l'utilise juste pour satisfaire ma curiosité. :P Et donc je n'ai pas essayé.
Pour info, c'est pas seulement pour le bios d'ailleurs, y a aussi l'accès au menu de boot: si je ne mets pas les périphériques USB en priorité sur le disque (par exemple pour ne pas que l'ordi tente de booter sur toute clé USB qu'on a oublié d'enlever), on peut tout de même booter dessus en cliquant une touche particulière dans ce laps de temps avant grub. J'imagine qu'avec Fastboot, on perdrait aussi cela.
Ensuite soyons clair, si on allume l'ordi une fois dans la journée (le cas ici), 3 secs, franchement c'est pas très important. C'est uniquement le côté un peu "optimiseur" et bidouilleur qui parle là. On peut se passer d'activer cette fonction. Mais après avoir vu plusieurs machines qui bootent vraiment vraiment super vite, je me suis posé la question (car cette ordi est assez puissant quand même mais il ne boote pas aussi vite que d'autres que j'ai pu voir).
C'est donc vraiment par curiosité.
En même temps, je me souviens m'être battu pour essayer d'accéder au bios d'une connaissance il y a peu, et c'est là que j'ai découvert que les machines ont maintenant un logiciel sous Windows qui leur permet de demander l'accès au bios au prochain boot. Je me dis que si cela devient vraiment la nouvelle norme, les distribs linux devraient aussi avoir un tel logiciel. Y a-t-il une sorte d'API BIOS pour activer cette option?
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Quelques règles de base pour vos mots de passe
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 4. Dernière modification le 12 mars 2016 à 14:54.
Bon en même temps, si c'est ce que tu penses que j'essaie d'insinuer (tout en disant le contraire. Je le fais pour la forme, alors?), on peut aussi arrêter d'en discuter immédiatement. Non parce que les gens qui croient mieux savoir que toi ce que tu penses, ça commence à être fatigant. Affirmer que les utilisateurs seraient responsables d'une attaque sur un serveur qu'ils utilisent serait simplement d'une grave bêtise. C'est tout. Donc non ce n'est pas ce que j'ai dit, ni n'est ce que j’insinuerais en catimini.
Je comprends même pas comment le sujet peut être mis sur le tapis. J'avais d'ailleurs remarqué l'autre fil en commentaire sur le propos mais avais résisté d'y répondre pour ne pas nourrir le troll. Bon bah je me suis fait avoir la seconde fois et ai répondu!
"Responsable" a plusieurs sens. Et "être responsable" (tout court) ne véhicule absolument pas cette idée, bien au contraire. Je suis contre la déresponsabilisation à tout va des êtres pensants, ce qui est une forme de débilitation, c'est à dire d'affaiblissement du pouvoir de choix et de décision attribué à chacun.
Comme toute chaîne, tous les maillons sont importants. Si t'as des serveurs super sécurisés, si de son côté, l'utilisateur fait n'importe quoi, il a de grandes chances de perdre ses données quand même. Croire que tout se joue de l'autre côté est faux, et en plus dangereux (pour soi et autrui). Les utilisateurs doivent en être conscients, être responsables, et cesser de tout mettre sur le dos des autres.
On parle de ce type d'attaques car elles touchent beaucoup de monde d'un coup, mais croire que les attaques sur compte unique n'existent pas, c'est se voiler la face. Y en a tous les jours, et j'en ai connu personnellement (en particulier une personne qui a perdu l'accès à son compte email et n'a même jamais réussi à le récupérer). Simplement certes les journalistes en parlent moins parce qu'on va pas faire un article chaque fois qu'un quidam quelconque perd son accès à un service (y aurait des articles tous les jours!), sauf lorsqu'il s'agit de personnalités, dissidents politiques, espionnage, journalistes, politiciens (ce sont juste quelques liens que j'ai trouvés en faisant une recherche vite fait. Je ne suis pas certain de la pertinence de toutes ces affaires, mais on en trouve pleins d'autres du genre. Y a l'embarras du choix)…
Une simple petite recherche sur un moteur de recherche avec "compte email hacké" retourne pleins d'articles et d'histoires persos sur ce sujet, de fils de discussions sur des forums regorgeant de gens à qui c'est arrivé (pas des personnalités, ça arrive à tout un chacun même si on ne parle dans la presse que des cas où une personnalité est touchée), et pleins d'articles sur comment récupérer un compte compromis.
Une grosse partie des compromissions ne se passent pas côté serveur, mais bien côté client, et ce quotidiennement. Simplement on n'en parle pas car ça fait moins jazzer dans la presse que X millions de comptes d'un seul coup. Alors non, toute la chaîne est important. Et justement promouvoir la sécurité seulement d'un côté, faire porter toute la sécurisation sur le "service" et ses admins/dévs, et dire aux utilisateurs que tout va bien, et de continuer comme ça, c'est justement irresponsable.
Sur ce, ce sera mon dernier message sur le sujet.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Quelques règles de base pour vos mots de passe
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 4.
Heureusement que j'ai dit explicitement:
Donc non, je ne cherche nullement à culpabiliser les utilisateurs, bien au contraire. Je ne dis d'ailleurs jamais qu'ils sont responsables de l'attaque ou du vol de données, ou de l'usurpation de compte, ou de quoi que ce soit du genre. Je dis qu'ils sont "responsables de leurs actes", et surtout "responsables" (tout court: des êtres responsables). C'est pour moi quelque chose de très important et de fondamental de responsabiliser les gens. C'est le même mot, mais avec un sens bien différent (notamment positif plutôt que négatif).
C'est ce qu'essaient de faire beaucoup de sites de nos jours, avec des règles sur les mots de passe de plus en plus restrictifs (longueur minimum, mot de passe avec au moins majuscule, minuscule, nombre, caractère spécial…). Et en général, ce que j'entends quand un site essaie de "sensibiliser" ainsi les utilisateurs, c'est "tain ils sont chiants, ça me force à créer un nouveau mot de passe plutôt que mon mot de passe habituel".
Quelqu'un citait même les impôts qui avaient tenté l'expérience de l'identification par clé et se sont retrouvé à être obligé de faire marche arrière car beaucoup de gens ne comprenaient pas.
Le problème est que dès qu'un site essaie de sensibiliser à de meilleures pratiques ou de leur proposer des systèmes d'identification plus sécurisés, beaucoup se plaignent. Un mot de passe par contre, ça oui tous comprennent. Et de préférence, simple, et qu'ils pourront dire à tout le monde (ça me tue toujours les gens qui me donnent leur mot de passe pour utiliser leur ordinateur ou leur boîte email).
Oui et les développeurs et admins essaient d'améliorer les choses (la sécurité est quand même vachement mieux de nos jours, globabelement, qu'il y a quelques années), mais la sécurité n'est pas encore parfaite (et ne le sera sans doute jamais). Alors on fait quoi? On critique les admins et développeurs en leur mettant tout sur le dos et en les traitant d'incapables car ils ont pas encore réussi à trouver le système idéal? Ou en attendant ce jour (totalement hypothétique), on prend un peu sur soi, on fait un effort et on est "responsable"?
Quand on achète une serrure moderne ultra-sophistiquée, on s'attend quand même à ce que vous preniez le temps de fermer la porte à clé en sortant (sinon la serrure sert à rien). Ou on achète une porte qui ferme en claquant, ce qui simplifie beaucoup, mais le jour où vous avez oublié la clé à l'intérieur, vous maudissez le fabricant d'avoir fait ce système. Et si vous avez une serrure biométrique, j'ose espérer que vous n'avez pas d'objet suffisamment de valeur pour donner envie à un voleur de vous arracher votre œil ou de vous couper le doigt (et même sans ça, les empreintes biométriques restent falsifiables). Y a pas de système parfait si on veut sécurité et confort d'utilisation.
Conclusion: personne ne culpabilise ou ne rend responsable les utilisateurs des méfaits perpétrés par des malfrats. Mais on veut rappeler qu'ils sont tous des êtres responsables (tout court) et qu'ils doivent agir en tant que tel. Et donc on les sensibilise aux pratiques de sécurité basiques, notamment en écrivant cet article sur linuxfr.org. C'est donc exactement ce que tu demandes!
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: haveibeenp0wned.com
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 3. Dernière modification le 08 mars 2016 à 00:30.
Oh ok. J'avais lu ça ("Microsoft MVP for Developer Security") et avais cru qu'il s'agissait d'un type de poste employé. Y a un admin pour mettre ça à jour?
Merci pour la correction.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Mots de passe et imprécisions...
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 4.
Oui, ou même une erreur de ma part, plutôt qu'une confusion. Je voulais bien entendu dire les rainbow tables, pas hash tables qui sont en effet juste une structure de données qu'on utilise souvent en programmation.
Pour le reste, je crois que tu es plus calé que moi sur ce sujet (initialement je voulais même pas l'écrire cet article, mais ça n'intéressait personne visiblement. J'espérais plus de contributions).
Je n'ai pas envie d'encombrer l'article d'un passage beaucoup trop technique (qui va très bien en commentaire par contre, merci), par contre ce serait bien de remplacer mon texte erroné par une version simplifiée de ton texte. Si un admin passe dans le coin, ce serait possible?
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: "Nous" ?
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 10. Dernière modification le 07 mars 2016 à 14:07.
Ça dépend. De désinstaller pour réinstaller, ça pas de problème. Même les dévs de Mint conseillent de tout supprimer, s'il y a le moindre doute. Par contre bien sûr, ces derniers sous-entendent: tout supprimer pour réinstaller.
Là où je te rejoins, c'est qu'il est délicat de proposer de supprimer pour réinstaller une autre distribution, ce que je fais sur la fin. J'ai longtemps hésité si je devais faire cette suggestion ou pas. Mais à un moment donné, je me suis dit qu'il fallait être honnête avec moi-même. Personnellement je n'installerai plus Mint ni ne le conseillerai pour un petit bout de temps. Par contre je me tiendrai au courant et il n'est pas impossible que j'y revienne un jour. Mais dans l'immédiat, la confiance que je leur ai accordée à une époque a été ébranlée. C'est vraiment purement technique, rien d'émotionnel. Je serais heureux d'en discuter autour d'un verre avec un dév Mint. Je trouve toujours leur projet sympa, ainsi que les divers logiciels qu'ils ont créé, et je leur souhaite vraiment du succès. Je suis désolé pour eux, car c'est une position difficile. Mais je dois faire preuve d'honnêteté intellectuelle: je ne m'installerai plus de Mint pour l'instant, et ce serait donc malhonnête (et même presque malveillant) de prétendre que tout va bien et de conseiller aux autres ce que je refuserais pour moi-même.
C'est donc ma position, et le raisonnement qui m'a poussé à ce conseil, même s'il n'est peut-être pas justifié techniquement (mais justement c'est aussi ça le problème: on a du mal à le savoir. Trop de choses sont encore passées sous silence dans les journaux officiels de Mint, comme je le note dans la dépêche).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: "Nous" ?
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 5.
En effet, le "nous", c'était "les contributeurs à la dépêche sur linuxfr" (c'est à dire la citation de MarbolanGos juste au dessus!). Je n'ai aucun lien avec Linux Mint, si ce n'est que j'en ai été un utilisateur à un moment donné, et que je trouve qu'il est important de relayer cette information (pour les gens sur linuxfr qui ne lisent que la première page).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Quelques règles de base pour vos mots de passe
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 5.
Clairement. Et ça va pas aller en s'améliorant avec des machines de plus en plus puissantes (même si les processeurs s'améliorent moins vite maintenant, le nombre de cœurs eux augmentent).
Je suis d'accord. Malheureusement la solution viendrait surtout des systèmes de login centralisé (qui a aussi ses problèmes), et sur le coup, seuls les gros services propriétaires (Facebook, Google…) ont réussi à s'y faire une place. Même Mozilla a essayé et vient d'abandonner. Donc il n'y a encore rien de viable (l'alternative "service proprio" n'étant pas considérable comme "viable" pour moi).
Alors comme je disais dans mon article, ce n'est pas seulement la faute des utilisateurs, mais chacun a sa part de responsabilité. C'est trop facile de rejeter le blâme sur "les autres" et de considérer l'informatique comme "magique", et que ça devrait marcher "tout seul". Non, ce n'est pas comme ça que ça se passe.
Par exemple je disais que les systèmes de login centralisé ont aussi leur lot de problème. Il y en a surtout un, majeur: un tel système est un "single point of failure" (point central d'échec?). S'il se fait trouer, un attaquant a accès à l'ensemble de vos services et données! Or que se passera-t-il au moment où un tel système est utilisé par tous? Les gens mettront-ils soudainement un mot de passe très fort sur ce point central? Pour beaucoup, non bien sûr que non! Ils continueront avec leur mot de passe à 5 caractères, qui est le nom du chien. Donc ça restera un très gros problème, peut-être pire.
D'ailleurs je suis sûr que la plupart des gens ont des mots de passe bidons sur leur compte Facebook ou Gmail, alors que ce sont déjà des systèmes de login centralisé.
En outre, je n'ai pas vu les utilisateurs se précipiter dès qu'on essaie de leur proposer des alternatives, que ce soit OpenID, Mozilla Persona, connexion validée par IM/XMPP… La plupart restent bien au choix avec leurs mots de passe faibles.
Enfin si tu parles de connexions avec clés, le problème est que la plupart des utilisateurs trouvent cela trop compliqué et ne veulent simplement pas utiliser (il faut mettre la clé sur un support portable, genre clé USB, pour utiliser sur un autre ordi, vous vous rendez compte! Et encore ça c'est quand ils ont fait l'effort d'essayer). Même les dévs sur github, environ 30% n'auraient pas de clés (ce que l'auteur de l'article trouve bas, mais que je trouve haut car je me vois pas taper mon mot de passe à chaque
git push). Donc on en est à chercher soit des systèmes que les utilisateurs comprennent (les mots de passe), soit à trouver des systèmes plus simples mais qui d'une manière ou d'une autre vont enlever un peu de liberté aux utilisateurs (comme les propositions d'avoir une identification "nationale", genre avec une puce dans la carte d'identité, ce qui veut dire que toute connexion avec serait traqué par le gouvernement, ou à l'heure actuelle les identifications par grosses sociétés qui traquent aussi, mais pour la publicité ciblée).Donc non, c'est trop facile de dire qu'aucune faute ne va aux utilisateurs. Ils sont encore (pour le moment) libres de choisir et ils font des choix, tous les jours. Cette façon de voir est trop asymétrique, si ce n'est dangereuse: aux uns (utilisateurs), on leur dit qu'ils ont bien le droit de ne pas réfléchir du tout et que d'autres devraient réfléchir à leur place (ce qui, selon moi, est une autre façon de leur dire qu'on veut leur enlever de la liberté); aux autres (développeurs et admins), on dit qu'ils sont vraiment trop des incapables — si ce n'est des idiots — de pas avoir encore trouvé le système de login idéal pour sécuriser complètement les connexions du premier groupe qui ne devrait pas avoir à réfléchir.
Ce n'est pas ma vision du futur idéal (bien qu'on ait l'air de s'y diriger).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Confusion entre empreinte et signature
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 2.
C'est vrai. Un admin dans le coin? :-)
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Comment détecter une intrusion ?
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Linux Mint a été compromise. Évalué à 9.
Comme notent d'autres, il existe des méthodes. En fait pleins à différents niveaux. C'est pour ça que je dis dans la news:
Car les admins ont quand même pas mal de possibilités de savoir ce qu'il se passe d'anormal sur un serveur en temps réel, et je dois dire que j'ai trouvé ceux de Mint un peu légers sur le coup. Comme je le dis, je ne suis pas du tout expert en sécurité non plus, ni admin de formation, et je ne doute pas une seule seconde que je puisse me faire trouer aussi. Mais je mets tout de même un minimum de sécurité et j'ai pas l'impression qu'ils en aient mis la moindre. J'ai un serveur perso qui me sert à héberger des sites web de projet ou associatifs, des emails, etc.
Bon déjà j'ai fail2ban, que d'autres ont cité. Ça réduit les attaques de type "force brute". J'ai des règles très strictes pour SSH (je sais plus, probablement 3 tentatives seulement. On s'attend à ce que quelqu'un avec un accès SSH ne perde pas son mot de passe. D'ailleurs il devrait plutôt utiliser une clé). Un peu moins strictes (mais un peu quand même) pour IMAP (soyons un peu plus souple avec les utilisateurs IMAP qui peuvent être moins techniciens. Mais pas trop quand même. Au pire, l'utilisateur a son IP bloquée et il me contacte pour me demander de le débloquer). Des règles pour le HTTP (essayer de contenir un peu les DOS et autres bots un peu insistants), des règles sur les POSTs, des règles spécifiques Wordpress (tentatives de connexion répétées…), etc. On peut déjà pas mal limiter la casse avec fail2ban.
Ensuite ça limite pas tout, par exemple si quelqu'un connaît déjà une faille particulière sur une plateforme (Wordpress ou autre) et n'a donc pas besoin de tester des injections SQL sur tous les formulaires avec un bot, etc. alors il ne sera pas détecté par fail2ban. Par contre si ça lui permet disons de changer des fichiers sur le serveur, on peut avoir un script qui surveille les fichiers du site web et envoie une alerte au moindre changement de fichiers. On pourrait d'ailleurs imaginer la même chose pour les pages vitales (comme la page de download) en base de donnée: chaque modif du texte envoie un email à l'admin (le seul qui aurait le droit de toucher la page). Si c'est lui qui vient de l'effectuer, il ignore l'email. S'il n'a pas touché à la page, il sait immédiatement qu'il y a un problème.
Pour revenir sur les connexions SSH, car c'est un des nerfs du système, je reçois un email à chaque connexion SSH réussie (donc si je me suis pas connecté et que je reçois un email, je sais immédiatement qu'il y a un problème, puisque je suis le seul avec un accès). Bien sûr, je suis le seul admin sur mon petit serveur. S'il y avait 5 personnes avec accès au serveur (je ne parle pas d'un serveur avec accès simple-utilisateur, mais bien d'un serveur vital, genre pour les emails, le site, etc. Y aura jamais beaucoup de personnes autorisées sur celui-là) on peut imaginer alors un système un peu plus complexe en 2 temps, comme la réception d'un email automatique par cette personne seulement et l'obligation d'y répondre en moins de 5 minutes sinon tous les admins reçoivent une alerte à leur tour.
Ensuite root: je reçois aussi un email à chaque login root, avec le nom de l'utilisateur d'origine (y a plusieurs moyens de connaître cette info, comme
logname, etc. Aussi je précise que la connexion SSH en root direct doit toujours être interdite sur un serveur. Ça permet notamment de savoir qui est l'utilisateur de base, par exemple pour détecter les montées de privilèges). Même une connexion sudo pourrait générer des emails automatiques.Quant à un dump de base de données, je n'y ai jamais pensé et me rend compte que je n'ai rien fait, mais je suis sûr qu'il doit y avoir aussi moyen aussi de générer une alerte automatique à chaque tentative de dump. Vous pouvez ignorer votre message hebdomadaire (ou quotidien, pour un gros service) de backup, mais si vous recevez un message hors du créneau habituel, vous savez que quelque chose de louche est en train de se passer sur votre serveur.
Etc. etc. Les idées ne manquent pas au niveau administrateur pour détecter des choses qui ne devraient pas se produire sur un serveur. Le fait est qu'on n'est pas trop censé toucher un serveur en production. Donc dès qu'il y a une activité un peu inhabituelle, c'est assez facile à détecter, et envoyer des alertes à chaque mouvement n'est pas overkill selon moi. Surtout lorsqu'on a juste quelques serveurs, comme c'est probablement le cas de Mint (je doute qu'ils aient 1000 serveurs en production). Ensuite oui si vous avez des centaines de serveur, vous ferez les choses différemment (enfin probablement similaire, mais vous voudrez pas recevoir des emails pour un oui ou pour un non. À ce moment, vous pouvez avec des scripts un peu plus ciblés, des interfaces de gestion de votre parc pour gérer les alertes, etc.).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: droit d'auteur
Posté par Jehan (site web personnel, Mastodon) . En réponse au journal Trivabble : jouez au Scrabble ® en ligne. Évalué à 5.
Comme dit Francesco, le problème n'est pas de savoir qui a raison, mais de savoir que ça se fait. Plein de boîtes ont attaqués pour bien moins que ça. Et le jour où ça t'arrive, tu t'en fous de savoir au fond de toi que cette attaque est absurde et que tu as raison: tu es attaqué en justice, c'est tout. Alors certes, tu peux potentiellement gagner, et ce faisant, récupérer des dommages et intérêts, mais ça n'enlève pas des années de stress (car ça dure longtemps en général), de temps perdu, etc. Et surtout d'argent perdu entretemps, à tel point que beaucoup de "petits" ne vont pas au bout des procès simplement car ils n'ont simplement pas les sous pour payer les avocats (technique classique d'une grosse boîte pour en ruiner une petite: on l'attaque en justice, même si les chances de perdre sont grandes, car on estime qu'on arrivera à couler financièrement la boîte avant que le procès arrive à sa fin).
Je conclurai en étant d'accord avec toi: il ne faut pas être parano. Ce que je dis n'a pas pour but d'être sans-cesse sur le qui-vive et d'avoir peur pour tout et rien. On a une idée, un projet, faut tenter et foncer! Je suis 100% d'accord, et j'encourage les gens de réaliser leurs passions plutôt que rester passif. Par contre si dès le départ, on part sur une copie d'un projet existant, alors là c'est un peu donner le bâton pour se faire battre. Avis perso. :-)
J'ai moi-même connu ça. Quand j'étais mineur et à peine arrivé dans l'univers de l'informatique, j'avais commencé à rentrer dans une équipe de développement de gens qui voulaient faire un jeu basé sur l'univers Star Wards. C'était purement communautaire, et il n'y avait pas idée de faire de l'argent dessus du tout non plus. C'était juste des fans de SW qui voulaient faire un jeu. Hop quelques mois après, courrier d'avocats de LucasArts, projet démantelé. Ce genre d'exemple est légion: des gens aiment un jeu, un univers, etc. Ils font un produit dérivé communautaire dans l'euphorie et se prennent des avocats aux fesses. Alors certes, faut pas être parano; mais faut pas être aveugle ou naïf non plus. :-P
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: droit d'auteur
Posté par Jehan (site web personnel, Mastodon) . En réponse au journal Trivabble : jouez au Scrabble ® en ligne. Évalué à 5.
Ça n'entre pas en ligne de compte dans le droit d'auteur. S'ils veulent t'attaquer, ils peuvent. Ensuite même si le juge irait probablement en faveur de l'attaquant (tu fais une copie claire et assumée) , il ne demanderait pas beaucoup en dommage et intérêt si t'as pas gagné un kopeck. Donc ça vaut sûrement pas le coup pour cette société et donc dans les faits, ils ne t'attaqueraient que si ton projet commençait soit à avoir une certaine renommée soit si tu te décidais à faire des sous avec.
Bon par contre, il est toujours possible que tu te prennes une lettre d'avocat pour te faire peur et te faire retirer le projet sans pour autant aller jusqu'au tribunal.
Au final ça veut dire que ton projet est destiné à n'avoir jamais de succès ou à être à haut risque légal pour toi.
S'ils veulent éviter les problèmes, ils font des règles légèrement différentes, ils prennent un nom le plus différent possible; ou ils disent qu'ils se basent sur un jeu plus ancien (beaucoup de ces jeux de marques sont en fait eux-même des copies de jeux anciens), etc. Et puis simplement ils ont peut-être simplement la "chance" de pas faire le buzz; mais s'ils devenaient répandus, ce n'est pas dit que certains ne se feraient pas attaquer en justice (même avec des règles légèrement différentes et avec la pré-existence d'un jeu ancien, des ayant-droits peuvent tenter l'attaque, et — qui sait — gagner).
Jouer avec l’ambiguïté du droit d'auteur, c'est toujours se mettre soi-même une épée de Damoclès au dessus de la tête. Dans 99% des cas, ça passe (car 99% des projets ne font jamais de vague et restent très "confidentiels". 99% étant un nombre tiré de mon chapeau, ça pourrait être moins ou plus, mais on voit l'idée), mais ça veut pas dire que vous serez pas dans les 1%.
C'est pourquoi il vaut mieux ne jamais copier un jeu existant, mais en créer un. C'est toujours mieux. Et puis franchement c'est bien plus sympa pour toi aussi, non?
Enfin bon, pour finir sur une note positive, j'ai jeté un œil, c'est simple mais ça a l'air de faire son boulot. Dommage juste qu'il y ait encore et toujours des problèmes de droit d'auteur, dans un système pourri jusqu'à la moelle.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: bravo !
Posté par Jehan (site web personnel, Mastodon) . En réponse à la dépêche Sortie du noyau Linux 4.4. Évalué à 3.
Pour les mots techniques qui n'ont pas reçu de trad "officielle", ma suggestion est de garder l'anglais en italique avec une tentative de trad entre parenthèse (ou l'inverse).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: de l'interet du lecteur DVD partagé
Posté par Jehan (site web personnel, Mastodon) . En réponse au message Serveur de fichiers maison. Évalué à 2.
Au sujet du scanner, un petit ajout: le seul cas chiant pourrait être si on veut scanner plusieurs pages. Faire des AR serait alors chiant si c'est une autre pièce par exemple. Mais y a plusieurs solutions:
Oui en fait, c'est vrai que même le lecteur DVD, c'est pas mal de partager en fixe sur un serveur (c'est possible?). Ça lui donne une place fixe et évite de le chercher des heures si un membre de la famille/l'entreprise l'utilise. En plus le lecteur portable qui se balade entre tous les membres d'une famille, c'est un coup à le faire tomber et le péter.
Oui j'en ai plus sur mon portable. Et je crois que ça m'ait arrivé qu'une seule fois dans l'année passée d'en avoir eu besoin (on m'a prêté un DVD et j'ai pas pu le lire).
D'ailleurs c'est possible de partager un lecteur DVD en réseau? Si quelqu'un a des infos là-dessus, je suis preneur. Un jour peut-être si l'utilité m'en venait…
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: de l'interet du lecteur DVD partagé
Posté par Jehan (site web personnel, Mastodon) . En réponse au message Serveur de fichiers maison. Évalué à 4.
Bon ça dépend du nombre de personnes pour un scanner. Alors certes un scanner pour 500 personnes, ça va vite poser problème. Mais un scanner pour 10, même 30 personnes, c'est franchement suffisant. Pour la fois sur 100 où y a un problème (quelqu'un qui veut utiliser le scanner au moment où tu en as besoin), ça reste un deal raisonnable. Bon à part peut-être si c'est une entreprise où plein de gens ont besoin du scanner tout le temps… Au final tout dépend du cas par cas.
Donc dans une utilisation familiale comme là, même si c'est peut-être une grand famille, on va quand même pas acheter un scanner par membre!
Pour le lecteur USB, je suis probablement plus d'accord, mais surtout car c'est petit et léger. Donc c'est plus pratique de le trimballer en USB. Mais notre scanner A3, je me vois certainement pas l'utiliser en USB, se faire chier avec des cables, et le trimballer sur les divers ordis! Il est très bien en réseau!
Disons que je suis pas d'accord avec la comparaison quoi. :-)
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Merci pour vos reponses
Posté par Jehan (site web personnel, Mastodon) . En réponse au message [resolu] Paquets à conseiller pour création d'illustrations et printables. Évalué à 2.
Ok, ça dépend vraiment ce que tu veux faire, mais non si on parle d'illustrations et d'imprimables sérieux (de qualité un minimum pro, comme un graphiste, même amateur, voudrait faire), LibreOffice est certainement pas dans ma liste de logiciels à utiliser.
Attention, j'utilise LibreOffice, je fais des dossiers et autres docs du genre dont franchement l'approximation visuelle du résultat final me convient: quand je mets un visuel dans un doc de 10 pages de textes pour envoyer à des administrations qui de toutes façons s'en fichent complètement, je le place un peu au hasard à la base de toutes façons. "Hop, par là, ça a l'air d'être à peu près le milieu."
Alors c'est peut-être ça qui était demandé en fait; et dans ce cas là, ok. Mais s'il s'agit plutôt d'affiches, prospectus, de petites brochures ou trucs du genre, et qu'on veut un minimum de qualité, précision, etc. Notamment si on passe par un imprimeur pro. Alors non, sûrement pas LibreOffice.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
# Problème (peut-être) classique
Posté par Jehan (site web personnel, Mastodon) . En réponse au message aide CUDA linux. Évalué à 5.
Salut,
Dans la seconde partie du post, tu parles de logiciels test qui foirent. Donc peut-être as-tu vraiment des problèmes avec tes drivers, je sais pas.
Mais sinon, peut-être que ton driver est bien installé, et tu rencontres un problème assez classique de Blender qui ne voit pas ta carte pourtant parfaitement installée et fonctionnelle. Je l'ai eu aussi sur un ordi.
De mémoire, un "truc" qui marchait bien — et attention, c'est sale et horrible — c'est de lancer une fois blender en root. Blender détectera la carte à ce moment là. Puis après en lançant blender comme un utilisateur normal à nouveau, cette fois, ça détectera aussi. Oui, ce comportement est ridicule et incompréhensible, mais apparemment avec certaines versions du pilote, CUDA n'est disponible pour les utilisateurs "normaux" que si tu as d'abord exécuté du code CUDA en root. Tu n'as donc pas à lancer blender en root forcément. Tu peux lancer n'importe quoi d'autre avec du code CUDA en root, pour qu'après tout logiciel utilisateur ait aussi accès à CUDA.
Après une petite recherche, j'ai trouvé ce post qui réexplique notamment ce contournement de bug du pilote.
Un autre truc — il me semble, toujours de mémoire — est que Blender n'est pas forcément compilé avec toutes les options. Les paquetages de distribution sont typiquement décevants sur ce type de logiciel où on aimerait vraiment avoir le maximum d'options avancées dispos. C'est donc aussi possible que ta distrib livre un Blender compilé sans support CUDA (oui c'est triste, surtout pour un tel logiciel, mais il me semble avoir eu le cas). Il est souvent préférable d'utiliser les versions de Blender en téléchargement sur http://blender.org. C'est dommage, car ça casse complètement l'intégration (non dispo dans les menus, ni par double clic sur un fichier, etc.), mais de toutes façons, quand tu utilises Blender, tu en viens souvent à vouloir la dernière version.
Une autre solution est de compiler Blender toi-même avec toutes les options que tu veux, dont le support CUDA. Mais c'est pas forcément à la portée de tous (enfin sans trop de prise de tête quoi).
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]