octane a écrit 865 commentaires

surtout si on n'a pas besoin de ses spécificités

ah bah oui, forcément, du coup, c'est valable pour tout, non?

Je n'ai pas besoin de 'xxx', donc l'installer c'est une surface d'attaque supplémentaire.
Je n'ai pas besoin de firewall, car l'installer c'est une surface d'attaque supplémentaire.
Je n'ai pas besoin de sudo (car mes users ont tous le mot de passe root), donc c'est une surface d'attaque supplémentaire.

Sinon, ouais pour moi, sudo limite bien. On peut donner des droits réduits à 1 user sans lui filer les clés du chateau. bon après, y'a des vulns, certes. Le kernel linux a des vulns aussi.

switch (xkcd_221.getRandomNumber()) {

héhéhé, je crois que ton switch case est biaisé :D "fair dice roll"

ce qui est fou, c'est que je n'ai même pas eu besoin de vérifier que c'était bien celui-là :D

Et si l'on veux vraiment limiter la surface d'attaque on installe pas sudo.

wut? sudo est un outil qui sert à réduire la surface d'attaque. Je veux bien un peu plus d'explications là.

Ce que je lis, c'est un pilote de formule 1, qui explique qu'il est mieux que la majorité de la plèbe, que lui, il optimise les trajectoires pour grapiller quelques secondes à chaque tour.

oulà, non. Juste un pilote qui aime réfléchir à ses trajectoires.

Et après ça, le pilote méprise les livreurs, routiers, ambulanciers et autres taxis, ces gens "sans âmes à 70 de QI [cf]", qui conduisent mollement.

Ah non, c'est moi qui dit avoir 70 de QI, je ne juge pas les autres. Après s'être rendu compte qu'optimiser des trajectoires ça me plait, on me dit que rouler à 10 à l'heure sur une ligne droite, ça va être mon boulot, désolé d'être déçu, hein.

Mais réfléchir pour modifier progressivement une architecture complexe et la corriger tout en respectant les contraintes opérationnelles, là, il n'y a plus personne.

ah bah si, ça m'intéresserait. Là, on me demande d'utiliser l'existant ou d'ouvrir un ticket chez le prestataire si ça va pas.

C'est, quelque part, encore un enfant. Les licornes n'existent pas. Bienvenue chez les adultes.

c'est triste ton avis sur les licornes. Bon, je vous laisse, faut que je finisse mon quatre heures et je dois aller ranger mes peluches avant de faire mes devoirs du soir, maman va bientôt rentrer.

Je comprends aussi qu'on reste dans un job dont le fond est devenu ennuyeux, mais dont les à-côtés sont confortables. Sans parler de la difficulté à trouver un autre job correspondant à nos autres critères, mais avec le fun en plus. Dans ce cas, acter que le job est devenu d'un ennui total, voir ce qu'on peut négocier là dedans, voir même si on ne peux pas se libérer du temps (bosser un jour de moins ? Dans une autre équipe ? Disparaitre discretos durant les séminaires imposés après avoir émargé ? Prétendre prendre des notes en réunion alors qu'on écrit des poèmes d'amours à son algorithme préféré ?). Et surtout trouver à côté, dans le reste de sa vie, de quoi se nourrir. Généralement en trouvant des projets sympas où participer bénévolement.

ouais, j'ai négocié du temps de travail en moins (je suis environ à 80%), donc j'ai gagné du temps.

Mais ce bonheur, ce flow, quand les choses s'alignent et que je comprends comment tout s'emboite, comment mettre les choses en place, oui. Je ne sais pas comment on peut tenir le coup si on n'a pas ce truc régulièrement. Donc je te souhaite vraiment de retrouver comment mettre ça dans ta vie.

je suis ok avec ça, merci

Avec l'arrivée de l'IA, je viens de comprendre reellement ce que "pisser du code" veut dire. Sauf que je ne pisse pas. Je ne fais que tenir le sexe de l'IA à ce stade.

C'est grossier, mais très évocateur. Je la ressortirai celle-là :)

oui, android a le MTE, il manque tout le reste :-)

ouais, c'est très fort. Avoir ça sous linux, c'est compliqué. Apple maîtrise le hardware+software. Donc il faudrait un linux qui utilise le hardware pour tagger ses pointeurs, ça semble pas possible d'ici demain (ou après demain).

Globalement, les vulns de sécu les plus violentes, ce sont les corruptions mémoire: un attaquant réussit à lire ou écrire ailleurs que dans le buffer prévu. De là découle tout plein de vulns: historiquement stack overflow, puis tous les overflow (heap), et le reste, Use after free, etc…

Si déjà tu réussis à empêcher un programme d'écrire (ou lire) là où il devrait pas, c'est super \o/ En plus, avec les MTE, tu rends la tâche d'un attaquant très très pénible, car suite à la corruption mémoire, ton attaquant voudra réé-écrire des pointeurs lui même (vers du code, ou une autre zone mémoire, etc..). Et là, deuxième clou dans la chaussure.

Bref, comme le dit ton communiqué, tu as apple qui fait face à des développeurs d'un niveau étatique qui ont des millions de dollars pour développer des exploits. Ils peuvent pas se satisfaire d'un simple "langage sécurisé".

Le dossier de developpement de(s) site(s) web sous linux semble etre /var/www.

C'est juste une convention, à toi de voir si tu veux la suivre ou pas.

Quels sont les inconvénients d'utiliser /home/$USER/www a la place ? Est-ce que ça viole une régle ? De sécurité ?

non aucune. Mets bien ce que tu veux ou tu veux en fait. Après, comme plein de docs suivent cette convention, ben c'est plus simple à suivre plutôt que de faire des translations à chaque path.

Est-ce qu'on peut trouver un débat sur cette question quelque part ?

Peut-être dans le FHS? https://fr.wikipedia.org/wiki/Filesystem_Hierarchy_Standard

Orange propose peut-être une supervision H24? et ouais, un kill switch, ça peut être super pratique pour isoler un poste du réseau afin de faire des levées de doute (ou pour les isoler avant nettoyage).
JSP, je suis pas chez orange, mais ça m'étonne pas vraiment. Je dis pas que c'est bien, je sais pas trop comment faire.

Tu as un beau parc de machines avec un OS libre et sécurisé.

Windows? libre et sécurisé? :-o

Tu vends de la souveraineté à tes clients. Puis tu mets module kernel (ou un agent qui tourne en root) privateur par une société US dessus.

Il y a des EDR bien franco-français pourtant? Après, c'est compliqué: si tu tournes pas en root, tu es condamné à te faire dégager/contourner par le premier malware venu. Si tu es en kernel/root, tu es condamné à te faire dégager/contourner de manière subtile par un malware intelligent. Au moins, tu as amélioré sensiblement ta sécurité :)

Bien sûr cela va avec l'inculture d'entreprise où les utilisateurs sont vus comme des enfants qu'il ne faut pas éduquer

AAAAAhhhh! Je bouffe 4 exercices de phishing par an car il faut EDUQUER l'utilisateur. Il faut NOUS FAIRE COMPRENDRE que LES LIENS sur internet C'EST LE MAAAAAAAAL!!!!
j'en peux plus. Le dernier analyste que j'ai croisé m'a dit qu'il ne fallait pas flasher un qrcode car un MAICHANT pirate pourrait avoir caché un 0day derrière un qrcode. OMG! un méchant pirate qui va aller coller des stickers dans des menus de restos pour y foutre son 0day (j'y crois pas une seconde et je suis prêt à flasher tous les qrcode du monde entier). quand je lui ai dit qu'il existait des 0day 0-click sur android et qu'il était une cible meilleure que moi, il m'a dit que lui, il faisait attention :D

mais le passage d'une certification / audit.

ah bah ça (gif du monsieur qui regarde désabusé et déçu)

Pour l'avoir tu installes des deux antivirus, trois firewalls et quatre EDR/XDR sur chaque poste.
Ah par contre le serveur ldap n'est jamais patché (il faudrait refaire un audit).

Ah bah ça…

J'ai vu un rapport d'audit sur un serveur. globalement:
- l'admin est faite en https et on a audité les ciphers SSL -> c'est solide (et c'est tout ce qui a été audité…)
- il y a 8 ports TCP ouverts, un seul est connu, le 22 et on a vérifié, c'est ssh -> donc c'est solide. (les autres? bah aucun commentaire)
- l'éditeur du soft est une boite avec pignon sur rue (WTF??) -> c'est solide
- La configuration est sauvegardée en AES-256, c'est les bonnes pratiques -> c'est solide
conclusion: all good, on peut le déployer en prod, allez-y les gars.

Les EDR/XDR sont déjà des aberrations pour la sécurité en entreprise

je suis curieux de connaître ton opinion là dessus (vraie question). Pourquoi est-ce une aberration?

Brèfle, comme ne disait pas Pépin vu que j’ai inventé le mot

alors à priori je l'ai déjà lu dans San Antonio. Ou alors c'est une ref que je rate (?)

Je pense que tu es dans la catégorie "programmer/engineer" :-)

Ça n'est pas évident à suivre parce que ça évolue à une vitesse vertigineuse, mais le fonctionnement d'une IA récente n'a plus grand chose à voir avec les chatbots d'il y a 3 ans. C'est toujours un peu basé sur le même principe, mais il y a des surcouches très complexes qui font que non, les IA ne sont pas du tout des machines à recracher. Il y a eu ces derniers mois des progrès qualitatifs sur les benchmarks sophistiqués (construits sur des problèmes originaux qui ne sont pas dans les données d'entrainement), et il semble que les experts trouvent de plus en plus dur de trouver des tâches où l'humain est supérieur. Donc oui, la recherche en IA progresse, non, les IA ne sont plus des machines à régurgiter.

je suis vachement open sur le sujet, et j'attends de voir ce que ça donne, mais je lis plutôt ce genre de documents: https://arstechnica.com/ai/2025/08/researchers-find-llms-are-bad-at-logical-inference-good-at-fluent-nonsense/

Sur le côté créatif, même les premières versions de chatGPT ont montré leur capacité à créer : de la musique, du texte, des images, des objets 3D, etc. Je trouve que la question ne se pose même pas, ces logiciels peuvent créer des "oeuvres" de manière bien plus efficace qu'un humain moyen

alors j'ai utilisé suno pendant un moment, je trouvais ça génial. Mais après quelques semaines d'utilisation, je me suis mis à "reconnaitre" le style. Et j'ai retrouvé sur youtube des musiques suno. C'est censé être original, c'est finalement une soupe assez moyenne (avis personnel hein).

(bien sûr, ça n'est pas du Zola, mais encore une fois le critère d'une IA n'est pas de surpasser le meilleur humain dans tous les domaines!).

ben si? je dis que les IA restent dans la moyenne (allez, moyenne haute) de l'humanité, et du coup c'est décevant.

Cette année, l'IA de Google a résolu 5 problèmes sur 6 des "International Math Olympiades", ce qui la classe dans les 30 premiers (c'est une compétition hyper-balaise). Les IA spécialisées ont le niveau des tous meilleurs mathématiciens du monde.

ça reste des problèmes d'entrainements, donc?

Le déni ne te mènera nulle part.

aucun déni de ma part. Par contre plein d'interrogations.

leur capacité à repousser quasiment tous les jours les limites de la complexité des tâches qu'on pensait pour très longtemps hors de portée d'un ordinateur.

ouais, je vois ça comme une asymptote. Ca s'est vite amélioré, ça commence à stagner, et j'ai l'impression qu'on survend la courbe de progression.

La difficulté, c'est de définir ce qu'est un raisonnement créatif pur. Il n'y a pas de définition formelle universelle.

c'est pourtant simple : un raisonnement qu'un LLM ne saurait reproduire :-)

Je dirais plutôt, c'est trouver une nouvelle solution à un problème.

global terminal war

"global thermonuclear war" si j'ai bien saisi la ref :-)

2) la vie de l'expert va constituer à serrer les fesses à la sortie de chaque nouvelle version, jusqu'au jour où la machine va commencer à devenir aussi performante

je m'intéresse à ce point. Et je crois que c'est un grand mensonge de l'IA (les LLM). On te fait croire qu'elle s'améliore, comme un sportif qui irait de plus en plus vite. Or, c'est faux. L'IA ne fait que régurgiter ce qu'on lui a donné à manger, en version étiolée/modifiée. Mais en raisonnement créatif pur, c'est le néant.

Je suis surpris qu'une IA n'ait pas encore résolu un problème de maths (genre problème du millénaire), ou que P=NP, ou genre de trucs. Coder une boucle en python, elle sait faire (mieux que la moyenne des gens). Etre expert en python, c'en est (très) loin.

Je pense que les experts sont au contraire très préservés. C'est du niveau de sportifs régionaux face à des champions du monde. C'est très bien, les régionaux explosent le contribuable moyen, mais il n'arrivera jamais au niveau d'un international.

Je crois qu'il y a un mensonge fondamental, avec ces "PHD level" ou "advanced reasoning capabilities". Ces LLM restent des perroquest stochastiques, dénués de créativité pour résoudre des problèmes dont ils ne connaissent pas la solution au préalable, dans la masse de ce qu'ils ont ingurgités. Je pense que ça peut aider dans certains cas, mais qu'il n'y aura aucune avancée phénoménale de faite via LLM.

Je peux même convoquer un exemple qui m'a marqué fortement : un étudiant (très bon, dans le top 5%), lors d'un projet de laboratoire (un tout petit morceau d'un sujet de recherche sur lequel un étudiant est assez autonome), je ne comprends pas les courbes qu'il montre, il faut les distinguer suivant un critère, je lui demande de refaire la figure (en live durant la réunion, juste la figure, pas tout le reste de l'algo de traitement de données), il le fait, je vois qu'il utilise l'IA gen à outrance (je n'avais pas mesuré à quel point). Ok, ça marche. Je lui demande de changer les couleurs pour distinguer deux conditions. Et là… catastrophe, le wifi saute. Il était incapable de changer les couleurs de courbes tracés avec matplotlib. Et ce qui me fait peur, c'est que c'était un des meilleurs étudiants.

C'est une vraie question, mais est-ce vraiment différent des autres avancées technologiques. Je me souviens d'un prof qui parlait de son vieux prof (oui y'a longtemps) et de l'arrivée des calculatrices. Le vieux prof se plaignait qu'aucun étudiant ne savait calculer, et pire, ne savait donner une grandeur estimée. Et il disait que c'était la ruine de l'existence. Plus jeune, je me souviens de hordes de prof vomir sur wikipedia en disant que plus aucun jeune ne savait réfléchir ou apprendre, et que toute question c'était clic clic wikipedia réponse et j'ai déjà oublié ce qui était demandé.

Aujourd'hui, je lis beaucoup cette critique, mais est-ce vraiment nouveau? Plus grave? Dangereux? je sais pas trop

En fait, ça peut être plus vicieux que ça. Scénario fictif:

Maderios reçoit en 20mn 4 SMS qui indiquent des demandes de virements avec des sommes élevées vers des comptes externes, genre: "Une transaction de 687,43€ attend une validation de votre part. Compte émetteur IBAN MrMaderios, compte destinataire IBAN MrVoleur" (bien entendu ces SMS sont tous fake, mais tu ne le sais pas et tu stresses un peu)
Tu es surpris, et tu te demandes un peu ce qui se passe

10mn après
- bonjour mr Maderios, je suis votre conseiller bancaire de la banque , nous avons des demandes suspicieuses de virement, pouvons nous d'abord vérifier votre identité, puis les paramètres de sécurité de votre compte.
- oui
- votre IBAN c'est bien le xxx? votre nom, prénom, adresse, donnez nous votre date de naissance. ok, tout va bien.

Et là, divers scénarios:
1/ Maintenant, allez dans les params de votre banque et faites
2/ votre carte est désactivée, un coursier va venir la chercher chez vous
2/a/ et il va vous péter la gueule jusqu'à ce que tu donnes le code
2/b/ et il va tirer à fond en sans contact
3/ autre idées

Bref, tu vois l'idée. Alors je sais, le premier réflexe c'est de dire "aha mais moi jamais je me ferais avoir!!", mais le pirate il s'en fout. Quand il a 6.4 millions de compte, il sait qu'un certain nombre va fonctionner et ça lui suffit.

Ils l'ont trouvé sur virustotal.

Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.

Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).

Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.

Bref, beaucoup de bruit marketing, peu d'infos techniques.

Alors revenons à la source:

https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/

qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.

Lisons un peu le site nextron-systems, ils ont découvert une autre backdoor PAM: https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux/ mais apparemment ça a fait moins de bruit.

Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.

PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:

# Prints the message of the day upon successful login.
# (Replaces the `MOTD_FILE' option in login.defs)
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session    optional   pam_motd.so motd=/run/motd.dynamic
session    optional   pam_motd.so noupdate

Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.

C'est en contradiction avec ce qui est dit:

Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.

genre le "traditional tool" apt ou rpm?

Pour l'instant, je m'inquiéterai pas trop en fait.

tu vas mettre une image de Charles Bronson à ton bot?

:D

chercher Prumpleffer

ça, ok

tomber sur le premier résultat « Le mot PRUMPLEFFER n'est pas valide au scrabble »

j'en peux plus de rigoler, ça fait du bien par cette chaleur.

opter pour le second résultat, trollomètre — Wiktionnaire, le dictionnaire libre

on se rapproche de mes vieux souvenirs

repérer la signature https://la.buvette.org/tech/reseau/prumpleffer-2.html

:-o

demander à archive.org de nous parler de feu la.buvette.org

Ouais, certains grands anciens se souviennent du vrai nom du trollomètre.

Et ce n'est pas pflumbfberger.

Et google ne servant décidément plus à rien, je ne retrouve pas le site qui racontait l'histoire de Hans Prumpleffer et de ses prototypes.

Fugit irreparabile tempus.

merci

( bon, bah je me sens un peu idiot de jamais avoir essayé de faire tab-tab après keepassxc )