Je m'étonne un peu de la publication de la faille et du script permettant de l'exploiter avant que les correctifs aient été intégrés par celles-ci. Les mainteneurs du noyau ont été avisés il y a un peu moins d'un mois mais seules les versions ≥ 7.0 semblent concernées.
Pour tester il vaut mieux utiliser d'autres scripts que celui fourni par le lien, par exemple : https://github.com/rootsecdev/cve_2026_31431
Ou mieux se contenter d'appliquer le contournement proposé si le noyau est listé comme vulnérable sur le site de la distribution.
En effet, j'ai cru comprendre que le script ouvrait un socket de communication pour passer en root. Dans ce cas, une fois le script exécuté, tous les utilisateurs non privilégiés sur la machine peuvent lancer su et devenir root sans mot de passe tant que le socket est ouvert…
Tout à fait. Extrait des CGU d'un banque proposant le service Wero :
Pour les besoins du Service Wero P2P, le client est informé que son
nom, prénom, date de naissance, pays de naissance, proxy1 et une
référence à ses coordonnées bancaires seront automatiquement
enregistrés dans l’annuaire EPI (ci-après dénommé « Annuaire »)
dans le but de permettre l’envoi et la réception d’argent de manière
fiable et sécurisée.
Oui mais à ce tarif là il faudrait vraiment en vendre beaucoup avec une très grosse marge (potentiellement un produit chinois contrefait avec un prix multiplié par au moins 4) et ne donner le bon d'achat qu'à une faible partie de la clientèle. Avec le risque d'être exclu de la plateforme en cas de plainte d'un client.
Donc pas sûr que le rapport bénéfices/risques soit en faveur du vendeur indélicat.
J'ai déjà entendu parler des cas similaires(*) mais avec des bons d'achat (ou remboursements) ne dépassant jamais la valeur de l'objet vendu.
De toute façon toutes ces plateformes regorgent de faux avis et ce n'est absolument pas un critère fiable pour faire un choix.
Si le client ne possède pas de téléphone intelligent ou ne souhaite pas utiliser l’application mise à disposition par sa banque, l’Observatoire de la sécurité des moyens de paiement (pdf) rappelle que "les utilisateurs doivent disposer de la liberté de choix de leur solution d’authentification" et que "les prestataires de services de paiement sont donc invités à offrir au moins une méthode alternative et gratuite à l’application mobile sécurisée".
Si la banque refuse de fournir une autre méthode, il faut la mettre face à ses responsabilités et envisager sérieusement d'en changer.
Faire signer une pétition qui demande un droit qui existe déjà risque de ne pas servir à grand chose. Dénoncer publiquement, et auprès des associations de consommateurs, les pratiques déloyales d'une banque serait sans doute plus utile.
Très mauvaise analogie.
La probabilité qu'un professionnel tombe d'un toit est la même à chaque fois qu'il y monte.
La probabilité de développer une maladie augmente à chaque exposition à la radioactivité (et aux toxiques en général).
Oui mais ce n'est pas un article scientifique. Les valeurs indiquées sont juste là pour montrer comment on arrive à commercialiser des produits dont la radioactivité dépasse allègrement les seuils institutionnels.
La question de l'"effet cocktail" peut effectivement se poser, mais, à ma connaissance, c'est difficile d'avoir des informations fiables là-dessus. Et ça ne me semble pas être le sujet de l'article non plus, d'ailleurs.
Une radiographie de temps en temps pour contrôler ton état de santé c'est tout à fait acceptable. En faire une tous les jours (un bol de myrtille à tous les petits déjeuners), ce n'est vraiment pas recommandé. Dans tous les cas il vaut mieux appliquer le principe de précaution. Et non ce n'est pas du tout le sujet de l’article ;)
ça fait combien, 3000 Becquerels par kilo de myrtille? C'est dangereux?
Ce n'est pas le propos de l'article et utiliser cette idiotie de dose équivalente en bananes pour tenter de discréditer le propos est d'autant plus malhonnête.
Tu sais bien que ce qui compte ce n'est pas la dangerosité d'une portion de myrtilles mais l’accumulation quotidienne d'aliment contaminés (radioactivité, pesticides, métaux lourds, etc.)
Posté par Voltairine .
En réponse au journal Ces quelques liseuses.
Évalué à 2 (+0/-0).
Dernière modification le 24 avril 2026 à 08:30.
Et rappelons que cette pratique est parfaitement légale (voir ici par exemple et article L122-5 alinéa 2 du CPI).
P.S. : ce journal et la discussion ne font que me conforter dans mon choix de privilégier les livres et autre supports physiques. J'ai abandonné la liseuse il y a plusieurs années après seulement quelques mois d'usage.
C'est amusant ces deux fausses anecdotes historiques. Si la seconde est une vielle légende urbaine à peine reformulée à partir de sa page Wikipedia, la première semble être purement inventée à partir de bribes1 que je ne saurais toutes identifier.
Quant à la dernière phrase, elle donne une bonne piste pour identifier l'IA conversationnelle utilisée dans ce fil.
Anton Möller a bien existé au XVIe siècle à Dantzig mais ce peintre n'est crédité d'aucune invention… ↩
J'ai critiqué la méthode employée.
Faire appel à une IA pour obtenir une solution, plus ou moins bancale, sans efforts, est à l'opposé de ce que tu appelles la « culture du hacker » : il n'y a pas de volonté de comprendre le fonctionnement de l'outil pour l'adapter à ses besoins.
Et si pour ce faire on a pas le bagage nécessaire, le mieux est de faire appel à ceux qui connaissent le mieux l'outil, à commencer par ses développeurs.
J'ai cliqué sur inutile parce que tu surinterprètes les propos d'autrui.
J'ai été induit en erreur par la fonction getFilePath qui fait une recherche WebDAV vers NextCloud pour obtenir le chemin complet du fichier qu'il ne peut pas l'obtenir directement dans la page de recherche car le fichier apparaît sous la forme d'un FileID et non d'un Path. Comme il l'exécute pour chaque ligne de résultat, je comprends qu'il la mette en cache.
L’emplacement du fichier est indiqué juste en dessous de son nom sous la forme « dans truc/machin ».
Il me semble beaucoup plus simple de récupérer cet emplacement pour créer un lien vers /apps/files/files?dir=/truc/machin.
Et cela ne doit pas demander un travail énorme de proposer un correctif à Nextcloud pour que cet emplacement devienne un lien vers le dossier plutôt qu'un simple texte.
C'est lapidaire mais j'approuve.
Je ne vais pas discuter de la forme du script auto-généré mais plutôt de la méthode employée pour résoudre un problème.
La solution, si c'en est une, ne va bénéficier qu'à l'auteur de journal et éventuellement à une ou deux lectrices qui auraient le même besoin.
La bonne démarche aurait été de commencer par chercher dans les applications tierces de Nextcloud, puis dans les tickets ouverts sur Github. Et finalement de faire un signalement demandant l'ajout de fonctionnalités(*) dans la fenêtre de résultat de recherche : ouvrir le dossier, télécharger le fichier, etc.
(*)N.B. : Nextcloud n'ouvre que les fichiers qu'il sait afficher ou lire (images par exemple), sinon on tombe directement dans le dossier et c'est aussi le cas immédiatement après avoir fermé le fichier.
J'avoue ne pas trop comprendre les exemples donnés. Le déchiffrement des partitions intervient en principe avant de pouvoir obtenir un shell qui permettrait de reconfigurer le clavier avec l'outil maison, non ?
Quant au GRUB, il faudrait un outil spécifique pour qu'il charge une autre disposition de clavier…
Debian s'adresse majoritairement à des gens qui n'aiment pas trop bidouiller.
Nous sommes donc d'accord que c'est du « bidouillage » et pas une bonne pratique. En tout cas cela n'a rien de « classique ».
Sur un ordinateur de bureau ou un petit serveur local à usage récréatif ou didactique on peut à la rigueur a l'envisager. Mais, AMHA, c'est une perte de temps par rapport à une réinstallation complète (en ayant bien sûr une sauvegarde de la configuration et une partition à part pour les données)
Après avoir rétrogradé de unstable ou testing à _stable_e, je serais curieuse de voir les retours de :
[^] # Re: Avocat du diable (quel est le risque pour moi ?)
Posté par Voltairine . En réponse au lien [Copy Fail] The same 732-byte Python script roots every Linux distribution shipped since 2017.. Évalué à 4 (+2/-0). Dernière modification le 30 avril 2026 à 15:09.
À prendre le contrôle de la machine pour faire des trucs1 avec ?
phishing, spam, minage de cryptos, amplificateur d'attaque, proxy, etc. ↩
[^] # Re: RCLG
Posté par Voltairine . En réponse au journal [HS] espèce de bobo. Évalué à 5 (+3/-0).
C'est bien mais il ne faut pas en abuser.
Ne jamais dépasser deux Reich.
[^] # Re: Mettez d'urgence vos kernels à jour !
Posté par Voltairine . En réponse au lien [Copy Fail] The same 732-byte Python script roots every Linux distribution shipped since 2017.. Évalué à 7 (+5/-0). Dernière modification le 30 avril 2026 à 08:30.
Pour l'instant les distributions majeures ne proposent pas de noyau intégrant le correctif :
Debian : https://security-tracker.debian.org/tracker/CVE-2026-31431
Ubuntu : https://ubuntu.com/security/CVE-2026-31431
Redhat : https://access.redhat.com/security/cve/cve-2026-31431
Je m'étonne un peu de la publication de la faille et du script permettant de l'exploiter avant que les correctifs aient été intégrés par celles-ci. Les mainteneurs du noyau ont été avisés il y a un peu moins d'un mois mais seules les versions ≥ 7.0 semblent concernées.
Pour tester il vaut mieux utiliser d'autres scripts que celui fourni par le lien, par exemple : https://github.com/rootsecdev/cve_2026_31431
Ou mieux se contenter d'appliquer le contournement proposé si le noyau est listé comme vulnérable sur le site de la distribution.
En effet, j'ai cru comprendre que le script ouvrait un socket de communication pour passer en root. Dans ce cas, une fois le script exécuté, tous les utilisateurs non privilégiés sur la machine peuvent lancer su et devenir root sans mot de passe tant que le socket est ouvert…
[^] # Re: ils remboursent, mais ca vaut pas trop le coup, et c'est peu prudent.
Posté par Voltairine . En réponse au message Remboursement Winows. Évalué à 7 (+5/-0).
Non il n'y aura pas de remboursement.
Pour rappel en 2016 :
https://www.descartes-avocats.com/logiciels-precharges-la-cjue-se-decredibilise/ (analyse de l'avocat F.Cuif)
https://next.ink/12430/101489-comment-france-est-intervenue-pour-defendre-vente-liee-pc-et-os-en-europe/ (la synthèse de Next)
[^] # Re: Quel est le problème ?
Posté par Voltairine . En réponse au journal Respect de la vie privée et Wero. Évalué à 3 (+1/-0).
Tout à fait. Extrait des CGU d'un banque proposant le service Wero :
proxy= n° de tél. ou adresse de courriel ↩
[^] # Re: Pas qu'Amazon, et c'est mathématique
Posté par Voltairine . En réponse au journal Les vendeurs Amazon achètent leurs étoiles, c'est officiel. Évalué à 2 (+0/-0). Dernière modification le 27 avril 2026 à 14:53.
Oui mais à ce tarif là il faudrait vraiment en vendre beaucoup avec une très grosse marge (potentiellement un produit chinois contrefait avec un prix multiplié par au moins 4) et ne donner le bon d'achat qu'à une faible partie de la clientèle. Avec le risque d'être exclu de la plateforme en cas de plainte d'un client.
Donc pas sûr que le rapport bénéfices/risques soit en faveur du vendeur indélicat.
J'ai déjà entendu parler des cas similaires(*) mais avec des bons d'achat (ou remboursements) ne dépassant jamais la valeur de l'objet vendu.
De toute façon toutes ces plateformes regorgent de faux avis et ce n'est absolument pas un critère fiable pour faire un choix.
--
(*) https://www.tf1info.fr/conso/enquete-video-sept-a-huit-je-suis-paye-aux-cinq-etoiles-qui-se-cache-derriere-les-faux-avis-elogieux-qui-pullulent-sur-amazon-2297033.html
https://www.capital.fr/conso/amazon-ces-commercants-qui-proposent-un-bon-dachat-en-echange-dun-avis-positif-1502238
…
[^] # Re: Pas qu'Amazon, et c'est mathématique
Posté par Voltairine . En réponse au journal Les vendeurs Amazon achètent leurs étoiles, c'est officiel. Évalué à 2 (+0/-0).
Comment peut-on croire un seul instant que la personne qui a mis la note va vraiment recevoir cette carte d'une valeur de 80 €…
[^] # Re: N'est-ce pas un droit ?
Posté par Voltairine . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 7 (+5/-0).
Oui cela a déjà été discuté et les textes cités
, extrait :
Si la banque refuse de fournir une autre méthode, il faut la mettre face à ses responsabilités et envisager sérieusement d'en changer.
Faire signer une pétition qui demande un droit qui existe déjà risque de ne pas servir à grand chose. Dénoncer publiquement, et auprès des associations de consommateurs, les pratiques déloyales d'une banque serait sans doute plus utile.
# Arrêtez de modifier les titres des articles en lien S.V.P.
Posté par Voltairine . En réponse au lien Processeur Risc-V conçu en France disponible en 2026. Évalué à 10 (+9/-0). Dernière modification le 26 avril 2026 à 11:13.
Parce que cela conduit à des incompréhensions et des erreurs.
Ce n'est de l'architecture RISC-V mais bien des cœurs ARM.
Et c'est écrit en toutes lettre dans l'article des numériques :
# Témoignages
Posté par Voltairine . En réponse au lien Le KGB à Tchernobyl (par Galia Ackerman). Évalué à 6 (+4/-0). Dernière modification le 26 avril 2026 à 08:08.
Pour ce 40e anniversaire, voir aussi le documentaire en trois parties d'Arte : Anatomie d'une catastrophe.
[^] # Re: Jouons avec les unités
Posté par Voltairine . En réponse au lien J’ai constaté que les myrtilles de Tchernobyl étaient proches de mon petit-déjeuner. Évalué à 2 (+1/-1). Dernière modification le 26 avril 2026 à 07:54.
Très mauvaise analogie.
La probabilité qu'un professionnel tombe d'un toit est la même à chaque fois qu'il y monte.
La probabilité de développer une maladie augmente à chaque exposition à la radioactivité (et aux toxiques en général).
[^] # Re: ctrl+alt+F3
Posté par Voltairine . En réponse au message Debian Sid Kde sddm : Terminal avant entrée de session. Évalué à 4 (+2/-0).
Oui depuis quelques versions de Debian tty2 est dédié à une session graphique.
Si les raccourcis clavier ne fonctionne pas, en ligne de commande pour basculer dans tty3 par exemple (en root ou avec sudo) :
[^] # Re: Jouons avec les unités
Posté par Voltairine . En réponse au lien J’ai constaté que les myrtilles de Tchernobyl étaient proches de mon petit-déjeuner. Évalué à 1 (+4/-5).
Oui mais ce n'est pas un article scientifique. Les valeurs indiquées sont juste là pour montrer comment on arrive à commercialiser des produits dont la radioactivité dépasse allègrement les seuils institutionnels.
Une radiographie de temps en temps pour contrôler ton état de santé c'est tout à fait acceptable. En faire une tous les jours (un bol de myrtille à tous les petits déjeuners), ce n'est vraiment pas recommandé. Dans tous les cas il vaut mieux appliquer le principe de précaution. Et non ce n'est pas du tout le sujet de l’article ;)
[^] # Re: Jouons avec les unités
Posté par Voltairine . En réponse au lien J’ai constaté que les myrtilles de Tchernobyl étaient proches de mon petit-déjeuner. Évalué à -1 (+3/-6).
Ce n'est pas le propos de l'article et utiliser cette idiotie de dose équivalente en bananes pour tenter de discréditer le propos est d'autant plus malhonnête.
Tu sais bien que ce qui compte ce n'est pas la dangerosité d'une portion de myrtilles mais l’accumulation quotidienne d'aliment contaminés (radioactivité, pesticides, métaux lourds, etc.)
[^] # Re: Critères
Posté par Voltairine . En réponse au journal Ces quelques liseuses. Évalué à 2 (+0/-0). Dernière modification le 24 avril 2026 à 08:30.
Et rappelons que cette pratique est parfaitement légale (voir ici par exemple et article L122-5 alinéa 2 du CPI).
P.S. : ce journal et la discussion ne font que me conforter dans mon choix de privilégier les livres et autre supports physiques. J'ai abandonné la liseuse il y a plusieurs années après seulement quelques mois d'usage.
[^] # Re: ;)
Posté par Voltairine . En réponse au journal À la recherche d'une alternative libre à Notion ou Obsidian : j'ai créé MindZJ (OSS) via Vibe coding. Évalué à 4 (+2/-0).
C'est amusant ces deux fausses anecdotes historiques. Si la seconde est une vielle légende urbaine à peine reformulée à partir de sa page Wikipedia, la première semble être purement inventée à partir de bribes1 que je ne saurais toutes identifier.
Quant à la dernière phrase, elle donne une bonne piste pour identifier l'IA conversationnelle utilisée dans ce fil.
Anton Möller a bien existé au XVIe siècle à Dantzig mais ce peintre n'est crédité d'aucune invention… ↩
[^] # Re: Aussi pour leur ERP
Posté par Voltairine . En réponse au lien Pourquoi Enercoop utilise des logiciels libres ?. Évalué à 4 (+2/-0).
C'est vrai qu'un ERP sans facturation électronique ça va vite devenir inutilisable…
https://axelor.com/fr/tarifs/
[^] # Re: Ce journal est inutile
Posté par Voltairine . En réponse au journal Création d'un script pour Nextcloud : ouvrir le dossier. Évalué à 4 (+5/-3).
J'ai critiqué la méthode employée.
Faire appel à une IA pour obtenir une solution, plus ou moins bancale, sans efforts, est à l'opposé de ce que tu appelles la « culture du hacker » : il n'y a pas de volonté de comprendre le fonctionnement de l'outil pour l'adapter à ses besoins.
Et si pour ce faire on a pas le bagage nécessaire, le mieux est de faire appel à ceux qui connaissent le mieux l'outil, à commencer par ses développeurs.
J'ai cliqué sur inutile parce que tu surinterprètes les propos d'autrui.
[^] # Re: à la lecture
Posté par Voltairine . En réponse au journal Création d'un script pour Nextcloud : ouvrir le dossier. Évalué à 3 (+1/-0).
L’emplacement du fichier est indiqué juste en dessous de son nom sous la forme « dans truc/machin ».
Il me semble beaucoup plus simple de récupérer cet emplacement pour créer un lien vers /apps/files/files?dir=/truc/machin.
Et cela ne doit pas demander un travail énorme de proposer un correctif à Nextcloud pour que cet emplacement devienne un lien vers le dossier plutôt qu'un simple texte.
[^] # Re: Ce journal est inutile
Posté par Voltairine . En réponse au journal Création d'un script pour Nextcloud : ouvrir le dossier. Évalué à 5 (+6/-3).
C'est lapidaire mais j'approuve.
Je ne vais pas discuter de la forme du script auto-généré mais plutôt de la méthode employée pour résoudre un problème.
La solution, si c'en est une, ne va bénéficier qu'à l'auteur de journal et éventuellement à une ou deux lectrices qui auraient le même besoin.
La bonne démarche aurait été de commencer par chercher dans les applications tierces de Nextcloud, puis dans les tickets ouverts sur Github. Et finalement de faire un signalement demandant l'ajout de fonctionnalités(*) dans la fenêtre de résultat de recherche : ouvrir le dossier, télécharger le fichier, etc.
(*)N.B. : Nextcloud n'ouvre que les fichiers qu'il sait afficher ou lire (images par exemple), sinon on tombe directement dans le dossier et c'est aussi le cas immédiatement après avoir fermé le fichier.
[^] # Re: Grilled (sur le fil)
Posté par Voltairine . En réponse au lien L’ANTS, qui gère les cartes d’identité et passeports, visée par une attaque informatique, des données potentiellement divulguées. Évalué à 2 (+0/-0).
Désolée pour la collision, nous avons publié au même moment.
[^] # Re: Ridicule
Posté par Voltairine . En réponse au lien Cal change de licence et ne sera plus un logiciel libre. Évalué à 7 (+5/-0).
Bah oui, il suffit de demander à l'IA une justification argumentée.
[^] # Re: Alors non
Posté par Voltairine . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 3 (+1/-0).
J'avoue ne pas trop comprendre les exemples donnés. Le déchiffrement des partitions intervient en principe avant de pouvoir obtenir un shell qui permettrait de reconfigurer le clavier avec l'outil maison, non ?
Quant au GRUB, il faudrait un outil spécifique pour qu'il charge une autre disposition de clavier…
# Intéressant
Posté par Voltairine . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 6 (+4/-0). Dernière modification le 18 avril 2026 à 17:37.
Mais je suis restée un peu sur ma faim 😉
J'aurais aimé voir le code et comment ce type de script a été sécurisé. Cela aurait aussi permis de comprendre pourquoi policykit est insuffisant.
[^] # Re: downgrade
Posté par Voltairine . En réponse au message [Debian] : Test downgrade unstable to Trixie. Évalué à 5 (+3/-0). Dernière modification le 18 avril 2026 à 17:32.
Nous sommes donc d'accord que c'est du « bidouillage » et pas une bonne pratique. En tout cas cela n'a rien de « classique ».
Sur un ordinateur de bureau ou un petit serveur local à usage récréatif ou didactique on peut à la rigueur a l'envisager. Mais, AMHA, c'est une perte de temps par rapport à une réinstallation complète (en ayant bien sûr une sauvegarde de la configuration et une partition à part pour les données)
Après avoir rétrogradé de unstable ou testing à _stable_e, je serais curieuse de voir les retours de :