Là ou je travaille, on propose aux employé·es des Macs, des PCs Windows et des PCs Linux (sur Ubuntu). L'entreprise a une pile de certifications (ISO27K1, SOC2, SOC3, PCI-DSS, SecNumCloud, HDS, et j'en passe…).
Les configs Ubuntu subissent - et passent - ces certifications. Toutefois, pour arriver à un résultat satisfaisant pour ces certifs, il faut faire beaucoup de durcissement de configs. On trouve pas mal de méthodes pour appliquer plein de réglages de sécurité, notamment le CIS Benchmark, avec Ansible, Puppet/Openvox, du pur shell, OpenSCAP…
Ce qui est certain, c'est qu'il faut faire le travail trois fois (doc, développement des confs, temps d'audit…), une fois par OS. Ce supplément de travail n'est pas forcément à la portée de toutes les entreprises, c'est un peu un luxe qu'il faut apprécier à sa juste valeur (et que j'apprécie au quotidien, même si perso j'aurais tendance à ne pas proposer de Macs car on ne peut pas interchanger entre Windows et Linux).
Oui, et la licence de maintenance de Windows 10 est payante aussi. Ce que je veux dire, c'est que le coût est surtout sur le matériel (les 15 millions cités), et dessus, MS ne gagne pas grand chose : le coût de maintenance de W10 est remplacé par la licence W11. L'alternative aurait été de passer sur un autre OS. Si tu veux du support, tu prendre par exemple RHEL ou Ubuntu Pro… Payants tous deux aussi. Mais surtout, un tel changement de planifie plusieurs années en avance, et là-dessus, l'État s'est bien planté.
Ce qui me gêne c'est que l'article laisse entendre que le changement d'ordi est une manne pour Microsoft - après, je n'ai pas accès à l'article complet, c'est peut-être développé plus loin.
Certes, il y a le coût des licences Windows, mais les ordis qui seront rachetés ne seront probablement pas de marque Microsoft. Ça va profiter à Lenovo, Terra ou que sais-je, pas tellement à Microsoft, non ?
En effet, il y a plusieurs hypothèses (suicide, accident, meurtre), et l'argumentaire de Jack Copeland se tient plutôt bien. Mais cela reste de la spéculation de sa part, la version officielle restant le suicide.
La dépression latente d'une personne, effet à long terme d'un procès et d'un traitement chimique dégradant, n'est pas à exclure non plus.
Mais peut-être que quand on consacre une partie de sa vie à un héros, on développe un biais, et qu'une faiblesse dans le mental de Turing ne s'intègre pas bien dans la vision qu'on s'en fait. Ceci est une pure spéculation trollesque de ma part d'ailleurs, on ne saura sans doute jamais :).
On marque traditionnellement la fin de la Préhistoire par l’apparition de l'écriture.
Toutefois, le mécanisme de passer de la mémoire vive volatile à la mémoire externe pérenne existe bien avant l'écriture, les gribouillis sur les murs à la Préhistoire en témoignent.
En partant d'ici : https://www.oss.fund/, on trouve https://www.oss.fund/backyourstack/, présenté comme un outil d'analyse des dépendances open-source dont vous dépendez, qui propose des manières de les aider ("Analyzes your open source software dependencies to find which projects you rely on, and then provides a way for you to easily support them all.").
Il y a beaucoup de trucs sur oss.fund, OpenCollective a l'air intéressant aussi ("Provides tools for collectives to receive money and mechanisms to spend their money in a transparent way.")
J'avais vu une plateforme il y a quelques semaines, qui s'occupe de redistribuer de l'argent à des projets libres et/ou open-source, en prenant en compte les "petits projets" dont les gros dépendent parfois. L'idée étant que les ruisseaux font les grandes rivières.
Je ne retrouve pas le nom, mais ça m'avait eu l'air intéressant.
Serait-il possible d'avoir un mécanisme de fédération, par exemple avec un protocole type Gossip, permettant de placer des index tiers dans les instances de Derche ? Ça pourrait s'appeler DercheHub™ par exemple.
Je lis DHH depuis des années, et ses articles sur Rails, Linux, et sur la migration de Hey et Basecamp d'AWS vers leurs serveurs propres sont très chouettes.
Le bouquin Rework est très chouette aussi (mais la traduction française est catastrophique).
Par contre je recommande pas trop ses autres articles sur l'éducation, l'inclusivité, la société et tout ce qui sort de la tech, on dirait mon grand-père réac' :).
Posté par cg .
En réponse au journal Sécurité de linux.
Évalué à 7 (+5/-0).
Dernière modification le 06 juin 2025 à 21:25.
Ce n'est probablement pas un sujet excitant, mais je vois bien ces trucs, qui sont cousins, sur les "magasins de softs" :
Les bibliothèques et composants de ce type (comme xz, cité par eingousef)
Les repos de paquet.
Les repos de bibliothèques.
Concernant ce second point, nous avons par exemple sur une distribution classique comme Ubuntu : les repos APT officiels, les PPAs, le(s) repo snap, le(s) repo flatpak. Chaque "source" de logiciels a ses pratiques de sécurité, de mise à jour, facile/pas facile d'y entrer, etc…
Bref, peut-on faire confiance à un flatpak, est-ce que snap c'est mieux ? Un PPA maintenu, est-ce plus secure que le paquet de la distrib qui est sur une vieille version ? Comment je mélange tout ça de manière maîtrisée ?
Concernant le troisième point, y'a tellement de blagues… npm, pip… C'est le bordel. On pourrait aussi parler des magasins de plugin "in-app" genre pour VSCode, pour neovim, pour emacs, pour Firefox… Le moindre outil ou langage de programmation a son store, avec du sérieux et du malware mélangé.
Autre sujet - qui fera peut-être grincer des dents certain·es libristes :
Vérification du code par signature électronique. On a SecureBoot pour vérifier le kernel et ses modules, on a de la cryptographie pour vérifier les paquets des repos APT. Ok mais mon AppImage Draw.io que j'ai DL de github, ou Discord que mon neveu m'a envoyé par wetransfer et que j'exécute depuis mon ~/Downloads, elle sont intègres ?
Bref, en un mot comme en cent : dans un monde connecté dans lequel il est facile d'installer des trucs, comment savoir si c'est sûr ou non ?
En effet, dans cet exemple précis, c'est plus une histoire de quel ensemble est dans quel autre ensemble (ce que la BD de Ghee précitée met en image).
Peut-être que l'exemple "l'homme descend du singe" est plus clair. C'était considéré comme vrai jusqu'à ce que ce soit considéré comme faux.
Et encore, le mot "singe" n'ayant pas le même sens dans le langage courant et chez les phylogénéticien·nes, c'est même faux et vrai en même temps selon le contexte :).
(et bravo à Benoît "Shellcheck" Sibaud pour ce useless cat très bien placé ^.^).
Si ça te branche, tu peux lire Le grand roman de la physique quantique de Manjit Kumar, c'est très chouette ! On y rencontre des personnes curieuses qui se sont mises à faire des théories fumeuses sur la nature de la lumière, de l'espace et du temps, et qui avaient parfois du mal à se mettre d'accord :).
Oui, la métaphore qui dit que nous sommes sur les épaules de géant·es s'entend bien ici. Tu peux très bien avoir raison pendant 200 ans et tout à coup avoir tort, suite à une découverte qui se fonde sur cette même erreur. Ce tort en devient bien relatif1.
Inversement, certain·es ont fait des prédictions sur la physique quantique, comme l'existence du boson de Higgs, un pari qui a été résolu quelques 50 ans après.
L'article dit que la transaction monétique se fait sur un autre SOC. Si la transaction est chiffrée (ça peut être avec une bête clé publique PGP) avant d'être envoyée, même si tu la captures depuis le Linux qui ne sert finalement que de passe-plat, tu as peu de chance de réussir à casser la clé avant que la carte bancaire expire (2 ou 3 ans) ou que la clé privée expire (ça dépend du cas d'usage, mais PCI-DSS impose de le faire "fréquemment").
Toutefois, je te rejoins, le fait que le shell root soit ouvert comme ça laisse penser que les protections vendues ne sont peut-être pas tout à fait en place du côté du matos monétique non plus :-/.
Merci, à lire les réponses à ses réactions, ça m'a l'air d'être surtout quelqu'un qui peut démarrer au quart de tour et manquer de respect à ses interlocuteurs et interlocutrices.
Il y avait eu aussi en début d'année une volée d'articles sur l'inquiétude de service d'espionnage et de contre-espionnage, quand à l'installation de turbine éoliennes chinoises.
Je n'ai pas bien suivi si c'est fondé, si c'est de la spéculation sur une menace, ou juste du FUD pour empêcher les Chinois d'être dans les marchés publics.
Il faut juste que ça soit une minimum ventilé pour évacuer la chaleur (une ventilation naturelle suffit la plupart du temps).
C'est probablement le cas, en général, l'isolation et la ventilation sont à faire avant de commencer à s'amuser à mettre des panneaux solaires. Sinon, c'est mettre la charrue avant les bœufs ;).
[^] # Re: réparer c'est has been
Posté par cg . En réponse au journal new skills linux. Évalué à 4 (+2/-0).
C'est vrai, encore faut-il savoir quoi mettre dans sa recette au tofu, car seul, le tofu, ce n'est pas très savoureux.
Et donc explorer et s’entraîner à faire des recettes, c'est bien :).
[^] # Re: flatpaks
Posté par cg . En réponse au journal Sécurité de linux. Évalué à 3 (+1/-0).
Là ou je travaille, on propose aux employé·es des Macs, des PCs Windows et des PCs Linux (sur Ubuntu). L'entreprise a une pile de certifications (ISO27K1, SOC2, SOC3, PCI-DSS, SecNumCloud, HDS, et j'en passe…).
Les configs Ubuntu subissent - et passent - ces certifications. Toutefois, pour arriver à un résultat satisfaisant pour ces certifs, il faut faire beaucoup de durcissement de configs. On trouve pas mal de méthodes pour appliquer plein de réglages de sécurité, notamment le CIS Benchmark, avec Ansible, Puppet/Openvox, du pur shell, OpenSCAP…
Ce qui est certain, c'est qu'il faut faire le travail trois fois (doc, développement des confs, temps d'audit…), une fois par OS. Ce supplément de travail n'est pas forcément à la portée de toutes les entreprises, c'est un peu un luxe qu'il faut apprécier à sa juste valeur (et que j'apprécie au quotidien, même si perso j'aurais tendance à ne pas proposer de Macs car on ne peut pas interchanger entre Windows et Linux).
[^] # Re: containers
Posté par cg . En réponse au journal Sécurité de linux. Évalué à 2 (+0/-0).
Merci, je ne connaissais pas l'existence des microVMs, je vais regarder ce truc, ça a l'air très chouette.
[^] # Re: Ça tape un peu à côté
Posté par cg . En réponse au lien "Microsoft fait les poches des flics". Évalué à 3 (+1/-0).
Oui, et la licence de maintenance de Windows 10 est payante aussi. Ce que je veux dire, c'est que le coût est surtout sur le matériel (les 15 millions cités), et dessus, MS ne gagne pas grand chose : le coût de maintenance de W10 est remplacé par la licence W11. L'alternative aurait été de passer sur un autre OS. Si tu veux du support, tu prendre par exemple RHEL ou Ubuntu Pro… Payants tous deux aussi. Mais surtout, un tel changement de planifie plusieurs années en avance, et là-dessus, l'État s'est bien planté.
Ce qui me gêne c'est que l'article laisse entendre que le changement d'ordi est une manne pour Microsoft - après, je n'ai pas accès à l'article complet, c'est peut-être développé plus loin.
# Ça tape un peu à côté
Posté par cg . En réponse au lien "Microsoft fait les poches des flics". Évalué à 1 (+1/-2).
Certes, il y a le coût des licences Windows, mais les ordis qui seront rachetés ne seront probablement pas de marque Microsoft. Ça va profiter à Lenovo, Terra ou que sais-je, pas tellement à Microsoft, non ?
[^] # Re: Sauf que c'est controversé
Posté par cg . En réponse au lien Commémoration de l'auto-bronsonisation d'Alan Turing. Évalué à 2 (+0/-0).
En effet, il y a plusieurs hypothèses (suicide, accident, meurtre), et l'argumentaire de Jack Copeland se tient plutôt bien. Mais cela reste de la spéculation de sa part, la version officielle restant le suicide.
La dépression latente d'une personne, effet à long terme d'un procès et d'un traitement chimique dégradant, n'est pas à exclure non plus.
Mais peut-être que quand on consacre une partie de sa vie à un héros, on développe un biais, et qu'une faiblesse dans le mental de Turing ne s'intègre pas bien dans la vision qu'on s'en fait. Ceci est une pure spéculation trollesque de ma part d'ailleurs, on ne saura sans doute jamais :).
[^] # Re: Ce sont des bons articles !
Posté par cg . En réponse au journal Linux prêt pour le desktop : DHH dit oui. Évalué à 2 (+0/-0).
Je le fais remarquer, mais je ne te le fais par remarquer, rien de perso :).
Oui tristement un Tech bro, mais j'ai l'impression qu'il a vrillé quand il a du retourner au Danemark. Bref, peu importe.
[^] # Re: Connexion à internet obligatoire ?
Posté par cg . En réponse au journal Est-il possible de ne pas se faire espionner par ses panneaux solaires ?. Évalué à 3 (+1/-0).
On marque traditionnellement la fin de la Préhistoire par l’apparition de l'écriture.
Toutefois, le mécanisme de passer de la mémoire vive volatile à la mémoire externe pérenne existe bien avant l'écriture, les gribouillis sur les murs à la Préhistoire en témoignent.
[^] # Re: et pour i3...
Posté par cg . En réponse au journal Scrollable tiling : liste déroulante infinie de fenêtres. Évalué à 2 (+0/-0).
Je pense que c'est Papersway, qui est mentionné un peu plus haut. D'après la description, ça fonctionne pour sway et i3.
[^] # Re: Vulnérabilité de projets cruciaux
Posté par cg . En réponse au journal Sécurité de linux. Évalué à 3 (+1/-0).
En partant d'ici : https://www.oss.fund/, on trouve https://www.oss.fund/backyourstack/, présenté comme un outil d'analyse des dépendances open-source dont vous dépendez, qui propose des manières de les aider ("Analyzes your open source software dependencies to find which projects you rely on, and then provides a way for you to easily support them all.").
Il y a beaucoup de trucs sur oss.fund, OpenCollective a l'air intéressant aussi ("Provides tools for collectives to receive money and mechanisms to spend their money in a transparent way.")
[^] # Re: Vulnérabilité de projets cruciaux
Posté par cg . En réponse au journal Sécurité de linux. Évalué à 4 (+2/-0).
J'avais vu une plateforme il y a quelques semaines, qui s'occupe de redistribuer de l'argent à des projets libres et/ou open-source, en prenant en compte les "petits projets" dont les gros dépendent parfois. L'idée étant que les ruisseaux font les grandes rivières.
Je ne retrouve pas le nom, mais ça m'avait eu l'air intéressant.
# Fédération ?
Posté par cg . En réponse au journal POC : Derche, un moteur de recherche pour l'arrière web. Évalué à 7 (+5/-0). Dernière modification le 06 juin 2025 à 21:45.
Serait-il possible d'avoir un mécanisme de fédération, par exemple avec un protocole type Gossip, permettant de placer des index tiers dans les instances de Derche ? Ça pourrait s'appeler DercheHub™ par exemple.
# Ce sont des bons articles !
Posté par cg . En réponse au journal Linux prêt pour le desktop : DHH dit oui. Évalué à 5 (+4/-1).
Je lis DHH depuis des années, et ses articles sur Rails, Linux, et sur la migration de Hey et Basecamp d'AWS vers leurs serveurs propres sont très chouettes.
Le bouquin Rework est très chouette aussi (mais la traduction française est catastrophique).
Par contre je recommande pas trop ses autres articles sur l'éducation, l'inclusivité, la société et tout ce qui sort de la tech, on dirait mon grand-père réac' :).
# L'origine des composants
Posté par cg . En réponse au journal Sécurité de linux. Évalué à 7 (+5/-0). Dernière modification le 06 juin 2025 à 21:25.
Ce n'est probablement pas un sujet excitant, mais je vois bien ces trucs, qui sont cousins, sur les "magasins de softs" :
Concernant ce second point, nous avons par exemple sur une distribution classique comme Ubuntu : les repos APT officiels, les PPAs, le(s) repo snap, le(s) repo flatpak. Chaque "source" de logiciels a ses pratiques de sécurité, de mise à jour, facile/pas facile d'y entrer, etc…
Bref, peut-on faire confiance à un flatpak, est-ce que snap c'est mieux ? Un PPA maintenu, est-ce plus secure que le paquet de la distrib qui est sur une vieille version ? Comment je mélange tout ça de manière maîtrisée ?
Concernant le troisième point, y'a tellement de blagues… npm, pip… C'est le bordel. On pourrait aussi parler des magasins de plugin "in-app" genre pour VSCode, pour neovim, pour emacs, pour Firefox… Le moindre outil ou langage de programmation a son store, avec du sérieux et du malware mélangé.
Autre sujet - qui fera peut-être grincer des dents certain·es libristes :
Bref, en un mot comme en cent : dans un monde connecté dans lequel il est facile d'installer des trucs, comment savoir si c'est sûr ou non ?
(désolé pour le côté brouillon du message)
[^] # Re: Ça devrait fonctionner
Posté par cg . En réponse au message [résolu] installer linux sur un Intel Xeon e5. Évalué à 3 (+1/-0).
En tout cas, le problème ne vient pas du modèle de CPU, j'ai installé Debian sur des dizaines de machines avec cette gamme sans problème.
Le problème est ailleurs mais pas facile de décrotter le boot :-/
# Ça devrait fonctionner
Posté par cg . En réponse au message [résolu] installer linux sur un Intel Xeon e5. Évalué à 3 (+1/-0).
Bonjour, ça devrait fonctionner. Il faudrait préciser ce qui "ne marche pas".
Quelle étape, le ou les messages d'erreur s'il y en a…
[^] # Re: Source curieuse
Posté par cg . En réponse au lien Une nouvelle théorie remet en question la relativité : Einstein avait-il tort ?. Évalué à 3 (+1/-0).
En effet, dans cet exemple précis, c'est plus une histoire de quel ensemble est dans quel autre ensemble (ce que la BD de Ghee précitée met en image).
Peut-être que l'exemple "l'homme descend du singe" est plus clair. C'était considéré comme vrai jusqu'à ce que ce soit considéré comme faux.
Et encore, le mot "singe" n'ayant pas le même sens dans le langage courant et chez les phylogénéticien·nes, c'est même faux et vrai en même temps selon le contexte :).
(et bravo à Benoît "Shellcheck" Sibaud pour ce useless cat très bien placé ^.^).
[^] # Re: Source curieuse
Posté par cg . En réponse au lien Une nouvelle théorie remet en question la relativité : Einstein avait-il tort ?. Évalué à 5 (+3/-0).
Si ça te branche, tu peux lire Le grand roman de la physique quantique de Manjit Kumar, c'est très chouette ! On y rencontre des personnes curieuses qui se sont mises à faire des théories fumeuses sur la nature de la lumière, de l'espace et du temps, et qui avaient parfois du mal à se mettre d'accord :).
[^] # Re: Source curieuse
Posté par cg . En réponse au lien Une nouvelle théorie remet en question la relativité : Einstein avait-il tort ?. Évalué à 4 (+3/-1).
Oui, la métaphore qui dit que nous sommes sur les épaules de géant·es s'entend bien ici. Tu peux très bien avoir raison pendant 200 ans et tout à coup avoir tort, suite à une découverte qui se fonde sur cette même erreur. Ce tort en devient bien relatif1.
Inversement, certain·es ont fait des prédictions sur la physique quantique, comme l'existence du boson de Higgs, un pari qui a été résolu quelques 50 ans après.
puisque tout est relatif, dans l'absolu :). ↩
[^] # Re: root mais pas grave?
Posté par cg . En réponse au lien Root Shell on a Credit Card Terminal. Évalué à 2 (+0/-0).
L'article dit que la transaction monétique se fait sur un autre SOC. Si la transaction est chiffrée (ça peut être avec une bête clé publique PGP) avant d'être envoyée, même si tu la captures depuis le Linux qui ne sert finalement que de passe-plat, tu as peu de chance de réussir à casser la clé avant que la carte bancaire expire (2 ou 3 ans) ou que la clé privée expire (ça dépend du cas d'usage, mais PCI-DSS impose de le faire "fréquemment").
Toutefois, je te rejoins, le fait que le shell root soit ouvert comme ça laisse penser que les protections vendues ne sont peut-être pas tout à fait en place du côté du matos monétique non plus :-/.
[^] # Re: auteur
Posté par cg . En réponse à la dépêche Netvibes.com au rancart, Pétrolette au rendez-vous. Évalué à 3 (+1/-0).
Merci, à lire les réponses à ses réactions, ça m'a l'air d'être surtout quelqu'un qui peut démarrer au quart de tour et manquer de respect à ses interlocuteurs et interlocutrices.
[^] # Re: auteur
Posté par cg . En réponse à la dépêche Netvibes.com au rancart, Pétrolette au rendez-vous. Évalué à 2 (+1/-1). Dernière modification le 01 juin 2025 à 23:32.
Ah, un facho qui relaie des infos plutôt en soutien à la Palestine (depuis son compte Mastodon tout neuf) ?
Je ne connais pas le bonhomme, mais tu dois en savoir plus ?
[^] # Re: ah non, ce journal n'est pas sur des mouchards cachés dans les panneaux solaires chinois
Posté par cg . En réponse au journal Est-il possible de ne pas se faire espionner par ses panneaux solaires ?. Évalué à 2 (+0/-0).
Il y avait eu aussi en début d'année une volée d'articles sur l'inquiétude de service d'espionnage et de contre-espionnage, quand à l'installation de turbine éoliennes chinoises.
Je n'ai pas bien suivi si c'est fondé, si c'est de la spéculation sur une menace, ou juste du FUD pour empêcher les Chinois d'être dans les marchés publics.
[^] # Re: Connexion à internet obligatoire ?
Posté par cg . En réponse au journal Est-il possible de ne pas se faire espionner par ses panneaux solaires ?. Évalué à 6 (+4/-0).
Y'a des gens qui ont beaucoup de slips, quand même, pour que leur machine à laver envoie plus de 3Go par jour :)
[^] # Re: Solution 1 et demi
Posté par cg . En réponse au journal Est-il possible de ne pas se faire espionner par ses panneaux solaires ?. Évalué à 6 (+4/-0).
C'est probablement le cas, en général, l'isolation et la ventilation sont à faire avant de commencer à s'amuser à mettre des panneaux solaires. Sinon, c'est mettre la charrue avant les bœufs ;).