cg a écrit 1440 commentaires

Si j'ai bien compris, l'idée est d'ouvrir le vote à une grande partie des membres de la FSF.

Pour aller un peu plus dans le détail, il y a plusieurs réponses à ta question.

---

Réponse 1 :

Sur un serveur, tu vas souvent avoir un module de gestion du système qui ne s'éteint pas : le Board Management Controller (BMC). Sur les Dell c'est l'iDRAC je crois. Ça permet par exemple d'accéder à la console en réseau par une adresse IP séparée de celle de l'OS, éventuellement sur un câble dédié. Ça permet de gérer le serveur à distance : mettre à jour le BIOS, monter des clés USB par le réseau, voir la console, allumer/éteindre/reboot même quand le système est planté, gérer le retrait et l'insertion d'une alimentation à chaud, etc…

On peut imaginer que le BMC possède une RTC ou en émule les fonctions. Et comme il ne s'éteint pas tant que les prises de courant sont branchées, ben il peut allumer le reste de l'ordi.

---

Réponse 2 (cas plus général je pense) :

Une puce RTC, c'est un petit composant électronique assez cher (1€), qui permet d'avoir l'heure, de gérer des alarmes, des comptes à rebours. On y accède par un bus série type I2C, entre autres possibilités.

Par exemple, le MAX31341 est une RTC fabriquée par Maxim. Dans la doc, les pages 1, 7 et 8 donnent une idée du truc. Page 23, les registres de la première alarme sont décrits (c'est ce qu'on programme via le bus I2C).

La doc du kit d'évaluation de ce composant RTC donne une idée de comment le mettre en œuvre, et de le repérer sur une carte mère. Sur la photo en page 1, la RTC est le petit carré noir avec marqué "U1" à côté (c'est pas que j'ai des bons yeux, c'est que c'est marqué page 11 et page 12 :D).

Dans ce cas, on peut imaginer que la puce RTC va envoyer un signal "Allume toi" (équivalent de l'appui du bouton POWER ON du châssis, en gros) à la carte mère (selon la norme ATX j'imagine).

---

Il y a sans doute d'autres réponses possibles, en fonction des cas (par exemple le CPU contient une RTC directement). J'ai approximé, mais je ne suis pas un spécialiste du sujet :D.

L'article avance aussi le fait que les logiciels malveillants sont plus faciles à développer et que les pirates n'ont plus besoin de compétences avancées en programmation, car ils peuvent acheter du code malveillant prêt à l'emploi, l'adapter à leurs besoins avec un peu de codage, et créer un type de logiciel malveillant entièrement nouveau.

En effet, il faut savoir que l'image du mec en hoodie dans son garage est totalement éculée. Le malware est organisé en une industrie, une mafia comme une autre quoi. Il y a même des plateformes de Malware as a Service, Spam as a Service…

Pour acheter les failles de sécurité, les éditeurs de logiciels peinent à être au niveau de ce qu'offre le marché noir en terme de rémunération.

Attendu que :

1. les disques durs mécaniques n'aiment pas du tout démarrer (les moteurs grillent à l'allumage en général) ;
2. L'électronique vieillissante de la gamme Tx10/Rx10 va aussi apprécier moyennement ;
3. Le consensus actuel est que c'est la fabrication du matériel qui est polluante et non pas son utilisation ;
4. Changer un disque dur, c'est fabriquer du matériel ;

il faut voir si c'est rentable écologiquement et financièrement de faire l'allumage et l'extinction tous les jours. Peut-être que seulement le week-end, pendant 2,5 jours, serait un meilleur équilibre, par exemple ?

(et merci pour les infos sur ACPI Wakeup, je ne connaissais pas !)

Merci pour les explications. J'avais cherché dans Help, sans succès. Je pense que si ces infos sont indiquées sur le site, ce serait vraiment plus clair et rassurant.

Par exemple dans la page about :

Create an account to save your list and keep your filters current (not required)

En tout cas je comprend mieux l'initiative. Merci grandement !

C'est vrai, je dois pouvoir la faire chauffer doucement, pour la tordre jusqu'à former un anneau. :-D

C'est crédible en effet :D

Arf ;).

Désolé, quand j'ai lu "anneau" j'ai pensé à un description un peu étrange du coil qu'on trouve dans les tags NFC. Je ne savais pas que ça existait vraiment sous forme d'anneau.

Je me tiens corrigé (I stand corrected) ;).

Les Yubikey NFC semblent correspondre : "The YubiKey NEO has USB 2.0 and NFC interfaces. All of the applications are available through these interfaces. The NFC interface also supports MIFARE Classic 1k."

En effet, merci pour la précision.

Ceci dit, je trouve assez naturel et attendu que les plateformes basées sur l'écosystème Linux (et/ou GNU/Linux) deviennent "rentable" du point de vue du développeur de malware : Linux n'est plus cantonné aux serveurs depuis longtemps, et les objets connectés sont nombreux à être mal/pas maintenus.

Mais comme tu dis, il y a de la marge ;).

Merci pour cet usage de uBlock, je ne connaissais pas !

À noter, car ça m'a dérouté : le site Let's block it insiste un peu pour que le visiteur crée un compte, mais ce n'est pas nécessaire pour utiliser les filtres générés.

Dans le genre, il y a eu L'art et la science dans Alien (Ed. La Ville Brûle) pour les 40 ans du film. C'est plusieurs textes sur l'univers d'Alien, le premier texte est une étude anatomique assez passionnante (j'ai moins aimé les autres textes).

En vrai, ce serait bien que ce soit l'achat du siècle. Le dernier pour les 78 ans à venir. C'est à dire, que des lois anti trust et anti monopolistiques entrent en vigueur pour éviter que ces monstres puissent se constituer.

Il y a quelques trucs intéressants autour de Facebook et ses filiales (instagram et whatsapp), d'Amazon, de NVidia et le rachat d'ARM.

En marge, ce rachat pourrait expliquer les rumeurs de rachat de Discord (très utilisé par les joueurs en ligne) par Microsoft.

Pour C++, j'ai fait la démonstration rigoureuse que ça ne compile pas sous Linux. Concernant le C, chacun sait que c'est en fait de l'assembleur déguisé !

Ne te laisse pas berner par le lobby des BigMalloc ;) !

Excellent journal, ça donne envie d'apprendre l'outil (les outils) en effet.

La simplicité et la pérennité font également partie de mes préoccupations.

J'ai récemment commencé à utiliser dot/graphviz (car frustré par Draw, Dia, Diagram, Yed…). Pic a l'air chouette !

C++ compile sous linux  !;)

Scandale ! C'est du FUD !

La preuve :

~$ g++ exemple.cpp
exemple.cpp:1:1: error: ‘boum’ does not name a type
    1 | boum
      | ^~~~

Plus sérieusement, il y a des outils écrits en Python, et le langage pour les extensions/plugins/scripts est en Python aussi.

Il n'y a pas les sous-titre sous forme de texte, dans un flux séparé, par exemple ?

Alors que le CD est connu pour avoir une grande dynamique, au moins 90 dB

Je crois qu'un défaut de l'encodage du niveau sonore dans le CD, est qu'il est fait sur une échelle linéaire LPCM. Ainsi, un pas représente le même écart sur toute la plage dynamique. Et c'est dommage, car l'oreille perçoit beaucoup mieux les nuances à faible volume qu'à fort volume.

Ainsi, il aurait fallu une échelle progressive, qui réserve plus de bits aux volumes faibles qu'aux volumes forts (genre une échelle logarithmique).

Je vais essayer d'expliquer le principe du race condition.

D'un côté, le programme "nettoyeur" a pour mission de supprimer les dossiers et fichiers qui sont plus vieux que 1 mois en dessous de /var/spool/pad (par exemple). Les liens symboliques ne sont pas suivis mais sont supprimés. Ce programme tourne en root.

/var/spool/pad/ contient un répertoire par utilisateur, comme ceci :

/var/spool/pad/alice
/var/spool/pad/bob
/var/spool/pad/charlie

D'un autre côté, les utilisateurs font un peu ce qu'il veulent dans leurs dossiers, mais ne peuvent en sortir.

Le nettoyeur va faire son scan de temps en temps et supprimer les vieux fichiers, en respectant la règle du mieux qu'il peut. Horreur, il a supprimé des fichiers en dehors de /var/spool/pad/alice !

Passons la scène au ralenti sur un IBM 8088 à 10MHz (1979) :

11h22 - Le nettoyeur scanne /var/spool/pad/alice et trouve un dossier caca et un fichier pipi (alice est un peu sénile) qui ont plus d'un mois. Il note dans son carnet qu'il faudra les effacer. Etc pour les autres dossiers.

11h23 - Alice supprime le dossier caca et le remplace par un lien vers /usr/bin/. (Elle n'est pas si sénile que ça semble-t-il).

11h24 - Confiant, le nettoyeur rentre dans le dossier caca et supprime son contenu, qui est en fait /usr/bin.

11h24 aussi - Fin du jeu :'( .

Le principe n'a rien de spécifique à Rust. C'est un bug, qui provoque un trou de sécurité.

En quoi est-ce grave pour un programme non privilégié ?

Ça ne fait certes pas un CVE, mais ça fait un comportement inattendu avec un effet potentiellement catastrophique, un genre de bug critique quand même, sans être un trou de sécurité.

Quand tu as un bug dans ext4 et que tu perds tes données, tu vas pas dire que ce n'est pas grave.

Imagine que rm -r se mette à suivre les liens symboliques ;).

Il faudrait plutôt dire, pour décrire le problème plus simplement, qu'un programme peut être amené à suivre un lien symbolique et effacer des fichiers en dehors de l’arborescence ciblée au départ.

Le fait que ça puisse être réalisé par un programme privilégié est la cerise sur le gâteau, mais déjà en soi c'est assez grave.

La gestion des permissions, quand à elle, reste correcte d'un point de vue système.

difficultés pour récupérer les données en cas de crash du disque

Déjà, fais des sauvegardes ! (chiffrées, avec un copie de la clé en dehors de l'ordi)

action manuelle au reboot

Tu pourrais avoir la clé (ou une seconde clé) sur un autre ordi du réseau, et aller la chercher au boot (avec curl par exemple). Si ton NAS boote en dehors de ton réseau, la clé n'est plus accessible. Bien sûr, c'est compliqué si c'est ton / qui est chiffré, mais pour une partition de données ça se fait. Je crois même qu'il y a des paquets qui servent à ça.

Le record du monde de vitesse d'une balle de tennis frappée par un humain avec une raquette est de 262km/h (73m/s).

Ça relativise quand même la performance du drone ;).

Et de toute façons c'est la joueuse de tennis qui gagne à la fin

Hello Loic, donc si les bouquins sont toujours dispo, je prend le tout et je partage avec Gil, comment je t'envoie mon adresse et l'argent ?

Merci pour ton don !

Ah oui exactement, merci (j'avais cherché vite mais sans succès). C'est moins touffu en terme de bus industriels (genre CAN ou PROFIBUS), mais ça semble prometteur aussi !

Par exemple, le monde change et aujourd'hui les alternatives industrielles ouvertes sont légions ! On pourrait parler d'une très récente avec le Revolution Pi qui se base sur une raspberry pi CM3 et à mis en place tout ce qu'il fallait pour avoir un remplacement de beaucoup de modules standard des PLC tout en ne faisant que de l'OpenSource !

Oh la la j'en ai rêvé de ça !

Bon à vrai dire avec un microcontrôleur plus simple (moins de possibilités, mais moins de bugs potentiels), ça me ferait encore plus rêver, mais quand même, c'est sexy, la gamme a l'air un minimum complète.

Merci pour l'info !