Les extensions sont le centre de l'article, c'est le cœur du sujet.
Mais oui, c'est vrai que ça reste utile de préciser que sans extension de navigateur, la technique de clickjacking d'extensions ne fonctionne pas, désolé d'avoir râlé :).
À ce compte, on peut aussi dire que Bitwarden n'est pas impacté, parce qu'on peut l'utiliser sans l'extension, via Bitwarden.com, ou via le client lourd, ou via bitwarden-cli.
C'est du poil-de-cutage qui semble un peu vain :).
Quand les bulles économiques éclatent, il y a plein d'entreprises qui disparaissent, et quelques unes qui restent, et se consolident. Le tout est d'être une de celles qui restent. Sam Altman donne l'exemple de la bulle dotcom des années 2000, et c'est une bonne comparaison. Y'a eu un rush, et 25 ans plus tard, Internet a changé beaucoup de choses dans nos vies, et les salaires de "la tech" sont plus élevés que la moyenne (et surtout PHP est toujours là :D).
C'est pareil dans ma ville, les créneaux sont ouvert "en fin de matinée" et tous pris en quelques minutes. Ce qui est chiant c'est qu'il faut remplir le formulaire (noms/prénoms/pourquoi) avant de se faire envoyer bouler.
Finalement, j'ai compris qu'il faut prendre un rendez-vous pendant l'été, y'a plein de place… Donc beaucoup anticiper si on veut pouvoir partir l'été d'après !
Cela reste important,
De savoir que peu avant,
Vers vingt et une heure zéro zéro,
Malgré l'inutile frigo,
Et bien qu'au chomdu,
L'estomac tendu,
Sur le trône,
Tel un roi portant couronne,
Henry s'assit,
Et Henry chie.
Alors Cadres noirs, c'est un polar contemporain, l'histoire d'un cadre d'entreprise qui se fait virer, n'est pas très bien placé sur le marché du travail, et cherche à retrouver un job peu importe les moyens. Ça va assez loin et bien sûr ça tourne noir (car c'est un blues). C'est très noir et pas mal écrit du tout, et ça se lit vite.
Jean-Doux et le mystère de la disquette molle, c'est une BD loufoque très drôle, dans laquelle il est question de broyeurs de documents, de resto d'entreprise, d'OPA hostile, de trahisons et de dédales. Un peu un genre d'enquête à la Indiana Jones mais en débilos. Tous les personnages se nomment Jean-Quelque-chose (le chien c'est Jean-Iench par exemple).
Note bien que je peux te les prêter si tu veux :).
C'est dommage que l'article de Korben ne reprenne pas l'information que ça fonctionne sur les sous-domaines d'un domaine qu'on a déjà dans son gestionnaire de mots de passe.
Par exemple, pour aspirer les identifiants de toto.example.com, il faut que le gestionnaire ait une entrée en example.com. Et donc pour choper des identifiants du type Google, il faut que l'attaquant maîtrise accounts.google.com ou un de ses sous-domaines.
Ce n'est donc pas exploitable pour "n'importe quel site" mais pour un site offre des sous-domaines. Est-ce que ça fonctionnerait sur site comme unblogquiparledecrayonsdecouleurs.wordpress.com ?
La différence est que Suricata est vraiment conçu pour un firewall/un routeur (pfSense par exemple), alors que Snort peut-être efficace localement sur un ordi (mais fonctionne bien sur un firewall aussi).
Ça peut être normal, puisque les anciens index sont encore majoritairement utilisés :
une partie des résultats de recherche proposés à nos utilisateur·ices en France provient désormais directement de l'index EUSP. Notre objectif est d'alimenter ainsi 30 % des requêtes en France d'ici la fin de l'année
Harfanglab, un EDR propriétaire mais Français, qui peut s'installer dans le réseau d'entreprise
Sous Linux, les EDR fonctionnent pas mal en s'appuyant sur auditd et eBPF, ce qui permet d'avoir une interface avec le kernel relativement propre. Par contre, souvent les fonctionnalités sont moins touffues que sur Windows. Et aussi, souvent, les version Linux sont des versions prévues pour des serveurs, qui peuvent être trop agressives pour un usage temps réel sur un poste de travail.
Après, la formation des personnes, ça dépend des endroits, et pas toujours mais souvent, les incidents passent par une erreur humaine.
La formation commence à l'école maintenant, dès la primaire. Je suis agréablement surpris des notions que peuvent avoir mes filles concernant la sécurité informatique pratique au quotidien.
Le but n'est pas forcément toujours la sécurité. Il y a aussi le fait de pouvoir contrôler les employés, dont on se méfie plus que d'une éventuelle menace extérieure.
On a vu pendant les confinements du COVID fleurir quelques produits idiots dédiés au "contrôle de très près", comme des logiciels qui surveillent le clavier, font des captures d'écran et des photos à intervalle réguliers.
De l'autre côté de l'organigramme, on a vu des produits tout aussi stupides comme des simulateurs de mouvement de souris pour éviter le verrouillage de l'écran (facile à repérer dans les logs).
Bref, tout ça pour dire que pas besoin d'un EDR pour surveiller les employés, il y a tellement mieux :(.
C'est assez classique de sous-traiter son SOC/son CERT, quand on a pas les moyens d'avoir une équipe dédiée et assez grande pour pouvoir gérer des astreintes et des temps de réponses courts. Chez Orange, j'imagine que c'est chez Orange Cyberdéfense qu'il y a ce type de services.
À un de mes boulots précédents, on avait un EDR (États-Unien, mais en même temps on utilisait la suite Google, c'était dans le ton) et un SOC externe (en France), qu'on payait certes cher, mais beaucoup moins cher qu'un salaire, pour faire le tri et de gestion des alertes, et qui répondait sous 5 minutes (avec un SOAR pour automatiser un max, et des humains pour les cas plus douteux). Ça doit être assez éprouvant de devoir trier les alertes de plusieurs entreprises qui ont rien à voir entre elles à longueur de journée, mine de rien.
L'équipe IT interne gérait les installs, les licences, et les exclusions permanentes pour éviter les faux-positifs. Ça tournait pas si mal.
The draft deliverable will now undergo a 60-day Intellectual Property Rights Review and a 30-day review by the Technical Advisory Committee ahead of final approval by the Steering Committee
deliverable: offensive to sterile people
will: offensive to people with neurasthenia
Intellectual: offensive to braindead people
Property: offensive to tenants or homeless people
Rights: offensive to left-handed people
Review: offensive to blind people
30-days: offensive to born-dead children and their ascendants
ahead: offensive to headless people and their descendants (Louis XVI comes to mind)
final: too close to "final solution", Godwin point.
Steering: offensive to people without arms
Comittee: offensive to lonely people (80% of software developers and IT workers)
Pour certaines expressions, c'est justifié, mais pour d'autres, il y a eu un hold-up de la communauté autour de termes, ça n'a aucun sens, ni historique ni présent. Blacklist… Avant Malcom X et les Black Panthers, le mot "Noir" étant assez peu utilisé pour désigner des… Ben des… enfin tu vois, des… les ?
Pourtant, perso, j'utilise allowlist/denylist, primary/secondary (ou replica selons la topologie) depuis des années dès que possible. Ça a plus de sens au niveau sémantique, mais il n'empêche que l'appropriation de termes à des fins politiques est un peu pénible.
C'est la faute de l'employeur, qui force un rythme qui ne permet pas au livreur ou à la livreuse de faire son travail tout en respectant une certaine qualité dans le service.
Pour que ce soit le cas, il faudrait que les livraisons soient plus chères (c'est un peu toujours la même histoire en fait, on paye ce qu'on achète pas :D).
J'ai reçu un phishing sans lien dedans cet été, et j'ai souris. J'ai failli répondre en disant "hey vous avez oublié de mettre le lien de phishing dans votre message". Et puis je me suis dit que ça confirmerai mon numéro de téléphone, j'ai simplement bloqué le numéro.
Et j'ai bien fait, car au final :
Mais normalement, depuis les JO 2025, le filtre anti arnaques doit supprimer l'URL des SMS envoyés en masse.
Je comprend que les groupes d'arnaqueurs se sont adaptés bien rapidement.
Merci pour ton journal qui m'a permi d'avoir la clé du mystère du phishing sans lien :).
De toute façon si quelqu'un veut mettre fin à ses jours pour de mauvaises raisons, il y parviendra. De la même façon que l'interdiction de l'avortement n'empêche pas les avortements dans de mauvaises conditions.
ce parallèle de ta part m'étonne énormément.
Pourtant c'est un super parallèle, non ? Avoir le choix légal permet que la pratique devient mieux acceptée socialement au bout de quelques générations, et dans les pays qui ont légalisé l'avortement, ben ça se passe bien. Idem dans les pays qui ont légalisé le suicide assisté. En occident, le suicide est mal perçu surtout pour une question d'héritage culturel religieux.
Comme le dit Renault ailleurs dans le fil, l'allongement de l'espérance de vie, et la fréquence qui augmente des fins de vies difficiles, font qu'on peut se projeter dans cette question bien avant d'y arriver, ce qui est relativement récent.
Je ne crois pas qu'il soit possible de mentionner dans un testament le fait qu'on souhaite recourir au suicide assisté si telle ou telle chose arrive. Par exemple un AVC avec perte totale de la motricité et de la parole, qui fait qu'on ne peut pas donner son consentement après l'accident, ou coma de plus de x jours/années.
Je suis totalement d'accord avec toi, et j'ajoute qu'en fait, c'est comme beaucoup d'industries :-/.
L'industrie de la viande ? Mangez 5 bœufs et poulets par jour.
Le lait ? Dans les productions américaines des années 80/90, on voit systématiquement des adultes boire du lait à table lors des scènes de repas "à la maison".
L'audiovisuel ? Abonnez-vous à … Prenez une carte de ciné illimité pour aller voir jusqu'à la dernière sombre merde.
La musique bénéficie de ce tremplin constitué par les trajets (l'autoradio, le walkman, le smartphone) pendant lesquels on pourrait s'ennuyer et laisser son esprit libre, mais on préfère l'occuper. Et aussi les ambiances de bureau type openspace, s'isoler dans une bulle de bruit permet de se concentrer au prix d'une fatigue auditive. Ça m'arrive d'écouter de la musique en travaillant, mais pas pour m'isoler, seulement parce que j'ai envie de remuer les fesses en rythme sur ma chaise :).
Pour revenir sur ton idée de départ, le concept du "buffet illimité" appliqué aux produits culturel est très spécial, surtout sur une plateforme qui génère des playlists, c'est un peu comme un tapis roulant qui te gaverai toute la journée.
sur le Live, il y a une version donnée du kernel et du système. Pendant l'installation, il peut y avoir une mise à jour qui se fait, et un composant logiciel a un régression qui fait que ça marche moins bien que la version précédente ?
le BIOS est à jour ?
regarder dans les logs (dmesg, syslog)
Désolé, rien de précis, mais si ça te donne une idée…
# Mercis
Posté par cg . En réponse à la dépêche Incident du 26 août 2025 ayant touché les serveurs de production et de développement. Évalué à 9.
… merci pour le chouette compte-rendu
… merci, je me suis couché plus tôt que d'habitude hier soir :D
[^] # Re: KeepassXc
Posté par cg . En réponse au lien Vos gestionnaires de mots de passe piégés par un simple clic invisible. Évalué à 3.
Les extensions sont le centre de l'article, c'est le cœur du sujet.
Mais oui, c'est vrai que ça reste utile de préciser que sans extension de navigateur, la technique de clickjacking d'extensions ne fonctionne pas, désolé d'avoir râlé :).
[^] # Re: KeepassXc
Posté par cg . En réponse au lien Vos gestionnaires de mots de passe piégés par un simple clic invisible. Évalué à 3.
À ce compte, on peut aussi dire que Bitwarden n'est pas impacté, parce qu'on peut l'utiliser sans l'extension, via Bitwarden.com, ou via le client lourd, ou via bitwarden-cli.
C'est du poil-de-cutage qui semble un peu vain :).
# Le gagnant remporte tout
Posté par cg . En réponse au lien Même le patron de OpenAI reconnaît que la bulle de l'IA éclatera 🎶💸🍾🥂 🥳🎉🎊🎆. Évalué à 10.
Quand les bulles économiques éclatent, il y a plein d'entreprises qui disparaissent, et quelques unes qui restent, et se consolident. Le tout est d'être une de celles qui restent. Sam Altman donne l'exemple de la bulle dotcom des années 2000, et c'est une bonne comparaison. Y'a eu un rush, et 25 ans plus tard, Internet a changé beaucoup de choses dans nos vies, et les salaires de "la tech" sont plus élevés que la moyenne (et surtout PHP est toujours là :D).
[^] # Re: Lectures
Posté par cg . En réponse au journal Henry a perdu son emploi. Évalué à 2.
Merci, je ne savais pas. Ça a aussi inspiré une adaptation pour le petit écran, dérapages.
[^] # Re: Courage
Posté par cg . En réponse au journal Troov, la startup qui impose le Captcha Cloudflare aux prises de rdv Consulaires. Évalué à 2.
C'est pareil dans ma ville, les créneaux sont ouvert "en fin de matinée" et tous pris en quelques minutes. Ce qui est chiant c'est qu'il faut remplir le formulaire (noms/prénoms/pourquoi) avant de se faire envoyer bouler.
Finalement, j'ai compris qu'il faut prendre un rendez-vous pendant l'été, y'a plein de place… Donc beaucoup anticiper si on veut pouvoir partir l'été d'après !
Très sympa ton anecdote avec le consul :).
[^] # Re: Henry rit
Posté par cg . En réponse au journal Henry a perdu son emploi. Évalué à 4.
Cela reste important,
De savoir que peu avant,
Vers vingt et une heure zéro zéro,
Malgré l'inutile frigo,
Et bien qu'au chomdu,
L'estomac tendu,
Sur le trône,
Tel un roi portant couronne,
Henry s'assit,
Et Henry chie.
[^] # Re: Lectures
Posté par cg . En réponse au journal Henry a perdu son emploi. Évalué à 6.
Héhé :)
Alors Cadres noirs, c'est un polar contemporain, l'histoire d'un cadre d'entreprise qui se fait virer, n'est pas très bien placé sur le marché du travail, et cherche à retrouver un job peu importe les moyens. Ça va assez loin et bien sûr ça tourne noir (car c'est un blues). C'est très noir et pas mal écrit du tout, et ça se lit vite.
Jean-Doux et le mystère de la disquette molle, c'est une BD loufoque très drôle, dans laquelle il est question de broyeurs de documents, de resto d'entreprise, d'OPA hostile, de trahisons et de dédales. Un peu un genre d'enquête à la Indiana Jones mais en débilos. Tous les personnages se nomment Jean-Quelque-chose (le chien c'est Jean-Iench par exemple).
Note bien que je peux te les prêter si tu veux :).
# Lectures
Posté par cg . En réponse au journal Henry a perdu son emploi. Évalué à 6.
Les commentaires ci-dessus me font penser à deux lectures très chouettes:
[^] # Re: Il manque un détail
Posté par cg . En réponse au lien Vos gestionnaires de mots de passe piégés par un simple clic invisible. Évalué à 2.
J'ai lu trop vite, en fait il y a plusieurs attaques, elles restent très surprenantes.
# Il manque un détail
Posté par cg . En réponse au lien Vos gestionnaires de mots de passe piégés par un simple clic invisible. Évalué à 9.
C'est dommage que l'article de Korben ne reprenne pas l'information que ça fonctionne sur les sous-domaines d'un domaine qu'on a déjà dans son gestionnaire de mots de passe.
Par exemple, pour aspirer les identifiants de toto.example.com, il faut que le gestionnaire ait une entrée en example.com. Et donc pour choper des identifiants du type Google, il faut que l'attaquant maîtrise accounts.google.com ou un de ses sous-domaines.
Ce n'est donc pas exploitable pour "n'importe quel site" mais pour un site offre des sous-domaines. Est-ce que ça fonctionnerait sur site comme unblogquiparledecrayonsdecouleurs.wordpress.com ?
Ceci étant, ça reste très grave :(.
[^] # Re: Qwant indisponible dans mon pays de résidence
Posté par cg . En réponse au lien Ecosia et Qwant commencent à déployer l'index de recherche Staan. Évalué à 3.
Ah oui c'est bien agressif leur contrôle. Je voulais retester, et bim, bloqué.
J'ai en effet uBlockOrigin qui bloque peut-être quelques trucs, mais bon.
[^] # Re: Application au monde de l'Entreprise
Posté par cg . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 3.
La différence est que Suricata est vraiment conçu pour un firewall/un routeur (pfSense par exemple), alors que Snort peut-être efficace localement sur un ordi (mais fonctionne bien sur un firewall aussi).
[^] # Re: gestionnaire de paquet
Posté par cg . En réponse au message Problème update depuis Kali 2021.2. Évalué à 3. Dernière modification le 19 août 2025 à 21:13.
Y'a même un terme : FrankenDebian (en Français) :)
[^] # Re: Quelques doutes
Posté par cg . En réponse au lien Ecosia et Qwant commencent à déployer l'index de recherche Staan. Évalué à 2.
Ça peut être normal, puisque les anciens index sont encore majoritairement utilisés :
[^] # Re: Application au monde de l'Entreprise
Posté par cg . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 2.
Y'a bien quelques trucs sans chercher trop loin :
Sous Linux, les EDR fonctionnent pas mal en s'appuyant sur auditd et eBPF, ce qui permet d'avoir une interface avec le kernel relativement propre. Par contre, souvent les fonctionnalités sont moins touffues que sur Windows. Et aussi, souvent, les version Linux sont des versions prévues pour des serveurs, qui peuvent être trop agressives pour un usage temps réel sur un poste de travail.
Après, la formation des personnes, ça dépend des endroits, et pas toujours mais souvent, les incidents passent par une erreur humaine.
La formation commence à l'école maintenant, dès la primaire. Je suis agréablement surpris des notions que peuvent avoir mes filles concernant la sécurité informatique pratique au quotidien.
[^] # Re: Application au monde de l'Entreprise
Posté par cg . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 2.
On a vu pendant les confinements du COVID fleurir quelques produits idiots dédiés au "contrôle de très près", comme des logiciels qui surveillent le clavier, font des captures d'écran et des photos à intervalle réguliers.
De l'autre côté de l'organigramme, on a vu des produits tout aussi stupides comme des simulateurs de mouvement de souris pour éviter le verrouillage de l'écran (facile à repérer dans les logs).
Bref, tout ça pour dire que pas besoin d'un EDR pour surveiller les employés, il y a tellement mieux :(.
[^] # Re: Application au monde de l'Entreprise
Posté par cg . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 2.
C'est assez classique de sous-traiter son SOC/son CERT, quand on a pas les moyens d'avoir une équipe dédiée et assez grande pour pouvoir gérer des astreintes et des temps de réponses courts. Chez Orange, j'imagine que c'est chez Orange Cyberdéfense qu'il y a ce type de services.
À un de mes boulots précédents, on avait un EDR (États-Unien, mais en même temps on utilisait la suite Google, c'était dans le ton) et un SOC externe (en France), qu'on payait certes cher, mais beaucoup moins cher qu'un salaire, pour faire le tri et de gestion des alertes, et qui répondait sous 5 minutes (avec un SOAR pour automatiser un max, et des humains pour les cas plus douteux). Ça doit être assez éprouvant de devoir trier les alertes de plusieurs entreprises qui ont rien à voir entre elles à longueur de journée, mine de rien.
L'équipe IT interne gérait les installs, les licences, et les exclusions permanentes pour éviter les faux-positifs. Ça tournait pas si mal.
[^] # Re: Invitation
Posté par cg . En réponse au lien [phoronix] Updated Inclusive Language Guide Calls Out "Sanity Check", "Hung", "Native Support". Évalué à 7.
Je vais essayer de faire pire, pour l'exercice.
Voici une phrase du communiqué :
Pour certaines expressions, c'est justifié, mais pour d'autres, il y a eu un hold-up de la communauté autour de termes, ça n'a aucun sens, ni historique ni présent. Blacklist… Avant Malcom X et les Black Panthers, le mot "Noir" étant assez peu utilisé pour désigner des… Ben des… enfin tu vois, des… les ?
Pourtant, perso, j'utilise allowlist/denylist, primary/secondary (ou replica selons la topologie) depuis des années dès que possible. Ça a plus de sens au niveau sémantique, mais il n'empêche que l'appropriation de termes à des fins politiques est un peu pénible.
[^] # Re: Github devops ou azure code?
Posté par cg . En réponse au lien GitHub is no longer independent at Microsoft after CEO resignation. Évalué à 5.
Pourquoi tu dis ça ? Pour Skype, ça s'est très bien passé.
-> [ ]1
c'est le vrai algo du plus court chemin vers la sortie :D ↩
[^] # Re: j'ai reçu la même chose en début de moi
Posté par cg . En réponse au journal Phishing niveau avancé : le faux livreur par SMS. Évalué à 2.
C'est la faute de l'employeur, qui force un rythme qui ne permet pas au livreur ou à la livreuse de faire son travail tout en respectant une certaine qualité dans le service.
Pour que ce soit le cas, il faudrait que les livraisons soient plus chères (c'est un peu toujours la même histoire en fait, on paye ce qu'on achète pas :D).
# Merci
Posté par cg . En réponse au journal Phishing niveau avancé : le faux livreur par SMS. Évalué à 6.
J'ai reçu un phishing sans lien dedans cet été, et j'ai souris. J'ai failli répondre en disant "hey vous avez oublié de mettre le lien de phishing dans votre message". Et puis je me suis dit que ça confirmerai mon numéro de téléphone, j'ai simplement bloqué le numéro.
Et j'ai bien fait, car au final :
Je comprend que les groupes d'arnaqueurs se sont adaptés bien rapidement.
Merci pour ton journal qui m'a permi d'avoir la clé du mystère du phishing sans lien :).
[^] # Re: Suicide Assisté
Posté par cg . En réponse au journal Ozzy Osbourne est bronsonisé. Évalué à 3.
Pourtant c'est un super parallèle, non ? Avoir le choix légal permet que la pratique devient mieux acceptée socialement au bout de quelques générations, et dans les pays qui ont légalisé l'avortement, ben ça se passe bien. Idem dans les pays qui ont légalisé le suicide assisté. En occident, le suicide est mal perçu surtout pour une question d'héritage culturel religieux.
Comme le dit Renault ailleurs dans le fil, l'allongement de l'espérance de vie, et la fréquence qui augmente des fins de vies difficiles, font qu'on peut se projeter dans cette question bien avant d'y arriver, ce qui est relativement récent.
Je ne crois pas qu'il soit possible de mentionner dans un testament le fait qu'on souhaite recourir au suicide assisté si telle ou telle chose arrive. Par exemple un AVC avec perte totale de la motricité et de la parole, qui fait qu'on ne peut pas donner son consentement après l'accident, ou coma de plus de x jours/années.
[^] # Re: L'industrie musical nous fait bouffer en continue de la musique
Posté par cg . En réponse au journal La musique, c'était mieux avant. Évalué à 6.
Je suis totalement d'accord avec toi, et j'ajoute qu'en fait, c'est comme beaucoup d'industries :-/.
L'industrie de la viande ? Mangez 5 bœufs et poulets par jour.
Le lait ? Dans les productions américaines des années 80/90, on voit systématiquement des adultes boire du lait à table lors des scènes de repas "à la maison".
L'audiovisuel ? Abonnez-vous à … Prenez une carte de ciné illimité pour aller voir jusqu'à la dernière sombre merde.
La musique bénéficie de ce tremplin constitué par les trajets (l'autoradio, le walkman, le smartphone) pendant lesquels on pourrait s'ennuyer et laisser son esprit libre, mais on préfère l'occuper. Et aussi les ambiances de bureau type openspace, s'isoler dans une bulle de bruit permet de se concentrer au prix d'une fatigue auditive. Ça m'arrive d'écouter de la musique en travaillant, mais pas pour m'isoler, seulement parce que j'ai envie de remuer les fesses en rythme sur ma chaise :).
Pour revenir sur ton idée de départ, le concept du "buffet illimité" appliqué aux produits culturel est très spécial, surtout sur une plateforme qui génère des playlists, c'est un peu comme un tapis roulant qui te gaverai toute la journée.
# Affichage ?
Posté par cg . En réponse au message pourquoi Linux Mint 22.1 fonctionne tres bien en live et tres tres lentement en dur ?. Évalué à 5.
Une raison pourrait être une différence dans la gestion de l'affichage. Quelques pistes en vrac :
Autres pistes :
Désolé, rien de précis, mais si ça te donne une idée…