Les systèmes professionnels vont se différencier […]
J'ai un petit oscilloscope de poche pas cher et open hardware (DSO Nano v2), et sur certains montage, brancher la sonde modifie le comportement… Pas pratique pour deboguer :(. L'oscilloscope Tektronix de bureau n'a pas ce problème.
Peut-être que les versions suivantes du DSO sont plus fiables, et comparer un objet à 50€ avec un oscillo à plus de 1500€, c'est pas du jeu :).
L'article de Bleeping Computer sur le sujet est un résumé assez clair (pour qui lit l'anglais), et confirme que c'est juste un élément dans un exploit potentiel qui se ferait en combinant plusieurs trous de sécurité.
Comme le dit Misc, c'est somme toutes assez classique entre entités privées.
De ce que j'ai pu expérimenter concernant des exigences de sécurité entre un client États-Uniens et un fournisseur/sous-traitant (contractor) Français, chaque règle se fait selon la loi locale en vigueur.
Exemple typique, si le client demande que les antécédents judiciaires soient contrôlés pour chaque embauche, et bien le fournisseur Français répond que c'est illégal en France et qu'il ne peut pas s'y conformer. Le client a alors le choix le changer de fournisseur ou d'accepter l'exception par-rapport à ses habitudes.
Et en effet, là ou ça devient intéressant, c'est quand il y a peu de choix dans les fournisseurs. Le client ne peut pas forcément changer facilement :).
Par contre, en terme politiques, ce genre de lettre peut donner apporter de l'eau au moulin des partis Français qui sont sur une ligne anti-diversité, puisqu'ils peuvent alors argumenter que les lois sur la diversité pénalisent les entreprises qui souhaitent travailler avec les États-Unis.
Je crois que le truc, c'est que tu peux faire des manips que tu ne devrait pas pouvoir faire, et donc potentiellement, si les autres couches de sécurité autour sont trouées, réaliser un exploit.
Donc en gros, sur x couches de sécurité, il y en a une qui est exploitable, il faut la renforcer, car on ne peut pas présumer que les autres couches seront toujours solides.
Ça me semble plus utile et moins risqué de déposer des plaintes auprès de la police, si les personnes concernées ont l'énergie et les moyens de le faire. Et si elles le font, ces personnes n'ont par contre aucun intérêt à l'annoncer sur Internet.
En créant un fichier /etc/firefox/syspref.js, tu peux mettre des réglages par défaut, et éventuellement les verrouiller. Les réglages sont ceux qui proviennent de la page about:config.
// Une bonne page de démarrage
pref("browser.startup.homepage", "https://linuxfr.org/");
// Désactiver l'intégration avec Pocket par défaut
pref("extensions.pocket.enabled", false);
// Désactiver les anciennes versions de TLS, sans possibilité de changer le paramètre
pref("security.tls.version.enable-deprecated", false, locked);
Ceci fonctionne également avec les versions non-ESR de Firefox.
Pourtant: "Espressif will provide a fix that removes access to these HCI debug commands through a software patch for currently supported ESP-IDF versions".
Les switchs qui gèrent les VLANs ne sont pas rares, ils sont simplement un peu plus chers, et rarement en matériel/logiciel libre. C'est dommage pour le OpenWRT One, il y aura peut-être une version 4 ports ou 8 ports si le marché existe.
Pour la petite histoire, j'avais un petit routeur TP-Link avec Wifi et 5 ports Ethernet (1 WAN, 4 LAN), configurés sur des zones différentes, et au moment du boot, avant que OpenWRT charge la config, les 5 ports étaient UP sur la même zone, bonjour la salade niveau DHCP entre la Freebox et le réseau interne ! Pendant ces quelques secondes, j'avais parfois un ordi en interne qui avait le temps de prendre l'IP publique de la Freebox, qui était normalement destinée au routeur OpenWRT. Ça plaide plutôt pour avoir du matériel qui bloque les ports tant que la config n'est pas chargée :).
Dans cet article de l'EFF (Lire à partir de But unfortunately, the authors fail to apply), il est décrit la technique proposée, qui certes heurte les exigences de sécurité numériques (souvent fondées sur la confiance à un tiers), mais permet de contourner les lois mathématiques qui régissent la cryptographie.
Pour résumer, il s'agit de convertir une conversation de un-à-un en une conversation de groupe, et d'avoir un participant invisible, tout en masquant (par un mensonge) cette conversion.
C'est arrivé à l'entreprise Lavabit plusieurs fois. Le patron a fini par fermer l'entreprise car il trouvait cette pratique contraire à l'esprit du service qui était rendu.
Les choses sont posées à plat, mais, désolé, je peine à être convaincu par les arguments, qui sont :
Tout le monde fait ça.
Ce n'est pas si risqué.
C'est surtout risqué dans un mode qui n'est pas trop utilisé.
Bref, j'aurai préféré une réponse comme "déso, on aurait du désactiver ces commandes de debug juste après les contrôles qualité en sortie de chaîne de fabrication, voici un correctif".
J'adore dans la partie 3 section Poursuite de la réalisation, la description de la procédure de test : "le positionnement [de fils d'or] n'est pas simple (les plots sur la "puce" mesurent: 120µ sur 120µ!!"1, avec des mignons dessins, ça m'a rappelé des souvenirs de bancs de test sur du CMS :).
Aussi, il semble y avoir deux liens cassés vers des images ici : partie 1, section 3.C Paramètres électriques de cette technologie.
Ton parallèle est vraiment bien trouvé. C'est un peu comme si tu avais mis en place des couches d'abstraction et un MAC, et que d'un coup, tu découvres qu'un gbd dans un container Docker permet de lire et d'écrire dans la RAM du kernel hôte tout en contournant tranquillement SELinux.
Bien sûr, dans le cas de ces puces, il s'agit de couches bien plus simples, pour lesquelles les couches d'abstractions sont rarement respectées, donc dans beaucoup de cas, ça ne change rien.
Ce qui me chagrine, c'est qu'il semble que ce soit l'état de l'art dans ce genre de composant ("nan mais tout le monde le fait"), et je me permet de trouver ça un peu moisi :).
[^] # Re: retex
Posté par cg . En réponse au journal Un super Logic Analyzer DIY pour pas cher. Évalué à 2.
J'ai un petit oscilloscope de poche pas cher et open hardware (DSO Nano v2), et sur certains montage, brancher la sonde modifie le comportement… Pas pratique pour deboguer :(. L'oscilloscope Tektronix de bureau n'a pas ce problème.
Peut-être que les versions suivantes du DSO sont plus fiables, et comparer un objet à 50€ avec un oscillo à plus de 1500€, c'est pas du jeu :).
[^] # Re: Tant mieux et vivement l'inverse.
Posté par cg . En réponse au lien Stupeur dans les entreprises françaises après une lettre de l’ambassade américaine à Paris. Évalué à 2.
(est-il correct de traduire "malicious compliance" par grève du zèle ?)
[^] # Re: policies.json
Posté par cg . En réponse au message Automatisation Firefox. Évalué à 2.
Incroyable, j'étais persuadé que ce
policies.jsonn'était pris en compte que sur firefox-esr. Tout simplement excellent ![^] # Re: laisse ta fille gérer
Posté par cg . En réponse au journal Une adresse de messagerie pour les enfants ?. Évalué à 2. Dernière modification le 29 mars 2025 à 19:46.
Ça me peinerai qu'elle se crée une adresse gmail, mais bon, elle n'est pas moi :).
Merci pour ton retour, je vais y réfléchir !
# Autre article
Posté par cg . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 2.
L'article de Bleeping Computer sur le sujet est un résumé assez clair (pour qui lit l'anglais), et confirme que c'est juste un élément dans un exploit potentiel qui se ferait en combinant plusieurs trous de sécurité.
# Retour de ce type de situation entre entreprises privées
Posté par cg . En réponse au lien Stupeur dans les entreprises françaises après une lettre de l’ambassade américaine à Paris. Évalué à 3.
Comme le dit Misc, c'est somme toutes assez classique entre entités privées.
De ce que j'ai pu expérimenter concernant des exigences de sécurité entre un client États-Uniens et un fournisseur/sous-traitant (contractor) Français, chaque règle se fait selon la loi locale en vigueur.
Exemple typique, si le client demande que les antécédents judiciaires soient contrôlés pour chaque embauche, et bien le fournisseur Français répond que c'est illégal en France et qu'il ne peut pas s'y conformer. Le client a alors le choix le changer de fournisseur ou d'accepter l'exception par-rapport à ses habitudes.
Et en effet, là ou ça devient intéressant, c'est quand il y a peu de choix dans les fournisseurs. Le client ne peut pas forcément changer facilement :).
Par contre, en terme politiques, ce genre de lettre peut donner apporter de l'eau au moulin des partis Français qui sont sur une ligne anti-diversité, puisqu'ils peuvent alors argumenter que les lois sur la diversité pénalisent les entreprises qui souhaitent travailler avec les États-Unis.
[^] # Re: okok
Posté par cg . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 5.
J'avoue, j'ai relu trois fois.
Je crois que le truc, c'est que tu peux faire des manips que tu ne devrait pas pouvoir faire, et donc potentiellement, si les autres couches de sécurité autour sont trouées, réaliser un exploit.
Donc en gros, sur x couches de sécurité, il y en a une qui est exploitable, il faut la renforcer, car on ne peut pas présumer que les autres couches seront toujours solides.
Un truc de ce genre ?
[^] # Re: Tristesse
Posté par cg . En réponse au lien clap de fin (?) pour le festival Pas sage en seine. Évalué à 5.
Ça me semble plus utile et moins risqué de déposer des plaintes auprès de la police, si les personnes concernées ont l'énergie et les moyens de le faire. Et si elles le font, ces personnes n'ont par contre aucun intérêt à l'annoncer sur Internet.
# Tristesse
Posté par cg . En réponse au lien clap de fin (?) pour le festival Pas sage en seine. Évalué à 10.
Le texte dépeint une bien triste réalité. Ça me fait mal pour les personnes qui sont agressées. Force à elles !
# syspref
Posté par cg . En réponse au message Automatisation Firefox. Évalué à 5.
C'est drôle, j'ai fait ça tout à l'heure :p.
En créant un fichier
/etc/firefox/syspref.js, tu peux mettre des réglages par défaut, et éventuellement les verrouiller. Les réglages sont ceux qui proviennent de la pageabout:config.Exemples :
Ceci fonctionne également avec les versions non-ESR de Firefox.
[^] # Re: Maintenant qu'on est vendredi...
Posté par cg . En réponse au journal Python à trou : trouve ton environnement. Évalué à 4.
Boh…
[^] # Re: Réponse d’espressif
Posté par cg . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 2.
Pourtant: "Espressif will provide a fix that removes access to these HCI debug commands through a software patch for currently supported ESP-IDF versions".
[^] # Re: Le comble !
Posté par cg . En réponse au journal Mais arrêtez de massacrer la planète !. Évalué à 10.
En ce jour de marche contre les discriminations, il faut aussi se montrer tolérant.
[^] # Re: Autre option (bientôt)
Posté par cg . En réponse au journal Le routeur OpenWrt One. Évalué à 2.
8 Go :)
Dommage de ne pas mettre les ports RJ45 en 10Gps.
[^] # Re: Le comble !
Posté par cg . En réponse au journal Mais arrêtez de massacrer la planète !. Évalué à 10.
J'ai vu ça sur Mastodon, ça m'a fait rire:
[^] # Re: Routeur ??
Posté par cg . En réponse au journal Le routeur OpenWrt One. Évalué à 4.
Les switchs qui gèrent les VLANs ne sont pas rares, ils sont simplement un peu plus chers, et rarement en matériel/logiciel libre. C'est dommage pour le OpenWRT One, il y aura peut-être une version 4 ports ou 8 ports si le marché existe.
Pour la petite histoire, j'avais un petit routeur TP-Link avec Wifi et 5 ports Ethernet (1 WAN, 4 LAN), configurés sur des zones différentes, et au moment du boot, avant que OpenWRT charge la config, les 5 ports étaient UP sur la même zone, bonjour la salade niveau DHCP entre la Freebox et le réseau interne ! Pendant ces quelques secondes, j'avais parfois un ordi en interne qui avait le temps de prendre l'IP publique de la Freebox, qui était normalement destinée au routeur OpenWRT. Ça plaide plutôt pour avoir du matériel qui bloque les ports tant que la config n'est pas chargée :).
[^] # Re: et pour celles qui ne sont pas dans des cryptes ?
Posté par cg . En réponse au lien L’Assemblée nationale vote pour le maintien de la confidentialité des messageries cryptées. Évalué à 4.
Dans cet article de l'EFF (Lire à partir de But unfortunately, the authors fail to apply), il est décrit la technique proposée, qui certes heurte les exigences de sécurité numériques (souvent fondées sur la confiance à un tiers), mais permet de contourner les lois mathématiques qui régissent la cryptographie.
Pour résumer, il s'agit de convertir une conversation de un-à-un en une conversation de groupe, et d'avoir un participant invisible, tout en masquant (par un mensonge) cette conversion.
[^] # Re: FUD ?
Posté par cg . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 9.
C'est arrivé à l'entreprise Lavabit plusieurs fois. Le patron a fini par fermer l'entreprise car il trouvait cette pratique contraire à l'esprit du service qui était rendu.
[^] # Re: Réponse d’espressif
Posté par cg . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 3.
D'ailleurs, c'est hyper bien expliqué dans cette article du blog technique d'Espressif : ESP32 Undocumented Bluetooth Commands: Clearing the Air.
Les choses sont posées à plat, mais, désolé, je peine à être convaincu par les arguments, qui sont :
Bref, j'aurai préféré une réponse comme "déso, on aurait du désactiver ces commandes de debug juste après les contrôles qualité en sortie de chaîne de fabrication, voici un correctif".
# Nouvelle perspective
Posté par cg . En réponse au message Bandes rouges et filtre rouge son apparu sur mon écran. Évalué à 3.
C'est l'occasion de découvrir le Circuit bending :).
[^] # Re: correctif
Posté par cg . En réponse au message lfs: mort ou vivant?. Évalué à 10.
Et pourquoi pas même, le guide pour la version 12.3 ?
[^] # Re: Une petite mine d'or…
Posté par cg . En réponse au journal La thèse de Jean Gastinel: conception et intégration d'un terminal alphanumérique (1977). Évalué à 6.
Quel document en effet. Merci du journal !
J'adore dans la partie 3 section Poursuite de la réalisation, la description de la procédure de test : "le positionnement [de fils d'or] n'est pas simple (les plots sur la "puce" mesurent: 120µ sur 120µ!!"1, avec des mignons dessins, ça m'a rappelé des souvenirs de bancs de test sur du CMS :).
Aussi, il semble y avoir deux liens cassés vers des images ici :
partie 1, section 3.C Paramètres électriques de cette technologie.
soit 0,12mm ↩
# Une boucle
Posté par cg . En réponse au message netcat. Évalué à 2. Dernière modification le 15 mars 2025 à 16:02.
En mettant le processus "client" dans une boucle (depuis un script shell par exemple), tu peux le relancer quand il s'arrête, par exemple.
Il existe peut-être aussi des versions de netcat qui ont des options de reconnexion ?
[^] # Re: Quasiment opensource
Posté par cg . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 2.
Je ne m'étais jamais dit que la certification concernait aussi le firmware, c'est un très bon argument. Merci !
[^] # Re: Réponse d’espressif
Posté par cg . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 3.
Ton parallèle est vraiment bien trouvé. C'est un peu comme si tu avais mis en place des couches d'abstraction et un MAC, et que d'un coup, tu découvres qu'un gbd dans un container Docker permet de lire et d'écrire dans la RAM du kernel hôte tout en contournant tranquillement SELinux.
Bien sûr, dans le cas de ces puces, il s'agit de couches bien plus simples, pour lesquelles les couches d'abstractions sont rarement respectées, donc dans beaucoup de cas, ça ne change rien.
Ce qui me chagrine, c'est qu'il semble que ce soit l'état de l'art dans ce genre de composant ("nan mais tout le monde le fait"), et je me permet de trouver ça un peu moisi :).