Il suffit de bricoler un device USB qui se fait passer pour un clavier
Ça doit bien déjà exister non ?
J’ai souvenir d’une success story d’une boîte de pentesting qui avait pénétré le SI de leur client en distribuant des clés USB piégées, que les employés à qui elles avaient été distribuées s’étaient empressés de brancher sur leur poste… Ces clés avaient été présentées comme des goodies offerts par le prestataire…
Je me demande la proportion de clients d’audit de sécurité avec test de pénétration qui se feraient encore avoir comme ça :)
Maintenant rien à voir avec la choucroute mais je me pose une question « de français » :
J’ai souvenir d’une success story
Quand vous employez des mots étrangers issus d’une langue qui n’a qu’un genre pour les noms, vous accordez quand même avec le genre du mot équivalent en français ?
Ici, aurais-je dû écrire : « J’ai souvenir d’unsuccess story » ? Ça me choque un peu mais c’est techniquement correct (le meilleur type de correction…)
Bien sûr on va me dire que je pourrais m’abstenir d’écrire en franglais mais ce n’est pas la question. STFW ?… aussi oui…
Finalement le problème de Docker c'est qu'il ne reutilise pas les librairies dynamiques deja chargées c'est ca ?
Ce n’est pas un problème… le principe d’un conteneur c’est de segmenter… c’est normal que des bibliothèques ne soient pas partagées entre les conteneurs…
Bien sûr le gestionnaire de conteneurs peut dédoubler certains espaces mémoire mais j’imagine que ça a ses limites si on veut conserver une séparation stricte des environnements d’exécution…
D’où effectivement la nécessitée de mettre au point un « bare system » des plus léger…
Par contre, l'initiative d'expliquer ces choses là par le biais de la BD est louable. Follement ambitieuse (vu le nombre de concepts et de niveaux de concepts (*))
Sur ce créneau on peut dire que XKCD se pose là… moi j’ai envie de lancer un projet de traduction vers le français, ça increaserait la penetration de ce comic dans l’hexagone.
Tu pars de l'hypothèse de pouvoir auditer le client.
Bah oui, je pars du principe de pouvoir auditer le code client (JS) qui tourne dans mon Firefox (et là on note au passage que je me repose sur l’intégrité d’un code, celui de Firefox, que je suis bien loin d’être en mesure d’auditer…)
Un « code client » par définition tu le fais tourner sur un OS/Matériel en lequel tu as confiance… en contrôlant un tas de paramètres…
La taille de l'image système c'est pas forcément celle prise en mémoire.
C’est quand même souvent corrélé. Une Debian (ou autre ditrib’ généraliste) occupe plus de place ET en terme de stockage dans /usr ET en terme d’utilisation de la RAM qu’un Busybox…
Par ailleurs, je ne connais pas bien Docker, je ne serais pas surpris que Docker charge tout l’userland (ie : le contenu du /usr du conteneur) quand il démarre le conteneur…
Est-ce même le domaine dans lequel il cherche (c’est à dire que lorsqu’il trouve quelque chose dans ce domaine, y prête-il attention) ? A-t-il intérêt à révéler sa capacité à analyser un processeur concurrent ?
Dans le cas où l’état se rend compte que le le dernier chipset équipant telle ou telle marque est muni d’une belle backdoor je pense effectivement qu’ils ne le crieront pas sur les toits mais mettrons des moyens en œuvre pour qu’aucun matériel muni de cette puce se retrouve dans l’administration et les PME du pays… (ainsi que retrouver et châtier ceusses qui ont voulu la leur faire à l’envers…)
Je pense pas que ça arrive souvent… mais j’ai l’impression que ça pourrait bien se passer comme ça dans l’avenir… Nous (européens) faisons fabriquer nos puces en Asie… la savoir faire a été transmis il n’ont plus besoin de nous pour en fabriquer…
Maintenant faudrait faire de même avec standardisation, décentralisation, et surtout code libre
En terme de SaaS, de la fourniture d’un service, le fait que le code serveur soit libre n’est aucunement une garantie d’intégrité du service…
déjà le client peut faire une analyse sur le téléphone : tu peux envoyer ton message chiffré, mais ton client peut savoir que tu as dis marseille, voyage et août, et avertir le serveur qu'il faut envoyer des pubs sur les boules de pétanque et le Pastis
D’où l’importance que le code qui tourne sur le terminal du client soit ouvert, dans ce cas, un tel comportement ne pourrait être dissimulé, il apparaîtrait clairement à la lecture du code source de la partie cliente.
ça tient en 40 mo seulement tout en ayant "apt-get"
Dans le cas où doit vraiment isoler chaque service, donc lancer de nombreux « petits » conteneurs, la mémoire occupée par le système (avant lancement du service principal de ce conteneur) est importante. Le temps de démarrage nécessaire à chaque conteneur (entre une Debian minimal et un TinyCore Linux, ou le genre de système « au petits oignons » dont on parle ici, ça fait une nette différence…) ça rentre en ligne de compte.
En fait la question, c'est comment tu garantis que le serveur n'est pas en mesure de déchiffrer la donnée ?
Si la paire de clés est générée côté client (par exemple un JS pas obfusqué…) et que c’est toujours du code client qui se charge d’envoyer éventuellement la clé publique puis de chiffrer systématiquement le contenu envoyé ensuite je ne vois en quoi il est nécessaire de faire confiance au code serveur, qui même s’il est libre peut très bien avoir été patché sauvagement par l‘administrateur dû dit serveur…
Reste en effet les méta-données (heure, origine, quantité de donnée (chiffrée !), etc…) qui peuvent être exploités statistiquement si elles représentent un volume important.
c'est intriguant d'avoir laisser passer cela. Si plus de marine, pleins de gens en galère de choix de vote, donc, soit votes blanc, soit vote pour un outsider.
C’est irritant d’entre parler d’élection à venir 36 mois à l’avance… alors qu’on sait que tout (tous…) peuvent changer…
Posté par Marotte ⛧ .
En réponse au journal Monde de merde.
Évalué à 0.
Dernière modification le 05 avril 2016 à 20:08.
Un point de vue que j’ai omis dans le journal, à raison, je suis trop au fait de danger du trolling…
C’est que toute cette mafia essaye de nous la faire à l’envers en banalisant la fraude fiscale… vous en entendrez parler braves gens, c’est normal… qui protestent contre les pavillons de complaisance dans la marine marchande ?
D’une point de vue sociologique c’est ça… la tentative de mise en œuvre d’une assise psychologique d’un pouvoir qui s’efforce de dessiner ses limites et édicter ses lois, ce que, tristement, chacun ferait dans leurs positions…
Que certaines personnes y jettent un oeil, possible, mais je doute très fortement de la capacité de quiconque de détecter ce genre de choses. Par expérience, déboguer une communication USB3 on ne peut plus standard est déjà l'enfer, alors je n'imagine même pas ce que doit être analyser un processeur complet, avec tous les états internes possibles…
Je reconnais que ça demande du temps et des compétences pointues. Ce n’est en effet pas à la portée de tout le monde… à des années lumières pour quiconque en quelque sorte…
Je pense tout de même que les états mènent ce genre d’étude, qui rejoint l’espionnage industriel… La puce de ton concurrent tu la mets sur un banc d’analyse logique même si c’est effectivement une tâche longue et fastidieuse…
Je pense que ce genre de code malicieux doit pouvoir être détecté à l’analyseur logique et que certains ne se privent pas d’y jeter un œil.
Comme quand tu n’as pas le code source d’un OS… tu regardes ce qu’il fait, de l’extérieur.
Toujours est-il que l’introduction d’une telle fonctionnalité dans un lot particulier, destiné à un marché particulier… disons qu’on s’arrange pour que ce soit telles personnes et pas d’autres qui utilisent ces processeurs… ça me parait plausible. Je pense que les fondeurs sont capables de le faire et que des agences gouvernementales ont déjà eu l’idée, voir l’ont appliquée (ya déjà eu le cas sur des routeurs Cisco si je ne m’abuse, mais au niveau de l’OS je crois).
À grande échelle et de manière généralisée je n’y crois pas. Ça aurait fini par se voir.
July 10, 2006 The Zooop is a high performance 150 kW three seat electric car that weighs just 690 kilograms and has a range of 450 kilometres.
Vitesse de pointe 180 km/h :)
C’était en 2006… les chiffres annoncés sont mensongers ou bien Renault se fout vraiment de notre gueule avec des brouettes comme Tweezy pas foutues de faire plus de cinquante borne ?
Je serais client de ce genre de véhicule. J’ai pas besoin de 36 équipements sur et dans mon véhicule sans pour autant vouloir faire de la moto…
Vu le prix, la complexité et le rendement des routes solaires, bah autant mettre des panneaux à côté des routes (plus simple, mieux orienté, pas salis par le passage des véhicules)
Je serais d’avis de placer les panneaux au dessus de l’autoroute, qui formeraient comme un toit, ça aurait d’autres avantages :
l’espace déjà occupé par le bitume est utilisé
réduction de l’impact des intempéries (pluie, soleil) sur la conduite
Je suppose qu’il faudrait placer également des transformateurs à intervalles réguliers pour transporter efficacement le courant si les panneaux sont dispersés le long d’une route… On doit certainement pouvoir interconnecter un tel réseau avec le réseau électrique existant.
Posté par Marotte ⛧ .
En réponse au journal Bash dans Windows.
Évalué à 2.
Dernière modification le 31 mars 2016 à 23:15.
Rien de nouveau (et les gens sont toujours sous Windows, ou au pire Mac, y compris pour des développeurs qui connaissent Linux, malgré que Linux soit prêt pour le desktop depuis maintenant 20 ans qu'on me le dit).
Même si la part de marché reste plus ou moins anecdotique tu reconnaîtras qu’elle ne fait que croître…
Les gendarmes français utilisent Ubuntu, par exemple.
De plus en plus de jeux commerciaux sortent sous Linux…
[^] # Re: La sécurité ? Une contrainte pour la productivité
Posté par Marotte ⛧ . En réponse au journal Avant c'est trop cher, après c'est trop tard. Évalué à 5. Dernière modification le 07 avril 2016 à 21:49.
Ça doit bien déjà exister non ?
J’ai souvenir d’une success story d’une boîte de pentesting qui avait pénétré
le SI deleur client en distribuant des clés USB piégées, que les employés à qui elles avaient été distribuées s’étaient empressés de brancher sur leur poste… Ces clés avaient été présentées comme des goodies offerts par le prestataire…Je me demande la proportion de clients d’audit de sécurité avec test de pénétration qui se feraient encore avoir comme ça :)
Maintenant rien à voir avec la choucroute mais je me pose une question « de français » :
Quand vous employez des mots étrangers issus d’une langue qui n’a qu’un genre pour les noms, vous accordez quand même avec le genre du mot équivalent en français ?
Ici, aurais-je dû écrire : « J’ai souvenir d’un success story » ? Ça me choque un peu mais c’est techniquement correct (le meilleur type de correction…)
Bien sûr on va me dire que je pourrais m’abstenir d’écrire en franglais mais ce n’est pas la question. STFW ?… aussi oui…
[^] # Re: Alpine
Posté par Marotte ⛧ . En réponse au journal Yocto+Docker: Les containers personnalisé. Évalué à 4.
Ce n’est pas un problème… le principe d’un conteneur c’est de segmenter… c’est normal que des bibliothèques ne soient pas partagées entre les conteneurs…
Bien sûr le gestionnaire de conteneurs peut dédoubler certains espaces mémoire mais j’imagine que ça a ses limites si on veut conserver une séparation stricte des environnements d’exécution…
D’où effectivement la nécessitée de mettre au point un « bare system » des plus léger…
[^] # Re: Wow
Posté par Marotte ⛧ . En réponse au journal Electronic Real World : Internet Packet Life. Évalué à 2.
Sur ce créneau on peut dire que XKCD se pose là… moi j’ai envie de lancer un projet de traduction vers le français, ça increaserait la penetration de ce comic dans l’hexagone.
[^] # Re: Intérêt
Posté par Marotte ⛧ . En réponse au journal WhatsApp active le chiffrement de bout en bout. Évalué à 2.
Bah oui, je pars du principe de pouvoir auditer le code client (JS) qui tourne dans mon Firefox (et là on note au passage que je me repose sur l’intégrité d’un code, celui de Firefox, que je suis bien loin d’être en mesure d’auditer…)
Un « code client » par définition tu le fais tourner sur un OS/Matériel en lequel tu as confiance… en contrôlant un tas de paramètres…
[^] # Re: Pas convaincu
Posté par Marotte ⛧ . En réponse au journal Yocto+Docker: Les containers personnalisé. Évalué à 1.
C’est quand même souvent corrélé. Une Debian (ou autre ditrib’ généraliste) occupe plus de place ET en terme de stockage dans /usr ET en terme d’utilisation de la RAM qu’un Busybox…
Par ailleurs, je ne connais pas bien Docker, je ne serais pas surpris que Docker charge tout l’userland (ie : le contenu du /usr du conteneur) quand il démarre le conteneur…
[^] # Re: Intéressant
Posté par Marotte ⛧ . En réponse au journal À propos de la petite bête dans votre ordinateur. Évalué à 2.
Dans le cas où l’état se rend compte que le le dernier chipset équipant telle ou telle marque est muni d’une belle backdoor je pense effectivement qu’ils ne le crieront pas sur les toits mais mettrons des moyens en œuvre pour qu’aucun matériel muni de cette puce se retrouve dans l’administration et les PME du pays… (ainsi que retrouver et châtier ceusses qui ont voulu la leur faire à l’envers…)
Je pense pas que ça arrive souvent… mais j’ai l’impression que ça pourrait bien se passer comme ça dans l’avenir… Nous (européens) faisons fabriquer nos puces en Asie… la savoir faire a été transmis il n’ont plus besoin de nous pour en fabriquer…
[^] # Re: modèle économique
Posté par Marotte ⛧ . En réponse au journal WhatsApp active le chiffrement de bout en bout. Évalué à 2.
En terme de SaaS, de la fourniture d’un service, le fait que le code serveur soit libre n’est aucunement une garantie d’intégrité du service…
D’où l’importance que le code qui tourne sur le terminal du client soit ouvert, dans ce cas, un tel comportement ne pourrait être dissimulé, il apparaîtrait clairement à la lecture du code source de la partie cliente.
[^] # Re: Voleurs et bouffons
Posté par Marotte ⛧ . En réponse au journal Monde de merde. Évalué à 6.
J’aurais dit… « à leurs moutons »…
Le bouffon tu peux t’en passer, tu te fais juste chier… Alors que pas de mouton, pas de laine, tu crèves de froid sous la neige !
[^] # Re: Corrélation fallacieuse ou évidence?
Posté par Marotte ⛧ . En réponse au journal Steam & Linux. Évalué à 4.
Peut être un virus persistant (dans le BIOS) qui a réussi à se reproduire sur ton Win98 mais est inoffensif sur Linux ? :)
# Excellent journal
Posté par Marotte ⛧ . En réponse au journal Yocto+Docker: Les containers personnalisé. Évalué à 3.
Ça donne envie de tester tout ça !
Au passage juste une faute dont ce journal mériterait qu’on la corrige :
n’est pas
C’est la seule que j’ai vu (mais elle pique)…
En tous cas encore une fois bravo, tes explications sont limpides…
[^] # Re: Pas convaincu
Posté par Marotte ⛧ . En réponse au journal Yocto+Docker: Les containers personnalisé. Évalué à 2.
Dans le cas où doit vraiment isoler chaque service, donc lancer de nombreux « petits » conteneurs, la mémoire occupée par le système (avant lancement du service principal de ce conteneur) est importante. Le temps de démarrage nécessaire à chaque conteneur (entre une Debian minimal et un TinyCore Linux, ou le genre de système « au petits oignons » dont on parle ici, ça fait une nette différence…) ça rentre en ligne de compte.
[^] # Re: Intérêt
Posté par Marotte ⛧ . En réponse au journal WhatsApp active le chiffrement de bout en bout. Évalué à 3.
Si la paire de clés est générée côté client (par exemple un JS pas obfusqué…) et que c’est toujours du code client qui se charge d’envoyer éventuellement la clé publique puis de chiffrer systématiquement le contenu envoyé ensuite je ne vois en quoi il est nécessaire de faire confiance au code serveur, qui même s’il est libre peut très bien avoir été patché sauvagement par l‘administrateur dû dit serveur…
Reste en effet les méta-données (heure, origine, quantité de donnée (chiffrée !), etc…) qui peuvent être exploités statistiquement si elles représentent un volume important.
[^] # Re: ahaha
Posté par Marotte ⛧ . En réponse au journal Monde de merde. Évalué à 2.
C’est le fait que ça te semble si banal qui me sidère.
[^] # Re: en parler..
Posté par Marotte ⛧ . En réponse au journal Monde de merde. Évalué à 2.
C’est irritant d’entre parler d’élection à venir 36 mois à l’avance… alors qu’on sait que tout (tous…) peuvent changer…
[^] # Re: ahaha
Posté par Marotte ⛧ . En réponse au journal Monde de merde. Évalué à 5.
Le problème c’est qu’en ayant bien conscience que tous ne sont pas pourris ça devient de plus en plus dur de faire le tri.
[^] # Re: en parler..
Posté par Marotte ⛧ . En réponse au journal Monde de merde. Évalué à 1.
Non. Lui, pas de risque, notre FN (François National) est lui un homme-écran…
[^] # Re: en parler..
Posté par Marotte ⛧ . En réponse au journal Monde de merde. Évalué à 0. Dernière modification le 05 avril 2016 à 20:08.
Un point de vue que j’ai omis dans le journal, à raison, je suis trop au fait de danger du trolling…
C’est que toute cette mafia essaye de nous la faire à l’envers en banalisant la fraude fiscale… vous en entendrez parler braves gens, c’est normal… qui protestent contre les pavillons de complaisance dans la marine marchande ?
D’une point de vue sociologique c’est ça… la tentative de mise en œuvre d’une assise psychologique d’un pouvoir qui s’efforce de dessiner ses limites et édicter ses lois, ce que, tristement, chacun ferait dans leurs positions…
[^] # Re: C'est bien
Posté par Marotte ⛧ . En réponse au journal Monde de merde. Évalué à 7.
Tu as dû leur envoyer ta candidature spontanée aux premier bruissements de l’affaire non ?
[^] # Re: Intéressant
Posté par Marotte ⛧ . En réponse au journal À propos de la petite bête dans votre ordinateur. Évalué à 8.
Je reconnais que ça demande du temps et des compétences pointues. Ce n’est en effet pas à la portée de tout le monde… à des années lumières pour quiconque en quelque sorte…
Je pense tout de même que les états mènent ce genre d’étude, qui rejoint l’espionnage industriel… La puce de ton concurrent tu la mets sur un banc d’analyse logique même si c’est effectivement une tâche longue et fastidieuse…
# Intéressant
Posté par Marotte ⛧ . En réponse au journal À propos de la petite bête dans votre ordinateur. Évalué à 4. Dernière modification le 05 avril 2016 à 18:36.
Je pense que ce genre de code malicieux doit pouvoir être détecté à l’analyseur logique et que certains ne se privent pas d’y jeter un œil.
Comme quand tu n’as pas le code source d’un OS… tu regardes ce qu’il fait, de l’extérieur.
Toujours est-il que l’introduction d’une telle fonctionnalité dans un lot particulier, destiné à un marché particulier… disons qu’on s’arrange pour que ce soit telles personnes et pas d’autres qui utilisent ces processeurs… ça me parait plausible. Je pense que les fondeurs sont capables de le faire et que des agences gouvernementales ont déjà eu l’idée, voir l’ont appliquée (ya déjà eu le cas sur des routeurs Cisco si je ne m’abuse, mais au niveau de l’OS je crois).
À grande échelle et de manière généralisée je n’y crois pas. Ça aurait fini par se voir.
[^] # Re: Autant qu’elle ait de la gueule !
Posté par Marotte ⛧ . En réponse au journal Tesla, pas un poisson d'avril. Évalué à 4.
J’aime rouler vite dans l’allée de mon garage.
# Autant qu’elle ait de la gueule !
Posté par Marotte ⛧ . En réponse au journal Tesla, pas un poisson d'avril. Évalué à 3. Dernière modification le 04 avril 2016 à 16:43.
J’avais entendu parler de celle-là il y a longtemps :
http://www.gizmag.com/go/5844/
Vitesse de pointe 180 km/h :)
C’était en 2006… les chiffres annoncés sont mensongers ou bien Renault se fout vraiment de notre gueule avec des brouettes comme Tweezy pas foutues de faire plus de cinquante borne ?
Je serais client de ce genre de véhicule. J’ai pas besoin de 36 équipements sur et dans mon véhicule sans pour autant vouloir faire de la moto…
https://fr.wikipedia.org/wiki/Courr%C3%A8ges_Zooop
[^] # Re: Batteries
Posté par Marotte ⛧ . En réponse au journal Tesla, pas un poisson d'avril. Évalué à 5.
Je serais d’avis de placer les panneaux au dessus de l’autoroute, qui formeraient comme un toit, ça aurait d’autres avantages :
Je suppose qu’il faudrait placer également des transformateurs à intervalles réguliers pour transporter efficacement le courant si les panneaux sont dispersés le long d’une route… On doit certainement pouvoir interconnecter un tel réseau avec le réseau électrique existant.
# Mes deux centimes
Posté par Marotte ⛧ . En réponse au journal LinuxFr.org n'aime pas discuter du hors sujet [titre réécrit]. Évalué à 2.
C’est tout à fait normal que ta dépêche ait été refusée. Elle est hors sujet.
Un journal avec ce contenu n’aurait pas posé de problème.
C’est une blague ?
[^] # Re: Question
Posté par Marotte ⛧ . En réponse au journal Bash dans Windows. Évalué à 2. Dernière modification le 31 mars 2016 à 23:15.
Même si la part de marché reste plus ou moins anecdotique tu reconnaîtras qu’elle ne fait que croître…
Les gendarmes français utilisent Ubuntu, par exemple.
De plus en plus de jeux commerciaux sortent sous Linux…