Marotte ⛧ a écrit 8780 commentaires

C’est plutôt le processeur… On peut se servir des trucs qu’il exécute en avance « au cas où pour gagner du temps », pour deviner des informations auxquelles on ne devrait pas avoir accès normalement. Le noyau peut « boucher » cette faille. Au prix d’une perte de performance qui peut aller jusqu’à 15% si je ne m’abuse… Il y a des usages pour lesquels ça ne va pas être neutre à mon avis…

AMD est aussi concerné par la faille Spectre. C’est Meltdown, un autre type de faille, qui ne concerne « que », potentiellement, tous les processeurs Intel (sauf certains Atom, etc…) fondu après 1995…

C’est vrai que les deux ont été rendues publiques en même temps, donc ça crée de la confusion…

Wikipédia FR propose des articles sur ces deux failles, comme toujours assez accessible, c’est de la vulgarisation, avec des liens intéressants pour rentrer plus en avant dans le sujet.

Je viens de découvrir que la faille avait même un logo (enfin sur Wikipédia au moins) mais je sais qu’il y a un site dédié pour chacune des failles. Elles méritent bien ça…

Un mot qu’il est nouveau on dirait (il l’est pour moi en tous cas)…

Extrait de la top réponse à https://stackoverflow.com/questions/48089426/what-is-a-retpoline-and-how-does-it-work

As far as I can piece this together from the limited information at the moment, a retpoline is a return trampoline that uses an infinite loop that is never executed to prevent the CPU from speculating on the target of an indirect jump.

Il me semble que B majuscule est pour byte (= 1 octet si la taille du bytes est de 8 bits, ce qui est quasiment vrai tout le temps) et le b minuscule pour bit.

Le k pour kilo ne doit pas être en majuscule :

1kb/s : un kilo-bit par seconde
1kB/s : un kilo-octet (un kilo-byte) par seconde

On devrait même écrire : 1kiB/s pour être conforme à la norme ISO mais c’est complètement débile… (vu que par 1 kilobyte on entend plutôt 1024 bytes, et pas 1000 bytes…)

« Normalement »… 1kiB = 1024 bytes et 1kB = 1000 bytes. Mais je le redis, c’est stupide.

Si par souche tu entends le « talon », là où on note normalement le tiers, la date et le montant, pour faire ses comptes à la fin du mois, et bien moi ! Et j’y tiens à mon moyen de paiement non-digital… Certes pour payer à distance ce n’est pas pratique et c’est lent, mais pour tous les achats « en live » c’est super pratique : pas besoin de lecteur de carte, pas besoin d’avoir la somme sur soi en liquide, c’est tracé, ce n’est pas « au porteur » comme de l’argent liquide.

Côté traitement, pour les grosses structures et les banques, le traitement ne coûte pas vraiment plus cher. Une fois le chèque scanné c’est pris en compte par le SI. Je pense pas que les banques attendent de pointer chaque chèque physiquement, elles les gardent pour vérification éventuelle, c’est tout. (je n’ai jamais travaillé dans une banque cela dit…)

Le chèque papier est une liberté individuelle fondamentale, au même titre que le vote papier.

EDIT: Arf, non, la souche c’est un double carbone plutôt si j’ai bien compris ?

Tu peux faire des PC qui ne soient pas de simple radiateurs rayonnants mais des machines thermiques réversibles, en été ça fait climatisation ! :)

Je pense pas que ce soit valable, pour des histoires de rendement…

Les PC classiques ne sont pas conçus pour tourner à fond tout l'hiver. Et ils n'ont aucune inertie thermique.

Pas besoin d’inertie thermique si tu les laisses allumés en permanence. D’où la possibilité de récupérer la chaleur des DC pour un chauffage collectif (ça se fait déjà). Pour un seul PC je vois pas trop comment tu peux faire mieux pour récupérer la chaleur quand il s’éteint et tu vas pas chauffer un ballon d’eau chaude avec 300W (alors 30W…) ça serait pas rentable à mon avis vu l’« auto-décharge » du-dit ballon.

C’est à dire que le code du virus s’ajoute aux sources des programmes et sont ainsi compilées en même temps que le programme lui-même ?

Pas sûr. C’est très intéressant en tous cas.

The only way you're going to get a clean compiler executable now is to build your computer yourself out of TTL logic you salvage from some museum somewhere, then code up a set of basic binary tools sufficient to assemble assembler. Then bootstrap from the source of all the modern tools.

This actually sounds like a worthy project until you realize that the only person who could possibly trust your clean compiler executable is you.

^^

Je me souviens d’un rootkit qui n’était distribué que sous forme de code source. L’auteur expliquait que de part la nature « borderline » de ce genre de logiciel on ne pouvait pas faire confiance aux auteurs du rootkit, qui pouvaient très bien fournir un rootkit « lui-même piégé », si je puis dire. Il n’imaginait pas utiliser un rootkit déjà compilé donc il ne distribuait non plus pas le sien déjà compilé, pour cette unique raison…

Sur la seconde capture :

• il manque l’accent sur le E majuscule de « Élément créé »
• la date mélange français et anglais
• « et/ou » peut être remplacé par « ou » (la conjonction « ou » est déjà inclusive…) Personnellement je trouve que ça allège et ça veut bien dire la même chose.
• tu as caviardé un nom mais tu as laissé celui d’Alexi Cauvin dans le sous-titre, vu l’horodatage je parie que c’est le même qui est masqué, pas M Doe ! :)

Le gros inconvénient d’un wiki, c’est qu’il devient très rapidement désorganisé (car non structuré par conception) et que l’information est souvent obsolète car non mise à jour (cela étant une conséquence de la désorganisation — on ne peut pas facilement trouver une information donnée)

Le gros problème c’est surtout qu’on a un vendu le wiki comme étant la panacée, que la documentation allait se faire toute seule, très rapidement, sans même y penser : sans y consacrer la moindre ressource humaine… Un wiki n’est pas « désorganisé par conception », l’organisation du contenu suit le même principe que le contenu lui-même : il est produit progressivement et de manière participative. Le wiki n’a donc effectivement aucune organisation définie à sa création. Cela ne veut pas dire qu’une ou plusieurs personnes ne puissent avoir comme travail de réfléchir et mettre en œuvre une organisation à mesure que le contenu est créé par les utilisateurs. Pour ce qui est de la fraîcheur des informations c’est pareil, en assurant un suivi, par exemple sur les pages pas modifiées depuis un petit moment ou peu visitées, on peut obtenir un ensemble globalement à jour. Chaque utilisateur/équipe qui sera relancé dans le cadre de ce suivi finira par intégrer ce souci d’avoir une documentation à jour sur son projet, son produit ou autre. C’est un travail d’éducation des utilisateurices. Un wiki désorganisé n’est pas une fatalité.

cela étant une conséquence de la désorganisation

Ça laisse entendre qu’une « structuration de l’information plus rigide mais plus pérenne à travers des dossiers et sous‐dossiers, et des pages de documentation multimédia (texte riche, tableaux, images intégrées) » serait à l’abris de la montée du taux d’obsolescence des documents. Une hiérarchie de documents multimédia mal foutue ça peut aussi devenir bien moche et quasi inutilisable rapidement… là aussi ce sont l’importance des ressources consacrées au suivi du bousin qui feront la différence…

Pour finir : ça a l’air d’être un super produit ! Sincères félicitations, c’est beaucoup de travail. Je vois pas mal de possibilité pour là où je travaille actuellement, je vais essayer de tester le produit un peu sérieusement (technique & politique…). J’aime bien Python et uWSGI, ta présentation donne envie de participer au projet.

en france on semble avoir tendance a se faire la guerre entre patron et employe, et dans les grosses boites je pense que c'est possiblement justifiable (des 2 cotes) mais dans les petites?

Déjà dans son cas il s’agit de passer de « je travaille seul » à « petite entreprise ». On peut être très bon pour ce qui est de travailler seul avec des clients et des fournisseurs de matières premières ou de services de base et être nul pour ce qui est de la gestion des conflits, qui ne manquent pas d’arriver comme tu le fais remarquer, avec des employés ou des associés. En fait, avec quiconque doit participer au métier lui-même…

Se faire la guerre au lieu de créer de la richesse pour tous, ou même seulement pour soi, c’est difficilement justifiable, que ce soit dans les petites comme dans les grosses entreprises… Selon moi ces « gué-guerres » plus ou moins inévitables s’expliquent grosso modo pour les mêmes raisons, sauf qu’on ne trouvera majoritairement pas forcément les mêmes dans les deux cas. Dans le cas des petites ça va plus taper dans les problème d’égo ou de leadership, voire des antipathies complètement personnelles. Pour les grosses ce serait plutôt la remise en question des règlements, les problèmes de communication entre le haut et le bas de la pyramide. Par exemple, ça reste à identifier plus précisément.

J’attire votre attention sur le fait qu’il ne s’agit que mon point de vu de sociologue-DRH amateur et qu’il peut « légèrement » être à côté de la plaque, ça me paraît important de le rappeler, à toi lecteur qui ne m’a pas encore assez lu :)

Et surtout, décharger pour poser localement ça veut dire avoir les mails en un seul endroit. Mais je ne veux surtout pas ça. Je veux utiliser n'importe lequel de mes ordis ou téléphone pour accéder à mes mails.

Tu es je pense au courant mais je précise pour les autres : tu peux utiliser Thunderbird pour faire de l’IMAP et laisser les mails sur le serveur (voire du POP en gardant une copie sur le serveur mais je vois pas trop l’intérêt par rapport à IMAP). Je sais que tu répondais à une phrase précise mais il n’y a aucun rapport avec l’utilisation de Thunderbird.

Et en plus je n'héberge pas qu'un domaine, ni que mes mails à moi, nous sommes plusieurs sur un même serveur avec quelques dizaines d'adresses en tout.

Justement, plus tu as de comptes plus l’utilisation d’un client lourd se justifie. Ça sera toujours plus ergonomique, réactif et agréable à utiliser que n’importe quel client basé sur une techno web.

Si installer et configurer Thunderbird est pas possible on peut je crois utiliser GMail comme client pour n’importe quelle autre compte de messagerie aussi…

(et je ne parle pas de l'ergonomie de thunderbird)

On peut toujours trouver à redire mais toutes les fois où j’ai testé j’ai pas trouvé d’énorme problème, ni une infinité de petits, qui rendrait ce logiciel pénible. Je préfère Clawsmail mais c’est parce que j’aime les outils plus épurés et aussi par habitude.

Croire qu'en étant averti on peut gérer est une illusion.

Oui c’est juste. Cependant, même si être averti ne garantit pas de pouvoir gérer, ça augmente la probabilité d’y arriver plus que ça ne lui nuit. Àmha.

Se forcer à « ne pas savoir » dans le but de ne pas risquer de laisser parler ses préjugés me semble un peu dangereux car c’est promouvoir l’ignorance. Il faut garder à l’esprit qu’on peut avoir des préjugés et essayer de les dépasser, ça me parait plus simple, plus honnête intellectuellement et donc plus sain.

C’est surprenant de lire une phrase avec à la fois le mot « autocratique » et la bien vilaine faute « sait → s’est »… Et puis… tu ne voulais pas tout simplement dire « totalitaire » ou « non démocratique » ? En fait, je ne comprends pas ce que viens faire l’autocratisme là-dedans…

OK je comprends mieux.

Oui, clairement. D’ailleurs, si l’OS est infesté, les antivirus installés sur le poste peuvent avoir été neutralisés.

Donc même si tu utilises Windows et un antivirus propriétaire il faudrait procéder de même : en bootant un système live pour scanner le disque.

Me demandez pas ce qui est le mieux en système Windows live, je n’y connais rien. Je sais juste que ça existe parce que j’ai utilisé un truc du genre il y a quelques années, je crois que c’était Windows PE

Enfin… si les gros antivirus ont des versions Linux faut être carrément masochiste pour utiliser Windows… Une des nombreuses limitation de Windows PE (j’en rigole tellement c’est ubuesque… ah… le proprio…) :

Pour bloquer son utilisation en tant que système d’exploitation piraté, Windows PE cesse automatiquement d’exécuter l’interpréteur de commandes et redémarre après 72 heures d’utilisation continue. Cette durée n’est pas configurable.

Il y a sûrement des versions non-officielles aux binaires patchés pour éviter cette limitation mais bon… si c’est pour installer une autre vérole :)

Bon, je vais arrêter là les digressions parce que je commence à essayer d’imaginer un monde sans GNU/Linux, avec seulement Microsoft et Apple, ça fait peur ! /o\

J’ai le même comportement en remplaçant installed par present…

D’après https://ask.puppet.com/question/4947/is-it-better-to-use-present-or-installed/ il n’y a pas de différence entre les deux.

Finalement je m’en suis sorti en faisant simplement :

  exec { 'Install NRPE':
    command => "/usr/bin/rpm -i /tmp/${nrpe_rpm}",
    unless  => "/usr/bin/rpm -q ${package_nrpe}"
  }

et ça fonctionne.

Roundcube peut-être ?

elles proposent de garder un capteur de vitesse pendant 3 mois (aucune obligation d’accepter), et à la fin de cette période au pire rien ne change, ou bien l’assuré se voit offrir une réduction estimée à partir des mesures de vitesse et d’accélération.

C’est pas bête mais ça semble assez ouvert à la fraude : adopter une conduite modèle pendant 3 mois juste pour avoir la ristourne…

pour être équitable ça devrait être proposé autrement : un prix standard tel que la compagnie d’assurance s’y retrouve, et des réductions optionnelles pour les assurés qui peuvent justifier d’un niveau de risque moins élevé

Si tu ne peux/veux pas justifier quoi que ce soit tu sera considéré comme « à risque » et tu paieras plein pot… Tu le formules différemment mais ça revient au même.

Existe-il une liste des virus connus sous Linux en tant que poste de travail ?

Tu peux regarder ce que fait checkrootkit, ça peut te donner une idée des menaces qui pèsent sur tout système de type Unix. Il n’y a pas que vers et virus…

Wikipédia a une liste (évidemment) : https://fr.wikipedia.org/wiki/Liste_des_malwares_Linux

Je ne sais pas faire mais il doit être possible de lister les définitions de la base de ClamAV… Celles-ci contiennent peut-être une information permettant de lister seulement les menaces concernant GNU/Linux ?

J'en convient que notre plate-forme n'est pas attractive pour les développeurs de virus

En tant que cible… Pas mal de créateurs de virus doivent utiliser GNU/Linux (et plus largement des logiciel libre) au quotidien ;)

Linux reste peu utilisé, et très fragmenté. Donc beaucoup de travail pour faire un virus qui marche partout et qui cible finalement que peu d'utilisateurs.

J’ai lu quelque part que les premiers virus informatiques étaient apparus avec Unix. C’est peut-être faux, j’ai la flemme de vérifier mais en tous cas je ne crois pas que techniquement cela soit plus dur à faire. Si un virus exploite une faille de Linux ou systemd, il y a des chances qu’il puisse se propager sur 80% des distributions */Linux sans nul besoin de miracle… Il pourrait aussi exploiter une faille de la JVM Oracle… bref…

À part le fait que, comme tu l’écris, « Linux reste peu utilisé » (ndlr: sur le desktop bien sûr…) rien ne prouve que GNU/Linux ou FreeBSD soit plus à l’abri que Windows ou MacOS, techniquement parlant. L’ouverture du code est selon moi à double tranchant sur ce point car les failles sont davantage visibles autant pour les « défenseurs/correcteurs » que pour les « attaquants/exploiteurs » donc au final, bien malin celui que peut savoir, sans risque de se tromper, de quel côté penche la balance…

Reste le facteur humain. Il faudrait savoir si de part leur nature, les OS modifient la faculté d’apprentissage et de compréhension de la chose informatique. Entre un OS libre qui incite au DIY, à l’implication dans le développement de l’OS (au sens large : traduction, documentation, formation, etc…) et un OS qui tente de mouler ses utilisateurs en consommateurs génériques, il est possible que les utilisateurs du premier soient plus prudents (éviter scam, faire màj, attention à sa e-réputation, etc…). Mais je n’en mettrai pas ma main à couper… Linux n’est peut-être pas mieux adapté que Windows à l’« allergie à l’informatique ». Adapté à un rapport irrationnel quelconque avec l’informatique, dont font parfois preuve les gens et qui est propice aux virus informatiques.

La curiosité envers l’informatique et l’envie d’apprendre amènent irrémédiablement vers le logiciel libre, vers les systèmes ouverts. L’inverse, à savoir que le simple fait d’utiliser un OS libre rendrait curieux et faciliterait ainsi l’acquisition des bonnes pratiques, est-il aussi vrai ? Pas facile à dire.

Boucher c'est réputé pour bien payer

C’était vrai dans le passé mais est-ce toujours le cas ? C’est un métier artisanal (enfin de moins en moins artisanal…) comme un autre de nos jours j’ai l’impression.

mais c'est un métier très difficile.

Ça me semble pas spécialement difficile comme métier. Il y a bien plus dur à mon humble avis, ne serait-ce qu’éleveur… Même boulanger me semble être un métier plus exigeant, sur tous les plans.

pour permettre aux gouvernements de savoir ce que vous pensez et donc dans les dictatures, faire taire les opposant aux régimes ;

En mode bisounours : ça peut aussi permettre au gouvernements de mieux gouverner, puisque mieux informés sur leurs citoyens.

cela peut permettre aux employeurs d'en savoir plus sur vous avant de vous embaucher ;

En quoi est-ce mal dans l’absolu ?

votre assureur peut décider de modifier le prix de votre assurance santé car il voit que vous ne faites pas beaucoup de sport et que vous mangez souvent dans des lieux de restauration rapide

Si tu mangeais sainement, faisais du sport, ne fumais pas, etc… ne trouverais-tu pas normal de payer moins que ceux qui vont fatalement « revenir plus cher que toi » car ils ont des conduites à risques ?

ce qui est totalement vrai, la liberté est un bien précieux pour laquelle des gens sont morts (la Révolution Française et toutes les autres révolutions, ça te dit un truc ?)

C’est la faim du pain avant la soif de la liberté qui provoque les révolutions, me semble-t-il. Un système totalitaire et dictatorial pourrait tout à fait perdurer si les conditions matérielles permettent aux gens de ne pas avoir l’esprit à la révolte… Bon, c’est assez utopique, ça ne se passe jamais comme ça une dictature… Pour la révolution française, c’est le fait que le régime en place y ait été un peu trop fort sur les impôts, et que le peuple se soit ainsi retrouvé à crever la dalle, qui a déclenché cette révolution, pas une aspiration pour la démocratie. Pour l’égalité et la justice tout au plus… dans une conception nettement plus permissive de ces deux concepts que ce à quoi on pense aujourd’hui quand on emploie ces mots.

il m'arrive d'utiliser un autre navigateur (Firefox Developer Edition) en navigation privée dans certains contextes où le JavaScript est obligatoire mais j'ai un doute sur le service en face. À voir avec l'usage, mais c'est possible que je fasse de plus en plus souvent recours à cette méthode plutôt que d'accorder des exceptions sur NoScript.

C’est pas bête du tout ! J’imagine que le plus dur c’est tout simplement d’en prendre l’habitude… J’utilise uMatrix (du même auteur que uBlock) pour ma part. Ce filtrage est non seulement nécessaire pour filtrer publicité ou tracking (voire pire…) mais également bienvenu pour le confort du « surf » : le réseau est moins sollicité, le processeur du client est moins sollicité, et l’attention de l’interface chaise-clavier est aussi moins sollicité, ce qui augmente le temps de cerveau disponible ! ^^ Par exemple, les images sur les articles de journaux sont des images d’illustration la plupart du temps et ce n’est pas plus mal de s’en passer. Il y a plein de sites que je visite sans images, et sans tout un tas de contenu « évolué » (ou « à la con » selon le point de vue)…

Avec uMatrix on se rend bien compte qu’absolument tous les sites grand-public de la Macronie s’interfacent avec Google ou Twitter ou FB … et le plus souvent ces trois là, + d’autres… Même le Grand Guide Bougon de la Rêvolution(*) se sent obligé de passer par eux pour « exister numériquement »… quelle tristesse… Alors merci pour ton journal, il est salutaire, je vais le partager (alike !), car je partage ton point de vue et je ne l’aurais peut-être pas aussi bien exprimé.

Est-ce que vous voyez des choses que j'aurais oubliées ?

Pas vraiment un oubli de ta part mais plutôt mes deux grains de sel :)

Commencer à filtrer à la source. Éviter de se faire photographier (puisque les gens partagent allègrement les photos qu’ils prennent), une image qui n’existe pas ne peut pas fuiter ! :) Ensuite, réfléchir avant d’écrire : il faut trouver un équilibre entre ne rien dire et tout déballer, pour permettre le partage d’expériences personnelles, phénomène non négligeable dans le processus de crowdsourcing, sans s’exposer outre-mesure. C’est loin d’être simple selon moi. Suis-je un bon exemple dans ce domaine ? C’est une question à se poser régulièrement, je pense. Pour ce qui est de mon cas personnel, sur ce site, mon identité est masquée par un pseudonyme mais je suis persuadé qu’avec les informations que je « lâche » de temps à autre, un petit groupe de personnes doit savoir qui je suis vraiment. Le monde est petit… Cela dit, pour l’instant je n’en ai jamais eu la confirmation et il n’y a à mon avis pas vraiment de raison de chercher à percer mon identité donc bon…

Accepter de passer à côté de certaines informations ou de certains échanges. Tel site est une insulte au web ? Il ne s’affiche pas sans tous un tas d’appels douteux vers 36 domaines différents ? Et bien OK, il est peut-être super ton site, si tu le dis, mais je refuse de l’utiliser parce que <discours militant souple et solide à la fois> !

Est-ce que vous avez aussi tendance à revoir vos pratiques numériques en ce moment ?

Pas plus en ce moment qu’à un autre moment, Meltdown et Spectre n’ont pas spécialement eu d’incidence en tous cas.

Je n’ai toujours pas de smartphone, notamment à cause de l’aspect vie privée (mais pas que).

(*) Le titre n’a pas encore été officialisé par les instances autorisées

Ce n'est pas inutile d'en avoir plusieurs.

C’est absolument vrai. Contrairement à ce que peut laisser entendre mon premier commentaire qui parle d’anti-virus de référence pour GNU/Linux.

Les différents logiciels ou entreprises qui « font référence » ont chacun⋅e leurs avantages et inconvénients, et en pratique, ils « loupent » tous certains nouveaux malware, mais jamais les mêmes :)

Par contre, les logiciels que tu cites ne sont à priori pas libre (j’ai juste été voir leur site web, flemme de chercher mais en général s’il faut chercher… le dernier est clairement non-libre). C’est un inconvénient majeur (quelque soit la, je pense : bonne, qualité technique des solutions propriétaires en question).

À ma connaissance l’antivirus qui fait référence sous GNU/Linux c’est ClamAV.

L’antivirus n’est pas hyper utile en tant que tel. À moins de lancer n’importe quoi, on est effectivement moins exposé que sous Windows/IE/Outlook en utilisant une distribution Linux. ClamAV est principalement utilisé sur les serveurs de mail, pour scanner les mails qui y transitent, car ces mails peuvent être servis à des clients sous Windows.