Si tu fais ça via une architecture "naive" a base de cron glorifié (genre un process en userspace qui fait des snapshots, au pif, xymon si je me ne me trompe pas), il y a un risque de race condition voir d'infection plus rapide que l'intervalle des snapshots. La liste des processus qui tourne, un rootkit peut se cacher. Faut pas chercher longtemps pour voir des tutos sur comment faire sur Linux, et pareil sur Windows.
Le kernel offre de quoi surveiller, il y a des sondes via kprobe, il y a auditd, etc. Maintenant, savoir si ça suffit est une question qui requiert sans doute plus de détails sur ce que fait crowdstrike, mais ça prouve bien qu'il faut être au niveau du kernel.
Techniquement, oui, on pourrait faire plus en userspace. Le Hurd existe et le fait. Personne ne l'utilise par contre.
Feu NuFW permettait de faire la gestion de firewall en userspace. Les perfs étaient pourris (et c'est pour ça que le logiciel ne regardait que le paquet syn initial pour décider), et la boite a fait faillite, mais c'était possible de le faire.
Mais au final comme l'espace kernel a la possibilité d'aller faire n'importe quoi sur l'userspace, ça devient assez vite une limite suivant ce que tu veux faire.
Je ne veux pas faire du sensationnalisme, mais je pense qu'un rootkit peut mettre moins d'une minute avant d'etre root. Il y a des exploits qui prennent du temps (ALSR, etc, etc), mais c'est assez indépendant de la partie "infection" en elle même qui peut et est sans doute automatisé dans pas mal de cas. Tu peux regarder ce qui se fait via le concours pwn2own pour voir ce qui est possible en terme de temps.
Une personne pourrait arriver à injecter du code dans une application web
Je pige pas trop ton chemin, car ça serait sans doute "execution dans un process" => "exploit local pour devenir root". Oui, les conteneurs évitent pas mal de souci, faire tourner les choses en pas root aussi. Maintenant, c'est pas 0. En 2016, on a eu dirtycow (CVE-2016-5195). On a eu ssh y a pas longtemps qui permet de devenir root, vu que personne ne filtre ssh sur localhost.
Tu dis que tu as la liste des processes toutes les minutes, mais sur linux (pas sur openbsd), c'est assez trivial de renommer ton process. En fait, si tu as injecté ton code dans apache, c'est un binaire apache qui apparait dans la liste des process.
Ensuite, la question est surtout "est ce que quelqu'un va dépenser de l'argent sur ton infra", et la réponse est sans doute "non". Maintenant, le concept d'OIV existe, et je ne doute pas que les entreprises concernées ont des contraintes sans doute plus fortes qui font que oui, une attaque ciblé rentre dans leur périmètre, ce qui ne serait pas le cas d'une agence web, d'une usine de sac plastique ou d'une bibliothèque.
Comme des gens l'ont fait remarquer sur le web, c'est surtout des entreprises dans des secteurs hautement régulés qui ont été impactés (banque, hopitaux, transport, etc), donc on peut supposer que les contraintes et les risques ne sont pas les nôtres (ni les moyens).
Là j'y vois surtout de la com. Je vois aussi surtout un binaire dont j'ai pas le code, qui se loge dans le kernel, qui est root et qui se connecte à internet. Dans le temps on appelait ça un trojan.
On va pas non plus se mentir, la faille xz montre bien qu'avoir le code n'est pas vraiment non plus la panacée car tout le monde suppose que quelqu'un d'autre va relire (car si la tentative de backdoor a été trouvé quand quelqu'un a constaté un
Mais donc d'après la définition que tu donnes, un driver réseau sous windows est un trojan ?
Ensuite, dans le cadre d'une petite boite (il y a 3 personnes, sauf erreur de ma part), un profil clivant peut être un facteur de risque plus important que dans une structure plus grande, donc je peux aussi voir cette angle (même si bien sur, il y a toujours la question de savoir si les gens protestent sur la forme ou sur le fond de ce que dit le dev en question, sachant que la forme va être plus socialement acceptable comme cible de critique que le fond dans certains cas).
Encore une fois, je fait avec les chiffres que je trouve. Pour le moment, il y a pas grand monde qui fournit d'autres chiffres, juste des "non, mais ça ne compte pas".
Et la, même pour les exemples, tu as 1 exemple ou c'est du Gitlab en interne, sans préciser si c'est une migration depuis Github (vu que tu pales d'historique de favoriser le logiciel libre, Github n'était pas plus libre avant le rachat qu’après), et des migrations depuis Bitbucket, donc ni une migration depuis Github, ni une migration suite à un rachat (sauf si on parle du rachat de bitbucket en 2010 pour un changement en 2020).
Rien ne montre la moindre migration importante hors de Github depuis 2018. Il y a eu des gens qui ont migrés sans doute, mais pas assez pour les citer visiblement.
Si on regarde en 2019, Twitter avait 341 millions d'utilisateurs.
On reste dans le même ordre de grandeur à une époque ou le PDG ne pouvait pas mentir sans que la SEC lui tombe dessus.
Pour le moment, personne ne donne de chiffres de l'exode, ni ou les gens sont aller. Si 10% des 341 millions sont partis, ça veut dire 30 millions de personnes, et je ne vois pas ou ces gens sont partis (pas bluesky, pas le fedivers). On peut imaginer threads (qui est à 200 millions, si j'en crois le web), mais dans la mesure ou ç'est aussi basé sur les comptes existant d'instagram (2 milliards de comptes en 2022), je ne pense pas qu'on puisse faire une comparaison correct avec la chute de Twitter.
Mais bon, tout ces chiffres, c'est pas ceux qui importent. Ceux qui importent et que personne ne donne, c'est la migration en dehors de github.
En 2017 (avant le rachat), il y avait 24 millions de comptes, cf leur site. En 2019 (un an après le rachat), Github annonce 40 millions. En 2023, 5 ans après le rachat, c'est 100 millions.
Si exode il y a eu, elle est relativement invisible sur les chiffres.
De ce que j'ai compris, c'est des signatures qui ont été mises à jour, et ça ne passe sans doute pas via les mêmes canaux que des mises à jour de code pour la plupart des admins.
Et je pense qu'il y a des bonnes raisons de déployer rapidement des signatures sur un produit de sécurité.
Mais bon, moi, je suis aussi le type qui a des Fedora comme firewall, et des mises à jours auto sur tout les serveurs, ce qui me semble meilleur compromis par rapport au budget humain qu'on a dans mon équipe.
Alors on peut se demander le rapport avec un driver, mais il faut bien voir que "driver", c'est utiliser dans le sens "module noyau" pour Windows.
Est ce qu'on peut surveiller une machine sans module noyau ? Oui, mais tu vois pas tout. Sous linux, quand tu utilises systemtap, tu compiles un module que tu lances dans le kernel. Tu veux faire de l'EBPF, tu charge le code dans le kernel. Et sinon, tu peux directement faire un module kernel, comme le fait crowdstrike sur RHEL.
Donc bon, on va pas dire que Linux a une architecture différente.
Mais la question est "est ce que ça doit se passer dans le kernel", ce qui implique de savoir ce que "ça" recouvre exactement. De ce que je comprends, Falcon sensor est un outil de monitoring pour la sécurité. Par exemple, tu as un process qui commence à ouvrir des connexions tcp vers tout ton lan sur tout les ports, la plateforme est censé le voir, et c'est signe soit qu'une machine s'est fait pourrir et que les attaquants scannent le lan, soit qu'un salarié faire n'imp. pour faire ça, faut pouvoir intercepter des appels systémes. Y a qu'un endroit pour faire ça, le kernel.
Donc ça tourne niveau kernel. C'est comme les antivirus, si tu veux scanner avant d'ouvrir un fichier, faut le faire dans le kernel.
La ou ça devient intéressant, c'est que comme le fabricant de l'OS (Microsoft, mais ça marche avec n'importe quoi) et le fabricant de la sonde (ici, Crowdstrike) sont 2 boites séparés, le second ne peux pas compter sur le premier pour faire une solution "intégré". Et même une solution integré, ça n'aide pas sur le fait que les clients veulent quelque chose sur le parc existant (ou l'intégration n'existe pas encore), pas le parc futur.
Et donc pourquoi avoir une sonde ? Parce que ça fait parti des obligations grandissantes en matière de sécurité informatiques.
Être capable de voir que quelqu'un est dans ton lan, ça rentre dans ce périmètre, et on peut remercier les différentes lois comme le RGPD, etc, etc pour ça.
Dans le cas d'instagram et de tiktok, je ne pourrait pas isoler l'impact des changements de twitter. Par contre, les chiffres sur bluesky vole pas haut non plus, avec du 4 millions de compte.
C'est encore loin d'être une exode.
Et bon, personne n'a donné de chiffres sur les migrations hors github en fait.
Alors j'ai déjà écrit un paté sur lwn, je renvoie vers ça, mais TLDR, j'ai une confiance relativement basse dans le principal codeur derrière le fork, et des discussions en privé avec d'autres personnes dans la communauté n'ont fait que renforcer mon opinion (aussi bien des collègues que des gens hors du boulot).
Entre les comptes bizarres qui sont sans doute des faux nez, la tendance à passer des détails importants sous le tapis, les différentes histoires de trahison qui sont arrivés autour de moi, je pense que j'ai assez de red flags pour rester avec gitea.
Et sans rentrer dans les détails de réputation, le projet de federation qui était la principale raison mise en avant de faire un fork n'avance pas, malgré le fait d'avoir eu du financement par le passé, et d'en demander à nouveau, comme on peut le voir sur le dépot.
Le projet continue à faire du user testing, alors que c'est bien le seul truc qui a résulté des 6 mois du projet fedeproxy en 2021. En 3 ans, si tu n'as pas d'idée de ce que tu veux faire avec ton projet et qu'il y a quasiment une personne à temps plein dessus, c'est du flan.
Le projet met en avant la gouvernance ouverte, mais il n'y a plus de comptes rendus de réunion depuis 2023 sur le répertoire dédié, par exemple.
Donc bon, ça me semble plus optimisé pour faire croire que ça avance que d'avoir des véritables avancés. Ça se voit aussi dans les news, mettre avant que tu supportes garnet et les forks de redis, c'est comme dire "on supporte aussi xfs pour stocker nos fichiers".
C'est assez fatiguant ce constant biais droitier visant à décrédibiliser les institutions, si je voulais de la propagande du RN, y a déjà X/Twitter pour ça.
Si les 2 partis (en l’occurrence OVH et Microsoft) arrivent à un accord, je ne vois pas de quel droit la justice devrait aller contre leur souhait dans une dispute économique.
Les actions en justice coûtent de l'argent aussi bien à l'état (ou à l'UE), qu'à OVH et à Microsoft et aucun des 3 ne semble vouloir payer pour ça à commencer par l'entreprise qui s'estime lésé, et qui a réussi à avoir ce qu'elle voulait (cf la présence d'un accord).
La justice est la pour les gens qui portent plainte avant tout, sans plainte, elle ne va pas faire grand chose. Je rappelle que pour l'UE, il y a assez de concurrence quand il y a > 3 acteurs (cf le secteur des télécoms), et dans le domaine de l'IaaS, il y a largement plus que 3 fournisseurs.
C'est pas parce que tu es pas d'accord sur un sujet que c'est de la corruption.
Ouais, c'est difficile de blamer Microsoft quand c'est un vendeur externe qui se positionne dans le kernel et fait une erreur.
Ça serait comme dire qu'il y a une panne de Linux le jour ou un driver nvidia fait n'importe quoi.
Car bon, si Microsoft bloque les drivers encore plus, on va dire qu'ils abusent de leur position dominante, que c'est contre la liberté, etc. Si ils font rien, ce genre de merde arrive.
Je sais pas si on peut vraiment encore qualifier Gitlab b.v. de startup vu que la boite a plus de 15 ans, a racheté d'autres entreprises par le passé, est listé en bourse depuis 2 ans (avec une action vachement plus basses qu'à l'introduction) et emploie plus de 1500 personnes dans plus de 70 pays.
Pour une valeur assez petite de "beaucoup" quand même.
C'est comme la mort de Twitter/X, 2 ans après, faut bien voir que la chute rapide promise n'est pas arrivé, que la croissance du fedivers s'est stabilisé avec une courbe plate, voir une décroissance. D'après fedidb, il y a eu 1,6 million d'utilisateurs, en juillet, on est à 971 000. Pour comparaison, c'est entre 0.3% et 1% des chiffres de Twitter.
Le but n'est pas de prôner la croissance à tout prix, mais bon, je pense que les gens qui utilisent gitlab restent une minorité, et que github continue à grandir, et que le rachat n'a pas fait bouger tant de monde que ça en pratique.
De plus, c'est pas comme si Gitlab Inc. n'avait pas limité son offre gratuite par le passé plusieurs fois (ou viré du monde pour des questions économiques).
"Fenêtre de navigation privée : Firefox efface l’historique de vos recherches et de votre navigation à la fermeture des fenêtres privées. Cela ne vous rend pas anonyme."
Maintenant, en effet, peut être qu'il faut changer le nom (car bon, "private browsing", ça n'est pas mieux que le reste, même si je suppose que les programmeurs c++ ont une idée différente de "private" que le reste du monde)
Mais la weaponisation des medias, c'est aussi l'excuse donnée par certains régimes autoritaires pour interdire des publications.
Fondamentalement, l'interdiction de Russia Today parce que c'est une ingérence étrangère et l'interdiction des "agents de l'étranger" en Russie, c'est la même idée appliquée par des régimes totalement différents (et je précise que je ne compare que la forme, parce que je fait bien la différence sur le fond entre le régime autoritaire de Poutine et la France ou la majorité de l'Europe, et que le régime russe peut aller en enfer).
Donc je comprends qu'on manie ça avec précautions.
mais ne pas réagir et rester timorer, je suis convaincu que c'est ne pas se rendre compte du danger.
Ne rien faire, c'est ne pas se rendre compte du danger. C'est pas ce qui arrive ici.
C'est lent parce que l'administration est lente, parce que le sujet est compliqué (encore une fois, la liberté de la presse, on a un siècle de jurisprudence en France, des jugements de la CJUE, de l'ECHR, des ONGs, etc).
De même, et sans vouloir faire mon fanboy, les pouvoirs politiques en France ont commencé à se pencher de manière sérieuse sur la question de CNews/C8 en 2022.
Se demander si on ne risque pas d'entraver leur liberté d'expression alors qu'il s'agit d'un pouvoir qu'aucun d'entre nous ne possède est une lecture qui me paraît problématique de ce qu'est la liberté d'expression
Mais c'est parce que les lois vont pas s'appliquer que sur les riches qu'on aime pas, les juristes (et les autorités indépendantes comme l'Arcom) vont lentement parce que rien n'est pris séparément. En droit administratif, il y a ce concept de "legal certainty" qui fait que les sanctions doivent être prévisibles, documentés, et font plus ou moins précédent (je n'irais pas jusqu'à dire "jurisprudence").
Si on prends justement la loi européenne récente (l'EMFA), l'article 4 le re-dit clairement:
"2. Member States shall respect the effective editorial freedom and independence of media service providers in the exercise of their professional activities. Member States, including their national regulatory authorities and bodies, shall not interfere in or try to influence the editorial policies and editorial decisions of media service providers.".
Encore une fois, si ce qu'on veut, c'est une plus grande intervention de l'état dans les médias, c'est entendable, mais c'est relativement le contraire de ce que beaucoup de gens ici disent depuis longtemps (ou on veut une indépendance des médias plus grande par rapport à l'état).
Et si ce qu'on veut, c'est un contre pouvoir, la question est dans ce cas "un contre pouvoir à quoi exactement".
Car je pense que c'est aussi le coeur du souci, c'est que le sentiment général est "il faut stopper Boloré", mais sans vraiment dire quoi ou comment.
Est ce que le souci est TPMP et ses écarts, l'heure des Pros avec Pascal Praud, les 20h de programme en dehors, un mélange de tout ça ?
Est ce que le souci est qu'un media soit de droite catholique, voir d’extrême droite, et pourquoi CNews exactement ?
Zemmour était chroniqueur dans le Figaro pendant longtemps sans que ça fasse réagir des masses (et pour l'avoir lu de temps en temps, il n'a pas vraiment fait un volte face sur ses opinions quand il est rentré en politique). De même, Minute, Valeurs Actuelles et Causeur existent et on estime que les gardes fous en place suffisent.
Est ce que le souci est que CNews a de l'audience que les autres que j'ai cité n'ont pas ? Que CNews se présente différemment des autres ? Que ça soit plus accessible ?
Est ce que le souci est la concentration, et si oui, dans quel proportion ?
Ou le souci est l'interventionnisme du patron sur un media par opposition aux mêmes idées dans le Figaro sans pour autant être imputable à une personne ? Que ça arrive à un moment spécifique de l'histoire française ?
Il y a surtout la question de compter les partis politiques (ce qui est factuel et facile à compter, modulo le temps de parole quand on te coupe, etc), et les idées, ou ça va être plus dur à attribuer (l'hégémonie culturelle de Gramsci, etc, etc) tout en ayant de l'impact.
Si on a 40 parties d'un bord politique qui vont reprendre les mêmes points, est ce que c'est équitable face au parti unique d'en face qui va dire le contraire, mais avec 40 fois moins de temps de parole ?
Est ce que les films vont compter comme propagande politique ? Il n'y a pas besoin de remonter à l'exemple de Leni Riefenstahl, je peux simplement donner l'exemple de Unplanned, film anti avortement dispo en VOD à ma bibli, mais également.. diffusé sur C8 en 2021.
Ou dans un registre opposé, quid de Petite fille de Sébastien Lifshitz, diffusé sur Arte et qui a eu des effets politiques documentés (création de l'observatoire de la petite sirène, ce qui a aboutit à une loi voté au sénat ). Autre exemple, la diffusion de Tomboy a résulté en plusieurs réactions qu'on pourrait qualifier de politique.
Pour parler à l'international, Maryam Touzani, réalisatrice du film "Le bleu du caftan" cherche aussi à ouvrir le débat avec son film.
Et des films qui lancent les débats sur les droits LGBT, il y en aussi eu un paquet au cours des années, et c'est un sujet politique (voir les manifs d'il y a 10 ans sur l'ouverture du mariage, le pacs en 1999, etc).
Je cite ça parce que c'est un sujet que je connais, mais ça se décline sur plein de choses (que ça soit James Bond dans un contexte de guerre froide, des films sur les différentes guerres, des films sur l'écologie comme Erin Brockovich, seule contre tous).
Alors je ne doute pas que ça soit du flan, et que même sans dérapage (car finalement, c'est bien ça qui est remis en cause, pas le flux constant d'idée réac), la chaîne peut influencer négativement la politique du pays.
Mais ça prouve bien que la chaîne ne se fout pas totalement de l'ARCOM.
Mon avis serait différent si l'ARCOM avait des sanctions plus dissuasives. Par exemple si la moindre infraction avec leur solution miracle et c'est la perte de la concession (puisqu'il semble qu'il n'y a que ça qu'ils entendent) ou alors avec des amendes en pourcentage du CA du groupe racine (4% du CA de Vivendi c'est 400 millions d'euros pour faire comme le RGPD).
Mais la formulation du RGPD ne dit pas "groupe racine", mais "entreprise". Je n'ai pas trouvé de discussions précises sur ce que ça recouvre, mais je ne serait pas surpris que dans le cas de CNews, ça ne monte pas plus haut que "groupe Canal +" (surtout si Vivendi remets Canal plus en bourse, comme prévu en décembre 2023. Sanctionner les actionnaires d'une entreprise serait relativement inédit, sans doute facilement contestable et assez largement un bordel quand il y a des petits porteurs, des banques, etc. C'est bien pour ça qu'il y a des PDGs.
Et dans tout les cas, c'est un maximum, donc ça va s'évaluer par rapport à la gravité, la durée, la répétition, etc, etc.
Maintenant, encore une fois, la liberté d'expression reste un sujet important qui demande d'avoir une graduation et une réponse proportionnée dans les amendes sous peine d'avoir un effet trop dissuasif et d'être contestable devant les tribunaux. On peut regretter que l'ARCOM ne soit pas plus prompt à tomber sur CNews, mais ça n'est pas non plus sans raison.
Et encore une fois, on peut légitiment se poser la question de savoir si on veut donner plus de pouvoir à la fusion du CSA et de l'HADOPI, surtout dans un contexte ou l'IPTV et le streaming sur internet sont le futur.
L'envie de ne pas avoir des idées réacs partout se heurte quand même aux idéaux de liberté d'expression maximaliste qu'on a tendance à défendre dans le monde du libre de façon assez frontal.
Alors moi, j'ai bêtement utilisé un moteur de recherche (DDG), qui donne https://sleeping-giants.fr/ en 2eme lien, qui ne marche pas. Le whois dit "inactif".
Internet est formidable et si tu veux créer un média d'opinion c'est l'endroit parfait. C'est moins chère et tu peux passer tout ton temps à raconter à peu près ce que tu veux sans qu'on est grand chose à te reprocher.
C'est pas non plus une zone de non droit (exemple, tout les complotistes qui se sont fait virer de Youtube pendant la pandémie, etc).
Ironiquement, la maison mère de CNews (Canal +) est connu pour être celle qui a diffusé en Europe pour la première fois des branleurs et des branleuses en 1985 une fois par mois.
Je ne doute pas que ça soit de gauche dans certains situations, parce que gauche et droite, ça veut pas dire la même chose pour tout le monde (et je parle pas de dire que ma gauche est la droite de la personne en face, plus que c'est un appauvrissement extraordinaire du débat que d'utiliser des labels dépassés basés sur un placement dans une assemblée y a des années).
Ou une question de codecs. Firefox sur certaines distros (fedora, par exemple) n'inclue pas les mêmes codecs que firefox upstream en flatpak, pour ne citer qu'un exemple.
Va falloir qu'ils songent à arreter de faire n'imp, y en a marre de rajouter des lignes dans leur article wikipedia tout les 10 jours pour la dernière condamnation.
# Sur HN
Posté par Misc (site web personnel) . En réponse au lien Security Issues in Matrix’s Olm Library. Évalué à 4.
Je n'avais pas vu un post sur HN avant de faire un lien ici, mais le voici:
https://news.ycombinator.com/item?id=41245423
[^] # Re: Microsoft -> CrowdStrike
Posté par Misc (site web personnel) . En réponse au lien Une panne géante de Microsoft paralyse de nombreuses entreprises dans le monde. Évalué à 4.
Si tu fais ça via une architecture "naive" a base de cron glorifié (genre un process en userspace qui fait des snapshots, au pif, xymon si je me ne me trompe pas), il y a un risque de race condition voir d'infection plus rapide que l'intervalle des snapshots. La liste des processus qui tourne, un rootkit peut se cacher. Faut pas chercher longtemps pour voir des tutos sur comment faire sur Linux, et pareil sur Windows.
Le kernel offre de quoi surveiller, il y a des sondes via kprobe, il y a auditd, etc. Maintenant, savoir si ça suffit est une question qui requiert sans doute plus de détails sur ce que fait crowdstrike, mais ça prouve bien qu'il faut être au niveau du kernel.
Techniquement, oui, on pourrait faire plus en userspace. Le Hurd existe et le fait. Personne ne l'utilise par contre.
Feu NuFW permettait de faire la gestion de firewall en userspace. Les perfs étaient pourris (et c'est pour ça que le logiciel ne regardait que le paquet syn initial pour décider), et la boite a fait faillite, mais c'était possible de le faire.
Mais au final comme l'espace kernel a la possibilité d'aller faire n'importe quoi sur l'userspace, ça devient assez vite une limite suivant ce que tu veux faire.
Je ne veux pas faire du sensationnalisme, mais je pense qu'un rootkit peut mettre moins d'une minute avant d'etre root. Il y a des exploits qui prennent du temps (ALSR, etc, etc), mais c'est assez indépendant de la partie "infection" en elle même qui peut et est sans doute automatisé dans pas mal de cas. Tu peux regarder ce qui se fait via le concours pwn2own pour voir ce qui est possible en terme de temps.
Je pige pas trop ton chemin, car ça serait sans doute "execution dans un process" => "exploit local pour devenir root". Oui, les conteneurs évitent pas mal de souci, faire tourner les choses en pas root aussi. Maintenant, c'est pas 0. En 2016, on a eu dirtycow (CVE-2016-5195). On a eu ssh y a pas longtemps qui permet de devenir root, vu que personne ne filtre ssh sur localhost.
Tu dis que tu as la liste des processes toutes les minutes, mais sur linux (pas sur openbsd), c'est assez trivial de renommer ton process. En fait, si tu as injecté ton code dans apache, c'est un binaire apache qui apparait dans la liste des process.
Ensuite, la question est surtout "est ce que quelqu'un va dépenser de l'argent sur ton infra", et la réponse est sans doute "non". Maintenant, le concept d'OIV existe, et je ne doute pas que les entreprises concernées ont des contraintes sans doute plus fortes qui font que oui, une attaque ciblé rentre dans leur périmètre, ce qui ne serait pas le cas d'une agence web, d'une usine de sac plastique ou d'une bibliothèque.
Comme des gens l'ont fait remarquer sur le web, c'est surtout des entreprises dans des secteurs hautement régulés qui ont été impactés (banque, hopitaux, transport, etc), donc on peut supposer que les contraintes et les risques ne sont pas les nôtres (ni les moyens).
On va pas non plus se mentir, la faille xz montre bien qu'avoir le code n'est pas vraiment non plus la panacée car tout le monde suppose que quelqu'un d'autre va relire (car si la tentative de backdoor a été trouvé quand quelqu'un a constaté un
Mais donc d'après la définition que tu donnes, un driver réseau sous windows est un trojan ?
[^] # Re: Nouvel exode
Posté par Misc (site web personnel) . En réponse au lien GitLab chercherait à se vendre et Datadog est sur les rangs. Évalué à 3.
Ensuite, dans le cadre d'une petite boite (il y a 3 personnes, sauf erreur de ma part), un profil clivant peut être un facteur de risque plus important que dans une structure plus grande, donc je peux aussi voir cette angle (même si bien sur, il y a toujours la question de savoir si les gens protestent sur la forme ou sur le fond de ce que dit le dev en question, sachant que la forme va être plus socialement acceptable comme cible de critique que le fond dans certains cas).
[^] # Re: Nouvel exode
Posté par Misc (site web personnel) . En réponse au lien GitLab chercherait à se vendre et Datadog est sur les rangs. Évalué à 2.
Encore une fois, je fait avec les chiffres que je trouve. Pour le moment, il y a pas grand monde qui fournit d'autres chiffres, juste des "non, mais ça ne compte pas".
Et la, même pour les exemples, tu as 1 exemple ou c'est du Gitlab en interne, sans préciser si c'est une migration depuis Github (vu que tu pales d'historique de favoriser le logiciel libre, Github n'était pas plus libre avant le rachat qu’après), et des migrations depuis Bitbucket, donc ni une migration depuis Github, ni une migration suite à un rachat (sauf si on parle du rachat de bitbucket en 2010 pour un changement en 2020).
Rien ne montre la moindre migration importante hors de Github depuis 2018. Il y a eu des gens qui ont migrés sans doute, mais pas assez pour les citer visiblement.
[^] # Re: Nouvel exode
Posté par Misc (site web personnel) . En réponse au lien GitLab chercherait à se vendre et Datadog est sur les rangs. Évalué à 3.
Certes, mais je fait avec les chiffres que j'ai.
Si on regarde en 2019, Twitter avait 341 millions d'utilisateurs.
On reste dans le même ordre de grandeur à une époque ou le PDG ne pouvait pas mentir sans que la SEC lui tombe dessus.
Pour le moment, personne ne donne de chiffres de l'exode, ni ou les gens sont aller. Si 10% des 341 millions sont partis, ça veut dire 30 millions de personnes, et je ne vois pas ou ces gens sont partis (pas bluesky, pas le fedivers). On peut imaginer threads (qui est à 200 millions, si j'en crois le web), mais dans la mesure ou ç'est aussi basé sur les comptes existant d'instagram (2 milliards de comptes en 2022), je ne pense pas qu'on puisse faire une comparaison correct avec la chute de Twitter.
Mais bon, tout ces chiffres, c'est pas ceux qui importent. Ceux qui importent et que personne ne donne, c'est la migration en dehors de github.
En 2017 (avant le rachat), il y avait 24 millions de comptes, cf leur site. En 2019 (un an après le rachat), Github annonce 40 millions. En 2023, 5 ans après le rachat, c'est 100 millions.
Si exode il y a eu, elle est relativement invisible sur les chiffres.
[^] # Re: Mais pourquoi cette panne atteint-elle des serveurs de prod?
Posté par Misc (site web personnel) . En réponse au lien Une panne géante de Microsoft paralyse de nombreuses entreprises dans le monde. Évalué à 4. Dernière modification le 19 juillet 2024 à 22:07.
De ce que j'ai compris, c'est des signatures qui ont été mises à jour, et ça ne passe sans doute pas via les mêmes canaux que des mises à jour de code pour la plupart des admins.
Et je pense qu'il y a des bonnes raisons de déployer rapidement des signatures sur un produit de sécurité.
Mais bon, moi, je suis aussi le type qui a des Fedora comme firewall, et des mises à jours auto sur tout les serveurs, ce qui me semble meilleur compromis par rapport au budget humain qu'on a dans mon équipe.
[^] # Re: Monoculture
Posté par Misc (site web personnel) . En réponse au lien Une panne géante de Microsoft paralyse de nombreuses entreprises dans le monde. Évalué à 6.
En fait, c'est déjà arrivé:
https://www.reddit.com/r/linux/comments/1e72ovd/comment/ldxc3ma/
https://access.redhat.com/solutions/7068083
[^] # Re: Microsoft -> CrowdStrike
Posté par Misc (site web personnel) . En réponse au lien Une panne géante de Microsoft paralyse de nombreuses entreprises dans le monde. Évalué à 10.
Parce qu'il y a des méchants pirates.
Alors on peut se demander le rapport avec un driver, mais il faut bien voir que "driver", c'est utiliser dans le sens "module noyau" pour Windows.
Est ce qu'on peut surveiller une machine sans module noyau ? Oui, mais tu vois pas tout. Sous linux, quand tu utilises systemtap, tu compiles un module que tu lances dans le kernel. Tu veux faire de l'EBPF, tu charge le code dans le kernel. Et sinon, tu peux directement faire un module kernel, comme le fait crowdstrike sur RHEL.
Donc bon, on va pas dire que Linux a une architecture différente.
Mais la question est "est ce que ça doit se passer dans le kernel", ce qui implique de savoir ce que "ça" recouvre exactement. De ce que je comprends, Falcon sensor est un outil de monitoring pour la sécurité. Par exemple, tu as un process qui commence à ouvrir des connexions tcp vers tout ton lan sur tout les ports, la plateforme est censé le voir, et c'est signe soit qu'une machine s'est fait pourrir et que les attaquants scannent le lan, soit qu'un salarié faire n'imp. pour faire ça, faut pouvoir intercepter des appels systémes. Y a qu'un endroit pour faire ça, le kernel.
Donc ça tourne niveau kernel. C'est comme les antivirus, si tu veux scanner avant d'ouvrir un fichier, faut le faire dans le kernel.
La ou ça devient intéressant, c'est que comme le fabricant de l'OS (Microsoft, mais ça marche avec n'importe quoi) et le fabricant de la sonde (ici, Crowdstrike) sont 2 boites séparés, le second ne peux pas compter sur le premier pour faire une solution "intégré". Et même une solution integré, ça n'aide pas sur le fait que les clients veulent quelque chose sur le parc existant (ou l'intégration n'existe pas encore), pas le parc futur.
Et donc pourquoi avoir une sonde ? Parce que ça fait parti des obligations grandissantes en matière de sécurité informatiques.
Être capable de voir que quelqu'un est dans ton lan, ça rentre dans ce périmètre, et on peut remercier les différentes lois comme le RGPD, etc, etc pour ça.
[^] # Re: Nouvel exode
Posté par Misc (site web personnel) . En réponse au lien GitLab chercherait à se vendre et Datadog est sur les rangs. Évalué à 3.
Dans le cas d'instagram et de tiktok, je ne pourrait pas isoler l'impact des changements de twitter. Par contre, les chiffres sur bluesky vole pas haut non plus, avec du 4 millions de compte.
C'est encore loin d'être une exode.
Et bon, personne n'a donné de chiffres sur les migrations hors github en fait.
[^] # Re: Nouvel exode
Posté par Misc (site web personnel) . En réponse au lien GitLab chercherait à se vendre et Datadog est sur les rangs. Évalué à 4.
Alors j'ai déjà écrit un paté sur lwn, je renvoie vers ça, mais TLDR, j'ai une confiance relativement basse dans le principal codeur derrière le fork, et des discussions en privé avec d'autres personnes dans la communauté n'ont fait que renforcer mon opinion (aussi bien des collègues que des gens hors du boulot).
Entre les comptes bizarres qui sont sans doute des faux nez, la tendance à passer des détails importants sous le tapis, les différentes histoires de trahison qui sont arrivés autour de moi, je pense que j'ai assez de red flags pour rester avec gitea.
Et sans rentrer dans les détails de réputation, le projet de federation qui était la principale raison mise en avant de faire un fork n'avance pas, malgré le fait d'avoir eu du financement par le passé, et d'en demander à nouveau, comme on peut le voir sur le dépot.
Le projet continue à faire du user testing, alors que c'est bien le seul truc qui a résulté des 6 mois du projet fedeproxy en 2021. En 3 ans, si tu n'as pas d'idée de ce que tu veux faire avec ton projet et qu'il y a quasiment une personne à temps plein dessus, c'est du flan.
Le projet met en avant la gouvernance ouverte, mais il n'y a plus de comptes rendus de réunion depuis 2023 sur le répertoire dédié, par exemple.
Donc bon, ça me semble plus optimisé pour faire croire que ça avance que d'avoir des véritables avancés. Ça se voit aussi dans les news, mettre avant que tu supportes garnet et les forks de redis, c'est comme dire "on supporte aussi xfs pour stocker nos fichiers".
[^] # Re: Pusillanimité ou corruption ?
Posté par Misc (site web personnel) . En réponse au lien Microsoft signs antitrust truce with OVHcloud . Évalué à -2.
C'est assez fatiguant ce constant biais droitier visant à décrédibiliser les institutions, si je voulais de la propagande du RN, y a déjà X/Twitter pour ça.
Si les 2 partis (en l’occurrence OVH et Microsoft) arrivent à un accord, je ne vois pas de quel droit la justice devrait aller contre leur souhait dans une dispute économique.
Les actions en justice coûtent de l'argent aussi bien à l'état (ou à l'UE), qu'à OVH et à Microsoft et aucun des 3 ne semble vouloir payer pour ça à commencer par l'entreprise qui s'estime lésé, et qui a réussi à avoir ce qu'elle voulait (cf la présence d'un accord).
La justice est la pour les gens qui portent plainte avant tout, sans plainte, elle ne va pas faire grand chose. Je rappelle que pour l'UE, il y a assez de concurrence quand il y a > 3 acteurs (cf le secteur des télécoms), et dans le domaine de l'IaaS, il y a largement plus que 3 fournisseurs.
C'est pas parce que tu es pas d'accord sur un sujet que c'est de la corruption.
[^] # Re: Microsoft -> CrowdStrike
Posté par Misc (site web personnel) . En réponse au lien Une panne géante de Microsoft paralyse de nombreuses entreprises dans le monde. Évalué à 6.
Ouais, c'est difficile de blamer Microsoft quand c'est un vendeur externe qui se positionne dans le kernel et fait une erreur.
Ça serait comme dire qu'il y a une panne de Linux le jour ou un driver nvidia fait n'importe quoi.
Car bon, si Microsoft bloque les drivers encore plus, on va dire qu'ils abusent de leur position dominante, que c'est contre la liberté, etc. Si ils font rien, ce genre de merde arrive.
[^] # Re: Nouvel exode
Posté par Misc (site web personnel) . En réponse au lien GitLab chercherait à se vendre et Datadog est sur les rangs. Évalué à 5.
Je sais pas si on peut vraiment encore qualifier Gitlab b.v. de startup vu que la boite a plus de 15 ans, a racheté d'autres entreprises par le passé, est listé en bourse depuis 2 ans (avec une action vachement plus basses qu'à l'introduction) et emploie plus de 1500 personnes dans plus de 70 pays.
[^] # Re: Nouvel exode
Posté par Misc (site web personnel) . En réponse au lien GitLab chercherait à se vendre et Datadog est sur les rangs. Évalué à 6.
Pour une valeur assez petite de "beaucoup" quand même.
C'est comme la mort de Twitter/X, 2 ans après, faut bien voir que la chute rapide promise n'est pas arrivé, que la croissance du fedivers s'est stabilisé avec une courbe plate, voir une décroissance. D'après fedidb, il y a eu 1,6 million d'utilisateurs, en juillet, on est à 971 000. Pour comparaison, c'est entre 0.3% et 1% des chiffres de Twitter.
Le but n'est pas de prôner la croissance à tout prix, mais bon, je pense que les gens qui utilisent gitlab restent une minorité, et que github continue à grandir, et que le rachat n'a pas fait bouger tant de monde que ça en pratique.
De plus, c'est pas comme si Gitlab Inc. n'avait pas limité son offre gratuite par le passé plusieurs fois (ou viré du monde pour des questions économiques).
[^] # Re: Nouvel exode
Posté par Misc (site web personnel) . En réponse au lien GitLab chercherait à se vendre et Datadog est sur les rangs. Évalué à 3.
Je pense que Gitea est plus perenne que Forgejo (vu l'histoire du projet, et les personnes impliqués dans ce dernier)
[^] # Re: Confusion
Posté par Misc (site web personnel) . En réponse au lien Safari already contains ad tracking technology, and they’re now adding it to Private Browsing mode. Évalué à 4.
Firefox dit clairement ce que ça fait:
"Fenêtre de navigation privée : Firefox efface l’historique de vos recherches et de votre navigation à la fermeture des fenêtres privées. Cela ne vous rend pas anonyme."
Maintenant, en effet, peut être qu'il faut changer le nom (car bon, "private browsing", ça n'est pas mieux que le reste, même si je suppose que les programmeurs c++ ont une idée différente de "private" que le reste du monde)
[^] # Re: Comment débattre sans différence ?
Posté par Misc (site web personnel) . En réponse au journal L'ARCOM va-t-elle virer Bolloré du PAF ?. Évalué à 6.
Mais la weaponisation des medias, c'est aussi l'excuse donnée par certains régimes autoritaires pour interdire des publications.
Fondamentalement, l'interdiction de Russia Today parce que c'est une ingérence étrangère et l'interdiction des "agents de l'étranger" en Russie, c'est la même idée appliquée par des régimes totalement différents (et je précise que je ne compare que la forme, parce que je fait bien la différence sur le fond entre le régime autoritaire de Poutine et la France ou la majorité de l'Europe, et que le régime russe peut aller en enfer).
Donc je comprends qu'on manie ça avec précautions.
Ne rien faire, c'est ne pas se rendre compte du danger. C'est pas ce qui arrive ici.
C'est lent parce que l'administration est lente, parce que le sujet est compliqué (encore une fois, la liberté de la presse, on a un siècle de jurisprudence en France, des jugements de la CJUE, de l'ECHR, des ONGs, etc).
Mais quand on regarde quand est ce que le pouvoir législatif a commencé à se pencher vraiment sur le sujet des medias, on peut voir que l'Europe a commencé à se pencher sur ça [en 2018](https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/new-push-european-democracy/protecting-democracy/european-media-freedom-act_fr, avec consultation, vote, discussion, etc, pour une application en 2025 (donc une durée équivalente au RGPD, qui a mis 6 ans entre application complète (2018) et les premiers propositions (2012) ).
De même, et sans vouloir faire mon fanboy, les pouvoirs politiques en France ont commencé à se pencher de manière sérieuse sur la question de CNews/C8 en 2022.
Mais c'est parce que les lois vont pas s'appliquer que sur les riches qu'on aime pas, les juristes (et les autorités indépendantes comme l'Arcom) vont lentement parce que rien n'est pris séparément. En droit administratif, il y a ce concept de "legal certainty" qui fait que les sanctions doivent être prévisibles, documentés, et font plus ou moins précédent (je n'irais pas jusqu'à dire "jurisprudence").
Si on prends justement la loi européenne récente (l'EMFA), l'article 4 le re-dit clairement:
"2. Member States shall respect the effective editorial freedom and independence of media service providers in the exercise of their professional activities. Member States, including their national regulatory authorities and bodies, shall not interfere in or try to influence the editorial policies and editorial decisions of media service providers.".
Encore une fois, si ce qu'on veut, c'est une plus grande intervention de l'état dans les médias, c'est entendable, mais c'est relativement le contraire de ce que beaucoup de gens ici disent depuis longtemps (ou on veut une indépendance des médias plus grande par rapport à l'état).
Et si ce qu'on veut, c'est un contre pouvoir, la question est dans ce cas "un contre pouvoir à quoi exactement".
Car je pense que c'est aussi le coeur du souci, c'est que le sentiment général est "il faut stopper Boloré", mais sans vraiment dire quoi ou comment.
Est ce que le souci est TPMP et ses écarts, l'heure des Pros avec Pascal Praud, les 20h de programme en dehors, un mélange de tout ça ?
Est ce que le souci est qu'un media soit de droite catholique, voir d’extrême droite, et pourquoi CNews exactement ?
Zemmour était chroniqueur dans le Figaro pendant longtemps sans que ça fasse réagir des masses (et pour l'avoir lu de temps en temps, il n'a pas vraiment fait un volte face sur ses opinions quand il est rentré en politique). De même, Minute, Valeurs Actuelles et Causeur existent et on estime que les gardes fous en place suffisent.
Est ce que le souci est que CNews a de l'audience que les autres que j'ai cité n'ont pas ? Que CNews se présente différemment des autres ? Que ça soit plus accessible ?
Est ce que le souci est la concentration, et si oui, dans quel proportion ?
Ou le souci est l'interventionnisme du patron sur un media par opposition aux mêmes idées dans le Figaro sans pour autant être imputable à une personne ? Que ça arrive à un moment spécifique de l'histoire française ?
[^] # Re: Comment débattre sans différence ?
Posté par Misc (site web personnel) . En réponse au journal L'ARCOM va-t-elle virer Bolloré du PAF ?. Évalué à 4.
Il y a surtout la question de compter les partis politiques (ce qui est factuel et facile à compter, modulo le temps de parole quand on te coupe, etc), et les idées, ou ça va être plus dur à attribuer (l'hégémonie culturelle de Gramsci, etc, etc) tout en ayant de l'impact.
Si on a 40 parties d'un bord politique qui vont reprendre les mêmes points, est ce que c'est équitable face au parti unique d'en face qui va dire le contraire, mais avec 40 fois moins de temps de parole ?
Est ce que les films vont compter comme propagande politique ? Il n'y a pas besoin de remonter à l'exemple de Leni Riefenstahl, je peux simplement donner l'exemple de Unplanned, film anti avortement dispo en VOD à ma bibli, mais également.. diffusé sur C8 en 2021.
Mais c'est rien de nouveau. Est ce que Dirty Harry compte, vu que c'est aussi une icone conservatrice ? Quid de Kingsman: the sercret service ?
Ou dans un registre opposé, quid de Petite fille de Sébastien Lifshitz, diffusé sur Arte et qui a eu des effets politiques documentés (création de l'observatoire de la petite sirène, ce qui a aboutit à une loi voté au sénat ). Autre exemple, la diffusion de Tomboy a résulté en plusieurs réactions qu'on pourrait qualifier de politique.
Pour parler à l'international, Maryam Touzani, réalisatrice du film "Le bleu du caftan" cherche aussi à ouvrir le débat avec son film.
Et des films qui lancent les débats sur les droits LGBT, il y en aussi eu un paquet au cours des années, et c'est un sujet politique (voir les manifs d'il y a 10 ans sur l'ouverture du mariage, le pacs en 1999, etc).
Je cite ça parce que c'est un sujet que je connais, mais ça se décline sur plein de choses (que ça soit James Bond dans un contexte de guerre froide, des films sur les différentes guerres, des films sur l'écologie comme Erin Brockovich, seule contre tous).
[^] # Re: Comment débattre sans différence ?
Posté par Misc (site web personnel) . En réponse au journal L'ARCOM va-t-elle virer Bolloré du PAF ?. Évalué à 4.
Alors je ne doute pas que ça soit du flan, et que même sans dérapage (car finalement, c'est bien ça qui est remis en cause, pas le flux constant d'idée réac), la chaîne peut influencer négativement la politique du pays.
Mais ça prouve bien que la chaîne ne se fout pas totalement de l'ARCOM.
Mais la formulation du RGPD ne dit pas "groupe racine", mais "entreprise". Je n'ai pas trouvé de discussions précises sur ce que ça recouvre, mais je ne serait pas surpris que dans le cas de CNews, ça ne monte pas plus haut que "groupe Canal +" (surtout si Vivendi remets Canal plus en bourse, comme prévu en décembre 2023. Sanctionner les actionnaires d'une entreprise serait relativement inédit, sans doute facilement contestable et assez largement un bordel quand il y a des petits porteurs, des banques, etc. C'est bien pour ça qu'il y a des PDGs.
Ensuite, avec Canal+ et en prenant 4 milliards de chiffre d'affaire en 2023, on arrive dans les 160 millions d'amende (4%, sachant que l'ARCOM va jusqu'à 3% et 5% en cas de recidive du CA).
Et dans tout les cas, c'est un maximum, donc ça va s'évaluer par rapport à la gravité, la durée, la répétition, etc, etc.
Maintenant, encore une fois, la liberté d'expression reste un sujet important qui demande d'avoir une graduation et une réponse proportionnée dans les amendes sous peine d'avoir un effet trop dissuasif et d'être contestable devant les tribunaux. On peut regretter que l'ARCOM ne soit pas plus prompt à tomber sur CNews, mais ça n'est pas non plus sans raison.
Et encore une fois, on peut légitiment se poser la question de savoir si on veut donner plus de pouvoir à la fusion du CSA et de l'HADOPI, surtout dans un contexte ou l'IPTV et le streaming sur internet sont le futur.
L'envie de ne pas avoir des idées réacs partout se heurte quand même aux idéaux de liberté d'expression maximaliste qu'on a tendance à défendre dans le monde du libre de façon assez frontal.
[^] # Re: Comment débattre sans différence ?
Posté par Misc (site web personnel) . En réponse au journal L'ARCOM va-t-elle virer Bolloré du PAF ?. Évalué à 4.
Alors moi, j'ai bêtement utilisé un moteur de recherche (DDG), qui donne https://sleeping-giants.fr/ en 2eme lien, qui ne marche pas. Le whois dit "inactif".
Mais content de voir que ça existe encore.
[^] # Re: Comment débattre sans différence ?
Posté par Misc (site web personnel) . En réponse au journal L'ARCOM va-t-elle virer Bolloré du PAF ?. Évalué à 3.
C'est pas non plus une zone de non droit (exemple, tout les complotistes qui se sont fait virer de Youtube pendant la pandémie, etc).
[^] # Re: Comment débattre sans différence ?
Posté par Misc (site web personnel) . En réponse au journal L'ARCOM va-t-elle virer Bolloré du PAF ?. Évalué à 4.
Ironiquement, la maison mère de CNews (Canal +) est connu pour être celle qui a diffusé en Europe pour la première fois des branleurs et des branleuses en 1985 une fois par mois.
[^] # Re: 3 semaines
Posté par Misc (site web personnel) . En réponse au journal L'ARCOM va-t-elle virer Bolloré du PAF ?. Évalué à 3.
Je ne doute pas que ça soit de gauche dans certains situations, parce que gauche et droite, ça veut pas dire la même chose pour tout le monde (et je parle pas de dire que ma gauche est la droite de la personne en face, plus que c'est un appauvrissement extraordinaire du débat que d'utiliser des labels dépassés basés sur un placement dans une assemblée y a des années).
[^] # Re: Et la compatibilité Firefox de l'ARCOM alors !
Posté par Misc (site web personnel) . En réponse au journal L'ARCOM va-t-elle virer Bolloré du PAF ?. Évalué à 5. Dernière modification le 12 juillet 2024 à 10:04.
Ou une question de codecs. Firefox sur certaines distros (fedora, par exemple) n'inclue pas les mêmes codecs que firefox upstream en flatpak, pour ne citer qu'un exemple.
[^] # Re: CNews sanctionnée pour climato-septicisme, une première
Posté par Misc (site web personnel) . En réponse au journal L'ARCOM va-t-elle virer Bolloré du PAF ?. Évalué à 10.
Va falloir qu'ils songent à arreter de faire n'imp, y en a marre de rajouter des lignes dans leur article wikipedia tout les 10 jours pour la dernière condamnation.