Misc a écrit 6234 commentaires

Ou un dessin animé avec des chiens qui jouent des rôles des flics.

Si c'était le cas, je pense que C8 ne passerait pas TPMP en différé.

Et bon, 3.5 millions, ça commence à chiffrer, vu que tu va taper dans 5% des recettes publicitaires (que j'estime dans les 70 millions sur la base de I-Télé quelques années avant), et en période d'inflation, ça devient d'autant plus important vu que tu dois grossir pour compenser le coût de la vie qui augmente.

Je veux bien croire que ça va pas faire couler Vivendi, mais c'est pas non plus un free for all, faut assurer les chiffres si tu veux avoir des prêts, etc, etc.

Je pense que l'Arcom n'est pas complètement à la ramasse, et pourrait parfaitement voir ça comme une circonstance aggravante pour les sanctions suivantes.

Mais tu peux sans doute signaler le souci à la députée Sophie Taillé-Polian qui bosse justement sur la question.

Sinon, il faut relancer Sleeping Giants en France (ou une structure du même genre plus solide). Ça avait bien mis Valeurs Actuelles et Causeur en PLS à l'époque. Je ne sais pas pourquoi ça n'existe plus, même si je me souviens d'un bail sur le sexisme d'un des fondateurs.

Amendes qu'ils ont contesté devant l'ECHR, et ou CNews s'est fait envoyer bouler en 2023 (
affaire ECLI:CE:ECHR:2023:1107DEC006013121 ).

Ai-je raté quelque chose ?

Alors pour commencer, sans doute tout ça:

https://fr.wikipedia.org/wiki/CNews#Pol%C3%A9miques_et_controverses

à voir aussi la section en dessous.

C'est beaucoup, mais c'est surtout sur 5 ans.

Ne cherche-t-on plus qu'à museler l'opposition maintenant ?

CNews n'est pas un parti politique, et ne se présente pas comme tel, donc je ne suis pas sur de quel opposition est ce que tu veux parler exactement. Il faudrait détailler.

Alors c'est vachement bien foutu, parce que l'arcom est la:
https://www.openstreetmap.org/?mlat=48.84677&mlon=2.27919#map=19/48.84677/2.27919

Et C8 est la:

https://www.openstreetmap.org/?mlat=48.84407&mlon=2.27583#map=18/48.84407/2.27583

Donc à 500 m l'un de l'autre. Comme j'ai dit à un collègue, en courant assez vite, on peut couvrir les 2 endroits avec une seule foule (assez vite, sous entendu plus que 500m à la seconde).

Mais sinon, c'est aussi bien foutu parce que les studios de France 2 sont juste à coté ( https://www.openstreetmap.org/?mlat=48.83882&mlon=2.27120#map=18/48.83882/2.27120 ), et être à coté des médias, ça aide. Exemple, les émeutes de Stonewall ont eu lieu à coté des bureaux du journal The Village Voice, et ça a aidé (par rapport à d'autres événements similaires qui ont été plus ou moins oubliés).

Ce n'est même pas clair que ça fonctionne en pratique : j'imagine que les FS du noyaux sont optimisés à mort, alors qu'il n'y a peut-être pas autant de pression pour le faire dans Grub.

J'aurais du préciser, je pensais à la taille du code (et donc du binaire). Si tu as que besoin de lire, tu peux retirer pas mal de choses donc le binaire va être plus petit. Ce n'est sans doute plus pertinent avec avec GPT et l'UEFI, mais au bon vieux temps du MBR, l'important était autre.

Ça peut fonctionner si le code du FS est sous licence permissive ou sous GPLv2+ (ce qui reste possible, mais je ne sais pas quelles sont les règles exactes).

Ou si tu chopes du code venant d'un BSD par exemple. Maintenant, le souci de BSD, c'est que ça va pas pas supporter rapidement les nouveaux fs de Linux, donc ç'est pas non plus génial.

grub doit implémenter plein de trucs déjà supporté par linux comme le support de divers systèmes de fichiers différents, tout ce code est un peu redondant.

En plus d'être redondant, il manque parfois de fonctionnalité. Par exemple, j'ai pu voir il y a 15 ans que le support par Grub du fs de mon macbook était incomplet (donc j'ai eu la joie de faire un patch pour installer Fedora sur le dit portable tout neuf).

J'imagine que c'est pareil quand tu veux supporter des nouveaux systémes de fichiers, il faut attendre le support dans grub et refaire le travail de 0 (vu que grub est en GPL 3+, et le kernel en GPL 2 uniquement, et je pense que c'est pas automatiquement compatible). Et de toute façon, tu va devoir refaire le code car grub n'a pas besoin d'écrire, juste de lire, donc tu peux simplifier tout (ce qui est mieux d'un point de vue de l'optimisation, mais moins bien d'un point de vue de devoir refaire le code ).

Il y a ça, qui s'appuie sur l'EFI:

https://systemd.io/BOOT/

Toutes, je ne suis pas trop sur. Par exemple, Kobo a son propre Linux sauf erreur de ma part, et ç'est relativement facile à ouvrir. Je crois aussi que certaines tablettes Amazon sont sur autre chose qu'Android (genre les Kindles).

Maintenant, oui, l'immense majorité doit reprendre Android.

L'inverse de Mario Kart, ou être premier veut dire se taper des carapaces bleues à longueur de temps PARCE QUE DANS LE MONDE DE MARIO, ON AIME PAS LA R2USSITE !!!

Hum, désolé, je me suis laissé emporter :p

Mais le consensus, ça prends du temps. Et on est pas vraiment dans une époque ou ça semble acceptable (vu que tout va plus vite de nos jours, et que la rapidité à obtenir quelque chose est vu comme un avantage).

Je pense qu'il y a aussi des discussions à avoir sur la complexité des institutions (Europe et France ensemble), et l'effet que ça a sur le fait de comprendre la gouvernance à un niveau individuel, et comment ça nourrit un sentiment d'aliénation qui est utilisé par des partis opportunistes comme ceux d’extrême droite (qui débarque avec des solutions simplistes).

Je peux comprendre que ça soit saoulant (surtout vu les tensions autour de la dite campagne), mais dans la mesure ou la, c'est sur Hanouna et donc Bolloré, et donc la désinformation qui va avec (voir par exemple ici, ça a un impact sur la liberté de la presse, et je pense que ça compte comme sous catégorie de "liberté d'expression", un sujet quand même assez lié à l'internet et aux associations qui gravitent autour.

Donc bon, je pense pas que ça soit vraiment super hors sujet, plutôt le contraire.

Dans le même genre d'idée:

https://www.lemonde.fr/politique/article/2024/07/06/gabriel-attal-denonce-une-fausse-information-du-jdd-publiee-juste-avant-la-fin-de-la-campagne-des-legislatives_6247327_823448.html

La publication au dernier moment, ça a déjà été fait en 2017 aussi (je sais plus si c'était lié à l'affaire Macron Leaks).

Faut vraiment que l'ARCOM leur tombe dessus.

Mais je pense que LFI avait aussi des positions à base de "on est contre la guerre". Par exemple, en 2024.

Donc clairement, si le but est de voter pour quelqu'un qui ne veut pas envoyer d'armes pour défendre l'Ukraine, il y a eu un choix entre LFI et RN. Donc les gens qui ont choisi le RN ont pris une décision consciente.

Et de l'arm32 il en reste pas mal (y'a un paquet de raspberryPi
par exemple, car le site propose toujours du 32bits). Mips32
aussi.

Mais est ce que ça tourne souvent avec de la glibc et openssh ?

Je concède qu'il y a sans doute des tas de gens avec de la raspbian qui traînent (même si je suppose pas trop dans un cadre professionnel business critical), mais pas forcément exposé sur internet directement. Et pour mips32, j'aurais tendance à croire que c'est de l'openwrt, avec dropbear et un libc autre que la glibc.

C'est peut être aussi exploitable, mais sans doute après un temps important de développement (> 1 mois) comme x86_64.

Pourtant, la suisse n'est pas réputé pour être lente, je ne comprends pas.

En parlant de Berlusconi, je me permet de coller ce lien sur l'EMFA (European Media Freedom Act) et son impact nul en Italie et en Hongrie où les médias sont quand même assez dominés par des courants politiques alignés avec le pouvoir (avec les résultats qu'on connaît entre Orban et Melloni), et ou la loi en question ne va rien changer.

Je pense que ça illustre bien aussi à quel point il n'est pas facile de trouver la bonne façon de s'attaquer au probléme.

Certes, mais est ce que c'est des machines avec un serveur ssh et une connexion fiable ?

Des discussions que j'ai vu sur les listes Fedora, c'était surtout des gens avec des vieux PCs de bureau. C'est certes fonctionnel, mais je ne crois pas que ça soit la cible de ce genre d'exploit (car j'ai des doutes sur l'usage de ssh dessus, et surtout des doutes sur la connexion fiable, en plus d'avoir des doutes sur la valeur des infos qu'on peut obtenir).

Je suis sur qu'une grande majorité des serveurs encore sous garantie sont en 64 bits, et que même si plein de gens ont des vieux trucs hors garantie pour du test, c'est aussi du 64 bits.

Y a du 32 bits dans l'embarqué, je n'en doute pas, mais est ce que c'est de l'intel, est ce qu'il y a un ssh exposé ?

Sinon, on peut aussi se dire que la création d'un exploit sur 64 bits va sans doute prendre quelques jours ou semaines (on sait que Qualys est dessus depuis ~1 ou 2 mois vu qu'ils ont contactés l'équipe openssh dés qu'ils ont commencés à bosser sur l'exploit 64 bits:

A few days after we started our work on amd64, we noticed the following bug report (in OpenSSH's public Bugzilla), about a deadlock in sshd's SIGALRM handler

Soit avant:

2024-05-19: We contacted OpenSSH's developers.

J'imagine que Qualys ne va pas coller l'exploit partout (pas plus qu'ils ont collé l'exploit pour le 32 bits), et que donc les attaquant vont devoir repartir de 0. De plus, comme indiqué également dans l'advisory, l'ASLR sur 64 bits rends l'écriture d'un exploit plus difficile.

Tout ça pour dire qu'il y a sans doute pas de quoi paniquer (au sens "faut tout interrompre", mais que faire une mise à jour demain ou après demain (quand le paquet sera sur les miroirs), ça sera sans doute largement suffisant.

En fait, je suis même pas sur que grand monde se jette dans le développement d'un exploit de ce genre vu qu'il va vite être patcher. Prendre 1 ou 2 mois pour un usage certes puissant mais sans doute peu applicable car beaucoup de gens vont naturellement mettre à jour n'est pas forcément un bon calcul (car les boites/agences/gang qui écrivent les outils d'exploitation, elles ont aussi des contraintes de rentabilité de leur temps)

J'ai le sentiment que plus grand monde n'a de machines 32 bits intel, donc ça limite un peu la portée aussi.

Je ne dit pas qu'il y a pas moyen a terme de contourner l'ASLR sur le 64 bits, mais c'est aussi plus difficile. Donc il y a quand même le temps de voir venir.

Ceci dit, ayant lu plus en détail l'advisory, je vois que ma question sur "est ce que les bots influent sur le timing" a pour réponse "sans doute pas suffisamment". Sur ma machine, ssh lance 1 process par connexion, et je suppose que c'est ce process qui est attaqué, donc un bot va juste ralentir l'attaque en prenant un slot de MaxProcesses de temps en temps, donc ralentir de 10 à 20 % au maximum l'attaque, ce qui est négligeable vu le temps que ça prends déjà (genre, au lieu de 8h, ça va en prendre 1 de plus).

Déja, faut des versions assez récentes (par exemple, ni RHEL 7 ou RHEL 8), l'attaque est longue (de 1 mois à quelques heures), et n'a été testé que sur des machines avec un réseau fiable (même si ça concerne sans doute tout les serveurs).

Je ne sais pas non plus comment se comporte l'exploit avec un serveur qui est utilisé donc avec du CPU à fond, ou des utilisateurs qui font des ssh (genre, est ce que les bots qui scannent tout l'internet vont foutre la zone dans les mesures de timing précises ?)

Ensuite, y a des contournements plus simples que mettre GraceLoginTime à 0 comme "relancer openssh toutes les heures". C'est con, mais vu que ça va changer le layout en mémoire, ça remets l'ASLR à 0.

Je me demande aussi si avoir openssh en "start on demand", comme sur certains systèmes embarqués ou comme Ubuntu 22.10 n'a pas aussi le bon goût de foutre en l'air l'exploit (vu qu'avec un process séparé à chaque fois, c'est dur de trouver les offsets mélangés par par l'ASLR)

damn, j'avais pas vu le journal posté: https://linuxfr.org/users/octane/journaux/alerte-rouge-rce-dans-opensshd

J'aurais aussi dit "le sentiment de communauté", personnellement, mais je suis pas un dico.

Si le but n’était pas non plus de faire de l'argent, ne serais que pour couvrir à minima les frais de fonctionnement, alors il n'y aurait pas du tout de publicité ni de plainte contre Sleeping Giant.

Mais oui, les médias d'opinion qui perdent de l'argent, ça existe en France (par exemple Causeur). Mais c'est pas le même ordre de coût, ni la même portée. Faire tourner une chaîne 24/24, ça coûte du pognon, et le groupe Bolloré dépend aussi d'autres investisseurs, de remboursement de prêt, etc, etc, qui font que c'est (heureusement pour nous) pas Picsou capable de financer à perte des tas de trucs. Il y a forcément une limite, et la question est surtout d'évaluer à combien et si les sanctions actuelles de l'ARCOM suffisent. Le consensus ici semble être "non".

Avec ses chaînes de télévision et station radio, toutes ces lois sont contournées, et l'ARCOM est juste le truc qui permet de dire que non regardez y'a un gendarme c'est donc équilibré.

Un truc intéressant à envisager, c'est si les amendes ne suffisent pas, la seule solution c'est couper l'usage de la fréquence TNT (ou FM). C'est plus ou moins ce qui est arrivé à RT dans l'esprit, et ils ont basculé sur le web. J'imagine que TMTP pourrait sans doute faire pareil, et la question se pose en effet ensuite de "il va se passer quoi". Est ce qu'on va vraiment demander à ce que l'ARCOM régule plus Youtube et le web, en leur filant plus de moyens ? Car l'ARCOM, c'est aussi le nouveau nom de l'HADOPI, et ça serait quand même un sacré grand écart niveau positionnement pour certaines personnes.