Cet exploit incite à la sobriété numérique dans les
développements : il repose sur une fonction qui est déployée
partout mais pour laquelle on a trouvé aucun exemple public
d'utilisation légitime
De ce que j'ai compris, le but etait surtout son usage dans la configuration de log4j. Vu que log4j vient avec un mécanisme de configuration en XML assez fin, tu peux aussi utiliser ça pour faire le routage de tes logs via une source en LDAP sans toucher au logiciel de base, et de façon uniforme sur tous. Le souci, c'est que ce mécanisme qui est ok dans la config s'est retrouvé aussi exposé dans le code (ce qui est ok aussi), puis exposé à des chaines utilisateurs (ce qui est moins ok).
Mais avoir une fonction "log(toto)", je peux voir comment ça parait innocent. Donc pris séparément, je peux voir pourquoi personne n'a rien vu.
Le souci, c'est le mix de tout ça, lié avec la transparence réseau de java (qui a du être oublié, depuis que Scott Mc nealy ne fait plus de keynotes sur le sujet)
Et la sobriété, tout le monde est pour, sauf quand il s'agit de retirer les fonctions dont on a besoin. La, c'est indispensable bien sur et seul des codeurs nazis voudraient retirer les choses, cf le niveau de certaines discussions passées sur GNOME ou systemd pour l'audace de simplifier l'interface ou de ne pas supporter la sobriété numérique d'avoir 3000 lignes de bash qu'on peut bidouiller de partout pour l'init.
Les appels d'urgence sont dans une catégorie à part (on peut
les passer sans déverrouiller le téléphone).
Du coup, je suppose que ce bout la est au niveau de l'écran de verrouillage.
En fait, on parle de l'application téléphone, mais il y a peut être plusieurs bouts spéarés (eg, le clavier, et le backend pour faire les appels).
Autant je peux comprendre qu'on autorise facilement une
application comme Teams à remplacer l'application téléphone
pour les appels normaux, autant le remplacement des appels
d'urgence mériterait peut-être un consentement plus explicite
de l'utilisateur.
Je pense que la plupart des utilisateurs ne feraient pas gaffe et dirait juste "oui". Les appels d'urgence, on y pense pas vraiment.
Et l'obligation sur les appels d'urgence, ça me rappelle aussi les alertes AMBER aux états unis. Je ne sais pas si c'est mon téléphone en particulier ou Android, mais la première que j'ai reçu une alerte, c’était un bruit de sirène à un volume assez fort. Et sur mon téléphone, je ne peux pas le désactiver ça (ou en tout cas, j'ai pas trouvé comment).
En lisant WP, j'ai vu que l'alerte a été activé une fois à 4h du matin en 2013, je pense que je n'aurais pas été de bonne humeur ce matin la.
Mais que je sache, Teams est pas installé par défaut sur android. Donc quelqu'un a choisi de l'installer (que ça soit imposer par ton employeur sur le tel de la boite ne change rien au fait que quelqu'un a fait le choix).
Ensuite, je sais pas pourquoi Teams peut recevoir l'Intent android de donner un appel, mais si Teams fait de la VoIP, c'est pas du tout déconnant de donner la permission de faire des appels.
On peut se poser la question de donner par défaut ou pas la permission, mais en général, les gens s'attendent à ce que les applications marchent sans avoir à faire 45 réglages de plus après installation.
Et pareil, on peut pas raler sur les dialogues de Vista qui demandent de tout confirmer (et qui du coup desensibilise les utilisateurs aux dialogues), puis raler que les applications ne demandent pas à chaque fois de confirmer chaque détail obscure.
C'est regrettable d'avoir eu un bug dans Teams, bien sur, mais les bugs, ça arrive à tout le monde.
On peut regretter l'état des OS pour téléphone qui ne te permettent pas de changer les libs au pif (chose qu'on peut pas vraiment faire sur une distrib classique non plus), mais on peut pas vraiment dire que la communauté du libre s'est mobilisé non plus pour aider les téléphones libres au fut et à mesure des années. Je me souviens des discussions sur l'openmoko, à base de "600€ c'est trop cher" et "ç'est moins bien que mon iphone, je vais garder mon tel". Il y a eu d'autres problèmes bien sur, mais le kernel ne s'est pas écrit en 1 jour non plus.
Ensuite, on est aussi les premiers à raler si on peut pas utiliser un autre moteur de rendu HTML dans un navigateur sur un téléphone (cough iphone cough).
Il faut à un moment savoir si on veut pouvoir étendre l'os et remplacer des bouts (et dans ce cas, le bout qui fait des appels), ou si on veut un OS qui interdit de remplacer certains bouts.
C'est sur que si le ransomware a le même effet qu'une mise à jour foireuse de ton kernel qui ne monte plus un FS parce que "insert bug à la con", ça va faire peur à personne.
"ah ah, j'ai supprimé le son sur ton poste de travail sous Debian unstable, tu va devoir payé une rançon" "ah bon, c'est une mise à jour de pipewire ?"
En fait, quand on parle de failles en parlant des OS, c'est une comparaison foireuse. Par exemple, si quelqu'un expose un Jenkins ou un Wordpress troué sur internet, personne ne va dire "c'est une faille de Linux". Par contre, si un poste de travail se retrouve infecté, et qu'un malware efface les données des serveurs Windows (ce qui est le cas des ransomware), ça devient d'un coup une faille lié à l'OS.
L'exemple de Manutan est assez parlant. Microsoft dit "il faut faire les mises à jours", le responsable du SI dit "on a 800 serveurs, on peut pas". Puis "on a eu des alertes, mais on a pas regardé".
Je comprends que l'informatique, c'est difficile, et je ne doute pas que la situation vis à vis des mises à jour est loin d'être simple. J'ai aussi du m'occuper de remettre en état des infras pourris, ça coûte de l'argent (sous forme d'ingé qualifié) qu'on a du mal à trouver. Et j'ai beau dire "faut passer à de l'automatisation", c'est plus facile à dire qu'à faire (car la, les 800 serveurs, ça a été fait à la main de ce que je comprends).
Mais quand on regarde l'histoire, l'attaque a commencé par un phising. Est ce qu'on va compter ça comme une faille windows ? Visiblement oui. Je suppose qu'à partir du phisig, il y a eu obtention d’accès plus élevés sur les serveurs, puis la cata.
Et les serveurs qui ont été touchés sont ceux avec des données qui impacte la boite (exchange, AD, applicatifs maisons).
Du coup, ça pose la question de la place de Linux dans le SI.
Si ça sert à faire dhcp/dns, ça va pas être malin de le foutre en l'air, vu que ça coute moins cher de réinstaller vu qu'il y a pas de données. Et du point de vue du pirate, il ne faut pas mettre en l'air la compta et la DB Oracle/SAP (qui en général tourne sous RHEL/Suse), sinon personne ne va pouvoir payer la rançon.
D'une part que le département financier doit pouvoir fonctionner, et d'autre part parce qu'il resterait plus de thunes après le passage d'Oracle pour refaire marcher la compta.
C'est intéressant de voir le coté transnational des complotistes (en l'occurence, la rumeur est parti d'angleterre, puis de californie, puis est revenu en France via france soir et le reste des complotistes). Les mêmes thèmes reviennent, mais s'adaptent à un contexte propre dans chaque pays.
Des fois, ça colle pas (parce que venir chouiner sur l'immigration du mexique, ça passe pas trop en France), et des fois, ça s'accroche mieux (exemple, ici).
Mais bon, c'est aussi lié à la production constante de fausses news. Tu produis et tu regardes ce qui survit, c'est rien de magique.
Chaque fournisseur a son cocktail maison des softs du projet, dans des versions différentes, des réglages différents, etc.
Les images sont sans doute pas non plus les mêmes (ce qui est toujours un grand moment de fun), ou ne sont pas toujours dispo. Et bien sur, rien n'a le même nom dans les types de machines, les ID des disques, etc.
Donc c'est sans doute un peu plus portable que de passer de ec2 a azure, mais c'est pas non plus la joie. Tu va devoir sensiblement faire autant de modification et de tests, avec parfois des résultats pas terribles (les tests de Fuga dans l'article plus haut)
Le vrai risque, c'est à mon avis pas dans le fait d'utiliser ce que tout le monde propose (des VMs, du stockage en mode objet à la S3, etc), mais le reste.
C'est vrai, mais d'un point de vue technique, c'est quoi la différence ?
Si les téléphones supportent IP v6, alors les puces GSM/modem aussi. Je peux imaginer que ça ne soit pas le cas de tout le parc, mais la, ça a l'air d'être quasiment rien, et si les puces supportent la 4G, c'est pas si vieux que ça.
Donc je suppose que c'est l'OS du routeur le souci, mais c'est sous le controle du FAI, et y a pas trop d'excuse.
J'ai un modem 4G dans mon PC (sim Orange), et je viens de tester, si je coupe l'IP v4, j'ai une IP v6 dispo.
Le dual stack n'a pas l'air dispo, mais je peux aller en IP v4, et orange a l'air d'avoir mis du dns64:
$ host github.com
github.com has address 140.82.121.4
github.com has IPv6 address 64:ff9b::8c52:7904
github.com mail is handled by 10 alt3.aspmx.l.google.com.
github.com mail is handled by 1 aspmx.l.google.com.
github.com mail is handled by 5 alt1.aspmx.l.google.com.
github.com mail is handled by 10 alt4.aspmx.l.google.com.
github.com mail is handled by 5 alt2.aspmx.l.google.com.
Mais c'est marrant, le graph dit que Orange ne propose pas d'IP v6 en 4G, mais mon téléphone, dans mon souvenir, me prouve le contraire. Soit j'ai mal compris, soit je me plante sur mon tel.
C'est une réalité avec laquelle il faut bien composer : le
radicalisme est moins efficace qu'une approche progressive pour
faire bouger les mentalités
je suis pas d'accord sur le fait d'opposer les 2, car c'est pas exclusif. Ou du moins, c'est exclusif à certains moments et à l’échelle individuel, mais tu as besoin des deux approches car ça n'a pas les mêmes effets sur les mêmes personnes.
À l'échelle d'un mouvement entier (que ça soit le logiciel libre, le véganisme ou la lutte contre le SIDA), tu va forcément avoir plusieurs actions et façon de faire.
Par exemple, les actions d'ACT Up ont fait du bruit médiatiquement ce qui a permis d'obtenir de la visibilité.
Je mets ça dans radical, vu qu'ils se sont retrouvés en justice, notamment en 2013, une action à mettre à coté des actions sur les boucheries.
Autre exemple, la radicalité de RMS a inspiré d'autres personnes à faire pareil et à viser vers un but et à donner de l'ampleur au mouvement du libre.
Mais tu ne peux pas faire que des actions radicales, car en général, c'est pas pragmatique. Par exemple, heureusement qu'on a pas attendu d'avoir des laptops 100% libres pour faire du logiciel libre, parce qu'on serait sans doute encore en train d'attendre.
Donc les 2 approches ont 2 résultats différents, pas forcément alignés, mais de toute façon, tu as pas souvent grand chose à perdre.
serait plus audible que le véganisme militant.
C'est supposer qu'un argument raisonné soit capable de faire changer d'avis les gens sur le sujet, mais je pense que c'est faux.
Je suis 100% convaincu de tout les arguments pour ne pas manger de viande, j'ai aussi eté en relation proche avec des personnes végétariennes et vegans, mais je me retrouve quand même à manger parfois de la viande.
Donc j'imagine que les personnes moins convaincues, voir celles qui lient la consommation de viande à une partie de leur identité, c'est pas trop la peine.
On peut pas faire entendre quelqu'un qui veut pas écouter.
Et tout comme on arrive à ignorer tout un tas de choses (que ça soit les guerres, les SDFs, les affaires d'inceste, de violence familiale, etc), on arrive aussi à ne pas se poser de questions sur la provenance de la bouffe.
En tout cas, moi j'y arrive, surtout quand j'ai la dalle. Je suis sur que je suis pas un surhomme, donc je suis sur que le reste de l'humanité arrive avec autant de facilité que moi.
Par contre côté "mangeur de viande", je ne compte plus ceux qui
te sortent des "moi je peux pas survivre sans mon gros steak
saignant tous les 2 jours" ou autres clichés du genre, et
toutes les blagues sur la viande dès qu'ils apprennent qu'y a
un vegan dans le coin.
C'est con que ça soit des remarques sur les steaks, parce que "je peux pas vivre sans mon jambon", c'est assez facile de plomber l'ambiance en rappelant les liens entre cancer colorectal et charcuterie.
(ouais, c'est pour ça qu'on m'invite presque plus aux soirées)
De ce que je comprends de l'article, aucune des insultes ne semble parler de boucherie, mais la plupart semble avoir une dimension genré (y a un paragraphe complet sur ça), donc je ne suis pas sur de voir le rapport entre les 2.
La question du genre dans la consommation de viande est un point qui a été étudié par d'autres ailleurs que dans un contexte nord américain (exemple: Nora Bouazzouni en parle dans son livre Steaksisme sorti en 2021). Et ton évocation d'une forme de violence laisse quand même à voir l'étendu du discours possible.
Soit il n'y a des actions des plus pacifiques, et on positionne les végans comme faible, non virile (cf l'article).
Soit il y a des actions moins pacifiques (exemple, les actions dans les boucheries, popularisé récemment par le film Barbaque qui parle d'un couple de bouchers cannibales), et d'un coup, c'est surtout l’excès de violence qui est mis en avant.
Ensuite, si le monde du jeu vidéo était connu pour avoir une forte misogynie rampante, ça se saurait.
Il y a aussi un article de recherche par la même chercheuse.
Et sans surprise, le fait d'avoir tenté de jouer Link comme vegan et en parler sur un forum a entraîné des insultes (qu'elle expose dans l'article).
C'est le fait de payer, ou le fait d'injecter une puce le souci ?
Je paye toujours en cash (autant que possible), mais il y a 4 semaines, j'ai perdu ma carte bleue dans un fauteuil d'un bar à paris, je le sais parce que je l'ai retrouvé la semaine d’après dans le même bar et le même fauteuil).
Ça m'a un peu mis dans la merde (vu que payer par cash à la SNCF, c'est un chouia plus long, et retirer des thunes sans carte bleue, c'est pas terrible non plus, sans compter payer OVH, etc).
J'ai aussi déjà oublié mes clés plusieurs dans ma vie (1 fois avec mon coloc parti en weekend 3j…), j'ai déjà perdu une yubikey (ou je mets ma clé ssh).
Chaque fois, j'ai mis des backups en place (j'ai suffisamment de liquide chez moi, j'ai regardé pour 1 deuxième carte bleue, j'ajoute toujours 2 yubikey dont 1 chez moi, etc), mais fondamentalement, un truc que je peux pas perdre, ça me parait pas mal non plus pour corriger le souci à la racine, et je pense que c'est dur de perdre ce genre de puce.
Donc je peux comprendre l'attrait à ce niveau.
Et je vois pas exactement ce que ça a voir avec l'amour propre, ni vraiment comment l'amour propre va permettre de payer des choses.
Je pense qu'il y a surtout la question de ce que "cohabiter" implique pour la plupart des gens (et c'est grosso modo la fin de l'article du NYT)
Par exemple, pour le VIH et les différents IST, ça reviens surtout à mettre un préservatif lors des rapports, et se faire tester quand on veut retirer (je simplifie, parce que je sais qu'il y a d'autres choses à faire, surtout pour d'autres IST qui se soignent plus facilement et se transmettent plus, comme la chlamydia).
Ou pour le paludisme, c'est pas trop une grosse préoccupation en Europe de . je peux pas vraiment dire que ma vie a été grandement impacté par ça.
La, ce qu'on entends par "cohabiter", ça semble être justement beaucoup plus flou.
J'imagine qu'il serait utile de lister sur la carte d'OSM si c'est pas déjà fait. Pas forcément pour que SafeCycle utilise l'information (mais peut être) mais au moins, pour avoir un point centrale pour savoir ce qui est ou (et donc s'organiser).
Mais dans la pratique, ce n'est pas aux développeurs de faire eux-mêmes leurs paquets pour chaque distro, si ?
Non. Y en a qui le font, mais c'est une minorité et en général, c'est 2 boulots séparés, parce que ça prends du temps. Parfois, tu as la même organisation qui fait le logiciel et le paquet (éditeur logiciel, logiciel propre à une distribution), mais c'est tout.
Un point du débat que je pige pas, c'est qu'on rajoute une dichotomie la ou il n'y a pas lieu d'en avoir une.
Personne ne force à utiliser des flatpaks, tout comme personne ne force à utiliser des rpms, sauf si personne ne fait le boulot.
Mais si personne ne fait le boulot pour avoir le logiciel dans le format qu'on veut, c'est pas la faute des gens qui font le travail qu'on veut pas. C'est la faute des gens qui ne font rien.
À coté de ça, il y a plein d'incident qui ont été réglé sans douleur en grande partie parce qu'il n'y a pas eu d'huile sur le feu, parce que justement, les médias n'en ont pas parlé en long, en large et en travers.
Bien sur, du coup, je peux pas donner d'exemple mais il suffit de voir les rapports d'organisation comme par exemple Fedora pour voir qu'il y a une différence rien qu'au niveau des stats.
Visiblement, il a aussi décidé de donner l’adresse du membre de l'équipe Debian-Press qui a envoyé l'email en précisant "on veut pas encourager des morts": We don't want to encourage any Kyle Rittenhouse antics but nonetheless if you need to make a private prosecution for harassment you need to go to the court house with the address of the suspect.
C'est pire que ça. C'est au niveau de ton PABX, et l'opérateur ne vérifie pas.
Il y a maintenant 8 ans, j'étais en charge de l'informatique au bureau de mon employeur, et je devais documenter les contrats avec nos fournisseurs. En regardant le contrat et notre documentation, je vois une erreur, notre équipe téléphonie a commencé à allouer des numéros hors du range assigné (c'était 1 numéro par personne à l'époque).
J'appelle Orange pour vérifier, et on me demande le nom de l'entreprise. Je le donne, et la personne en face me dit "ah mais chez moi, c'est affiché que vous appelez depuis HSBC". Je réponds "oui, justement, c'est pour ça que j'appelle, je veux vérifier qu'on assigne bien les bons numéros, etc, etc".
Et en effet, notre équipe téléphonie s'est planté en recopiant le range (genre d'un chiffre, de 0 à 99 au lieu de 0 à 49), mais personne n'a rien vu (vu que les 49 premiers, c'était bon, j'ai eu le 52 ou 51). C'est d'autant plus affolant que de toute les boites ou on aurait pu piquer les numéros par erreur, on est tombé sur une banque (vu que les numéros sont assignés par zone géographique, et qu'on était à la Défense, c'était aussi prévisible).
[^] # Re: Ouille !
Posté par Misc (site web personnel) . En réponse au lien Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package. Évalué à 10.
De ce que j'ai compris, le but etait surtout son usage dans la configuration de log4j. Vu que log4j vient avec un mécanisme de configuration en XML assez fin, tu peux aussi utiliser ça pour faire le routage de tes logs via une source en LDAP sans toucher au logiciel de base, et de façon uniforme sur tous. Le souci, c'est que ce mécanisme qui est ok dans la config s'est retrouvé aussi exposé dans le code (ce qui est ok aussi), puis exposé à des chaines utilisateurs (ce qui est moins ok).
Mais avoir une fonction "log(toto)", je peux voir comment ça parait innocent. Donc pris séparément, je peux voir pourquoi personne n'a rien vu.
Le souci, c'est le mix de tout ça, lié avec la transparence réseau de java (qui a du être oublié, depuis que Scott Mc nealy ne fait plus de keynotes sur le sujet)
Et la sobriété, tout le monde est pour, sauf quand il s'agit de retirer les fonctions dont on a besoin. La, c'est indispensable bien sur et seul des codeurs nazis voudraient retirer les choses, cf le niveau de certaines discussions passées sur GNOME ou systemd pour l'audace de simplifier l'interface ou de ne pas supporter la sobriété numérique d'avoir 3000 lignes de bash qu'on peut bidouiller de partout pour l'init.
[^] # Re: trop de fonctionnalités tues les fonctionnalités?
Posté par Misc (site web personnel) . En réponse au lien Pixel (and Microsoft Teams) prevented me from calling 911. Évalué à 3.
Du coup, je suppose que ce bout la est au niveau de l'écran de verrouillage.
En fait, on parle de l'application téléphone, mais il y a peut être plusieurs bouts spéarés (eg, le clavier, et le backend pour faire les appels).
Je pense que la plupart des utilisateurs ne feraient pas gaffe et dirait juste "oui". Les appels d'urgence, on y pense pas vraiment.
Et l'obligation sur les appels d'urgence, ça me rappelle aussi les alertes AMBER aux états unis. Je ne sais pas si c'est mon téléphone en particulier ou Android, mais la première que j'ai reçu une alerte, c’était un bruit de sirène à un volume assez fort. Et sur mon téléphone, je ne peux pas le désactiver ça (ou en tout cas, j'ai pas trouvé comment).
En lisant WP, j'ai vu que l'alerte a été activé une fois à 4h du matin en 2013, je pense que je n'aurais pas été de bonne humeur ce matin la.
[^] # Re: trop de fonctionnalités tues les fonctionnalités?
Posté par Misc (site web personnel) . En réponse au lien Pixel (and Microsoft Teams) prevented me from calling 911. Évalué à 2.
Mais que je sache, Teams est pas installé par défaut sur android. Donc quelqu'un a choisi de l'installer (que ça soit imposer par ton employeur sur le tel de la boite ne change rien au fait que quelqu'un a fait le choix).
Ensuite, je sais pas pourquoi Teams peut recevoir l'Intent android de donner un appel, mais si Teams fait de la VoIP, c'est pas du tout déconnant de donner la permission de faire des appels.
On peut se poser la question de donner par défaut ou pas la permission, mais en général, les gens s'attendent à ce que les applications marchent sans avoir à faire 45 réglages de plus après installation.
Et pareil, on peut pas raler sur les dialogues de Vista qui demandent de tout confirmer (et qui du coup desensibilise les utilisateurs aux dialogues), puis raler que les applications ne demandent pas à chaque fois de confirmer chaque détail obscure.
C'est regrettable d'avoir eu un bug dans Teams, bien sur, mais les bugs, ça arrive à tout le monde.
On peut regretter l'état des OS pour téléphone qui ne te permettent pas de changer les libs au pif (chose qu'on peut pas vraiment faire sur une distrib classique non plus), mais on peut pas vraiment dire que la communauté du libre s'est mobilisé non plus pour aider les téléphones libres au fut et à mesure des années. Je me souviens des discussions sur l'openmoko, à base de "600€ c'est trop cher" et "ç'est moins bien que mon iphone, je vais garder mon tel". Il y a eu d'autres problèmes bien sur, mais le kernel ne s'est pas écrit en 1 jour non plus.
[^] # Re: trop de fonctionnalités tues les fonctionnalités?
Posté par Misc (site web personnel) . En réponse au lien Pixel (and Microsoft Teams) prevented me from calling 911. Évalué à 3.
Ensuite, on est aussi les premiers à raler si on peut pas utiliser un autre moteur de rendu HTML dans un navigateur sur un téléphone (cough iphone cough).
Il faut à un moment savoir si on veut pouvoir étendre l'os et remplacer des bouts (et dans ce cas, le bout qui fait des appels), ou si on veut un OS qui interdit de remplacer certains bouts.
[^] # Re: Une analyse assez foireuse
Posté par Misc (site web personnel) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 7.
Ça, ou peut être qu'Oracle va demander sa part si quelqu'un arrive à obtenir de l'argent avec sa DB.
J'ai pas lu les conditions d'utilisation, mais je serait pas étonner que ça soit dedans :p
[^] # Re: hein?
Posté par Misc (site web personnel) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 5.
C'est sur que si le ransomware a le même effet qu'une mise à jour foireuse de ton kernel qui ne monte plus un FS parce que "insert bug à la con", ça va faire peur à personne.
"ah ah, j'ai supprimé le son sur ton poste de travail sous Debian unstable, tu va devoir payé une rançon" "ah bon, c'est une mise à jour de pipewire ?"
# Une analyse assez foireuse
Posté par Misc (site web personnel) . En réponse au journal Coût de piratage des serveurs Linux. Évalué à 10.
En fait, quand on parle de failles en parlant des OS, c'est une comparaison foireuse. Par exemple, si quelqu'un expose un Jenkins ou un Wordpress troué sur internet, personne ne va dire "c'est une faille de Linux". Par contre, si un poste de travail se retrouve infecté, et qu'un malware efface les données des serveurs Windows (ce qui est le cas des ransomware), ça devient d'un coup une faille lié à l'OS.
L'exemple de Manutan est assez parlant. Microsoft dit "il faut faire les mises à jours", le responsable du SI dit "on a 800 serveurs, on peut pas". Puis "on a eu des alertes, mais on a pas regardé".
Je comprends que l'informatique, c'est difficile, et je ne doute pas que la situation vis à vis des mises à jour est loin d'être simple. J'ai aussi du m'occuper de remettre en état des infras pourris, ça coûte de l'argent (sous forme d'ingé qualifié) qu'on a du mal à trouver. Et j'ai beau dire "faut passer à de l'automatisation", c'est plus facile à dire qu'à faire (car la, les 800 serveurs, ça a été fait à la main de ce que je comprends).
Mais quand on regarde l'histoire, l'attaque a commencé par un phising. Est ce qu'on va compter ça comme une faille windows ? Visiblement oui. Je suppose qu'à partir du phisig, il y a eu obtention d’accès plus élevés sur les serveurs, puis la cata.
Et les serveurs qui ont été touchés sont ceux avec des données qui impacte la boite (exchange, AD, applicatifs maisons).
Du coup, ça pose la question de la place de Linux dans le SI.
Si ça sert à faire dhcp/dns, ça va pas être malin de le foutre en l'air, vu que ça coute moins cher de réinstaller vu qu'il y a pas de données. Et du point de vue du pirate, il ne faut pas mettre en l'air la compta et la DB Oracle/SAP (qui en général tourne sous RHEL/Suse), sinon personne ne va pouvoir payer la rançon.
D'une part que le département financier doit pouvoir fonctionner, et d'autre part parce qu'il resterait plus de thunes après le passage d'Oracle pour refaire marcher la compta.
Le but, c'est quand même le pognon.
# Les joies des fausses news
Posté par Misc (site web personnel) . En réponse au lien Pas d'argument? Invente avec grand mots : analyse de la création et de la propagation d'un mensonge. Évalué à 3.
C'est intéressant de voir le coté transnational des complotistes (en l'occurence, la rumeur est parti d'angleterre, puis de californie, puis est revenu en France via france soir et le reste des complotistes). Les mêmes thèmes reviennent, mais s'adaptent à un contexte propre dans chaque pays.
Des fois, ça colle pas (parce que venir chouiner sur l'immigration du mexique, ça passe pas trop en France), et des fois, ça s'accroche mieux (exemple, ici).
Mais bon, c'est aussi lié à la production constante de fausses news. Tu produis et tu regardes ce qui survit, c'est rien de magique.
[^] # Re: Azure Vs Openstack
Posté par Misc (site web personnel) . En réponse au journal Comment j'utilise Azure pour FusionForge. Évalué à 3.
Alors le projet Enough a tenté ça:
https://forum.enough.community/t/testing-another-openstack-provider/650
Chaque fournisseur a son cocktail maison des softs du projet, dans des versions différentes, des réglages différents, etc.
Les images sont sans doute pas non plus les mêmes (ce qui est toujours un grand moment de fun), ou ne sont pas toujours dispo. Et bien sur, rien n'a le même nom dans les types de machines, les ID des disques, etc.
Donc c'est sans doute un peu plus portable que de passer de ec2 a azure, mais c'est pas non plus la joie. Tu va devoir sensiblement faire autant de modification et de tests, avec parfois des résultats pas terribles (les tests de Fuga dans l'article plus haut)
Le vrai risque, c'est à mon avis pas dans le fait d'utiliser ce que tout le monde propose (des VMs, du stockage en mode objet à la S3, etc), mais le reste.
[^] # Re: Petit commentaire
Posté par Misc (site web personnel) . En réponse au lien VKontakte contrôlé par l'État russe. Évalué à 2.
Dans mon souvenir, c'est sur Vkontakte que l’extrême droite US s'organise de nos jours:
https://www.thedailybeast.com/american-alt-right-leaves-facebook-for-russian-site-vkontakte
Je ne serais pas surpris que ça soit pareil en France et ailleurs en Europe.
[^] # Re: Une transition loin d'être suffisante en France
Posté par Misc (site web personnel) . En réponse au lien Transition vers IPV6. Évalué à 2.
C'est vrai, mais d'un point de vue technique, c'est quoi la différence ?
Si les téléphones supportent IP v6, alors les puces GSM/modem aussi. Je peux imaginer que ça ne soit pas le cas de tout le parc, mais la, ça a l'air d'être quasiment rien, et si les puces supportent la 4G, c'est pas si vieux que ça.
Donc je suppose que c'est l'OS du routeur le souci, mais c'est sous le controle du FAI, et y a pas trop d'excuse.
J'ai un modem 4G dans mon PC (sim Orange), et je viens de tester, si je coupe l'IP v4, j'ai une IP v6 dispo.
Le dual stack n'a pas l'air dispo, mais je peux aller en IP v4, et orange a l'air d'avoir mis du dns64:
[^] # Re: Une transition loin d'être suffisante en France
Posté par Misc (site web personnel) . En réponse au lien Transition vers IPV6. Évalué à 5.
On peut balancer les noms, c'est SFR qui traine.
Mais c'est marrant, le graph dit que Orange ne propose pas d'IP v6 en 4G, mais mon téléphone, dans mon souvenir, me prouve le contraire. Soit j'ai mal compris, soit je me plante sur mon tel.
[^] # Re: et la B12 ?
Posté par Misc (site web personnel) . En réponse au lien Végan sur une île déserte. Évalué à 5.
je suis pas d'accord sur le fait d'opposer les 2, car c'est pas exclusif. Ou du moins, c'est exclusif à certains moments et à l’échelle individuel, mais tu as besoin des deux approches car ça n'a pas les mêmes effets sur les mêmes personnes.
À l'échelle d'un mouvement entier (que ça soit le logiciel libre, le véganisme ou la lutte contre le SIDA), tu va forcément avoir plusieurs actions et façon de faire.
Par exemple, les actions d'ACT Up ont fait du bruit médiatiquement ce qui a permis d'obtenir de la visibilité.
Je mets ça dans radical, vu qu'ils se sont retrouvés en justice, notamment en 2013, une action à mettre à coté des actions sur les boucheries.
Autre exemple, la radicalité de RMS a inspiré d'autres personnes à faire pareil et à viser vers un but et à donner de l'ampleur au mouvement du libre.
Mais tu ne peux pas faire que des actions radicales, car en général, c'est pas pragmatique. Par exemple, heureusement qu'on a pas attendu d'avoir des laptops 100% libres pour faire du logiciel libre, parce qu'on serait sans doute encore en train d'attendre.
Donc les 2 approches ont 2 résultats différents, pas forcément alignés, mais de toute façon, tu as pas souvent grand chose à perdre.
C'est supposer qu'un argument raisonné soit capable de faire changer d'avis les gens sur le sujet, mais je pense que c'est faux.
Je suis 100% convaincu de tout les arguments pour ne pas manger de viande, j'ai aussi eté en relation proche avec des personnes végétariennes et vegans, mais je me retrouve quand même à manger parfois de la viande.
Donc j'imagine que les personnes moins convaincues, voir celles qui lient la consommation de viande à une partie de leur identité, c'est pas trop la peine.
On peut pas faire entendre quelqu'un qui veut pas écouter.
Et tout comme on arrive à ignorer tout un tas de choses (que ça soit les guerres, les SDFs, les affaires d'inceste, de violence familiale, etc), on arrive aussi à ne pas se poser de questions sur la provenance de la bouffe.
En tout cas, moi j'y arrive, surtout quand j'ai la dalle. Je suis sur que je suis pas un surhomme, donc je suis sur que le reste de l'humanité arrive avec autant de facilité que moi.
[^] # Re: et la B12 ?
Posté par Misc (site web personnel) . En réponse au lien Végan sur une île déserte. Évalué à 3.
C'est con que ça soit des remarques sur les steaks, parce que "je peux pas vivre sans mon jambon", c'est assez facile de plomber l'ambiance en rappelant les liens entre cancer colorectal et charcuterie.
(ouais, c'est pour ça qu'on m'invite presque plus aux soirées)
[^] # Re: Ça me rappelle un autre jeu
Posté par Misc (site web personnel) . En réponse au lien Végan sur une île déserte. Évalué à 2.
De ce que je comprends de l'article, aucune des insultes ne semble parler de boucherie, mais la plupart semble avoir une dimension genré (y a un paragraphe complet sur ça), donc je ne suis pas sur de voir le rapport entre les 2.
La question du genre dans la consommation de viande est un point qui a été étudié par d'autres ailleurs que dans un contexte nord américain (exemple: Nora Bouazzouni en parle dans son livre Steaksisme sorti en 2021). Et ton évocation d'une forme de violence laisse quand même à voir l'étendu du discours possible.
Soit il n'y a des actions des plus pacifiques, et on positionne les végans comme faible, non virile (cf l'article).
Soit il y a des actions moins pacifiques (exemple, les actions dans les boucheries, popularisé récemment par le film Barbaque qui parle d'un couple de bouchers cannibales), et d'un coup, c'est surtout l’excès de violence qui est mis en avant.
Ensuite, si le monde du jeu vidéo était connu pour avoir une forte misogynie rampante, ça se saurait.
# Ça me rappelle un autre jeu
Posté par Misc (site web personnel) . En réponse au lien Végan sur une île déserte. Évalué à 2.
Une chercheuse a tenté une partie de BotW avec la question "ça ressemble à quoi des contraintes de veganisme dans le jeu":
https://michellewesterlaken.com/2017/05/24/breath-of-the-wild-vegan-run/
Il y a aussi un article de recherche par la même chercheuse.
Et sans surprise, le fait d'avoir tenté de jouer Link comme vegan et en parler sur un forum a entraîné des insultes (qu'elle expose dans l'article).
[^] # Re: C'est pour quelle typologie de personne ?
Posté par Misc (site web personnel) . En réponse au lien implant permettant de payer sans contact avec sa main. Évalué à 2.
C'est le fait de payer, ou le fait d'injecter une puce le souci ?
Je paye toujours en cash (autant que possible), mais il y a 4 semaines, j'ai perdu ma carte bleue dans un fauteuil d'un bar à paris, je le sais parce que je l'ai retrouvé la semaine d’après dans le même bar et le même fauteuil).
Ça m'a un peu mis dans la merde (vu que payer par cash à la SNCF, c'est un chouia plus long, et retirer des thunes sans carte bleue, c'est pas terrible non plus, sans compter payer OVH, etc).
J'ai aussi déjà oublié mes clés plusieurs dans ma vie (1 fois avec mon coloc parti en weekend 3j…), j'ai déjà perdu une yubikey (ou je mets ma clé ssh).
Chaque fois, j'ai mis des backups en place (j'ai suffisamment de liquide chez moi, j'ai regardé pour 1 deuxième carte bleue, j'ajoute toujours 2 yubikey dont 1 chez moi, etc), mais fondamentalement, un truc que je peux pas perdre, ça me parait pas mal non plus pour corriger le souci à la racine, et je pense que c'est dur de perdre ce genre de puce.
Donc je peux comprendre l'attrait à ce niveau.
Et je vois pas exactement ce que ça a voir avec l'amour propre, ni vraiment comment l'amour propre va permettre de payer des choses.
[^] # Re: comme d'autres
Posté par Misc (site web personnel) . En réponse au lien Cohabiter toute la vie avec le Covid-19. Évalué à 3.
Je pense qu'il y a surtout la question de ce que "cohabiter" implique pour la plupart des gens (et c'est grosso modo la fin de l'article du NYT)
Par exemple, pour le VIH et les différents IST, ça reviens surtout à mettre un préservatif lors des rapports, et se faire tester quand on veut retirer (je simplifie, parce que je sais qu'il y a d'autres choses à faire, surtout pour d'autres IST qui se soignent plus facilement et se transmettent plus, comme la chlamydia).
Ou pour le paludisme, c'est pas trop une grosse préoccupation en Europe de . je peux pas vraiment dire que ma vie a été grandement impacté par ça.
La, ce qu'on entends par "cohabiter", ça semble être justement beaucoup plus flou.
[^] # Re: It works!
Posté par Misc (site web personnel) . En réponse à la dépêche SafeCycle - Itinéraire pour vélo, centré sur la sécurité. Évalué à 2.
J'imagine qu'il serait utile de lister sur la carte d'OSM si c'est pas déjà fait. Pas forcément pour que SafeCycle utilise l'information (mais peut être) mais au moins, pour avoir un point centrale pour savoir ce qui est ou (et donc s'organiser).
[^] # Re: Faites des paquets Debian pour vos applications
Posté par Misc (site web personnel) . En réponse au lien "Si vous maintenez une distribution Linux, je vous en supplie, n'utilisez pas Flatpak et Snap". Évalué à 3.
Bien plus que les gens qui font des choses, oui.
[^] # Re: Faites des paquets Debian pour vos applications
Posté par Misc (site web personnel) . En réponse au lien "Si vous maintenez une distribution Linux, je vous en supplie, n'utilisez pas Flatpak et Snap". Évalué à 7. Dernière modification le 23 novembre 2021 à 19:31.
Non. Y en a qui le font, mais c'est une minorité et en général, c'est 2 boulots séparés, parce que ça prends du temps. Parfois, tu as la même organisation qui fait le logiciel et le paquet (éditeur logiciel, logiciel propre à une distribution), mais c'est tout.
Un point du débat que je pige pas, c'est qu'on rajoute une dichotomie la ou il n'y a pas lieu d'en avoir une.
Personne ne force à utiliser des flatpaks, tout comme personne ne force à utiliser des rpms, sauf si personne ne fait le boulot.
Mais si personne ne fait le boulot pour avoir le logiciel dans le format qu'on veut, c'est pas la faute des gens qui font le travail qu'on veut pas. C'est la faute des gens qui ne font rien.
[^] # Re: TL;DR ?
Posté par Misc (site web personnel) . En réponse au lien [ça grippe] L'équipe de modération démissionne pour protester contre un noyau central rouillé. Évalué à 5.
Oui, en général, l'expérience montre que si tu en parles de façon publique, ça part assez vite en vrille et personne n'est gagnant.
Les exemples de Drupal avec Larry Garfield en 2017, du Donglegate avec Python en 2013, ou plus récemment de Debian et Daniel Pocock montrent des cas ou ça a été assez loin.
À coté de ça, il y a plein d'incident qui ont été réglé sans douleur en grande partie parce qu'il n'y a pas eu d'huile sur le feu, parce que justement, les médias n'en ont pas parlé en long, en large et en travers.
Bien sur, du coup, je peux pas donner d'exemple mais il suffit de voir les rapports d'organisation comme par exemple Fedora pour voir qu'il y a une différence rien qu'au niveau des stats.
[^] # Re: tests pcr
Posté par Misc (site web personnel) . En réponse au lien Le résultat ne correspond pas à ta théorie fumeuse? Ben facile, change juste la façon de mesurer.. Évalué à 4.
Non, mais on peut pas généraliser, c'est seulement pour les débats entre médecins.
Quand y a un débat entre assassins, ça passe en général bien de dire que les autres sont des assassins.
[^] # Re: Et la discussion sur reddit
Posté par Misc (site web personnel) . En réponse au lien Statement on Daniel Pocock. Évalué à 2.
Visiblement, il a aussi décidé de donner l’adresse du membre de l'équipe Debian-Press qui a envoyé l'email en précisant "on veut pas encourager des morts":
We don't want to encourage any Kyle Rittenhouse antics but nonetheless if you need to make a private prosecution for harassment you need to go to the court house with the address of the suspect.[^] # Re: changer facilement son numéro d'appelant
Posté par Misc (site web personnel) . En réponse au journal Pourquoi Bloctel et les lois contre le démarchage téléphonique ne servent plus à rien. Évalué à 8.
C'est pire que ça. C'est au niveau de ton PABX, et l'opérateur ne vérifie pas.
Il y a maintenant 8 ans, j'étais en charge de l'informatique au bureau de mon employeur, et je devais documenter les contrats avec nos fournisseurs. En regardant le contrat et notre documentation, je vois une erreur, notre équipe téléphonie a commencé à allouer des numéros hors du range assigné (c'était 1 numéro par personne à l'époque).
J'appelle Orange pour vérifier, et on me demande le nom de l'entreprise. Je le donne, et la personne en face me dit "ah mais chez moi, c'est affiché que vous appelez depuis HSBC". Je réponds "oui, justement, c'est pour ça que j'appelle, je veux vérifier qu'on assigne bien les bons numéros, etc, etc".
Et en effet, notre équipe téléphonie s'est planté en recopiant le range (genre d'un chiffre, de 0 à 99 au lieu de 0 à 49), mais personne n'a rien vu (vu que les 49 premiers, c'était bon, j'ai eu le 52 ou 51). C'est d'autant plus affolant que de toute les boites ou on aurait pu piquer les numéros par erreur, on est tombé sur une banque (vu que les numéros sont assignés par zone géographique, et qu'on était à la Défense, c'était aussi prévisible).