pasBill pasGates a écrit 16057 commentaires

Pfff petit jeune…. moi je sauvais mes premières lignes de code sur cassette audio avec mon Intellivision !

Ou qu'un editeur de logiciel refuserait forcement d'ajouter une backdoor si la NSA le demandait ?

Ca c'est une bonne question.

Combien de développeurs Linux bossent pour Redhat, Google, IBM, … déjà ?

Merci de nous confirmer toi-même ce que TImaniac dit.

C'est absolument pas comparable. Dans un cas on a un evenement heureusement assez rare, un bug critique qui n'a pas été reperé pendant plusieurs années. Dans l'autre, le dev du logiciel proprietaire peut rajouter une backdoor en 5 minutes dans n'importe quelle release sans que personne ne puisse le savoir.

Tu me fais bien marrer. Qu'est ce qui te dit que ce bug Shellshock n'était pas une backdoor ? Tu n'en sais absolument rien. Tu t'amuses à assumer que n'importe quelle vulnérabilité trouvée dans un soft libre est juste ça : une vulnérabilité innocente, alors que tu mets le doute sur le proprio, on va dire que c'est sacrément gonflé.

Dans l'autre, le dev du logiciel proprietaire peut rajouter une backdoor en 5 minutes dans n'importe quelle release sans que personne ne puisse le savoir.

Ca doit bien être pour ça que plein de backdoor ont été trouvées dans divers produits (firmwares de routeurs notamment) ? Ah ben non, visiblement elles se trouvent, même dans du code binaire.

Word 2007 je sais pas, mais Word 2013 (laptop maison, p-e que 2010/2007 l'ont aussi) a une option "premiere page differente" dans le ruban du footer.

Tu choisis ca, enleves le numero du de page de la 1ere page, et tu clique droit sur le numero de page du footer dans la page 2 pour changer le numero de depart a 0, ca amene ta 2eme page a etre la 1ere.

De ce que je lis, ils 'cassent' principalement à travers :
- des failles software
- des certificats 'volés'

Ce n'est pas des failles de protocole/algorithme crypto ou une puissance de calcul dingue

Partant de la, je ne trouves pas cela si inquiétant que cela. Il n'y a pas grand chose de nouveau.

Word 2010 (en anglais) :

Tab "Insert" du ruban, choisir "Footer" -> Blank (ou autre, ça ne change rien à la suite…)

Une fois dans la tab du Footer, cliquer sur l’icône "Page Number" dans le ruban, et choisir le modèle approprié.

Ouh lala c'était compliqué !

CreateObject ca crée une instance de l'objet COM représentant l'application Word, Visible ça le met en visible oui, mais évidemment il suffit de le mettre en false, et tout se passera en background sans que cela soit visible.

Word, Excel, IE, SQL Server… ont tous des objets COM exposant leur fonctionnalité, avec un objet COM en haut de l'arborescence qui représente l'application elle-même, que tu peux réutiliser à bon vouloir à travers n'importe quel langage qui supporte l'appel d'objets COM.
Quand tu vois un installer faire tout un tas de registrations à l'installation, c'est souvent pour ça : enregistrer les interfaces des objets COM dans le système (une GUID) et l'associer à un dll/exe sur le disque. Ca permet ensuite à un script ou autre de simplement instancier un objet par son nom ou son GUID.

Bref, tu peux automatiser ton Word ou Excel ou autre en C#, VBScript, C++, Python,… très simplement.

Ah VBScript (ou Powershell, ou n'importe quel language supportant OLE en fait…)

Exemple volé sur un des blogs de MS :

Set objWord = CreateObject("Word.Application")
objWord.Visible = True
Set objDoc = objWord.Documents.Add()
Set objRange = objDoc.Range()
objDoc.Tables.Add objRange, 1, 3
Set objTable = objDoc.Tables(1)
objTable.Cell(1, 1).Range.Text = "Row 1, Column 1"
objTable.Cell(1, 2).Range.Text = "Row 1, Column 2"
objTable.Cell(1, 3).Range.Text = "Row 1, Column 3"

Ce qui est marrant vu le poste du haut, c'est qu'il est bien plus facile de créer une table de manière automatisée avec Word qu'avec LaTeX, il y a tout un tas d'APIs pour ça.

Tout a fait, il faut se mettre dans la tête que pour Win32, le chemin de path maximum est MAX_PATH (255) caractères. Le truc '\\?\' revient à faire un bypass de Win32, faut pas espérer que les softs Windows vont gérer cela vu que l'objectif de la chose est justement un bypass.

Vraiment ? Et quand tu as des objets de type fondamentalement différent, avec un nom de méthode identique et potentiellement des arguments totalement différents, ca donne quoi ?

C'est pas une limitation, c'est un effet tout a fait normal. '\\?\' signifie au système: " n'essaye pas d'interpréter le chemin, envoie le directement au FS". Ca empêche évidemment toute résolution de chemins relatifs.

Snowden a publié ce qu'il trouve scandaleux : les capacités offensives et comment ils les utilisent.

Leurs capacités défensives, Snowden n'a rien contre, vu que justement c'est de la défense. Faut pas s'attendre à le voir les lister.

Ben non. Le boulot de la NSA est aussi de protèger, notamment l'infrastructure du gouvernement. Ils sont juste bcp plus connus pour leur coté James Bond que pour l'autre.

En lisant ça, tout ce que cela dit est que les adresses utilisées avaient été utilisées précédemment par la Corée du Nord, pas qu'elles étaient assignées à la Corée du Nord.

Genre ça aurait pu être un serveur sur Azure ou AWS, utilisé précédemment.

"Linux Other" signifie que c'est un Linux, et qu'ils n'ont pas réussi à savoir quelle distrib. Ca pourrait être des Ubuntu, Redhat ou autre en grande majorite, on n'en sait rien (j'imagines que c'était des clients ne passant pas de user-agent assez précis).

Si git supposait que 2 fichiers avec une casse différente sont de fichiers identiques, alors on pourrait dire aussi que c'est de sa faute car ce n'est pas le cas avec tous les systèmes de fichiers.

Le client git est spécifique à un OS, il est sensé suivre les conventions de celui-ci, et c'est à lui de protèger le système du client d'un serveur qui enverrait qqe chose de malicieux, aussi simple que ça.

Rien à voir avec être étudiant ou pas, la plupart des gens, que ce soit aux US ou en Europe hein, se préoccupent de ce qui les affecte directement, dans un futur à peu près proche (on va dire qqe années ou jusqu'à leur retraite au mieux).

Les gens qui se préoccupent de l'état de la planète dans 200 ou 2000 ans, de qui pourrait être au pouvoir dans 20 ou 30 ans, etc… c'est une minorité, pas infime, mais une minorité. C'est triste, mais c'est comme ça…

Bien sur, mais ca me semble sacrément tiré par les cheveux simplement pour la raison première : La société lançant l'attaque prend un risque énorme de se faire attraper par le govt US, car ils n'ont aucune idéee des "envies" politiques de ce dernier en regard de la Corée du Nord.

Avec un soft concu proprement oui, quand il se rend compte qu'un fichier avec le meme nom existe deja, il devrait ouvrir un prompt avec un avertissment si il est ecrit proprement.

Je doutes que ce soit Sony qui mène les gens en bateau, vu le dommage énorme que cela a fait a leur réputation et l'effet que cela a eu sur leurs opérations, en plus, mener le FBI en bateau comme ça, faut pas avoir peur, si le FBI s'en rend compte, les gens responsables iraient en prison, pas simplement avec une amende…

Ensuite, Corée du Nord / pas Corée du Nord. C'est un peu le tirage au sort. A mon avis on n'aura jamais une confirmation sûre et vérifiable.

Tu lances le systeme, tu tapes "EULA" (sur un Windows anglais) et le document apparait.

Imaginons que ce soit MS ou Samsung.

Le problème vient lorsque ils doivent faire croire au govt US que c'est la Corée du Nord. Parce qu'à part imaginer un complot bien fou où le govt US est de mèche avec la société qui attaque, le govt US va mettre les gros moyens pour trouver ce qui s'est passé vu l'attaquant potentiel, et vu leurs moyens, c'est plutôt irréaliste à mon sens.

Euhhh… quelle rivalité économique ? L'économie de la Corée du Nord est inexistante sur le plan mondial donc ce ne serait certainement pas les USA à l'oeuvre pour cette raison.

Ensuite, qu'une societé concurrente de Sony fasse cela, pourquoi pas, mais dans ce cas de figure, il leur reste à arriver à faire croire au FBI que cela vient de Corée du Nord, on va dire que c'est sacrément difficile vu les moyens US à disposition dans le cas d'une supposée attaque par un état.

C'est galère sur un OS pas conçu pour, pour les autres c'est tout à fait transparent.

Et maintenant la Corée du Nord dément avoir quoi que ce soit à faire avec le hack :

http://bigstory.ap.org/article/0b66bca56b11478bb6294a3179931bea/north-korea-denies-connection-sony-hacking