le côté RAG, ça va, j'ai joué avec et c'est rigolo :) ma question était plus sur la manière de plugger tout ça ensemble. Genre je lui file le rapport et un premier agent va analyser le contenua via le RAG et vérifier si les POCs sont présents ou non, s'ils sont compréhensibles, etc etc..
Dans le temps pour payer, je rentrais les chiffres de ma CB, je recevais un SMS, je recopiais le code et c'était fini. Pas d'appli, un site web bancaire avec juste les infos intéressantes (comptes, historiques, message au conseiller) et c'est tout.
Maintenant:
- j'ai une appli obligatoire qui passe son temps à me proposer des, euh, services(?) genre "avec notre analyste virtuel on va analyser vos dépenses" (ben non?)
- je dois me logger avec un ID, puis un mot de passe, puis un autre mot de passe (mais pourquoi????). Sachant que le second mot de passe c'est 6 chiffres. Ils prennent la tête pour le premier mdp avec des majuscules minuscules symboles, pas de répétition de caractères, pas d'enchainement pas de mot de dico etc… mais ils sécurisent ça avec 6 chiffres. Mais quel est le fucking sens à ça??
- une fois loggé dans l'appli, si je fais quelque chose de "sensible" (j'ai pas bien compris ce qui est sensible de ce qui ne l'est pas) je dois remettre le code à 6 chiffres.
- si je traîne plus de 8s sans cliquer sur un truc l'appli se verrouille et faut remettre les codes (rhaaaaaah!!!)
- de temps en temps (genre ajout de bénéficiaire pour des virements) je dois aller chercher une carte papier qui contient un tableau et je dois donner le contenu de la case A8 (par exemple). Mais je dois redonner le code à 6 chiffres, puis redonner le code à 6 chiffre après. Et quelqus fois je dois attendre 48h pour pouvoir faire un virement à ce compte ajouté. Mais ils ont ajouté un scan OCR dégueulasse pour m'éviter à rentrer les chiffres à la main je peux prendre en photo le RIB)
- quand je paye sur internet, je dois donner un code internet à 6 chiffres (un autre code, nommé code payement par internet), puis aller ouvrir mon smartphone, ouvrir l'appli, valider le payement, remettre le code à 6 chiffres (celui de l'appli pas celui du payement internet, suivez un peu) et valider deux ou trois fois.
- je crois que je ne reçois plus de SMS, j'ai pas bien compris si c'est bien ou pas, ou si j'ai cliqué sur un truc ou pas, j'ai 0 infos là dessus.
- j'ai eu aussi le coup ou je dois donner mon code de connexion du site web de ma banque (wtf?!!) mais en fait si si c'est tout à fait normal et légitime de mettre le code du site web de sa banque sur un site random dans une iframe, c'est pour que le consommateur se rende bien compte qu'il fait un achat sur internet (toutes ces années à suivre des formations anti-phishing à mettre à la poubelle)….
- on me propose de créer des cartes bleues virtuelles, j'ai vraiment, mais pas du tout envie d'ajouter plusieurs étapes au payement.
Bref. La simplification… Merci les banques.
Des fois j'aimerai tenir le programmeur qu'a pondu cette horreur et le pendre par les pieds jusqu'à ce qu'il m'avoue pourquoi il a fait ça. il aime pas les gens? il a infiltré le monde capitaliste et veut le voir brûler de l'intérieur? il s'ennuyait et a ajouté 12000 étapes?
ollama, je croyais que c'était juste un wrapper (?)
Sinon, je chercherai des docs accessibles sur les manières de plug différentes IA entre elles avec du RAG. Typiquement, j'ai reçu un rapport de pentest d'une de mes applis, et le pentester a pas filé des masses de détails sur ses découvertes. Ce dont je rêve là, c'est d'un système avec plein de petits LLM qui bossent en parallèle:
vas-y, lis le rapport et découpe le en plein de petites vulns
toi, tu prends un MCP d'une kali et tu me crées des pocs pour les vulns
toi, tu prends les poc et tu les tests, et tu reboucles si le poc passe pas
une fois que le poc est passé, tu me proposes une vraie correction
et au final tu me refais un rapport avec des vrais poc.
Autant jouer avec ollama c'est rigolo mais ça va pas très loin une fois que tu lui a demandé de réécrire tes messages de commits comme un dramaturge grec (ou comme Mario), autant l'orchestration de plein de petits llm c'est plus compliqué.
Ou alors je vibe-code un orchestrateur. mmmmh. ou alors je demande à chatgpt de me faire le bon prompt pour demander à mon ollama local de vibecoder un orchestrateur. C'est bien l'IA c'est infini. /s
pourquoi pas, mais ça me parait présomptueux. Des sources, il y en a de partout pour faire un système linux vaguement utilisable, et du coup soit on parle d'intégrité de build, et ça ne va pas très loin (cf jia tan qui a corrompu xz), soit on parle d'intégrité de sources, et là, bah va falloir en auditer du code :-)
boot integrity
ben, genre avec TPM? ou alors j'ai pas compris?
runtime integrity
j'ai du mal à comprendre ce qu'il entend par là. Quand je lance un programme, on parle de quel integrité? celle de mon runtime? genre mon /usr/bin/python3 est safe (mais il os.system("/bin/malware") )? ou bien de l'integrité de tous les programmes? Genre mon malware il est bien codé donc il est intègre? Ou alors on lance un container à chaque fois et le système est intègre (sauf que le pirate a défoncé le serveur dans le container et que ça lui suffit pour dump ta database) mais ton container est intègre, ouf. Ou alors c'est qubes (mais on sait que Lennart aime tout réinventer et tout recoder)
Dans un point plus positif, je suis content (si si c'est vrai) parceque pour un fois, on a une boite qui se monte et qui n'affiche pas en gros police 48 "on fait de l'AI".
ouais, ceci dit, je regarde un peu par là, et ça me rassure pas.
je ne sais pas ce que fait flaresolverr mais apparemment il est cassé, et le mot d'ordre consiste à dire que le fork 21hsmw résoud le problème:
donc on a une bonne chaine d'infection, autrement dit, sapu. Et côte 21hsmw/flaresolverr https://github[.]com/21hsmw on a un seul repo, peu updaté. Faudrait regarder les commits qui ont été fait, ça donnerait une idée de la timeline pour l'infection.
Note: je ne m'appuye que sur la bonne foi du gars qui indique que l'infection vient de là dans son blog. Ca n'est peut-être pas le cas.
Checkpoint est un éditeur de solution firewall/next-gen/antivirus etc… donc son business c'est de faire peur pour que les gens achètent, gardons ça en tête.
On a donc un implant sous linux, réalisé professionnellement par un acteur chinois (ce sont les mots de checkpoint). Le truc a l'air bien conçu, il détecte les environnements cloud, il communique de façon stealth, etc… rien que de classique pour un implant. Checkpoint suit de près cet acteur, puisqu'il a accès à des versions de debug, des versions de développement, des correctifs etc…
Pour les questions soulevées: comment checkpoint a eu accès au panel d'admin? comment checkpoint a eu accès aux version successives? On sait pas.
Le doc indique un stage0 et un stage1 avant l'implant, sans jamais en parler? C'est surprenant.
Merci beaucoup, si je pouvais plusser plusieurs fois, je le ferai :-)
Et au milieu de tous ces logiciels, un résonne plus particulièrement, Passage! Je ne me souvenais plus du nom, mais je me souviens très bien y avoir joué et l'impression qu'il m'a laissé après la première partie (c'est quoi ce truc????) après la 10e (ouais c'est bien), et la 50e (mais c'est très poétique en fait), et de l'impact qu'il a eu même des jours après.
"À l’image d’un poème que l’on doit lire et ressentir soi-même, ce jeu-art ne se comprend pleinement qu’en étant parcouru, pas observé de l’extérieur"
L'effet de meute est souvent désagréable, certes. Pour la communication qui gagnerait à être améliorée, c'est une évidence: je ne pense pas être le seul à ne pas avoir compris quel est le sujet de cette dépêche.
Est-ce demander des sous? Relayer la création d'un nouveau site? Un communiqué de presse copié-collé rapidement? Une publicité (à peine) déguisée? Une volonté pour un webmestre d’accroître le trafic vers son site?
Du coup, je suis vraiment mitigé. On a déjà eu des lancements de nouveaux projets sur linuxfr, mais l'auteur revenait dans les commentaires, il expliquait, argumentait, etc.. Là, il n'a même pas de compte (?? je ne savais pas que c'était possible). La dépêche suivante c'est ancestris, elle n'est pas downvotée. On comprend ce dont il s'agit, ça réclame pas plein de sous, l'auteur existe sur le site, peu de commentaires, pas de moinssage.
Bref, taper sur le projet openalis c'est ptet pas très malin, mais du coup je veux bien le lore derrière le projet qui explique mieux de quoi il en est question, sachons rester courtois et ouverts :)
En gros, tu veux des sous (?) pour devenir LE portail collaboratif libre FR à la fois pour les particuliers et les entreprises.
Ca veut dire quoi? En vrai?
puis: Un accès simple pour tout le monde et une plateforme crédible pour les entreprises.
gné? mais wtf, c'est compliqué d'expliquer ce que tu fais? en gros je me connecte (? ou pas?) sur ton site et c'est une plateforme crédible (???) pour les entreprises??? J'hésite à cramer un peu plus la planète en demandant à un LLM ce que signife ce charabia.
La photo montre plein d'icônes, un mail, du chat, des trucs.
Franchement, on serait en 2010, je dirais que c'est une plateforme du type "You make the content, I make the revenue" mais en 2025 (2026?) c'est quoi le plan?
Bon allez, je clique sur le lien (pas de lien?) pour éviter aux autres perdus comme moi de perdre du temps.
Alors c'est une société de service spécialisée en opensource (comme il en existe 14 trouzillions d'autres). Cette société ambitionne d'avoir des tarifs attractifs, une suite bureautique en français et des données sécurisées. Du coup c'est quoi? un hébergeur? Du SaaS? Mais le portail, c'est 50 applications open source. Donc c'est quoi? Juste un catalogue? Un hébergeur? C'est pas clair du tout :-/
Franchement, le seul truc que j'ai compris de tout ça, c'est qu'il veut des sous. Plein de sous. Et quand il en aura, il fera plein de trucs (soumis à condition) et plein d'autres trucs (contenu évolutifs non définitif) et que ça permettra de faire des choses (selon l'offre choisi et le besoin) et en plus des trucs (à définir).
Bref, moi aussi envoyez moi des sioux (plein, tout plein, ouais)
Indépendamment de toute considération juridique, c'est moralement anormal
oula, terrain glissant en vue. Tu t'appuyes sur du juridique pour dire ensuite "Indépendamment de toute considération juridique" ? really? Pour finir par "c'est moralement anormal" ?
Pourquoi vouloir débuter sur des histoires de droit de copie privée? Puisque c'est "moralement anormal"? Allons-y gaiement. c'est moralement anormal que je sois pas augmenté cette année, alors j'ai volé 25% de mon salaire en matos à ma boite. C'est moralement anormal que des connards d'extrême droite parlent autant à la télé alors je les bute. C'est moralement anormal de ne pas proposer du fromage à la coupe à mon supermarché, donc je tranche moi même etc etc etc…
Soyons clair: je trouve que c'est une immense arnaque doublée d'un foutage de gueule maximal cette histoire de copie privée. Que des multimillardaires remplis de thunasse pleurent pour gratter 3 euros 6 sous de plus ça me révolte.
Mais juridiquement, bah ça reste dura lex sed lex. Et quand j'entends "c'est moralement anormal" donc blbablaa je fais ce que je veux, je tente d'expliquer que la raisonnement ne tient pas, même si je suis à 100% de ton côté. Si on part sur ce terrain, on se retrouve avec des connards de religieux qui t'expliquent qu'il est amoral que les femmes disposent de leur corps, ou que tu n'as pas à avoir une liberté de pensée, et ce genre d'aneries.
Oui, il faut faire évoluer la loi que je trouve nulle et mal écrite. Mais énoncer cette loi, la tordre en se réclamant d'un jugement moral à la fin, je ne comprends pas.
À noter que le fait de garantir que la copie privée soit possible malgré les mesures techniques de protection, était une mission de l'Hadopi,
Ca date, mais de mémoire les débats ont conclu sur le fait que tu as vaguement le droit, mais que rien n'y personne n'a a te faciliter la tache. Tu le fais, bah très bien, tu le fais pas, tant pis pour toi.
Un corollaire de tout ça, c'est que globalement les ayants-droits ont tous les droits, et que tu as beau venir avec le texte de loi dans les mains, tu te feras défoncer devant un tribunal (pot de fer, pot de terre, ce genre de trucs).
Au final, la copie privée et toutes ces merdes autour, c'est juste pour te taxer du fric de manière opaque (coucou la sacem et tous les autres), et te faire cracher du fric (si si, c'est pas redondant). La copie
Mission essentielle puisqu'il s'agit de s'assurer que les gens peuvent faire ce pour quoi ils paient.
"La copie privée est une exception, pas un droit a récemment rappelé la cour de cassation (affaire Mulholland Drive) : l'auteur ne peut l'interdire, mais il n'a pas à permettre ou faciliter sa réalisation (les mesures techniques de protection s'opposant à la copie ayant expressément été légalisées par la loi DADVSI)."
Mais je considère que c'est une très mauvaise chose de conseiller cela à des débutants en le présentant comme une mesure de sécurité, voire LA mesure de sécurité.
Pour un débutant, ça reste acceptable. Le débutant deviendra utilisateur avisé, et il comprendra pourquoi c'est pas LA mesure de sécurité par la suite. Le débutant fera ses choix seuls ensuite. Je pense malgré tout que c'est un bon compromis pour qu'un débutant se fasse défoncer sa machine dans les 2j qui suivent son installation. Après, ça se discute et il y a de bons arguments des deux côtés.
Pour l'IPV6 on est quand même à près de 90% d'adoption en France et j'ai des cas où certaines machines ne sont accessibles qu'en IPv6.
En vrai, j'ai peu-être répondu un peu vite, et je pense qu'il faut que j'y re-réflechisse, je vais utiliser ssh -6 dans mes configs et voir ce que ça donne.
un attaquant réussi à obtenir un shell d'utilisateur standard grâce à celle-ci
donc tu es déjà compromis. Et globalement, game over. C'est terminé.
Il peut ensuite écouter ce qui transite sur le port non privilégié et par exemple récupérer les clefs.
il y a déjà un service sshd qui tourne sur le port 22222 un port haut. Ton utilisateur standard va donc kill le serveur ssh (comment?) et relancer le sien à la place? Pour écouter les connexions? Et de quelle clé on parle? Le login password qui est deprecated, ou des clés pub/privs (et là, bonne chance au pirate pour me voler ma clé privée).
En quoi changer la directive Listen :: est-il plus complexe que de changer celle-ci Port 622 ?
Le changement n'est rien. L'accès en IPv6 s'améliore, mais tu n'en as pas de partout. IPv4 reste malheureusement assez incontournable.
Ça sert à quoi de mettre des réfs que toi seul peux comprendre ?
Et si c'est pour une seule machine le choix d'un port non privilégié abaisse la sécurité.
ça je suis pas d'accord. Je vois pas le cas où un attaquant pouvant exécuter un binaire arbitraire qui va sniffer un port non privilégié est moins pire qu'un attaquant pouvant démarrer un binaire arbitraire (sous entendu, t'es déjà mort donc ça sert à rien, et le port non privilégié est tout en bas de ta liste de problèmes).
Dans ce cas il vaut mieux mettre le service en écoute uniquement en IPv6.
je suis ok, mais ça complexifie aussi pas mal :-(
Pas sûr d'avoir compris…
ouais, une réf que tu n'as pas lié à mon boulot ou tout le monde s'amuse à mettre des surcouches et de la templatisation dans tous les sens sans trop de raison.
Oui, je suis d'accord. Serveur de quoi? Parceque moi sur ma machine, j'ai fait un nc -l -p 12345 et je suis un serveur du coup.
Avec la tarte à la crème du changement de port SSH
c'est facile, c'est rapide, ça évite de voir ses logs se faire pourrir pour pas grand chose, c'est pas la solution idéale, mais ça fait le taf.
changement de port SSH, qui plus est en modifiant directement le fichier /etc/ssh/sshd_config…
abawi, il y a un fichier de configuration pour sshd, c'est fou que des gens configurent un serveur dans son fichier de configuration. Heureusement que ce fichier ne s'appelle pas sshd_configuration parceque sinon on pourrait croire que ce fichier de configuration sert à configurer la config de sshd, ouf!
Les vrais gens, ceux qui savent, vont utiliser un wrapper qui va créer un fichier qui va lancer un service qui va modifier un unit systemd afin de changer dynamiquement un port sans modifier la configuration de ce service, mais eux, ceux qui savent, savent!
Je ne pourrai pas venir, mais ça fait bien envie. Je me souviens, je vous avais croisé aux RMLL (mais j'avais été trop timide pour venir vous saluer), ça fait plaisir de voir les vrais gens qui sont derrière ces sites qu'on consulte régulièrement.
Je vois sur les photos que ça se dégarnit pas mal :D:D:D signe que linux atteint la maturité et la sagesse?
Je suis étonné, c'était sorti en septembre cette histoire de Shai Hulud etc…
dans l'URL, on voit que ça date du 2025/09/23 (donc une éternité en temps informatique)
[^] # Re: Limitation
Posté par octane . En réponse au lien Plus d’un tiers des Français utilise l’IA générative tous les jours. Évalué à 2 (+0/-0).
le côté RAG, ça va, j'ai joué avec et c'est rigolo :) ma question était plus sur la manière de plugger tout ça ensemble. Genre je lui file le rapport et un premier agent va analyser le contenua via le RAG et vérifier si les POCs sont présents ou non, s'ils sont compréhensibles, etc etc..
# dans le temps, c'était mieux avant
Posté par octane . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 5 (+3/-0).
Dans le temps pour payer, je rentrais les chiffres de ma CB, je recevais un SMS, je recopiais le code et c'était fini. Pas d'appli, un site web bancaire avec juste les infos intéressantes (comptes, historiques, message au conseiller) et c'est tout.
Maintenant:
- j'ai une appli obligatoire qui passe son temps à me proposer des, euh, services(?) genre "avec notre analyste virtuel on va analyser vos dépenses" (ben non?)
- je dois me logger avec un ID, puis un mot de passe, puis un autre mot de passe (mais pourquoi????). Sachant que le second mot de passe c'est 6 chiffres. Ils prennent la tête pour le premier mdp avec des majuscules minuscules symboles, pas de répétition de caractères, pas d'enchainement pas de mot de dico etc… mais ils sécurisent ça avec 6 chiffres. Mais quel est le fucking sens à ça??
- une fois loggé dans l'appli, si je fais quelque chose de "sensible" (j'ai pas bien compris ce qui est sensible de ce qui ne l'est pas) je dois remettre le code à 6 chiffres.
- si je traîne plus de 8s sans cliquer sur un truc l'appli se verrouille et faut remettre les codes (rhaaaaaah!!!)
- de temps en temps (genre ajout de bénéficiaire pour des virements) je dois aller chercher une carte papier qui contient un tableau et je dois donner le contenu de la case A8 (par exemple). Mais je dois redonner le code à 6 chiffres, puis redonner le code à 6 chiffre après. Et quelqus fois je dois attendre 48h pour pouvoir faire un virement à ce compte ajouté. Mais ils ont ajouté un scan OCR dégueulasse pour m'éviter à rentrer les chiffres à la main je peux prendre en photo le RIB)
- quand je paye sur internet, je dois donner un code internet à 6 chiffres (un autre code, nommé code payement par internet), puis aller ouvrir mon smartphone, ouvrir l'appli, valider le payement, remettre le code à 6 chiffres (celui de l'appli pas celui du payement internet, suivez un peu) et valider deux ou trois fois.
- je crois que je ne reçois plus de SMS, j'ai pas bien compris si c'est bien ou pas, ou si j'ai cliqué sur un truc ou pas, j'ai 0 infos là dessus.
- j'ai eu aussi le coup ou je dois donner mon code de connexion du site web de ma banque (wtf?!!) mais en fait si si c'est tout à fait normal et légitime de mettre le code du site web de sa banque sur un site random dans une iframe, c'est pour que le consommateur se rende bien compte qu'il fait un achat sur internet (toutes ces années à suivre des formations anti-phishing à mettre à la poubelle)….
- on me propose de créer des cartes bleues virtuelles, j'ai vraiment, mais pas du tout envie d'ajouter plusieurs étapes au payement.
Bref. La simplification… Merci les banques.
Des fois j'aimerai tenir le programmeur qu'a pondu cette horreur et le pendre par les pieds jusqu'à ce qu'il m'avoue pourquoi il a fait ça. il aime pas les gens? il a infiltré le monde capitaliste et veut le voir brûler de l'intérieur? il s'ennuyait et a ajouté 12000 étapes?
[^] # Re: Limitation
Posté par octane . En réponse au lien Plus d’un tiers des Français utilise l’IA générative tous les jours. Évalué à 2 (+0/-0). Dernière modification le 10 février 2026 à 09:54.
ollama, je croyais que c'était juste un wrapper (?)
Sinon, je chercherai des docs accessibles sur les manières de plug différentes IA entre elles avec du RAG. Typiquement, j'ai reçu un rapport de pentest d'une de mes applis, et le pentester a pas filé des masses de détails sur ses découvertes. Ce dont je rêve là, c'est d'un système avec plein de petits LLM qui bossent en parallèle:
et au final tu me refais un rapport avec des vrais poc.
Autant jouer avec ollama c'est rigolo mais ça va pas très loin une fois que tu lui a demandé de réécrire tes messages de commits comme un dramaturge grec (ou comme Mario), autant l'orchestration de plein de petits llm c'est plus compliqué.
Ou alors je vibe-code un orchestrateur. mmmmh. ou alors je demande à chatgpt de me faire le bon prompt pour demander à mon ollama local de vibecoder un orchestrateur. C'est bien l'IA c'est infini. /s
# intégrité
Posté par octane . En réponse au lien Introducing Amutable. Évalué à 4 (+2/-0).
build-integrity
pourquoi pas, mais ça me parait présomptueux. Des sources, il y en a de partout pour faire un système linux vaguement utilisable, et du coup soit on parle d'intégrité de build, et ça ne va pas très loin (cf jia tan qui a corrompu xz), soit on parle d'intégrité de sources, et là, bah va falloir en auditer du code :-)
boot integrity
ben, genre avec TPM? ou alors j'ai pas compris?
runtime integrity
j'ai du mal à comprendre ce qu'il entend par là. Quand je lance un programme, on parle de quel integrité? celle de mon runtime? genre mon /usr/bin/python3 est safe (mais il os.system("/bin/malware") )? ou bien de l'integrité de tous les programmes? Genre mon malware il est bien codé donc il est intègre? Ou alors on lance un container à chaque fois et le système est intègre (sauf que le pirate a défoncé le serveur dans le container et que ça lui suffit pour dump ta database) mais ton container est intègre, ouf. Ou alors c'est qubes (mais on sait que Lennart aime tout réinventer et tout recoder)
Dans un point plus positif, je suis content (si si c'est vrai) parceque pour un fois, on a une boite qui se monte et qui n'affiche pas en gros police 48 "on fait de l'AI".
[^] # Re: Un autre livre du même titre
Posté par octane . En réponse au journal C’est vendredi, jour de lecture. Évalué à 2 (+0/-0).
Et si je ne me trompe, paideia en grec signifie "enfants", il doit y avoir un lien?
[^] # Re: plussoie
Posté par octane . En réponse au journal C’est vendredi, jour de lecture. Évalué à 6 (+5/-1).
Je plussoie juste pour encourager le commentaire qui encourage ce type de journal à propos de lecture de roman!
[^] # Re: ok
Posté par octane . En réponse au lien Nouveau malware sophistiqué ciblant linux et le cloud. Évalué à 2 (+0/-0).
Je n'ai pas cité Kaspersky (??)
Ma remarque, c'est de dire qu'il faut soupeser avec prudence les allégations d'un vendeur de soupe quand il te dit que "la soupe c'est bon mangez-en".
[^] # Re: ok
Posté par octane . En réponse au lien Nouveau malware sophistiqué ciblant linux et le cloud. Évalué à 4 (+2/-0).
je vais retourner me coucher, je suis mal réveillé.
si on google le type à l'origine du blogpost, on tombe sur différents fils reddit, notamment:
https://www.reddit.com/r/AskNetsec/comments/1qd41kl/found_voidlink_maybe/
il dit bien qu'il ne sait pas trop, qu'il a dégagé le container, et que bon voilà, il pense que c'est voidlink, mais sans grandes preuves.
Bref, retournons dormir, pas d'inquiétude, dormez braves gens.
[^] # Re: ok
Posté par octane . En réponse au lien Nouveau malware sophistiqué ciblant linux et le cloud. Évalué à 4 (+2/-0).
ouais, ceci dit, je regarde un peu par là, et ça me rassure pas.
je ne sais pas ce que fait flaresolverr mais apparemment il est cassé, et le mot d'ordre consiste à dire que le fork 21hsmw résoud le problème:
donc on a une bonne chaine d'infection, autrement dit, sapu. Et côte 21hsmw/flaresolverr https://github[.]com/21hsmw on a un seul repo, peu updaté. Faudrait regarder les commits qui ont été fait, ça donnerait une idée de la timeline pour l'infection.
Note: je ne m'appuye que sur la bonne foi du gars qui indique que l'infection vient de là dans son blog. Ca n'est peut-être pas le cas.
# ok
Posté par octane . En réponse au lien Nouveau malware sophistiqué ciblant linux et le cloud. Évalué à 10 (+12/-1).
Alors arstechnica c'est juste du blabla. La source la plus directe, c'est un blog de Checkpoint:
https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/
Checkpoint est un éditeur de solution firewall/next-gen/antivirus etc… donc son business c'est de faire peur pour que les gens achètent, gardons ça en tête.
On a donc un implant sous linux, réalisé professionnellement par un acteur chinois (ce sont les mots de checkpoint). Le truc a l'air bien conçu, il détecte les environnements cloud, il communique de façon stealth, etc… rien que de classique pour un implant. Checkpoint suit de près cet acteur, puisqu'il a accès à des versions de debug, des versions de développement, des correctifs etc…
Pour les questions soulevées: comment checkpoint a eu accès au panel d'admin? comment checkpoint a eu accès aux version successives? On sait pas.
Le doc indique un stage0 et un stage1 avant l'implant, sans jamais en parler? C'est surprenant.
on trouve une mention du stage0 sur une sandbox, datant du 13 janvier: https://www.joesandbox.com/joereverser/analysis/download/50fc7ff6-2f3d-4d70-8120-312fb3ecb803?type=html
et du stage1 ici https://corelab.tech/hunting-voidlink-how-i-caught-a-supply-chain-attack-in-my-homelab/
==> conclusion, il faut courir dans tous les sens en levant les bras au ciel en disant omg omg omg, puis ensuite aller scanner toutes ses machines.
[^] # Re: Super article, merci
Posté par octane . En réponse au journal AuX sources du fun N° 1 : retrouver le fun dans les inutilitaires graphiques. Évalué à 2 (+0/-0).
https://github.com/k4zmu2a/SpaceCadetPinball :-)
# Génial :-)
Posté par octane . En réponse au journal AuX sources du fun N° 1 : retrouver le fun dans les inutilitaires graphiques. Évalué à 6 (+4/-0).
Merci beaucoup, si je pouvais plusser plusieurs fois, je le ferai :-)
Et au milieu de tous ces logiciels, un résonne plus particulièrement, Passage! Je ne me souvenais plus du nom, mais je me souviens très bien y avoir joué et l'impression qu'il m'a laissé après la première partie (c'est quoi ce truc????) après la 10e (ouais c'est bien), et la 50e (mais c'est très poétique en fait), et de l'impact qu'il a eu même des jours après.
C'est exactement ça, c'est tellement bien dit :)
[^] # Re: Questions au développeur
Posté par octane . En réponse à la dépêche OPENALIS.NET un projet ambitieux pour apporter des alternatives dans le paysage numérique FR. Évalué à 10 (+9/-0).
L'effet de meute est souvent désagréable, certes. Pour la communication qui gagnerait à être améliorée, c'est une évidence: je ne pense pas être le seul à ne pas avoir compris quel est le sujet de cette dépêche.
Est-ce demander des sous? Relayer la création d'un nouveau site? Un communiqué de presse copié-collé rapidement? Une publicité (à peine) déguisée? Une volonté pour un webmestre d’accroître le trafic vers son site?
Du coup, je suis vraiment mitigé. On a déjà eu des lancements de nouveaux projets sur linuxfr, mais l'auteur revenait dans les commentaires, il expliquait, argumentait, etc.. Là, il n'a même pas de compte (?? je ne savais pas que c'était possible). La dépêche suivante c'est ancestris, elle n'est pas downvotée. On comprend ce dont il s'agit, ça réclame pas plein de sous, l'auteur existe sur le site, peu de commentaires, pas de moinssage.
Bref, taper sur le projet openalis c'est ptet pas très malin, mais du coup je veux bien le lore derrière le projet qui explique mieux de quoi il en est question, sachons rester courtois et ouverts :)
# j'ai rien compris
Posté par octane . En réponse à la dépêche OPENALIS.NET un projet ambitieux pour apporter des alternatives dans le paysage numérique FR. Évalué à 10 (+8/-0).
En gros, tu veux des sous (?) pour devenir LE portail collaboratif libre FR à la fois pour les particuliers et les entreprises.
Ca veut dire quoi? En vrai?
puis: Un accès simple pour tout le monde et une plateforme crédible pour les entreprises.
gné? mais wtf, c'est compliqué d'expliquer ce que tu fais? en gros je me connecte (? ou pas?) sur ton site et c'est une plateforme crédible (???) pour les entreprises??? J'hésite à cramer un peu plus la planète en demandant à un LLM ce que signife ce charabia.
La photo montre plein d'icônes, un mail, du chat, des trucs.
Franchement, on serait en 2010, je dirais que c'est une plateforme du type "You make the content, I make the revenue" mais en 2025 (2026?) c'est quoi le plan?
Bon allez, je clique sur le lien (pas de lien?) pour éviter aux autres perdus comme moi de perdre du temps.
Alors c'est une société de service spécialisée en opensource (comme il en existe 14 trouzillions d'autres). Cette société ambitionne d'avoir des tarifs attractifs, une suite bureautique en français et des données sécurisées. Du coup c'est quoi? un hébergeur? Du SaaS? Mais le portail, c'est 50 applications open source. Donc c'est quoi? Juste un catalogue? Un hébergeur? C'est pas clair du tout :-/
Franchement, le seul truc que j'ai compris de tout ça, c'est qu'il veut des sous. Plein de sous. Et quand il en aura, il fera plein de trucs (soumis à condition) et plein d'autres trucs (contenu évolutifs non définitif) et que ça permettra de faire des choses (selon l'offre choisi et le besoin) et en plus des trucs (à définir).
Bref, moi aussi envoyez moi des sioux (plein, tout plein, ouais)
# il est 10h00 et j'ai faim
Posté par octane . En réponse au journal Réaliser une tartiflette : lessons learned. Évalué à 3 (+1/-0).
# y'a plus de joie :(
Posté par octane . En réponse au lien Edika bronsonisé. Évalué à 7 (+5/-0).
Y'a plus de joie et je sais pas comment finir mon commentaire
[^] # Re: Précisions légales
Posté par octane . En réponse au journal Enregistrement de vidéo à la demande avec Xephyr et PulseAudio. Évalué à 5 (+4/-1).
oula, terrain glissant en vue. Tu t'appuyes sur du juridique pour dire ensuite "Indépendamment de toute considération juridique" ? really? Pour finir par "c'est moralement anormal" ?
Pourquoi vouloir débuter sur des histoires de droit de copie privée? Puisque c'est "moralement anormal"? Allons-y gaiement. c'est moralement anormal que je sois pas augmenté cette année, alors j'ai volé 25% de mon salaire en matos à ma boite. C'est moralement anormal que des connards d'extrême droite parlent autant à la télé alors je les bute. C'est moralement anormal de ne pas proposer du fromage à la coupe à mon supermarché, donc je tranche moi même etc etc etc…
Soyons clair: je trouve que c'est une immense arnaque doublée d'un foutage de gueule maximal cette histoire de copie privée. Que des multimillardaires remplis de thunasse pleurent pour gratter 3 euros 6 sous de plus ça me révolte.
Mais juridiquement, bah ça reste dura lex sed lex. Et quand j'entends "c'est moralement anormal" donc blbablaa je fais ce que je veux, je tente d'expliquer que la raisonnement ne tient pas, même si je suis à 100% de ton côté. Si on part sur ce terrain, on se retrouve avec des connards de religieux qui t'expliquent qu'il est amoral que les femmes disposent de leur corps, ou que tu n'as pas à avoir une liberté de pensée, et ce genre d'aneries.
Oui, il faut faire évoluer la loi que je trouve nulle et mal écrite. Mais énoncer cette loi, la tordre en se réclamant d'un jugement moral à la fin, je ne comprends pas.
[^] # Re: Précisions légales
Posté par octane . En réponse au journal Enregistrement de vidéo à la demande avec Xephyr et PulseAudio. Évalué à 8 (+6/-0).
Ca date, mais de mémoire les débats ont conclu sur le fait que tu as vaguement le droit, mais que rien n'y personne n'a a te faciliter la tache. Tu le fais, bah très bien, tu le fais pas, tant pis pour toi.
Un corollaire de tout ça, c'est que globalement les ayants-droits ont tous les droits, et que tu as beau venir avec le texte de loi dans les mains, tu te feras défoncer devant un tribunal (pot de fer, pot de terre, ce genre de trucs).
Au final, la copie privée et toutes ces merdes autour, c'est juste pour te taxer du fric de manière opaque (coucou la sacem et tous les autres), et te faire cracher du fric (si si, c'est pas redondant). La copie
"La copie privée est une exception, pas un droit a récemment rappelé la cour de cassation (affaire Mulholland Drive) : l'auteur ne peut l'interdire, mais il n'a pas à permettre ou faciliter sa réalisation (les mesures techniques de protection s'opposant à la copie ayant expressément été légalisées par la loi DADVSI)."
cf https://www.maitre-eolas.fr/post/2009/02/20/1321-les-droits-d-auteur-pour-les-nuls
et rappelé également par un journal sur un site, mais je ne sais pas s'il est recommandable :D https://linuxfr.org/news/le-droit-a-la-copie-privee-nexisterait-pas
[^] # Re: Serveur de quoi ?
Posté par octane . En réponse au lien Guide : Installer un serveur sur MiniPC personnel . Évalué à 2 (+0/-0).
Pour un débutant, ça reste acceptable. Le débutant deviendra utilisateur avisé, et il comprendra pourquoi c'est pas LA mesure de sécurité par la suite. Le débutant fera ses choix seuls ensuite. Je pense malgré tout que c'est un bon compromis pour qu'un débutant se fasse défoncer sa machine dans les 2j qui suivent son installation. Après, ça se discute et il y a de bons arguments des deux côtés.
En vrai, j'ai peu-être répondu un peu vite, et je pense qu'il faut que j'y re-réflechisse, je vais utiliser ssh -6 dans mes configs et voir ce que ça donne.
[^] # Re: Serveur de quoi ?
Posté par octane . En réponse au lien Guide : Installer un serveur sur MiniPC personnel . Évalué à 2 (+1/-1).
[^] # Re: Serveur de quoi ?
Posté par octane . En réponse au lien Guide : Installer un serveur sur MiniPC personnel . Évalué à 2 (+1/-1). Dernière modification le 12 décembre 2025 à 15:51.
donc tu es déjà compromis. Et globalement, game over. C'est terminé.
il y a déjà un service sshd qui tourne sur le port 22222 un port haut. Ton utilisateur standard va donc kill le serveur ssh (comment?) et relancer le sien à la place? Pour écouter les connexions? Et de quelle clé on parle? Le login password qui est deprecated, ou des clés pub/privs (et là, bonne chance au pirate pour me voler ma clé privée).
Le changement n'est rien. L'accès en IPv6 s'améliore, mais tu n'en as pas de partout. IPv4 reste malheureusement assez incontournable.
Je suis bête.
[^] # Re: Serveur de quoi ?
Posté par octane . En réponse au lien Guide : Installer un serveur sur MiniPC personnel . Évalué à 2 (+0/-0).
ça je suis pas d'accord. Je vois pas le cas où un attaquant pouvant exécuter un binaire arbitraire qui va sniffer un port non privilégié est moins pire qu'un attaquant pouvant démarrer un binaire arbitraire (sous entendu, t'es déjà mort donc ça sert à rien, et le port non privilégié est tout en bas de ta liste de problèmes).
je suis ok, mais ça complexifie aussi pas mal :-(
ouais, une réf que tu n'as pas lié à mon boulot ou tout le monde s'amuse à mettre des surcouches et de la templatisation dans tous les sens sans trop de raison.
[^] # Re: Serveur de quoi ?
Posté par octane . En réponse au lien Guide : Installer un serveur sur MiniPC personnel . Évalué à 9 (+9/-2).
Oui, je suis d'accord. Serveur de quoi? Parceque moi sur ma machine, j'ai fait un nc -l -p 12345 et je suis un serveur du coup.
c'est facile, c'est rapide, ça évite de voir ses logs se faire pourrir pour pas grand chose, c'est pas la solution idéale, mais ça fait le taf.
abawi, il y a un fichier de configuration pour sshd, c'est fou que des gens configurent un serveur dans son fichier de configuration. Heureusement que ce fichier ne s'appelle pas sshd_configuration parceque sinon on pourrait croire que ce fichier de configuration sert à configurer la config de sshd, ouf!
Les vrais gens, ceux qui savent, vont utiliser un wrapper qui va créer un fichier qui va lancer un service qui va modifier un unit systemd afin de changer dynamiquement un port sans modifier la configuration de ce service, mais eux, ceux qui savent, savent!
# super :)
Posté par octane . En réponse à la dépêche Venez nous retrouver à Open Source Experience les 10 et 11 décembre #OSXP2025. Évalué à 3 (+1/-0).
Je ne pourrai pas venir, mais ça fait bien envie. Je me souviens, je vous avais croisé aux RMLL (mais j'avais été trop timide pour venir vous saluer), ça fait plaisir de voir les vrais gens qui sont derrière ces sites qu'on consulte régulièrement.
Je vois sur les photos que ça se dégarnit pas mal :D:D:D signe que linux atteint la maturité et la sagesse?
# il y a du nouveau?
Posté par octane . En réponse au lien [CISA.gov] Widespread Supply Chain Compromise Impacting npm Ecosystem. Évalué à 2 (+0/-0).
Je suis étonné, c'était sorti en septembre cette histoire de Shai Hulud etc…
dans l'URL, on voit que ça date du 2025/09/23 (donc une éternité en temps informatique)
Par contre, pour ceux que ça intéresse, il y a apparemment un Shai Hulud v2 qui est en train d'émerger
https://www.mend.io/blog/shai-hulud-the-second-coming/