que tu dois le rentenir. Si tu peux copier coller, tu risques de faire une erreur: tu veux taper "password123" tu écris "pzssword123", tu copies-colles dans le 2 champ, ton mdp est créé. Tu fermes la session, le lendemain tu tapes avec attention "password123" et ça marche pas… Si y'a 2 champs, c'est pour valider l'un par rapport à l'autre, c'est pas pour vérifier si tu sais copier-coller.
C'est la seule raison vaguement valable que j'ai entendu, et je la trouve pourrie.
Autorisez le copier coller, ou mieux, ne demandez qu'une fois un mdp à la création
J'ai l'impression qu'elle est bonne seulement si l'attaquant n'a pas une stratégie dédiée à ce type de mots de passes.
Il vaut mieux considérer que l'attaquant est intelligent. Si l'attaquant est bête, alors n'importe quel mot de passe est bon.
Avec un algo qui priorise la fréquence des mots, on peut quand même espérer dans la plupart des cas tomber sur les bons mots au début de la recherche,
intéressant. Après, il faut certes pas mettre linuxordinateurclaviermotdepasse, mais je pense que tartiflettegratinpatatepurée est moins fréquent.
Bien sûr mon raisonnement ne vaut que si l'attaquant connait la stratégie utilisée pour le mot de passe et tente un algorithme spécifique.
Oui. On peut passer des jours entiers à dériver les mots de passe du dictionnaire et passer à côté d'un mot de passe avec 4 lettres et 2 chiffres. Et ce qui est évident pour certaines personnes l'est moins pour d'autres. Et des stratégies dépendent de paramètres étranges: par exemple john the ripper a une stratégie qui consiste à décaler les lettres d'un cran sur le clavier physique: le z devient un a, le k devien un j, le n devient un b etc… Il suffit d'utiliser un clavier fr au lieu de us pour que cette règle de john ne trouve pas ton mdp :-)
Ce qui nous ramène toujours au même problème: qu'est ce qu'un bon mot de passe? :-)
Je pense que ce genre d'article et d'essais, outre que c'est un marronnier, est une bonne façon de faire parler de soi :-)
oui, si tu veux parler de sécu info (et qu'on t'écoutes), t'as qu'a parler des mots de passe.
Après, le mot de passe, malgré ses défauts reste tout le même le truc le plus pratique et le plus facile à modifier.
ouais, mais par quoi le remplacer? Ca devient vraiment n'importe quoi. Tu changes de société on te file un téléphone d'entreprise, et vla le défilé:
- quel mdp pour la SIM
- quel mot de passe pour le déverrouillage
- quel mot de passe pour gmail
- quelles questions de sécurité?
- quel mot de passe pour ton appli métier
- quel mot de passe pour ton accès distant d'entreprise
- quel mot de passe pour la messagerie d'entreprise outlook
- quel mot de passe pour authenticator
- quel mot de passe pour le site corpo
Au bout de 25 minutes on t'a demandé tellement de mot de passes que je défie quiconque de ne pas en avoir oublié un ou de ne pas avoir mis le même partout
Je suis toujours mitigé face à ces tableaux. Celui-ci précise le hashage utilisé, bcrypt (mais seulement 10 rounds? De mémoire je crois que c'est vraiment le minimum acceptable). On a également la carte graphique utilisé, c'est bien.
Maintenant, on a juste un cassage en bruteforce. Encore une fois, c'est bien, maaaaaaais c'est pas suffisant. Par exemple, le mot de passe "Soleil123" est considéré cassable en 3000 ans. (c'est faux)
Premier cas: j'utilise un mdp sur un site on-line qui limite le nombre de tentatives de connexions, tu n'auras jamais cassé mon mdp en + de 3000 ans.
Second cas: tu as à dispo la base de hash, un dico, et des règles, le mdp se casse en quelques secondes/minutes.
Bref, les mots de passe, c'est nul, c'est pourri, ça a plein de défauts, mais on a du mal à s'en passer. Sooner or later, tu utilises un mot de passe.
Alors, il y a sans doute déjà des doublons vu que justement, Red Hat et d'autres sont capable d'assigner des numéros via leur rôle de CNA.
CVE était censé préallouer des numéros pour chaque CNA afin d'éviter que le même numéro soit donné à deux vulns différentes.
Dans le cas ou doublon s'applique à la même vukn sous deux numéros, pourquoi pas, en imaginant que chercheur A remonte à redhat et chercheur B à canonical par exemple. Dans les faits, ce n'est pas très génant. Cela arrive aussi quand une vuln a deux CVE (auth bypass + code exec par exemple). Deux vulns, un produit, un seul correctif.
La question du score est aussi déjà un souci
ouais, mais là, c'est plus CVE, c'est cvss. Et ça fait partie des défauts. La manière de scorer change beaucoup. J'ai fait suffisamment de pentest pour savoir que le scoring est extrêmement souple. Le client veut tout plus bas que 7? pas de soucis. Le management râle et veut que tout soit à plus de 8? vazy mon gars.
la majeur partie des failles n'ont pas d'exploitation
pas d'exploitation ou pas de code d'exploitation public?
Ca dépend ce qu'on appelle exploitation. Une vuln qui permet de faire une SQLi sur un site web, c'est une exploit ou pas? (hint: ça peut dépendre de la base de son schéma, et des droits associés). Un heap overflow dans Chrome, c'est exploitable? Il te faudra pas mal de semaines de dev pour y répondre.
Travailler sur une vuln publiquement connue, qui a de grandes chances d'être patchée alors qu'on dev un poc d'exploit? Sérieusment? Alors oui, si la vuln est trivialement exploitable, pourquoi pas, sinon, mieux vaut chercher + pertinent. Et je parle pas des vulns inintéressantes (Dos, etc..)
Je suis mitigé. CVE avait plein de problèmes, mais un gros avantage: il y avait un id unique pour les bugs.
Là, je sens venir le truc bien pénible. Genre la faille gcve-2025-12345 faut la corriger? Parceque redhat, qui est CNA, l'a assigné redhat-2025-54321 impactant drupal, alors qu'il s'agit d'un bug d'authent dans la lib php nommé php-errata-pre-8.52. Sauf que mon dahsboard indique que apache n'est pas en dernière version car le bug cve-canal-historique-2025-543210 est censé corriger la faille drupal. Du côté de chez drupal, ils ont choisi une convention de nommage différente, mais ils ne communiquent pas sur celui-ci car le bug impacte un module tierce partie qui n'est pas dans leur codebase.
Le développeur de la lib incriminé a froze son projet et communiqué en disant "j'ai perdu les clés github pour push du code et je m'en bat les steaks". Côté éditeur de WAF ils ont choisi de la nommer drupal-severity-low-update-001-2025 parcequ'un gugus sur reddit a dit que c'était grave et que le market doit justifier auprès des actionnaires du nombre de vulns corrigées (le nombre importe peu, il suffit qu'il soit supérieur à celui du concurrent).
Debian décide de push un update deb-quilt-updat0-php-sourcee, mais associe dedans l'ensemble des correctifs de la lib php ce qui couvre aussi un module WordPress, car entretemps, on s'est rendu compte qu'un coréen avait porté le module drupal sous Wordpress. Mais là, un pirate s'amuse et deface des sites wordpress en mettant une image de kiwi (l'animal, pas le fruit) donc la presse se met à parler de la faille "kiwi" et le gouvernement néo zélandais s'insurge et demande de communiquer sur cette faille par son numéro wordpress-0002 afin d'éviter des amalgames pénibles.
Bref. CVE c'était pas pratique, mais ça avait un avantage certain.
Partout où je suis allé il y avait toujours une alternative à l'application.
Je rajoute une pièce. Source: mes neveux.
Les profs disent que le portable est interdit. Très bien.
cours d'histoire: regardez ce "c'est pas sorcier, il est dispo sur youtube."
cours de math: je vous file ce soir le corrigé sur ecoledirecte.
cours de techno: "sortez vos téléphones, on va chercher un truc sur chatgpt, c'est génial vous allez voir"
cours de bio: "ce soir vous regarderez la vidéo youtube machin"
cours de physique: "il y a une simulation sur le site mahcin.edu, allez la regarder ce soir, et faites les exos"
cours de français: "vous me rendrez le devoir sur word"
cours de musique: "pour la chanson du jour vous me faites un powerpoint".
Rendez vous parents-profs: "les élèves passent trop de temps derrière les écrans, c'est krokrobizarre".
Mes neveux sont morts de rire, ils ont trouvé un moyen de regarder youtube sans passer par familylink (c'est pas moi j'ai rien dit), et ils comprennent pas trop pourquoi personne veut les laisser écouter de la zik, lire des webtoons et rouiller devant des shorts. La désinformation sur facebook ou twitter, ils s'en foutent, ils sont pas dessus.
Ah, parce que ça va avec le concept de système vs applications. Typiquement le genre de truc que je n'ai jamais réussi à comprendre et qui à mon sens ne fait qu'ajouter de la complexité.
Un système (windows, mac, linux) et des applications (firefox, openoffice, vi, etc..), c'est au contraire d'une simplicité désarmante. Dire que tout est pareil et doit être traité pareil, ça n'amène que de la confusion.
Des fois j'aime bien BSD pour ça: un système homogène, et des ports. Quelque fois j'aimerai un système à l'android: le système se met à jour de manière un peu magique, de temps en temps il couine en disant "met moi à jour, gros", et à côté de ça j'installe des applis sans me poser des questions depuis un store. Indépendemment de la mise à jour. Je veux une appli todo list, je cherche todolist dans le store, je clique, ça marche.
Parceque bon, pitié quoi, mais t'installes un truc avec apt-get et ça te conseille d'installer libtruc et donner les droits root et/ou au passage te demande d'activer les statistiques d'utilisations des logiciels avec un message qui te dit que t'as eu beau faire apt-get update && apt-get upgrade le paquet linux-image sera pas mis à jour parceque lol.
Que tu te dis tiens j'installe une calculette et que ça te tire l'intégralité de gnome avec, oué, il y a un problème et les gens préfèrent snap.
S'il y a bien un truc que je trouve super sous Debian et autres, c'est bien le fait que tout, y compris le noyau et la libc, vient de paquets qui se gèrent de la même façon.
Franchement, je veux un bouton "mise à jour" et un équivalent du store (genre synaptics). Tout le reste devrait être planqué et utilisé par "les gens qui savent (tm)". Tout le reste, c'est du n'importe quoi.
Ce qui risque de fragiliser la sécurité en complexifiant les accès au truc sécurisé. Bravo !
Une équipe a une clé hardware avec obligation de faire de la double authent pour se logger sur leur linux en local. Genre ils ouvrent la session, login, pass + clé hardware. Justificatif: si un pirate vole un mot de passe, il y a du 2FA, youhou, la vie est belle, l'entreprise est protégé.
Sauf que ssh est activé sur les postes. Et là, vient la question: si un pirate vole des comptes login+pass (genre phish, ou n'importe quelle méthode) que va faire un pirate:
1- se connecter en ssh avec?
ou
2- prendre sa voiture, aller dans l'entreprise, passer la porte, voler un badge, passer devant les caméras, badger à l'entrée, prendre le poste linux dans l'armoire, le mettre sur un bureau, mettre le mot de passe, et oh malheur à lui, il n'a pas la clé hardware :-( "Blast!", son "evil plan is foiled". (quoique 97% des gens laissent la clé avec le PC d'ailleurs…)
Mais c'est pas pareil, euh.
ah non. C'est comme la borne wifi open qui émet. Personne ne sait qui c'est. Mais c'est "comme ça", faut pas en parler, ça doit sûrement être utile.
C'est une interprétation débile qui conduit à des aberrations en terme de sécurité (coucou la bnp et tes iframes).
Je me demande si c'est pas aussi un appel délirant à des sociétés de consulting, pentesting, analyzing et securing qui rendent à chaque fois un rapport. Le but du pentesteur n'est pas d'auditer une application, c'est de remplir des vulns, pleins de vulns! tout plein. Genre il y a rien, il faut qu'il trouve des vulns quand même.
"Vous administrez votre serveur depuis votre poste? wolalalala! c'est une vuln P1 critical rouge avec mention sur le rapport managérial. Il faut un compte tier1 avec authent mot de passe mini 48 caractères majuscules minuscules symbols pas deux caractères identiques ni de séquences ni de mot du dictionnaire. Ajoutez à ça un OTP 2FA sur smartphone + une clé hardware avec validation et HOTP. Interdisez le copier coller, et faites ça depuis une machine "vault" qui n'a pas d'accès au réseau dans une salle sécurisée."
A force de lire ce genre de trucs débiles un manager quelconque s'émeut que son appli bancaire puisse permettre de transférer de l'argent (si si) donc il faut AJOUTER de la sécurité. Un auditeur repasse ne trouve rien, il est triste, donc il va dire qu'on peut améliorer la sécurité. Il faut maintenant une triple authent saut périlleux arrière vrillé triple lotz. D'un autre côté le market est heureux, ça va fourguer du spyware à tout va et de l'analytics bébé!! Ca le marketing en a rien à foutre de la sécu, mais de la data pour cibler le zozo pour lui vendre une assurance supplémentaire, là, il kiff et il est prêt à dire amen à toutes ces surcouches de sécurité. Une appli? OUI! Un 2FA? Vazy mon gars! Un OTP? Ca le fait!
Bref. Désormais pour payer sur un fuckin site web je dois prendre ma carte, le code, le numéro, le code au dos, mon nom, un code par SMS, un code "payement internet", le mot de passe de mon site web bancaire, etc, etc…
Je suis salé, je viens de relire un rapport de sécu lamentable, mais je sens la douille arriver, on va nous demander d'installer encore une nouvelle appli ou de gestionnaire de mot de passe je sais pas quoi pour avoir une quadruple authent, GG les gars. A côté de ça, le bastion a 42 ports ouverts, tourne sur une redhat 7 à moitié patchée en 8 mais ça, personne s'en émeut. Et vous ça va?
Traditionnellement, le 1er avril on voit fleurir moultes déclarations et informations fracassantes dont le but est de surprendre, faire douter et finalement faire rigoler franchement. Un petit peu de détente ne fait jamais de mal.
Cette année, mais quel désespoir, on a eu droit à linuxfr (woohoo), Jazz a Vienne délocalisé en autriche (à Vienne, huhuhu) mais sinon, c'est le désert, la tristesse.
J'aurai deux théories. La première, c'est qu'on a tellement de dingueries en permanence en ce moment qu'on ne peut plus faire de second degré. Trump annonce 20 ans de prison pour les incendiaires de Tesla, bah franchement, poisson ou pas poisson? Les politiques réclament l'abandon de poursuites judiciaires en réclamant plus de fermeté quand à l'application des peines? beeeeen poisson ou pas? Donc pour un community manager, je crois qu'il est tellement difficile de faire un poisson qu'ils ont sauté l'année.
La deuxième raison est sans doute moins gaie. L'amabiance est tellement à la guerre que personne ne veut rigoler.
Bon, je vous laisse, je dois aller regarder la pluie qui tombe d'un ciel gris et bas pendant que je contemple l'inutilité de ma vie, et bonne journée.
ouais, c'est ça. Si j'ai bien compris, il y a des coins du noyau qui sont moins audités. Genre la gestion des règles nf/iptables, c'est pas super audité parceque seul root peut y accéder, donc même s'il y a une vuln, l'attaquant doit être root pour la jouer, donc il gagne rien.
Avec les namespaces, tu peux taper ces interfaces en étant simple utilisateur. Je dis iptables, mais c'est aussi mount.
Bref, pas besoin de courir les bras en l'air, c'est juste qu'une supposée défense est contournable. Patchons tranquillement dans le calme et la sérénité.
Donc on utilise un namespace dédié qui permet de faire un mount. C'est un peu le but du namespace en fait?
Je comprends toujours pas, mais je dois rater un truc obvious. Dans le namespace les droits sont bien conservés (je peux pas lire /etc/shadow depuis le namespace par exemple). Je peux pas monter le disque /dev/sda pour lire des trucs dessus, je peux pas faire un chmod +s.
pour avoir une réponse dont tu ne connais pas la fiabilité
en vrai, je pense que le site d'origine est moins fiable que chatgpt, comme je le signalais. Après, le résultat n'a aucune importance dans ma vie. Peut-être que Nokia a débuté en construisant un épluche légume, so what?
C'est pratique. C'est pour ça qu'on l'utilise. Après, dans le temps les gens disaient "c'est vrai, c'est tata germaine qui le tient du jean-claude", puis c'est devenu "c'est vrai je l'ai vu aux infos", puis "c'est vrai je l'ai lu sur internet". Maintenant les gens disent "c'est vrai je l'ai lu sur chatgpt".
c'est ptet une évolution. Qu'est ce qui est fiable? Les journalistes qui relatent la dernière dinguerie de trump? Rachelbythebay qui dit qu'atop est malveillant et qu'il faut le désinstaller? que la guerre est pour demain?
J'ai vraiment pas envie de cliquer sur le lien.
Des fois, l'IA c'est pratique:
Alors oui, peut-être que c'est une hallucination de l'IA et que ce n'est pas du papier toilette le premier produit de nokia, mais franchement, ça n'a aucune importance que ce soit vrai ou pas, que l'IA ait halluciné ou pas, que presse citron ait raconté de la merde ou pas. Merci chatgpt \o/
C'est parce que tu ne les cuis pas comme il faut, tes endives, service.
:-o
Je suis preneur de recette, là. Les endives je les aime crues en salade, avec des noix, des pommes granny smith en dés, du fromage, et des ajouts selon la saison ou l'envie du moment: chou rouge (ou blanc) coupé en lanières, cru et croquant, graines diverses, petits croutons.
Pour la sauce, c'est huile d'olive, ou vinaigrette classique, ou vinaigrette allongée de jus d'orange (et faut mettre des agrumes dans la salade d'endives dans ce cas).
-je n'aime pas les endives
-c'est parceque tu ne connais pas un petit producteur qui vient tous les jeudis matin
-j'ai raté ma vie, je suis tordu devant mon PC et j'ai une tendinite, j'ai pris 20kg, je ne m'habille qu'avec des tee-shirts noirs qui ont un dessin incompréhensible pour 99.7% de la population, et je ne connaîtrai jamais l'amour
-mouahahahahaha, t'aurai du faire école de commerce loser!
-mon chat est vraiment pénible
-t'aurais du prendre un chien ou un poisson rouge
Alors, ce n'est pas tout a fait ça. Car là, la puce est accessible par du code. C'est comme si tu disposait d'un terminal sur ton Linux sur un shell restreint… et que tu découvre, qu'il y a d'autres programmes non documentés accessibles… et que ces programmes sont des valgrind/gdb…
gné? As tu juste compris qu'il s'agit de deux systèmes indépendants? C'est vraiment comme si tu as 2 PC côte à côte.
Mais surtout, on peut se demander si l'admin, n'a pas laissé ces programmes parce qu' intrinsèquement, ils contiennent une backdoor pour accéder à ton terminal sans le login/mdp…
J'arrête ici, mais tout est documenté, il y a eu de la recherche, tu peux même download un firmware de puce bluetooth et l'analyser dans son entiereté. Donc en vrai, arrête de te demander, analyse le firmware, trouve une backdoor et annonce le au monde! Puisque tu es persuadé que ça cache un truc, tu as tout ce qu'il faut pour le prouver, en avant!
Tu as mon mot de passe linuxfr ? Tu ne pourra pas le réutiliser ailleurs.
ben en soi, c'est déjà un problème? Le pirate qui a accès à 1 site ça m'ennuie. Surtout si c'est celui de ma boite mail, il a accès à quasiment tous mes mdp via les formulaires de réinitialisation.
Le second facteur peut aussi être compromis, mais on imagine peut probable qu’un attaquant arrive à casser les 2 simultanément.
Pas besoin.
Cas 1:
Le site est tellement nul que le pirate l'a rooté dans tous les sens, il a déjà accès à tes données, le mdp 2FA t'aide pas, c'est trop tard.
Cas 2:
Tu t'es fait voler ton mot de passe par un formulaire de phishing, rien n'empêche le formulaire de phishing de te demander ton 2FA, tu lui donnes, le pirate a accès au site.
C’est l’idée de passkey (qui reprend si j’ai bien compris l’authentification par clef comme on peut utiliser avec SSH) depuis 3 ans.
Sauf que ça marche pas. Je veux accéder à linuxfr depuis mon ordi de boulot, mon smartphone, l'ordi perso et des fois un ordi de passage. Je vais pas me promener avec une clé USB contenant tous mes cert avec mes clés.
Et non l’authentification TLS est très mal géré par les navigateurs
wut? Ca marche super bien. Tu as un cert client, tu t'auth sans rien faire \o/ (ok ok, faut le mettre en place), mais c'est pénible quand tu changes de PC, cf point au dessus.
Donc maintenant on a un protocole utilisable, il faut juste y passer mais ça a de l’inertie.
Franchement, je sais pas s'il y a une solution. Faut t'authentifier, et quelle que soit la solution choisie, y'aura toujours une partie humaine qui intervient, et qui sera faillible.
[^] # Re: copier-coller interdit sur champ de confirmation
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 4 (+2/-0).
que tu dois le rentenir. Si tu peux copier coller, tu risques de faire une erreur: tu veux taper "password123" tu écris "pzssword123", tu copies-colles dans le 2 champ, ton mdp est créé. Tu fermes la session, le lendemain tu tapes avec attention "password123" et ça marche pas… Si y'a 2 champs, c'est pour valider l'un par rapport à l'autre, c'est pas pour vérifier si tu sais copier-coller.
C'est la seule raison vaguement valable que j'ai entendu, et je la trouve pourrie.
Autorisez le copier coller, ou mieux, ne demandez qu'une fois un mdp à la création
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 3 (+1/-0).
Il vaut mieux considérer que l'attaquant est intelligent. Si l'attaquant est bête, alors n'importe quel mot de passe est bon.
intéressant. Après, il faut certes pas mettre linuxordinateurclaviermotdepasse, mais je pense que tartiflettegratinpatatepurée est moins fréquent.
Oui. On peut passer des jours entiers à dériver les mots de passe du dictionnaire et passer à côté d'un mot de passe avec 4 lettres et 2 chiffres. Et ce qui est évident pour certaines personnes l'est moins pour d'autres. Et des stratégies dépendent de paramètres étranges: par exemple john the ripper a une stratégie qui consiste à décaler les lettres d'un cran sur le clavier physique: le z devient un a, le k devien un j, le n devient un b etc… Il suffit d'utiliser un clavier fr au lieu de us pour que cette règle de john ne trouve pas ton mdp :-)
Ce qui nous ramène toujours au même problème: qu'est ce qu'un bon mot de passe? :-)
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 4 (+2/-0).
oui, si tu veux parler de sécu info (et qu'on t'écoutes), t'as qu'a parler des mots de passe.
ouais, mais par quoi le remplacer? Ca devient vraiment n'importe quoi. Tu changes de société on te file un téléphone d'entreprise, et vla le défilé:
- quel mdp pour la SIM
- quel mot de passe pour le déverrouillage
- quel mot de passe pour gmail
- quelles questions de sécurité?
- quel mot de passe pour ton appli métier
- quel mot de passe pour ton accès distant d'entreprise
- quel mot de passe pour la messagerie d'entreprise outlook
- quel mot de passe pour authenticator
- quel mot de passe pour le site corpo
Au bout de 25 minutes on t'a demandé tellement de mot de passes que je défie quiconque de ne pas en avoir oublié un ou de ne pas avoir mis le même partout
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 4 (+2/-0).
1 mot du dictionnaire, ça se trouve facilement.
4 mots ça devient extrêmement compliqué (explosion combinatoire).
La méthode de XKCD est bonne :-)
# c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 7 (+5/-0).
Je suis toujours mitigé face à ces tableaux. Celui-ci précise le hashage utilisé, bcrypt (mais seulement 10 rounds? De mémoire je crois que c'est vraiment le minimum acceptable). On a également la carte graphique utilisé, c'est bien.
Maintenant, on a juste un cassage en bruteforce. Encore une fois, c'est bien, maaaaaaais c'est pas suffisant. Par exemple, le mot de passe "Soleil123" est considéré cassable en 3000 ans. (c'est faux)
Premier cas: j'utilise un mdp sur un site on-line qui limite le nombre de tentatives de connexions, tu n'auras jamais cassé mon mdp en + de 3000 ans.
Second cas: tu as à dispo la base de hash, un dico, et des règles, le mdp se casse en quelques secondes/minutes.
Bref, les mots de passe, c'est nul, c'est pourri, ça a plein de défauts, mais on a du mal à s'en passer. Sooner or later, tu utilises un mot de passe.
# marrant
Posté par octane . En réponse au lien Entrez dans la peau d'un agent de la DGSE et collectez un maximum de renseignements !. Évalué à 3 (+2/-1).
Dans le temps, les hackers étaient plutôt rangés du côté contestataire, anti-gouvernement, limites anarchistes…
Maintenant les services secrets viennent copier leurs us et coutumes (les CTF) pour les attirer :-)
[^] # Re: L'essentiel en français
Posté par octane . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 3 (+1/-0).
En fait, je comprends pas. Qu'est ce qui donnerait plus de 0day?
Développer un code d'exploit pour une vulnérabilité connue?
[^] # Re: L'essentiel en français
Posté par octane . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 2 (+1/-1).
CVE était censé préallouer des numéros pour chaque CNA afin d'éviter que le même numéro soit donné à deux vulns différentes.
Dans le cas ou doublon s'applique à la même vukn sous deux numéros, pourquoi pas, en imaginant que chercheur A remonte à redhat et chercheur B à canonical par exemple. Dans les faits, ce n'est pas très génant. Cela arrive aussi quand une vuln a deux CVE (auth bypass + code exec par exemple). Deux vulns, un produit, un seul correctif.
ouais, mais là, c'est plus CVE, c'est cvss. Et ça fait partie des défauts. La manière de scorer change beaucoup. J'ai fait suffisamment de pentest pour savoir que le scoring est extrêmement souple. Le client veut tout plus bas que 7? pas de soucis. Le management râle et veut que tout soit à plus de 8? vazy mon gars.
pas d'exploitation ou pas de code d'exploitation public?
Ca dépend ce qu'on appelle exploitation. Une vuln qui permet de faire une SQLi sur un site web, c'est une exploit ou pas? (hint: ça peut dépendre de la base de son schéma, et des droits associés). Un heap overflow dans Chrome, c'est exploitable? Il te faudra pas mal de semaines de dev pour y répondre.
Travailler sur une vuln publiquement connue, qui a de grandes chances d'être patchée alors qu'on dev un poc d'exploit? Sérieusment? Alors oui, si la vuln est trivialement exploitable, pourquoi pas, sinon, mieux vaut chercher + pertinent. Et je parle pas des vulns inintéressantes (Dos, etc..)
[^] # Re: L'essentiel en français
Posté par octane . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 8 (+6/-0). Dernière modification le 16 avril 2025 à 14:36.
Je suis mitigé. CVE avait plein de problèmes, mais un gros avantage: il y avait un id unique pour les bugs.
Là, je sens venir le truc bien pénible. Genre la faille gcve-2025-12345 faut la corriger? Parceque redhat, qui est CNA, l'a assigné redhat-2025-54321 impactant drupal, alors qu'il s'agit d'un bug d'authent dans la lib php nommé php-errata-pre-8.52. Sauf que mon dahsboard indique que apache n'est pas en dernière version car le bug cve-canal-historique-2025-543210 est censé corriger la faille drupal. Du côté de chez drupal, ils ont choisi une convention de nommage différente, mais ils ne communiquent pas sur celui-ci car le bug impacte un module tierce partie qui n'est pas dans leur codebase.
Le développeur de la lib incriminé a froze son projet et communiqué en disant "j'ai perdu les clés github pour push du code et je m'en bat les steaks". Côté éditeur de WAF ils ont choisi de la nommer drupal-severity-low-update-001-2025 parcequ'un gugus sur reddit a dit que c'était grave et que le market doit justifier auprès des actionnaires du nombre de vulns corrigées (le nombre importe peu, il suffit qu'il soit supérieur à celui du concurrent).
Debian décide de push un update deb-quilt-updat0-php-sourcee, mais associe dedans l'ensemble des correctifs de la lib php ce qui couvre aussi un module WordPress, car entretemps, on s'est rendu compte qu'un coréen avait porté le module drupal sous Wordpress. Mais là, un pirate s'amuse et deface des sites wordpress en mettant une image de kiwi (l'animal, pas le fruit) donc la presse se met à parler de la faille "kiwi" et le gouvernement néo zélandais s'insurge et demande de communiquer sur cette faille par son numéro wordpress-0002 afin d'éviter des amalgames pénibles.
Bref. CVE c'était pas pratique, mais ça avait un avantage certain.
[^] # Re: Pure communication politique
Posté par octane . En réponse au lien L’interdiction des smartphones au collège devrait être généralisée à la rentrée. Évalué à 10 (+11/-0).
Je rajoute une pièce. Source: mes neveux.
Les profs disent que le portable est interdit. Très bien.
cours d'histoire: regardez ce "c'est pas sorcier, il est dispo sur youtube."
cours de math: je vous file ce soir le corrigé sur ecoledirecte.
cours de techno: "sortez vos téléphones, on va chercher un truc sur chatgpt, c'est génial vous allez voir"
cours de bio: "ce soir vous regarderez la vidéo youtube machin"
cours de physique: "il y a une simulation sur le site mahcin.edu, allez la regarder ce soir, et faites les exos"
cours de français: "vous me rendrez le devoir sur word"
cours de musique: "pour la chanson du jour vous me faites un powerpoint".
Rendez vous parents-profs: "les élèves passent trop de temps derrière les écrans, c'est krokrobizarre".
Mes neveux sont morts de rire, ils ont trouvé un moyen de regarder youtube sans passer par familylink (c'est pas moi j'ai rien dit), et ils comprennent pas trop pourquoi personne veut les laisser écouter de la zik, lire des webtoons et rouiller devant des shorts. La désinformation sur facebook ou twitter, ils s'en foutent, ils sont pas dessus.
[^] # Re: Atomique ?
Posté par octane . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 4 (+4/-2).
Un système (windows, mac, linux) et des applications (firefox, openoffice, vi, etc..), c'est au contraire d'une simplicité désarmante. Dire que tout est pareil et doit être traité pareil, ça n'amène que de la confusion.
Des fois j'aime bien BSD pour ça: un système homogène, et des ports. Quelque fois j'aimerai un système à l'android: le système se met à jour de manière un peu magique, de temps en temps il couine en disant "met moi à jour, gros", et à côté de ça j'installe des applis sans me poser des questions depuis un store. Indépendemment de la mise à jour. Je veux une appli todo list, je cherche todolist dans le store, je clique, ça marche.
Parceque bon, pitié quoi, mais t'installes un truc avec apt-get et ça te conseille d'installer libtruc et donner les droits root et/ou au passage te demande d'activer les statistiques d'utilisations des logiciels avec un message qui te dit que t'as eu beau faire apt-get update && apt-get upgrade le paquet linux-image sera pas mis à jour parceque lol.
Que tu te dis tiens j'installe une calculette et que ça te tire l'intégralité de gnome avec, oué, il y a un problème et les gens préfèrent snap.
Franchement, je veux un bouton "mise à jour" et un équivalent du store (genre synaptics). Tout le reste devrait être planqué et utilisé par "les gens qui savent (tm)". Tout le reste, c'est du n'importe quoi.
[^] # Re: Une partie de réponse
Posté par octane . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 3 (+1/-0).
Une équipe a une clé hardware avec obligation de faire de la double authent pour se logger sur leur linux en local. Genre ils ouvrent la session, login, pass + clé hardware. Justificatif: si un pirate vole un mot de passe, il y a du 2FA, youhou, la vie est belle, l'entreprise est protégé.
Sauf que ssh est activé sur les postes. Et là, vient la question: si un pirate vole des comptes login+pass (genre phish, ou n'importe quelle méthode) que va faire un pirate:
1- se connecter en ssh avec?
ou
2- prendre sa voiture, aller dans l'entreprise, passer la porte, voler un badge, passer devant les caméras, badger à l'entrée, prendre le poste linux dans l'armoire, le mettre sur un bureau, mettre le mot de passe, et oh malheur à lui, il n'a pas la clé hardware :-( "Blast!", son "evil plan is foiled". (quoique 97% des gens laissent la clé avec le PC d'ailleurs…)
ah non. C'est comme la borne wifi open qui émet. Personne ne sait qui c'est. Mais c'est "comme ça", faut pas en parler, ça doit sûrement être utile.
[^] # Re: Une partie de réponse
Posté par octane . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 10 (+9/-0).
Je me demande si c'est pas aussi un appel délirant à des sociétés de consulting, pentesting, analyzing et securing qui rendent à chaque fois un rapport. Le but du pentesteur n'est pas d'auditer une application, c'est de remplir des vulns, pleins de vulns! tout plein. Genre il y a rien, il faut qu'il trouve des vulns quand même.
"Vous administrez votre serveur depuis votre poste? wolalalala! c'est une vuln P1 critical rouge avec mention sur le rapport managérial. Il faut un compte tier1 avec authent mot de passe mini 48 caractères majuscules minuscules symbols pas deux caractères identiques ni de séquences ni de mot du dictionnaire. Ajoutez à ça un OTP 2FA sur smartphone + une clé hardware avec validation et HOTP. Interdisez le copier coller, et faites ça depuis une machine "vault" qui n'a pas d'accès au réseau dans une salle sécurisée."
A force de lire ce genre de trucs débiles un manager quelconque s'émeut que son appli bancaire puisse permettre de transférer de l'argent (si si) donc il faut AJOUTER de la sécurité. Un auditeur repasse ne trouve rien, il est triste, donc il va dire qu'on peut améliorer la sécurité. Il faut maintenant une triple authent saut périlleux arrière vrillé triple lotz. D'un autre côté le market est heureux, ça va fourguer du spyware à tout va et de l'analytics bébé!! Ca le marketing en a rien à foutre de la sécu, mais de la data pour cibler le zozo pour lui vendre une assurance supplémentaire, là, il kiff et il est prêt à dire amen à toutes ces surcouches de sécurité. Une appli? OUI! Un 2FA? Vazy mon gars! Un OTP? Ca le fait!
Bref. Désormais pour payer sur un fuckin site web je dois prendre ma carte, le code, le numéro, le code au dos, mon nom, un code par SMS, un code "payement internet", le mot de passe de mon site web bancaire, etc, etc…
Je suis salé, je viens de relire un rapport de sécu lamentable, mais je sens la douille arriver, on va nous demander d'installer encore une nouvelle appli ou de gestionnaire de mot de passe je sais pas quoi pour avoir une quadruple authent, GG les gars. A côté de ça, le bastion a 42 ports ouverts, tourne sur une redhat 7 à moitié patchée en 8 mais ça, personne s'en émeut. Et vous ça va?
# super lol, xptdr, rofl et ce genre de chose
Posté par octane . En réponse à la dépêche Nouvelle typologie de comptes LinuxFr.org : segmentation et enrichissement de notre offre. Évalué à 9 (+7/-0).
Note: ceci est un commentaire hyper désabusé.
Traditionnellement, le 1er avril on voit fleurir moultes déclarations et informations fracassantes dont le but est de surprendre, faire douter et finalement faire rigoler franchement. Un petit peu de détente ne fait jamais de mal.
Cette année, mais quel désespoir, on a eu droit à linuxfr (woohoo), Jazz a Vienne délocalisé en autriche (à Vienne, huhuhu) mais sinon, c'est le désert, la tristesse.
J'aurai deux théories. La première, c'est qu'on a tellement de dingueries en permanence en ce moment qu'on ne peut plus faire de second degré. Trump annonce 20 ans de prison pour les incendiaires de Tesla, bah franchement, poisson ou pas poisson? Les politiques réclament l'abandon de poursuites judiciaires en réclamant plus de fermeté quand à l'application des peines? beeeeen poisson ou pas? Donc pour un community manager, je crois qu'il est tellement difficile de faire un poisson qu'ils ont sauté l'année.
La deuxième raison est sans doute moins gaie. L'amabiance est tellement à la guerre que personne ne veut rigoler.
Bon, je vous laisse, je dois aller regarder la pluie qui tombe d'un ciel gris et bas pendant que je contemple l'inutilité de ma vie, et bonne journée.
signé: octane, dans un grand moment joyeux.
[^] # Re: okok
Posté par octane . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 3 (+1/-0).
ouais, c'est ça. Si j'ai bien compris, il y a des coins du noyau qui sont moins audités. Genre la gestion des règles nf/iptables, c'est pas super audité parceque seul root peut y accéder, donc même s'il y a une vuln, l'attaquant doit être root pour la jouer, donc il gagne rien.
Avec les namespaces, tu peux taper ces interfaces en étant simple utilisateur. Je dis iptables, mais c'est aussi mount.
Bref, pas besoin de courir les bras en l'air, c'est juste qu'une supposée défense est contournable. Patchons tranquillement dans le calme et la sérénité.
[^] # Re: okok
Posté par octane . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 2 (+0/-0).
Donc on utilise un namespace dédié qui permet de faire un mount. C'est un peu le but du namespace en fait?
Je comprends toujours pas, mais je dois rater un truc obvious. Dans le namespace les droits sont bien conservés (je peux pas lire /etc/shadow depuis le namespace par exemple). Je peux pas monter le disque /dev/sda pour lire des trucs dessus, je peux pas faire un chmod +s.
Je relis l'adviso, mais je comprends pas.
# okok
Posté par octane . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 4 (+2/-0).
Je ne comprends pas trop le poc final (?)
et donc, on a fait un bind mount? je ne vois pas ce qu'il fait avec ça (???)
[^] # Re: alors
Posté par octane . En réponse au lien Qu l'eut cru : les débuts de Nokia. Évalué à 2 (+1/-1).
ouais
en vrai, je pense que le site d'origine est moins fiable que chatgpt, comme je le signalais. Après, le résultat n'a aucune importance dans ma vie. Peut-être que Nokia a débuté en construisant un épluche légume, so what?
C'est pratique. C'est pour ça qu'on l'utilise. Après, dans le temps les gens disaient "c'est vrai, c'est tata germaine qui le tient du jean-claude", puis c'est devenu "c'est vrai je l'ai vu aux infos", puis "c'est vrai je l'ai lu sur internet". Maintenant les gens disent "c'est vrai je l'ai lu sur chatgpt".
c'est ptet une évolution. Qu'est ce qui est fiable? Les journalistes qui relatent la dernière dinguerie de trump? Rachelbythebay qui dit qu'atop est malveillant et qu'il faut le désinstaller? que la guerre est pour demain?
[^] # Re: alors
Posté par octane . En réponse au lien Qu l'eut cru : les débuts de Nokia. Évalué à -1 (+1/-4).
J'ai vraiment pas envie de cliquer sur le lien.
Des fois, l'IA c'est pratique:
Alors oui, peut-être que c'est une hallucination de l'IA et que ce n'est pas du papier toilette le premier produit de nokia, mais franchement, ça n'a aucune importance que ce soit vrai ou pas, que l'IA ait halluciné ou pas, que presse citron ait raconté de la merde ou pas. Merci chatgpt \o/
[^] # Re: gros boulet
Posté par octane . En réponse au lien Un dessin humoristique de Boulet sur l'entraide technique [date de 2023]. Évalué à 4 (+2/-0).
:-o
Je suis preneur de recette, là. Les endives je les aime crues en salade, avec des noix, des pommes granny smith en dés, du fromage, et des ajouts selon la saison ou l'envie du moment: chou rouge (ou blanc) coupé en lanières, cru et croquant, graines diverses, petits croutons.
Pour la sauce, c'est huile d'olive, ou vinaigrette classique, ou vinaigrette allongée de jus d'orange (et faut mettre des agrumes dans la salade d'endives dans ce cas).
[^] # Re: gros boulet
Posté par octane . En réponse au lien Un dessin humoristique de Boulet sur l'entraide technique [date de 2023]. Évalué à 2 (+0/-0).
et y'a plein d'autres
-je n'aime pas les endives
-c'est parceque tu ne connais pas un petit producteur qui vient tous les jeudis matin
-j'ai raté ma vie, je suis tordu devant mon PC et j'ai une tendinite, j'ai pris 20kg, je ne m'habille qu'avec des tee-shirts noirs qui ont un dessin incompréhensible pour 99.7% de la population, et je ne connaîtrai jamais l'amour
-mouahahahahaha, t'aurai du faire école de commerce loser!
-mon chat est vraiment pénible
-t'aurais du prendre un chien ou un poisson rouge
etc etc..
[^] # Re: gros boulet
Posté par octane . En réponse au lien Un dessin humoristique de Boulet sur l'entraide technique [date de 2023]. Évalué à 2 (+0/-0).
Et c'est tellement dépendant du contexte
-tu connais le chemin pour aller au mcdo le plus proche?
-bah laisse, c'est dégueulasse, va plutôt prendre un sandwich à cette boulangerie
-je suis allé en vacances dans le pays XXX, et j'ai choppé une gastro
-bah oui, fallait aller à YYY. Et en plus t'aurais pas pollué, sale capitaliste
-ma facture de gaz augment, je sais pas quoi faire
-bah si t'avais pris des granulés comme je t'avais dit y'a 3 ans..
[^] # Re: Réponse d’espressif
Posté par octane . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 4 (+2/-0).
gné? As tu juste compris qu'il s'agit de deux systèmes indépendants? C'est vraiment comme si tu as 2 PC côte à côte.
J'arrête ici, mais tout est documenté, il y a eu de la recherche, tu peux même download un firmware de puce bluetooth et l'analyser dans son entiereté. Donc en vrai, arrête de te demander, analyse le firmware, trouve une backdoor et annonce le au monde! Puisque tu es persuadé que ça cache un truc, tu as tout ce qu'il faut pour le prouver, en avant!
[^] # Re: FUD ?
Posté par octane . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 1 (+1/-2).
ben en soi, c'est déjà un problème? Le pirate qui a accès à 1 site ça m'ennuie. Surtout si c'est celui de ma boite mail, il a accès à quasiment tous mes mdp via les formulaires de réinitialisation.
Pas besoin.
Cas 1:
Le site est tellement nul que le pirate l'a rooté dans tous les sens, il a déjà accès à tes données, le mdp 2FA t'aide pas, c'est trop tard.
Cas 2:
Tu t'es fait voler ton mot de passe par un formulaire de phishing, rien n'empêche le formulaire de phishing de te demander ton 2FA, tu lui donnes, le pirate a accès au site.
[^] # Re: FUD ?
Posté par octane . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 4 (+2/-0).
Sauf que ça marche pas. Je veux accéder à linuxfr depuis mon ordi de boulot, mon smartphone, l'ordi perso et des fois un ordi de passage. Je vais pas me promener avec une clé USB contenant tous mes cert avec mes clés.
wut? Ca marche super bien. Tu as un cert client, tu t'auth sans rien faire \o/ (ok ok, faut le mettre en place), mais c'est pénible quand tu changes de PC, cf point au dessus.
Franchement, je sais pas s'il y a une solution. Faut t'authentifier, et quelle que soit la solution choisie, y'aura toujours une partie humaine qui intervient, et qui sera faillible.