Orange propose peut-être une supervision H24? et ouais, un kill switch, ça peut être super pratique pour isoler un poste du réseau afin de faire des levées de doute (ou pour les isoler avant nettoyage).
JSP, je suis pas chez orange, mais ça m'étonne pas vraiment. Je dis pas que c'est bien, je sais pas trop comment faire.
Tu as un beau parc de machines avec un OS libre et sécurisé.
Windows? libre et sécurisé? :-o
Tu vends de la souveraineté à tes clients. Puis tu mets module kernel (ou un agent qui tourne en root) privateur par une société US dessus.
Il y a des EDR bien franco-français pourtant? Après, c'est compliqué: si tu tournes pas en root, tu es condamné à te faire dégager/contourner par le premier malware venu. Si tu es en kernel/root, tu es condamné à te faire dégager/contourner de manière subtile par un malware intelligent. Au moins, tu as amélioré sensiblement ta sécurité :)
Bien sûr cela va avec l'inculture d'entreprise où les utilisateurs sont vus comme des enfants qu'il ne faut pas éduquer
AAAAAhhhh! Je bouffe 4 exercices de phishing par an car il faut EDUQUER l'utilisateur. Il faut NOUS FAIRE COMPRENDRE que LES LIENS sur internet C'EST LE MAAAAAAAAL!!!!
j'en peux plus. Le dernier analyste que j'ai croisé m'a dit qu'il ne fallait pas flasher un qrcode car un MAICHANT pirate pourrait avoir caché un 0day derrière un qrcode. OMG! un méchant pirate qui va aller coller des stickers dans des menus de restos pour y foutre son 0day (j'y crois pas une seconde et je suis prêt à flasher tous les qrcode du monde entier). quand je lui ai dit qu'il existait des 0day 0-click sur android et qu'il était une cible meilleure que moi, il m'a dit que lui, il faisait attention :D
mais le passage d'une certification / audit.
ah bah ça (gif du monsieur qui regarde désabusé et déçu)
Pour l'avoir tu installes des deux antivirus, trois firewalls et quatre EDR/XDR sur chaque poste.
Ah par contre le serveur ldap n'est jamais patché (il faudrait refaire un audit).
Ah bah ça…
J'ai vu un rapport d'audit sur un serveur. globalement:
- l'admin est faite en https et on a audité les ciphers SSL -> c'est solide (et c'est tout ce qui a été audité…)
- il y a 8 ports TCP ouverts, un seul est connu, le 22 et on a vérifié, c'est ssh -> donc c'est solide. (les autres? bah aucun commentaire)
- l'éditeur du soft est une boite avec pignon sur rue (WTF??) -> c'est solide
- La configuration est sauvegardée en AES-256, c'est les bonnes pratiques -> c'est solide
conclusion: all good, on peut le déployer en prod, allez-y les gars.
Ça n'est pas évident à suivre parce que ça évolue à une vitesse vertigineuse, mais le fonctionnement d'une IA récente n'a plus grand chose à voir avec les chatbots d'il y a 3 ans. C'est toujours un peu basé sur le même principe, mais il y a des surcouches très complexes qui font que non, les IA ne sont pas du tout des machines à recracher. Il y a eu ces derniers mois des progrès qualitatifs sur les benchmarks sophistiqués (construits sur des problèmes originaux qui ne sont pas dans les données d'entrainement), et il semble que les experts trouvent de plus en plus dur de trouver des tâches où l'humain est supérieur. Donc oui, la recherche en IA progresse, non, les IA ne sont plus des machines à régurgiter.
Sur le côté créatif, même les premières versions de chatGPT ont montré leur capacité à créer : de la musique, du texte, des images, des objets 3D, etc. Je trouve que la question ne se pose même pas, ces logiciels peuvent créer des "oeuvres" de manière bien plus efficace qu'un humain moyen
alors j'ai utilisé suno pendant un moment, je trouvais ça génial. Mais après quelques semaines d'utilisation, je me suis mis à "reconnaitre" le style. Et j'ai retrouvé sur youtube des musiques suno. C'est censé être original, c'est finalement une soupe assez moyenne (avis personnel hein).
(bien sûr, ça n'est pas du Zola, mais encore une fois le critère d'une IA n'est pas de surpasser le meilleur humain dans tous les domaines!).
ben si? je dis que les IA restent dans la moyenne (allez, moyenne haute) de l'humanité, et du coup c'est décevant.
Cette année, l'IA de Google a résolu 5 problèmes sur 6 des "International Math Olympiades", ce qui la classe dans les 30 premiers (c'est une compétition hyper-balaise). Les IA spécialisées ont le niveau des tous meilleurs mathématiciens du monde.
ça reste des problèmes d'entrainements, donc?
Le déni ne te mènera nulle part.
aucun déni de ma part. Par contre plein d'interrogations.
leur capacité à repousser quasiment tous les jours les limites de la complexité des tâches qu'on pensait pour très longtemps hors de portée d'un ordinateur.
ouais, je vois ça comme une asymptote. Ca s'est vite amélioré, ça commence à stagner, et j'ai l'impression qu'on survend la courbe de progression.
2) la vie de l'expert va constituer à serrer les fesses à la sortie de chaque nouvelle version, jusqu'au jour où la machine va commencer à devenir aussi performante
je m'intéresse à ce point. Et je crois que c'est un grand mensonge de l'IA (les LLM). On te fait croire qu'elle s'améliore, comme un sportif qui irait de plus en plus vite. Or, c'est faux. L'IA ne fait que régurgiter ce qu'on lui a donné à manger, en version étiolée/modifiée. Mais en raisonnement créatif pur, c'est le néant.
Je suis surpris qu'une IA n'ait pas encore résolu un problème de maths (genre problème du millénaire), ou que P=NP, ou genre de trucs. Coder une boucle en python, elle sait faire (mieux que la moyenne des gens). Etre expert en python, c'en est (très) loin.
Je pense que les experts sont au contraire très préservés. C'est du niveau de sportifs régionaux face à des champions du monde. C'est très bien, les régionaux explosent le contribuable moyen, mais il n'arrivera jamais au niveau d'un international.
Je crois qu'il y a un mensonge fondamental, avec ces "PHD level" ou "advanced reasoning capabilities". Ces LLM restent des perroquest stochastiques, dénués de créativité pour résoudre des problèmes dont ils ne connaissent pas la solution au préalable, dans la masse de ce qu'ils ont ingurgités. Je pense que ça peut aider dans certains cas, mais qu'il n'y aura aucune avancée phénoménale de faite via LLM.
Je peux même convoquer un exemple qui m'a marqué fortement : un étudiant (très bon, dans le top 5%), lors d'un projet de laboratoire (un tout petit morceau d'un sujet de recherche sur lequel un étudiant est assez autonome), je ne comprends pas les courbes qu'il montre, il faut les distinguer suivant un critère, je lui demande de refaire la figure (en live durant la réunion, juste la figure, pas tout le reste de l'algo de traitement de données), il le fait, je vois qu'il utilise l'IA gen à outrance (je n'avais pas mesuré à quel point). Ok, ça marche. Je lui demande de changer les couleurs pour distinguer deux conditions. Et là… catastrophe, le wifi saute. Il était incapable de changer les couleurs de courbes tracés avec matplotlib. Et ce qui me fait peur, c'est que c'était un des meilleurs étudiants.
C'est une vraie question, mais est-ce vraiment différent des autres avancées technologiques. Je me souviens d'un prof qui parlait de son vieux prof (oui y'a longtemps) et de l'arrivée des calculatrices. Le vieux prof se plaignait qu'aucun étudiant ne savait calculer, et pire, ne savait donner une grandeur estimée. Et il disait que c'était la ruine de l'existence. Plus jeune, je me souviens de hordes de prof vomir sur wikipedia en disant que plus aucun jeune ne savait réfléchir ou apprendre, et que toute question c'était clic clic wikipedia réponse et j'ai déjà oublié ce qui était demandé.
Aujourd'hui, je lis beaucoup cette critique, mais est-ce vraiment nouveau? Plus grave? Dangereux? je sais pas trop
En fait, ça peut être plus vicieux que ça. Scénario fictif:
Maderios reçoit en 20mn 4 SMS qui indiquent des demandes de virements avec des sommes élevées vers des comptes externes, genre: "Une transaction de 687,43€ attend une validation de votre part. Compte émetteur IBAN MrMaderios, compte destinataire IBAN MrVoleur" (bien entendu ces SMS sont tous fake, mais tu ne le sais pas et tu stresses un peu)
Tu es surpris, et tu te demandes un peu ce qui se passe
10mn après
- bonjour mr Maderios, je suis votre conseiller bancaire de la banque , nous avons des demandes suspicieuses de virement, pouvons nous d'abord vérifier votre identité, puis les paramètres de sécurité de votre compte.
- oui
- votre IBAN c'est bien le xxx? votre nom, prénom, adresse, donnez nous votre date de naissance. ok, tout va bien.
Et là, divers scénarios:
1/ Maintenant, allez dans les params de votre banque et faites
2/ votre carte est désactivée, un coursier va venir la chercher chez vous
2/a/ et il va vous péter la gueule jusqu'à ce que tu donnes le code
2/b/ et il va tirer à fond en sans contact
3/ autre idées
Bref, tu vois l'idée. Alors je sais, le premier réflexe c'est de dire "aha mais moi jamais je me ferais avoir!!", mais le pirate il s'en fout. Quand il a 6.4 millions de compte, il sait qu'un certain nombre va fonctionner et ça lui suffit.
Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.
Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).
Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.
Bref, beaucoup de bruit marketing, peu d'infos techniques.
qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.
Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.
PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:
# Prints the message of the day upon successful login.
# (Replaces the `MOTD_FILE' option in login.defs)
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session optional pam_motd.so motd=/run/motd.dynamic
session optional pam_motd.so noupdate
Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.
C'est en contradiction avec ce qui est dit:
Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.
genre le "traditional tool" apt ou rpm?
Pour l'instant, je m'inquiéterai pas trop en fait.
C'est marrant on m'a posé la même question, et j'ai eu du mal à y répondre.
Tu peux être utilisateur de l'informatique, tu vas utiliser un logiciel de dessin pour dessiner, un traitement de texte pour écrire, des jeux pour jouer. C'est assez simple: un outil qui répond à un besoin: "Tu veux planter un clou, utilises un marteau"
Une fois que la personne a spécifié son besoin, il est possible d'y répondre.
Sauf que l'info, c'est pas que ça. Tu peux programmer (au sens large, hein, ça va du script à l'admin sys), et là, ben y'a pas vraiment de réponse. Avec l'informatique, tu peux créer un "truc" qui ve faire des "trucs". Comme si tu disais "je veux planter un clou" et qu'on te réponde que tu peux aller miner du charbon pour faire fondre du métal qui te donnera une scie pour aller usiner le manche du futur marteau pour planter ton clou, sauf qu'en plus les gens ne savent pas qu'ils veulent planter un clou, ils veulent construire une maison en bois. L'informatique c'est assez généraliste, tu l'utilises pour construire quelque chose qui va répondre au besoin.
Du coup, c'est pas simple à expliquer. Souvent je propose un gens un truc en programmation simple, comme "fais un jeu texte simple où tu dois trouver le chiffre entre 1 et 100" et les gens répondent qu'ils voudraient plutôt faire un jeu en 3D.
que tu dois le rentenir. Si tu peux copier coller, tu risques de faire une erreur: tu veux taper "password123" tu écris "pzssword123", tu copies-colles dans le 2 champ, ton mdp est créé. Tu fermes la session, le lendemain tu tapes avec attention "password123" et ça marche pas… Si y'a 2 champs, c'est pour valider l'un par rapport à l'autre, c'est pas pour vérifier si tu sais copier-coller.
C'est la seule raison vaguement valable que j'ai entendu, et je la trouve pourrie.
Autorisez le copier coller, ou mieux, ne demandez qu'une fois un mdp à la création
J'ai l'impression qu'elle est bonne seulement si l'attaquant n'a pas une stratégie dédiée à ce type de mots de passes.
Il vaut mieux considérer que l'attaquant est intelligent. Si l'attaquant est bête, alors n'importe quel mot de passe est bon.
Avec un algo qui priorise la fréquence des mots, on peut quand même espérer dans la plupart des cas tomber sur les bons mots au début de la recherche,
intéressant. Après, il faut certes pas mettre linuxordinateurclaviermotdepasse, mais je pense que tartiflettegratinpatatepurée est moins fréquent.
Bien sûr mon raisonnement ne vaut que si l'attaquant connait la stratégie utilisée pour le mot de passe et tente un algorithme spécifique.
Oui. On peut passer des jours entiers à dériver les mots de passe du dictionnaire et passer à côté d'un mot de passe avec 4 lettres et 2 chiffres. Et ce qui est évident pour certaines personnes l'est moins pour d'autres. Et des stratégies dépendent de paramètres étranges: par exemple john the ripper a une stratégie qui consiste à décaler les lettres d'un cran sur le clavier physique: le z devient un a, le k devien un j, le n devient un b etc… Il suffit d'utiliser un clavier fr au lieu de us pour que cette règle de john ne trouve pas ton mdp :-)
Ce qui nous ramène toujours au même problème: qu'est ce qu'un bon mot de passe? :-)
Je pense que ce genre d'article et d'essais, outre que c'est un marronnier, est une bonne façon de faire parler de soi :-)
oui, si tu veux parler de sécu info (et qu'on t'écoutes), t'as qu'a parler des mots de passe.
Après, le mot de passe, malgré ses défauts reste tout le même le truc le plus pratique et le plus facile à modifier.
ouais, mais par quoi le remplacer? Ca devient vraiment n'importe quoi. Tu changes de société on te file un téléphone d'entreprise, et vla le défilé:
- quel mdp pour la SIM
- quel mot de passe pour le déverrouillage
- quel mot de passe pour gmail
- quelles questions de sécurité?
- quel mot de passe pour ton appli métier
- quel mot de passe pour ton accès distant d'entreprise
- quel mot de passe pour la messagerie d'entreprise outlook
- quel mot de passe pour authenticator
- quel mot de passe pour le site corpo
Au bout de 25 minutes on t'a demandé tellement de mot de passes que je défie quiconque de ne pas en avoir oublié un ou de ne pas avoir mis le même partout
Je suis toujours mitigé face à ces tableaux. Celui-ci précise le hashage utilisé, bcrypt (mais seulement 10 rounds? De mémoire je crois que c'est vraiment le minimum acceptable). On a également la carte graphique utilisé, c'est bien.
Maintenant, on a juste un cassage en bruteforce. Encore une fois, c'est bien, maaaaaaais c'est pas suffisant. Par exemple, le mot de passe "Soleil123" est considéré cassable en 3000 ans. (c'est faux)
Premier cas: j'utilise un mdp sur un site on-line qui limite le nombre de tentatives de connexions, tu n'auras jamais cassé mon mdp en + de 3000 ans.
Second cas: tu as à dispo la base de hash, un dico, et des règles, le mdp se casse en quelques secondes/minutes.
Bref, les mots de passe, c'est nul, c'est pourri, ça a plein de défauts, mais on a du mal à s'en passer. Sooner or later, tu utilises un mot de passe.
[^] # Re: Application au monde de l'Entreprise
Posté par octane . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 2 (+0/-0).
Orange propose peut-être une supervision H24? et ouais, un kill switch, ça peut être super pratique pour isoler un poste du réseau afin de faire des levées de doute (ou pour les isoler avant nettoyage).
JSP, je suis pas chez orange, mais ça m'étonne pas vraiment. Je dis pas que c'est bien, je sais pas trop comment faire.
[^] # Re: Application au monde de l'Entreprise
Posté par octane . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 4 (+2/-0).
Windows? libre et sécurisé? :-o
Il y a des EDR bien franco-français pourtant? Après, c'est compliqué: si tu tournes pas en root, tu es condamné à te faire dégager/contourner par le premier malware venu. Si tu es en kernel/root, tu es condamné à te faire dégager/contourner de manière subtile par un malware intelligent. Au moins, tu as amélioré sensiblement ta sécurité :)
AAAAAhhhh! Je bouffe 4 exercices de phishing par an car il faut EDUQUER l'utilisateur. Il faut NOUS FAIRE COMPRENDRE que LES LIENS sur internet C'EST LE MAAAAAAAAL!!!!
j'en peux plus. Le dernier analyste que j'ai croisé m'a dit qu'il ne fallait pas flasher un qrcode car un MAICHANT pirate pourrait avoir caché un 0day derrière un qrcode. OMG! un méchant pirate qui va aller coller des stickers dans des menus de restos pour y foutre son 0day (j'y crois pas une seconde et je suis prêt à flasher tous les qrcode du monde entier). quand je lui ai dit qu'il existait des 0day 0-click sur android et qu'il était une cible meilleure que moi, il m'a dit que lui, il faisait attention :D
ah bah ça (gif du monsieur qui regarde désabusé et déçu)
Ah bah ça…
J'ai vu un rapport d'audit sur un serveur. globalement:
- l'admin est faite en https et on a audité les ciphers SSL -> c'est solide (et c'est tout ce qui a été audité…)
- il y a 8 ports TCP ouverts, un seul est connu, le 22 et on a vérifié, c'est ssh -> donc c'est solide. (les autres? bah aucun commentaire)
- l'éditeur du soft est une boite avec pignon sur rue (WTF??) -> c'est solide
- La configuration est sauvegardée en AES-256, c'est les bonnes pratiques -> c'est solide
conclusion: all good, on peut le déployer en prod, allez-y les gars.
[^] # Re: Application au monde de l'Entreprise
Posté par octane . En réponse au lien Secure Boot, TPM and Anti-Cheat Engines. Évalué à 2 (+0/-0).
je suis curieux de connaître ton opinion là dessus (vraie question). Pourquoi est-ce une aberration?
[^] # Re: Intérêt du débat ?
Posté par octane . En réponse au lien Fil Mastodon : comment la réforme de l’orthographe de 1990 a été massacrée . Évalué à 3 (+1/-0).
alors à priori je l'ai déjà lu dans San Antonio. Ou alors c'est une ref que je rate (?)
[^] # Re: Quel intérêt ?
Posté par octane . En réponse au lien Belkin balance ses objets connectés Wemo aux orties. Évalué à 10 (+9/-0).
Je pense que tu es dans la catégorie "programmer/engineer" :-)
[^] # Re: Inédit pour les métiers qualifiés
Posté par octane . En réponse au journal Coder avec l'IA : le déclin du plaisir. Évalué à 5 (+3/-0).
je suis vachement open sur le sujet, et j'attends de voir ce que ça donne, mais je lis plutôt ce genre de documents: https://arstechnica.com/ai/2025/08/researchers-find-llms-are-bad-at-logical-inference-good-at-fluent-nonsense/
alors j'ai utilisé suno pendant un moment, je trouvais ça génial. Mais après quelques semaines d'utilisation, je me suis mis à "reconnaitre" le style. Et j'ai retrouvé sur youtube des musiques suno. C'est censé être original, c'est finalement une soupe assez moyenne (avis personnel hein).
ben si? je dis que les IA restent dans la moyenne (allez, moyenne haute) de l'humanité, et du coup c'est décevant.
ça reste des problèmes d'entrainements, donc?
aucun déni de ma part. Par contre plein d'interrogations.
ouais, je vois ça comme une asymptote. Ca s'est vite amélioré, ça commence à stagner, et j'ai l'impression qu'on survend la courbe de progression.
[^] # Re: Inédit pour les métiers qualifiés
Posté par octane . En réponse au journal Coder avec l'IA : le déclin du plaisir. Évalué à 2 (+0/-0).
Je dirais plutôt, c'est trouver une nouvelle solution à un problème.
"global thermonuclear war" si j'ai bien saisi la ref :-)
[^] # Re: Inédit pour les métiers qualifiés
Posté par octane . En réponse au journal Coder avec l'IA : le déclin du plaisir. Évalué à 5 (+3/-0). Dernière modification le 11 août 2025 à 17:43.
je m'intéresse à ce point. Et je crois que c'est un grand mensonge de l'IA (les LLM). On te fait croire qu'elle s'améliore, comme un sportif qui irait de plus en plus vite. Or, c'est faux. L'IA ne fait que régurgiter ce qu'on lui a donné à manger, en version étiolée/modifiée. Mais en raisonnement créatif pur, c'est le néant.
Je suis surpris qu'une IA n'ait pas encore résolu un problème de maths (genre problème du millénaire), ou que P=NP, ou genre de trucs. Coder une boucle en python, elle sait faire (mieux que la moyenne des gens). Etre expert en python, c'en est (très) loin.
Je pense que les experts sont au contraire très préservés. C'est du niveau de sportifs régionaux face à des champions du monde. C'est très bien, les régionaux explosent le contribuable moyen, mais il n'arrivera jamais au niveau d'un international.
Je crois qu'il y a un mensonge fondamental, avec ces "PHD level" ou "advanced reasoning capabilities". Ces LLM restent des perroquest stochastiques, dénués de créativité pour résoudre des problèmes dont ils ne connaissent pas la solution au préalable, dans la masse de ce qu'ils ont ingurgités. Je pense que ça peut aider dans certains cas, mais qu'il n'y aura aucune avancée phénoménale de faite via LLM.
[^] # Re: Mon petit retour sur le sujet
Posté par octane . En réponse au journal Coder avec l'IA : le déclin du plaisir. Évalué à 5 (+6/-3).
C'est une vraie question, mais est-ce vraiment différent des autres avancées technologiques. Je me souviens d'un prof qui parlait de son vieux prof (oui y'a longtemps) et de l'arrivée des calculatrices. Le vieux prof se plaignait qu'aucun étudiant ne savait calculer, et pire, ne savait donner une grandeur estimée. Et il disait que c'était la ruine de l'existence. Plus jeune, je me souviens de hordes de prof vomir sur wikipedia en disant que plus aucun jeune ne savait réfléchir ou apprendre, et que toute question c'était clic clic wikipedia réponse et j'ai déjà oublié ce qui était demandé.
Aujourd'hui, je lis beaucoup cette critique, mais est-ce vraiment nouveau? Plus grave? Dangereux? je sais pas trop
[^] # Re: On veut des infos!
Posté par octane . En réponse au lien 6.4 millions de clients BouyguesTel potentiellement concernés par une fuite de données. Évalué à 2 (+0/-0).
En fait, ça peut être plus vicieux que ça. Scénario fictif:
Maderios reçoit en 20mn 4 SMS qui indiquent des demandes de virements avec des sommes élevées vers des comptes externes, genre: "Une transaction de 687,43€ attend une validation de votre part. Compte émetteur IBAN MrMaderios, compte destinataire IBAN MrVoleur" (bien entendu ces SMS sont tous fake, mais tu ne le sais pas et tu stresses un peu)
Tu es surpris, et tu te demandes un peu ce qui se passe
10mn après
- bonjour mr Maderios, je suis votre conseiller bancaire de la banque , nous avons des demandes suspicieuses de virement, pouvons nous d'abord vérifier votre identité, puis les paramètres de sécurité de votre compte.
- oui
- votre IBAN c'est bien le xxx? votre nom, prénom, adresse, donnez nous votre date de naissance. ok, tout va bien.
Et là, divers scénarios:
1/ Maintenant, allez dans les params de votre banque et faites
2/ votre carte est désactivée, un coursier va venir la chercher chez vous
2/a/ et il va vous péter la gueule jusqu'à ce que tu donnes le code
2/b/ et il va tirer à fond en sans contact
3/ autre idées
Bref, tu vois l'idée. Alors je sais, le premier réflexe c'est de dire "aha mais moi jamais je me ferais avoir!!", mais le pirate il s'en fout. Quand il a 6.4 millions de compte, il sait qu'un certain nombre va fonctionner et ça lui suffit.
[^] # Re: déployé ou non
Posté par octane . En réponse au lien 2025, l'année des virus Linux sur le desktop. Évalué à 9 (+7/-0).
Ils l'ont trouvé sur virustotal.
Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.
Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).
Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.
Bref, beaucoup de bruit marketing, peu d'infos techniques.
# mouais
Posté par octane . En réponse au lien 2025, l'année des virus Linux sur le desktop. Évalué à 8 (+6/-0). Dernière modification le 06 août 2025 à 12:05.
Alors revenons à la source:
https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/
qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.
Lisons un peu le site nextron-systems, ils ont découvert une autre backdoor PAM: https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux/ mais apparemment ça a fait moins de bruit.
Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.
PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:
Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.
C'est en contradiction avec ce qui est dit:
Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.
genre le "traditional tool" apt ou rpm?
Pour l'instant, je m'inquiéterai pas trop en fait.
# Bronsonisation
Posté par octane . En réponse au journal mon bot va mourir : RIP. Évalué à 6 (+4/-0).
tu vas mettre une image de Charles Bronson à ton bot?
:D
[^] # Re: pflumbfberger
Posté par octane . En réponse au journal La gloire avec un bot bluesky. Évalué à 8 (+6/-0).
ça, ok
j'en peux plus de rigoler, ça fait du bien par cette chaleur.
on se rapproche de mes vieux souvenirs
:-o
# pflumbfberger
Posté par octane . En réponse au journal La gloire avec un bot bluesky. Évalué à 4 (+2/-0).
Ouais, certains grands anciens se souviennent du vrai nom du trollomètre.
Et ce n'est pas pflumbfberger.
Et google ne servant décidément plus à rien, je ne retrouve pas le site qui racontait l'histoire de Hans Prumpleffer et de ses prototypes.
Fugit irreparabile tempus.
[^] # Re: La question est vite répondue
Posté par octane . En réponse au message keepassxc en CLI?. Évalué à 4 (+2/-0).
merci
( bon, bah je me sens un peu idiot de jamais avoir essayé de faire tab-tab après keepassxc )
# ok
Posté par octane . En réponse au lien Sam Altman veut qu’une « fraction significative » de l’énergie produite sur Terre soit dédiée à l’IA. Évalué à 10 (+16/-1).
Moi je veux qu'une partie significative de son salaire soit reversé sur mon compte bancaire.
On fait comme ça, Sam? allez, merci, à la prochaine!
[^] # Re: L'inverse
Posté par octane . En réponse au journal Linux prêt pour le desktop : DHH dit oui. Évalué à 4 (+2/-0).
"pas tarder" ??
et voilà.
https://github.com/openinterpreter/open-interpreter
Tu peux même le faire tourner avec un LLM local, déco d'internet.
# on m'a posé la même question
Posté par octane . En réponse au journal "Je veux me mettre à l'informatique" : que répondre ?. Évalué à 9 (+7/-0).
C'est marrant on m'a posé la même question, et j'ai eu du mal à y répondre.
Tu peux être utilisateur de l'informatique, tu vas utiliser un logiciel de dessin pour dessiner, un traitement de texte pour écrire, des jeux pour jouer. C'est assez simple: un outil qui répond à un besoin: "Tu veux planter un clou, utilises un marteau"
Une fois que la personne a spécifié son besoin, il est possible d'y répondre.
Sauf que l'info, c'est pas que ça. Tu peux programmer (au sens large, hein, ça va du script à l'admin sys), et là, ben y'a pas vraiment de réponse. Avec l'informatique, tu peux créer un "truc" qui ve faire des "trucs". Comme si tu disais "je veux planter un clou" et qu'on te réponde que tu peux aller miner du charbon pour faire fondre du métal qui te donnera une scie pour aller usiner le manche du futur marteau pour planter ton clou, sauf qu'en plus les gens ne savent pas qu'ils veulent planter un clou, ils veulent construire une maison en bois. L'informatique c'est assez généraliste, tu l'utilises pour construire quelque chose qui va répondre au besoin.
Du coup, c'est pas simple à expliquer. Souvent je propose un gens un truc en programmation simple, comme "fais un jeu texte simple où tu dois trouver le chiffre entre 1 et 100" et les gens répondent qu'ils voudraient plutôt faire un jeu en 3D.
[^] # Re: copier-coller interdit sur champ de confirmation
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 4.
que tu dois le rentenir. Si tu peux copier coller, tu risques de faire une erreur: tu veux taper "password123" tu écris "pzssword123", tu copies-colles dans le 2 champ, ton mdp est créé. Tu fermes la session, le lendemain tu tapes avec attention "password123" et ça marche pas… Si y'a 2 champs, c'est pour valider l'un par rapport à l'autre, c'est pas pour vérifier si tu sais copier-coller.
C'est la seule raison vaguement valable que j'ai entendu, et je la trouve pourrie.
Autorisez le copier coller, ou mieux, ne demandez qu'une fois un mdp à la création
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 3.
Il vaut mieux considérer que l'attaquant est intelligent. Si l'attaquant est bête, alors n'importe quel mot de passe est bon.
intéressant. Après, il faut certes pas mettre linuxordinateurclaviermotdepasse, mais je pense que tartiflettegratinpatatepurée est moins fréquent.
Oui. On peut passer des jours entiers à dériver les mots de passe du dictionnaire et passer à côté d'un mot de passe avec 4 lettres et 2 chiffres. Et ce qui est évident pour certaines personnes l'est moins pour d'autres. Et des stratégies dépendent de paramètres étranges: par exemple john the ripper a une stratégie qui consiste à décaler les lettres d'un cran sur le clavier physique: le z devient un a, le k devien un j, le n devient un b etc… Il suffit d'utiliser un clavier fr au lieu de us pour que cette règle de john ne trouve pas ton mdp :-)
Ce qui nous ramène toujours au même problème: qu'est ce qu'un bon mot de passe? :-)
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 4.
oui, si tu veux parler de sécu info (et qu'on t'écoutes), t'as qu'a parler des mots de passe.
ouais, mais par quoi le remplacer? Ca devient vraiment n'importe quoi. Tu changes de société on te file un téléphone d'entreprise, et vla le défilé:
- quel mdp pour la SIM
- quel mot de passe pour le déverrouillage
- quel mot de passe pour gmail
- quelles questions de sécurité?
- quel mot de passe pour ton appli métier
- quel mot de passe pour ton accès distant d'entreprise
- quel mot de passe pour la messagerie d'entreprise outlook
- quel mot de passe pour authenticator
- quel mot de passe pour le site corpo
Au bout de 25 minutes on t'a demandé tellement de mot de passes que je défie quiconque de ne pas en avoir oublié un ou de ne pas avoir mis le même partout
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 4.
1 mot du dictionnaire, ça se trouve facilement.
4 mots ça devient extrêmement compliqué (explosion combinatoire).
La méthode de XKCD est bonne :-)
# c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 7.
Je suis toujours mitigé face à ces tableaux. Celui-ci précise le hashage utilisé, bcrypt (mais seulement 10 rounds? De mémoire je crois que c'est vraiment le minimum acceptable). On a également la carte graphique utilisé, c'est bien.
Maintenant, on a juste un cassage en bruteforce. Encore une fois, c'est bien, maaaaaaais c'est pas suffisant. Par exemple, le mot de passe "Soleil123" est considéré cassable en 3000 ans. (c'est faux)
Premier cas: j'utilise un mdp sur un site on-line qui limite le nombre de tentatives de connexions, tu n'auras jamais cassé mon mdp en + de 3000 ans.
Second cas: tu as à dispo la base de hash, un dico, et des règles, le mdp se casse en quelques secondes/minutes.
Bref, les mots de passe, c'est nul, c'est pourri, ça a plein de défauts, mais on a du mal à s'en passer. Sooner or later, tu utilises un mot de passe.
# marrant
Posté par octane . En réponse au lien Entrez dans la peau d'un agent de la DGSE et collectez un maximum de renseignements !. Évalué à 3.
Dans le temps, les hackers étaient plutôt rangés du côté contestataire, anti-gouvernement, limites anarchistes…
Maintenant les services secrets viennent copier leurs us et coutumes (les CTF) pour les attirer :-)