octane a écrit 879 commentaires

À noter que le fait de garantir que la copie privée soit possible malgré les mesures techniques de protection, était une mission de l'Hadopi,

Ca date, mais de mémoire les débats ont conclu sur le fait que tu as vaguement le droit, mais que rien n'y personne n'a a te faciliter la tache. Tu le fais, bah très bien, tu le fais pas, tant pis pour toi.

Un corollaire de tout ça, c'est que globalement les ayants-droits ont tous les droits, et que tu as beau venir avec le texte de loi dans les mains, tu te feras défoncer devant un tribunal (pot de fer, pot de terre, ce genre de trucs).

Au final, la copie privée et toutes ces merdes autour, c'est juste pour te taxer du fric de manière opaque (coucou la sacem et tous les autres), et te faire cracher du fric (si si, c'est pas redondant). La copie

Mission essentielle puisqu'il s'agit de s'assurer que les gens peuvent faire ce pour quoi ils paient.

"La copie privée est une exception, pas un droit a récemment rappelé la cour de cassation (affaire Mulholland Drive) : l'auteur ne peut l'interdire, mais il n'a pas à permettre ou faciliter sa réalisation (les mesures techniques de protection s'opposant à la copie ayant expressément été légalisées par la loi DADVSI)."

cf https://www.maitre-eolas.fr/post/2009/02/20/1321-les-droits-d-auteur-pour-les-nuls

et rappelé également par un journal sur un site, mais je ne sais pas s'il est recommandable :D https://linuxfr.org/news/le-droit-a-la-copie-privee-nexisterait-pas

Mais je considère que c'est une très mauvaise chose de conseiller cela à des débutants en le présentant comme une mesure de sécurité, voire LA mesure de sécurité.

Pour un débutant, ça reste acceptable. Le débutant deviendra utilisateur avisé, et il comprendra pourquoi c'est pas LA mesure de sécurité par la suite. Le débutant fera ses choix seuls ensuite. Je pense malgré tout que c'est un bon compromis pour qu'un débutant se fasse défoncer sa machine dans les 2j qui suivent son installation. Après, ça se discute et il y a de bons arguments des deux côtés.

Pour l'IPV6 on est quand même à près de 90% d'adoption en France et j'ai des cas où certaines machines ne sont accessibles qu'en IPv6.

En vrai, j'ai peu-être répondu un peu vite, et je pense qu'il faut que j'y re-réflechisse, je vais utiliser ssh -6 dans mes configs et voir ce que ça donne.

un attaquant réussi à obtenir un shell d'utilisateur standard grâce à celle-ci

donc tu es déjà compromis. Et globalement, game over. C'est terminé.

Il peut ensuite écouter ce qui transite sur le port non privilégié et par exemple récupérer les clefs.

il y a déjà un service sshd qui tourne sur le port 22222 un port haut. Ton utilisateur standard va donc kill le serveur ssh (comment?) et relancer le sien à la place? Pour écouter les connexions? Et de quelle clé on parle? Le login password qui est deprecated, ou des clés pub/privs (et là, bonne chance au pirate pour me voler ma clé privée).

En quoi changer la directive Listen :: est-il plus complexe que de changer celle-ci Port 622 ?

Le changement n'est rien. L'accès en IPv6 s'améliore, mais tu n'en as pas de partout. IPv4 reste malheureusement assez incontournable.

Ça sert à quoi de mettre des réfs que toi seul peux comprendre ?

Je suis bête.

Et si c'est pour une seule machine le choix d'un port non privilégié abaisse la sécurité.

ça je suis pas d'accord. Je vois pas le cas où un attaquant pouvant exécuter un binaire arbitraire qui va sniffer un port non privilégié est moins pire qu'un attaquant pouvant démarrer un binaire arbitraire (sous entendu, t'es déjà mort donc ça sert à rien, et le port non privilégié est tout en bas de ta liste de problèmes).

Dans ce cas il vaut mieux mettre le service en écoute uniquement en IPv6.

je suis ok, mais ça complexifie aussi pas mal :-(

Pas sûr d'avoir compris…

ouais, une réf que tu n'as pas lié à mon boulot ou tout le monde s'amuse à mettre des surcouches et de la templatisation dans tous les sens sans trop de raison.

Serveur de quoi? On ne sait pas…

Oui, je suis d'accord. Serveur de quoi? Parceque moi sur ma machine, j'ai fait un nc -l -p 12345 et je suis un serveur du coup.

Avec la tarte à la crème du changement de port SSH

c'est facile, c'est rapide, ça évite de voir ses logs se faire pourrir pour pas grand chose, c'est pas la solution idéale, mais ça fait le taf.

changement de port SSH, qui plus est en modifiant directement le fichier /etc/ssh/sshd_config…

abawi, il y a un fichier de configuration pour sshd, c'est fou que des gens configurent un serveur dans son fichier de configuration. Heureusement que ce fichier ne s'appelle pas sshd_configuration parceque sinon on pourrait croire que ce fichier de configuration sert à configurer la config de sshd, ouf!

Les vrais gens, ceux qui savent, vont utiliser un wrapper qui va créer un fichier qui va lancer un service qui va modifier un unit systemd afin de changer dynamiquement un port sans modifier la configuration de ce service, mais eux, ceux qui savent, savent!

Je ne pourrai pas venir, mais ça fait bien envie. Je me souviens, je vous avais croisé aux RMLL (mais j'avais été trop timide pour venir vous saluer), ça fait plaisir de voir les vrais gens qui sont derrière ces sites qu'on consulte régulièrement.
Je vois sur les photos que ça se dégarnit pas mal :D:D:D signe que linux atteint la maturité et la sagesse?

Je suis étonné, c'était sorti en septembre cette histoire de Shai Hulud etc…
dans l'URL, on voit que ça date du 2025/09/23 (donc une éternité en temps informatique)

Par contre, pour ceux que ça intéresse, il y a apparemment un Shai Hulud v2 qui est en train d'émerger
https://www.mend.io/blog/shai-hulud-the-second-coming/

Ca ouvre un champ de possibilités immenses. Un article trop long: L'IA le résume. On veut pas lire le résumé? Bah on a qu'a demander à l'IA d'en faire la synthèse. C'est une IA qui a fait la synthèse et on veut pas le lire? On a qu'a demander à l'IA de répondre à notre place. et on veut pas lire la réponse? haha! mais l'IA de notre interlocuteur l'a déjà résumé, synthétisé et commenté. Super!

Et BAM! place aux nouveaux sites WEB 6.0 (*) ou l'IA est omniprésente, on a même plus besoin de s'y connecter \o/ Gain de temps phénoménal, on aura du coup le temps de discuter avec nos proches. On pourrait faire des plateformes web ou on s'échangerait des messages. Mmmmmh, je sens que tiens un truc là. C'est quand même fantastique ce qu'on fait avec l'IA \o/
/s

(*) ou web5.0? je sais plus trop j'ai arrêté de compter à un moment

D'ailleurs certaines drogues permettent de dépasser les limites du cerveau,

ah bon?

Certes, il existe des IA open source, mais le système d'entraînement, très agressif, en pillant les sites web existants, et les bases de connaissances ne sont pas les mêmes, les enjeux non plus.

Tous les entrainement d'IA sont agressifs en pillage de ressources. Les IA "open source", j'ai toujours pas compris le concept. Il suffit d'être sur huggn face pour être open source?

Sinon, texte très intéressant à lire. "food for thought" comme disent les anglois.

Attention : ce script référence explicitement /bin . Pas 100% sûr que bash y soit installé. Une solution peut être d'utiliser env.

#!/usr/bin/env bash

Attention : ce script référence explicitement /usr/bin . Pas 100% sûr que env y soit installé. Une solution peut être d'utiliser autre chose :D

En vrai, j'aime bien utiliser #!/usr/bin/env dans mes scripts pythons car je les lance depuis différents environnements (distrib, venv, etc..) et on ne sais jamais trop où sera planqué mon binaire python3, donc là, ça fait du sens. Par contre, pour mes scripts shells, je colle tout le temps /bin/bash parceque j'espère ne jamais me trouver dans le cas ou bash n'est plus dans /bin

même pour des gens ultra célèbres comme Molière. Il a fallu que Louis XIV himself intervienne pour qu'il lui soit donnés, et encore en catimini.

Un prof m'avait raconté l'anecdote suivante: Louis XIV avait demandé au clergé quelle était la profondeur de la terre consacrée. Le clergé avait répondu 6 pieds [1]. Le roi a demandé d'enterrer Molière à 7 pieds, et hop, tout le monde est content.

[1] je peux pas m'empêcher de m'écrouler de rire quand je pense à ça.

la direction de gcc ne souhaitant pas adopter une architecture plus moderne qui aurait facilité les travaux et intégrations diverses.

C'est directement du à Stallman qui voulait volontairement conserver cet aspect obscur afin de permettre la viralité du code gpl. Un compilo plus simple à comprendre aurait permis de découper bibliothèques et programmes, ce qu'il ne voulait pas car cela aurait permis des bibliothèques non libres dans des programmes libres.

Il ne s'agit pas d'enshitification, mais de frein à la rétroingénierie pour permettre la diffusion de code GPL.

Et forcément j'avais un super article qui en parlait mais je ne met plus la main dessus, c'est google qui s'enshittifie :-(

Systemd est juste allé un petit peu vite.

Systemd fait un truc qui casse quelquechose.

1. ooooh, c'est tout pété!
2. ok, on se plie à ce que veut sytemd, et on tord tout ce qu'il faut pour que systemd fonctionne.
3. Ca remarche.
4. La preuve que systemd avait raison une fois de plus!!! Quel génie!! Quel homme!! Quel logiciel!! Quel visionnaire!!

(post à -10 de karma dans 3…. 2…. 1….)

de la même façon que /usr est en train de disparaître par exemple

                  _  /)
                 mo / )
                 |/)\)
                  /\_
                  \__|=
                 (    )
                 __)(__
           _____/      \\_____
          |  _     ___   _   ||
          | | \     |   | \  ||
          | |  |    |   |  | ||
          | |_/     |   |_/  ||
          | | \     |   |    ||
          | |  \    |   |    ||
          | |   \. _|_. | .  ||
          |                  ||
          |     /usr         ||   From FHS, with our best memories
          |                  ||
  *       | *   **    * **   |**      **
   \))//...*/.,(//,,..,,\||(,,.,\\,.((//

ouais. Avec flatpak/snap etc.. on devrait faire un FHS plus simple:

/linux/bin
/linux/etc
/Program Files/snap
/home
/Temp
Un truc moderne, quoi. Et là, on pourrait automount /home/user depuis une clé usb par exemple. Ou déployer minimalistement une distro depuis un dockerhub, le rêve \o/

Finalement, je vais ptet me prendre un -100. Dire que j'étais un gentil linuxien avec un karma à +2 :-(

surtout si on n'a pas besoin de ses spécificités

ah bah oui, forcément, du coup, c'est valable pour tout, non?

Je n'ai pas besoin de 'xxx', donc l'installer c'est une surface d'attaque supplémentaire.
Je n'ai pas besoin de firewall, car l'installer c'est une surface d'attaque supplémentaire.
Je n'ai pas besoin de sudo (car mes users ont tous le mot de passe root), donc c'est une surface d'attaque supplémentaire.

Sinon, ouais pour moi, sudo limite bien. On peut donner des droits réduits à 1 user sans lui filer les clés du chateau. bon après, y'a des vulns, certes. Le kernel linux a des vulns aussi.

switch (xkcd_221.getRandomNumber()) {

héhéhé, je crois que ton switch case est biaisé :D "fair dice roll"

ce qui est fou, c'est que je n'ai même pas eu besoin de vérifier que c'était bien celui-là :D

Et si l'on veux vraiment limiter la surface d'attaque on installe pas sudo.

wut? sudo est un outil qui sert à réduire la surface d'attaque. Je veux bien un peu plus d'explications là.

Ce que je lis, c'est un pilote de formule 1, qui explique qu'il est mieux que la majorité de la plèbe, que lui, il optimise les trajectoires pour grapiller quelques secondes à chaque tour.

oulà, non. Juste un pilote qui aime réfléchir à ses trajectoires.

Et après ça, le pilote méprise les livreurs, routiers, ambulanciers et autres taxis, ces gens "sans âmes à 70 de QI [cf]", qui conduisent mollement.

Ah non, c'est moi qui dit avoir 70 de QI, je ne juge pas les autres. Après s'être rendu compte qu'optimiser des trajectoires ça me plait, on me dit que rouler à 10 à l'heure sur une ligne droite, ça va être mon boulot, désolé d'être déçu, hein.

Mais réfléchir pour modifier progressivement une architecture complexe et la corriger tout en respectant les contraintes opérationnelles, là, il n'y a plus personne.

ah bah si, ça m'intéresserait. Là, on me demande d'utiliser l'existant ou d'ouvrir un ticket chez le prestataire si ça va pas.

C'est, quelque part, encore un enfant. Les licornes n'existent pas. Bienvenue chez les adultes.

c'est triste ton avis sur les licornes. Bon, je vous laisse, faut que je finisse mon quatre heures et je dois aller ranger mes peluches avant de faire mes devoirs du soir, maman va bientôt rentrer.

Je comprends aussi qu'on reste dans un job dont le fond est devenu ennuyeux, mais dont les à-côtés sont confortables. Sans parler de la difficulté à trouver un autre job correspondant à nos autres critères, mais avec le fun en plus. Dans ce cas, acter que le job est devenu d'un ennui total, voir ce qu'on peut négocier là dedans, voir même si on ne peux pas se libérer du temps (bosser un jour de moins ? Dans une autre équipe ? Disparaitre discretos durant les séminaires imposés après avoir émargé ? Prétendre prendre des notes en réunion alors qu'on écrit des poèmes d'amours à son algorithme préféré ?). Et surtout trouver à côté, dans le reste de sa vie, de quoi se nourrir. Généralement en trouvant des projets sympas où participer bénévolement.

ouais, j'ai négocié du temps de travail en moins (je suis environ à 80%), donc j'ai gagné du temps.

Mais ce bonheur, ce flow, quand les choses s'alignent et que je comprends comment tout s'emboite, comment mettre les choses en place, oui. Je ne sais pas comment on peut tenir le coup si on n'a pas ce truc régulièrement. Donc je te souhaite vraiment de retrouver comment mettre ça dans ta vie.

je suis ok avec ça, merci

Avec l'arrivée de l'IA, je viens de comprendre reellement ce que "pisser du code" veut dire. Sauf que je ne pisse pas. Je ne fais que tenir le sexe de l'IA à ce stade.

C'est grossier, mais très évocateur. Je la ressortirai celle-là :)

oui, android a le MTE, il manque tout le reste :-)

ouais, c'est très fort. Avoir ça sous linux, c'est compliqué. Apple maîtrise le hardware+software. Donc il faudrait un linux qui utilise le hardware pour tagger ses pointeurs, ça semble pas possible d'ici demain (ou après demain).

Globalement, les vulns de sécu les plus violentes, ce sont les corruptions mémoire: un attaquant réussit à lire ou écrire ailleurs que dans le buffer prévu. De là découle tout plein de vulns: historiquement stack overflow, puis tous les overflow (heap), et le reste, Use after free, etc…

Si déjà tu réussis à empêcher un programme d'écrire (ou lire) là où il devrait pas, c'est super \o/ En plus, avec les MTE, tu rends la tâche d'un attaquant très très pénible, car suite à la corruption mémoire, ton attaquant voudra réé-écrire des pointeurs lui même (vers du code, ou une autre zone mémoire, etc..). Et là, deuxième clou dans la chaussure.

Bref, comme le dit ton communiqué, tu as apple qui fait face à des développeurs d'un niveau étatique qui ont des millions de dollars pour développer des exploits. Ils peuvent pas se satisfaire d'un simple "langage sécurisé".

Le dossier de developpement de(s) site(s) web sous linux semble etre /var/www.

C'est juste une convention, à toi de voir si tu veux la suivre ou pas.

Quels sont les inconvénients d'utiliser /home/$USER/www a la place ? Est-ce que ça viole une régle ? De sécurité ?

non aucune. Mets bien ce que tu veux ou tu veux en fait. Après, comme plein de docs suivent cette convention, ben c'est plus simple à suivre plutôt que de faire des translations à chaque path.

Est-ce qu'on peut trouver un débat sur cette question quelque part ?

Peut-être dans le FHS? https://fr.wikipedia.org/wiki/Filesystem_Hierarchy_Standard

Orange propose peut-être une supervision H24? et ouais, un kill switch, ça peut être super pratique pour isoler un poste du réseau afin de faire des levées de doute (ou pour les isoler avant nettoyage).
JSP, je suis pas chez orange, mais ça m'étonne pas vraiment. Je dis pas que c'est bien, je sais pas trop comment faire.

Tu as un beau parc de machines avec un OS libre et sécurisé.

Windows? libre et sécurisé? :-o

Tu vends de la souveraineté à tes clients. Puis tu mets module kernel (ou un agent qui tourne en root) privateur par une société US dessus.

Il y a des EDR bien franco-français pourtant? Après, c'est compliqué: si tu tournes pas en root, tu es condamné à te faire dégager/contourner par le premier malware venu. Si tu es en kernel/root, tu es condamné à te faire dégager/contourner de manière subtile par un malware intelligent. Au moins, tu as amélioré sensiblement ta sécurité :)

Bien sûr cela va avec l'inculture d'entreprise où les utilisateurs sont vus comme des enfants qu'il ne faut pas éduquer

AAAAAhhhh! Je bouffe 4 exercices de phishing par an car il faut EDUQUER l'utilisateur. Il faut NOUS FAIRE COMPRENDRE que LES LIENS sur internet C'EST LE MAAAAAAAAL!!!!
j'en peux plus. Le dernier analyste que j'ai croisé m'a dit qu'il ne fallait pas flasher un qrcode car un MAICHANT pirate pourrait avoir caché un 0day derrière un qrcode. OMG! un méchant pirate qui va aller coller des stickers dans des menus de restos pour y foutre son 0day (j'y crois pas une seconde et je suis prêt à flasher tous les qrcode du monde entier). quand je lui ai dit qu'il existait des 0day 0-click sur android et qu'il était une cible meilleure que moi, il m'a dit que lui, il faisait attention :D

mais le passage d'une certification / audit.

ah bah ça (gif du monsieur qui regarde désabusé et déçu)

Pour l'avoir tu installes des deux antivirus, trois firewalls et quatre EDR/XDR sur chaque poste.
Ah par contre le serveur ldap n'est jamais patché (il faudrait refaire un audit).

Ah bah ça…

J'ai vu un rapport d'audit sur un serveur. globalement:
- l'admin est faite en https et on a audité les ciphers SSL -> c'est solide (et c'est tout ce qui a été audité…)
- il y a 8 ports TCP ouverts, un seul est connu, le 22 et on a vérifié, c'est ssh -> donc c'est solide. (les autres? bah aucun commentaire)
- l'éditeur du soft est une boite avec pignon sur rue (WTF??) -> c'est solide
- La configuration est sauvegardée en AES-256, c'est les bonnes pratiques -> c'est solide
conclusion: all good, on peut le déployer en prod, allez-y les gars.