Je suis mitigé. CVE avait plein de problèmes, mais un gros avantage: il y avait un id unique pour les bugs.
Là, je sens venir le truc bien pénible. Genre la faille gcve-2025-12345 faut la corriger? Parceque redhat, qui est CNA, l'a assigné redhat-2025-54321 impactant drupal, alors qu'il s'agit d'un bug d'authent dans la lib php nommé php-errata-pre-8.52. Sauf que mon dahsboard indique que apache n'est pas en dernière version car le bug cve-canal-historique-2025-543210 est censé corriger la faille drupal. Du côté de chez drupal, ils ont choisi une convention de nommage différente, mais ils ne communiquent pas sur celui-ci car le bug impacte un module tierce partie qui n'est pas dans leur codebase.
Le développeur de la lib incriminé a froze son projet et communiqué en disant "j'ai perdu les clés github pour push du code et je m'en bat les steaks". Côté éditeur de WAF ils ont choisi de la nommer drupal-severity-low-update-001-2025 parcequ'un gugus sur reddit a dit que c'était grave et que le market doit justifier auprès des actionnaires du nombre de vulns corrigées (le nombre importe peu, il suffit qu'il soit supérieur à celui du concurrent).
Debian décide de push un update deb-quilt-updat0-php-sourcee, mais associe dedans l'ensemble des correctifs de la lib php ce qui couvre aussi un module WordPress, car entretemps, on s'est rendu compte qu'un coréen avait porté le module drupal sous Wordpress. Mais là, un pirate s'amuse et deface des sites wordpress en mettant une image de kiwi (l'animal, pas le fruit) donc la presse se met à parler de la faille "kiwi" et le gouvernement néo zélandais s'insurge et demande de communiquer sur cette faille par son numéro wordpress-0002 afin d'éviter des amalgames pénibles.
Bref. CVE c'était pas pratique, mais ça avait un avantage certain.
Partout où je suis allé il y avait toujours une alternative à l'application.
Je rajoute une pièce. Source: mes neveux.
Les profs disent que le portable est interdit. Très bien.
cours d'histoire: regardez ce "c'est pas sorcier, il est dispo sur youtube."
cours de math: je vous file ce soir le corrigé sur ecoledirecte.
cours de techno: "sortez vos téléphones, on va chercher un truc sur chatgpt, c'est génial vous allez voir"
cours de bio: "ce soir vous regarderez la vidéo youtube machin"
cours de physique: "il y a une simulation sur le site mahcin.edu, allez la regarder ce soir, et faites les exos"
cours de français: "vous me rendrez le devoir sur word"
cours de musique: "pour la chanson du jour vous me faites un powerpoint".
Rendez vous parents-profs: "les élèves passent trop de temps derrière les écrans, c'est krokrobizarre".
Mes neveux sont morts de rire, ils ont trouvé un moyen de regarder youtube sans passer par familylink (c'est pas moi j'ai rien dit), et ils comprennent pas trop pourquoi personne veut les laisser écouter de la zik, lire des webtoons et rouiller devant des shorts. La désinformation sur facebook ou twitter, ils s'en foutent, ils sont pas dessus.
Ah, parce que ça va avec le concept de système vs applications. Typiquement le genre de truc que je n'ai jamais réussi à comprendre et qui à mon sens ne fait qu'ajouter de la complexité.
Un système (windows, mac, linux) et des applications (firefox, openoffice, vi, etc..), c'est au contraire d'une simplicité désarmante. Dire que tout est pareil et doit être traité pareil, ça n'amène que de la confusion.
Des fois j'aime bien BSD pour ça: un système homogène, et des ports. Quelque fois j'aimerai un système à l'android: le système se met à jour de manière un peu magique, de temps en temps il couine en disant "met moi à jour, gros", et à côté de ça j'installe des applis sans me poser des questions depuis un store. Indépendemment de la mise à jour. Je veux une appli todo list, je cherche todolist dans le store, je clique, ça marche.
Parceque bon, pitié quoi, mais t'installes un truc avec apt-get et ça te conseille d'installer libtruc et donner les droits root et/ou au passage te demande d'activer les statistiques d'utilisations des logiciels avec un message qui te dit que t'as eu beau faire apt-get update && apt-get upgrade le paquet linux-image sera pas mis à jour parceque lol.
Que tu te dis tiens j'installe une calculette et que ça te tire l'intégralité de gnome avec, oué, il y a un problème et les gens préfèrent snap.
S'il y a bien un truc que je trouve super sous Debian et autres, c'est bien le fait que tout, y compris le noyau et la libc, vient de paquets qui se gèrent de la même façon.
Franchement, je veux un bouton "mise à jour" et un équivalent du store (genre synaptics). Tout le reste devrait être planqué et utilisé par "les gens qui savent (tm)". Tout le reste, c'est du n'importe quoi.
Ce qui risque de fragiliser la sécurité en complexifiant les accès au truc sécurisé. Bravo !
Une équipe a une clé hardware avec obligation de faire de la double authent pour se logger sur leur linux en local. Genre ils ouvrent la session, login, pass + clé hardware. Justificatif: si un pirate vole un mot de passe, il y a du 2FA, youhou, la vie est belle, l'entreprise est protégé.
Sauf que ssh est activé sur les postes. Et là, vient la question: si un pirate vole des comptes login+pass (genre phish, ou n'importe quelle méthode) que va faire un pirate:
1- se connecter en ssh avec?
ou
2- prendre sa voiture, aller dans l'entreprise, passer la porte, voler un badge, passer devant les caméras, badger à l'entrée, prendre le poste linux dans l'armoire, le mettre sur un bureau, mettre le mot de passe, et oh malheur à lui, il n'a pas la clé hardware :-( "Blast!", son "evil plan is foiled". (quoique 97% des gens laissent la clé avec le PC d'ailleurs…)
Mais c'est pas pareil, euh.
ah non. C'est comme la borne wifi open qui émet. Personne ne sait qui c'est. Mais c'est "comme ça", faut pas en parler, ça doit sûrement être utile.
C'est une interprétation débile qui conduit à des aberrations en terme de sécurité (coucou la bnp et tes iframes).
Je me demande si c'est pas aussi un appel délirant à des sociétés de consulting, pentesting, analyzing et securing qui rendent à chaque fois un rapport. Le but du pentesteur n'est pas d'auditer une application, c'est de remplir des vulns, pleins de vulns! tout plein. Genre il y a rien, il faut qu'il trouve des vulns quand même.
"Vous administrez votre serveur depuis votre poste? wolalalala! c'est une vuln P1 critical rouge avec mention sur le rapport managérial. Il faut un compte tier1 avec authent mot de passe mini 48 caractères majuscules minuscules symbols pas deux caractères identiques ni de séquences ni de mot du dictionnaire. Ajoutez à ça un OTP 2FA sur smartphone + une clé hardware avec validation et HOTP. Interdisez le copier coller, et faites ça depuis une machine "vault" qui n'a pas d'accès au réseau dans une salle sécurisée."
A force de lire ce genre de trucs débiles un manager quelconque s'émeut que son appli bancaire puisse permettre de transférer de l'argent (si si) donc il faut AJOUTER de la sécurité. Un auditeur repasse ne trouve rien, il est triste, donc il va dire qu'on peut améliorer la sécurité. Il faut maintenant une triple authent saut périlleux arrière vrillé triple lotz. D'un autre côté le market est heureux, ça va fourguer du spyware à tout va et de l'analytics bébé!! Ca le marketing en a rien à foutre de la sécu, mais de la data pour cibler le zozo pour lui vendre une assurance supplémentaire, là, il kiff et il est prêt à dire amen à toutes ces surcouches de sécurité. Une appli? OUI! Un 2FA? Vazy mon gars! Un OTP? Ca le fait!
Bref. Désormais pour payer sur un fuckin site web je dois prendre ma carte, le code, le numéro, le code au dos, mon nom, un code par SMS, un code "payement internet", le mot de passe de mon site web bancaire, etc, etc…
Je suis salé, je viens de relire un rapport de sécu lamentable, mais je sens la douille arriver, on va nous demander d'installer encore une nouvelle appli ou de gestionnaire de mot de passe je sais pas quoi pour avoir une quadruple authent, GG les gars. A côté de ça, le bastion a 42 ports ouverts, tourne sur une redhat 7 à moitié patchée en 8 mais ça, personne s'en émeut. Et vous ça va?
Traditionnellement, le 1er avril on voit fleurir moultes déclarations et informations fracassantes dont le but est de surprendre, faire douter et finalement faire rigoler franchement. Un petit peu de détente ne fait jamais de mal.
Cette année, mais quel désespoir, on a eu droit à linuxfr (woohoo), Jazz a Vienne délocalisé en autriche (à Vienne, huhuhu) mais sinon, c'est le désert, la tristesse.
J'aurai deux théories. La première, c'est qu'on a tellement de dingueries en permanence en ce moment qu'on ne peut plus faire de second degré. Trump annonce 20 ans de prison pour les incendiaires de Tesla, bah franchement, poisson ou pas poisson? Les politiques réclament l'abandon de poursuites judiciaires en réclamant plus de fermeté quand à l'application des peines? beeeeen poisson ou pas? Donc pour un community manager, je crois qu'il est tellement difficile de faire un poisson qu'ils ont sauté l'année.
La deuxième raison est sans doute moins gaie. L'amabiance est tellement à la guerre que personne ne veut rigoler.
Bon, je vous laisse, je dois aller regarder la pluie qui tombe d'un ciel gris et bas pendant que je contemple l'inutilité de ma vie, et bonne journée.
ouais, c'est ça. Si j'ai bien compris, il y a des coins du noyau qui sont moins audités. Genre la gestion des règles nf/iptables, c'est pas super audité parceque seul root peut y accéder, donc même s'il y a une vuln, l'attaquant doit être root pour la jouer, donc il gagne rien.
Avec les namespaces, tu peux taper ces interfaces en étant simple utilisateur. Je dis iptables, mais c'est aussi mount.
Bref, pas besoin de courir les bras en l'air, c'est juste qu'une supposée défense est contournable. Patchons tranquillement dans le calme et la sérénité.
Donc on utilise un namespace dédié qui permet de faire un mount. C'est un peu le but du namespace en fait?
Je comprends toujours pas, mais je dois rater un truc obvious. Dans le namespace les droits sont bien conservés (je peux pas lire /etc/shadow depuis le namespace par exemple). Je peux pas monter le disque /dev/sda pour lire des trucs dessus, je peux pas faire un chmod +s.
pour avoir une réponse dont tu ne connais pas la fiabilité
en vrai, je pense que le site d'origine est moins fiable que chatgpt, comme je le signalais. Après, le résultat n'a aucune importance dans ma vie. Peut-être que Nokia a débuté en construisant un épluche légume, so what?
C'est pratique. C'est pour ça qu'on l'utilise. Après, dans le temps les gens disaient "c'est vrai, c'est tata germaine qui le tient du jean-claude", puis c'est devenu "c'est vrai je l'ai vu aux infos", puis "c'est vrai je l'ai lu sur internet". Maintenant les gens disent "c'est vrai je l'ai lu sur chatgpt".
c'est ptet une évolution. Qu'est ce qui est fiable? Les journalistes qui relatent la dernière dinguerie de trump? Rachelbythebay qui dit qu'atop est malveillant et qu'il faut le désinstaller? que la guerre est pour demain?
J'ai vraiment pas envie de cliquer sur le lien.
Des fois, l'IA c'est pratique:
Alors oui, peut-être que c'est une hallucination de l'IA et que ce n'est pas du papier toilette le premier produit de nokia, mais franchement, ça n'a aucune importance que ce soit vrai ou pas, que l'IA ait halluciné ou pas, que presse citron ait raconté de la merde ou pas. Merci chatgpt \o/
C'est parce que tu ne les cuis pas comme il faut, tes endives, service.
:-o
Je suis preneur de recette, là. Les endives je les aime crues en salade, avec des noix, des pommes granny smith en dés, du fromage, et des ajouts selon la saison ou l'envie du moment: chou rouge (ou blanc) coupé en lanières, cru et croquant, graines diverses, petits croutons.
Pour la sauce, c'est huile d'olive, ou vinaigrette classique, ou vinaigrette allongée de jus d'orange (et faut mettre des agrumes dans la salade d'endives dans ce cas).
-je n'aime pas les endives
-c'est parceque tu ne connais pas un petit producteur qui vient tous les jeudis matin
-j'ai raté ma vie, je suis tordu devant mon PC et j'ai une tendinite, j'ai pris 20kg, je ne m'habille qu'avec des tee-shirts noirs qui ont un dessin incompréhensible pour 99.7% de la population, et je ne connaîtrai jamais l'amour
-mouahahahahaha, t'aurai du faire école de commerce loser!
-mon chat est vraiment pénible
-t'aurais du prendre un chien ou un poisson rouge
Alors, ce n'est pas tout a fait ça. Car là, la puce est accessible par du code. C'est comme si tu disposait d'un terminal sur ton Linux sur un shell restreint… et que tu découvre, qu'il y a d'autres programmes non documentés accessibles… et que ces programmes sont des valgrind/gdb…
gné? As tu juste compris qu'il s'agit de deux systèmes indépendants? C'est vraiment comme si tu as 2 PC côte à côte.
Mais surtout, on peut se demander si l'admin, n'a pas laissé ces programmes parce qu' intrinsèquement, ils contiennent une backdoor pour accéder à ton terminal sans le login/mdp…
J'arrête ici, mais tout est documenté, il y a eu de la recherche, tu peux même download un firmware de puce bluetooth et l'analyser dans son entiereté. Donc en vrai, arrête de te demander, analyse le firmware, trouve une backdoor et annonce le au monde! Puisque tu es persuadé que ça cache un truc, tu as tout ce qu'il faut pour le prouver, en avant!
Tu as mon mot de passe linuxfr ? Tu ne pourra pas le réutiliser ailleurs.
ben en soi, c'est déjà un problème? Le pirate qui a accès à 1 site ça m'ennuie. Surtout si c'est celui de ma boite mail, il a accès à quasiment tous mes mdp via les formulaires de réinitialisation.
Le second facteur peut aussi être compromis, mais on imagine peut probable qu’un attaquant arrive à casser les 2 simultanément.
Pas besoin.
Cas 1:
Le site est tellement nul que le pirate l'a rooté dans tous les sens, il a déjà accès à tes données, le mdp 2FA t'aide pas, c'est trop tard.
Cas 2:
Tu t'es fait voler ton mot de passe par un formulaire de phishing, rien n'empêche le formulaire de phishing de te demander ton 2FA, tu lui donnes, le pirate a accès au site.
C’est l’idée de passkey (qui reprend si j’ai bien compris l’authentification par clef comme on peut utiliser avec SSH) depuis 3 ans.
Sauf que ça marche pas. Je veux accéder à linuxfr depuis mon ordi de boulot, mon smartphone, l'ordi perso et des fois un ordi de passage. Je vais pas me promener avec une clé USB contenant tous mes cert avec mes clés.
Et non l’authentification TLS est très mal géré par les navigateurs
wut? Ca marche super bien. Tu as un cert client, tu t'auth sans rien faire \o/ (ok ok, faut le mettre en place), mais c'est pénible quand tu changes de PC, cf point au dessus.
Donc maintenant on a un protocole utilisable, il faut juste y passer mais ça a de l’inertie.
Franchement, je sais pas s'il y a une solution. Faut t'authentifier, et quelle que soit la solution choisie, y'aura toujours une partie humaine qui intervient, et qui sera faillible.
Avoir une bonne politique de mot de passe permet non seulement de mitiger les problèmes de sites qui font des choix discutables, mais aussi ceux codé avec les pieds (genre stockage de mot de passe en clair) et ceux qui se font voler leur base de mot de passe.
Je suis pas sûr de comprendre? Mon mot de passe fait 97 caractères avec des majs, des mins, des chiffres et des symboles, mais la base de mot de passe stockée en clair a fuitée. Le pirate a donc accès à mon mot de passe. Je vois pas comment ma politique a mitigé (?) le problème?
À noter que l’usage d’un second facteur endigue le problème.
A se demander à quoi sert le mot de passe du coup.
C'est un peu comme si tu avais mis en place des couches d'abstraction et un MAC, et que d'un coup, tu découvres qu'un gbd dans un container Docker permet de lire et d'écrire dans la RAM du kernel hôte tout en contournant tranquillement SELinux.
Alors non. Et c'est pour ça que l'histoire a fait un flop. le gdb que tu as trouvé dans ton docker permet d'écrire dans la mémoire de ton docker et c'est tout.
Faut vraiment voir la puce bluetooth comme un ordinateur à part entière (c'est souvent un CPU ARM) avec de la RAM, une unité de stockage et un bus de communication.
Ce qu'ils ont trouvé, c'est uniquement dans la puce bluetooth. Jamais ils ont dit que tu peux pirater l'hôte.
Osons un autre parallèle, c'est comme si tu disais: j'ai un gdb sur un firefox, est-ce que ça veut dire que je peux pirater le serveur apache? Ca parait osé quand même.
Des commandes de debug c'est généralement pour tester des fonctions sans passer par toutes la pile habituelle et voir le résultat facilement. On imagine bien que ça peut souvent avoir des conséquences sur la sécurité.
Nan, faut vraiment voir ça comme un gdb. Je fais un parallèle: c'est comme si là, les chercheurs découvrent qu'un linux embarque un gdb dans leut distribution. Et ils disent y'a une backdoor, parcequ'avec gdb, on peut modifier des registres CPU, lire la mémoire des programmes, l'écrire etc..
Je me base sur l'analyse dans l'article de "dark mentor" mentionné par Benoît. Il y est expliqué entre autres que ça affaibli les fonctions comme Secureboot, par exemple.
Si je ne m'abuse, c'est le secureboot du chip, hein, pas de ton ordinateur. Donc éventuellement, ton chip bluetooth peut voir sa chaine de boot pétée, et démarrer un firmware arbitraire.
Firmware qui lui donne le droit d'envoyer des trames bluetooth mal branlées vers d'autres puces bluetooth, ou remonter des infos mal fichues vers ton hôte. Si ton hôte (ton kernel linux donc) est pas trop mal fichu, il va gérer ces situations très bien en droppant ces infos. Imagine une carte réseau qui remonte des trames n'importe comment, ton kernel va drop les trames et c'est tout.
Dans le cadre d'un scénario d'attaque: pour exploiter ces commundes, il faut déjà être en mesure d'exécuter du code sur la puce.
Ce sont des commandes hci, non? Donc avoir déjà un gros niveau de privlèges sur l'hôte qui communique avec la puce BT.
il pourrait trouver un moyen d'exploiter ces commandes pour, peut-être, réussir à injecter du code quelque part
Il utiliserait ces commandes pour analyser le firmware et trouver une vuln dans le firmware de la puce BT. Ce sont des commandes de DEBUG, donc depuis un hôte privilégié (genre faut être root quoi), tu va pouvoir accéder à des infos sur le chip BT.
Avec une chance absolument énorme (et beaucoup de travail), il trouverait une vuln qui permettrait, en envoyant des trames BT, de prendre le contrôle de la puce BT (et ça j'y crois pas trop). Et ensuite, ben il est root d'un chip wifi, et il va falloir basculer depuis le chip wifi sur l'hôte pour obtenir un truc intéressant. Bref, en tant qu'attaquant tu passes de trois fois rien à pas grand chose.
Je n'ai jamais observé ça. C'est quoi zefklop ? Un exemple concret, pas inventé, permettrait d'évaluer la situation correctement et objectivement.
tor
Y'a un tor.service et un tor@default.service. Encore une syntaxe à apprendre (mais pourquoi le arobase?? quel est le sens de tout ceci?), il y a surement une bonne explication à ce truc qui me paraît initialement incompréhensible.
Bon, rarement quand-même, il y a souvent une bonne explication à un truc qui nous parait initialement incompréhensible.
Oui, mais on est pas forcément d'accord avec ces justifications.
C'est sûr que si tu prends les dev pour des adversaires, la vie va être triste.
I'm my worst enemy, muhahahaha!!!
Propose aussi simple avec les outils Unix traditionnels.
tail -f /var/log/messages | grep zefklop
En fait, je pense qu'il y a pas vraiment de solution. Je vais continuer de rager dans mon coin tel un vieux boomer qui râle en disant que de son temps les trains arrivaient à l'heure et les prix ne dépendaient que de la distance, et je suis entouré de gens qui vont me dire que non non vieux boomer c'est mieux avec la nouvelle tarification et que j'ai le choix entre uber et blablacar. systemd fait plein de trucs géniaux, j'ai toujours pas compris (enfin si j'ai très bien compris, mais ce ne sont pas des problèmes pour moi) quels problèmes ça résoud et quel génie Lennart est.
Je vais m'en retourner à mon service de tartiflette on premise, parceque l'heure tourne (déjà midi passé! :o )et que j'ai faim.
[^] # Re: L'essentiel en français
Posté par octane . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 7 (+5/-0). Dernière modification le 16 avril 2025 à 14:36.
Je suis mitigé. CVE avait plein de problèmes, mais un gros avantage: il y avait un id unique pour les bugs.
Là, je sens venir le truc bien pénible. Genre la faille gcve-2025-12345 faut la corriger? Parceque redhat, qui est CNA, l'a assigné redhat-2025-54321 impactant drupal, alors qu'il s'agit d'un bug d'authent dans la lib php nommé php-errata-pre-8.52. Sauf que mon dahsboard indique que apache n'est pas en dernière version car le bug cve-canal-historique-2025-543210 est censé corriger la faille drupal. Du côté de chez drupal, ils ont choisi une convention de nommage différente, mais ils ne communiquent pas sur celui-ci car le bug impacte un module tierce partie qui n'est pas dans leur codebase.
Le développeur de la lib incriminé a froze son projet et communiqué en disant "j'ai perdu les clés github pour push du code et je m'en bat les steaks". Côté éditeur de WAF ils ont choisi de la nommer drupal-severity-low-update-001-2025 parcequ'un gugus sur reddit a dit que c'était grave et que le market doit justifier auprès des actionnaires du nombre de vulns corrigées (le nombre importe peu, il suffit qu'il soit supérieur à celui du concurrent).
Debian décide de push un update deb-quilt-updat0-php-sourcee, mais associe dedans l'ensemble des correctifs de la lib php ce qui couvre aussi un module WordPress, car entretemps, on s'est rendu compte qu'un coréen avait porté le module drupal sous Wordpress. Mais là, un pirate s'amuse et deface des sites wordpress en mettant une image de kiwi (l'animal, pas le fruit) donc la presse se met à parler de la faille "kiwi" et le gouvernement néo zélandais s'insurge et demande de communiquer sur cette faille par son numéro wordpress-0002 afin d'éviter des amalgames pénibles.
Bref. CVE c'était pas pratique, mais ça avait un avantage certain.
[^] # Re: Pure communication politique
Posté par octane . En réponse au lien L’interdiction des smartphones au collège devrait être généralisée à la rentrée. Évalué à 10 (+10/-0).
Je rajoute une pièce. Source: mes neveux.
Les profs disent que le portable est interdit. Très bien.
cours d'histoire: regardez ce "c'est pas sorcier, il est dispo sur youtube."
cours de math: je vous file ce soir le corrigé sur ecoledirecte.
cours de techno: "sortez vos téléphones, on va chercher un truc sur chatgpt, c'est génial vous allez voir"
cours de bio: "ce soir vous regarderez la vidéo youtube machin"
cours de physique: "il y a une simulation sur le site mahcin.edu, allez la regarder ce soir, et faites les exos"
cours de français: "vous me rendrez le devoir sur word"
cours de musique: "pour la chanson du jour vous me faites un powerpoint".
Rendez vous parents-profs: "les élèves passent trop de temps derrière les écrans, c'est krokrobizarre".
Mes neveux sont morts de rire, ils ont trouvé un moyen de regarder youtube sans passer par familylink (c'est pas moi j'ai rien dit), et ils comprennent pas trop pourquoi personne veut les laisser écouter de la zik, lire des webtoons et rouiller devant des shorts. La désinformation sur facebook ou twitter, ils s'en foutent, ils sont pas dessus.
[^] # Re: Atomique ?
Posté par octane . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 3 (+2/-1).
Un système (windows, mac, linux) et des applications (firefox, openoffice, vi, etc..), c'est au contraire d'une simplicité désarmante. Dire que tout est pareil et doit être traité pareil, ça n'amène que de la confusion.
Des fois j'aime bien BSD pour ça: un système homogène, et des ports. Quelque fois j'aimerai un système à l'android: le système se met à jour de manière un peu magique, de temps en temps il couine en disant "met moi à jour, gros", et à côté de ça j'installe des applis sans me poser des questions depuis un store. Indépendemment de la mise à jour. Je veux une appli todo list, je cherche todolist dans le store, je clique, ça marche.
Parceque bon, pitié quoi, mais t'installes un truc avec apt-get et ça te conseille d'installer libtruc et donner les droits root et/ou au passage te demande d'activer les statistiques d'utilisations des logiciels avec un message qui te dit que t'as eu beau faire apt-get update && apt-get upgrade le paquet linux-image sera pas mis à jour parceque lol.
Que tu te dis tiens j'installe une calculette et que ça te tire l'intégralité de gnome avec, oué, il y a un problème et les gens préfèrent snap.
Franchement, je veux un bouton "mise à jour" et un équivalent du store (genre synaptics). Tout le reste devrait être planqué et utilisé par "les gens qui savent (tm)". Tout le reste, c'est du n'importe quoi.
[^] # Re: Une partie de réponse
Posté par octane . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 3 (+1/-0).
Une équipe a une clé hardware avec obligation de faire de la double authent pour se logger sur leur linux en local. Genre ils ouvrent la session, login, pass + clé hardware. Justificatif: si un pirate vole un mot de passe, il y a du 2FA, youhou, la vie est belle, l'entreprise est protégé.
Sauf que ssh est activé sur les postes. Et là, vient la question: si un pirate vole des comptes login+pass (genre phish, ou n'importe quelle méthode) que va faire un pirate:
1- se connecter en ssh avec?
ou
2- prendre sa voiture, aller dans l'entreprise, passer la porte, voler un badge, passer devant les caméras, badger à l'entrée, prendre le poste linux dans l'armoire, le mettre sur un bureau, mettre le mot de passe, et oh malheur à lui, il n'a pas la clé hardware :-( "Blast!", son "evil plan is foiled". (quoique 97% des gens laissent la clé avec le PC d'ailleurs…)
ah non. C'est comme la borne wifi open qui émet. Personne ne sait qui c'est. Mais c'est "comme ça", faut pas en parler, ça doit sûrement être utile.
[^] # Re: Une partie de réponse
Posté par octane . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 10 (+8/-0).
Je me demande si c'est pas aussi un appel délirant à des sociétés de consulting, pentesting, analyzing et securing qui rendent à chaque fois un rapport. Le but du pentesteur n'est pas d'auditer une application, c'est de remplir des vulns, pleins de vulns! tout plein. Genre il y a rien, il faut qu'il trouve des vulns quand même.
"Vous administrez votre serveur depuis votre poste? wolalalala! c'est une vuln P1 critical rouge avec mention sur le rapport managérial. Il faut un compte tier1 avec authent mot de passe mini 48 caractères majuscules minuscules symbols pas deux caractères identiques ni de séquences ni de mot du dictionnaire. Ajoutez à ça un OTP 2FA sur smartphone + une clé hardware avec validation et HOTP. Interdisez le copier coller, et faites ça depuis une machine "vault" qui n'a pas d'accès au réseau dans une salle sécurisée."
A force de lire ce genre de trucs débiles un manager quelconque s'émeut que son appli bancaire puisse permettre de transférer de l'argent (si si) donc il faut AJOUTER de la sécurité. Un auditeur repasse ne trouve rien, il est triste, donc il va dire qu'on peut améliorer la sécurité. Il faut maintenant une triple authent saut périlleux arrière vrillé triple lotz. D'un autre côté le market est heureux, ça va fourguer du spyware à tout va et de l'analytics bébé!! Ca le marketing en a rien à foutre de la sécu, mais de la data pour cibler le zozo pour lui vendre une assurance supplémentaire, là, il kiff et il est prêt à dire amen à toutes ces surcouches de sécurité. Une appli? OUI! Un 2FA? Vazy mon gars! Un OTP? Ca le fait!
Bref. Désormais pour payer sur un fuckin site web je dois prendre ma carte, le code, le numéro, le code au dos, mon nom, un code par SMS, un code "payement internet", le mot de passe de mon site web bancaire, etc, etc…
Je suis salé, je viens de relire un rapport de sécu lamentable, mais je sens la douille arriver, on va nous demander d'installer encore une nouvelle appli ou de gestionnaire de mot de passe je sais pas quoi pour avoir une quadruple authent, GG les gars. A côté de ça, le bastion a 42 ports ouverts, tourne sur une redhat 7 à moitié patchée en 8 mais ça, personne s'en émeut. Et vous ça va?
# super lol, xptdr, rofl et ce genre de chose
Posté par octane . En réponse à la dépêche Nouvelle typologie de comptes LinuxFr.org : segmentation et enrichissement de notre offre. Évalué à 9 (+7/-0).
Note: ceci est un commentaire hyper désabusé.
Traditionnellement, le 1er avril on voit fleurir moultes déclarations et informations fracassantes dont le but est de surprendre, faire douter et finalement faire rigoler franchement. Un petit peu de détente ne fait jamais de mal.
Cette année, mais quel désespoir, on a eu droit à linuxfr (woohoo), Jazz a Vienne délocalisé en autriche (à Vienne, huhuhu) mais sinon, c'est le désert, la tristesse.
J'aurai deux théories. La première, c'est qu'on a tellement de dingueries en permanence en ce moment qu'on ne peut plus faire de second degré. Trump annonce 20 ans de prison pour les incendiaires de Tesla, bah franchement, poisson ou pas poisson? Les politiques réclament l'abandon de poursuites judiciaires en réclamant plus de fermeté quand à l'application des peines? beeeeen poisson ou pas? Donc pour un community manager, je crois qu'il est tellement difficile de faire un poisson qu'ils ont sauté l'année.
La deuxième raison est sans doute moins gaie. L'amabiance est tellement à la guerre que personne ne veut rigoler.
Bon, je vous laisse, je dois aller regarder la pluie qui tombe d'un ciel gris et bas pendant que je contemple l'inutilité de ma vie, et bonne journée.
signé: octane, dans un grand moment joyeux.
[^] # Re: okok
Posté par octane . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 3 (+1/-0).
ouais, c'est ça. Si j'ai bien compris, il y a des coins du noyau qui sont moins audités. Genre la gestion des règles nf/iptables, c'est pas super audité parceque seul root peut y accéder, donc même s'il y a une vuln, l'attaquant doit être root pour la jouer, donc il gagne rien.
Avec les namespaces, tu peux taper ces interfaces en étant simple utilisateur. Je dis iptables, mais c'est aussi mount.
Bref, pas besoin de courir les bras en l'air, c'est juste qu'une supposée défense est contournable. Patchons tranquillement dans le calme et la sérénité.
[^] # Re: okok
Posté par octane . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 2 (+0/-0).
Donc on utilise un namespace dédié qui permet de faire un mount. C'est un peu le but du namespace en fait?
Je comprends toujours pas, mais je dois rater un truc obvious. Dans le namespace les droits sont bien conservés (je peux pas lire /etc/shadow depuis le namespace par exemple). Je peux pas monter le disque /dev/sda pour lire des trucs dessus, je peux pas faire un chmod +s.
Je relis l'adviso, mais je comprends pas.
# okok
Posté par octane . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 4 (+2/-0).
Je ne comprends pas trop le poc final (?)
et donc, on a fait un bind mount? je ne vois pas ce qu'il fait avec ça (???)
[^] # Re: alors
Posté par octane . En réponse au lien Qu l'eut cru : les débuts de Nokia. Évalué à 2 (+1/-1).
ouais
en vrai, je pense que le site d'origine est moins fiable que chatgpt, comme je le signalais. Après, le résultat n'a aucune importance dans ma vie. Peut-être que Nokia a débuté en construisant un épluche légume, so what?
C'est pratique. C'est pour ça qu'on l'utilise. Après, dans le temps les gens disaient "c'est vrai, c'est tata germaine qui le tient du jean-claude", puis c'est devenu "c'est vrai je l'ai vu aux infos", puis "c'est vrai je l'ai lu sur internet". Maintenant les gens disent "c'est vrai je l'ai lu sur chatgpt".
c'est ptet une évolution. Qu'est ce qui est fiable? Les journalistes qui relatent la dernière dinguerie de trump? Rachelbythebay qui dit qu'atop est malveillant et qu'il faut le désinstaller? que la guerre est pour demain?
[^] # Re: alors
Posté par octane . En réponse au lien Qu l'eut cru : les débuts de Nokia. Évalué à -1 (+1/-4).
J'ai vraiment pas envie de cliquer sur le lien.
Des fois, l'IA c'est pratique:
Alors oui, peut-être que c'est une hallucination de l'IA et que ce n'est pas du papier toilette le premier produit de nokia, mais franchement, ça n'a aucune importance que ce soit vrai ou pas, que l'IA ait halluciné ou pas, que presse citron ait raconté de la merde ou pas. Merci chatgpt \o/
[^] # Re: gros boulet
Posté par octane . En réponse au lien Un dessin humoristique de Boulet sur l'entraide technique [date de 2023]. Évalué à 4 (+2/-0).
:-o
Je suis preneur de recette, là. Les endives je les aime crues en salade, avec des noix, des pommes granny smith en dés, du fromage, et des ajouts selon la saison ou l'envie du moment: chou rouge (ou blanc) coupé en lanières, cru et croquant, graines diverses, petits croutons.
Pour la sauce, c'est huile d'olive, ou vinaigrette classique, ou vinaigrette allongée de jus d'orange (et faut mettre des agrumes dans la salade d'endives dans ce cas).
[^] # Re: gros boulet
Posté par octane . En réponse au lien Un dessin humoristique de Boulet sur l'entraide technique [date de 2023]. Évalué à 2 (+0/-0).
et y'a plein d'autres
-je n'aime pas les endives
-c'est parceque tu ne connais pas un petit producteur qui vient tous les jeudis matin
-j'ai raté ma vie, je suis tordu devant mon PC et j'ai une tendinite, j'ai pris 20kg, je ne m'habille qu'avec des tee-shirts noirs qui ont un dessin incompréhensible pour 99.7% de la population, et je ne connaîtrai jamais l'amour
-mouahahahahaha, t'aurai du faire école de commerce loser!
-mon chat est vraiment pénible
-t'aurais du prendre un chien ou un poisson rouge
etc etc..
[^] # Re: gros boulet
Posté par octane . En réponse au lien Un dessin humoristique de Boulet sur l'entraide technique [date de 2023]. Évalué à 2 (+0/-0).
Et c'est tellement dépendant du contexte
-tu connais le chemin pour aller au mcdo le plus proche?
-bah laisse, c'est dégueulasse, va plutôt prendre un sandwich à cette boulangerie
-je suis allé en vacances dans le pays XXX, et j'ai choppé une gastro
-bah oui, fallait aller à YYY. Et en plus t'aurais pas pollué, sale capitaliste
-ma facture de gaz augment, je sais pas quoi faire
-bah si t'avais pris des granulés comme je t'avais dit y'a 3 ans..
[^] # Re: Réponse d’espressif
Posté par octane . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 4 (+2/-0).
gné? As tu juste compris qu'il s'agit de deux systèmes indépendants? C'est vraiment comme si tu as 2 PC côte à côte.
J'arrête ici, mais tout est documenté, il y a eu de la recherche, tu peux même download un firmware de puce bluetooth et l'analyser dans son entiereté. Donc en vrai, arrête de te demander, analyse le firmware, trouve une backdoor et annonce le au monde! Puisque tu es persuadé que ça cache un truc, tu as tout ce qu'il faut pour le prouver, en avant!
[^] # Re: FUD ?
Posté par octane . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 1 (+1/-2).
ben en soi, c'est déjà un problème? Le pirate qui a accès à 1 site ça m'ennuie. Surtout si c'est celui de ma boite mail, il a accès à quasiment tous mes mdp via les formulaires de réinitialisation.
Pas besoin.
Cas 1:
Le site est tellement nul que le pirate l'a rooté dans tous les sens, il a déjà accès à tes données, le mdp 2FA t'aide pas, c'est trop tard.
Cas 2:
Tu t'es fait voler ton mot de passe par un formulaire de phishing, rien n'empêche le formulaire de phishing de te demander ton 2FA, tu lui donnes, le pirate a accès au site.
[^] # Re: FUD ?
Posté par octane . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 4 (+2/-0).
Sauf que ça marche pas. Je veux accéder à linuxfr depuis mon ordi de boulot, mon smartphone, l'ordi perso et des fois un ordi de passage. Je vais pas me promener avec une clé USB contenant tous mes cert avec mes clés.
wut? Ca marche super bien. Tu as un cert client, tu t'auth sans rien faire \o/ (ok ok, faut le mettre en place), mais c'est pénible quand tu changes de PC, cf point au dessus.
Franchement, je sais pas s'il y a une solution. Faut t'authentifier, et quelle que soit la solution choisie, y'aura toujours une partie humaine qui intervient, et qui sera faillible.
[^] # Re: FUD ?
Posté par octane . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 3 (+2/-1).
Je suis pas sûr de comprendre? Mon mot de passe fait 97 caractères avec des majs, des mins, des chiffres et des symboles, mais la base de mot de passe stockée en clair a fuitée. Le pirate a donc accès à mon mot de passe. Je vois pas comment ma politique a mitigé (?) le problème?
A se demander à quoi sert le mot de passe du coup.
[^] # Re: bah oui
Posté par octane . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 2 (+0/-0).
chez eux, c'est en clair, mais j'espère qu'ils rechiffrent entre eux et le serveur final :-o
[^] # Re: FUD ?
Posté par octane . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 9 (+7/-0).
c'était cloudflare: https://fr.wikipedia.org/wiki/Cloudbleed
[^] # Re: Réponse d’espressif
Posté par octane . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 4 (+2/-0).
Alors non. Et c'est pour ça que l'histoire a fait un flop. le gdb que tu as trouvé dans ton docker permet d'écrire dans la mémoire de ton docker et c'est tout.
Faut vraiment voir la puce bluetooth comme un ordinateur à part entière (c'est souvent un CPU ARM) avec de la RAM, une unité de stockage et un bus de communication.
Ce qu'ils ont trouvé, c'est uniquement dans la puce bluetooth. Jamais ils ont dit que tu peux pirater l'hôte.
Osons un autre parallèle, c'est comme si tu disais: j'ai un gdb sur un firefox, est-ce que ça veut dire que je peux pirater le serveur apache? Ca parait osé quand même.
[^] # Re: Réponse d’espressif
Posté par octane . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 3 (+1/-0).
Nan, faut vraiment voir ça comme un gdb. Je fais un parallèle: c'est comme si là, les chercheurs découvrent qu'un linux embarque un gdb dans leut distribution. Et ils disent y'a une backdoor, parcequ'avec gdb, on peut modifier des registres CPU, lire la mémoire des programmes, l'écrire etc..
[^] # Re: Réponse d’espressif
Posté par octane . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 3 (+1/-0).
Si je ne m'abuse, c'est le secureboot du chip, hein, pas de ton ordinateur. Donc éventuellement, ton chip bluetooth peut voir sa chaine de boot pétée, et démarrer un firmware arbitraire.
Firmware qui lui donne le droit d'envoyer des trames bluetooth mal branlées vers d'autres puces bluetooth, ou remonter des infos mal fichues vers ton hôte. Si ton hôte (ton kernel linux donc) est pas trop mal fichu, il va gérer ces situations très bien en droppant ces infos. Imagine une carte réseau qui remonte des trames n'importe comment, ton kernel va drop les trames et c'est tout.
[^] # Re: Réponse d’espressif
Posté par octane . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 8 (+6/-0).
Ce sont des commandes hci, non? Donc avoir déjà un gros niveau de privlèges sur l'hôte qui communique avec la puce BT.
Il utiliserait ces commandes pour analyser le firmware et trouver une vuln dans le firmware de la puce BT. Ce sont des commandes de DEBUG, donc depuis un hôte privilégié (genre faut être root quoi), tu va pouvoir accéder à des infos sur le chip BT.
Avec une chance absolument énorme (et beaucoup de travail), il trouverait une vuln qui permettrait, en envoyant des trames BT, de prendre le contrôle de la puce BT (et ça j'y crois pas trop). Et ensuite, ben il est root d'un chip wifi, et il va falloir basculer depuis le chip wifi sur l'hôte pour obtenir un truc intéressant. Bref, en tant qu'attaquant tu passes de trois fois rien à pas grand chose.
Si ça intéresse des gens, je ne peux que les inviter à lire https://github.com/seemoo-lab/internalblue c'est super bien expliqué.
[^] # Re: C'est pas que je veuille cramer systemd, mais ...
Posté par octane . En réponse au lien 14 ans de systemd. Évalué à 2 (+2/-2).
tor
Y'a un tor.service et un tor@default.service. Encore une syntaxe à apprendre (mais pourquoi le arobase?? quel est le sens de tout ceci?), il y a surement une bonne explication à ce truc qui me paraît initialement incompréhensible.
Oui, mais on est pas forcément d'accord avec ces justifications.
I'm my worst enemy, muhahahaha!!!
tail -f /var/log/messages | grep zefklop
En fait, je pense qu'il y a pas vraiment de solution. Je vais continuer de rager dans mon coin tel un vieux boomer qui râle en disant que de son temps les trains arrivaient à l'heure et les prix ne dépendaient que de la distance, et je suis entouré de gens qui vont me dire que non non vieux boomer c'est mieux avec la nouvelle tarification et que j'ai le choix entre uber et blablacar. systemd fait plein de trucs géniaux, j'ai toujours pas compris (enfin si j'ai très bien compris, mais ce ne sont pas des problèmes pour moi) quels problèmes ça résoud et quel génie Lennart est.
Je vais m'en retourner à mon service de tartiflette on premise, parceque l'heure tourne (déjà midi passé! :o )et que j'ai faim.