Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.
Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).
Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.
Bref, beaucoup de bruit marketing, peu d'infos techniques.
qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.
Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.
PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:
# Prints the message of the day upon successful login.
# (Replaces the `MOTD_FILE' option in login.defs)
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session optional pam_motd.so motd=/run/motd.dynamic
session optional pam_motd.so noupdate
Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.
C'est en contradiction avec ce qui est dit:
Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.
genre le "traditional tool" apt ou rpm?
Pour l'instant, je m'inquiéterai pas trop en fait.
C'est marrant on m'a posé la même question, et j'ai eu du mal à y répondre.
Tu peux être utilisateur de l'informatique, tu vas utiliser un logiciel de dessin pour dessiner, un traitement de texte pour écrire, des jeux pour jouer. C'est assez simple: un outil qui répond à un besoin: "Tu veux planter un clou, utilises un marteau"
Une fois que la personne a spécifié son besoin, il est possible d'y répondre.
Sauf que l'info, c'est pas que ça. Tu peux programmer (au sens large, hein, ça va du script à l'admin sys), et là, ben y'a pas vraiment de réponse. Avec l'informatique, tu peux créer un "truc" qui ve faire des "trucs". Comme si tu disais "je veux planter un clou" et qu'on te réponde que tu peux aller miner du charbon pour faire fondre du métal qui te donnera une scie pour aller usiner le manche du futur marteau pour planter ton clou, sauf qu'en plus les gens ne savent pas qu'ils veulent planter un clou, ils veulent construire une maison en bois. L'informatique c'est assez généraliste, tu l'utilises pour construire quelque chose qui va répondre au besoin.
Du coup, c'est pas simple à expliquer. Souvent je propose un gens un truc en programmation simple, comme "fais un jeu texte simple où tu dois trouver le chiffre entre 1 et 100" et les gens répondent qu'ils voudraient plutôt faire un jeu en 3D.
que tu dois le rentenir. Si tu peux copier coller, tu risques de faire une erreur: tu veux taper "password123" tu écris "pzssword123", tu copies-colles dans le 2 champ, ton mdp est créé. Tu fermes la session, le lendemain tu tapes avec attention "password123" et ça marche pas… Si y'a 2 champs, c'est pour valider l'un par rapport à l'autre, c'est pas pour vérifier si tu sais copier-coller.
C'est la seule raison vaguement valable que j'ai entendu, et je la trouve pourrie.
Autorisez le copier coller, ou mieux, ne demandez qu'une fois un mdp à la création
J'ai l'impression qu'elle est bonne seulement si l'attaquant n'a pas une stratégie dédiée à ce type de mots de passes.
Il vaut mieux considérer que l'attaquant est intelligent. Si l'attaquant est bête, alors n'importe quel mot de passe est bon.
Avec un algo qui priorise la fréquence des mots, on peut quand même espérer dans la plupart des cas tomber sur les bons mots au début de la recherche,
intéressant. Après, il faut certes pas mettre linuxordinateurclaviermotdepasse, mais je pense que tartiflettegratinpatatepurée est moins fréquent.
Bien sûr mon raisonnement ne vaut que si l'attaquant connait la stratégie utilisée pour le mot de passe et tente un algorithme spécifique.
Oui. On peut passer des jours entiers à dériver les mots de passe du dictionnaire et passer à côté d'un mot de passe avec 4 lettres et 2 chiffres. Et ce qui est évident pour certaines personnes l'est moins pour d'autres. Et des stratégies dépendent de paramètres étranges: par exemple john the ripper a une stratégie qui consiste à décaler les lettres d'un cran sur le clavier physique: le z devient un a, le k devien un j, le n devient un b etc… Il suffit d'utiliser un clavier fr au lieu de us pour que cette règle de john ne trouve pas ton mdp :-)
Ce qui nous ramène toujours au même problème: qu'est ce qu'un bon mot de passe? :-)
Je pense que ce genre d'article et d'essais, outre que c'est un marronnier, est une bonne façon de faire parler de soi :-)
oui, si tu veux parler de sécu info (et qu'on t'écoutes), t'as qu'a parler des mots de passe.
Après, le mot de passe, malgré ses défauts reste tout le même le truc le plus pratique et le plus facile à modifier.
ouais, mais par quoi le remplacer? Ca devient vraiment n'importe quoi. Tu changes de société on te file un téléphone d'entreprise, et vla le défilé:
- quel mdp pour la SIM
- quel mot de passe pour le déverrouillage
- quel mot de passe pour gmail
- quelles questions de sécurité?
- quel mot de passe pour ton appli métier
- quel mot de passe pour ton accès distant d'entreprise
- quel mot de passe pour la messagerie d'entreprise outlook
- quel mot de passe pour authenticator
- quel mot de passe pour le site corpo
Au bout de 25 minutes on t'a demandé tellement de mot de passes que je défie quiconque de ne pas en avoir oublié un ou de ne pas avoir mis le même partout
Je suis toujours mitigé face à ces tableaux. Celui-ci précise le hashage utilisé, bcrypt (mais seulement 10 rounds? De mémoire je crois que c'est vraiment le minimum acceptable). On a également la carte graphique utilisé, c'est bien.
Maintenant, on a juste un cassage en bruteforce. Encore une fois, c'est bien, maaaaaaais c'est pas suffisant. Par exemple, le mot de passe "Soleil123" est considéré cassable en 3000 ans. (c'est faux)
Premier cas: j'utilise un mdp sur un site on-line qui limite le nombre de tentatives de connexions, tu n'auras jamais cassé mon mdp en + de 3000 ans.
Second cas: tu as à dispo la base de hash, un dico, et des règles, le mdp se casse en quelques secondes/minutes.
Bref, les mots de passe, c'est nul, c'est pourri, ça a plein de défauts, mais on a du mal à s'en passer. Sooner or later, tu utilises un mot de passe.
Alors, il y a sans doute déjà des doublons vu que justement, Red Hat et d'autres sont capable d'assigner des numéros via leur rôle de CNA.
CVE était censé préallouer des numéros pour chaque CNA afin d'éviter que le même numéro soit donné à deux vulns différentes.
Dans le cas ou doublon s'applique à la même vukn sous deux numéros, pourquoi pas, en imaginant que chercheur A remonte à redhat et chercheur B à canonical par exemple. Dans les faits, ce n'est pas très génant. Cela arrive aussi quand une vuln a deux CVE (auth bypass + code exec par exemple). Deux vulns, un produit, un seul correctif.
La question du score est aussi déjà un souci
ouais, mais là, c'est plus CVE, c'est cvss. Et ça fait partie des défauts. La manière de scorer change beaucoup. J'ai fait suffisamment de pentest pour savoir que le scoring est extrêmement souple. Le client veut tout plus bas que 7? pas de soucis. Le management râle et veut que tout soit à plus de 8? vazy mon gars.
la majeur partie des failles n'ont pas d'exploitation
pas d'exploitation ou pas de code d'exploitation public?
Ca dépend ce qu'on appelle exploitation. Une vuln qui permet de faire une SQLi sur un site web, c'est une exploit ou pas? (hint: ça peut dépendre de la base de son schéma, et des droits associés). Un heap overflow dans Chrome, c'est exploitable? Il te faudra pas mal de semaines de dev pour y répondre.
Travailler sur une vuln publiquement connue, qui a de grandes chances d'être patchée alors qu'on dev un poc d'exploit? Sérieusment? Alors oui, si la vuln est trivialement exploitable, pourquoi pas, sinon, mieux vaut chercher + pertinent. Et je parle pas des vulns inintéressantes (Dos, etc..)
Je suis mitigé. CVE avait plein de problèmes, mais un gros avantage: il y avait un id unique pour les bugs.
Là, je sens venir le truc bien pénible. Genre la faille gcve-2025-12345 faut la corriger? Parceque redhat, qui est CNA, l'a assigné redhat-2025-54321 impactant drupal, alors qu'il s'agit d'un bug d'authent dans la lib php nommé php-errata-pre-8.52. Sauf que mon dahsboard indique que apache n'est pas en dernière version car le bug cve-canal-historique-2025-543210 est censé corriger la faille drupal. Du côté de chez drupal, ils ont choisi une convention de nommage différente, mais ils ne communiquent pas sur celui-ci car le bug impacte un module tierce partie qui n'est pas dans leur codebase.
Le développeur de la lib incriminé a froze son projet et communiqué en disant "j'ai perdu les clés github pour push du code et je m'en bat les steaks". Côté éditeur de WAF ils ont choisi de la nommer drupal-severity-low-update-001-2025 parcequ'un gugus sur reddit a dit que c'était grave et que le market doit justifier auprès des actionnaires du nombre de vulns corrigées (le nombre importe peu, il suffit qu'il soit supérieur à celui du concurrent).
Debian décide de push un update deb-quilt-updat0-php-sourcee, mais associe dedans l'ensemble des correctifs de la lib php ce qui couvre aussi un module WordPress, car entretemps, on s'est rendu compte qu'un coréen avait porté le module drupal sous Wordpress. Mais là, un pirate s'amuse et deface des sites wordpress en mettant une image de kiwi (l'animal, pas le fruit) donc la presse se met à parler de la faille "kiwi" et le gouvernement néo zélandais s'insurge et demande de communiquer sur cette faille par son numéro wordpress-0002 afin d'éviter des amalgames pénibles.
Bref. CVE c'était pas pratique, mais ça avait un avantage certain.
Partout où je suis allé il y avait toujours une alternative à l'application.
Je rajoute une pièce. Source: mes neveux.
Les profs disent que le portable est interdit. Très bien.
cours d'histoire: regardez ce "c'est pas sorcier, il est dispo sur youtube."
cours de math: je vous file ce soir le corrigé sur ecoledirecte.
cours de techno: "sortez vos téléphones, on va chercher un truc sur chatgpt, c'est génial vous allez voir"
cours de bio: "ce soir vous regarderez la vidéo youtube machin"
cours de physique: "il y a une simulation sur le site mahcin.edu, allez la regarder ce soir, et faites les exos"
cours de français: "vous me rendrez le devoir sur word"
cours de musique: "pour la chanson du jour vous me faites un powerpoint".
Rendez vous parents-profs: "les élèves passent trop de temps derrière les écrans, c'est krokrobizarre".
Mes neveux sont morts de rire, ils ont trouvé un moyen de regarder youtube sans passer par familylink (c'est pas moi j'ai rien dit), et ils comprennent pas trop pourquoi personne veut les laisser écouter de la zik, lire des webtoons et rouiller devant des shorts. La désinformation sur facebook ou twitter, ils s'en foutent, ils sont pas dessus.
Ah, parce que ça va avec le concept de système vs applications. Typiquement le genre de truc que je n'ai jamais réussi à comprendre et qui à mon sens ne fait qu'ajouter de la complexité.
Un système (windows, mac, linux) et des applications (firefox, openoffice, vi, etc..), c'est au contraire d'une simplicité désarmante. Dire que tout est pareil et doit être traité pareil, ça n'amène que de la confusion.
Des fois j'aime bien BSD pour ça: un système homogène, et des ports. Quelque fois j'aimerai un système à l'android: le système se met à jour de manière un peu magique, de temps en temps il couine en disant "met moi à jour, gros", et à côté de ça j'installe des applis sans me poser des questions depuis un store. Indépendemment de la mise à jour. Je veux une appli todo list, je cherche todolist dans le store, je clique, ça marche.
Parceque bon, pitié quoi, mais t'installes un truc avec apt-get et ça te conseille d'installer libtruc et donner les droits root et/ou au passage te demande d'activer les statistiques d'utilisations des logiciels avec un message qui te dit que t'as eu beau faire apt-get update && apt-get upgrade le paquet linux-image sera pas mis à jour parceque lol.
Que tu te dis tiens j'installe une calculette et que ça te tire l'intégralité de gnome avec, oué, il y a un problème et les gens préfèrent snap.
S'il y a bien un truc que je trouve super sous Debian et autres, c'est bien le fait que tout, y compris le noyau et la libc, vient de paquets qui se gèrent de la même façon.
Franchement, je veux un bouton "mise à jour" et un équivalent du store (genre synaptics). Tout le reste devrait être planqué et utilisé par "les gens qui savent (tm)". Tout le reste, c'est du n'importe quoi.
Ce qui risque de fragiliser la sécurité en complexifiant les accès au truc sécurisé. Bravo !
Une équipe a une clé hardware avec obligation de faire de la double authent pour se logger sur leur linux en local. Genre ils ouvrent la session, login, pass + clé hardware. Justificatif: si un pirate vole un mot de passe, il y a du 2FA, youhou, la vie est belle, l'entreprise est protégé.
Sauf que ssh est activé sur les postes. Et là, vient la question: si un pirate vole des comptes login+pass (genre phish, ou n'importe quelle méthode) que va faire un pirate:
1- se connecter en ssh avec?
ou
2- prendre sa voiture, aller dans l'entreprise, passer la porte, voler un badge, passer devant les caméras, badger à l'entrée, prendre le poste linux dans l'armoire, le mettre sur un bureau, mettre le mot de passe, et oh malheur à lui, il n'a pas la clé hardware :-( "Blast!", son "evil plan is foiled". (quoique 97% des gens laissent la clé avec le PC d'ailleurs…)
Mais c'est pas pareil, euh.
ah non. C'est comme la borne wifi open qui émet. Personne ne sait qui c'est. Mais c'est "comme ça", faut pas en parler, ça doit sûrement être utile.
C'est une interprétation débile qui conduit à des aberrations en terme de sécurité (coucou la bnp et tes iframes).
Je me demande si c'est pas aussi un appel délirant à des sociétés de consulting, pentesting, analyzing et securing qui rendent à chaque fois un rapport. Le but du pentesteur n'est pas d'auditer une application, c'est de remplir des vulns, pleins de vulns! tout plein. Genre il y a rien, il faut qu'il trouve des vulns quand même.
"Vous administrez votre serveur depuis votre poste? wolalalala! c'est une vuln P1 critical rouge avec mention sur le rapport managérial. Il faut un compte tier1 avec authent mot de passe mini 48 caractères majuscules minuscules symbols pas deux caractères identiques ni de séquences ni de mot du dictionnaire. Ajoutez à ça un OTP 2FA sur smartphone + une clé hardware avec validation et HOTP. Interdisez le copier coller, et faites ça depuis une machine "vault" qui n'a pas d'accès au réseau dans une salle sécurisée."
A force de lire ce genre de trucs débiles un manager quelconque s'émeut que son appli bancaire puisse permettre de transférer de l'argent (si si) donc il faut AJOUTER de la sécurité. Un auditeur repasse ne trouve rien, il est triste, donc il va dire qu'on peut améliorer la sécurité. Il faut maintenant une triple authent saut périlleux arrière vrillé triple lotz. D'un autre côté le market est heureux, ça va fourguer du spyware à tout va et de l'analytics bébé!! Ca le marketing en a rien à foutre de la sécu, mais de la data pour cibler le zozo pour lui vendre une assurance supplémentaire, là, il kiff et il est prêt à dire amen à toutes ces surcouches de sécurité. Une appli? OUI! Un 2FA? Vazy mon gars! Un OTP? Ca le fait!
Bref. Désormais pour payer sur un fuckin site web je dois prendre ma carte, le code, le numéro, le code au dos, mon nom, un code par SMS, un code "payement internet", le mot de passe de mon site web bancaire, etc, etc…
Je suis salé, je viens de relire un rapport de sécu lamentable, mais je sens la douille arriver, on va nous demander d'installer encore une nouvelle appli ou de gestionnaire de mot de passe je sais pas quoi pour avoir une quadruple authent, GG les gars. A côté de ça, le bastion a 42 ports ouverts, tourne sur une redhat 7 à moitié patchée en 8 mais ça, personne s'en émeut. Et vous ça va?
Traditionnellement, le 1er avril on voit fleurir moultes déclarations et informations fracassantes dont le but est de surprendre, faire douter et finalement faire rigoler franchement. Un petit peu de détente ne fait jamais de mal.
Cette année, mais quel désespoir, on a eu droit à linuxfr (woohoo), Jazz a Vienne délocalisé en autriche (à Vienne, huhuhu) mais sinon, c'est le désert, la tristesse.
J'aurai deux théories. La première, c'est qu'on a tellement de dingueries en permanence en ce moment qu'on ne peut plus faire de second degré. Trump annonce 20 ans de prison pour les incendiaires de Tesla, bah franchement, poisson ou pas poisson? Les politiques réclament l'abandon de poursuites judiciaires en réclamant plus de fermeté quand à l'application des peines? beeeeen poisson ou pas? Donc pour un community manager, je crois qu'il est tellement difficile de faire un poisson qu'ils ont sauté l'année.
La deuxième raison est sans doute moins gaie. L'amabiance est tellement à la guerre que personne ne veut rigoler.
Bon, je vous laisse, je dois aller regarder la pluie qui tombe d'un ciel gris et bas pendant que je contemple l'inutilité de ma vie, et bonne journée.
ouais, c'est ça. Si j'ai bien compris, il y a des coins du noyau qui sont moins audités. Genre la gestion des règles nf/iptables, c'est pas super audité parceque seul root peut y accéder, donc même s'il y a une vuln, l'attaquant doit être root pour la jouer, donc il gagne rien.
Avec les namespaces, tu peux taper ces interfaces en étant simple utilisateur. Je dis iptables, mais c'est aussi mount.
Bref, pas besoin de courir les bras en l'air, c'est juste qu'une supposée défense est contournable. Patchons tranquillement dans le calme et la sérénité.
Donc on utilise un namespace dédié qui permet de faire un mount. C'est un peu le but du namespace en fait?
Je comprends toujours pas, mais je dois rater un truc obvious. Dans le namespace les droits sont bien conservés (je peux pas lire /etc/shadow depuis le namespace par exemple). Je peux pas monter le disque /dev/sda pour lire des trucs dessus, je peux pas faire un chmod +s.
[^] # Re: déployé ou non
Posté par octane . En réponse au lien 2025, l'année des virus Linux sur le desktop. Évalué à 9 (+7/-0).
Ils l'ont trouvé sur virustotal.
Virustotal, c'est un site sur lequel n'importe qui peut faire analyser un fichier par une soixantaine d'antivirus différents. Certains développeurs de malware ont tendance à tester leur derniers samples pour vérifier leur efficacité anti-antivirus.
Par un effet d'aubaine, pas mal de chercheurs en sécurité regardent les fichiers déposés sur virustotal pour avoir un panorama de la menace actuelle.
Bref, les gars ont trouvé un sample sur virustotal, mais n'ont aucune info sur une activité de celui-ci in-the-wild (comment le savent ils? on ne sait pas).
Mais comme ils vendent un antivirus (il semblerait), ça fait toujours de la bonne pub de signaler la "nouvelle menace-oulalala-qu'elle est grave celle-là, on va tous mourir", sauf que eux ils sont trop forts car eux, ils l'ont vu et leur mission consiste à informer le monde de cette menace.
Bref, beaucoup de bruit marketing, peu d'infos techniques.
# mouais
Posté par octane . En réponse au lien 2025, l'année des virus Linux sur le desktop. Évalué à 7 (+5/-0). Dernière modification le 06 août 2025 à 12:05.
Alors revenons à la source:
https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/
qui indique que c'est un nouveau truc, non détecté par les antivirus (sur virustotal, le site qui regroupe pleins d'antivirus windows). Bon, c'est nouveau sur un système pas utilisé, aucun AV le détecte, rien d'étonnant.
Lisons un peu le site nextron-systems, ils ont découvert une autre backdoor PAM: https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux/ mais apparemment ça a fait moins de bruit.
Passons à l'analyse, alors oui, PAM est relativement central dans l'authent et ça en fait une cible de choix pour un attaquant. On a pas mal d'infos sur le fonctionnement interne de plague, le déchiffrement de chaines, l'obfuscation, etc… mais pas trop sur son installation; c'est un module PAM et c'est tout ce qu'on saura. Les samples sont en .so, donc on peut imaginer un chargement de bibliothèque lors de l'authent.
PAM fonctionne comme cela, cf (une partie du) fichier /etc/pam.d/login:
Mais survient une question: normalement ces fichiers sont traqués par le gestionnaire paquets. Donc une modification de celui-ci (pour remplacer ou ajouter une bibliothèque) devrait se voir.
C'est en contradiction avec ce qui est dit:
Plague integrates deeply into the authentication stack, survives system updates, and leaves almost no forensic traces. Combined with layered obfuscation and environment tampering, this makes it exceptionally hard to detect using traditional tools.
genre le "traditional tool" apt ou rpm?
Pour l'instant, je m'inquiéterai pas trop en fait.
# Bronsonisation
Posté par octane . En réponse au journal mon bot va mourir : RIP. Évalué à 6 (+4/-0).
tu vas mettre une image de Charles Bronson à ton bot?
:D
[^] # Re: pflumbfberger
Posté par octane . En réponse au journal La gloire avec un bot bluesky. Évalué à 8 (+6/-0).
ça, ok
j'en peux plus de rigoler, ça fait du bien par cette chaleur.
on se rapproche de mes vieux souvenirs
:-o
# pflumbfberger
Posté par octane . En réponse au journal La gloire avec un bot bluesky. Évalué à 4 (+2/-0).
Ouais, certains grands anciens se souviennent du vrai nom du trollomètre.
Et ce n'est pas pflumbfberger.
Et google ne servant décidément plus à rien, je ne retrouve pas le site qui racontait l'histoire de Hans Prumpleffer et de ses prototypes.
Fugit irreparabile tempus.
[^] # Re: La question est vite répondue
Posté par octane . En réponse au message keepassxc en CLI?. Évalué à 4 (+2/-0).
merci
( bon, bah je me sens un peu idiot de jamais avoir essayé de faire tab-tab après keepassxc )
# ok
Posté par octane . En réponse au lien Sam Altman veut qu’une « fraction significative » de l’énergie produite sur Terre soit dédiée à l’IA. Évalué à 10 (+16/-1).
Moi je veux qu'une partie significative de son salaire soit reversé sur mon compte bancaire.
On fait comme ça, Sam? allez, merci, à la prochaine!
[^] # Re: L'inverse
Posté par octane . En réponse au journal Linux prêt pour le desktop : DHH dit oui. Évalué à 4 (+2/-0).
"pas tarder" ??
et voilà.
https://github.com/openinterpreter/open-interpreter
Tu peux même le faire tourner avec un LLM local, déco d'internet.
# on m'a posé la même question
Posté par octane . En réponse au journal "Je veux me mettre à l'informatique" : que répondre ?. Évalué à 9 (+7/-0).
C'est marrant on m'a posé la même question, et j'ai eu du mal à y répondre.
Tu peux être utilisateur de l'informatique, tu vas utiliser un logiciel de dessin pour dessiner, un traitement de texte pour écrire, des jeux pour jouer. C'est assez simple: un outil qui répond à un besoin: "Tu veux planter un clou, utilises un marteau"
Une fois que la personne a spécifié son besoin, il est possible d'y répondre.
Sauf que l'info, c'est pas que ça. Tu peux programmer (au sens large, hein, ça va du script à l'admin sys), et là, ben y'a pas vraiment de réponse. Avec l'informatique, tu peux créer un "truc" qui ve faire des "trucs". Comme si tu disais "je veux planter un clou" et qu'on te réponde que tu peux aller miner du charbon pour faire fondre du métal qui te donnera une scie pour aller usiner le manche du futur marteau pour planter ton clou, sauf qu'en plus les gens ne savent pas qu'ils veulent planter un clou, ils veulent construire une maison en bois. L'informatique c'est assez généraliste, tu l'utilises pour construire quelque chose qui va répondre au besoin.
Du coup, c'est pas simple à expliquer. Souvent je propose un gens un truc en programmation simple, comme "fais un jeu texte simple où tu dois trouver le chiffre entre 1 et 100" et les gens répondent qu'ils voudraient plutôt faire un jeu en 3D.
[^] # Re: copier-coller interdit sur champ de confirmation
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 4.
que tu dois le rentenir. Si tu peux copier coller, tu risques de faire une erreur: tu veux taper "password123" tu écris "pzssword123", tu copies-colles dans le 2 champ, ton mdp est créé. Tu fermes la session, le lendemain tu tapes avec attention "password123" et ça marche pas… Si y'a 2 champs, c'est pour valider l'un par rapport à l'autre, c'est pas pour vérifier si tu sais copier-coller.
C'est la seule raison vaguement valable que j'ai entendu, et je la trouve pourrie.
Autorisez le copier coller, ou mieux, ne demandez qu'une fois un mdp à la création
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 3.
Il vaut mieux considérer que l'attaquant est intelligent. Si l'attaquant est bête, alors n'importe quel mot de passe est bon.
intéressant. Après, il faut certes pas mettre linuxordinateurclaviermotdepasse, mais je pense que tartiflettegratinpatatepurée est moins fréquent.
Oui. On peut passer des jours entiers à dériver les mots de passe du dictionnaire et passer à côté d'un mot de passe avec 4 lettres et 2 chiffres. Et ce qui est évident pour certaines personnes l'est moins pour d'autres. Et des stratégies dépendent de paramètres étranges: par exemple john the ripper a une stratégie qui consiste à décaler les lettres d'un cran sur le clavier physique: le z devient un a, le k devien un j, le n devient un b etc… Il suffit d'utiliser un clavier fr au lieu de us pour que cette règle de john ne trouve pas ton mdp :-)
Ce qui nous ramène toujours au même problème: qu'est ce qu'un bon mot de passe? :-)
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 4.
oui, si tu veux parler de sécu info (et qu'on t'écoutes), t'as qu'a parler des mots de passe.
ouais, mais par quoi le remplacer? Ca devient vraiment n'importe quoi. Tu changes de société on te file un téléphone d'entreprise, et vla le défilé:
- quel mdp pour la SIM
- quel mot de passe pour le déverrouillage
- quel mot de passe pour gmail
- quelles questions de sécurité?
- quel mot de passe pour ton appli métier
- quel mot de passe pour ton accès distant d'entreprise
- quel mot de passe pour la messagerie d'entreprise outlook
- quel mot de passe pour authenticator
- quel mot de passe pour le site corpo
Au bout de 25 minutes on t'a demandé tellement de mot de passes que je défie quiconque de ne pas en avoir oublié un ou de ne pas avoir mis le même partout
[^] # Re: c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 4.
1 mot du dictionnaire, ça se trouve facilement.
4 mots ça devient extrêmement compliqué (explosion combinatoire).
La méthode de XKCD est bonne :-)
# c'est bien, mais pas suffisant
Posté par octane . En réponse au lien Combien de temps faudra-t-il à un hacker pour craquer l'un de vos mots de passe en 2025 ? . Évalué à 7.
Je suis toujours mitigé face à ces tableaux. Celui-ci précise le hashage utilisé, bcrypt (mais seulement 10 rounds? De mémoire je crois que c'est vraiment le minimum acceptable). On a également la carte graphique utilisé, c'est bien.
Maintenant, on a juste un cassage en bruteforce. Encore une fois, c'est bien, maaaaaaais c'est pas suffisant. Par exemple, le mot de passe "Soleil123" est considéré cassable en 3000 ans. (c'est faux)
Premier cas: j'utilise un mdp sur un site on-line qui limite le nombre de tentatives de connexions, tu n'auras jamais cassé mon mdp en + de 3000 ans.
Second cas: tu as à dispo la base de hash, un dico, et des règles, le mdp se casse en quelques secondes/minutes.
Bref, les mots de passe, c'est nul, c'est pourri, ça a plein de défauts, mais on a du mal à s'en passer. Sooner or later, tu utilises un mot de passe.
# marrant
Posté par octane . En réponse au lien Entrez dans la peau d'un agent de la DGSE et collectez un maximum de renseignements !. Évalué à 3.
Dans le temps, les hackers étaient plutôt rangés du côté contestataire, anti-gouvernement, limites anarchistes…
Maintenant les services secrets viennent copier leurs us et coutumes (les CTF) pour les attirer :-)
[^] # Re: L'essentiel en français
Posté par octane . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 3.
En fait, je comprends pas. Qu'est ce qui donnerait plus de 0day?
Développer un code d'exploit pour une vulnérabilité connue?
[^] # Re: L'essentiel en français
Posté par octane . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 2.
CVE était censé préallouer des numéros pour chaque CNA afin d'éviter que le même numéro soit donné à deux vulns différentes.
Dans le cas ou doublon s'applique à la même vukn sous deux numéros, pourquoi pas, en imaginant que chercheur A remonte à redhat et chercheur B à canonical par exemple. Dans les faits, ce n'est pas très génant. Cela arrive aussi quand une vuln a deux CVE (auth bypass + code exec par exemple). Deux vulns, un produit, un seul correctif.
ouais, mais là, c'est plus CVE, c'est cvss. Et ça fait partie des défauts. La manière de scorer change beaucoup. J'ai fait suffisamment de pentest pour savoir que le scoring est extrêmement souple. Le client veut tout plus bas que 7? pas de soucis. Le management râle et veut que tout soit à plus de 8? vazy mon gars.
pas d'exploitation ou pas de code d'exploitation public?
Ca dépend ce qu'on appelle exploitation. Une vuln qui permet de faire une SQLi sur un site web, c'est une exploit ou pas? (hint: ça peut dépendre de la base de son schéma, et des droits associés). Un heap overflow dans Chrome, c'est exploitable? Il te faudra pas mal de semaines de dev pour y répondre.
Travailler sur une vuln publiquement connue, qui a de grandes chances d'être patchée alors qu'on dev un poc d'exploit? Sérieusment? Alors oui, si la vuln est trivialement exploitable, pourquoi pas, sinon, mieux vaut chercher + pertinent. Et je parle pas des vulns inintéressantes (Dos, etc..)
[^] # Re: L'essentiel en français
Posté par octane . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 8. Dernière modification le 16 avril 2025 à 14:36.
Je suis mitigé. CVE avait plein de problèmes, mais un gros avantage: il y avait un id unique pour les bugs.
Là, je sens venir le truc bien pénible. Genre la faille gcve-2025-12345 faut la corriger? Parceque redhat, qui est CNA, l'a assigné redhat-2025-54321 impactant drupal, alors qu'il s'agit d'un bug d'authent dans la lib php nommé php-errata-pre-8.52. Sauf que mon dahsboard indique que apache n'est pas en dernière version car le bug cve-canal-historique-2025-543210 est censé corriger la faille drupal. Du côté de chez drupal, ils ont choisi une convention de nommage différente, mais ils ne communiquent pas sur celui-ci car le bug impacte un module tierce partie qui n'est pas dans leur codebase.
Le développeur de la lib incriminé a froze son projet et communiqué en disant "j'ai perdu les clés github pour push du code et je m'en bat les steaks". Côté éditeur de WAF ils ont choisi de la nommer drupal-severity-low-update-001-2025 parcequ'un gugus sur reddit a dit que c'était grave et que le market doit justifier auprès des actionnaires du nombre de vulns corrigées (le nombre importe peu, il suffit qu'il soit supérieur à celui du concurrent).
Debian décide de push un update deb-quilt-updat0-php-sourcee, mais associe dedans l'ensemble des correctifs de la lib php ce qui couvre aussi un module WordPress, car entretemps, on s'est rendu compte qu'un coréen avait porté le module drupal sous Wordpress. Mais là, un pirate s'amuse et deface des sites wordpress en mettant une image de kiwi (l'animal, pas le fruit) donc la presse se met à parler de la faille "kiwi" et le gouvernement néo zélandais s'insurge et demande de communiquer sur cette faille par son numéro wordpress-0002 afin d'éviter des amalgames pénibles.
Bref. CVE c'était pas pratique, mais ça avait un avantage certain.
[^] # Re: Pure communication politique
Posté par octane . En réponse au lien L’interdiction des smartphones au collège devrait être généralisée à la rentrée. Évalué à 10.
Je rajoute une pièce. Source: mes neveux.
Les profs disent que le portable est interdit. Très bien.
cours d'histoire: regardez ce "c'est pas sorcier, il est dispo sur youtube."
cours de math: je vous file ce soir le corrigé sur ecoledirecte.
cours de techno: "sortez vos téléphones, on va chercher un truc sur chatgpt, c'est génial vous allez voir"
cours de bio: "ce soir vous regarderez la vidéo youtube machin"
cours de physique: "il y a une simulation sur le site mahcin.edu, allez la regarder ce soir, et faites les exos"
cours de français: "vous me rendrez le devoir sur word"
cours de musique: "pour la chanson du jour vous me faites un powerpoint".
Rendez vous parents-profs: "les élèves passent trop de temps derrière les écrans, c'est krokrobizarre".
Mes neveux sont morts de rire, ils ont trouvé un moyen de regarder youtube sans passer par familylink (c'est pas moi j'ai rien dit), et ils comprennent pas trop pourquoi personne veut les laisser écouter de la zik, lire des webtoons et rouiller devant des shorts. La désinformation sur facebook ou twitter, ils s'en foutent, ils sont pas dessus.
[^] # Re: Atomique ?
Posté par octane . En réponse à la dépêche GNOME OS comme Linux idéal, partie 1 : la promesse de l'atomique. Évalué à 4.
Un système (windows, mac, linux) et des applications (firefox, openoffice, vi, etc..), c'est au contraire d'une simplicité désarmante. Dire que tout est pareil et doit être traité pareil, ça n'amène que de la confusion.
Des fois j'aime bien BSD pour ça: un système homogène, et des ports. Quelque fois j'aimerai un système à l'android: le système se met à jour de manière un peu magique, de temps en temps il couine en disant "met moi à jour, gros", et à côté de ça j'installe des applis sans me poser des questions depuis un store. Indépendemment de la mise à jour. Je veux une appli todo list, je cherche todolist dans le store, je clique, ça marche.
Parceque bon, pitié quoi, mais t'installes un truc avec apt-get et ça te conseille d'installer libtruc et donner les droits root et/ou au passage te demande d'activer les statistiques d'utilisations des logiciels avec un message qui te dit que t'as eu beau faire apt-get update && apt-get upgrade le paquet linux-image sera pas mis à jour parceque lol.
Que tu te dis tiens j'installe une calculette et que ça te tire l'intégralité de gnome avec, oué, il y a un problème et les gens préfèrent snap.
Franchement, je veux un bouton "mise à jour" et un équivalent du store (genre synaptics). Tout le reste devrait être planqué et utilisé par "les gens qui savent (tm)". Tout le reste, c'est du n'importe quoi.
[^] # Re: Une partie de réponse
Posté par octane . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 3.
Une équipe a une clé hardware avec obligation de faire de la double authent pour se logger sur leur linux en local. Genre ils ouvrent la session, login, pass + clé hardware. Justificatif: si un pirate vole un mot de passe, il y a du 2FA, youhou, la vie est belle, l'entreprise est protégé.
Sauf que ssh est activé sur les postes. Et là, vient la question: si un pirate vole des comptes login+pass (genre phish, ou n'importe quelle méthode) que va faire un pirate:
1- se connecter en ssh avec?
ou
2- prendre sa voiture, aller dans l'entreprise, passer la porte, voler un badge, passer devant les caméras, badger à l'entrée, prendre le poste linux dans l'armoire, le mettre sur un bureau, mettre le mot de passe, et oh malheur à lui, il n'a pas la clé hardware :-( "Blast!", son "evil plan is foiled". (quoique 97% des gens laissent la clé avec le PC d'ailleurs…)
ah non. C'est comme la borne wifi open qui émet. Personne ne sait qui c'est. Mais c'est "comme ça", faut pas en parler, ça doit sûrement être utile.
[^] # Re: Une partie de réponse
Posté par octane . En réponse au journal Exigeons des banques, une vraie mise en œuvre de la DSP2 !. Évalué à 10.
Je me demande si c'est pas aussi un appel délirant à des sociétés de consulting, pentesting, analyzing et securing qui rendent à chaque fois un rapport. Le but du pentesteur n'est pas d'auditer une application, c'est de remplir des vulns, pleins de vulns! tout plein. Genre il y a rien, il faut qu'il trouve des vulns quand même.
"Vous administrez votre serveur depuis votre poste? wolalalala! c'est une vuln P1 critical rouge avec mention sur le rapport managérial. Il faut un compte tier1 avec authent mot de passe mini 48 caractères majuscules minuscules symbols pas deux caractères identiques ni de séquences ni de mot du dictionnaire. Ajoutez à ça un OTP 2FA sur smartphone + une clé hardware avec validation et HOTP. Interdisez le copier coller, et faites ça depuis une machine "vault" qui n'a pas d'accès au réseau dans une salle sécurisée."
A force de lire ce genre de trucs débiles un manager quelconque s'émeut que son appli bancaire puisse permettre de transférer de l'argent (si si) donc il faut AJOUTER de la sécurité. Un auditeur repasse ne trouve rien, il est triste, donc il va dire qu'on peut améliorer la sécurité. Il faut maintenant une triple authent saut périlleux arrière vrillé triple lotz. D'un autre côté le market est heureux, ça va fourguer du spyware à tout va et de l'analytics bébé!! Ca le marketing en a rien à foutre de la sécu, mais de la data pour cibler le zozo pour lui vendre une assurance supplémentaire, là, il kiff et il est prêt à dire amen à toutes ces surcouches de sécurité. Une appli? OUI! Un 2FA? Vazy mon gars! Un OTP? Ca le fait!
Bref. Désormais pour payer sur un fuckin site web je dois prendre ma carte, le code, le numéro, le code au dos, mon nom, un code par SMS, un code "payement internet", le mot de passe de mon site web bancaire, etc, etc…
Je suis salé, je viens de relire un rapport de sécu lamentable, mais je sens la douille arriver, on va nous demander d'installer encore une nouvelle appli ou de gestionnaire de mot de passe je sais pas quoi pour avoir une quadruple authent, GG les gars. A côté de ça, le bastion a 42 ports ouverts, tourne sur une redhat 7 à moitié patchée en 8 mais ça, personne s'en émeut. Et vous ça va?
# super lol, xptdr, rofl et ce genre de chose
Posté par octane . En réponse à la dépêche Nouvelle typologie de comptes LinuxFr.org : segmentation et enrichissement de notre offre. Évalué à 9.
Note: ceci est un commentaire hyper désabusé.
Traditionnellement, le 1er avril on voit fleurir moultes déclarations et informations fracassantes dont le but est de surprendre, faire douter et finalement faire rigoler franchement. Un petit peu de détente ne fait jamais de mal.
Cette année, mais quel désespoir, on a eu droit à linuxfr (woohoo), Jazz a Vienne délocalisé en autriche (à Vienne, huhuhu) mais sinon, c'est le désert, la tristesse.
J'aurai deux théories. La première, c'est qu'on a tellement de dingueries en permanence en ce moment qu'on ne peut plus faire de second degré. Trump annonce 20 ans de prison pour les incendiaires de Tesla, bah franchement, poisson ou pas poisson? Les politiques réclament l'abandon de poursuites judiciaires en réclamant plus de fermeté quand à l'application des peines? beeeeen poisson ou pas? Donc pour un community manager, je crois qu'il est tellement difficile de faire un poisson qu'ils ont sauté l'année.
La deuxième raison est sans doute moins gaie. L'amabiance est tellement à la guerre que personne ne veut rigoler.
Bon, je vous laisse, je dois aller regarder la pluie qui tombe d'un ciel gris et bas pendant que je contemple l'inutilité de ma vie, et bonne journée.
signé: octane, dans un grand moment joyeux.
[^] # Re: okok
Posté par octane . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 3.
ouais, c'est ça. Si j'ai bien compris, il y a des coins du noyau qui sont moins audités. Genre la gestion des règles nf/iptables, c'est pas super audité parceque seul root peut y accéder, donc même s'il y a une vuln, l'attaquant doit être root pour la jouer, donc il gagne rien.
Avec les namespaces, tu peux taper ces interfaces en étant simple utilisateur. Je dis iptables, mais c'est aussi mount.
Bref, pas besoin de courir les bras en l'air, c'est juste qu'une supposée défense est contournable. Patchons tranquillement dans le calme et la sérénité.
[^] # Re: okok
Posté par octane . En réponse au lien Bypassing Ubuntu's user-namespace restrictions. Évalué à 2.
Donc on utilise un namespace dédié qui permet de faire un mount. C'est un peu le but du namespace en fait?
Je comprends toujours pas, mais je dois rater un truc obvious. Dans le namespace les droits sont bien conservés (je peux pas lire /etc/shadow depuis le namespace par exemple). Je peux pas monter le disque /dev/sda pour lire des trucs dessus, je peux pas faire un chmod +s.
Je relis l'adviso, mais je comprends pas.