octane a écrit 856 commentaires

et il y a eu dernièrement la compétition du pwn2own, qui comporte pas mal de routeurs. Ils se sont tous fait défoncer aussi bien LAN que WAN.

et on peut citer également un des tweet qui suit:

"And yet, surveys have shown that the Linux kernel (and much of the Linux software stack overall) is patched for security holes a magnitude faster than any other vendor."

Ceci dit, oui, le point de vue de Linus est intéressant. Un bug est un bug et doit être corrigé. Ajouter des labels "CVE" ou "securité" ne fait qu'ajouter des problèmes, flatte l'égo des découvreurs de faille et ne résoud rien. Donc un bug == un bug, et c'est tout.

Par contre, ta banque, elle est bien sécurisée? Et ton médecin?

et c'est une raison de de pas sécuriser notre infra perso ? parce qu'il y a peu être, potentiellement une faille quelque part on dois rien sécuriser ?

ah non non non, c'est juste en réaction à son message qui dit :

"je suis sous linux" == "mes données personnelles, mes contacts sont bien protégés"

autant sécuriser chez soi c'est bien, mais comme nos données personnelles sont éparpillées chez des gens qui en prennent moins soin que nous, c'est dur de dire qu'elles sont protégées :-/

Depuis 22 ans, tous mes ordinateurs sont sous Linux.

BIOS y compris? firmware de tes cartes réseaux? De ton disque dur? Si oui, chapeau.

Je n'installe que les applications disponibles dans le dépôt

quel dépôt? Distro? npm? pypy? github? il n'a pas été attaqué?

et aucun autre appareil n'est branché sur mon réseau.

Même pas une box internet?

Quasiment tout est donc Libre ou Open Source, transparent,

bravo.

j'en ai la maîtrise et mes données sont sécurisées (fichiers sensibles chiffrés, sauvegardes…). Je peux m'en servir sereinement pour accéder à mes comptes bancaires ou médicaux et mes données personnelles, mes contacts sont bien protégés.

Par contre, ta banque, elle est bien sécurisée? Et ton médecin?

J'ai donc demandé un ordiphone et un abonnement avec un forfait pour les données pour y connecter l'ordinateur du travail pendant le télétravail.

Pourquoi tu ne segmentes pas ton réseau?

Si une entreprise se fait infiltrer (ce qui arrive sans cesse car elles sont toutes sous Windows)

Alors… Si tu crois qu'être sous linux t'empêche de te faire infiltrer, I have some bad news for you kid.

Y a aussi ce que la faille permet de faire.

Bah "RCE", ça veut dire "remote command execution", donc RCE un sendmail tu vas pouvoir lire tous les messages d'une organisation. Tu vas pas cramer 200000$ pour envoyer du spam …

Un router: 10000… Et un routeur voit passer tout ton trafic ce qui permet à un attaquant de faire plein de trucs intéressants.

Une faille pegasus, 2millions5, ok. Par contre, juste un contournement de kaslr sur smartphone -> 100000$. Et 100k, pour avoir … rien (kaslr quoi, même pas d'exec de code). Contournement de kaslr sur linux -> 0, ça n'est même pas dans la liste.

Bref, ceci pour dire que je suis tombé de haut et sur cette liste l'autre jour. Le noyau linux sécurisé tout ça, bin en fait quand on voit le prix d’achat des failles, ça fait réfléchir. Je pense que eux ont estimé le vrai coût d'une faille, et que plus c'est compliqué, plus ça vaut cher. (et je parle pas d'un DOS ou de spam, je parle d'une vraie faille de sécurité).

bref, on s'égare du sujet de Franceconnect+ :D

Il est pas forcément simple d'évaluer la sécurité d'un système. Je propose qu'on aille se renseigner sur le dark web (haha).

Non, sans rire, d'après vous, quelle est la valeur d'une vulnérabilité sur un de ces systèmes? Plus le système est moisi (ou vulnérable), plus le prix d'achat sera bas.

Ca tombe bien, il y a un site web qui propose d'acheter des failles. Et les prix sont surprenants: hxxps://zerodium[.]com/program.html (je veux pas leur faire de la pub)

Pour une élévation de privilèges sous linux : 50000$
Pour une exécution de code distante sous sendmail/postfix/exim: 200000$

dit autrement le kernel linux est moins bien codé que sendmail…

Allons un peu plus loin, quel est le prix d'achat d'une vulnérabilité sous android? 2millions 500000$
je remet le coût d'achat d'une faille sous linux: 50000$

Après, on peut discuter des heures comme quoi on utilise du LL et qu'on fait apt-get update && apt-get upgrade toutes les 25 minutes, le fait est que ça semble plus difficile de rooter un android qu'un linux. (Disclaimer: j'y connais rien).

(pourquoi) mettent-ils des contrôles de sécurité supérieur lorsqu'ils s'agit d'un logiciel pour téléphone

parce qu’ils sont présents, quelle question!

Tu as un niveau supérieur de sécurité, autant l'utiliser, non? Genre tu as 2 API, une fiable, et une non fiable, laquelle utilises-tu?

le niveau de sécurité général.
La sécu d'un PC fixe est lamentable par rapport à la sécu d'un téléphone. c'est pour ça que les banques filent des apps smartphones et pas des applis lourdes sur PC.

Sauf que téléphone rooté et téléphone dont je suis admin, c'est synonyme. Considérer un système rooté comme moins sûr, c'est considérer que le fait que j'en sois administrateur le rend moins sûr.

alors, en fait non.

Le système de permission fait qu'1 appli == 1 uid.
rooter un téléphone, ça veut dire qu'il existe un binaire "su" qui fait passer un uid quelconque à un uid root.
Dit autrement, une appli quelconque peut devenir root, et accède à toutes les autres applis du coup.

Maintenant, je suis dev d'une appli, Android me garantit que le schéma de sécurité empêche la fuite de données d'une appli à une autre. Grosso modo, tu installes 'grosseAppliPourrie.apk', bin elle pourra jamais interférer avec 'maJolieAppliBancaire.apk'. Du coup, le dev il est content, il fait attention à la sécurité des clients de son appli, il est heureux.

Sauf que si un binaire "su" permet à grosseAppliPourrie de défoncer maJolieAppliBancaire, ça plait pas au dev. Donc s'il détecte un téléphone rooté, l'appli maJolieAppliBancaire refuse de s'installer. Tout ça pour la sécu des gens.

Le fait que tu sois admin ou pas, c'est finalement très secondaire.

Sauf erreur de ma art, c'est du bruteforce via des boitiers spécifiques qui vont simuler le fait d'être un clavier et qui vont relancé le tel au bon moment.

une société qui a pignon sur rue (Cellebrite) propose de déchiffrer les téléphones. c'est pas du bruteforce, c'est des failles de sécurité (bah oui, scoop, il y a des vulnérabilités dans les téléphones).

Donc bon. En gros, c'est soit tu files ton code, soit on met ton téléphone dans la machine, mais la "loi" aura tes infos.

C'est quand même assez souvent des questions de pognon.

exactement

c'est pas un truc du genre:

dmsetup table --showkey myvolume
et avec cette clé, tu peux jouer avec cryptsetup normal pour monter ta partition?

Un autre conseil indispensable avant d'autoriser ssh sur le grand réseau, c'est de s'assurer que l'authentification par mot de passe est désactivée.

pourquoi? Quel est le risque? D'un bruteforce? Avec un bon mot de passe, ça devrait tenir non?

Voyons voir, quelles pourrait être les raisons ?
- c'est utile !
- ça sert à une large communauté !
- c'est fun !
Déjà, redécouvrir le plaisir de jouer sur un bon vieux jeu, plonger dans les origines du gaming, c'est une expérience extraordinaire !

alors, c'est une noble motivation :D

ceci dit, je pense vraiment que compiler un vieux truc sur une distrib récente, c'est chercher plein d'ennuis. Surtout que tu changes de CPU…. Rien que compiler des softs prévu pour intel 32 bits en 64 bits ça peut être tristouille, je te recommande plutôt de tout faire en émulation:

un KVM est raisonnablement rapide, tu installes une debian d'époque, et tu joues sur la distrib d'époque.

Mais pourquoi? en vrai, pourquoi vouloir recompiler wesnoth en version 1.2 ?

La meilleure pour l'instant est je trouve de compiler le bazar avec un g++ d'époque (soit fin 2007 début 2008).

bin, euh, oui. Tu compiles avec les libs d'époque et les compilos d'époque.

Mais en vrai, je comprends pas bien le but du truc???

Ensuite, si tu veux vraiment faire ce genre de choses, tu prends une distro linux qui date de l'époque du logiciel (genre une debian de 2007), tu l'installes sans mettre à jour, tu compiles le bazar.

Je n'arrive pas à comprendre la logique derrière

La logique, c'est que tu as du fric, tu es puissant, tu veux que tout se plie à ta volonté. Il y a pas de finesse ou d'intelligence. Tu payes -> tu as. Les journalistes sont pénibles, tu les arroses à la sulfateuse. Au mieux ça marche, au pire ça servira d'exemple au suivant.

Ca se verra? Et puis? Ca changera quoi?

ça se verrait, les lecteurs hurleraient et ça serait un bad buzz coupant leur rémunération donc la vie des entreprises derrière encore plus sûrement qu'avec le procès

Euh… Tu peux me citer un bad buzz récent qui a coupé leur rémunération? Avisa sentait déjà le souffre. Ca a changé quelque chose pour eux?

L'idée est un suicide sans le dire?

D'un côté tu as le "camp du bien" qui veut que la vérité jaillisse de la manière la plus éclatante, de l'autre tu as des intérêts financiers énormes qui s'en battent les steaks mais sont pétés de thunes. Donc l'idée, c'est de montrer que le fric gagne. Il n'y a pas de règles.

On est dans un monde ou des ministres accusés peuvent être en poste pépouzes, ou des sociétés peuvent fracasser la planète, et des hommes d'affaire s'enrichir sur la pauvreté humaine. Un journal a l'outrecuidance de ne pas les présenter comme bienfaiteurs de l'humanité en leur baisant les pieds? Bah procès, menaces, et autres méchancetés. "Mauvaise presse" ? Mais quand ils ont fait autant d'horreurs, tu crois vraiment qu'ils ont peur d'une mauvaise presse? C'est comme si tu demandais à Al Capone de moins fumer le cigare car ça risque de nuire à son image. Je pense qu'il s'écroulerait de rire. Bah là, c'est pareil.

pommes de terre au four
font un gratin dauphinois
et les premier froids

Un haïku (俳句, haiku?) est un poème d'origine japonaise extrêmement bref, célébrant l'évanescence des choses et les sensations qu'elles suscitent. Un haïku évoque généralement une saison (le kigo) et comporte souvent une césure (le kireji). Il est composé en principe de 17 mores réparties en trois vers suivant un schéma 5/7/5.

(merci wikipedia :) )

J'avais vu un projet qui semblait bien: https://github.com/flesueur/mi-lxc

J'ai finalement pas pu tester, mais la doc faisait vraiment envie. Tu as un réseau complet, avec des services sur certaines machines, tu peux faire du routage, ajouter des démons, etc… etc..

j'avais entendu plusieurs fois l'histoire de l'interrupteur "magic"/"more magic", mais le voir en vrai, ça fait quelque chose:

tout lier statiquement ;

Ca résoud pas toujours tout. Des fois, on compile statiquement, on envoie sur le système cible, et là:

FATAL: kernel too old

et pouf.

C'est quoi ton parfum de glace préféré ?

OOOOH!!

Faudrait se poser des questions… 😀

wopitain!!! j'ai peut-être des supers-pouvoirs \o/ allez, superman, viens on va se battre! je vais te mettre la misère (bon, tant qu'il s'agit de faire consommer du CPU, on va éviter le regard laser dans un premier temps).

Saitama, je te prends juste après!

Je suis pas d'accord. Le BIOS n'est pas "le plus sensible en terme de sécurité".

ok, du coup tu dirais quoi? (puisque bon, BIOS corrompu == plein de complications pénibles à gérer ensuite)

Il ne traite pas des données complexes venant du réseau

genre iLO? (management réseau)

sauf dans l'esprit enfiévré d'une partie de la communauté du libre qui pense que la NSA et le Mossad s'intéresse à eux

Le paranoïaque est il le seul à penser l'être suffisamment?

ah ça m'intéresse. Pour info, quand ça freeze, est-ce que le curseur de souris bougeait? Et est-ce qu'il était possible de retourner à une console texte (ctrl-alt-F1) ?

c'est toujours l'échec :-(

octane@syncli:~$ cat /etc/default/keyboard 
# KEYBOARD CONFIGURATION FILE

# Consult the keyboard(5) manual page.

XKBMODEL="macbook79"
XKBLAYOUT="fr"
XKBVARIANT="mac"
XKBOPTIONS="lv3:ralt_switch,compose:rwin"

BACKSPACE="guess"
octane@syncli:~$ grep KEYMAP /etc/initramfs-tools/initramfs.conf 
# KEYMAP: [ y | n ]
KEYMAP=y
octane@syncli:~$

J'ai relancé update-initramfs -u, mais toujours rien :-/

A chaque reboot, je me log, puis je tape:

setxkbmap -model macbook79 -layout fr -option "lv3:ralt_switch"
ça marche, mais c'est pénible :-/