C'est un commentaire de Moxie Marlinspike, un gars vraiment balaise en sécurité et en chiffrement. Entre autre:
Eventually I realized that when I receive a GPG encrypted email, it simply means that the email was written by someone who would voluntarily use GPG. I don’t mean someone who cares about privacy, because I think we all care about privacy. There just seems to be something particular about people who try GPG and conclude that it’s a realistic path to introducing private communication in their lives for casual correspondence with strangers.
(Trad.)
Puis je me suis rendu compte que lorsque je recevais un mail chiffré avec GPG cela signifiait seulement qu'il était écrit par quelqu'un qui voulait utiliser volontairement GPG. Pas quelqu'un qui était concerné par la confidentialité, car je pense qu'on est tous concerné par confidentialité. C'était plus quelque chose lié aux gens qui essayent GPG et qui pensent que c'est un bon moyen pour rendre leurs communications privées lorsqu'ils correspondent avec des étrangers.
NON il n'a jamais reconnu cela, on a décidé qu'il l'avait reconnu parce qu'il a vu une page de login, c'est tout.
Et pourtant, le point central du jugement repose sur le fait qu'il a reconnu ce fait. Le juge ne dit pas: "je déduis que", il a dit "Le prévenu reconnait que". Tout le reste, c'est supposition hasardeuse.
Je n'ai plus le courage d'aller repiocher une fois de plus les docs du procès (c'est public, hein, allez-y vous même), mais il n'a pas dit: "j'ai vu une page de login, déduisez en ce que vous voulez", il dit "j'ai bien vu qu'une page de login était censé m'interdire l'accès mais je suis resté".
Pas de bol, c'est lui l'expert, et si l'expert reconnaît lui-même avoir déconné, alors le juge n'a besoin d'aucune connaissance technique et paf condamné.
Le plus terrible, c'est que je pense que le jugement aurait pu avoir une toute autre tournure s'il avait dit: "j'ai vu une page de login, et je me suis gardé d'aller voir ce qui était derrière puisque je n'ai ni log ni pass, mais je suis retourné sur l'espace public précédemment consulté pour lire les docs. Sous entendu, ni j'entre dans un STAD, ni je m'y maintiens, puisque je reste dans l'espace public. Ah? ce n'était pas public? Comment aurais-je pu le savoir, puisque je n'ai jamais essayé de forcer un login/pass". Là, l'anses aurait du prouver l'intention frauduleuse et le maintien, et ça aurait extrêmement difficile, surtout après avoir dit que l'admin de l'anses a fait n'importe quoi niveau publication et permissions. La bonne foi de Bluetouff aurait été retenue, et relaxe.
Je le crois sans trop de problèmes quand il dit que c'est de la curiosité et une envie d'informer.
On est d'accord. Et ce n'est pas la dessus que porte le jugement. Le jugement avait trois chefs d'accusations:
1/ Entrée frauduleuse dans un STAD
2/ Maintien frauduleux dans un STAD
3/ Vol de documents.
Que dit le juge:
1/ bon, bah c'est pas caractérisé, et même le plaignant dit qu'ils ont mal configuré le serveur; on laisse tomber.
2/ Ah bah c'est compliqué à prouver, mais le prévenu dit de lui même qu'il s'est maintenu dans le STAD en sachant que c'était interdit. Ca donne de la matière pour condamner.
3/ bah on sait pas trop, le vol c'est mal tout ça, mais on sait pas trop quoi dire, et de toute façon on peut le condamner seulement avec le maintien frauduleux dans le STAD donc on met le point 3/ sous le tapis.
Conclusion: Bluetouff condamné.
le peuple: atta, je vais faire une analogie avec des recettes de cuisine, une voiture et une bibliothèque pour te prouver que Bluetouff est gentil (j'en suis sur) que le serveur est tout pourri (j'en suis sur aussi) et qu'il faut tout casser car les juges sont tous pourris et comprennent rien à rien (j'en suis moins sur)
Non, encore un fois, on ne parle pas de barrière, ou de la qualité de cette barrière, ou de quoi que ce soit. Bluetouff a reconnu savoir qu'une barrière était là (que cette barrière soit inefficace est un autre débat) et qu'il est resté quand même.
Les docs du procès disent bien que l'entrée frauduleuse n'a pas été retenue. C'est le maintien, une fois que Bluetouff s'est rendu compte qu'il était dans un dossier dans lequel il n'aurait pas du avoir le droit, qui pose problème.
Il n'est dis nul part, et encore moins par le vigile à l'entrée, que je n'ai pas le droit d'être dans la bibliothèque avec ou sans carte de membre.
Tu es juge. On porte plainte: Mr X est resté chez moi alors qu'il n'avait pas de carte de membre.
Que dit Mr X: "oui, oui, je savais bien qu'il fallait une carte de membre mais je suis resté quand même sans carte de membre".
Mr le juge, éclairez-nous, est-ce qu'il est resté sans carte de membre?
Arrêtez de vous focalisez sur ce qui est écrit ou non, sur ce qu'on imagine, ce que le juge imagine, sur le temps qu'il faisait ce jour là et autre trucs. Juridiquement, la solution est limpide et est résumée dans les deux lignes du dessus.
Sauf que tu oublies de dire dans ton analogie, c'est que bluetouff dit lui même:
J'ai demandé des documents, je les ai eus. Puis je suis allé à l'entrée de la bibliothèque et j'ai bien vu qu'il fallait une carte de membre pour prendre les livres. Mais j'y suis retourné et j'ai tout pris. Mais j'avais bien vu qu'il fallait une carte de membre que je n'avais pas, et je suis resté quand même, hein.
Quoi, on m'accuse d'être resté illégalement dans cette bibliothèque? Mais les docs étaient en libre accès malgré le fait que je sache qu'il y ait besoin d'une carte de membre que je n'avais pas. Le bibliothécaire c'est de sa faute de ne pas m'avoir demandé ma carte de membre que je sais obligatoire, et que je n'ai pas, de m'avoir donné les docs, je le sais, je suis resté très longtemps pour prendre tous les documents.
Tu es juge, on te demande si le monsieur est coupable d'être resté dans un bibliothèque sans carte de membre, on ne te demande pas de savoir si la bibliothèque fait bien son boulot.
il s'est emmerdé à trouver un moyen détourner d'accéder à des documents pour lesquels il n'avait pas d'accès direct
non. Il a trouvé des documents sans problèmes. C'est pour ça que l'entrée frauduleuse dans un STAD n'est pas retenue.
Le problème, c'est qu'il dit lui-même avoir constaté que l'accès à ces docs était protégé par un login/password!!! Et qu'il dit ensuite être resté tout de même pour télécharger l'ensemble des docs. Donc le maintien frauduleux est caractérisé, et paf la condamnation.
Que certains puissent considérer qu'il méritait d'être punis est un peu fort de café
Mériter, non. Mais que la justice le punisse, oui, c'est juridiquement imparable.
se fera toper parce qu'il aura repris le bout d'un javascript
Oui, enfin gplviolations etc, c'est basé justement là-dessus, et la première défense des boites qui se font chopper la main dans le sac est de répondre: "on a repris qu'un petit bout de code qui est de toute façon public, pourquoi vous nous ennuyez avec cette histoire"
Je cite: "L’audition du responsable technique de l‘Anses confirmait les éléments de la plainte, à savoir une erreur de paramétrage du serveur hébergeant l’extranet (ensemble des fichiers accessibles en lecture) "
Ce qui explique bien pourquoi l'anses n'a pas porté plainte, ils se sont vautrés dans la config d'apache, il est difficile de dire ensuite qu'on les a piraté.
"Lors de ses auditions, Monsieur Olivier L. reconnaissait avoir récupéré (…) l’ensemble des données accessibles sur le serveur extranet de l’Anses. Il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google."
et
"il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe)."
Pour un juge, lorsque Bluetouff dit: "je reconnais avoir constaté la présence de contrôle d'accès", le juge comprend bien qu'il est entré là ou c'est interdit sans qu'il y ait besoin d'évaluer la qualité ou l'efficience du contrôle d'accès et sans avoir besoin de sortir des arguments techniques.
Enfin, relisez l'article de Maitre Eolas, il est très clair.
Ensuite, l'affaire aurait du s'arrêter au retrait de la plainte de l'anses (et au retrait des documents sur reflets.info, ce qui est discutable). Si vous voulez râler, ne ralez pas sur l'indéfendable, ralez sur les raisons qui poussent le ministère public à continuer l'action contre bluetouff malgré le retrait de plainte. Et ça, c'est scandaleux, et ça laisse ouvert l'hypothèse d'une vengeance gratuite dans l'unique but d'ennuyer bluetouff: on ne sort jamais vraiment indemne d'un procès, même innocenté; c'est long, c'est fatiguant nerveusement et ça ne finit presque jamais.
Heeeeeeu, tu es en train de dire que tes sites sont vulnérables à des failles qui datent de 2012? Sérieusement? Et ils ne se sont pas fait pourrir avant 2015?
Nous sommes 60 millions, ils n'ont pas les épaules pour suivre. On peut tout a fait faire des plug-in firefox, facile à installer qui automatisent la chose et viralement vont exploser leurs machines.
Je crois que malheureusement tu te trompes. Même avec 60 millions de personnes, ils sauront écouter, lire et stocker l'info.
Par contre en lisant cet article, une question me vient immédiatement à l'esprit : comment ce site a-t-il obtenu un tel niveau d'informations ? (tracer l'ordi par lequel est entré le virus, obtenir le VBS). Autre point sur cet article, outre son ton atypique : le mélange suppositions et faits non-sourcés pour recréer le scénario me dérange un peu, surtout avec aussi peu de recul.
Pareil. J'ai beaucoup de mal à y croire, à cette histoire.
La frontière est quand même ténue. On te demande de coopérer tout le temps et en permanence avec la justice, c'est à dire de lui fournir en permanence toutes tes clés de chiffrement. La justice avisera ensuite de te poursuivre ou non selon ce qu'elle est susceptible de trouver dans tes données. Tu n'as pas à savoir qui utilises tes clés, tes données, ni ce qui est cherché, ni quand.
Un illustre inconnu a dit un jour sur internet: "Donnez moi l'historique de navigation de quelqu'un sur internet et j'y trouverai de quoi l'incriminer plusieurs fois."
Moi j'ai pas lu grand chose, j'ai pas vu de haine aveugle, la seule chose que j'ai vu c'est qu'un mec qui se pose des questions sur systemd se fait pourrir et ses posts arrivent aux fonds des abysses.
Je confirme. C'est vraiment étonnant. Je suis plutôt content de systemd, j'aime bien le pourrir comme je le fais avec beaucoup d'autres softs ou distros. Par exemple je vomis debian (alors que j'en suis un heureux utilisateur au quotidien), et je n'ai jamais vu de telles marques d'agressivité. On peut se rentrer dedans sur VLC vs mplayer, Gnome vs KDE vs tile manager, vi vs emacs, google vs bing, Voiture vs motard, linuxfr vs apple.com, mais dès qu'on commence à causer systemd, les gens se hérissent.
A preuve: le journal est à moins je ne sais pas combien! Moi, le poisson d'avril m'a fait hurler de rire et je ne vois que des commentaires de gens drapés dans leur sérieux morbide à dire que les anti systemd primaires ne sont que des cons injurieux qui se décrédibilisent à eux tout seul. Détendez vous les mecs, c'est le printemps, allez draguer un peu, buvez une bière fraîche et faites des risettes.
Sur ce, je vais aller faire imprimer un tee-shirt "Je suis systemd" sur fond noir.
Je pense que tu peux répondre "j'ai oublié le code". Mais le fait est que cette réponse est entendue par un juge. Et libre au juge de se faire une idée suite à ta réponse:
-il peut s'en foutre totalement
-il peut trouver que ta réponse est extrêmement suspicieuse
-il peut ajouter cette info à un faisceau de présomptions
N'oubliez pas que dans ce genre de situations vous êtes face à un être humain, et non pas à une machine qui raisonne en binaire. Tout dépend donc de la manière dont sont annoncées les choses:
Mr le juge, je n'ai pas fait du revenge porn avec ma copine car je n'ai jamais eu de photos d'elle, et vous pourrez jamais vérifier l'absence de photos d'elle sur mon PC car j'ai malheureusement oublié mon mot de passe.
Ou: Oui, suite à la perquisition chez Mr Voleur, on a retrouvé ce PC qui est le mien, mais depuis le temps, j'ai perdu mon mot de passe, mais c'est le mien je vous assure, rendez le moi.
Cet argument de redémarrage qui tend à "prouver" que systemd fait bien les choses est quand même étonnant.
init, le bon vieux binaire qui date du millénaire dernier sait redémarrer des démons qui se sont arrétés, man inittab pour les détails. Le fichier contient des lignes:
id:niveaux_exécution:action:processus
Avec l'action qui peut être respawn afin de redémarrer le processus après son arrêt (ou plein d'autres choses comme once, bootwait, etc..). Et init ne fait pas ça n'importe comment, si un démon se crash trop souvent, il arrête d'essayer de le redémarrer (vous n'avez jamais lu: "XXX is respawning too fast, disabled for 5mn" ?)
J'utilise systemd car j'utilise une distribution qui l'a mis par défaut, mais j'ai toujours autant de mal à comprendre les arguments des pro-systemd qui annoncent des fonctionnalités aussi anciennes comme étant une révolution dûe à la génialité de systemd. Un état d'esprit proche des apple fanboy? Je ne sais pas.
Ce bug n'est pas la fin du monde comme annoncé. On peut rire et se moquer du PR de Qualys, mais je pense qu'il faut saluer le boulot qu'ils ont fait.
Le rapport est fouillé, travaillé, ils donnent le code d'exploit et l'analyse du code source. Ils ont passé en revue un grand nombre de binaires système et indiquent dans quels cas ceux-ci peuvent être vulnérable ou non.
Mais surtout, alors que personne n'avait rien trouvé comme vecteur d'exploitation distant (ni le bug initial, ni sa redécouverte chez google), ils ont eu l'idée d'utiliser un header SMTP et ont trouvé un serveur vulnérable. L'exploit derrière est propre (ils indiquent comment contourner ASLR, NX etc..). Donc chapeau bas pour la qualité technique de l'article de Qualys, c'est pas un de cas vagues bug report qui dit: "une erreur non spécifiée peut provoquer un overflow et éventuellement exécuter du code, OMG OMG OMG!!!".
Il faut dire que l'état fournit un middleware opensource qui est directement compatible avec le standard PKCS11
rhaaaaaaah! Mais c'est Noël? Mais c'est énorme! C'est génial, il faudrait en faire un nourjal rien que pour ça? \o/ L'état qui file des sources, standard, mais juste rhaaaah lovely quoi. Et il y a même de la doc pour les gens sous nux, c'est le genre de truc qui fait plaisir pour commencer 2015 :)
Je salue bien bas la performance et les qualités de ce nouveau format d'image, mais comme dit plus haut, je ne sais pas si ça va percer.
On met en avant la qualité des images même en cas de compression élevée. OK. Mais aujourd'hui ou le moindre site est rempli de centaines de ko, voire Mo de javascript dans tous les sens + du flash + des pubs + des css délirantes, qui irait d'ennuyait à recomprimer des images pour passer de 50ko à 15ko?
[^] # Re: Avoir un code executable sur un site web...
Posté par octane . En réponse au journal Petite prévision pour l'avenir. Oracle !. Évalué à 2. Dernière modification le 12 août 2015 à 10:11.
en fait, rien
(on peut pas effacer un commentaire?)
[^] # Re: Le probléme d'origine
Posté par octane . En réponse à la dépêche Envoi de spam à partir d'un serveur, comment réagir ?. Évalué à 8.
Ou pas.
http://0x90909090.blogspot.fr/2015/07/no-one-expect-command-execution.html
En fait, plein de commandes permettent d'en exécuter d'autres, sans avoir besoin de faille.
[^] # Re: Et Enigmail ?
Posté par octane . En réponse à la dépêche Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource. Évalué à 4.
Je ne crois pas que GPG est "relativement simple"
http://www.thoughtcrime.org/blog/gpg-and-me/
C'est un commentaire de Moxie Marlinspike, un gars vraiment balaise en sécurité et en chiffrement. Entre autre:
Eventually I realized that when I receive a GPG encrypted email, it simply means that the email was written by someone who would voluntarily use GPG. I don’t mean someone who cares about privacy, because I think we all care about privacy. There just seems to be something particular about people who try GPG and conclude that it’s a realistic path to introducing private communication in their lives for casual correspondence with strangers.
(Trad.)
Puis je me suis rendu compte que lorsque je recevais un mail chiffré avec GPG cela signifiait seulement qu'il était écrit par quelqu'un qui voulait utiliser volontairement GPG. Pas quelqu'un qui était concerné par la confidentialité, car je pense qu'on est tous concerné par confidentialité. C'était plus quelque chose lié aux gens qui essayent GPG et qui pensent que c'est un bon moyen pour rendre leurs communications privées lorsqu'ils correspondent avec des étrangers.
[^] # Re: Je suis ahuris...
Posté par octane . En réponse au journal L'affaire Bluetouff. Évalué à 8.
Et pourtant, le point central du jugement repose sur le fait qu'il a reconnu ce fait. Le juge ne dit pas: "je déduis que", il a dit "Le prévenu reconnait que". Tout le reste, c'est supposition hasardeuse.
Je n'ai plus le courage d'aller repiocher une fois de plus les docs du procès (c'est public, hein, allez-y vous même), mais il n'a pas dit: "j'ai vu une page de login, déduisez en ce que vous voulez", il dit "j'ai bien vu qu'une page de login était censé m'interdire l'accès mais je suis resté".
Pas de bol, c'est lui l'expert, et si l'expert reconnaît lui-même avoir déconné, alors le juge n'a besoin d'aucune connaissance technique et paf condamné.
Le plus terrible, c'est que je pense que le jugement aurait pu avoir une toute autre tournure s'il avait dit: "j'ai vu une page de login, et je me suis gardé d'aller voir ce qui était derrière puisque je n'ai ni log ni pass, mais je suis retourné sur l'espace public précédemment consulté pour lire les docs. Sous entendu, ni j'entre dans un STAD, ni je m'y maintiens, puisque je reste dans l'espace public. Ah? ce n'était pas public? Comment aurais-je pu le savoir, puisque je n'ai jamais essayé de forcer un login/pass". Là, l'anses aurait du prouver l'intention frauduleuse et le maintien, et ça aurait extrêmement difficile, surtout après avoir dit que l'admin de l'anses a fait n'importe quoi niveau publication et permissions. La bonne foi de Bluetouff aurait été retenue, et relaxe.
[^] # Re: Plein de mélanges
Posté par octane . En réponse au journal L'affaire Bluetouff. Évalué à 9.
On est d'accord. Et ce n'est pas la dessus que porte le jugement. Le jugement avait trois chefs d'accusations:
1/ Entrée frauduleuse dans un STAD
2/ Maintien frauduleux dans un STAD
3/ Vol de documents.
Que dit le juge:
1/ bon, bah c'est pas caractérisé, et même le plaignant dit qu'ils ont mal configuré le serveur; on laisse tomber.
2/ Ah bah c'est compliqué à prouver, mais le prévenu dit de lui même qu'il s'est maintenu dans le STAD en sachant que c'était interdit. Ca donne de la matière pour condamner.
3/ bah on sait pas trop, le vol c'est mal tout ça, mais on sait pas trop quoi dire, et de toute façon on peut le condamner seulement avec le maintien frauduleux dans le STAD donc on met le point 3/ sous le tapis.
Conclusion: Bluetouff condamné.
le peuple: atta, je vais faire une analogie avec des recettes de cuisine, une voiture et une bibliothèque pour te prouver que Bluetouff est gentil (j'en suis sur) que le serveur est tout pourri (j'en suis sur aussi) et qu'il faut tout casser car les juges sont tous pourris et comprennent rien à rien (j'en suis moins sur)
[^] # Re: Je suis ahuris...
Posté par octane . En réponse au journal L'affaire Bluetouff. Évalué à 3.
Non, encore un fois, on ne parle pas de barrière, ou de la qualité de cette barrière, ou de quoi que ce soit. Bluetouff a reconnu savoir qu'une barrière était là (que cette barrière soit inefficace est un autre débat) et qu'il est resté quand même.
Les docs du procès disent bien que l'entrée frauduleuse n'a pas été retenue. C'est le maintien, une fois que Bluetouff s'est rendu compte qu'il était dans un dossier dans lequel il n'aurait pas du avoir le droit, qui pose problème.
[^] # Re: Plein de mélanges
Posté par octane . En réponse au journal L'affaire Bluetouff. Évalué à 4.
Tu es juge. On porte plainte: Mr X est resté chez moi alors qu'il n'avait pas de carte de membre.
Que dit Mr X: "oui, oui, je savais bien qu'il fallait une carte de membre mais je suis resté quand même sans carte de membre".
Mr le juge, éclairez-nous, est-ce qu'il est resté sans carte de membre?
Arrêtez de vous focalisez sur ce qui est écrit ou non, sur ce qu'on imagine, ce que le juge imagine, sur le temps qu'il faisait ce jour là et autre trucs. Juridiquement, la solution est limpide et est résumée dans les deux lignes du dessus.
[^] # Re: Plein de mélanges
Posté par octane . En réponse au journal L'affaire Bluetouff. Évalué à 8.
Sauf que tu oublies de dire dans ton analogie, c'est que bluetouff dit lui même:
J'ai demandé des documents, je les ai eus. Puis je suis allé à l'entrée de la bibliothèque et j'ai bien vu qu'il fallait une carte de membre pour prendre les livres. Mais j'y suis retourné et j'ai tout pris. Mais j'avais bien vu qu'il fallait une carte de membre que je n'avais pas, et je suis resté quand même, hein.
Quoi, on m'accuse d'être resté illégalement dans cette bibliothèque? Mais les docs étaient en libre accès malgré le fait que je sache qu'il y ait besoin d'une carte de membre que je n'avais pas. Le bibliothécaire c'est de sa faute de ne pas m'avoir demandé ma carte de membre que je sais obligatoire, et que je n'ai pas, de m'avoir donné les docs, je le sais, je suis resté très longtemps pour prendre tous les documents.
Tu es juge, on te demande si le monsieur est coupable d'être resté dans un bibliothèque sans carte de membre, on ne te demande pas de savoir si la bibliothèque fait bien son boulot.
La réponse n'est pas très difficile à donner.
[^] # Re: Je suis ahuris...
Posté par octane . En réponse au journal L'affaire Bluetouff. Évalué à 2.
non. Il a trouvé des documents sans problèmes. C'est pour ça que l'entrée frauduleuse dans un STAD n'est pas retenue.
Le problème, c'est qu'il dit lui-même avoir constaté que l'accès à ces docs était protégé par un login/password!!! Et qu'il dit ensuite être resté tout de même pour télécharger l'ensemble des docs. Donc le maintien frauduleux est caractérisé, et paf la condamnation.
[^] # Re: Je suis ahuris...
Posté par octane . En réponse au journal L'affaire Bluetouff. Évalué à 5.
Mériter, non. Mais que la justice le punisse, oui, c'est juridiquement imparable.
Oui, enfin gplviolations etc, c'est basé justement là-dessus, et la première défense des boites qui se font chopper la main dans le sac est de répondre: "on a repris qu'un petit bout de code qui est de toute façon public, pourquoi vous nous ennuyez avec cette histoire"
Pouir revenir à Bluetouff et arrêter un peu la branlette intellectuelle des hypothèses farfelues, on se calme et on lit le doc:
http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3739
Je cite: "L’audition du responsable technique de l‘Anses confirmait les éléments de la plainte, à savoir une erreur de paramétrage du serveur hébergeant l’extranet (ensemble des fichiers accessibles en lecture) "
Ce qui explique bien pourquoi l'anses n'a pas porté plainte, ils se sont vautrés dans la config d'apache, il est difficile de dire ensuite qu'on les a piraté.
"Lors de ses auditions, Monsieur Olivier L. reconnaissait avoir récupéré (…) l’ensemble des données accessibles sur le serveur extranet de l’Anses. Il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google."
et
"il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celui-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la présence de contrôles d’accès (authentification par identifiant et mot de passe)."
Pour un juge, lorsque Bluetouff dit: "je reconnais avoir constaté la présence de contrôle d'accès", le juge comprend bien qu'il est entré là ou c'est interdit sans qu'il y ait besoin d'évaluer la qualité ou l'efficience du contrôle d'accès et sans avoir besoin de sortir des arguments techniques.
Enfin, relisez l'article de Maitre Eolas, il est très clair.
Ensuite, l'affaire aurait du s'arrêter au retrait de la plainte de l'anses (et au retrait des documents sur reflets.info, ce qui est discutable). Si vous voulez râler, ne ralez pas sur l'indéfendable, ralez sur les raisons qui poussent le ministère public à continuer l'action contre bluetouff malgré le retrait de plainte. Et ça, c'est scandaleux, et ça laisse ouvert l'hypothèse d'une vengeance gratuite dans l'unique but d'ennuyer bluetouff: on ne sort jamais vraiment indemne d'un procès, même innocenté; c'est long, c'est fatiguant nerveusement et ça ne finit presque jamais.
[^] # Re: foreach (@king) { bronsanisate($_); }
Posté par octane . En réponse au journal BB King Bronsonisé. Évalué à 1.
J'ai peu souvent vu le terme bronsanisate sur ce site. Quelqu'un en connait l'origine?
[^] # Re: Intérêts économiques du pays
Posté par octane . En réponse au journal L'Armée Française et ses logiciels, bis repetita.... Évalué à 2.
Ca ne s'appelle pas un procureur.
Il te semble mal.
# http://www.cvedetails.com/cve/CVE-2012-1823 et ckeditor de 2012
Posté par octane . En réponse à la dépêche Remonter une attaque et trouver la faille avec les logs d'Apache2. Évalué à -2.
Heeeeeeu, tu es en train de dire que tes sites sont vulnérables à des failles qui datent de 2012? Sérieusement? Et ils ne se sont pas fait pourrir avant 2015?
A part ça, bon article, intéressant.
[^] # Re: La suite pour nous utilisateurs ?
Posté par octane . En réponse au journal La vie privé connectée disparait de France. Évalué à 2.
Je crois que malheureusement tu te trompes. Même avec 60 millions de personnes, ils sauront écouter, lire et stocker l'info.
[^] # Re: De la publication du mode opératoire
Posté par octane . En réponse au journal TV5 monde : Piratage et prise de controle totale. Évalué à 5.
Pareil. J'ai beaucoup de mal à y croire, à cette histoire.
[^] # Re: On chiffre comment, sinon ?
Posté par octane . En réponse au journal Le chiffrement en France. Évalué à 3.
Regarde du côté de TRESOR.
https://www1.cs.fau.de/filepool/projects/tresor/tresor.pdf
"TRESOR Runs Encryption Securely Outside RAM"
[^] # Re: Intervention police...
Posté par octane . En réponse au journal Le chiffrement en France. Évalué à 4.
La frontière est quand même ténue. On te demande de coopérer tout le temps et en permanence avec la justice, c'est à dire de lui fournir en permanence toutes tes clés de chiffrement. La justice avisera ensuite de te poursuivre ou non selon ce qu'elle est susceptible de trouver dans tes données. Tu n'as pas à savoir qui utilises tes clés, tes données, ni ce qui est cherché, ni quand.
Un illustre inconnu a dit un jour sur internet: "Donnez moi l'historique de navigation de quelqu'un sur internet et j'y trouverai de quoi l'incriminer plusieurs fois."
[^] # Re: Note aux anti-systemd
Posté par octane . En réponse au journal Ne dites plus GNU/linux, mais GNU/systemd. Évalué à 10.
Je confirme. C'est vraiment étonnant. Je suis plutôt content de systemd, j'aime bien le pourrir comme je le fais avec beaucoup d'autres softs ou distros. Par exemple je vomis debian (alors que j'en suis un heureux utilisateur au quotidien), et je n'ai jamais vu de telles marques d'agressivité. On peut se rentrer dedans sur VLC vs mplayer, Gnome vs KDE vs tile manager, vi vs emacs, google vs bing, Voiture vs motard, linuxfr vs apple.com, mais dès qu'on commence à causer systemd, les gens se hérissent.
A preuve: le journal est à moins je ne sais pas combien! Moi, le poisson d'avril m'a fait hurler de rire et je ne vois que des commentaires de gens drapés dans leur sérieux morbide à dire que les anti systemd primaires ne sont que des cons injurieux qui se décrédibilisent à eux tout seul. Détendez vous les mecs, c'est le printemps, allez draguer un peu, buvez une bière fraîche et faites des risettes.
Sur ce, je vais aller faire imprimer un tee-shirt "Je suis systemd" sur fond noir.
[^] # Re: Intervention police...
Posté par octane . En réponse au journal Le chiffrement en France. Évalué à 5.
Je pense que tu peux répondre "j'ai oublié le code". Mais le fait est que cette réponse est entendue par un juge. Et libre au juge de se faire une idée suite à ta réponse:
-il peut s'en foutre totalement
-il peut trouver que ta réponse est extrêmement suspicieuse
-il peut ajouter cette info à un faisceau de présomptions
N'oubliez pas que dans ce genre de situations vous êtes face à un être humain, et non pas à une machine qui raisonne en binaire. Tout dépend donc de la manière dont sont annoncées les choses:
Mr le juge, je n'ai pas fait du revenge porn avec ma copine car je n'ai jamais eu de photos d'elle, et vous pourrez jamais vérifier l'absence de photos d'elle sur mon PC car j'ai malheureusement oublié mon mot de passe.
Ou: Oui, suite à la perquisition chez Mr Voleur, on a retrouvé ce PC qui est le mien, mais depuis le temps, j'ai perdu mon mot de passe, mais c'est le mien je vous assure, rendez le moi.
[^] # Re: Adoption de systemd
Posté par octane . En réponse au journal KDE Plasma et systemd. Évalué à 10.
Cet argument de redémarrage qui tend à "prouver" que systemd fait bien les choses est quand même étonnant.
init, le bon vieux binaire qui date du millénaire dernier sait redémarrer des démons qui se sont arrétés, man inittab pour les détails. Le fichier contient des lignes:
id:niveaux_exécution:action:processus
Avec l'action qui peut être respawn afin de redémarrer le processus après son arrêt (ou plein d'autres choses comme once, bootwait, etc..). Et init ne fait pas ça n'importe comment, si un démon se crash trop souvent, il arrête d'essayer de le redémarrer (vous n'avez jamais lu: "XXX is respawning too fast, disabled for 5mn" ?)
J'utilise systemd car j'utilise une distribution qui l'a mis par défaut, mais j'ai toujours autant de mal à comprendre les arguments des pro-systemd qui annoncent des fonctionnalités aussi anciennes comme étant une révolution dûe à la génialité de systemd. Un état d'esprit proche des apple fanboy? Je ne sais pas.
[^] # Re: Sans le bullshit marketing
Posté par octane . En réponse au journal Faille de sécurité glibc. Évalué à 10.
Ce bug n'est pas la fin du monde comme annoncé. On peut rire et se moquer du PR de Qualys, mais je pense qu'il faut saluer le boulot qu'ils ont fait.
Le rapport est fouillé, travaillé, ils donnent le code d'exploit et l'analyse du code source. Ils ont passé en revue un grand nombre de binaires système et indiquent dans quels cas ceux-ci peuvent être vulnérable ou non.
Mais surtout, alors que personne n'avait rien trouvé comme vecteur d'exploitation distant (ni le bug initial, ni sa redécouverte chez google), ils ont eu l'idée d'utiliser un header SMTP et ont trouvé un serveur vulnérable. L'exploit derrière est propre (ils indiquent comment contourner ASLR, NX etc..). Donc chapeau bas pour la qualité technique de l'article de Qualys, c'est pas un de cas vagues bug report qui dit: "une erreur non spécifiée peut provoquer un overflow et éventuellement exécuter du code, OMG OMG OMG!!!".
[^] # Re: trop tôt
Posté par octane . En réponse au journal Faille de sécurité glibc. Évalué à 4.
export PS1=">_ "
'service
# Noël
Posté par octane . En réponse au journal Belgian Electronic Card. Évalué à 10.
rhaaaaaaah! Mais c'est Noël? Mais c'est énorme! C'est génial, il faudrait en faire un nourjal rien que pour ça? \o/ L'état qui file des sources, standard, mais juste rhaaaah lovely quoi. Et il y a même de la doc pour les gens sous nux, c'est le genre de truc qui fait plaisir pour commencer 2015 :)
[^] # Re: Impression de déjà vu
Posté par octane . En réponse au journal Virus ?. Évalué à 3.
Si tu as encore le binaire, je le veux bien.
# Aucune chance de percer (bis)
Posté par octane . En réponse au journal Nouveau format d'image BPG. Évalué à 3.
Je salue bien bas la performance et les qualités de ce nouveau format d'image, mais comme dit plus haut, je ne sais pas si ça va percer.
On met en avant la qualité des images même en cas de compression élevée. OK. Mais aujourd'hui ou le moindre site est rempli de centaines de ko, voire Mo de javascript dans tous les sens + du flash + des pubs + des css délirantes, qui irait d'ennuyait à recomprimer des images pour passer de 50ko à 15ko?