Dans le cadre d'un scénario d'attaque: pour exploiter ces commundes, il faut déjà être en mesure d'exécuter du code sur la puce.
Ce sont des commandes hci, non? Donc avoir déjà un gros niveau de privlèges sur l'hôte qui communique avec la puce BT.
il pourrait trouver un moyen d'exploiter ces commandes pour, peut-être, réussir à injecter du code quelque part
Il utiliserait ces commandes pour analyser le firmware et trouver une vuln dans le firmware de la puce BT. Ce sont des commandes de DEBUG, donc depuis un hôte privilégié (genre faut être root quoi), tu va pouvoir accéder à des infos sur le chip BT.
Avec une chance absolument énorme (et beaucoup de travail), il trouverait une vuln qui permettrait, en envoyant des trames BT, de prendre le contrôle de la puce BT (et ça j'y crois pas trop). Et ensuite, ben il est root d'un chip wifi, et il va falloir basculer depuis le chip wifi sur l'hôte pour obtenir un truc intéressant. Bref, en tant qu'attaquant tu passes de trois fois rien à pas grand chose.
Je n'ai jamais observé ça. C'est quoi zefklop ? Un exemple concret, pas inventé, permettrait d'évaluer la situation correctement et objectivement.
tor
Y'a un tor.service et un tor@default.service. Encore une syntaxe à apprendre (mais pourquoi le arobase?? quel est le sens de tout ceci?), il y a surement une bonne explication à ce truc qui me paraît initialement incompréhensible.
Bon, rarement quand-même, il y a souvent une bonne explication à un truc qui nous parait initialement incompréhensible.
Oui, mais on est pas forcément d'accord avec ces justifications.
C'est sûr que si tu prends les dev pour des adversaires, la vie va être triste.
I'm my worst enemy, muhahahaha!!!
Propose aussi simple avec les outils Unix traditionnels.
tail -f /var/log/messages | grep zefklop
En fait, je pense qu'il y a pas vraiment de solution. Je vais continuer de rager dans mon coin tel un vieux boomer qui râle en disant que de son temps les trains arrivaient à l'heure et les prix ne dépendaient que de la distance, et je suis entouré de gens qui vont me dire que non non vieux boomer c'est mieux avec la nouvelle tarification et que j'ai le choix entre uber et blablacar. systemd fait plein de trucs géniaux, j'ai toujours pas compris (enfin si j'ai très bien compris, mais ce ne sont pas des problèmes pour moi) quels problèmes ça résoud et quel génie Lennart est.
Je vais m'en retourner à mon service de tartiflette on premise, parceque l'heure tourne (déjà midi passé! :o )et que j'ai faim.
La mauvaise foi…
Tu vois bien que la commande systemctl donne beaucoup plus d'information que ta commande ps
J'ai pas dit que ça en donnait plus ou moins.
active (exited) se comprend aisément : le service est active mais ce n'est pas un démon. un démon afficherait active (runing)
Ah bah ui, c'est évident. Bien sûr. C'est clairement indiqué. Parfaitement lumineux. Running pour un daemon, exited pour pas un daemon. Mais mon service zefklop est un daemon. Sauf qu'il n'en est pas un, c'est clair comme du cristal avec "active (exited)".
Pour les logs, à ma connaissance, toutes les distributions continuent à fournir rsyslog même si ce n'est pas installé par défaut. Donc tu as le choix et cela te laisse le temps de te familiariser avec journald pur en voir les avantages et les incovénients.
attends je retrouve mes notes ou j'avais noté les options utiles de journalctl.
Je ne vois pas comment on peut prétendre administrer un système (en pro ou en amateur), pou faire du développement, sans faire de la veille technologique et lire de la doc. Et pour ne pas oublier, on prend des notes surtout quand ce sont des choses inhabituelles et nouvelles.
Donc exactement ce que j'ai fait?
(oulala mon karma en prend un coup sévère)
(vite, vite :
Oh, systemd, tu es si grand, si beau 🎶😅
Un seul process pour tout, quel cadeau ! 🎵🤨
Tes logs en binaire, quel doux parfum 🤩🎶
Et tes dépendances, un vrai festin ! 🎵🙃
Qui voudrait d'un Unix léger et charmant ? 🤔🎶
Vive systemd… (et pour longtemps?) 😵🎵
siouplaît, pourrissez pas trop mon karma coeur avec les doigts)
Tu installes un nouveau service, tu sais direct comment t'en servir, et notamment que tu peux avoir ses logs en lançant journalctl -fu service par exemple. grep, tail, tout ça, tu peux continuer à les utiliser en apprenant une commande : journalctl -u service; c'est pas la mort. En général il y a un flag pour faire ça mieux direct dans l'outil, mais c'est toujours possible.
Ou pas. Genre tiens mon service "zefklop" a pas démarré (ou si?). Faisons juste un ps ax | grep zefklop. oula non. systemctl status zefklop parcequ'on est moderne:
octane@patate:~ $ systemctl status zefklop
● zefklop.service - On-premise tartiflette AI powered (multi-instance-master)
Loaded: loaded (/lib/systemd/system/zefklop.service; enabled; preset: enabled)
Active: active (exited) since Tue 2025-02-18 17:20:32 GMT; 14h ago
Process: 302473 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
Main PID: 302473 (code=exited, status=0/SUCCESS)
CPU: 6ms
Feb 18 17:20:32 patate systemd[1]: Starting zefklop.service - tartiflette On-premise
Feb 18 17:20:32 patate systemd[1]: Finished zefklop.service - tartiflette On-premise
Bien bien bien. Du coup on a "active (exited)" Ca veut dire quoi? code=exited status=SUCCESS? Donc il a démarré, mais il est arrêté?
Bah non, tout faut, zefklop.service c'est un lien sur /bin/true (pourquoi? parceque fuck you, that's why!!) et qu'il fallait utiliser systemctl start zefklop@default t'avais qu'a lire la doc! (wut?). Et t'as de la couleur dans le terminal! Et va pas faire un tail /var/log/messages parcequ'il est vide, lol! systemd c'est modulaire, mais faut prendre tout le package complet sinon ça marche moins bien.
Cette standardisation, ça demande effectivement un apprentissage initial, mais sur le long terme, c'est moins la pagaille, l'ensemble est plus facile à comprendre et au final c'est moins d'effort.
Ouais. Comme tail, grep, cat, et quelques autres outils utilisés universellement ailleurs. C'est effectivement un apprentissage initial (c'est quoi déjà le -x de journalctl? ou c'est -u, ou attends je suis au travers d'un xterm dans un VNC et journalctl a gentiment mis de la couleur et du scroll à droite/gauche sauf que du coup j'ai pas la fin de la ligne).
C'est toujours un plaisir de passer 2h à chercher de la doc pour apprendre l'existence d'une option assez obscure et mystérieuse qui fait exactement ce que tu veux faire dans un cas précis d'usage (car systemd sait ce qui est bon pour toi). Tu mets l'option, ça marche de manière assez mystérieuse, et tu t'empresses de l'oublier. Learn once, use once, forget immediately. Ca me rappelle l'époque héroïque de windows quand on te disait d'aller manipuler des clés dans la base de registre avec des valeurs opaques. Des fois ça marchait bien. J'ai du utiliser l'autre jour "ConditionPathExists=!/etc/ssh/sshd_not_to_be_run
" Je suis heureux de savoir que ce genre de directive existe. C'est très utile.
Je vais me faire moinsser encore une fois, mais vous connaisser le sketch du tailleur de Fernand Reynaud? https://www.youtube.com/watch?v=TtADuXkM560 bah je crois que c'est un peu ça le principe. Tu fais tout comme systemd veut que tu fasses, t'es content. Tu veux faire légèrement différent, il ne reste qu'à te tordre en deux pour faire à la manière de systemd et tu seras content. Ca va toujours pas? Bah t'as toujours rien compris, tu te tiens mal et tu fais mal, fais comme systemd veut et tords toi encore un peu et ça sera bien.
Sauf que utiliser une backdoor imposée permet de l'utiliser dans tes enquêtes, et permettre de collecter des preuves, utiliser une faille est illégale et rends l’obtention de la preuve illégale.
Mais là, tu sous-entends que le gouvernement veut que cela soit légal. La NSA, quand elle écoute un gouvernement étranger s'en contrefiche de la légalité (par défaut l'espionnage, c'est illégal de toute façon…). Ensuite, et je pense que c'est une vraie question de démocratie, c'est comment savoir de manière formelle comment la preuve t'incriminant a été obtenue? Il est tellement facile pour la police de faire un "contrôle inopiné" au bon endroit au bon moment sans dire qu'ils t'écoutent depuis des semaines. Bref, j'arrête sinon ma parano va remonter très fort.
Ajoute à cela que justement les failles étant découvertes et corrigées, cela impose de devoir mettre à jour ta surveillance.
ouais, une faille de corrigée, 10 de plus de trouvées. La NSA (cf snowden) avait un catalogue qui débordait de failles, donc ils pouvaient en perdre tant qu'ils voulaient.
Le gros problème des backdoor, c'est lorsqu’elle sont compromises
ouais, c'est bien mon opinion. Pourquoi se prendre la tête à utiliser des backdoors? Je dis pas qu'il y en a pas, c'est que j'ai vraiment du mal à comprendre leur intérêt.
Ouais, donc le FAI peut répondre ce qu'il veut. Avec un bon certificat SSL, il pourrait lire le contenu de certains sites (pas tous, cf ssl pinning etc..) que tu consultes. Mais dans les faits, ça marche pas bien.
C'est un peu comme l'insertion de la publicité et des traqueurs dans les pages, ça fait courir un risque important pour l'Internaute.
Oui! je mettrais bien deux fois "pertinent" à ton message \o/
Ceci étant dit, il est fort probable que la majorité des gouvernements essayent de mettre des backdoor dans linux, certains peut-être avec des gros moyens et certains peut-être avec succès.
Franchement, pourquoi aller s'ennuyer à mettre une backdoor alors qu'il suffit de chercher des vulnérabilités? Tous les mois on voit passer des CVE sur le kernel, il y en a surement plein qui sont dans les mains des gouvernements.
Mettre une backdoor c'est d'autant plus risqué que le jour a l'info fuite, tu es dans l'embarras. Trouver des vulns? Je suis sûr qu'il en reste une palanquée.
Bien sûr, il est courtois de descendre chercher le colis. D'un autre côté, pour avoir discuté avec des livreurs, les sociétés de livraisons comptent sur la courtoisie des gens pour accélérer les livraisons: le livreur appelle la livraison N quand il livre la N-1, et c'est toi qui patiente en bas. Et quelque part, ça me chipote vraiment beaucoup: ma courtoisie participe au bénéfice d'une société de livraison capitalistiques, qui en plus met la pression sur ses livreurs pour accélérer les tournées. Au boulot, un livreur a carrément piqué une colère et insulté le collègue qui refusait de descendre chercher un carton, on a retrouvé le carton par terre sur le trottoir. Entre deux insultes à l'interphone le gars disait qu'il risquait de perdre sa place car il avait pas le temps de monter chez tout le monde.
Donc oui, il est sympathique de descendre, mais quand tu sais que des personnes calculent et comptent sur cette sympathie pour optimiser leur gains, tu te dis que ce monde capitaliste est totalement pourri, et le livreur suivant tu lui dis "balek frérot, tu montes à ma porte, je vais pas bouger mon cul pour permettre à un connard de financier d'optimiser un placement permettant à un connard de rentier de faire progresser plus vite son tas d'argent". Oui, ça tombe sur le livreur qui a rien demandé. Des fois je préférerai un petit jeff bezos en plastique pour lui taper dessus(*). Mais bon.
Et on retrouve souvent cette vampirisation de la gentillesse pour le profit. Il existe la même chose avec l'overbooking: les compagnies savent très bien qu'en cas d'overbooking, un ou deux pauvres gars vont juste accepter le fait et ne pas monter dans l'avion/bus/train. Toujours ça de profit en plus!
(* tiens, je vais voir sur amazon si ils en proposent à la livraison, euh, wait.)
Alors c'est du chatgpt tout bête avec un prompt: "Peux tu me dessiner un plat en pyrex hexagonal? Fais le de façon photoréaliste dans un décor de studio, neutre, comme une publicité."
Je suis d'ailleurs très amusé qu'il n'ait pas pu s'empêcher de coller des petits dessins d'hexagones en bas à gauche et au milieu du plat:D
Ça n'empêche pas d'avoir de grosses erreurs, mais ce n'est pas des hallucinations
Bah, je ne sais pas trop. Si une IA me dit que Médor c'est un muffin aux myrtilles, alors j'ai tendance à dire que l'IA hallucine.
Et si chatGPT me dit que E=mc3 alors je dis que c'est une grosse erreur.
Je critique pas ce que tu dis, j'essaye juste de me faire une idée
AlphaGo et ChatGPT sont des IA. La différence est que AlphaGo ne va jamais halluciner (i.e jouer un coup invalide)
ChatGPT ne va pas non plus donner des phrases dénuées de sens (au sens invalide). Alphago va peut-être halluciner, i.e. jouer un coup très très surprenant pour un humain (pas forcément mauvais, mais auquel aucun humain ne penserait). Je m'interroge beaucoup sur ces questions d'hallucinations et je n'arrive pas à me formuler un avis :-/
mais si les LLM sont des IA, toutes les IA ne sont pas des LLM
Cette remarque m'amène à te demander des précisions. Les LLM, je vois grosso modo ce que c'est. Mais une IA qui n'est pas un LLM et qui n'a pas d'hallucinations, je suis curieux de savoir ce que c'est (?) Ou alors un système à base de if-then-else est une IA? ou je comprends rien?
Il donne pas mal de programmes, d'infos, de check à faire etc etc..
Je suis sûr de la présence de certaines lettres, de la longueur maximale (et j'ai une limite basse aussi)
Là, il faut un autre programme qui va te générer un dictionnaire. John dispose d'un langage spécifique permettant de générer des candidats à partir de règle. Par exemple:
-Je pars d'un mot du dictionnaire
-Je remplace les o par des 0
-J'ajoute le suffix '555!!!' systématiquement
etc etc
John va être capable de te générer un dictionnaire basé sur ces règles. Hashcat à des options équivalentes. Une fois que tu as le dico, tu peux lancer le bruteforce avec l'outil le plus adapté. Ensuite, modifie subtilement ton dictionnaire, ajoute de la force brute, etc etc..
Donc je disais juste qu'il faut du coup faire attention à sa propre image mentale d'une assiette et des couverts.
Oui, je pense que j'ai surinterprété le message du posteur initial. Je pensais qu'il proposait le couteau et l'assiette à tout le monde pour faire 10. D'où problème, si on s'adresse à tous on a besoin d'un référentiel commun. Et pour la position du couteau on doit se baser du coup sur un référentiel pour partager l'image, et le seul référentiel possible qui est "les arts de la table" ne correspond pas à un 10. Mais à la relecture, je pense que le posteur originel ne parlait que de sa propre image mentale, et du coup, ça fonctionne (pour lui).
Pour finir, l’immense avantage de ce mode de communication, c’est que toute personne peut se volatiliser en un claquement de doigts et pendant le temps qu’il veut.
Et que c'est un des derniers sites web sans pub envahissante, sans 10000 trackers, sans inscription avec un téléphone qui te permette de mouler tranquillement avec un pseudo. J'ai pu troller gentiment sans risquer que mon employeur tombe dessus, et ça, c'est essentiel.
Je peux ptêt ajouter ma pierre à l'édifice. J'aim(ais)e bien la tribune, la twibioune, l'incubateur d'excellence. Ca trollait gentiment, ça posait des questions techniques de temps en temps, on avait un ancrage légèrement à gauche (youpi), et ça discutait. Puis bon, on a eu droit à des retwitters en masse, c'est un peu ennuyeux. Puis des retwitter de meme de droites. Puis des retwitters furieux de droite. Puis des retwitters acharnés dès qu'un tweet pouvait dire "bouh la gauche". C'est fatigant.
Autant on a eu des rafales de liens youtube de musiciens bizarre (perso j'aime pas, mais bon, on est dans de la découverte musicale, donc j'accepte les liens), autant les liens twitter qui sont qu'un ramassis continu de "gneugneugneugocho-woko-gocho-prout" ça devient lassant.
J'ai vu pas mal de communautés sur internet ou un couillon vient parcequ'il ya a une bonne ambiance, il pourrit le truc, et tout le monde finit par partir. Les commus qui tiennent, c'est souvent un bon modo et une sulfateuse à bannissement. Ce qu'il manque selon moi à la tribune, c'est une plonk list. Ca doit se faire avec un script greasemonkey, j'avais commencé à bricoler un truc qui marchait pas, je vais peut-être m'y remettre.
Et j'ai trouvé mon 10 : une assiette avec le couteau à côté
Ah bah non :-( Ca fait 01 du coup. On met le couteau à droite.
Mais en vrai, je trouve ça super intéressant comme concept. Pour apprendre les dates (ou codes, ou numéros de téléphone) j'utilisais le même genre de méthode. Dans mon ancien appart, le code était "64 51 32". Super facile à retenir: 64 est le double de 32, et il reste le 1 et le 5 pour faire 123456 et chaque paire est décroissante (et 64? bah si vous êtes informaticien, ce chiffre est forcément évident à se rappeler :D )
En ce moment je lis plein d'articles qui me disent que l'IA c'est le mal, que les LLM servent à rien, que c'est tout pourri, miroir aux alouettes, fausse bonne idée, etc etc etc… Les devs disent que l'IA les ralentit dans leur travail, que le code est plus long à corriger. Les littéraires disent que le texte est mauvais, les artistes disent que l'IA n'a aucune imagination, etc etc..
J'ai du mal à me défaire d'une idée. Autant lorsqu'une techno permet de créer des différenciateurs, les gens sont OK avec ça: par exemple, quand la bagnole arrive, on va avoir besoin de mécanos, de chauffeurs, etc.. quand internet arrive, on va avoir besoin d'informaticiens pour créer des technos, des protocoles, des applis, mais quand l'IA arrive, les cols blancs observent avec horreur que leurs métiers vont disparaitre très très vite.
Correcteur? Traducteur? bim, écrasé.
Programmeur? Même chose.
Admin sys? Badaboum.
Toutes les professions col blanc (comptable, administrateur, juriste, employé de paye, etc), remplacés directs.
Ceux qui se rendent compte de ce remplacement, ce sont les informaticiens, et sans surprise, ce sont les premiers à freiner en mode "nan nan, nous les informaticiens on est incontournables, et bien meilleurs que ces LLMs qui sont nuls, haha".
du coup, tous ces commentaires sur la faible qualité de l'IA seraient totalement hypocrites? (qui veut tuer son chien l'accuse de la rage). Et l'IA beaucoup plus performante (ou effrayante) que ce que laissent entendre ces posts de blogs.
Ah ui, c'est un vieeeeeeeux programme. Déjà qu'on rigole quand on voit que l'icone sauvegarder c'est une disquette (pour les plus jeunes d'entre nous, une disquette, c'est léquivalent d'une vieille clé USB), mais là, le seul icône qui est présenté, c'est celui de Netscape ("Netscape Navigator était un navigateur web qui a dominé le marché au milieu des années 1990." extrait de wikipedia)
[^] # Re: Réponse d’espressif
Posté par octane . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 8.
Ce sont des commandes hci, non? Donc avoir déjà un gros niveau de privlèges sur l'hôte qui communique avec la puce BT.
Il utiliserait ces commandes pour analyser le firmware et trouver une vuln dans le firmware de la puce BT. Ce sont des commandes de DEBUG, donc depuis un hôte privilégié (genre faut être root quoi), tu va pouvoir accéder à des infos sur le chip BT.
Avec une chance absolument énorme (et beaucoup de travail), il trouverait une vuln qui permettrait, en envoyant des trames BT, de prendre le contrôle de la puce BT (et ça j'y crois pas trop). Et ensuite, ben il est root d'un chip wifi, et il va falloir basculer depuis le chip wifi sur l'hôte pour obtenir un truc intéressant. Bref, en tant qu'attaquant tu passes de trois fois rien à pas grand chose.
Si ça intéresse des gens, je ne peux que les inviter à lire https://github.com/seemoo-lab/internalblue c'est super bien expliqué.
[^] # Re: C'est pas que je veuille cramer systemd, mais ...
Posté par octane . En réponse au lien 14 ans de systemd. Évalué à 2.
tor
Y'a un tor.service et un tor@default.service. Encore une syntaxe à apprendre (mais pourquoi le arobase?? quel est le sens de tout ceci?), il y a surement une bonne explication à ce truc qui me paraît initialement incompréhensible.
Oui, mais on est pas forcément d'accord avec ces justifications.
I'm my worst enemy, muhahahaha!!!
tail -f /var/log/messages | grep zefklop
En fait, je pense qu'il y a pas vraiment de solution. Je vais continuer de rager dans mon coin tel un vieux boomer qui râle en disant que de son temps les trains arrivaient à l'heure et les prix ne dépendaient que de la distance, et je suis entouré de gens qui vont me dire que non non vieux boomer c'est mieux avec la nouvelle tarification et que j'ai le choix entre uber et blablacar. systemd fait plein de trucs géniaux, j'ai toujours pas compris (enfin si j'ai très bien compris, mais ce ne sont pas des problèmes pour moi) quels problèmes ça résoud et quel génie Lennart est.
Je vais m'en retourner à mon service de tartiflette on premise, parceque l'heure tourne (déjà midi passé! :o )et que j'ai faim.
[^] # Re: C'est pas que je veuille cramer systemd, mais ...
Posté par octane . En réponse au lien 14 ans de systemd. Évalué à -4.
J'ai pas dit que ça en donnait plus ou moins.
Ah bah ui, c'est évident. Bien sûr. C'est clairement indiqué. Parfaitement lumineux. Running pour un daemon, exited pour pas un daemon. Mais mon service zefklop est un daemon. Sauf qu'il n'en est pas un, c'est clair comme du cristal avec "active (exited)".
attends je retrouve mes notes ou j'avais noté les options utiles de journalctl.
Donc exactement ce que j'ai fait?
(oulala mon karma en prend un coup sévère)
(vite, vite :
Oh, systemd, tu es si grand, si beau 🎶😅
Un seul process pour tout, quel cadeau ! 🎵🤨
Tes logs en binaire, quel doux parfum 🤩🎶
Et tes dépendances, un vrai festin ! 🎵🙃
Qui voudrait d'un Unix léger et charmant ? 🤔🎶
Vive systemd… (et pour longtemps?) 😵🎵
siouplaît, pourrissez pas trop mon karma coeur avec les doigts)
[^] # Re: C'est pas que je veuille cramer systemd, mais ...
Posté par octane . En réponse au lien 14 ans de systemd. Évalué à -2.
Ou pas. Genre tiens mon service "zefklop" a pas démarré (ou si?). Faisons juste un ps ax | grep zefklop. oula non. systemctl status zefklop parcequ'on est moderne:
Bien bien bien. Du coup on a "active (exited)" Ca veut dire quoi? code=exited status=SUCCESS? Donc il a démarré, mais il est arrêté?
Bah non, tout faut, zefklop.service c'est un lien sur /bin/true (pourquoi? parceque fuck you, that's why!!) et qu'il fallait utiliser systemctl start zefklop@default t'avais qu'a lire la doc! (wut?). Et t'as de la couleur dans le terminal! Et va pas faire un tail /var/log/messages parcequ'il est vide, lol! systemd c'est modulaire, mais faut prendre tout le package complet sinon ça marche moins bien.
Ouais. Comme tail, grep, cat, et quelques autres outils utilisés universellement ailleurs. C'est effectivement un apprentissage initial (c'est quoi déjà le -x de journalctl? ou c'est -u, ou attends je suis au travers d'un xterm dans un VNC et journalctl a gentiment mis de la couleur et du scroll à droite/gauche sauf que du coup j'ai pas la fin de la ligne).
C'est toujours un plaisir de passer 2h à chercher de la doc pour apprendre l'existence d'une option assez obscure et mystérieuse qui fait exactement ce que tu veux faire dans un cas précis d'usage (car systemd sait ce qui est bon pour toi). Tu mets l'option, ça marche de manière assez mystérieuse, et tu t'empresses de l'oublier. Learn once, use once, forget immediately. Ca me rappelle l'époque héroïque de windows quand on te disait d'aller manipuler des clés dans la base de registre avec des valeurs opaques. Des fois ça marchait bien. J'ai du utiliser l'autre jour "ConditionPathExists=!/etc/ssh/sshd_not_to_be_run
" Je suis heureux de savoir que ce genre de directive existe. C'est très utile.
Je vais me faire moinsser encore une fois, mais vous connaisser le sketch du tailleur de Fernand Reynaud? https://www.youtube.com/watch?v=TtADuXkM560 bah je crois que c'est un peu ça le principe. Tu fais tout comme systemd veut que tu fasses, t'es content. Tu veux faire légèrement différent, il ne reste qu'à te tordre en deux pour faire à la manière de systemd et tu seras content. Ca va toujours pas? Bah t'as toujours rien compris, tu te tiens mal et tu fais mal, fais comme systemd veut et tords toi encore un peu et ça sera bien.
[^] # Re: Question d'indépendance ?
Posté par octane . En réponse au journal Facebook bloque les news sur Linux pour "menace pour la cybersécurité". Évalué à 4.
Mais là, tu sous-entends que le gouvernement veut que cela soit légal. La NSA, quand elle écoute un gouvernement étranger s'en contrefiche de la légalité (par défaut l'espionnage, c'est illégal de toute façon…). Ensuite, et je pense que c'est une vraie question de démocratie, c'est comment savoir de manière formelle comment la preuve t'incriminant a été obtenue? Il est tellement facile pour la police de faire un "contrôle inopiné" au bon endroit au bon moment sans dire qu'ils t'écoutent depuis des semaines. Bref, j'arrête sinon ma parano va remonter très fort.
ouais, une faille de corrigée, 10 de plus de trouvées. La NSA (cf snowden) avait un catalogue qui débordait de failles, donc ils pouvaient en perdre tant qu'ils voulaient.
ouais, c'est bien mon opinion. Pourquoi se prendre la tête à utiliser des backdoors? Je dis pas qu'il y en a pas, c'est que j'ai vraiment du mal à comprendre leur intérêt.
[^] # Re: Question d'indépendance ?
Posté par octane . En réponse au journal Facebook bloque les news sur Linux pour "menace pour la cybersécurité". Évalué à 5.
"boite noire du FAI" -> ça sous entendait "écoute" pour moi.
Ouais, donc le FAI peut répondre ce qu'il veut. Avec un bon certificat SSL, il pourrait lire le contenu de certains sites (pas tous, cf ssl pinning etc..) que tu consultes. Mais dans les faits, ça marche pas bien.
Oui! je mettrais bien deux fois "pertinent" à ton message \o/
[^] # Re: Question d'indépendance ?
Posté par octane . En réponse au journal Facebook bloque les news sur Linux pour "menace pour la cybersécurité". Évalué à 3.
Alors que tout circule en chiffré? (vraie question hein). Il y a 20 ans quand tout passait en http, ok pour les boîtes noires. Mais aujourd'hui?
[^] # Re: Question d'indépendance ?
Posté par octane . En réponse au journal Facebook bloque les news sur Linux pour "menace pour la cybersécurité". Évalué à 4.
Franchement, pourquoi aller s'ennuyer à mettre une backdoor alors qu'il suffit de chercher des vulnérabilités? Tous les mois on voit passer des CVE sur le kernel, il y en a surement plein qui sont dans les mains des gouvernements.
Mettre une backdoor c'est d'autant plus risqué que le jour a l'info fuite, tu es dans l'embarras. Trouver des vulns? Je suis sûr qu'il en reste une palanquée.
[^] # Re: Mode balek
Posté par octane . En réponse au journal Vers l'interdiction du démarchage téléphonique en France !. Évalué à 7. Dernière modification le 30 janvier 2025 à 09:45.
Je suis partagé sur la réponse.
Bien sûr, il est courtois de descendre chercher le colis. D'un autre côté, pour avoir discuté avec des livreurs, les sociétés de livraisons comptent sur la courtoisie des gens pour accélérer les livraisons: le livreur appelle la livraison N quand il livre la N-1, et c'est toi qui patiente en bas. Et quelque part, ça me chipote vraiment beaucoup: ma courtoisie participe au bénéfice d'une société de livraison capitalistiques, qui en plus met la pression sur ses livreurs pour accélérer les tournées. Au boulot, un livreur a carrément piqué une colère et insulté le collègue qui refusait de descendre chercher un carton, on a retrouvé le carton par terre sur le trottoir. Entre deux insultes à l'interphone le gars disait qu'il risquait de perdre sa place car il avait pas le temps de monter chez tout le monde.
Donc oui, il est sympathique de descendre, mais quand tu sais que des personnes calculent et comptent sur cette sympathie pour optimiser leur gains, tu te dis que ce monde capitaliste est totalement pourri, et le livreur suivant tu lui dis "balek frérot, tu montes à ma porte, je vais pas bouger mon cul pour permettre à un connard de financier d'optimiser un placement permettant à un connard de rentier de faire progresser plus vite son tas d'argent". Oui, ça tombe sur le livreur qui a rien demandé. Des fois je préférerai un petit jeff bezos en plastique pour lui taper dessus(*). Mais bon.
Et on retrouve souvent cette vampirisation de la gentillesse pour le profit. Il existe la même chose avec l'overbooking: les compagnies savent très bien qu'en cas d'overbooking, un ou deux pauvres gars vont juste accepter le fait et ne pas monter dans l'avion/bus/train. Toujours ça de profit en plus!
(* tiens, je vais voir sur amazon si ils en proposent à la livraison, euh, wait.)
[^] # Re: Super bon \o/
Posté par octane . En réponse au journal Légumes rôtis. Évalué à 5.
Alors c'est du chatgpt tout bête avec un prompt: "Peux tu me dessiner un plat en pyrex hexagonal? Fais le de façon photoréaliste dans un décor de studio, neutre, comme une publicité."
Je suis d'ailleurs très amusé qu'il n'ait pas pu s'empêcher de coller des petits dessins d'hexagones en bas à gauche et au milieu du plat:D
[^] # Re: Super bon \o/
Posté par octane . En réponse au journal Légumes rôtis. Évalué à 3.
# Super bon \o/
Posté par octane . En réponse au journal Légumes rôtis. Évalué à 4.
J'adore cette recette aussi :-)
Souvent, je fais plusieurs zones d'épices dans le plat:
(*) Si le plat est rond, adaptez :-)
[^] # Re: toutes les IA n'hallucinent pas
Posté par octane . En réponse au lien À quand des drones tueurs qui hallucinent dans l'armée française ? Partenariat avec Mistral AI. Évalué à 3.
Bah, je ne sais pas trop. Si une IA me dit que Médor c'est un muffin aux myrtilles, alors j'ai tendance à dire que l'IA hallucine.
Et si chatGPT me dit que E=mc3 alors je dis que c'est une grosse erreur.
Je critique pas ce que tu dis, j'essaye juste de me faire une idée
[^] # Re: toutes les IA n'hallucinent pas
Posté par octane . En réponse au lien À quand des drones tueurs qui hallucinent dans l'armée française ? Partenariat avec Mistral AI. Évalué à 4.
ChatGPT ne va pas non plus donner des phrases dénuées de sens (au sens invalide). Alphago va peut-être halluciner, i.e. jouer un coup très très surprenant pour un humain (pas forcément mauvais, mais auquel aucun humain ne penserait). Je m'interroge beaucoup sur ces questions d'hallucinations et je n'arrive pas à me formuler un avis :-/
[^] # Re: toutes les IA n'hallucinent pas
Posté par octane . En réponse au lien À quand des drones tueurs qui hallucinent dans l'armée française ? Partenariat avec Mistral AI. Évalué à 2.
Cette remarque m'amène à te demander des précisions. Les LLM, je vois grosso modo ce que c'est. Mais une IA qui n'est pas un LLM et qui n'a pas d'hallucinations, je suis curieux de savoir ce que c'est (?) Ou alors un système à base de if-then-else est une IA? ou je comprends rien?
# Il reste la force brute
Posté par octane . En réponse au message Mot de passe de disque dur chiffré perdu.. Évalué à 3.
D'abord un lien assez bien fait:
https://diverto.github.io/2019/11/18/Cracking-LUKS-passphrases
Il donne pas mal de programmes, d'infos, de check à faire etc etc..
Là, il faut un autre programme qui va te générer un dictionnaire. John dispose d'un langage spécifique permettant de générer des candidats à partir de règle. Par exemple:
-Je pars d'un mot du dictionnaire
-Je remplace les o par des 0
-J'ajoute le suffix '555!!!' systématiquement
etc etc
John va être capable de te générer un dictionnaire basé sur ces règles. Hashcat à des options équivalentes. Une fois que tu as le dico, tu peux lancer le bruteforce avec l'outil le plus adapté. Ensuite, modifie subtilement ton dictionnaire, ajoute de la force brute, etc etc..
[^] # Re: Amusant !
Posté par octane . En réponse au journal [ HS ] Appel à contribution : "imaginer" des chiffres.. Évalué à 3.
Oui, je pense que j'ai surinterprété le message du posteur initial. Je pensais qu'il proposait le couteau et l'assiette à tout le monde pour faire 10. D'où problème, si on s'adresse à tous on a besoin d'un référentiel commun. Et pour la position du couteau on doit se baser du coup sur un référentiel pour partager l'image, et le seul référentiel possible qui est "les arts de la table" ne correspond pas à un 10. Mais à la relecture, je pense que le posteur originel ne parlait que de sa propre image mentale, et du coup, ça fonctionne (pour lui).
[^] # Re: Amusant !
Posté par octane . En réponse au journal [ HS ] Appel à contribution : "imaginer" des chiffres.. Évalué à 4. Dernière modification le 14 janvier 2025 à 11:35.
Les arts de la table semblent quand même imposer un ordonnancement assez précis dans le dressage:
Après, il n'y a aucune obligation :-)
Bon, j'ai cherché, et apparemment il n'y a rien pour les gauchers
[^] # Re: À quoi sert la tribune ?
Posté par octane . En réponse au journal Il y a quelque chose de pourri.... Évalué à 3.
Et que c'est un des derniers sites web sans pub envahissante, sans 10000 trackers, sans inscription avec un téléphone qui te permette de mouler tranquillement avec un pseudo. J'ai pu troller gentiment sans risquer que mon employeur tombe dessus, et ça, c'est essentiel.
[^] # Re: le problème
Posté par octane . En réponse au journal Il y a quelque chose de pourri.... Évalué à 10.
Je peux ptêt ajouter ma pierre à l'édifice. J'aim(ais)e bien la tribune, la twibioune, l'incubateur d'excellence. Ca trollait gentiment, ça posait des questions techniques de temps en temps, on avait un ancrage légèrement à gauche (youpi), et ça discutait. Puis bon, on a eu droit à des retwitters en masse, c'est un peu ennuyeux. Puis des retwitter de meme de droites. Puis des retwitters furieux de droite. Puis des retwitters acharnés dès qu'un tweet pouvait dire "bouh la gauche". C'est fatigant.
Autant on a eu des rafales de liens youtube de musiciens bizarre (perso j'aime pas, mais bon, on est dans de la découverte musicale, donc j'accepte les liens), autant les liens twitter qui sont qu'un ramassis continu de "gneugneugneugocho-woko-gocho-prout" ça devient lassant.
J'ai vu pas mal de communautés sur internet ou un couillon vient parcequ'il ya a une bonne ambiance, il pourrit le truc, et tout le monde finit par partir. Les commus qui tiennent, c'est souvent un bon modo et une sulfateuse à bannissement. Ce qu'il manque selon moi à la tribune, c'est une plonk list. Ca doit se faire avec un script greasemonkey, j'avais commencé à bricoler un truc qui marchait pas, je vais peut-être m'y remettre.
[^] # Re: Amusant !
Posté par octane . En réponse au journal [ HS ] Appel à contribution : "imaginer" des chiffres.. Évalué à 2.
Ah bah non :-( Ca fait 01 du coup. On met le couteau à droite.
Mais en vrai, je trouve ça super intéressant comme concept. Pour apprendre les dates (ou codes, ou numéros de téléphone) j'utilisais le même genre de méthode. Dans mon ancien appart, le code était "64 51 32". Super facile à retenir: 64 est le double de 32, et il reste le 1 et le 5 pour faire 123456 et chaque paire est décroissante (et 64? bah si vous êtes informaticien, ce chiffre est forcément évident à se rappeler :D )
# l'IA c'est le mal
Posté par octane . En réponse au lien When ChatGPT summarises, it actually does nothing of the kind.. Évalué à -3.
En ce moment je lis plein d'articles qui me disent que l'IA c'est le mal, que les LLM servent à rien, que c'est tout pourri, miroir aux alouettes, fausse bonne idée, etc etc etc… Les devs disent que l'IA les ralentit dans leur travail, que le code est plus long à corriger. Les littéraires disent que le texte est mauvais, les artistes disent que l'IA n'a aucune imagination, etc etc..
J'ai du mal à me défaire d'une idée. Autant lorsqu'une techno permet de créer des différenciateurs, les gens sont OK avec ça: par exemple, quand la bagnole arrive, on va avoir besoin de mécanos, de chauffeurs, etc.. quand internet arrive, on va avoir besoin d'informaticiens pour créer des technos, des protocoles, des applis, mais quand l'IA arrive, les cols blancs observent avec horreur que leurs métiers vont disparaitre très très vite.
Correcteur? Traducteur? bim, écrasé.
Programmeur? Même chose.
Admin sys? Badaboum.
Toutes les professions col blanc (comptable, administrateur, juriste, employé de paye, etc), remplacés directs.
Ceux qui se rendent compte de ce remplacement, ce sont les informaticiens, et sans surprise, ce sont les premiers à freiner en mode "nan nan, nous les informaticiens on est incontournables, et bien meilleurs que ces LLMs qui sont nuls, haha".
du coup, tous ces commentaires sur la faible qualité de l'IA seraient totalement hypocrites? (qui veut tuer son chien l'accuse de la rage). Et l'IA beaucoup plus performante (ou effrayante) que ce que laissent entendre ces posts de blogs.
[^] # Re: oh :-)
Posté par octane . En réponse au lien WindowMaker Live 12.8. Évalué à 4.
Ah ui, c'est un vieeeeeeeux programme. Déjà qu'on rigole quand on voit que l'icone sauvegarder c'est une disquette (pour les plus jeunes d'entre nous, une disquette, c'est léquivalent d'une vieille clé USB), mais là, le seul icône qui est présenté, c'est celui de Netscape ("Netscape Navigator était un navigateur web qui a dominé le marché au milieu des années 1990." extrait de wikipedia)
# oh :-)
Posté par octane . En réponse au lien WindowMaker Live 12.8. Évalué à 5. Dernière modification le 18 décembre 2024 à 11:37.
J'ai utilisé longtemps windowmaker, et il m'avait beaucoup plu.
Léger, configurable, j'avais un dock super pratique.
Je m'en vais tester de ce pas la version live
[^] # Re: la clé de la contamination ou de l’intrusion
Posté par octane . En réponse au journal Un câble USB qui permet de pirater un ordinateur.. Évalué à 2.
comme je suis très premier degré, je pense qu'il faut un plus qu'une nanoseconde pour exploiter un bug USB.
Après ça me fait penser à terminator (pas l'émulateur de terminal, le film avec Skynet).
Et la fin me fait rigoler, l'uptime dans ce genre de situations, c'est pas important :-D