octane a écrit 717 commentaires

Déjà les tests techniques sur papier/tableau blanc c'est ridicule, PERSONNE ne développe dans cette situation.

Je parlais pas d'un tableau blanc, mais d'un PC devant lequel on te colle pour faire un exo. Après, un tableau blanc pour écrire du pseudo code, ça peut aussi le faire.

Et sur la façon de procéder par l'OP de l'article, j'appelle ça "faire travailler quelqu'un gratos". Alors oui, il confronte le candidat à ce qu'il va vraiment devoir affronter s'il est engagé. Mais en attendant, il gagne potentiellement 4/6H de travail non-rémunéré.

N'exagérons pas. Je parle de petites épreuves qui ont été travaillées par l'équipe de recrutement. Et je m'attends pas à retrouver le code produit dans un logiciel (Et imaginer qu'une boite puisse sortir un logiciel uniquement en comptant sur les recrutements, ça me parait assez bancal).

A côté de ça, peaufiner ton CV et ta lettre de motivation ça a du demander quelques heures? (enfin, c'est ce que j'ai fait plusieurs fois pour des postes, se renseigner sur la boite, etc..). Donc bon, publier quelques lignes de code et les expliquer, ça me parait pas le bout du monde.

Et pour le côté "gratos", est-ce que tu vas parler de tes expériences dans l'ancienne boîte? Des projets en cours? Des clients? De contrats chiffrés? D'un organigramme? Ce genre d'infos ça vaut largement plus que 4h de dev à mon avis…

Personnellement devoir passer 4 à 6h de travail à la maison pour un recrutement me refroidis beaucoup, je n'ai pas se temps là de disponible.

Ca me parait pas délirant pour moi. On te file un problème ou deux, tu les résouds, tu montres ton code à l'entretien. 4 à 6h quand tu veux changer de boulot, tu les trouves (ou alors c'est que t'es pas motivé). Et pendant l'entretien ça peut servir comme départ de discussion.
Et si t'y connais rien de rien, personne perd de temps. Et rien que le sujet donné, ça peut aussi dissuader un candidat, s'il voit que c'est à des kilomètres de ce qu'il imaginait.

Les pseudo tests techniques pendant les entretiens je suis pas fan non plus, c'est souvent très scolaires (les coding games encore plus).

Bah on attend d'un dev qu'il publie du code quand même, non? Et je préfère 100x qu'on me demande de coder un fizzbuzz plutôt qu'on me demande pour la 1000e fois mes diplômes et qu'on me fasse une analyse graphologique suivie des questions 3 qualités 3 défauts et où vous vous voyez dans 5 ans?

Bref je suis de la "veille école", entretien technique

faut définir ce que tu entends par "entretien technique". Juste au dessus tu dis "je ne suis pas fan".

Cette réponse est un NFT. Veuillez vous inscrire au bureau d'enregistrement WEB3 le plus proche et fournir votre jeton pour la lire (1 ether la connexion, 0.3 ether le mot + frais d'opérateur non compris).

---------------- BEGIN NFT BLOCK ----------------------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---------------- END NFT BLOCK ----------------------


Non un buffer overflow dans Gimp qui permet l'exécution de code arbitraire n'est pas si grave.

bin, un peu quand même?

C'est pas comme si tu pouvais en faire un rootkit.

Un rootkit, c'est la suite de "l'exécution de code arbitraire", donc bah si. Et comme aujourd'hui 99.9% des ordis sont connectés à internet, le rootkit va se connecter à son C&C et attendre les commandes.

L'attaque est difficile à industrialiser car il faut que tu puisse transmettre l'image vérolée à ta cible

un mail, et hop!

, et être sûr qu'il va l'ouvrir naïvement avec la bonne version de Gimp

Pas forcément. La vuln existe peut-être depuis 45 versions de gimp et n'est pas corrigée. Il suffit que le code d'exploit soit compatible avec les versions vulnérables de gimp.

et que son anti-virus ne va pas détecter du code exécutable dans une image.

un AV? sous linux??? et "détecter du code exécutable dans une image" j'ai du mal à concevoir comment c'est possible. Selon l'encodage de l'image, tu peux avoir des suites d'octets qui peuvent ressembler fortement à de l'assembleur, mais après??

Non toutes les failles ne se valent pas en terme de criticité. Dans le cas de Gimp, soit c'est une nouvelle faille et dans ce cas tu rollback, soit c'est une ancienne et tu attends le fix.

Ca, oui. Mais le rollback n'est pas toujours possible (rollback de gimp? quitte à ré-introduire des anciennes vulns patchées par la nouvelle version?), et attendre le fix, c'est quand même contrariant.

Même si dans les faits, ouais une vuln dans gimp, tout le monde s'en fiche. (ImageTragick c'était autre chose)

Le binaire de busybox, c'est 2Mo sur ma debian. Tu as dupliqué autant de fois le binaire que nécessaire pour arriver à tous ces Mo?

Parceque oui, fait des liens symboliques pour les bins essentiels: init, sh, pour les autres tu peux t'en passer.
Si tu lances le shell de busybox et que tu appelles un binaire, busybox vérifie s'il ne s'agit pas d'une de ses applets et la lance le cas échéant (enfin si t'as configuré l'option qui va bien).

En effet on sait que les cyber-attaques ont plus souvent lieu la nuit et le week-end car les pirates savent que toutes les équipes SI ne travaillent pas.

Je suis curieux d'avoir une source là dessus. Je dirais qu'il existe des pirates au 4 coins du monde, et qu'ils piratent un peu à n'importe quelle heure, donc il est difficile de prévoir qu'il y a plus d'attaques la nuit (heure française), ou le week-end.
Après, si c'est quelqu'un qui t'en veux, bin il va t'attaquer quand tu es up, donc bon :-(

Du coup, le fait d'éteindre la nuit impacte pas sur la sécurité, mais bon, je peux me tromper.

Du coup, ça m'a donné une idée, j'ai regardé mes logs, et sans surprise, j'ai plein de logs ssh:

root@cerebrus:/var/log# grep "Failed password" auth.log | wc -l
16896
root@cerebrus:/var/log#
Mais, oh surprise, le scan teste ce genre de user:

Jan 23 04:43:55 cerebrus sshd[15734]: Failed password for invalid user wangyue from XX.XX.XX.XX port 49266 ssh2
Jan 23 04:43:55 cerebrus sshd[15736]: Failed password for invalid user wangzy from XX.XX.XX.XX port 49460 ssh2
Jan 23 04:43:55 cerebrus sshd[15737]: Failed password for invalid user wangzy from XX.XX.XX.XX port 49522 ssh2
Jan 23 04:43:55 cerebrus sshd[15742]: Failed password for invalid user xujia from XX.XX.XX.XX port 50106 ssh2
Jan 23 04:43:55 cerebrus sshd[15744]: Failed password for invalid user yjzhou_pc_1 from XX.XX.XX.XX port 50614 ssh2

donc, à priori le scanner cherche des machines avec des comptes chinois (va savoir?)… 4h45 en france, c'est 11h45 en pleine journée en chine. Du coup, peu de chance de te faire péter ta machine éteinte ou allumée la nuit, mais des chinois en journée doivent se faire compromettre.

Selon le type de virtualisation le bridge peut se comporter plus ou moins différemment. Cf:

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/virtualization_host_configuration_and_guest_installation_guide/app_macvtap

'traffic into that bridge from the guests that is forwarded to the physical interface cannot be bounced back up to the host's IP stack. '

si j'ai bien compris, les clients envoient des blobs chiffrés. Le serveur qui les stock ne sait pas ce que c'est, ni pour qui c'est ni ce qu'il y a dedans. Donc bon, le serveur, qque part, on s'en fiche, la NSa pourrait l'écouter qu'elle apprendrait rien.

Si j'ai bien compris, tu peux update le firmware complet de ton imprimante sans authentification? Il suffit de pousser un job d'impression et hop? oO

Ensuite, on est aussi les premiers à raler si on peut pas utiliser un autre moteur de rendu HTML dans un navigateur sur un téléphone (cough iphone cough).

c'est pour la sécuritay qu'ils disent. Vu que le javascript est tellement dégueulasse aujourd'hui, il faut plus qu'une VM, il faut JIT le code. Qui dit JIT dit mémoire RWX. Qui dit mémoire RWX dit hackers qui posent leur exploit dedans… Donc apple dit: interdit de faire du RWX sauf nous (parceque nous à apple on sait faire du code sans vulnérabilités donc on peut utiliser du heap en RWX).
Du coup, les browsers alternatifs ont le choix de devenir un brontosaure rhumatisant qui ne va pas vite, ou d'utiliser le rendu HTML d'apple..

Est-ce plus clair comme ça ? Car sinon, sorti de son contexte, c'est sur que ma phrase était ambiguë !

aaaaah. oui, ok. On est d'accord. Utilisez des protos sécurisés c'est bien :-) (ça protège pas de tout, mais c'est mieux qu'en clair)

Toute utilisation d'une connexion internet peut se révéler dangereuse car interceptable ET modifiable. Tu télécharges la dernière version d'OpenOffice, le téléchargement peut être détourné et tu récupères une version vérolée par un malware. Et tu ne vois rien.

Hein? Je télécharge en https justement pour éviter l'interception et la modification. Et certains package sont en + signés.

Et je me connecte en ssh chez moi (connexion internet) et non, ce n'est pas modifiable ou interceptable (ou alors tu as dans les mains une faille de sécurité et un exploit absolument démentiel).

Ou alors dis moi comment tu interceptes les flux ssl ?

Pour l'instant, le coût de piratage des postes et serveurs Linux est trop élevé pour que les délinquants à la petite semaine s'y intéressent.

hu? Tu as un lien là dessus? Parce que les délinquants à la petite semaine, ils adorent linux. Tu as toujours un LAMP complètement troué (parceque pas mis à jour depuis 2013), des supers outils d'admin distants (ssh, cli, tout ça), donc tu vas pas te prendre la tête avec un windows si tu es à la petite semaine (envoi de spam, mining, etc..). Ceux qui font du ransomware ne sont pas des attaquants à la petite semaine.

Ils se contentent d'utiliser plus ou moins industriellement des logiciels malveillants diffusés pour infiltrer les systèmes Windows.

Lesquels de logiciels? En vrai?

Les ordinateurs sous exploitation Linux, la majorité des postes, n’ont pas été impactés, contrairement à ceux fonctionnant sous Windows.

Bah oui, les mecs font du ransomware. Ils tabassent les postes windows en masse, certains que ça va impacter la production, et pousser les DSI à payer.
Windows (c'est triste) à plein d'outils intégrés pour pousser un outil malveillant qui va cryptolock les postes. Donc un attaquant intelligent va cibler le SI windows, passer admin de domaine, pousser un chiffreur sur les postes et vlam! Max de fric. Il va pas perdre du temps à trouver les postes linux (ou mac d'ailleurs).

J'ai lu l'article, et c'est un peu du sensationnalisme. La majorité des vulns (si ce n'est toute) touchent des composants "locaux" au routeur.

Dans les faits ça veut dire quoi? Ca veut dire que si tu as un shell local à la machine, tu peux utiliser une vuln d'un des outils locaux. Mais sur ces routeurs, il n'y a généralement qu'un seul compte (root), et qu'il n'y a pas d'accès shell.

Ce qui revient à dire: "si tu as un accès shell root, alors tu peux tenter d'exploiter une vuln…". Bof bof bof donc.

Avant de hurler au loup comme ça et balancer des chiffres qui ne veulent rien dire (226 vulns? c'est 226 CVE? qu'ils ont additionnées? Est-ce que le nombre de CVE est un bon indicateur?). Et puis bon, sérieusement:

"Dans leurs travaux, les experts d’IoT Inspector n’ont pas donné de détails techniques sauf pour un cas. Ils ont extrait une clé de chiffrement depuis une image du firmware D-Link."

ah bah oui, 0 détails techniques hein. Et oulalala, extraire une clé de chiffrement (vous connaissez binwalk? Seriously?).

ça existe encore usenet ?

Avec 800 serveurs, bonne chance pour tout gérer dans un keepass. Non pas que c'est infaisable, mais 800 serveurs ça veut dire un paquet d'équipes, encore plus d'utilisateurs, vraisemblablement des développeurs et autant de chances de voir un password.xls, un script powershell avec le pass en clair pour monter un lecteur réseau, ou un admin qui s'est loggé il y a 1000 ans sur une machine et que mimikatz saura extraire.

La question c'est pas la vitesse des updates, c'est l'analyse de l'impact des failles

Et dans l'article il est dit qu'il s'est fait avoir initialement par un phishing. Du coup, la vitesse d'update n'a rien à voir.

Ensuite, ils ont utilisé une faille de sécurité. Mais c'est pas sur. Quand tu vois la facilité avec laquelle un pentester devient admin de domaine, ça fait peur. Et souvent c'est parce que les mots de passe admin traînent sur le réseau. Du coup l'attaquant n'utilise aucune faille de sécurité.

Donc tu peux être 100% à jour et de prendre un ransomware.

Ca ressemble à une plaquette publicitaire un peu, non?

Après, j'aime bien le côté libre, et tout et tout, mais c'est très orienté marketing?

Issu de la lignée des firewalls dérivés de FreeBSD tels que pfSense®, OPNsense®, mais aussi Stormshield®

Alors stomrshield c'est une base freeBSD, oui, mais tout le reste est du code privateur il me semble, non?

bon, console, terminal, c'est la même chose. Tu as une invite de commande (ou prompt), qui attends tes commandes au clavier (ce que tu tapes). Généralement, tu tapes, une commande avec des options et des arguments. Genre

toto$ ls -la

tout ce qui précède le '$' c'est le prompt, et ça peut varier. Tout ce qui suit, ce sont tes commandes. Du coup, tu as une commande 'ls' des options (c'est simple, les options sont préfixées par un tiret) et les arguments (c'est ce qui suit les options).
La commande, c'est 'ls', les options sont 'l' et 'a' et l'argument, c'est '/var'. Ca signifie que tu demandes à lister tous (options -a) les fichiers et dossiers du dossier /var de manière longue. Tu as exactement le même résultat avec ls -al /var ou ls -l -a /var ou ls /var -l -a.

ls ça sert à lister les fichiers (et dossiers). Les options l et a sont courantes, c'est 'l' comme long (la réponse est plus longue) et a signifie "all" (tous les fichiers, même ceux qui débutent par un "." ).

Bref. Là, on te demande de lister les fichiers de /var. Du coup, la commande c'est 'ls'. Si tu fais ls /var tu vas avoir un truc du genre:

$ ls /var
backups  cache  lib  local  lock  log  mail  opt  run  spool  tmp  www

(le nom des fichiers peut changer, ils correspondent à ce que tu as sur ta machine dans le dossier /var).

Bon, on se rapproche de la question, le prof veut une séparation avec des virgules. Hop hop hop, après un coup de google, on trouve une option '-m' de ls qui dit: "fill width with a comma separated list of entries"

du coup:

$ ls -m /var
backups, cache, lib, local, lock, log, mail, opt, run, spool, tmp, www

pour afficher 1 ligne par dossier, encore un coup de google, et on voit l'option -1. Là, pour le coup, pour vérifier tu peux taper man ls (touche 'q' pour sortir du man), et descendre jusqu'à lire l'option "-1"

Selon ton interpréteur de commandes, il va falloir configurer la complétion.

Worst conseil ever pour un débutant, non? "Il va falloir configurer la complétion.

Configurer -> comment on fait? Déjà que le débutant sait pas taper ls -la sans se planter, ça va être chaud de lui expliquer
Complétion -> encore un mot barbare.

C'est plutôt le genre de truc que tu files au 2e ou 3e cours, en considérant que la complétion est déjà config par défaut.

Si tu es en console ou si le terminal n'est pas trop exotique, dans un shell classique, tu peux arrêter une commande en cours en gardant le doigt sur la touche Contrôle et en appuyant sur la touche C.

Bah je reprends l'exemple. "man ls". La question: "comment on sort de la commande?". CTRL-C ne fonctionne pas. J'avais lu dans un cours un super exemple: sous X, tu peux taper xterm et ça t'ouvre un second xterm. J'avais testé, puis dit: c'est nul car le premier xterm n'est plus utilisable.

En vrai, je sais pas trop quoi donner comme conseil à un débutant. Commencer par le FHS? Commencer par une explication du shell (en prenant comme default un bash). Débuter avec le prompt? Puis "commande", puis "commande et arguments" avec des arguments de type options préfixées par un tiret et arguments? Faire un "ls", "ls -l", "ls -la", utiliser l'environnement graphique en imaginant que le débutant sait utiliser déjà windows ou mac?

Je suis étonné de cette réponse. Pour moi, man n'est pas là pour apprendre ce que fait une commande. C'est une documentation exhaustive. Du coup, dire à un débutant "t'as qu'a taper man " ça l'aide pas des masses.

Ensuite, j'ai vu des gens galérer dans le man. Question légitime: tu tapes man ls, comment tu reviens au terminal? (appuyer sur la touche 'q' ne tombe pas automagiquement sous le sens).

Si tu veux aider, faut donner des exemples, des liens, des howto, des pistes pour donner envie d'apprendre. Si on cherche man cat par exemple:

CAT(1)                           User Commands                          CAT(1)

NAME
       cat - concatenate files and print on the standard output

c'est quand même pas super engageant. "concatenate"? pour un débutant, ça veut dire quoi? La définition dit:
https://www.larousse.fr/dictionnaires/francais/concat%C3%A9nation/17858

1. Enchaînement des idées entre elles, des faits entre eux suivant la causalité.
2. Dans certains langages de programmation, enchaînement de deux listes ou de deux chaînes de caractères mises bout à bout. Contraire : dichotomie
3. Juxtaposition et enchaînement d'unités linguistiques dans un ordre donné.

La définition 2 parle de "langage de programmation" mais après??? Continuons plutôt le man. Ca dit "print" ensuite. Print, comme une imprimante? Et standard output? Là, le débutant il est totalement perdu.

Du coup, dire aux débutants: t'a qu'a taper "man man et tu sauras tout, RTFM KTHXBYE, source: crois moi je suis prof" me semble absolument contre productif.

http://www.bouletcorp.com/2017/11/02/recettes-de-grand-mere/

Le bicarbonate c'est plutôt pour TCP/IP :D

La force brute limitée à 10 tests par jour a peu de chance de trouver un mot de passe réellement utilisé, alors qu’en centaines ou milliers de tests par seconde, c’est autre chose.

Mais là, c'est plus un problème de politique de mot de passe et politique ssh, non?
A priori, si tu durcis raisonnablement ton serveur ssh (genre connexion que par clé et non par mot de passe), alors le bruteforce n'a aucune chance d'aboutir, que ce soit à 10 tentatives par jour ou des millions par seconde.

On t'avait conseillé de t'inscrire sur root-me, tu l'as fait? Quel est ton score?

Lire des bouquins c'est bien, mais pratiquer je pense que c'est mieux :)

Si c'est lire les données du qrcode, il y a pleins de ressources

https://blog.callicode.fr/post/2021/covid_pass.html

Si c'est vérifier la clé etc.. je ne sais pas.