ca marche très bien sur les sites de crypto, je ne comprends pas bien pourquoi on ne le fait pas sur les sites des banques en ligne. Boursorama semble avoir une double authentification FIDO2, mais qui ne fonctionne pas sur ma conf Linux actuelle.
Est-ce que les applis spécifiques aux banques apportent plus de sécurité que les standards actuel (OTP, FIDO) ? ou alors des services plus complets ? Ne peut-on pas dissocié l'application et la méthode d'authentification sécurisée ?
j'aime bcp ce passage, bien que je me sente moyennement concerné:
Motivation
Imagine you're a mortal who is accustomed to VS Code or some other GUI Text Editor/IDE, and suddenly you have to login to some SSH or fire up a Linux Server Distro with no GUI. You find yourself treading in the territory of immortals where beasts like Vim, Emacs and others reside. You find a friend called Nano, but it doesn't speak your tongue (i.e. key bindings), so you waste your time trying to learn a new way to communicate instead of getting the job done and get the hell out of there. This editor can be your friend that speaks the same-ish tongue and you can take it there with you. It isn't the only one though, there is another one (a better one) called Micro.
justement, il semble que l'article en question, en dépit du titre qui lui a été affecté traite bien de TousAntiCovidVerif. Le lien Gitlab est là pour en témoigner, mais aussi l'accroche en haut de page. Quel manque de précision dans cet article, à moins que les 2 applications fasse partie du même écosystème et qu'on explique l'amalgame de cette façon.
en environnement virtualisé, pas de partitionnement et utilisation des disques virtuels en direct :
# remplacer /dev/sdx par le device du disque virtuel
mkfs.ext4 /dev/sdx
mount /dev/sdx /mnt
resize2fs /dev/sdx
cette façon de procéder permet de retailler dynamiquement les partitions sans avoir à s’embêter avec la table des partitions ni à rebooter ou les démonter.
le sujet le plus sensible du reportage concerne la société spécialisée dans la gestion des officines médicale : elle propose pour la modique somme de 6€/mois un logiciel mis à disposition gratuitement dans les pharmacies ; le montant de 6 Euros est bien un revenu qui vient en compensation de la mise a disposition de nos données personnelles médicales associées à notre carte VITAL.
Il semble que les données soient anonymisée. Si elles passent par le heath-datahub français, oui, elles pourraient certainement l'être en passant par un filtrage réalisé par un tiers de confiance. Le soucis, c'est que la data depuis les officines est sans doute hébergée directement sur le SI de l'opérateur qui ne semble pas être un tiers de confiance.
Les autres sujets du reportage sont liés :
- au pistage massif par les applications Android
- mais aussi aux différents traceurs numériques intégrés sur de très nombreux sites Web
On y découvre les data-brokers qui collectent les données en très grande quantité et qui sont en mesure d'assembler pour un seul individu, jusqu'a 30.000 données, ce qui permet de profiler d'une manière très précise l'individu sur son état de santé, ses convictions politique et religieuses, … La conclusion est que bien que anonymes, les données collectées ne le sont pas.
sur un système Linux en production, un mécanisme de lock est mis en place et on peut observer la présence de ces fichiers :
- /usr/lib32/.X11/X0-lock
- /bin/lib32/.X11/X0-lock
- $HOME/.X11/X0-lock
- $HOME/.X11/.X11-lock
on peut aussi obtenir la liste des locks avec cette commande : cat /proc/locks
pour assurer sa persistance, le virus crée des fichiers là ou il peut ; il suffit donc d'aller les chercher avec la commande find ; voici ce que cela donne sur un répertoire de backup, basé sur rsnapshot:
cd /backup/system/daily.0
find . -type f | egrep '/bin/systemd/systemd-daemon|/usr/lib/systemd/systemd-daemon|/.dbus/sessions/session-dbus|/.gvfsd/.profile/gvfsd-helper'
les chemins à chercher doivent contenir:
- /bin/systemd/systemd-daemon
- /usr/lib/systemd/systemd-daemon
- [$HOME]/.dbus/sessions/session-dbus
- [$HOME]/.gvfsd/.profile/gvfsd-helper
pourquoi réguler le taux de CO2 dans une pièce afin de réduire le risque de contamination du COVID19, par aérosol, avec une démonstration mathématique simple à comprendre pour tous : https://www.youtube.com/watch?v=8b3lhDyVqgk
peut-etre coupler :
- un démontage de la partition de manière régulière (plusieurs fois par jour, mais fréquence supérieure à 2 ou 3 heures),
- un montage automatique avec systemd,
- un mécanisme de standy sur timeout ou forcé avec hdparm.
on peut monitorer l'état des disques et ensuite injecter l'état sur une petite supervision et voir le résultat graphiquement. Pour ma part, c'est influxdb + chronograf.
expérience perso : ça n'est pas bien concluant et les disques tournent plus régulièrement que souhaité.
pour ce qui nous concerne, notre instance Nextcloud est connectée à un annuaire LDAP d'entreprise avec entre 1200 pour l'une des branches et 15000 utilisateurs. Malheureusement, pour une raison que j'ai du mal à expliquer, si je connecte à la branche globale de l'annuaire, les performances sont très mauvaises : trop de requêtes LDAP unitaires plutôt qu'une seule et unique. Alors on est obligés de brider notre instance à une sous-branche de l'annuaire.
Est-ce que quelqu'un d'entre vous a aussi cette expérience ?
je cite:
"Anticor, spécialisée dans la lutte anticorruption, évoque dans son communiqué du 22 mars de potentiels « manquements aux règles relatives à la commande publique » sur la mise en place et la maintenance du dispositif par des entreprises privées. Au point où l’association dénonce un « favoritisme dans l’attribution des contrats relatifs à l’application StopCovid, qui n’auraient été soumis à aucune procédure de passation de marché public »."
Mais que fait la police. Les règles des marchés publics sont valables pour tous, à moins que … On peut cependant imaginer que la passation de marchés publics dans un contexte de crise sanitaire peut conduire à des délais de réalisation peu compatibles avec une urgence.
Se pose aussi la problématique d'hébergement applicative et de cloud souverain. Il existe bien des entités rattachées aux différents services publiques ayant capacité à faire du développement rapide. De là à être en capacité de développer et exploiter une appli telle que "tous-anti-covid", il y a un pas.
pour rappel, à la base, Ruby et Crystal étaient parfaitement compatibles, avec un objectif de rendre compilable sous forme d'exécutable le code source Crystal. Au fur et à mesure des versions, la syntaxe à quelque peu changé et ils ne sont plus interchangeables ; passer de l'un à l'autre me semble assez simple.
Longue vie à Crystal. A se demander si ca ne fait pas doublon avec d'autres langages compilés : Go, Rust en particulier.
# alternatives
Posté par Marc Quinton . En réponse au message Secur'pass ?. Évalué à 3.
ca marche très bien sur les sites de crypto, je ne comprends pas bien pourquoi on ne le fait pas sur les sites des banques en ligne. Boursorama semble avoir une double authentification FIDO2, mais qui ne fonctionne pas sur ma conf Linux actuelle.
Est-ce que les applis spécifiques aux banques apportent plus de sécurité que les standards actuel (OTP, FIDO) ? ou alors des services plus complets ? Ne peut-on pas dissocié l'application et la méthode d'authentification sécurisée ?
# Motivations
Posté par Marc Quinton . En réponse au lien Lino : un éditeur de texte "normal" pour terminal . Évalué à 7.
j'aime bcp ce passage, bien que je me sente moyennement concerné:
Motivation
Imagine you're a mortal who is accustomed to VS Code or some other GUI Text Editor/IDE, and suddenly you have to login to some SSH or fire up a Linux Server Distro with no GUI. You find yourself treading in the territory of immortals where beasts like Vim, Emacs and others reside. You find a friend called Nano, but it doesn't speak your tongue (i.e. key bindings), so you waste your time trying to learn a new way to communicate instead of getting the job done and get the hell out of there. This editor can be your friend that speaks the same-ish tongue and you can take it there with you. It isn't the only one though, there is another one (a better one) called Micro.
[^] # Re: Et TousAntiCovid Verif ?
Posté par Marc Quinton . En réponse au lien Le code source de TousAntiCovid publié, mais... il est incomplet et sous licence propriétaire. Évalué à 5.
justement, il semble que l'article en question, en dépit du titre qui lui a été affecté traite bien de TousAntiCovidVerif. Le lien Gitlab est là pour en témoigner, mais aussi l'accroche en haut de page. Quel manque de précision dans cet article, à moins que les 2 applications fasse partie du même écosystème et qu'on explique l'amalgame de cette façon.
# mon expérience
Posté par Marc Quinton . En réponse au message Problème espace disque. Évalué à 2.
en environnement virtualisé, pas de partitionnement et utilisation des disques virtuels en direct :
cette façon de procéder permet de retailler dynamiquement les partitions sans avoir à s’embêter avec la table des partitions ni à rebooter ou les démonter.
[^] # Re: Article masqué
Posté par Marc Quinton . En réponse au lien Arguments pour répondre aux vaccino-sceptiques. Évalué à 4.
il existe un mode de lecture alternative sur FF qui fonctionne plutot bien sur ce site et permet la lecture sans encombre.
[^] # Re: Ca existe déjà
Posté par Marc Quinton . En réponse au lien Et encore une surveillance de plus. Évalué à 2.
voici ce qui ce rapproche le plus de cette technologie (passive sensor GSM SDR) : https://payatu.com/passive-gsm-sniffing-software-defined-radio
[^] # Re: Contradiction
Posté par Marc Quinton . En réponse au journal Linux et libre : retour 20 ans en arrière ?. Évalué à 3. Dernière modification le 14 juin 2021 à 17:22.
voici de quoi te satisfaire : c'est basé sur Debian et Docker. Ca me semble intéressant en tout cas !
# mes données personnelles médicales
Posté par Marc Quinton . En réponse au lien cash-investigation/France2 : mes données valent de l'or. Évalué à 10. Dernière modification le 21 mai 2021 à 07:45.
le sujet le plus sensible du reportage concerne la société spécialisée dans la gestion des officines médicale : elle propose pour la modique somme de 6€/mois un logiciel mis à disposition gratuitement dans les pharmacies ; le montant de 6 Euros est bien un revenu qui vient en compensation de la mise a disposition de nos données personnelles médicales associées à notre carte VITAL.
Il semble que les données soient anonymisée. Si elles passent par le heath-datahub français, oui, elles pourraient certainement l'être en passant par un filtrage réalisé par un tiers de confiance. Le soucis, c'est que la data depuis les officines est sans doute hébergée directement sur le SI de l'opérateur qui ne semble pas être un tiers de confiance.
Les autres sujets du reportage sont liés :
- au pistage massif par les applications Android
- mais aussi aux différents traceurs numériques intégrés sur de très nombreux sites Web
On y découvre les data-brokers qui collectent les données en très grande quantité et qui sont en mesure d'assembler pour un seul individu, jusqu'a 30.000 données, ce qui permet de profiler d'une manière très précise l'individu sur son état de santé, ses convictions politique et religieuses, … La conclusion est que bien que anonymes, les données collectées ne le sont pas.
[^] # Re: Méthode d’installation alternative
Posté par Marc Quinton . En réponse au message Installation de Gitlab sur un serveur local. Évalué à 2.
le bundle Omnibus fonctionne parfaitement pour ce qui me concerne, sur une base Debian. Je n'ai aucun soucis concernant la production et les MAJ.
Si je devais installer une nouvelle instance maintenant, je m'orienterais certainement vers une solution Dockerisée. Je ne connaissais pas Fast Track.
[^] # Re: Backdoor?
Posté par Marc Quinton . En réponse au lien RotaJakiro : un logiciel malveillant se fait passer pour un processus systemd depuis 3 ans. Évalué à 7.
merci mon ami.
[^] # Re: détection
Posté par Marc Quinton . En réponse au lien RotaJakiro : un logiciel malveillant se fait passer pour un processus systemd depuis 3 ans. Évalué à 6. Dernière modification le 02 mai 2021 à 08:12.
sur un système Linux en production, un mécanisme de lock est mis en place et on peut observer la présence de ces fichiers :
- /usr/lib32/.X11/X0-lock
- /bin/lib32/.X11/X0-lock
- $HOME/.X11/X0-lock
- $HOME/.X11/.X11-lock
on peut aussi obtenir la liste des locks avec cette commande :
cat /proc/locks# détection
Posté par Marc Quinton . En réponse au lien RotaJakiro : un logiciel malveillant se fait passer pour un processus systemd depuis 3 ans. Évalué à 6.
pour assurer sa persistance, le virus crée des fichiers là ou il peut ; il suffit donc d'aller les chercher avec la commande find ; voici ce que cela donne sur un répertoire de backup, basé sur rsnapshot:
les chemins à chercher doivent contenir:
- /bin/systemd/systemd-daemon
- /usr/lib/systemd/systemd-daemon
- [$HOME]/.dbus/sessions/session-dbus
- [$HOME]/.gvfsd/.profile/gvfsd-helper
# lien en Français
Posté par Marc Quinton . En réponse au lien RotaJakiro : un logiciel malveillant se fait passer pour un processus systemd depuis 3 ans. Évalué à 8.
https://www.it-connect.fr/rotajakiro-cette-porte-derobee-sous-linux-passe-sous-les-radars-depuis-2018/
# explications
Posté par Marc Quinton . En réponse au lien appareil de mesure du taux de CO2 en DIY. Évalué à 4. Dernière modification le 01 mai 2021 à 15:01.
[^] # Re: hdparm -y
Posté par Marc Quinton . En réponse au message Sauvegardes mensuelles. Évalué à 2. Dernière modification le 25 avril 2021 à 17:22.
peut-etre coupler :
- un démontage de la partition de manière régulière (plusieurs fois par jour, mais fréquence supérieure à 2 ou 3 heures),
- un montage automatique avec systemd,
- un mécanisme de standy sur timeout ou forcé avec hdparm.
on peut monitorer l'état des disques et ensuite injecter l'état sur une petite supervision et voir le résultat graphiquement. Pour ma part, c'est influxdb + chronograf.
expérience perso : ça n'est pas bien concluant et les disques tournent plus régulièrement que souhaité.
voici mon wrapper autour de hdparm, smartclt : https://gist.github.com/mqu/115fdc9eb471d81ac0ef1884746faefa
# configuration du serveur ?
Posté par Marc Quinton . En réponse au message Connecter une interface à un port. Évalué à 3.
probablement, un parametre du serveur à modifier : /etc/ssh/sshd_config : ListenAddress = 0.0.0.0
suivi d'un systemctl reload ssh
[^] # Re: Stratégie Marketing
Posté par Marc Quinton . En réponse au journal Upgrade Nextcloud 21.0.1, PHP et le temps perdu. Évalué à 2.
pour ce qui nous concerne, notre instance Nextcloud est connectée à un annuaire LDAP d'entreprise avec entre 1200 pour l'une des branches et 15000 utilisateurs. Malheureusement, pour une raison que j'ai du mal à expliquer, si je connecte à la branche globale de l'annuaire, les performances sont très mauvaises : trop de requêtes LDAP unitaires plutôt qu'une seule et unique. Alors on est obligés de brider notre instance à une sous-branche de l'annuaire.
Est-ce que quelqu'un d'entre vous a aussi cette expérience ?
[^] # Re: Précision...
Posté par Marc Quinton . En réponse au journal Mixart Myrys lutte pour sa survie. Évalué à 4.
exact, ou presque ; nous sommes manifestement dans une sorte d'imbroglio ou chacun campe sur ses positions depuis fort longtemps.
[^] # Re: vpn
Posté par Marc Quinton . En réponse au message connection à windows server 2012R2. Évalué à 2.
voici un client et de la doc, concernant SSTP : http://sstp-client.sourceforge.net/
[^] # Re: vpn
Posté par Marc Quinton . En réponse au message connection à windows server 2012R2. Évalué à 2.
peut-etre des pistes d'investigation ici : https://telechargement.insa-toulouse.fr/dl_vpn_fortinet.html (il s'agit d'une doc utilisateur final).
# des news sur France Info
Posté par Marc Quinton . En réponse au lien Crash des sites d’éducations à distance : que s’est-il passé ? - numerama. Évalué à 4.
[^] # Re: verbose
Posté par Marc Quinton . En réponse au message Un petit mystère (1/2). Évalué à 2.
tu peux essayer avec
ssh ... -o IdentitiesOnly=yespour voir ?# intro
Posté par Marc Quinton . En réponse au lien TousAntiCovid : Anticor a porté plainte pour « favoritisme ». Évalué à 1.
je cite:
"Anticor, spécialisée dans la lutte anticorruption, évoque dans son communiqué du 22 mars de potentiels « manquements aux règles relatives à la commande publique » sur la mise en place et la maintenance du dispositif par des entreprises privées. Au point où l’association dénonce un « favoritisme dans l’attribution des contrats relatifs à l’application StopCovid, qui n’auraient été soumis à aucune procédure de passation de marché public »."
Mais que fait la police. Les règles des marchés publics sont valables pour tous, à moins que … On peut cependant imaginer que la passation de marchés publics dans un contexte de crise sanitaire peut conduire à des délais de réalisation peu compatibles avec une urgence.
Se pose aussi la problématique d'hébergement applicative et de cloud souverain. Il existe bien des entités rattachées aux différents services publiques ayant capacité à faire du développement rapide. De là à être en capacité de développer et exploiter une appli telle que "tous-anti-covid", il y a un pas.
# Ruby vs Crystal
Posté par Marc Quinton . En réponse au lien Publication de la première version stable du langage de programmation Crystal. Évalué à 4.
pour rappel, à la base, Ruby et Crystal étaient parfaitement compatibles, avec un objectif de rendre compilable sous forme d'exécutable le code source Crystal. Au fur et à mesure des versions, la syntaxe à quelque peu changé et ils ne sont plus interchangeables ; passer de l'un à l'autre me semble assez simple.
Longue vie à Crystal. A se demander si ca ne fait pas doublon avec d'autres langages compilés : Go, Rust en particulier.
[^] # Re: JSON et syntaxe
Posté par Marc Quinton . En réponse au message Firefox : comment mettre en place une police d'entreprise ?. Évalué à 4.
exact:
sans la virgule à la fin, parce que c'est le dernier de la liste.