votre avatar

UpByvM_jEBXe3b

est avec nous depuis le 27 décembre 2006 ❤️

551 commentaires

Le 21/11/2014 à 11h 30

Euh si.

Il suffit qu’ils aient (ou qu’ils soient en contact avec des personnes qui ont) des énormes fichier Excel (ça arrive très souvent), ou des bases de données MS, ou même des Powerpoint avec des fonctionnalités autres (Vidéo notamment) ou encore du VBA comme indiqué au dessus.

Le 20/11/2014 à 10h 29

Et la suite :http://www.minimachines.net/actu/promos-et-sorties/odr-petit-guide-pour-obtenir-…



Soyez soigneux et ordonnés, vérifier ce que vous faites et écrivez lisiblement en majuscule les informations nécessaires à votre participation. Si on vous demande de découper un code barre faites le posément, proprement. D’abord pour avoir un document propre mais aussi en cas de revente de votre materiel. […] Un coup de stabilo propre sur une date ou un prix à entourer est souvent plus lisible qu’un gros trait au feutre qui bave. Soyez précis.

Le 20/11/2014 à 10h 24

Pas sûr, je pense que ça va marcher.

Ici, le problème c’est que la machine ne détecte que les entourages et pas les surlignages. Toi tu t’es juste planté sur une case (inutile en plus).

Le 20/11/2014 à 10h 23

C’est écrit noir sur blanc “ENTOURER”. Toutes les ODR c’est comme ça, il y a des règles, tu les respectes. C’est quand même pas bien compliqué de lire une notice (surtout quand il y a 50€ à la clé) et de respecter cette notice. Je serai Wiko, je leur renverrai un dictionnaire avec une ODR pour Larousse.

Le 20/11/2014 à 08h 06

Est-ce que le changement se fera lors des mises à jours ou seulement en cas de nouvelle installation?

Si c’est le premier cas, ça risque de jazzer sévère…

Le 19/11/2014 à 13h 48

Ouais, surtout que je pourrai pas me plaindre derrière vu que je suis déjà au dessus des débits officiels de la fibre SFR :(

Enfin, je vais pas me plaindre non plus… J’ai la fibre et en plus elle dépote grave (et jamais eu de soucis en 1 an), c’est déjà mieux que 90% de la population en France :)

Le 19/11/2014 à 13h 28

J’espère qu’en passant chez Numéricable, ils ne vont pas brider les très haut débits. J’ai actuellement un 500+Mb en Up et 300 en Down et ça me ferait bien chier de le perdre à cause d’une politique commerciale définie suite au rachat.

Le 18/11/2014 à 09h 09

Oui, comme avec n’importe quel autre compte… C’est pour ça qu’il y a des mots de passes, des solutions d’authentification à facteurs multiples, des limites sur le nombre de transactions, sur les sommes échangées, des limites sur les appareils utilisés, sur ta localisation…

Le 18/11/2014 à 09h 06

Snapshat? Le réseau utilisé pour l’envoi de nus et autres photos suggestives ou sexuelles? Ils vont devenir les maques du XXIème siècle! Je trouve ça génial^^

Le 05/11/2014 à 10h 49

Certes, mais ça peut permettre de protéger en amont un utilisateur qui se ferait attaquer par une société qui a les dents un peu trop longues (ou en perte de vitesse).  Par exemple, si demain Blizzard se vautre totalement, ils peuvent se mettre à chercher de l’argent par tout les moyens et attaquer les joueurs qui utilisent ces cracks sur des jeux abandonnés. 

Better be sure than sorry

Le 04/11/2014 à 14h 59

Ce que je trouve triste c’est qu’il y ait besoin d’une loi pour avoir ça :( 

Enfin bon, c’est un pas dans la bonne direction et ça me motiverait encore plus pour l’achat d’une Zoe si le besoin se fait ressentir^^

Le 31/10/2014 à 10h 59

Il est en version bêta, et selon le mec qui est sur Reddit qui est développeur sur le projet, l’implémentation HTTPS est en cours.

Le 31/10/2014 à 08h 17

Oui, mais rien n’empêcherait ton entreprise d’uploader tes bulletins sur une base gouvernementale. Bon ça changerai beaucoup de choses, je pense mais au moins ça serait simple pour les salariés d’avoir tout les bulletins de salaire dans un coin au cas où :)

Le 31/10/2014 à 08h 12

Je crois aussi avoir entendu qu’ils vont simplifié les bulletins de salaire. Ce que je comprends pas c’est pourquoi ils ne dématérialiseraient pas ça : en stockant tout ça sur une base de données gouvernementale par exemple. C’est chaud niveau sécurité mais sûrement pas insurmontable.

Le 31/10/2014 à 08h 06

L’édition des commentaires quand il y a des liens, c’est vraiment difficile :( 

Les vieilles balises fonctionnent encore ou pas?

Le 31/10/2014 à 07h 58

<img data-src=" /> mes-aides.gouv.fr République Française<img data-src=" />

C’est vraiment du beau boulot!



Pour info, il est toujours en béta, les bugs sont à envoyer sur mes-aides [AT] sgmap.fr

Vous pouvez même contribuer au projet :




Le 18/10/2014 à 09h 21

Comme ça, à chaque fois qu’un employé recherchera son nom sur Google

(franchement, nous savons tous qu’ils le font) ils verront une

publicité AdWords qui leur dira “NOUS VOULONS HALF-LIFE 3”



Ça s’appelle du harcèlement ça non?

Le 15/10/2014 à 09h 24

Merci d’avoir mis à jour l’article Sébastien!<img data-src=" />



Au final, il est plus simple de se faire ça avec un RasberryPi : OnionPi

Le 15/10/2014 à 08h 25







gounzor a écrit :



J’ai une questio sur TOR : est ce que même avec ce genre de routeur le réseau sera incroyablement lent comme avec leur browser ? Est ce que cette lenteur est spécifique au type de connexion que TOR fait ?





Le réseau TOR est lent et sera toujours plus lent que le réseau Internet “normal”. Toute requête HTTP passe par des dizaines de points différents à travers le monde avant d’atteindre sa cible : tout cela rajoute de la latence. Cette latence ne peut être réduire qu’en réduisant la sécurité du réseau TOR.

Par contre, le débit peut s’améliorer si tout les noeuds avaient une super connexion Internet.


Le 15/10/2014 à 08h 08

Je viens de faire un tour sur leur site Internet pour savoir si le routeur fait nœud aussi, et je suis tombé sur un AMA du développeur sur Reddit :&nbsp;&nbsp;https://www.reddit.com/r/TOR/comments/2j38oo/im_a_developer_for_the_tor_hardware…



&nbsp;Le premier commentaire montre qu’il ne s’agit que d’un routeur à 30\( avec OpenWRT. Beaucoup plus d'infos ici :&nbsp;https://www.reddit.com/r/privacy/comments/2j9caq/anonabox\_tor\_router\_box\_is\_fals...

&nbsp;

En gros, le hardware n'est pas OpenSource, le software n'est pas OpenSource, le routeur n'a pas été désigné par eux, et il coûte 20\)
!



 &nbsp;       



Sébastien, je pense qu’il faudrait mettre à jour la news avec les informations révélées sur Reddit!



&nbsp;edit : grillé de justesse par&nbsp;praglik

Le 14/10/2014 à 13h 41







NewLook a écrit :



Gros point noir que sont toutes ces mises à jour interminables … c’est d’ailleurs en partie pour cela que je suis passé sous OSX Mavericks, là c’est le calme total… quel bonheur.

Windows 8,1 reste en virtuel si besoin.

Hier j’ai reinstallé Vista pour une amie faute de compatibilité avec 7 et 8… j’ai cru partir dingue, plus d’une journée de mises à jour… quelle daube.





C’est vrai que le téléchargement et l’installation de toute les mises à jour après une installation de Windows est vraiment longue.

Cependant, il faut comparer ce qui est comparable : Maverick est sorti il n’y a même pas 1 an. Vista est sorti il y a 7 ans (5 ans pour le SP2). J’aimerai bien voir le nombre de mise à jour à faire suite à une installation de Mac OS X Leopard (sorti en 2007 dernière update en 2009).

Et encore, Leopard ne reçoit plus de support (maj securité) depuis bien longtemps. Contrairement à Vista.


Le 09/10/2014 à 17h 00

L’intention de vouloir tout centraliser sous une même bannière est peut-être bonne mais je trouve que la méthode n’est pas bonne : faire du rebranding va créer la confusion entre les utilisateurs finaux (cf OpenOffice vs LibreOffice).

Et puis, désolé, mais Frama-X ça vent pas du tout du rêve…

Le 09/10/2014 à 16h 54

L’EFF propose déjà sa liste avec Prism-Break. C’est déjà une superbe base.

Pourquoi réinventer la roue? Pour faire une roue Franco-Française? On a vu ce que ça a donné avec le “French Cloud”, le French Google (Qwant). Ce genre de “combat” doit être mené mondialement (ou au moins internationalement) : des outils libres développés, améliorés, utilisés par tous; des données hébergées par chacun.

Le 04/10/2014 à 13h 35







yep a écrit :



De ce que j’en ai compris, le problème principal vient du fait que l’on puisse mettre à jour le firmware (FW) d’un périphérique USB sans que celui-ci ne vérifie l’auteur du FW.



Pour mettre à jour un FW, il faut généralement passer par un bootloader qui est inclus dans le périphérique qui permet de charger ce FW. C’est au bootloader du vérifier la signature du FW et de décider ou non de le sauvegarder. Une fois sauvegardé, ce FW va être exécuté sur le périphérique USB.



A partir de là, il est possible de faire “ce qu’on veut” avec le périphérique USB. On peut faire en sorte qu’il s’énumère comme un clavier, une clé USB, une carte réseau, une webcam ou ne ne sais quoi.



L’exploitation est, à mon avis, plus compliquée puisque un périphérique USB n’exécute pas de code sur la machine à laquelle il est branché.

 

On peut donc imaginer plusieurs vecteurs d’attaque:



 1. émuler une clé USB pour que le système boot dessus et ainsi installer un virus ==&gt; pas besoin de bidouiller le FW du périphérique, on peut le faire avec une simple clé USB. L’avantage de le faire en trafiquant le FW c’est d’être “clean” au branchement et lorsque le PC redémarre, monter la partition avec le virus . La parade est super simple: désactiver le boot sur USB, ce qui, au passage est fortement recommandé.

 

 2. émuler un périphérique USB dont on connait les failles de sécurité du driver installé sur la machine. On pourra essayer de faire des débordement de mémoire et exécuter du code aléatoire sur la machine. Une mise à jour du driver pourra corriger le problème s’il est connu. Cette attaque est donc liée à un système d’exploitation, Windows, Linux et MacOS n’ayant pas les mêmes driver…



 3. émuler des périphériques et essayer de glaner des informations.

Cela peut se faire en se déclarant comme une carte réseau et essayer de re-router le trafic réseau vers nous. Je ne m’y connais pas trop en réseau, donc je ne sais pas ce qu’il est possible de faire, mais je pense que si le trafic est redirigé vers cette carte factice, il y a de forte chance que le réseau ne marche plus (à moins de pouvoir forcer les paquets à passer par la carte réseau factice puis de les renvoyer vers la carte réseau légitime… j’ai du mal à voir comment faire… mais pourquoi pas…)



 On peut aussi se faire passer pour un clavier et entrer des commandes, comme par exemple lancer une console DOS, aller télécharger un virus sur internet toujours en commande dos puis l’exécuter. Cette attaque est plutôt visible car la fenêtre dos est visible et si jamais le périphérique USB infecté effectue cette manipulation alors que vous être en train de rédiger votre rapport sur votre éditeur de texte favoris, alors tout tombe à l’eau.

Cette attaque par clavier factice tombe aussi à l’eau si vous branchez le périphérique USB alors que la session est verrouillée… puisqu’il faut entrer le mot de passe de la session pour pouvoir faire quelque chose.

En plus l’execution d’un virus sera surement détecté par votre anti-virus.

 

On peut aussi se déclarer en périphérique composite (plusieurs “périphériques” dans 1), comme un clavier + une carte réseau + une clé USB + … Pareil, l’attaque est assez compliqué car il faudra faire en sorte que tout soit bien synchro pour attaquer le PC et espérer faire quelque chose.



Il faut aussi prendre conscience que généralement les mémoires embarquées dans les périphériques sont réduites au minimum. Donc une souris avec ses quelques ko de flash aura du mal à sauvegarder 3 jours de trafic réseau. C’est pour cela que les clés USB (stockage de masse) sont les plus sujet aux attaques car il est possible de sauvegarder beaucoup plus de données.



Une parade à tout cela serait que le système affiche lors du branchement d’un périphérique USB ce à quoi il sert et demande à l’utilisateur de valider. Ainsi, si vous branchez une clé USB (stockage de masse) et que celle-ci se déclare comme un stockage de masse et un clavier ==&gt; vous refusez. Idem si la clé USB se déclare comme une carte réseau…

Reste le problème du démarrage… il faudra bien autoriser au moins un clavier et une souris pour permettre à l’utiliser de valider les autres périphériques…



L’autre parade est de bien regarder ce que votre système vous dit lorsque vous branchez votre périphérique…





<img data-src=" />

<img data-src=" />


Le 04/10/2014 à 11h 24







ledufakademy a écrit :



C’est vieux comme tout cette faille :







je l’enseignai déjà en 2011 à mes stagiaires dans ce cours que j’ai écrit : “Firewall - Architecture et déploiement (Linux).pdf”





Ça n’a rien à voir avec les failles DMA… Surtout que les failles DMA n’ont jamais été possibles en USB.


Le 04/10/2014 à 11h 20







moxepius a écrit :



Beaucoup de bruit pour rien, a moins que le firmware puisse accédé a une faille de l’os…





Non, rien à voir avec une quelconque faille. Les types du SRLabs montrent qu’en modifiant le firmware USB, ils présentent d’abord une clé USB en tant que clé USB puis discrètement présentent des descripteurs d’autres périphériques :





  • Interface réseau : permettant de rediriger les flux DNS

  • Périphérique de saisie (clavier) : permettant de faire un keylogger (sous Linux)

  • Faut periph de thetering : permettant de lire tout le traffic





    Ce n’est pas une faille de l’OS que d’accepter l’installation d’un périphérique qu’on lui propose!









    2show7 a écrit :



    Une bonne raison d’employer les clés qu’avec Linux <img data-src=" /><img data-src=" /><img data-src=" />



    Une alternative de choix, non ?



    <img data-src=" />





    <img data-src=" /> <img data-src=" />

    Rien à voir avec l’OS : encore une fois il s’agit d’un périphérique USB qui est faussement présenté à l’OS. Linux, Mac, BSD (enfin si ils sont un peu user-friendly), vont installer le périphérique présenté. Webcam, clavier, cléWiFi,…


Le 04/10/2014 à 09h 22







taralafifi a écrit :



Mais le malware une fois executé, se loge obligatoirement en memoire vive et donc l’antivirus pourra l’intercepter.





Oui, mais ça n’en reste pas moins un vecteur d’infection plutôt puissant et répandu.



De plus, si on lit le PDF de SRLabs, on peut voir qu’il ne s’agit pas tout le temps de malwares : ils arrivent à créer une fausse connexion réseau par laquelle ils font passer tout les requêtes DNS.



En fait, pour limiter le maximum l’effet de BadUSB, il faudrait que l’OS (ou une solution de sécurité) détecte les changements intempestifs de type des périphériques USB –&gt; Une fois que ta clé USB est enregistré en DataStorageUSB, elle n’a pas le droit de se faire passer en autre chose.


Le 04/10/2014 à 09h 09







tAran a écrit :



Question peut-être bête mais je me demande pourquoi ça ne pourrait pas être le cas de toute entrées sur un ordinateur ? (hdmi, jack, série, etc..)





Je crois qu’il y a déjà eu des attaques similaires sur les ports Thunderbolt & Firewire. La différence ici c’est l’impact de l’USB : tous les ordinateurs ont un port USB et quasiment tout le monde utilise l’USB quotidiennement.


Le 02/10/2014 à 09h 28







zempa a écrit :



Il s’agit aussi d’éviter de se faire siphonner notre R&D par nos amis…



Quand on sait que les services français et américains du renseignement travaille main dans la main, je ne sais pas comment interpréter cette phrase





Il n’y a rien à interpréter. Le renseignement c’est aussi de la diplomatie : je te donne cette information/technologie en échange de celle-ci. Ça n’empêche pas de devoir protéger ses informations/technologies contre tes alliés d’un temps. Au contraire même, plus tu souhaites échanger plus tu dois protéger tes ressources sinon tes informations sont totalement dévaluées.


Le 26/09/2014 à 07h 31







Groumfy a écrit :



C’est rigolo.



Sauf cas de panne, sauf cas de dégradation volontaire, sauf cas de grand coup de vent.





Comme un avion quoi?



<img data-src=" />


Le 25/08/2014 à 10h 08







GoobY13 a écrit :



Forcemment mais tout ne peu pas être gratuit, pour innover faut un minimum de moyen, et 2euros franchement ca va je trouve, dans mon cas ca servirait surtout aux petites annonces et je l’utiliserais 1 mois par ci par là donc ca ne me tuera pas pour la tranquillité





Oui oui, bien sûr :) Juste que c’était bien pratique la béta gratuite :)


Le 25/08/2014 à 10h 00

J’avais participé au Beta-Test, c’était une super idée!

J’aurai bien aimé que ça reste gratuit :)



Les restrictions horaires c’est bien pratique quand on donne ce numéro au boulot!

Le 21/08/2014 à 12h 46

Faudra qu’ils arrêtent MobiSkill avec leur noms de poste à la mords-moi-le-nœud :





  • MacGyver du test pour pure player

  • DevOps Multimédia débrouillard et curieux !

  • Master du Développement Java/JS pour éditeur de logiciel H/F





    Et encore, c’est que celles listées ici…

Le 14/08/2014 à 13h 55



Armlist » est un site de petites annonces qui permet à des particuliers de s’acheter […] comme son nom l’indique,[…] des armes à feu



Je proteste, son nom aurait pu indiquer qu’il s’agissait de bras (ou de processeurs).

Le 14/08/2014 à 08h 23







tazvld a écrit :



Le hash MD5 est facilement contournable, 1 bit de travers









ZeHiro a écrit :



Un MD5 c’est pas très partique comme trace









jb18v a écrit :



les trackers privés ajoutent un fichier txt ou autre pour changer la signature





OK.

Je vois bien que le MD5 a ses limites… Ce qui me semble curieux c’est que ça fait des années qu’on parle de super soft qui permettent d’identifier un film complet avec 30s d’images floues… Même sur Reddit, il y a un bot qui arrive (je crois qu’il fonctionne comme ça), à identifier la source vidéo des Gifs…


Le 14/08/2014 à 08h 09



Le problème est que cet ordre est très large, et qu’il revient pour l’hébergeur Hulkfile à devoir surveiller un par un tous les fichiers qui sont uploadés sur ses serveurs par des utilisateurs tiers. Pas simple.



Je comprends pas : Dans la requête DMCA, il y a pas le MD5 (ou autre hash) du fichier à supprimer? Ils indiquent bien le lien vers le fichier illégal. Pourquoi ne pas en sortir le MD5 de ce même fichier?

Dans ce cas là, ils peuvent pas faire une requête dans leur BDD pour interdire tel MD5?

Ça me semble pas si compliqué.

Le 07/08/2014 à 14h 40







zaknaster a écrit :



A priori, l’option est dispo depuis des années, c’est le lien a ce niveau du mail qui est nouveau. Elle aparaissait justement quand on déclarait le mail comme spam, Gmail proposait plutot la désinscription à la newsletter.





Oui, je me souviens l’avoir massivement utilisé en 2011 lors que je recevais tout les programmes électoraux (et plus…).


Le 07/08/2014 à 08h 32







goom a écrit :



VLC est un lecteur multimédia très largement installé par défaut sur les ordinateurs de grandes entreprises (cotées au CAC40) sans doute pour la simple raison que ça lit presque tout ce qui est multimédia et que c’est donc plus tranquille pour un service informatique.



Par contre, je ne sais pas si ces entreprises reversent un peu d’argent à VLC pour continuer le développement.





En France, pour les grandes entreprises (et même moins grandes) , très certainement pas!

“DSI : Ca serait pas de mal de donner à la boîte qui fait ce soft libre!”

“CFO : Pourquoi payer? C’est gratuit non? Moi j’ai rien payé quand je l’ai installé chez moi! Vous m’aviez dit que c’était gratuit!”.



Le 29/04/2014 à 09h 49

Toujours pas de nouvelle du Mac Mini <img data-src=" />

Le 27/04/2014 à 11h 20







lossendae a écrit :



Tu confirmes une chose : le geek est chiant !





Oh bah comme toute personne spécialisée dans un domaine qui voit la culture de ce dernier massacré dans un film ou un livre <img data-src=" />


Le 26/04/2014 à 16h 00







Elsiko a écrit :



Edit: le bouton “annuler” de quand on edit un commentaire ne marche pas, il fait rien du tout.





C’est le mystère du Cloud!!! <img data-src=" />


Le 26/04/2014 à 14h 49

Concernant le film : Qui offre une dizaine d’iPad? Et surtout qui offre des iPad en les préconfigurant avec son compte Apple (qui donne par ailleurs accès à sa CB si je n’abuse)?

J’aimerai bien voir comment c’est traité dans le scénario parce que rien que ça, ça ne me donne pas envie d’aller voir ce film… (En plus de défoncer une baie serveur inutilement)!

Le 08/04/2014 à 16h 53







neves a écrit :



Test toi même, tout le monde en parle de l’exemple avec yahoo.

python ssltest.py mail.yahoo.com et cherche login et passwd.





OK.

Bon bah j’ai ma preuve <img data-src=" />



Au final, c’est pas vraiment les clés privés qui sont les plus en danger mais plutôt les bases de password…



Merci de l’aide, ça m’éclaire et du coup, je suis bien moins sceptique!


Le 08/04/2014 à 16h 09







TaigaIV a écrit :



http://heartbleed.com/





Oui, oui! C’est ce que tout le monde a recopié partout sur le Net sans pour autant en apporter la preuve. Je suis sceptique surtout quand je vois un affolement public! <img data-src=" />


Le 08/04/2014 à 16h 08







neves a écrit :



Test toi même, tout le monde en parle de l’exemple avec yahoo.

python ssltest.py mail.yahoo.com et cherche login et passwd.





OK. Je vais y jeter un oeil (pas sur Yahoo parce que ça se fait pas).


Le 08/04/2014 à 16h 00







neves a écrit :



http://s3.jspenguin.org/ssltest.py





Oui, j’ai vu ça. Pourtant, j’ai pas encore réussi à récupérer des données claires et utiles.







neves a écrit :



Oui c’est “mouvant”. Et non contrôlable “à priori”.





OK, c’est bien ce que je pensais. Mais c’est mouvant sur combien de données quel type de paquet?)





J’ai peut être l’air sceptique mais j’aimerai juste qu’un type balance un “Bam! Voilà ce que j’ai fait, et voilà ce qu’ai récupéré en utilisant cet exploit”. <img data-src=" />


Le 08/04/2014 à 15h 46







neves a écrit :



Tu n’as pas tout compris : une connexion sur un serveur SSL impacté et tu récupère de la mémoire du processus. C’est très facile de récupérer des cookies de session, des morceaux de mail, des num de carte de crédit, des messages privés de forum, etc. Par contre on ne contrôle rien, il faut tester “en boucle”.



De là à récupérer la clé privée SSL j’y crois moyen (mais pourquoi pas), mais avoir des identifiants sur des webapps ça c’est pas compliqué.





On est d’accord pour la clé privée SSL (pourtant c’est ce qui excite l’Internet aujourd’hui…).

Pour le reste, ce que j’aimerai savoir c’est savoir si la fenêtre des 64Ko est mouvante ou pas? De ce que j’ai compris c’est totalement aléatoire…

Enfin, de ce que j’ai lu les navigateurs Firefox, Chrome n’ont pas l’air d’être touché. Ce qui voudrait dire que l’impact n’est pas aussi important que l’on pense. Ca n’en reste pas moins un problème grave et à traiter rapidement, mais faut-il vraiment se mettre à régénérer tout les certificats et resetter tout les mots de passe?


Le 08/04/2014 à 15h 39







®om a écrit :



http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html





Justement “It allows an attacker to read up to 64KB of memory, and the security researchers have said:”. Il démontre que théoriquement ça fonctionne, après il avoue lui même qu’il aimerait bien voir un PoC.

Même si il a mis à jour son article depuis :



This section originally contained my skepticism about the PoC due to the nature of how the heap works via sbrk. However, many readers reminded me that mmap could be used by malloc instead, which changes everything.



Il n’en reste pas moins que le PoC est pour l’instant, à ma connaissance, introuvable.


Le 08/04/2014 à 15h 31

Malheureusement, il y a eu certes un vent de panique sur le Net et pour autant, je n’ai pas encore vu une seule personne prouvant qu’il avait réussi à récupérer des informations sur un site impacté.

De ce que j’ai lu, pour pouvoir utiliser cet exploit, il faudrait qu’un hacker mettent en place un honeypot en SSL et que des utilisateurs se connectent sur ce honeypot. Les utilisateurs qui naviguent grâce à Firefox ou Chrome ne seraient pas impactés car Firefox désactive le HeartBeat en question & Chrome n’utilise pas OpenSSL (sauf pour sa version Android).

Enfin, certes le hacker pourrait récupérer jusqu’à 64Ko de données par “session”, mais on ne sait pas quelles sont ces données : est-ce que c’est 64Ko aléatoire? toujours les mêmes?



C’est très bien qu’il y ai eu une diffusion de l’information importante, mais pour autant, je trouve que le site HeartBleed.com n’est pas très avare sur “Quels sont les vrais risques?”.



(Ah et aussi les mecs de chez CloudFlare ont dit qu’ils n’allaient changer les certificats que si ils arrivent à récupérer ces informations en utilisant l’exploit)…

Le 08/04/2014 à 08h 50







Jarodd a écrit :



Je suis pile poil dans cette situation : ma belle-mère m’a refilé son vieux portable sous XP pour faire un coup de nettoyage, tellement il rame sévère. J’ai envie de lui mettre Ubuntu, il faudrait un skin XP pour qu’elle n’y voit que du feu <img data-src=" />





T’as un paquet de skins “XP-Like” pour Ubuntu ou Mint! Après, je ne suis pas certain que ça soit la meilleure façon de présenter la chose. Dire que Linux c’est exactement la même chose que Windows c’est mentir, la personne finira par s’en rendre compte et ça pourrait créer une frustration plus importante que si on lui avait présenté Linux comme un changement!