votre avatar Abonné

Freeben666

est avec nous depuis le 8 décembre 2004 ❤️

Bio

Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?

1348 commentaires

Hier à 09h 24

Merci pour le lien, je vais tester ca.

Pour le matos, nop pas vraiment, GTX 1080 et 16GO de RAM.
Mais ca permets de faire fonctionner certains des modèles.
Le "jeux" de cette après midi, demander de générer une fonction bash permettant de générer un pod Kubernetes de test. Ca fonctionne pas trop mal, mais il faut demander de corriger certaines erreurs (EOF non fermé par exemple)


J'ai testé hier soir. Vu comme ça a ramé sur ma RTX4090 + R9 5950X, j'ose pas imaginer sur ta machine 😱
Les 24GB de VRAM et les 64GB de RAM étaient pleins. En même temps, le modèle seul pèse 63GB !

Le 25/07/2024 à 17h 30

Ça doit être possible à lancer via Ollama. Après, j'espère que tu as un bon GPU avec beaucoup de VRAM 😅

EDIT : lien vers le modèle sur le site d'Ollama --> https://www.ollama.com/library/mistral-large

Le 25/07/2024 à 16h 38

S'ils se focalisent sur la génération de code pour leur présentation, pourquoi ne pas inclure Codestral dans la liste ?

Le 24/07/2024 à 15h 30

Si l'agent falcon sensor est enregistré au boot-start c'est pour une bonne raison : celle d'être sûr de passer avant tout le monde et donc de pouvoir prendre ses mesures le plus tôt possible.
C'est le problème de ce type d'agent en ring 0 aussi, aucun droit à l'erreur, sinon c'est d'office le crash système.

Pour info une ancienne version avait eu les mêmes conséquences sur des kernels linux aussi donc on ne peut même pas dire que c'est la faute de MS.
Ce qui est clair c'est que
1- leur mécanisme de validation me semble particulièrement faible pour un truc qui part en ring 0
2- je ne pige pas bien qu'ils n'aient pas au moins un "real life testing" avant tout déploiement de masse, sachant que ce truc fonctionne en push
3- Appremment et comme ca a été dit, CrowdStike ne permet pas par exemple d'avoir un noeud de maj qui déploierait "en différé", d'abord sur qqes honey pots puis sur les machines de prod quand on a validé que c'était stable.

Pour me faire l'avocat du diable (dans ce cas, Crowdstrike), Il y a un intérêt à déployer ce genre d'updates le plus rapidement possible : celles-ci sont là pour permettre au capteur de détecter des comportement suspects. Le plus souvent il s'agit de comportement observés dans de vraies attaques, ce qui veut dire que des pirates utilisent activement les méthodes que l'on cherche à détecter.

Il faut donc réussir à trouver le bon équilibre bénéfice/risque entre déployer trop vite et risquer de foutre le système par terre au moindre bug qui passe entre les mailles du filet, et déployer trop lentement et louper des détections qui auraient permis de prévenir des attaques. Le truc c'est que cet équilibre va dépendre du contexte de chaque client de Crowdstrike, donc ça serait bien qu'ils donnent plus de contrôle sur le déploiement de ces updates.

Le 24/07/2024 à 15h 23

Pourquoi ? À cause d’un bug dans le validateur de contenu.
L’envoi en production s’est fait sur la base des tests réalisés et validés par erreur


En même temps, tu peux faire tous les tests que tu veux, si les changements sont validés quels que soient les résultats des tests, pourquoi s'embêter ? 😅

Le 24/07/2024 à 14h 51

Une info que j'ai découverte hier, et que je n'ai pas vue abordée dans les articles sur le sujet publiés sur Next : pas mal de gens dans les commentaires de l'article initial étaient à critiquer Microsoft, en mode "ils sont quand même stupide chez M$, si l'OS n'arrive pas à booter à cause d'un pilote buggé, il devrait juste booter sans charger le driver !".

Le truc c'est qu'apparemment, ce type de mécanisme existe bien dans le noyau de Windows. Seulement, Crowdstrike a enregistré le "pilote" de Falcon en tant que "boot-start driver", empêchant l'OS de booter sans le charger. Ça fait sens, on ne voudrait pas que quelqu'un réussisse à faire rebooter la machine sans relancer la solution de sécurité automatiquement. Mais clairement avec ceci en place, il n'y avait plus aucune chance pour que le système s'en sorte tout seul.

Le 22/07/2024 à 14h 14

Est-ce que je peux mettre le périphérique de stockage sur un autre PC déjà démarré et le lire ? C'est à dire le lire même si tout l'OS installé dessus est corrompu ?

Tu peux le brancher sur un ordinateur fonctionnant sous Windows. Tant que tu as la clé de chiffrement du disque tu peux accéder aux données (tant qu'elles ne sont pas physiquement corrompues sur le disque bien entendu).
En gros, lorsque l'on branche un disque chiffré avec Bitlocker (ça peut être un disque interne comme une clé USB), Windows va demander de saisir le mot de passe du disque, mais on peut également saisir la clé de secours (qui est celle que Microsoft nous demande de sauvegarder lors de l'activation de Bitlocker).

Le 19/07/2024 à 22h 33

Car c'est eux qui font l'OS/plateforme sur lequel tout ceci tourne. Tu n'as pas un système embarqué un peu sérieux, pourtant bien plus contraint matériellement qu'un serveur ou même le moindre PC, qui n'intègre pas ce type de mécanisme.

Pourquoi tu te mets à parler de systèmes embarqués, alors que ça n'a absolument rien à voir ? (encore que, il y a bien eu au moins une update OTA de Tesla qui a brické des voitures, donc bon, c'est peut-être pas si différent ?)

Oui il y a des ES qui ont des double bootrom, et qui switchent en cas de souci, mais ce n'est pas non plus la norme.

Les gars de Crowdstrike ils font mumuse avec le noyau, et ce serait à Microsoft de prévoir des garde-fous dans le noyau au cas où ils se plante ? Ce que Microsoft a fait c'est de virer du kernel-space tout ce qu'ils ont pu (et les gens étaient pas content), et c'était la bonne chose à faire. Pour ceux qui doivent rester en kernel-space pour des raisons d'accès spécifiques et/ou de performances, ils ont mis en place la certification WHQL. Après, quand on touche au noyau, ça reste toujours risqué.

Je veux bien que tu me donnes un exemple d'OS serveur qui serait capable de se sauver tout seul si la même chose arrivait. Clairement Linux ce n'est pas le cas, macOS ça fait longtemps que je ne m'y intéresse plus, mais de mémoire ce n'était pas le cas (il me semble avoir lu ailleurs dans les commentaires qu'ils n'autorisent juste plus les kernel extensions, à vérifier).

Le 19/07/2024 à 22h 21

Je partage ton avis mais la réalité que je vois au quotidien n'est pas celle-là. Faire des tests en amont, cela coûte cher : Il faut avoir un environnement de tests qui est rarement gratuit et du personnel pour réaliser ces tests avant le déploiement en production et maintenir l'environnement de tests pour qu'il reste représentatif de la production.

Après, dans les sociétés impactées, il y en a beaucoup qui doivent avoir les moyens de réaliser cela, or celà n'a pas été fait (peut-être une impossibilité dans CrowdStrike d'après certains commentaire).

Moi, ce qui me surprend, ce n'est pas que Windows plante. Comme indiqué, c'est le pendant d'un driver de bas niveau si celui-ci est défectueux.
Là, c'est plutôt que ce drivers plante en lisant une base de définition qui m'interpelle. Cette base aurait pu être corrompue par d'autres moyen qu'une mise à jour et donc les développeurs auraient dû prévoir ce cas dans leur logiciel.

" Il faut avoir un environnement de tests qui est rarement gratuit et du personnel pour réaliser ces tests"

Oui ça coute de l'argent de bien faire les choses. Ça coute combien quand on fait mal les choses et qu'on se prend ce genre d'incident dans les dents ?

"Cette base aurait pu être corrompue par d'autres moyen qu'une mise à jour et donc les développeurs auraient dû prévoir ce cas dans leur logiciel"

Alors, le mauvais développeur, on lui donne des specs, et il code. Alors que le bon développeur, tu vois, on lui donne des specs et il code, mais c'est un bon développeur.

Plus sérieusement, il y a clairement eu des lacunes côté dev et QA. Mais bon tu comprends, les tests unitaires c'est chiants.

Le 19/07/2024 à 16h 44

C'est expliqué ici : https://www.orangecyberdefense.com/fr/solutions/protection-des-mobiles-et-des-endpoints/endpoint-detection-and-response-pourquoi-ledr un EDR réagit avant que le virus arrive sur la machine et peut détecter l’exploitation de commandes en powershell

AV, EDR, XDR... tout ça c'est juste de la sémantique pour les gens du marketing. Le point important ici c'est que ces outils ont besoin de s'interfacer de près avec l'OS pour assurer leurs fonctions de détection, et ça ça veut dire qu'au moins une partie du produit tourne en kernel-space.

C'était moins le cas avec les AV "à l'ancienne" qui se contentaient de scanner les fichiers et comparer leurs signature avec une base de données, mais avec la multiplication des méthodes de détection, et les actions de réponse aux détections, les outils interagissent de plus en plus avec le noyau pour récupérer les infos dont ils ont besoin, et effectuer les actions de blocage des menaces.

Le 19/07/2024 à 15h 22

Et ben crois le ou pas, tous les DC étaient down, c'est Crowdstrike qui décide les maj, personne n'a la main dessus...

Ils ont balancé leur maj sur 100% des machines sur la planètes, c'est juste WTF...

Pour cela que c'est le chaos un peu partout...

Le 19/07/2024 à 15h 16

Je vais te dire: tout le monde :p Suffit de voir le nombre de boîtes impactées.
Le truc c'est que le Falcon Agent c'est un peu comme un "antivirus" donc c'est CrowdStike qui "pousse" les maj et pas le client qui les "tire". Quand ça marche bien c'est très bien, quand ça foire ... ça foire très bien aussi :p

Pourquoi le fait que ce soit un EDR voudrait forcément dire que le client ne doit avoir aucun contrôle sur le déploiement des mises à jour ? Sur un environnement desktop, pourquoi pas, mais clairement sur des serveurs c'est inacceptable. Surtout qu'à priori là c'est pas juste une mise à jour des signatures de virus et/ou règles de détection heuristique, mais une mise à jour du moteur de l'EDR lui-même (vu qu'un fichier sys est concerné, je dirais le "pilote" qu'ils utilisent pour s'interfacer avec le kernel).

Le 19/07/2024 à 14h 47

de ce que je comprend c'est un peu comme une maj de définition d'antivirus, donc pas très étonnant que ça soit du déploiement, "global et sans test" (mais ça mériterai peut être une réflexion sur le sujet, trouver un compromis entre déployer une nouvelle définition rapidement pour qu'elle soit dispo le plus vite possible sans prendre ce risque de "bug")

Falcon de CrowdStrike n'est pas un simple antivirus à l'ancienne avec simplement une base de signature des virus. C'est un EDR (à moins qu'ils le vendent comme un XDR maintenant, MDR, bref).

Il s'infiltre dans pas mal de pans du système, pour surveiller pas mal de choses, et fait de l'analyse heuristique pour détecter de potentielles attaques.

Pour faire tout ça l'outil a besoin d'un accès au noyau de Windows, probablement réalisé au moyen d'un driver qui tourne en kernel-space. Si celui-ci est buggé, c'est le BSOD quasi assuré.

Le 19/07/2024 à 14h 40

C'est en effet le problème de base, mais les contrôles ne devraient être que la 1ère lame du rasoir. Un mécanisme de probation suite à MAJ assurant au besoin un retour automatique à l'état antérieur devrait être la seconde.

Pourquoi ce serait à MS de prévoir ce type de mécanisme ? Si des gens veulent aller bidouiller le noyau, c'est à eux de prendre leurs responsabilités.

Depuis pas mal d'années, les seuls vrais moyen d'avoir des BSOD c'est soit un problème matériel, soit un soft buggé avec accès noyau, souvent des drivers (et encore, de nos jours beaucoup de drivers ne tourne même plus en kernel-space, mais en user-space, et d'ailleurs ça a gueulé quand MS a mis ça en place).

SI sur un système Linux tu vas modifier le système pour charger un module noyau buggé qui cause des kernel panic, il va pas se retirer tout seul non plus. Il va falloir booter en init 1 et virer le module. Et à aucun moment ce ne serait la faute des dev du kernel Linux, juste du dev du module et du gars qui l'a déployé.

Le 19/07/2024 à 14h 31

Et ben crois le ou pas, tous les DC étaient down, c'est Crowdstrike qui décide les maj, personne n'a la main dessus...

Ils ont balancé leur maj sur 100% des machines sur la planètes, c'est juste WTF...

Pour cela que c'est le chaos un peu partout...

La question est : qui déploie un outil qui fait des màj auto sans aucun contrôle en prod ? Si j'avais proposé ça à notre admin système, j'aurais été très mal reçu, je peux te le garantir 😅

"Ils ont balancé leur maj sur 100% des machines sur la planètes, c'est juste WTF..."

Je savais pas que CrowdStrike était installé sur les ordinateurs du monde entier !!! Et ils se sont pas encore pris de procès pour position monopolistique ?!

"c'est Crowdstrike qui décide les maj, personne n'a la main dessus..."

A priori les clients avaient la main pour décider de ne pas installer sur leur prod un outil sur lequel ils n'ont aucun contrôle... (je parle des décideurs, pas des admins sys qui vont subir la crise)

Le 19/07/2024 à 13h 19

Quand tu installes le système, il ne te donnes pas la clé. Il faut penser à aller la chercher et l'enregistrer quelque part.

Vérifie, mais par défaut elle est sauvegardée sur ton compte Microsoft. Ou alors ils ont changé comment ils activent Bitlocker.

Le 19/07/2024 à 13h 03

Ce n'est pas vraiment dans les bonnes pratiques de déployer une MàJ sur 100% d'un parc le même jour.
Même en prod, en règle générale, tu fais 1%, 10%, 25%... sur plusieurs lots, en évitant de mettre dans le même lot une machine et son backup identifié.
On ne parle pas de tatie Huguette, on parle de gros groupes avec des SI conséquents quand même :/

Tu prêches un convaincu 😅Faut croire que les bonnes pratiques ne sont pas appliquées par tout le monde.

Le 19/07/2024 à 13h 02

Le SPOF qui met en carafe l'OS complet, c'est une responsabilité de Microsoft.
Tout comme l'étaient les BSOD à cause des drivers mal codés en 1998.

L'impréparation des services IT est également en cause oui, et bien évidemment CrowdStrike en 1er lieu.

Non, le SPOF ici c'est Crowdstrike. Le problème c'est les gars qui déploient des outils qui touchent au noyau, et ensuite n'assure aucun contrôle sur les mises à jour, les poussant allègrement en prod sans contrôle.

Le 19/07/2024 à 13h 00

C'est la faute de MS d'avoir un OS qui plante aussi violemment juste parce qu'un outil est défectueux.

On parle d'un outil qui va toucher au kernel. N'importe quel OS va planter sévèrement si un outil buggé va foutre le bordel dans le noyau. Apparemment tu n'as jamais vu de kernel panic sous Linux, mais je peux te garantir que c'est bien réel.

Le 19/07/2024 à 12h 58

Tout le monde ne connait pas cette clé, surtout en entreprise

En entreprise, les utilisateurs ne sont pas censé connaitre (ni même avoir accès) à cette clé. Elle est communiquée par le support uniquement si nécessaire, et après vérification de l'identité de la personne qui la demande.

Et si le support lui-même n'a pas ses clés, c'est qu'ils se sont loupés quelque part.

Pour les particuliers, par défaut la clé est sauvegardée dans le compte Microsoft de l'utilisateur, sinon c'est que l'utilisateur a choisis de configurer ça autrement et a opté pour une autre méthode de backup de la clé.

Le 19/07/2024 à 12h 57

Tu sais pas faire ça a distance non ?
Donc pour une boite, ça implique un tech qui fait la manipulation sur chaque PC de la flotte (et des gens en présentiel)

Chaque employé peut saisir sa propre clé (après que le support la lui a communiquée, bien entendu). Mais de toute façon si la raison de saisir la clé est de pouvoir booter en mode sans échec, je vois mal la plupart des users faire ça...

Le plus simple est de ne pas déployer des mises à jour sur des systèmes de prod sans les tester avant...

Le 19/07/2024 à 12h 53

Bonjour,

Je suis comme toi surpris que des déploiements de ce type se fassent de manière totalement automatiques sans jamais passer par des serveurs de pré-prod de ces compagnies (pour les plus grosses d'entre elles).

Est-ce que cela touche uniquement les serveurs dans le Cloud et/ou on-premises ?

D'après ce que j'ai pu lire un peu partout, ça touche tout système Windows sur lequel Crowdstrike est déployé et qui a effectué la mise à jour incriminée.

Le 19/07/2024 à 12h 29

En quoi c'est la faute de MS si les boites n'ont pas de PRA ?

Le 19/07/2024 à 12h 27

Ils auraient dû faire parvenir l'info à leurs clients 😅

Le 19/07/2024 à 12h 26

Oui, avec Bitlocker tu peux toujours saisir la clé manuellement au boot, donc je ne comprend pas la partie de l'article qui indique que Bitlocker gênerait le démarrage en mode sans échec 🤷‍♂️

Le 19/07/2024 à 12h 24

Hmmmm, qui met en place des systèmes qui poussent des modifications en prod sans aucun contrôle préalable ?!

Je vais être le premier à dire que la sécurité c'est primordial, notamment faire rapidement les mises à jour, mais rien ne doit être poussé en prod sans contrôle !

Le 19/07/2024 à 23h 23

Je dirais que "comme pour" les crash aériens, une certaine pression des compagnies à économiser le coco a parfois pu avoir des conséquences sur le comportement de ses cochers cherchant l'air raréfié un peu plus haut et plus près de toi mon dieu le coffin corner... certains plus doués que d'autres ont d'ailleurs pu sauver l'affaire (pas ceux d'un Rio-Paris), certes mentir, puis devoir changer de métier pour "éviter que cela ne se reproduise" alors qu'au fond ils avaient un peu été contraints à faire ce qu'ils avaient fait et su sauver l'affaire, ce qui n'était pas vraiment donné à tout le monde.
Un peu de lecture:
https://www.securiteaerienne.com/twa-vol-841-perte-de-controle-et-petites-experiences-entre-amis/

Donc je te parle de concepts généraux qui s'ils sont correctement appliqués doivent permettre d'améliorer la sécurité pour tout le monde, et tu me sors un cas particulier...

Surtout un cas particulier où un pilote a choisit d'exécuter une manœuvre non autorisée, pour laquelle il n'a pas été sanctionné par les autorités aériennes. Alors oui, il a réussi à poser l'avion sans faire de morts, mais l'avion n'aurait jamais été en difficulté sans sa décision. Et comparer ça à l'accident AF447 qui n'a absolument rien à voir...

Le 19/07/2024 à 16h 35

:cartonjaune:

Le message est probablement un peu agressif, mais je maintient ce que je dis : repérer des incidents de sécurité (une attaque par bruteforce en cours, je qualifie ça d'incident de sécurité) et ne rien dire, ça relève soit de la stupidité, soit de la malveillance (et potentiellement des deux). Il y a peut-être des gens à qui ça ne plait pas que je dise ça, et vous pouvez supprimer mon message s'il gêne, mais il est factuel.

Qu'importe la potentielle réaction de l'équipe sécurité (qui a l'air, je dois l'admettre, assez "gratinée" dans la boite d'yl), la manière dont ils traitent l'incident c'est de leur ressort. Mais juste ignorer une attaque en cours et ne rien dire, c'est juste inadmissible, et ça mérite un passage dans le bureau des RH pour évaluer le futur de l'employé dans l'entreprise.

Le 19/07/2024 à 15h 11

Arf: "tu es soit stupide, soit malveillant"...
Ni l'un (même si on est toujours le con d'un autre!) et encore moins l'autre. C'est juste qu'un environnement ou ce sera au mieux pisser dans un violon voir t'entraver encore plus dans ton propre travail avec des gens imbus d'eux mêmes et forte probabilité que cela parte au conflictuel (pour qu'in-fine, tu ne puisse plus t'occuper des configs un peu spécifiques qu'ils ne savent pas gérer), eh bien tu finis par faire semblant de ne pas avoir vu. Je pensais avoir correctement expliqué l'affaire.

Je ne suis pas anti sécurité, dans le passé j'ai toujours signalé les problèmes que je pouvais voir à une époque ou des gens, qui n'étaient pas les crétins congénitaux du cirque actuels (puisque tu en parles), te disaient simplement merci et réglaient l'affaire dans la demi-journée maximum. Il faut juste que la paranoïa qui retombe sur l'utilisateur, encore plus s'il lève la main, ne laisse pas voler des choses évidentes sous un radar qui semble désormais éteint. Question de correction et cohérence.

Écoute, si l'équipe sécurité dans ta boite est telle que tu la décris, il y a un gros problème.

Un utilisateur n'est jamais à blâmer pour un incident de sécurité, sauf s'il y a participé de manière intentionnelle (voir et décider de ne rien dire est une forme de participation).

Par exemple, si un utilisateur se fait avoir lors d'un test de phishing, la seule conséquence pour lui ça va être une surcouche de sensibilisation. Tout le monde peut se faire avoir par un phishing, si toutes les conditions sont réunies (j'ai déjà vu un RSSI se faire avoir par un vrai phishing, pas un test). Après si c'est toujours le même qui se fait avoir, je vais quand même avoir une petite explication en tête à tête avec lui.

C'est un peu le même fonctionnement que pour les crashs aériens : ils se sont aperçu qu'à partir du moment où les personnes intervenant dans les accidents n'ont pas à craindre de répercussions, ils mentent beaucoup moins bizarrement. Ce qui permet d'arriver beaucoup plus facilement aux causes réelles des accidents, et déterminer les mesures à mettre en place pour éviter que ça se reproduise.(bon évidemment en cas de négligence criminelle, de malveillance, oui, ils vont prendre). Idéalement, il faut appliquer les mêmes règles dans la sécurité informatique.

Mais il ne faut pas oublier non plus que les utilisateurs sont l'un des premiers remparts, et que la sécurité est aussi leur affaire. La plupart comprend ce point, heureusement. Mais les quelques-uns qui freinent des quatre fers contre toute mesure de sécu, qu'ils voient uniquement comme un frein à leur productivité, ça a tendance à "légèrement" m'énerver. Surtout que généralement ils perdent plus de temps à essayer de contourner plutôt qu'à suivre les process standard.

Le 19/07/2024 à 10h 22

Je n'ai pas dit vouloir "demander à Josiane de la compta ou Michel du commerce d'aller configurer leur client mail avec génération de mots de passe d'application ou autre"... Oauth2 est supporté nativement et il n'y a aucun artifice à rechercher. On lit d'ailleurs ici un mépris de l'utilisateur assez commun, pour m'être un jour fritté avec le débile à la tête de la sécurité chez nous.

Mais même là, c'est parfois utile et j'avais une autre idée derrière la tête en évoquant cela, applicable à l'entreprise: J'ai longtemps eu des scripts de test tournant des jours/semaines à secouer des cartes télécom qui m'envoyaient un mail quand une anomalie arrêtait les endurances afin de savoir que je devais aller y voir de près. Désormais, à cause d'un mode de fonctionnement qui va bientôt me faire arriver le matin pour passer un temps croissant à me logguer (code pin sur le laptop, mot de passe pour se connecter, passphrase pour déverrouiller le bidule MFA et à répéter souvent 2 ou 3 fois car la validité laisse à peine le temps de le taper de l'autre côté... à répéter pour pas mal de trucs sur l'intranet car le single-login semble mal géré) tel qu'a évoluer ainsi, ceci fait il sera temps d'aller bouffer le midi voir de repartir le soir... et bien c'est plus possible!

Et ça fait chier, surtout que cela ne fait que donner une illusion de sécurité (la réalité, c'est que personne n'y comprends plus rien et le RSSI en premier!) tout en entravant le travail à tous niveaux. Et cela a un coût également tout en ne fonctionnant absolument pas "simplement pour tout le monde".

Le plus drôle, c'est quand on a encore quelques machines administrées par les équipes (besoins simus/CAO): On peut voir dans les logs combien les robots de bruteforce hantent désormais le réseau de la boite sans que personne n'y voit visiblement plus rien, ce qui n'a pas toujours été le cas quand on ne se reposait pas sur les autres. On ne signale même pas car le propre de ces personnes c'est de cacher la merde (et leur incompétence), ils risqueraient de nous interdire les quelques dérogations qui nous permettent encore de bosser.

Ok, donc sur le dernier point, tu es soit stupide, soit malveillant. Détecter des soucis de sécurité dans la boite et ne rien dire ? C'est motif de licenciement pour faute, et c'est bien justifié.

Je n'ai aucun mépris pour les utilisateurs en général, juste pour les idiots qui ne font pas l'effort de se demander pourquoi on a besoin de mettre en place ces mesures de sécurité (et d'expérience, ce sont ces utilisateurs qui ont le plus besoin d'être protégés... j'ai les résultats des campagnes de test de phishing 😕)

Ce que je peux lire à travers ton message c'est un dédain assez prononcé pour la moindre mesure de sécurité que tu as l'air de voir comme un obstacle à contourner plutôt que comme des mesures légitimes vu les risques actuels en terme de cybersécurité.

Là je vois deux situations potentielles:
* soit l'équipe cybersécurité de ta boite a fait n'importe quoi et mis en place des mesures n'importe comment, rendant tout le système quasi inutilisable. Ça peut arriver, mais c'est rare.
* soit ta mauvaise volonté est le problème. J'ai quelques utilisateurs qui ont le même genre de discours que toi, c'est la sécurité qui les empêche de travailler (alors qu'ils étaient pas très productif de base, et que pour la très grande majorité des employés tout se passe très bien).

Allez, je te laisse tranquille, je perds déjà assez de temps à me prendre la tête avec les rares idiots anti-sécurité au boulot, c'est pas pour le faire dans les commentaires sur Next.

Le 18/07/2024 à 15h 04

Le truc qui a bon dos... Pas de pb entre mon compte gmail perso et Thunderbird, depuis environ 2 ans que google a poussé Oauth2.

Ce qui peut poser pb, par contre, c'est des trucs plus basiques ou scriptés: Heureusement qu'ils permettent les mots de passe d'application car sinon je ne sais pas trop comment j'aurais pu faire pour ma domotique, surtout que j'ai ségrégé le truc avec une adresse dédiée utilisée pour les envois, doublonnés vers l'autre compte principal: Ainsi les identifiants présents dans la configuration des scripts Python/Lua gérant ce qui est caméras/alarme s'ils sont compromis un jour, car le PI3 qui héberge cela l'était, ce ne serait pas un pb insurmontable cette adresse étant au pire jetable si je n'arrivais pas à la récupérer via les mécanismes présents.

Microsoft est surtout en pleine tentative de pousser son truc à lui, syndrome IE le retour. Ce qui est extrèmement pénible à l'usage car n'avoir que la version navigateur (de préférence Edge en prime) sous Linux c'est chiant. Un constat auquel on peut ajouter Teams: Quand on voit ce que cette boite a fait de Skype après l'avoir bouffé (et centraliser un mode de fonctionnement P2P, qui ne plaisant certes pas trop aux NSA&Co, intelligent qui fonctionnait mieux tout en se passant de gosse infrastructure et en distribuant naturellement la charge réseau)...

Le problème, c'est d'avoir des admins biberonnés au clicodrome depuis leur plus jeune âge, surtout! C'est pourquoi toute proposition de Microsoft vers le secteur éducatif devrait être férocement combattue, car tout commence là (en dehors du PC de la maison pour lequel on ne peut pas grand chose directement).

L'emprise devient à ce sujet totale: Dans la boite ou je bosse qui a tout foutu chez Microsoft, les administrateurs qui restent pour gérer localement les problèmes... n'ont même plus les droits d'admin! Sans déconner, quand tu les entends te dire cela car ce con de Defender butte sur une archive tar.gz d'une vieille sauvegarde ou tu avais dû récupérer un truc... hélas avec une vérole vielle de 10 ans dedans désormais vue... bin plus personne n'y peut rien: Le bidule redmondien, comme tout ce qu'ils font, est trop con pour virer cela d'une archive qu'il sait pourtant inspecter. Il fout donc en quarantaine... et alors l'utilisateur ne peut plus virer l'archive litigieuse. Et le truc qui te prends alors régulièrement plus de 50% de charge sur un core i7 soufflant tout ce qu'il peut comme si tu compilais un kernel Linux dessus, sans rien pouvoir y faire que subir. Quelle boite de débiles...

C'est bien, tu est un grand garçon qui sait faire du Python et du LUA, et tu as des Raspberry Pi qui ne sont pas juste à prendre la poussière au fond d'un tiroir 👏

Maintenant, dans le monde réel, en entreprise, tu ne vas pas demander à Josiane de la compta ou Michel du commerce d'aller configurer leur client mail avec génération de mots de passe d'application ou autre.
Non, tu rends la MFA obligatoire pour tout le monde (franchement les résultats des campagnes de phishing test ça fait peur parfois), tu désactives les protocoles qui utilisent encore les vieilles méthodes d'auth, et tu as Outlook d'autodéployé sur les postes de gens, avec autoconfiguration au premier lancement. Et si on te dit que ça ne fonctionne pas avec TB, la réponse est "c'est Outlook ou rien".

En faisant comme ça, ça fonctionne tout simplement pour tout le monde, et ça libère pas mal de temps pour "les admins biberonnés au clicodrome" (pour les boites qui ont des admins) pour faire des choses un peu plus intéressantes que de s'assurer que les gens ont accès à leurs mails.

Après, personne n'oblige à utiliser Exchange365. Si l'admin de la boite a du temps à consacrer à monter et entretenir une infra de mail qui tient la route, tant mieux, c'est pas plus mal de conserver le contrôle total sur ses données. Mais le passage d'une infra auto-hébergée vers Exchange365 c'est une division par deux minimum (généralement un facteur 3 est observé) du coût des mails dans l'entreprise. 🤷‍♂️

Le 17/07/2024 à 17h 25

Ça n'est malheureusement pas toujours le cas, un certain nombre d'entreprises font le choix de ne pas autoriser le POP ou l'IMAP pour forcer l'utilisation d'OWA ou de clients Exchange, essentiellement afin de rationaliser l'assistance utilisateur...

C'est surtout pour des raisons de sécurité qu'on désactive les vieux protocoles au profit d'Exchange. Le jour où SMTP/IMAP/POP3 gèreront de l'authentification avec MFA, je veux bien les réactiver.

Le 11/07/2024 à 11h 28

Autant le XGP était intéressant au début, autant avec les différentes hausses de prix, c'est de moins en moins le cas...

Si on prend le XGPU à 18€/mois, ça fait 216€/an ! Donc à moins d'avoir 4 jeux à 60€ qu'on aurait acheté dans l'année si on n'avait pas le XGPU, ce n'est pas intéressant...

Le 05/07/2024 à 13h 35

Le service offert par OpenDNS est un service ouvert mais pas un service publique au sens Français du terme. Ils n'ont donc aucune obligation légale de fournir ce service aux Français selon moi.


C'est tout à fait vrai. Maintenant, fournir des services (et même inciter des gens à passer dessus) pour ensuite le couper, même s'il n'y a rien d'illégal, n'est pas très fair play (pour ne pas dire moral).
Même si on peut déplorer cette situation, on leur demande tout de même de violer un principe qui leur est cher: la neutralité des contenus.


La neutralité est un principe, pas une loi. Si une loi dit de couper, on coupe. On peut le regretter, mais c'est comme ça. Sous couvert de neutralité, certains aime à penser qu'Internet est une zone de non droit...

Et si la neutralité était réellement un principe cher à leur yeux, ils ne pénaliseraient pas l'ensemble de leur utilisateur sur un territoire donné parce qu'on leur a demandé de "couper" l'accès à quelques sites qualifiés d'illégaux par la justice. Réagiraient-ils de la même manière si les sites étaient des sites pédopornographiques ?
La décision de justice est donc respectée et le principe de neutralité également. J'appelle cela au choix la réponse du berger à la bergère ou un retour de flamme.


Certes. Mais c'est une réponse non sans certaines conséquences. Et les conséquences, ce n'est ni OpenDNS, ni la justice qui les subissent, mais les utilisateurs pris en otage, du jour au lendemain.

"Si une loi dit de couper, on coupe"

Et bien justement, ils ont coupé. Ils n'ont aucune obligation de ne couper que ce qui est demandé. Pourquoi ils devraient dépenser de l'argent pour bloquer/débloquer des domaines continuellement ? (il y a déjà d'autres procédures en cours pour d'autres domaines à bloquer).

Le 05/07/2024 à 13h 31

Merci.

J'ai du mal à comprendre CISCO.

Les décisions du tribunal demandent de bloquer les diffusions illicites des matches la Premier League et la Ligue des champions respectivement jusqu'au 29 mai 2024 et le 1er juin 2024 les jours de match.

Supprimer l'accès à leur serveurs DNS après la fin de la mesure (le 28/06/2024) est incongru.
Ils se préparent peut-être pour l'an prochain ?

En fait, en relisant le thread X de Marc Rees sur le sujet, on voit qu'ils sont maintenant assignés pour la Formule 1 toujours par Canal +. Ils n'ont peut-être pas envie de payer à chaque fois un avocat pour un service gratuit.

Par contre, je ne comprends pas la décision du Tribunal qui excède ce que la loi permet (et que Canal + avait demandé) : la loi demande le blocage uniquement les jours de match. Là, le Tribunal demande le blocage jusqu'aux dates que j'ai citées plus haut. Ces décisions me semblent contraire à la loi puisqu'elle incluent trop de jours.

Ils ne veulent juste pas avoir à passer leur temps à bloquer/débloquer des domaines. Ça leur prend des ressources en interne, donc ça leur coute de l'argent, pour un service qui ne doit pas leur rapporter grand chose à part un peu de visibilité et des statistiques sur les domaines requêtés.

Le 05/06/2024 à 18h 25

Y en a pas vraiment, mais c'est le chiffon rouge qu'agitent les "effective altruists" pour qu'on leur file plus de thunes et plus de libertés.
Par contre j'aime beaucoup ta deuxième phrase :) vu les réseaux sociaux et la tendance à générer de la confrontation.

Est-ce vraiment un chiffon rouge quand il y a des recherches en cours sur des IA pour des systèmes d'armement ?

Le 15/05/2024 à 18h 28

"Il est possible d'ajouter également un PIN et/ou une clé de démarrage qui devront être saisi avant que le TPM ne libère la clé. Et pas besoin de se lancer dans des GPOs ou modification de registres ultra compliquées..."

Source?

Source : la documentation Microsoft.

Le 15/05/2024 à 17h 43

ah ouais, j'pense que je vais rester comme je suis, loul

Il faut se renseigner sur le fonctionnement de Bitlocker aussi...

Déjà, le disque n'est pas déchiffré au démarrage. Les données sur le disque restent chiffrées.

Quand on démarre l'ordi, l'UEFI et le TPM font des vérifications de l'état du système (basés sur les registres PCR), et si l'état du système n'est pas satisfaisant (par exemple changement du bootloader), la clé ne sera pas libérée par le TPM.

Il est possible d'ajouter également un PIN et/ou une clé de démarrage qui devront être saisi avant que le TPM ne libère la clé. Et pas besoin de se lancer dans des GPOs ou modification de registres ultra compliquées...

Une fois que la clé est libérée, les données restent chiffrées. La clé est chargée en mémoire, et les données sont chiffrées/déchiffrées à la volée de manière transparente.

https://learn.microsoft.com/fr-fr/windows/security/operating-system-security/data-protection/bitlocker/countermeasures

Perso je trouve que c'est une très bonne chose que MS mette ça en place, ça aurait dû être fait depuis longtemps. Cet article complètement à charge nous le présente principalement comme un risque, mais il faut garder à l'esprit que tous nos smartphones sont complètement chiffrés de manière transparentes depuis des années sans que ça pose le moindre problème. Perso j'utilise Bitlocker sur tous mes disques depuis que ça existe, sans jamais aucun souci. J'ai eu 2-3 fois à saisir la clé de récupération suite à des bourdes de ma part et des évolutions matérielles, mais tout s'est toujours bien passé.

Le 15/05/2024 à 11h 28

Intel commence à mettre des "NPU" dans ses processeurs (uniquement Core Ultra pour le moment, il me semble). Chez AMD, les processeurs avec Radeon intégrée doivent pouvoir assister dans l'inférence d'IA également, et si j'ai bien suivi ils ajoutent aussi des "NPU" à partir des Ryzen 8000. Après, la principale limite qu'on va rencontrer sur un ordinateur "standard", c'est la capacité de mémoire pour pouvoir charger les plus gros modèles.

Le 03/05/2024 à 10h 26

Globalement d'accord avec ça mais avec peut-être un peu moins de fatalisme... Ces évènements DEVRAIENT avoir un facteur déterminant dans l'usage du produit.

Ca me rappelle les scandales (industriels mais pas que) menant à des morts (genre AZF, Seveso, amiante, sang contaminé...). Bien que ce soit long et chiant (et que politiques et industriels en sortent trop souvent indèmnes) ces évènements amènes à des modifications réglementaires, des contrôles, des changements de pratique, etc...

Dans mon domaine (l'aérien) chaque incident/accident est étudié à la loupe par les organismes nationnaux et internationaux qui vont bien et amènent à des changement de régulation. L'application est implémentée avec des dates, des critères, des vérifications etc... discutées et agréées avec les gens qui vont bien.

N'étant pas "nativement" dans l'industrie numérique, qu'est-ce qui, de façon systémique, empêche le régulateur d'imposer la mise en place de bonnes pratiques ?

Une première différence, non négligeable, est qu'un avion a une existence physique. Si le régulateur veut clouer au sol tous les 737MAX ou interdire l'accès à son espace aérien à une compagnie par exemple, il a la capacité de le faire. Pour les produits numériques, c'est déjà plus compliqué, car il est beaucoup plus facile de changer de juridiction quand on a un régulateur un peu "chiant".

De plus, les gens placent toujours la perte de leur vie plus haut que la perte d'argent ou la perte de confidentialité sur l'échelle de risque.

Le 20/03/2024 à 11h 06

Tu confonds avec le Cantal, non ?

Le 27/02/2024 à 16h 15

Alors, si on veut pouvoir voir à peu près n'importe quel film/série :
Comportement légal :
* Être abonné à tous les services de streaming (ça fait plus de 100€/mois)
* Certains films/série ne sont pas dispos en streaming, il faut les louer (3€ par contenu en moyenne ?)
* Dans certains cas il faut acheter le film (même si on ne compte le voir qu'une fois)
* Et pas mal de film ne sont juste plus du tout disponibles légalement, à moins de les trouver en occasion DVD

Comportement Tipiak :
* On configure sa stack Plexarr (Plex+Radarr/Sonarr)
* Si on veut regarder un truc, on va dans son Plex et on regarde
* Si c'est pas encore dispo sur Plex, on va dans Radarr ou Sonarr pour l'ajouter, et quelques minutes après c'est prêt.
* (quasiment) tout peut se trouver en téléchargement illégal

Dans quel cas a-t-on la meilleure expérience utilisateur ?

Le 23/02/2024 à 10h 05

Manquerait plus que ces outils représentent la société telle qu'elle est...

Le 22/02/2024 à 12h 09

Professionnellement, ça fait bien 5 ans que je n'ai plus vu mysql/mariadb dans un projet autrement que pour migrer vers PostgreSQL, Oracle ou SQL Server...


Je dirais que ça dépend dans quel milieux tu évolues. Dans l'hébergement web les SGDB relationnels sont grandement majoritaires MySql et MariaDB.

La principale raison de déployer un MySQL/MariaDB, c'est pour accompagner un WordPress. Vu la prédominance de ce dernier sur le web, ces SGDB doivent effectivement être prédominants.
Mais franchement, sur un projet neuf où le choix du SGDB reste à faire, personne ne devrait préférer MariaDB à PostgreSQL.

Le 22/02/2024 à 11h 32

C'est énorme! pour un truc qui ruine la vie des gens déjà en bas de l'échelle

Nan mais c'est des pauvres, c'est pas grave...

(pour la team premier degré, c'est bien évidemment de l'ironie...)

Le 21/02/2024 à 11h 25

Lire la news c'est bien aussi.

Tout le monde ne sait pas lire de nos jours malheureusement.

Le 13/02/2024 à 12h 00

Ce serait oublier nos "trop" nombreux politiques pris la main dans le pot de confiture et qui une fois leur peine écouler reviennent sans le moindre souci.
EG: alain juppé
"Ses démêlés judiciaires le conduisent à démissionner de ses fonctions parlementaires, municipales et dans son parti : il quitte la présidence de l'UMP le 16 juillet 2004 et son siège de député le 23 septembre suivant83. Son adjoint à Bordeaux Hugues Martin lui succède à la mairie de Bordeaux, ainsi qu'à son poste de député, et Nicolas Sarkozy le remplace à la direction de l'UMP. La communauté urbaine de Bordeaux, dont il était président, bascule à gauche au profit du socialiste Alain Rousset.

En 2005, des remous dans le monde universitaire québécois l'empêchent d'obtenir, pour des raisons d'éthique, un poste à l'université du Québec à Montréal (UQAM)84. Il enseigne finalement à Montréal à l’École nationale d'administration publique (ENAP). Plusieurs universitaires s'étonnent alors qu’un homme politique condamné à une peine de prison et d’inéligibilité puisse donner des cours à de futurs hauts fonctionnaires84. "
source : https://fr.wikipedia.org/wiki/Alain_Jupp%C3%A9

Et dire que si personne ne votait pour eux, ils ne seraient pas élus...

Le 13/02/2024 à 11h 36

Si votre voiture peut se faire hacker par un Flipper Zero, le problème c'est la voiture, pas le Flipper... Franchement, j'en ai un, et c'est très limité comme outil. Il y a beaucoup d''autres outils de pentest qui sont moins connus, mais beaucoup plus puissants dans leurs capacités (et beaucoup plus chers aussi...)

Le 01/02/2024 à 12h 00

C'est vrai que c'est bien connu, il n'y a absolument aucun virus ciblant Linux ! Et si jamais il y en avait, jamais ils n'essayeraient d'exfiltrer des informations secrètes !

Sérieusement, protégez vos clés par mot de passe ;-)

Le 18/01/2024 à 13h 59

Oui, j'en ai aussi bcp, des films de vacances, et j'en ai pour des années à tout regarder :D
En gros, si c'est bien encodé (HEVC, etc.) et que je reste en 1080p., quelques To me suffisent.

Je ne crois pas que je verrai une diff. 4K / 1080p sur ma TV à 2 m de distance. Sur ordi, oui, tu es plus près de l'écran, mais sur une grande TV ...

Après, je me trompe peut-être :)

La différence Full-HD / 4K est visible, mais c 'est pas non plus un truc de malade. Par contre, le passage SDR vers HDR, ça c'est une révolution.
Et quand tu as un écran OLED avec de bonne capacités HDR, si tu veux en profiter au max, tes films de vacances ils font plusieurs dizaines de Go chacun.
1 2 26 27