Par exemple, l’un des principaux contributeur, Wookey : “working professionally on Arm Linux since 2000ish, at Aleph One Ltd, Toby Churchill Ltd, and now Linaro (as an ARM secondee)”
Que le correctif soit distribué à J+1 de sa publication soit… (et encore j’ai des doutes il y a toute une partie vérification pour contrôler son absence de nocivité au sein de la distri) mais que pour une faille J0 un correctif soit publié le lendemain c’est pas possible.
Pour qu’un correctif sorte, il faut que la faille étudiée, le correctif doit être produit, le correctif doit être testé (parfois il faut ajouter une période de debugage) enfin il faut contrôler son intégration dans la distribution. Et tout ça se fera en 24 heures ?
Il mélange conception du patch et diffusion du patch une fois disponible.
Le
25/08/2023 à
15h
13
Désolé mais tu es légèrement à côté de la plaque.
Ces développeurs bénévoles travaillent pour beaucoup d’entre eux sur le noyau Linux (et tout ce qui tourne autour) dans le cadre de leur travail rémunéré. Hé oui, beaucoup d’entreprises dépendent de Linux pour fonctionner et investissent dans son développement.
Et pour l’argument comme quoi les patchs de sécurité ne ramènent pas d’argent, c’est encore assez stupide de penser comme ça (et les entreprises qui pensent de la sorte ne durent pas longtemps). Avoir un système troué ça fait perdre de l’argent, donc les patchs sont importants.
Après je pense que tu ne sais pas comment ça fonctionne au niveau de la publication des infos sur les vulnérabilités. Dans la majorité des cas, un chercheur en sécurité va trouver quelque chose (et encore une fois, de grosses boites investissent fortement là dedans, comme Cisco Talos ou Google Project Zero), et va informer en privé l’éditeur. Ils se mettent d’accord sur une calendrier de publication (“Coordinated Vulnerability Disclosure” ou “Responsible Disclosure”), laissant le temps à l’éditeur de préparer le patch. Souvent quand les détails de la CVE sortent, le patch est déjà dispo.
Bien sûr il y a le cas des 0-day où une vulnérabilité est trouvée alors qu’elle est déjà exploitée, cas dans lequel l’éditeur va le plus rapidement possible donner toutes les infos nécessaires pour détecter une exploitation, fournir des informations de mitigation pour réduire l’exposition, et se dépêcher à sortir un patch. Et ça pour Windows comme pour Linux.
EDIT : j’ai mis du temps à rédiger et je suis largement grillé par Myifee 😅
Le
25/08/2023 à
13h
56
TNZfr a dit:
Là tu touches du doigt la différence entre les personnes qui cherchent à faire fonctionner avec celles qui cherchent à faire de l’argent.
Là je veux bien que tu m’expliques, car je ne suis pas certains de comprendre ce que tu veux dire.
Le
25/08/2023 à
13h
48
Tu dis ça parce que tu n’as pas cherché … Debian publie les correctifs le jour même ou le lendemain de la publication de la faille. Redhat publie les correctifs entre une semaine et 2 mois. Quant à MS et Apple … là, c’est la fête du slip.
(ok, on est ‘dredi, mais bon)
Je veux bien que tu me dises qu’ils mettent le patch a disposition dans les repos dans la journée suivant sa mise à disposition par les devs du soft vulnérable. Et même là dessus j’ai de gros doutes, mais je n’ai pas été vérifier, donc admettons.
Mais même dans le monde Linux il n’y a pas toujours de patchs pour les vulnérabilités dans les 24h. Ils font comment dans ce cas chez Debian, ils font le patch eux-même ?
Toutes les vulnérabilités publiées n’ont pas de patch disponible au moment de la publication (c’est d’ailleurs ce que l’on appelle une 0-day)
Le
25/08/2023 à
13h
37
Arbyter a dit:
Et en soit une interface graphique n’est pas toujours utiles la ligne de commande à toujours nos préférences.
Alors, pour les serveurs j’espère bien !
Mais revenons au commentaire qui a initialement lancé ce débat sur les OS :
TNZfr a dit:
Pourquoi utilise t’on encore des OS troués pour les postes de travail ?
Ha mince ! On parlait de postes de travail ! La secrétaire elle rédige ses mails en ligne de commande ?
Le
25/08/2023 à
12h
10
Arbyter a dit:
on est sur l’OS Cisco qui n’est pas libre et dont les sources ne sont pas dans la nature par conséquent plus difficile d’être sensible aux attaques
C’est tellement faux…
La sécurité par l’obscurité n’a jamais été viable à moyen terme
Cisco fait des OS autres que pour ses équipements réseaux (IOS et nx-OS) ? Vos employés tournent sur des machines exécutant un OS pour routeur, sans interface graphique ?
Le
25/08/2023 à
11h
24
Ben comme dit précédemment, un OS où les correctifs de sécurité sont publiés plus vite que les mises à jour des bases de signatures antivirus.
Spoiler alert : Aujourd’hui, les plus réactifs sont Debian et ses dérivés (Ubuntu, KDE Neon, …)
(Android n’est pas une solution parce que obsolescence programmée, collecte des informations personnelles, failles à gogo, pomme-isation rampante … Ils ne cherchent pas à faire marcher mais à gagner de l’argent)
Tous les OS actuels ont eu et auront des vulnérabilités 0-day. Windows, mac OS et Linux sont sur un pied d’égalité sur ce point. Et Debian les plus réactifs ? Je vois que tu as décidé de troller aujourd’hui 🤣
Le
25/08/2023 à
09h
54
A moitié … Quand on sait que la grande majorité des attaques se font via les utilisateurs et leur poste de travail ….
Ok, je mords à l’hameçon : tu proposes quel OS pour les postes de travail des employés ?
Si c’était pas le cas, ça va le devenir. Ils ne supportent pas PHP 8… (ils restent en 7.4 qui n’est plus supporté par la PHP…)
Ça va, ça fait même pas un an que 7.4 n’est plus supporté, on va en trouver pendant encore une dizaine d’années en production un peu partout ;-)
Mon hébergement web chez Online.net est bloqué en PHP 7.3, et ils ne veulent pas mettre à jour… (je te rassure je n’ai plus rien d’hébergé dessus et j’ai récemment pu obtenir un remboursement. Ne jamais acheter ce genre de service pour de longues durées d’un seul coup…)
Le
25/08/2023 à
10h
06
Tout le monde n’a pas déjà switché sur NextCloud ?!
Le problème c’est surtout que le gouvernement n’a pas de meilleur moyen de diffuser l’information que de passer par FB…
Et autant je trouve la loi forçant FB et consort à rémunérer les sites dont ils diffusent le contenu, autant, s’ils ne veulent pas payer, je ne vois pas pourquoi on devrait les obliger à diffuser ces infos.
Je ne sais pas en droit US, mais il me semble qu’en droit français les dommages et intérêts seraient dus à ses héritiers ? Si un juriste peu confirmer, ça serait top !
Le
24/08/2023 à
14h
20
Bel exemple de “victim blaming” 👍
“En même temps m’sieur l’juge, faut voir comme elle était accoutrée ! Si elle porte un string c’est qu’elle veut bien !”
Le
23/08/2023 à
12h
57
(quote:2148372:127.0.0.1) Enfin bon, si ca peut dissuader les connards d’être cons, c’est toujours ça de pris.
Si on regarde leurs stats de criminalité, ça n’a pas l’air très efficace…
Le
23/08/2023 à
12h
34
Il paye quoi ? Dans quelles limites (il existe un revenu minimum à partir duquel une personne n’est pas assujettie à l’amende) ? Ses enfants devront continuer à rembourser après sa mort ?
Si vraiment la personne est condamnée à rembourser 1 milliard de dollars, elle a intérêt à quitter le pays.
Ça serait des questions à poser à un spécialiste du droit américain, car perso mes connaissances y sont limitées. Déjà le droit anglo-saxon basé sur la jurisprudence, je trouve que ça complique tout, mais ensuite entre le droit fédéral et celui propre à chaque état… il faut réussir à s’y retrouver !
A priori il devra payer un peu chaque moi selon un échéancier, et s’il ne le fait pas, il y a plein de moyen coercitifs comme la saisie sur salaire. Je doute que ses descendants aient à continuer à payer, ça doit être comme en France où tu peux refuser un héritage.
Mais c’est clair que le gars a tout intérêt (au moins économiquement) à aller refaire sa vie dans un autre pays, qui n’extrade pas vers les USA.
Le
23/08/2023 à
12h
23
Il faut également faire la différence entre une amende (due à l’état), et des dommages et intérêts (dus à la victime).
A priori en droit américain, d’après ce que j’ai lu sur le US Code Title 11 (leur “code de la banqueroute”), les amendes restent dues même en cas de banqueroute. Pour les dommages et intérêts c’est plus compliqué et “ça dépend des cas”.
Le
23/08/2023 à
12h
17
Franchement, je sais pas si une somme surréaliste est dissuasif, au contraire… Elle n’est tellement pas réaliste, qui peut payer 1 milliard de dollar ?
Le but c’est que le gars paye toute ça vie, pas forcément qu’il réussisse à payer l’intégralité du milliard…
Pour le gore et l’inceste, il suffit de lire la bible.
Le
22/08/2023 à
12h
43
Bill2 a dit:
Mais comment ça se passe aux USA ? Y’a des bibli spécialisées pour le enfants ?
Dans le cas de la loi de l’Iowa dont il est question ici, il s’agit des bibliothèques dans les écoles, gérées par les “School districts”. Ça concerne donc les élèves qui y ont accès, et ça va en gros de la maternelle à la terminale si on converti en classes françaises. Le texte de loi dit que les School Districts doivent avoir des bibliothécaires qualifiés (ok, pourquoi pas), et que les livres disponibles doivent être “age-appropriate”, donc adaptés à l’âge des élève. Le souci c’est que je n’ai vu nulle part dans le texte de définition de ce qui est “age-appropriate”. (à un endroit ça dit “The state board shall establish in rule a definition of and standards for an articulated sequential kindergarten through grade twelve media program” mais je n’ai pas trouvé ce texte). Donc pour éviter tout problème, les responsables des “School Districts” et les bibliothécaires vont probablement censurer d’eux-même pas mal d’ouvrages dans le doute, en plus de ceux pour lesquels ils reçoivent déjà de nombreuses demandes de censure.
Il ne s’agit pas des bibliothèques municipales (même si celles-ci sont également bien attaquées par la droite américaine pour y bannir de nombreux livres).
Le
22/08/2023 à
09h
48
Pour ceux que le sujet intéresse, et qui parlent anglais :
Petite analyse des bans de livres en 2022 aux USA, par l’association des bibliothécaires américains (spoiler alert, la très grande majorité des livres bannis traitent des sujets LGBT, et sont donc bannis par les gens de droite, pas les “wokes” si chers à Trooooooppper) : https://www.ala.org/news/press-releases/2023/03/record-book-bans-2022
Le truc c’est qu’à gauche, tu vas avoir quelques allumés qui vont demander sur Twitter de cancel un livre de temps en temps. Alors qu’à droite, tu as un système organisé, qui fait passer des lois liberticides pour retirer des bibliothèques (et pas que scolaires, cf articles plus haut) les livres qui ne vont pas dans leur sens. Et ce sont des milliers de livres chaque année qu’ils tentent de bannir (souvent avec succès malheureusement).
Le
22/08/2023 à
09h
10
Renseigne toi un peu avant de continuer à commenter ici, ça fait des années que la droite américaine est en train de “nettoyer” les bibliothèques des écoles américaines, ça a déjà été fait notamment en Virginie et au Texas, là c’est le tour de l’Iowa…
Et il ne s’agit pas que de “protéger les enfants”. La loi dans l’Iowa parle des bibliothèque scolaires, jusqu’à “Grade 12”, grosso modo la terminale, donc des personnes d’environ 18 ans. Ils ne devraient pas pouvoir lire et étudier des livres comme le journal d’Anne Franck ? Perso ça avait fait parti de mes lectures obligatoires au collège… C’est bizarre ils visent particulièrement les ouvrages qui traitent de l’holocauste, ou qui poussent leur lecteurs à développer leur esprit critique.
J’ai été lire (rapidement) le texte de loi de l’Iowa, et ça parle juste de contenu “age-appropriate”, mais je n’ai pas trouvé d’article définissant exactement ce qui est considéré comme “age-appropriate”, c’est donc soumis à interprétation, le but étant probablement de forcer les bibliothécaire à censurer plus que nécessaire pour être sûr de ne pas avoir de problème.
C’est vrai que la droite (et pas que l’extrême) américaine ne brule absolument aucun livre… Qu’est-ce qu’il faut pas lire… Ultra-gauche comme ultra-droite, il n’y en n’a pas un pour relever l’autre, ils sont tous aussi fous.
Exactement, il vaut mieux apprendre à gérer la frustration étant enfant que lors de l’entrée dans le monde des adultes.
Le
21/08/2023 à
13h
29
Vu que tu parlais de laxisme et de refus de dépôt de plainte, quand le sujet était des plaintes classées sans suite, oui, ton propos était complètement à côté de la plaque.
Ma seule erreur a été de réagir avant d’avoir lu la suite des commentaires, où quelqu’un a relevé exactement le même souci, commentaire auquel tu as répondu. D’où mon edit.
Le
21/08/2023 à
13h
24
(quote:2147590:alex.d.) il répond en t’engueulant qu’il ne faut pas le déranger là, et tu bouffes avec une heure de retard.
Donc maintenant ce sont les enfants qui engueulent les parents, et les parents qui doivent subir les désidératas des gamins ? 🤣
Le
21/08/2023 à
13h
16
Perso si je ne répondais pas au tel quand mes parents m’appelaient, je n’avais plus de téléphone pendant quelques semaines. C’était chiant, je ne pouvais plus jouer au Snake :-/
Le
21/08/2023 à
12h
38
Ce n’est pas le système judiciaire qui est laxiste, juste la police parce qu’elle est objectivé sur le taux de résolution d’affaires. Du coup, les commissariats préfèrent te convaincre que la plainte n’est pas recevable et que la main courante est inutile.
Sauf que là on parle de plaintes classées sans suite. Donc il y a bien eu des plaintes déposées. Donc tu es complètement à côté de la plaque.
EDIT : grillé, sorry
Le
21/08/2023 à
12h
35
Être laxiste c’est quand on reconnait quelqu’un coupable, mais qu’un donne une peine dérisoire par rapport au délit/crime commis. Là il n’y a pas de procès (classement sans suite), donc logiquement pas de peine. Ce n’est pas du laxisme, c’est que l’institution n’a pas su prouver la culpabilité de l’individu. Qu’elles en sont les raisons ? Manque de moyens d’investigation ? Lois qui protègent trop les libertés individuelles ? Prescription ? Il faut voir si on souhaite vivre dans un pays qui prend le risque de condamner des innocents, ou relâcher des coupables.
Perso, j’ai bossé pour une banque luxembourgeoise; et comme dans beaucoup de banques, tu pouvais te brosser pour voir un projet bloqué pour une raison de sécurité… genre “c’est stratégique”, “on a des délais à tenir”, “nos partenaires s’impatientent” … on fait une fiche de risque et on la classe verticalement …
Et les pires transgressions que j’ai vu question sécurité dans le monde bancaire… venaient de projets sécurité où quelqu’un avec trop de budget à dépenser achetait des solutions “sécurité” mal ficelées qui obligeaient à casser la sécurité des systèmes pour pouvoir marcher … “ah non, ça ne marche pas avec selinux actif”, “ah non, ‘nosuid’ sur la partition /home, ça bloque la solution”, “non, il faut changer les permissions sur /etc/shadow car l’outil doit pouvoir écrite dedans”, “vous devez désactiver iptables ou notre outil ne peut pas détecter les applications vulnérables” … ou encore mon préféré: “Non, c’est un projet sécurité, c’est urgent, tu dois donner accès root sur tous les systèmes à ce consultant pour qu’il puisse faire tourner ses rootkits outils partout, et non tu n’as pas à auditer son code avant, mais bien sûr c’est ta responsabilité s’il casse un truc”
On n’a pas du bosser dans la même. J’ai clairement pu mettre un projet en attente le temps qu’ils résolvent leurs problèmes de sécurité. Bien évidemment, ça ne veut pas dire que c’est toujours le cas dans cette banque, mais pour en avoir parlé avec d’autres ingés sécu là-bas, c’était plutôt normal apparemment.
Le
07/08/2023 à
00h
22
Berbe a dit:
Idée reçue №1 : les administrateurs systèmes décident toujours de la technologie qu’ils peuvent employer. Par pitié : évitez de taper sur les bouts de chaîne. C’est bien souvent la double peine pour elles. Tapez plus haut, plus fort… plus cher.
Il y a une différence entre avoir le choix de la techno employée, et correctement configurer la solution lors du déploiement initial. Autant l’admin sys n’a pas forcément le choix de la techno, autant il est censé savoir correctement configurer les systèmes qu’il administre.
Le
05/08/2023 à
16h
53
Tu serais bien malheureux toi dans une grande organisation (voir toute organisation finalement) dont l’objectif premier n’est pas l’informatique.
Dès que tu as des contraintes budgétaires et que tu passes par une DAF dont l’unique but est de maximiser le profit, je peux te garantir que tu peux aller te brosser pour aller appliquer tes préceptes…
Tu as tellement de raisons plus ou moins légitimes de devoir utiliser de vieilles versions d’outils que j’ai sincèrement du mal à croire que tu te sois déjà confronté au monde du travail un jour…
Allez, j’ai trois exemples pour toi que j’ai rencontrés/subis à titre perso:
Solution de téléphonie abandonnée (Alcatel Omni PCX) de 2009 qui tourne sur un vieil hyperviseur tournant sous VMWare ESX 2.
Budget de màj ? 40-50k€ pour 0 bénéfice sinon subir une attaque avec toutes les conséquences que l’on suppose… comparé à une séparation du réseau tel+tel admin via des vlan avec un filtrage des flux pour 0€ en attendant de migrer sur une solution concurrente… Tu risques d’avoir du mal à vendre ton option de màj… (et franchement, tu risquerais de te faire jeter en un rien de temps si tu voulais forcer)
Vieille appliance d’archivage legal de factures de 2010 qui impose un maintien réglementaire de +10 ans et qui ne supporte que du SSLv3 avec de vieux cipher bloqués par tous les navigateurs depuis au moins 5 ans maintenant… Cette appliance n’est plus maintenue et l’éditeur ne propose pas de migration (en sachant que les accès se font depuis une application métier qu’il faudrait également modifier derrière. Application métier qui a été décommiossionnée et n’est plus utilisée que pour des accès de consolidation/litige. T’imagines pas à combien ça peut chiffrer et combien ça peut être compliqué à gérer et puis bonne chance pour avoir l’aval de ta direction derrière…
Alors on est bien d’accord qu’idéalement, ces applications devraient être suivies et budgétées mais tu peux rencontrer des problèmes qui font que ça passe pas (boite qui coule, boite qui se fait racheter, équipes qui se font délocaliser/redispatcher sans prise en compte de l’ensemble de leurs missions/équipes qui partent sans transfert de compétence/…)
Ensuite, pour te montrer que rien n’est jamais simple et qu’il faut toujours se concerter et s’adapter aux autres :
Je suis en train de me battre en ce moment avec l’un de nos logiciels MFT (version qui date de Mars 2023 pourtant) qui utilise un client java sftp incompatible avec le serveur d’un de nos partenaires…
J’ai appris aujourd’hui qu’il venait d’être màj par un type qui s’est cru tout seul dans son coin et a appliqué bêtement, j’imagine, un tuto précisant la suite de protocoles réputés fiables sans en comprendre le fonctionnement… /taunt
Changement fait sans concertation avec nous évidement et sans change/passage devant un CAB et sans procédure de retour arrière évidement… Ce qui n’est franchement pas étonnant car j’ai du mal à imaginer qu’une personne capable de bloquer toute une série de clients pour assouvir ses envies les plus nobles puisse savoir ce que c’est que de travailler en équipe.
Donc par dogmatisme, nous avons un serveur sftp qui a été màj pour n’autoriser que l’algo “ssh-ed25519” pour la phase “HostKey algorithms” (me demande pas pourquoi, ce truc est toujours en draft à l’ietf)
là ou nous supportons que : rsa-sha2-256 rsa-sha2-512 ssh-dss ssh-rsa
Tout ça sans que nous n’ayons eu connaissance (j’ai du m’installer python + script ssh_scan sur mon poste pour tout te dire…)
¯_(ツ)_/¯
Bref. Je te suggère sincèrement de redescendre un peu sur Terre, d’arrêter de prendre les gens de haut et d’accepter que le monde ne tourne pas autour de ton serveur nginx et de ton site web
/cheers
Bravo, tu m’as complètement cerné, ainsi que mon expérience professionnelle ! Maintenant, je t’invite à retourner au primaire et apprendre à lire. On parlait de config de base, lors d’un déploiement initial donc. Je veux bien croire que pour de multiples raisons organisationnelle une infra soit laissée à l’abandon dans une grande entreprise (j’ai juste bossé plus de 10 ans dans la cybersécurité de grandes boites), mais par contre qu’une infra soit déployée dans une configuration de base non sécurisée, ça par contre c’est criminel.
Donc ton post est intéressant à lire, et représente bien la réalité dans de nombreuses boites, mais n’a rien à voir avec ce qui a été dit avant.
J’avoue que j’ai aimé le temps que j’ai passé à bosser pour une banque Luxembourgeoise, où si la sécu dit non, le projet s’arrête tant que les problèmes de sécurité identifiés ne sont pas réglés. En même temps, le patron peut très bien aller en taule s’il y a un problème, pas comme en France.
Le
04/08/2023 à
23h
51
Beaucoup d’applications de nos jours communiquent avec internet, souvent via des API accessibles via HTTP.
L’iDRAC de mon T620 qui n’est plus tout jeune est accessible sans problème avec les protocoles actuels. Bien sûr, il faut l’avoir mis à jour…
Le
04/08/2023 à
11h
47
Comme le dit ragoutoutou, le souci n’est pas le soft, mais l’incompétence des admins. Si personne dans la structure n’a les compétences nécessaires, il existe des hébergements clé en main (et pour vraiment pas cher s’il s’agit juste d’avoir un petit site vitrine/blog pour son asso).
(reply:2145782:Frédérick L.)
Le problème ici c’est ni Edge ni Windows…
Le
04/08/2023 à
07h
43
Il était temps !
Je ne connais pas d’admins systèmes compétents qui resteraient sur une config de base vulnérable… Au pire il y a des outils comme celui-ci : https://ssl-config.mozilla.org/
ça fait au moins dix ans qu’on sait que si on veut électrifier le parc automobile mondial avec des batteries au Lithium, on va au devant de gros problèmes…
J’ai tellement hâte que ces politiques voient leur vie privée violée par une des failles dont ils auront forcé la création. Malheureusement ça veut dire qu’ils ne seront pas les seuls impactés…
Je comprends la remarque de Skankhunt42 comme quoi, le catalogue des productions audiovisuelles accessibles n’est pas disponible avant de t’abonner. Alors effectivement, tu as le premier mois gratuit pour tester mais bon, c’est vrai que ce serait bien d’avoir une liste à jour de ce qui est disponible sans avoir besoin de s’abonner.
Alors certes il n’y a pas de liste détaillée de ce qui n’est pas accessible avec l’offre avec pub, mais de là à dire que le site officiel “est même pas en français”, et suggérer qu’il n’y a pas le détail des prix et prestations de chaque offre…
Le
21/07/2023 à
08h
08
(reply:2143806:skankhunt42 )
Alors autant Netflix a bien fini par me saouler et me faire me désabonner, autant il faut vraiment être de mauvaise foi pour dire que leur site web n’est pas dispo en français et ne détaille pas correctement les offres…
Dans les logs de tes serveurs DNS tu vois arriver beaucoup de requêtes MX qui partent en erreur pour le domaine army.ml
Dans la zone .ml tu définis la sous-zone army.ml et tu y ajoutes un enregistrement MX qui pointe vers un serveur mail que tu contrôles, le serveur étant configuré pour acheminer tout mail reçu vers ta boite
Tu as accès à tous les mails envoyés à une adresse en @army.ml
Alors, même si on n’avait pas de stations météo à l’époque, on a une très bonne idée du climat terrestre jusqu’à quelques millions d’années en arrière 😉
Les beta publiques d’Apple sont généralement plutôt stables, ça ne veut pas dire qu’elles sont exemptes de bug (même les version stables n’en sont pas toujours exemptes 😅).
Je recommande quand même d’attendre la beta2 avant de sauter le pas 😉
Par contre pour ceux qui utilisent Thunderbird, certaines des vulnérabilités colmatées dans Firefox y sont aussi, mais la version 102.13 n’est toujours pas sortie…
Pour moi c’est exactement l’inverse. Des sites relayant les dernières news d’informatique pure, il y en a à la pelle. Des sites ou retrouver ce genre d’infos, beaucoup moins ;-).
Est-ce que tu as seulement déjà vu les processus de recrutement des compagnies aériennes pour les postes de pilotes ? Je peux t’assurer une chose, ça ne passe pas par Facebook. Aucun pilote, homme ou femme, n’irai chercher un job sur FB de toute manière.
Quand à mes affirmations, je t’invite à relire l’article de loi que tu as toi même cité. Et surtout les précédent à propos du champs d’application : République Française
(reply:2139146:consommateurnumérique)
Ce n’est pas du “whataboutism”, ça sert à quoi de présenter des annonces à quelqu’un qui n’a soit pas l’intérêt, soit pas les compétences pour le poste ? Si tu veux plus de femmes pilotes, c’est pendant les études, au plus tard au collège, qu’il faut les orienter vers cette voie. Représenter des femmes pilotes dans les films/séries aurait beaucoup plus d’effet que ce débat stérile autour d’annonces FB qui de toute façon n’ont rien à voir avec la réalité.
1407 commentaires
Un hébergeur danois victime d’un ransomware : « la majorité de nos clients ont donc perdu toutes leurs données »
25/08/2023
Le 25/08/2023 à 16h 21
Ils sont nombreux…
Par exemple, l’un des principaux contributeur, Wookey : “working professionally on Arm Linux since 2000ish, at Aleph One Ltd, Toby Churchill Ltd, and now Linaro (as an ARM secondee)”
Je t’invite à consulter la liste des contributeurs Debian et vérifier pour chacun d’eux : https://contributors.debian.org/
Le 25/08/2023 à 15h 37
Il mélange conception du patch et diffusion du patch une fois disponible.
Le 25/08/2023 à 15h 13
Désolé mais tu es légèrement à côté de la plaque.
Ces développeurs bénévoles travaillent pour beaucoup d’entre eux sur le noyau Linux (et tout ce qui tourne autour) dans le cadre de leur travail rémunéré. Hé oui, beaucoup d’entreprises dépendent de Linux pour fonctionner et investissent dans son développement.
Et pour l’argument comme quoi les patchs de sécurité ne ramènent pas d’argent, c’est encore assez stupide de penser comme ça (et les entreprises qui pensent de la sorte ne durent pas longtemps). Avoir un système troué ça fait perdre de l’argent, donc les patchs sont importants.
Après je pense que tu ne sais pas comment ça fonctionne au niveau de la publication des infos sur les vulnérabilités. Dans la majorité des cas, un chercheur en sécurité va trouver quelque chose (et encore une fois, de grosses boites investissent fortement là dedans, comme Cisco Talos ou Google Project Zero), et va informer en privé l’éditeur. Ils se mettent d’accord sur une calendrier de publication (“Coordinated Vulnerability Disclosure” ou “Responsible Disclosure”), laissant le temps à l’éditeur de préparer le patch. Souvent quand les détails de la CVE sortent, le patch est déjà dispo.
Bien sûr il y a le cas des 0-day où une vulnérabilité est trouvée alors qu’elle est déjà exploitée, cas dans lequel l’éditeur va le plus rapidement possible donner toutes les infos nécessaires pour détecter une exploitation, fournir des informations de mitigation pour réduire l’exposition, et se dépêcher à sortir un patch. Et ça pour Windows comme pour Linux.
EDIT : j’ai mis du temps à rédiger et je suis largement grillé par Myifee 😅
Le 25/08/2023 à 13h 56
Là je veux bien que tu m’expliques, car je ne suis pas certains de comprendre ce que tu veux dire.
Le 25/08/2023 à 13h 48
Je veux bien que tu me dises qu’ils mettent le patch a disposition dans les repos dans la journée suivant sa mise à disposition par les devs du soft vulnérable. Et même là dessus j’ai de gros doutes, mais je n’ai pas été vérifier, donc admettons.
Mais même dans le monde Linux il n’y a pas toujours de patchs pour les vulnérabilités dans les 24h. Ils font comment dans ce cas chez Debian, ils font le patch eux-même ?
Toutes les vulnérabilités publiées n’ont pas de patch disponible au moment de la publication (c’est d’ailleurs ce que l’on appelle une 0-day)
Le 25/08/2023 à 13h 37
Alors, pour les serveurs j’espère bien !
Mais revenons au commentaire qui a initialement lancé ce débat sur les OS :
Ha mince ! On parlait de postes de travail ! La secrétaire elle rédige ses mails en ligne de commande ?
Le 25/08/2023 à 12h 10
C’est tellement faux…
Le 25/08/2023 à 11h 24
Tous les OS actuels ont eu et auront des vulnérabilités 0-day. Windows, mac OS et Linux sont sur un pied d’égalité sur ce point. Et Debian les plus réactifs ? Je vois que tu as décidé de troller aujourd’hui 🤣
Le 25/08/2023 à 09h 54
Ok, je mords à l’hameçon : tu proposes quel OS pour les postes de travail des employés ?
ownCloud Server 10.13 est disponible, avec des améliorations sur l’authentification à deux facteurs
25/08/2023
Le 25/08/2023 à 10h 19
Ça va, ça fait même pas un an que 7.4 n’est plus supporté, on va en trouver pendant encore une dizaine d’années en production un peu partout ;-)
Mon hébergement web chez Online.net est bloqué en PHP 7.3, et ils ne veulent pas mettre à jour… (je te rassure je n’ai plus rien d’hébergé dessus et j’ai récemment pu obtenir un remboursement. Ne jamais acheter ce genre de service pour de longues durées d’un seul coup…)
Le 25/08/2023 à 10h 06
Tout le monde n’a pas déjà switché sur NextCloud ?!
Pôle emploi : les données de dix millions de demandeurs d’emploi dans la nature
25/08/2023
Le 25/08/2023 à 10h 16
Ou peut-être un castor lapon ?
Le 25/08/2023 à 09h 26
EDIT: à supprimer, j’avais mal lu.
Incendies au Canada : Meta critiqué pour son blocage des sites d’information
25/08/2023
Le 25/08/2023 à 10h 09
Le problème c’est surtout que le gouvernement n’a pas de meilleur moyen de diffuser l’information que de passer par FB…
Et autant je trouve la loi forçant FB et consort à rémunérer les sites dont ils diffusent le contenu, autant, s’ils ne veulent pas payer, je ne vois pas pourquoi on devrait les obliger à diffuser ces infos.
États-Unis : une victime de « revenge porn » obtient 1,2 milliard de dollars de dommages et intérêts
23/08/2023
Le 24/08/2023 à 16h 15
Je ne sais pas en droit US, mais il me semble qu’en droit français les dommages et intérêts seraient dus à ses héritiers ? Si un juriste peu confirmer, ça serait top !
Le 24/08/2023 à 14h 20
Bel exemple de “victim blaming” 👍
“En même temps m’sieur l’juge, faut voir comme elle était accoutrée ! Si elle porte un string c’est qu’elle veut bien !”
Le 23/08/2023 à 12h 57
Si on regarde leurs stats de criminalité, ça n’a pas l’air très efficace…
Le 23/08/2023 à 12h 34
Ça serait des questions à poser à un spécialiste du droit américain, car perso mes connaissances y sont limitées. Déjà le droit anglo-saxon basé sur la jurisprudence, je trouve que ça complique tout, mais ensuite entre le droit fédéral et celui propre à chaque état… il faut réussir à s’y retrouver !
A priori il devra payer un peu chaque moi selon un échéancier, et s’il ne le fait pas, il y a plein de moyen coercitifs comme la saisie sur salaire.
Je doute que ses descendants aient à continuer à payer, ça doit être comme en France où tu peux refuser un héritage.
Mais c’est clair que le gars a tout intérêt (au moins économiquement) à aller refaire sa vie dans un autre pays, qui n’extrade pas vers les USA.
Le 23/08/2023 à 12h 23
Il faut également faire la différence entre une amende (due à l’état), et des dommages et intérêts (dus à la victime).
A priori en droit américain, d’après ce que j’ai lu sur le US Code Title 11 (leur “code de la banqueroute”), les amendes restent dues même en cas de banqueroute. Pour les dommages et intérêts c’est plus compliqué et “ça dépend des cas”.
Le 23/08/2023 à 12h 17
Le but c’est que le gars paye toute ça vie, pas forcément qu’il réussisse à payer l’intégralité du milliard…
Le 23/08/2023 à 08h 43
Apparemment, la réponse c’est “ça dépend” 😅
https://www.nolo.com/legal-encyclopedia/will-bankruptcy-get-rid-lawsuit-judgments.html
https://ggrmlawfirm.com/blog/legal-updates/how-defendants-may-use-bankruptcy-to-avoid-paying-judgments/
USA : des livres de Toni Morrison et Margaret Atwood censurés avec l’aide de ChatGPT
18/08/2023
Le 22/08/2023 à 12h 51
Pour le gore et l’inceste, il suffit de lire la bible.
Le 22/08/2023 à 12h 43
Dans le cas de la loi de l’Iowa dont il est question ici, il s’agit des bibliothèques dans les écoles, gérées par les “School districts”. Ça concerne donc les élèves qui y ont accès, et ça va en gros de la maternelle à la terminale si on converti en classes françaises. Le texte de loi dit que les School Districts doivent avoir des bibliothécaires qualifiés (ok, pourquoi pas), et que les livres disponibles doivent être “age-appropriate”, donc adaptés à l’âge des élève. Le souci c’est que je n’ai vu nulle part dans le texte de définition de ce qui est “age-appropriate”. (à un endroit ça dit “The state board shall establish in rule a definition of and standards for an articulated sequential kindergarten through grade twelve media program” mais je n’ai pas trouvé ce texte).
Donc pour éviter tout problème, les responsables des “School Districts” et les bibliothécaires vont probablement censurer d’eux-même pas mal d’ouvrages dans le doute, en plus de ceux pour lesquels ils reçoivent déjà de nombreuses demandes de censure.
Il ne s’agit pas des bibliothèques municipales (même si celles-ci sont également bien attaquées par la droite américaine pour y bannir de nombreux livres).
Le 22/08/2023 à 09h 48
Pour ceux que le sujet intéresse, et qui parlent anglais :
Le truc c’est qu’à gauche, tu vas avoir quelques allumés qui vont demander sur Twitter de cancel un livre de temps en temps. Alors qu’à droite, tu as un système organisé, qui fait passer des lois liberticides pour retirer des bibliothèques (et pas que scolaires, cf articles plus haut) les livres qui ne vont pas dans leur sens. Et ce sont des milliers de livres chaque année qu’ils tentent de bannir (souvent avec succès malheureusement).
Le 22/08/2023 à 09h 10
Renseigne toi un peu avant de continuer à commenter ici, ça fait des années que la droite américaine est en train de “nettoyer” les bibliothèques des écoles américaines, ça a déjà été fait notamment en Virginie et au Texas, là c’est le tour de l’Iowa…
Et il ne s’agit pas que de “protéger les enfants”. La loi dans l’Iowa parle des bibliothèque scolaires, jusqu’à “Grade 12”, grosso modo la terminale, donc des personnes d’environ 18 ans. Ils ne devraient pas pouvoir lire et étudier des livres comme le journal d’Anne Franck ? Perso ça avait fait parti de mes lectures obligatoires au collège… C’est bizarre ils visent particulièrement les ouvrages qui traitent de l’holocauste, ou qui poussent leur lecteurs à développer leur esprit critique.
J’ai été lire (rapidement) le texte de loi de l’Iowa, et ça parle juste de contenu “age-appropriate”, mais je n’ai pas trouvé d’article définissant exactement ce qui est considéré comme “age-appropriate”, c’est donc soumis à interprétation, le but étant probablement de forcer les bibliothécaire à censurer plus que nécessaire pour être sûr de ne pas avoir de problème.
Exemple typique de “républicain” américain : https://edition.cnn.com/videos/us/2022/02/06/pastor-holds-bonfire-burning-books-harry-potter-and-twilight-orig-as.cnn
Le 22/08/2023 à 08h 46
C’est vrai que la droite (et pas que l’extrême) américaine ne brule absolument aucun livre… Qu’est-ce qu’il faut pas lire…
Ultra-gauche comme ultra-droite, il n’y en n’a pas un pour relever l’autre, ils sont tous aussi fous.
Des victimes de violences conjugales racontent leur cyberharcèlement
18/08/2023
Le 21/08/2023 à 17h 00
Exactement, il vaut mieux apprendre à gérer la frustration étant enfant que lors de l’entrée dans le monde des adultes.
Le 21/08/2023 à 13h 29
Vu que tu parlais de laxisme et de refus de dépôt de plainte, quand le sujet était des plaintes classées sans suite, oui, ton propos était complètement à côté de la plaque.
Ma seule erreur a été de réagir avant d’avoir lu la suite des commentaires, où quelqu’un a relevé exactement le même souci, commentaire auquel tu as répondu. D’où mon edit.
Le 21/08/2023 à 13h 24
Donc maintenant ce sont les enfants qui engueulent les parents, et les parents qui doivent subir les désidératas des gamins ? 🤣
Le 21/08/2023 à 13h 16
Perso si je ne répondais pas au tel quand mes parents m’appelaient, je n’avais plus de téléphone pendant quelques semaines. C’était chiant, je ne pouvais plus jouer au Snake :-/
Le 21/08/2023 à 12h 38
Sauf que là on parle de plaintes classées sans suite. Donc il y a bien eu des plaintes déposées. Donc tu es complètement à côté de la plaque.
EDIT : grillé, sorry
Le 21/08/2023 à 12h 35
Être laxiste c’est quand on reconnait quelqu’un coupable, mais qu’un donne une peine dérisoire par rapport au délit/crime commis. Là il n’y a pas de procès (classement sans suite), donc logiquement pas de peine. Ce n’est pas du laxisme, c’est que l’institution n’a pas su prouver la culpabilité de l’individu. Qu’elles en sont les raisons ? Manque de moyens d’investigation ? Lois qui protègent trop les libertés individuelles ? Prescription ?
Il faut voir si on souhaite vivre dans un pays qui prend le risque de condamner des innocents, ou relâcher des coupables.
TLS 1.0 et 1.1 disparaîtront de Windows 11 avec la prochaine mise à jour majeure
04/08/2023
Le 07/08/2023 à 00h 24
On n’a pas du bosser dans la même. J’ai clairement pu mettre un projet en attente le temps qu’ils résolvent leurs problèmes de sécurité. Bien évidemment, ça ne veut pas dire que c’est toujours le cas dans cette banque, mais pour en avoir parlé avec d’autres ingés sécu là-bas, c’était plutôt normal apparemment.
Le 07/08/2023 à 00h 22
Il y a une différence entre avoir le choix de la techno employée, et correctement configurer la solution lors du déploiement initial. Autant l’admin sys n’a pas forcément le choix de la techno, autant il est censé savoir correctement configurer les systèmes qu’il administre.
Le 05/08/2023 à 16h 53
Bravo, tu m’as complètement cerné, ainsi que mon expérience professionnelle ! Maintenant, je t’invite à retourner au primaire et apprendre à lire. On parlait de config de base, lors d’un déploiement initial donc. Je veux bien croire que pour de multiples raisons organisationnelle une infra soit laissée à l’abandon dans une grande entreprise (j’ai juste bossé plus de 10 ans dans la cybersécurité de grandes boites), mais par contre qu’une infra soit déployée dans une configuration de base non sécurisée, ça par contre c’est criminel.
Donc ton post est intéressant à lire, et représente bien la réalité dans de nombreuses boites, mais n’a rien à voir avec ce qui a été dit avant.
J’avoue que j’ai aimé le temps que j’ai passé à bosser pour une banque Luxembourgeoise, où si la sécu dit non, le projet s’arrête tant que les problèmes de sécurité identifiés ne sont pas réglés. En même temps, le patron peut très bien aller en taule s’il y a un problème, pas comme en France.
Le 04/08/2023 à 23h 51
Beaucoup d’applications de nos jours communiquent avec internet, souvent via des API accessibles via HTTP.
L’iDRAC de mon T620 qui n’est plus tout jeune est accessible sans problème avec les protocoles actuels. Bien sûr, il faut l’avoir mis à jour…
Le 04/08/2023 à 11h 47
Comme le dit ragoutoutou, le souci n’est pas le soft, mais l’incompétence des admins. Si personne dans la structure n’a les compétences nécessaires, il existe des hébergements clé en main (et pour vraiment pas cher s’il s’agit juste d’avoir un petit site vitrine/blog pour son asso).
Le problème ici c’est ni Edge ni Windows…
Le 04/08/2023 à 07h 43
Il était temps !
Je ne connais pas d’admins systèmes compétents qui resteraient sur une config de base vulnérable… Au pire il y a des outils comme celui-ci : https://ssl-config.mozilla.org/
Les producteurs de lithium alertent contre une demande trop élevée
26/07/2023
Le 26/07/2023 à 14h 59
Edit
Le 26/07/2023 à 14h 54
ça fait au moins dix ans qu’on sait que si on veut électrifier le parc automobile mondial avec des batteries au Lithium, on va au devant de gros problèmes…
Apple bloquera FaceTime et iMessage au Royaume-Uni plutôt que d’en affaiblir la sécurité
24/07/2023
Le 24/07/2023 à 07h 46
J’ai tellement hâte que ces politiques voient leur vie privée violée par une des failles dont ils auront forcé la création. Malheureusement ça veut dire qu’ils ne seront pas les seuls impactés…
Netflix étend sa chasse aux mots de passe partagés dans une centaine d’autres pays
21/07/2023
Le 21/07/2023 à 15h 39
Perso je le trouve ici :
https://www.netflix.com/signup/planform
Le 21/07/2023 à 08h 17
Alors certes il n’y a pas de liste détaillée de ce qui n’est pas accessible avec l’offre avec pub, mais de là à dire que le site officiel “est même pas en français”, et suggérer qu’il n’y a pas le détail des prix et prestations de chaque offre…
Le 21/07/2023 à 08h 08
Alors autant Netflix a bien fini par me saouler et me faire me désabonner, autant il faut vraiment être de mauvaise foi pour dire que leur site web n’est pas dispo en français et ne détaille pas correctement les offres…
Un registre malien reçoit par erreur, depuis 10 ans, des millions d’e-mails adressés à des militaires états-uniens
17/07/2023
Le 18/07/2023 à 08h 44
C’est plutôt simple :
Y’a pas plus simple
Au Bangladesh, le pic de chaleur freine les activités numériques
13/07/2023
Le 13/07/2023 à 08h 23
Alors, même si on n’avait pas de stations météo à l’époque, on a une très bonne idée du climat terrestre jusqu’à quelques millions d’années en arrière 😉
Les nouvelles plateformes d’Apple ont leurs bêtas publiques
13/07/2023
Le 13/07/2023 à 08h 18
Les beta publiques d’Apple sont généralement plutôt stables, ça ne veut pas dire qu’elles sont exemptes de bug (même les version stables n’en sont pas toujours exemptes 😅).
Je recommande quand même d’attendre la beta2 avant de sauter le pas 😉
Firefox 115 est là, dernière version à supporter Windows 7 et 8
06/07/2023
Le 06/07/2023 à 08h 54
Par contre pour ceux qui utilisent Thunderbird, certaines des vulnérabilités colmatées dans Firefox y sont aussi, mais la version 102.13 n’est toujours pas sortie…
Le fondateur de Telegram a obtenu la nationalité française, mais on ne sait pas pourquoi
27/06/2023
Le 27/06/2023 à 12h 48
Pour moi c’est exactement l’inverse. Des sites relayant les dernières news d’informatique pure, il y en a à la pelle. Des sites ou retrouver ce genre d’infos, beaucoup moins ;-).
Discrimination algorithmique : la Fondation des femmes porte plainte contre Facebook
20/06/2023
Le 21/06/2023 à 01h 50
Est-ce que tu as seulement déjà vu les processus de recrutement des compagnies aériennes pour les postes de pilotes ? Je peux t’assurer une chose, ça ne passe pas par Facebook. Aucun pilote, homme ou femme, n’irai chercher un job sur FB de toute manière.
Quand à mes affirmations, je t’invite à relire l’article de loi que tu as toi même cité. Et surtout les précédent à propos du champs d’application :
République Française
Ce n’est pas du “whataboutism”, ça sert à quoi de présenter des annonces à quelqu’un qui n’a soit pas l’intérêt, soit pas les compétences pour le poste ? Si tu veux plus de femmes pilotes, c’est pendant les études, au plus tard au collège, qu’il faut les orienter vers cette voie. Représenter des femmes pilotes dans les films/séries aurait beaucoup plus d’effet que ce débat stérile autour d’annonces FB qui de toute façon n’ont rien à voir avec la réalité.