Le 06/04/2016 à 08h 59

Le site de Louis Negre (http://louisnegre-senateur.fr ) utilise Wordpress, un logiciel libre et gratuit. Attention Louis on connait le code source de ton site Web !! 

Le 29/03/2016 à 11h 34

Je suis dans le même cas que toi concernant les 20% de CPU utilisé par OpenSSL.

En fait, il s’agit de la commande suivante :

 /usr/bin/openssl dhparam -outform pem -rand /dev/urandom -out /usr/syno/etc/ssl/dh2048.pem 2048

Il s’agit sans doute de la génération des paramètres Diffie-Hellman pour le SSL de l’interface Web d’admin du NAS. Et en effet ça peut prendre pas mal de temps sur les petits CPU des NAS. J’imagine que cette génération ne se fait qu’une seule fois après la mise à jour en DSM 6.0 et pas à chaque reboot.

Le 17/03/2016 à 20h 38

Ce n’est pas une variante de Stagefright, c’est une exploitation de la vulnérabilité avec une méthode pour contourner les protections : 


Metaphor is the name of our stagefright implementation. We present a more thorough research
of libstagefright and new techniques used to bypass ASLR. Like the team at Google, we exploit
CVE­-2015-­3864 as it is much simpler to implement rather than the vulnerability in Joshua
5
Drake’s exploit, CVE­-2015­-1538 .

 

Le 21/02/2016 à 22h 28

Hébé, je viens de passer chez SFR et ça fait peur, de lire tous ces commentaires. Dire que je vais devoir essayer de résilier dans un an, quand ma super offre promotionnelle expirera.

De mon coté, à peine client que je me fais déjà enfler. Le forfait fibre pour lequel je me suis déplacé en agence a pris 3 € au dernier moment, après avoir remplis les dossiers et payer les 19€ de frais d’ouverture de service (“ha oui en fait c’était une offre temporaire, elle n’est plus valable, j’aurais du vous le dire tout à l’heure c’est vrai.”) et encore 3 € de plus sur la facture (“ha oui j’avais oublié de vous dire qu’on vous facture la location de la box aussi”). Ouais donc on nous donne un prix qui est proche de celui de mon ancien FAI, mais en fait y’a des “options obligatoires” et donc le prix annoncé est juste totalement faux.

Et je ne parle pas de mon offre mobile (c’était un pack…) qui a pris 5 € par rapport à celle que j’ai demandé, sans raison. Le technicien n’est pas encore passé que je me rappelle pourquoi j’étais chez Free avant.

Le 23/01/2016 à 15h 07

KP2 a écrit :

Avec du SSL, ca ne peut pas arriver…


Et ? Je n’ai jamais dis qu’on ne pouvait pas empêcher certaines attaques (et encore, on peut jouer avec sslsnif/sslstrip, ou encore se dire que dans 80% des cas l’utilisateur ne va pas tiquer quand son navigateur lui dira que le certificat est invalide…), j’ai juste dis qu’il était faux de dire “qu’en aucune manière on ne pouvait accéder aux données [en contrôlant le domaine]”. Si, il y a des manières possibles, et il faut en être conscient.
 

Le 23/01/2016 à 00h 15

KP2 a écrit :

un nom de domaine synology.me me permet en aucune maniere d’acceder a tes données.
Un domaine est juste un ou plusieurs mots associés a une ip dans une table. Et quand on demande a cette table quelle est l’ip qui correspond a ces mots, ca renvoie des chiffres. C’est tout.
Y’a rien qui passe par Synology.

Au pire du pire, les seules infos qu’ils peuvent obtenir, c’est a quel moment tu te connectes sur ton syno. Et encore, pas a chaque fois car ta machine possede un cache local


En étant pointilleux, celui qui contrôle le nom de domaine, ici Synology, peut s’il le désire ou s’il se fait pirater, faire temporairement pointer le nom de domaine vers une machine lui appartenant, afin de faire un man-in-the-middle sur ton trafic. Donc je n’irais pas jusqu’à dire que synology.me ne permet “en aucune manière” d’accéder à tes données.

 

Le 06/11/2015 à 13h 52

reparti en début d’après midi, revenu… pour l’instant ça fonctionne…

Le 06/11/2015 à 08h 20

VilraleuR a écrit :

A bordeaux aucun soucis


Hier soir à Bordeaux (et les villes autours)  ça ne marchait pas du tout, à partir de 18h30. Ça fonctionne de nouveau ce matin.

“Il n’y a aucun évènement récent.” sur Information réseau de l’espace abonnée sur Free Mobile " />

Le 30/08/2015 à 06h 04

La news a écrit :

En effet, les joueurs peuvent pardonner un mauvais épisode de temps en
temps sur une série, il ne faudrait pas non plus que cela se reproduise
trop souvent


 
La série Assassin’s Creed a toujours été extrêmement buggée, il ne faut pas espérer y couper si on y joue dès la sortie d’un nouveau titre. Je les ais tous fais et c’est toujours la même chose : IA qui fait n’importe quoi, personnages  bloqués dans les décors, bug éternel des sauvegardes, console qui freeze, etc. Le pire a mes yeux ayant été l’épisode sur PS Vita, pour lequel j’ai attendu 4 ou 5 mois sans y jouer en espérant un patch… qui n’est jamais arrivé.

Le 26/08/2015 à 15h 29

Je le fais à chaque fois et n’ai jamais eu de problèmes (SNCF, concerts). Pour être précis j’édite le pdf avec GIMP et supprime la pub.
 

Le 28/07/2015 à 16h 36

Pour info, les commits de jduck dans CyanogenMod concernant les failles de la lib stagefright :
 
https://github.com/CyanogenMod/android_frameworks_av/commits/cm-12.1?author=jduc…
 

Le 29/06/2015 à 10h 10

Personnellement je fais la même manip, mais dans GIMP,  pour tous mes billets IDTGV.

Le 15/04/2015 à 10h 47

js2082 a écrit :

Tu dois bien être le seul.
Je viens de faire le test avec bing google et qwant avec les termes “porjet de loi renseignement”, les résultats sont bien différents pour les 3, même si très proches dans l’actualité.

Les préjugés ont la vie dure encore.


Ha, donc j’ai justement dit avoir fait des tests et toi tu me réponds que j’ai des préjugés. OK, logique.

C’est bien, tu as trouvé un exemple qui ne match pas totalement bing, félicitations ! Essaye avec des guillemets autour maintenant ?

Bing : scribd, news.yahoo, lefigaro, leparisien, ownirevient
Qwant : scribd, news.yahoo, ownirevient, leparisien, lefigaro

Tant qu’à faire, essaye avec “js2082” pour voir ? Ho bah tiens, exactement les même résultats, dans le même ordre, sur bing et qwant…

Le 14/04/2015 à 16h 47

ActionFighter a écrit :

" />

Apparemment, ils ont leur propre algo d’indexation mais complètent le temps de la beta avec les résultats d’autres moteurs.


Mouais mais ça c’est le discours de leurs commerciaux, ils ne vont pas dire l’inverse. Là je viens de faire quelques tests et j’obtiens à chaque fois les même résultats avec Qwant et Bing, pour la partie Web.

Le 14/04/2015 à 16h 41

Ça date :&nbsphttps://lucientheodore.wordpress.com/2013/02/16/qwant-derriere-le-masque-du-goog…

Le 14/04/2015 à 16h 39

<semi troll>
Et ils ont un vrai moteur de recherche cette fois, ou alors ce n’est encore qu’un simple méta-moteur qui cherche sur d’autres sources, principalement bing ?
</semi troll>

Le 14/04/2015 à 16h 34

flagos_ a écrit :

Apparement, la découverte c’est qu’il y a plus de vecteurs d’attaques possibles, notamment:

Adobe Reader, Apple Software Update, Internet Explorer, Media Player, Excel 2010, plusieurs antivirus, TeamViewer, Github pour Windows ou encore l’installeur Javaqui sont des produits assez utilisés en entreprise.


J’avais bien lu cette partie aussi, et là encore, rien de nouveau :(

Le 14/04/2015 à 14h 17

Si j’ai bien compris et après avoir lu la news, il n’y a strictement rien de nouveau dans cette attaque, qui existe depuis longtemps et qui est souvent utilisée en pentest. Encore du buzz sur de l’ancien, dont le seul but est qu’une boite de secu fasse parler d’elle.
 

Le 23/03/2015 à 10h 47

Le dossier de Clubic, en lien dans l’article, est bien fait et répondra à tes questions.
 

Le 16/03/2015 à 18h 08

yvan a écrit :

Ta critique se limitait à son rôle d’implémentation LDAP alors que tout l’intérêt de l’outil n’est pas dans le ldap justement mais dans tout ce qui est intégré autour…


Non,  ça c’est uniquement ton interprétation. Si à chaque fois qu’on parle de quelque chose on doit le définir exactement dans toute son entièreté, on n’a pas fini. De toute façon je ne critique pas l’AD mais le fait de dire que c’est le meilleur outils du monde pour gérer des postes clients.




yvan a écrit :

Et sinon si tu dois intervenir sur un poste utilisateur tu dois lui demander l’accord donc tu peux lui demander son IP… 


Depuis quand ? Réaliser une tache administrative sur un poste client n’implique pas forcement d’aller lire les mails et documents perso de son utilisateur. Je pense que ce que tu affirmes est faux (ou au mieux limité à certains pays), mais j’admettrai sans problème avoir eu tort si tu es capable de me montrer un texte de loi qui prouve le contraire.
 
Et même si c’était vrai, on en arrive à un nouveau problème : faire dire à l’utilisateur son adresse IP (après lui avoir expliqué ce que c’est…) On est loin de l’outils parfait pour gérer des postes clients du commentaire que je citais (la seule raison de mon intervention ici)
 

yvan a écrit :

Enfin l’AD n’est pas une solution d’inventaire (ou d’ITSM complête globalement) non plus, d’autres logiciels le font. Logiciels dont tu disposes si tu gères “plusieurs milliers de machines”. 


Voir dernière phrase du point précédent. Et avec ce que stock déjà un AD pour chaque entité ça me fait doucement marrer de lire que ce n’est pas une solution d’inventaire. Ce n’est bien sûr pas une solution d’inventaire mais un champ “LastIPAddress” c’était pas bien compliqué à ajouter, à coté des dizaines de champs “moins” utiles, surtout quand le DC a forcement l’info (et est le seul à l’avoir forcement) et l’écrit déjà dans ses journaux.
 


yvan a écrit :

Au pire si tu es dans un truc plus petit des OCS ou GLPI font le taf…


Mais bien sûr qu’ils font le taf, la question n’est pas là.

Le 11/03/2015 à 15h 21

yvan a écrit :

Ne sois pas de mauvaise foi, l’AD permet de faire bien plus que du LDAP et c’est ça qui fait sa supériorité.


Je n’ai jamais dis que ce n’était qu’un annuaire LDAP. Le fait est qu’un AD repose sur un annuaire LDAP. Bref ce n’était qu’un détail de ce que je voulais dire…



yvan a écrit :

Quant à ton histoire d’IP c’est quoi l’intérêt de stocker une information qui peut bouger régulièrement sans que le LDAP n’en soit informé?


Au hasard, retrouver le poste d’un utilisateur instantanément, dans un parc de plusieurs milliers de machines en DHCP ? Quand un utilisateur se connecte au domaine l’AD en est forcement informé, l’information pourrait être stockée proprement, au lieu d’utiliser des solutions au scotch comme parser des logs ou exécuter un script batch à la connexion de l’utilisateur.
Je sais pas, ça me parait tellement trivial comme truc, que quand je lis qu’il n’y a pas mieux qu’un AD pour gérer un poste de travail, ça me fait tiquer.

Le 11/03/2015 à 03h 31

Argonaute a écrit :

Ne m’accusez pas d’être pro MS ce n’est pas le cas, mais, Active Directory pour gérer le poste de travail il n’y a pas mieux pour l’instant. 


L’Active Directory, cet annuaire LDAP qui ne stocke même pas l’adresse IP d’un poste client à partir duquel un utilisateur se connecte sur un DC… très pratique en effet :/

Le 10/03/2015 à 16h 50

gokudomatic a écrit :

Ils feraient bien de changer truecrypt. Son premier rôle, qui est de sécuriser des données sensibles, n’est plus rempli de manière satisfaisante.


Pourquoi ? Je ne crois pas avoir vu qu’il avait été cassé dernièrement, il continu à remplir son boulot. Même sans mises à jour.

Le 10/03/2015 à 09h 22

ZeHiro a écrit :

Moi je doit suivre l’audio en anglais, à cause du port foireux utilisé par le player


Le port 1935 c’est le port standard du RTMP, le streaming de chez Adobe.

Le 10/03/2015 à 08h 41

laulau35 a écrit :

Houla le son !!!


Pareil wtf ! Le son était super bas, obligé de monter le volume, et tout d’un coup un bip continu super fort qui fait bien mal aux oreilles…

Le 09/03/2015 à 09h 38

Ah ouais j’ai zappé le paragraphe qui répondait à ma question. Mais j’avais lu le reste, promis (surtout le fait que celle annoncée ne concernait que la fibre et pas le mobile) !

Le 09/03/2015 à 09h 25

Free ne devait pas faire une annonce concernant le mobile fin février déjà ? Je l’ai loupée ?
Je rêvais qu’ils disent quelque chose comme “hey on ne vous a rien dit mais maintenant on allume vraiment les antennes 4G qu’on a installé partout en France, comme ça vous aurez enfin du réseau !”. Parce que Free Mobile c’est plus “Il a Free il n’a pas d’débit” que “Il a Free il a tout compris”.

Le 09/03/2015 à 16h 55

Chouette des news sur la PS4 ! => ctrl+f DLNA => rien => :(

Le 26/02/2015 à 12h 39

Lnely a écrit :

Si j’avais leur competence de hack, je m’en servirais pour des causes bien plus utiles…
 


Eux aussi j’imagine.

Le 25/02/2015 à 16h 07

MasterDav a écrit :

Le mec vendu aux AD qui reproche une certaine sympathie envers les GAFA, foutage de gueule royal.

Encore une belle pourriture de politicard.


Tu peux lui exprimer ton point de vue sur son site :

http://jeanmariecavada.eu/pourquoi-je-ne-defends-pas-le-rapport-reda/

Mais en restant poli hein " />

Le 25/02/2015 à 13h 29

Que_la_Pâte_soit_avec_vous a écrit :

Mauvaise langue. " />


Excellent :)

Le 24/02/2015 à 12h 56

Nozalys a écrit :

Et selon moi, consommer du software made in France ne change rien, il doit aussi être backdooré chez nous… La NSA n’est pas seule, même si c’est elle qui défraie la chronique.


Ce qui me fait beaucoup rire c’est de voir ces solutions “made in France” soit disant développées intégralement chez nous… et en même temps qui reposent sur des systèmes bien étrangers. Par exemple, un super antivirus révolutionnaire pour smartphone, 100% français et totalement indépendant (sisi, il faut le croire), qui ajoute en réalité 3 patchs à un Cyanogen mod, lui même basé sur Android. Ça commence à faire quelques “intermédiaires” pas vraiment français, là. Sans parler du téléphone lui même, de son baseband, etc.

Pareil pour les solutions de cloud FR qui reposent sur des solutions Microsoft, ou dont les partenaire sont F5 Network, Juniper, Dell, NetApp, etc.
 

Le 18/02/2015 à 02h 11

skan a écrit :

Capitaine Train ne s’en vante pas, mais leurs délais sont ultra-rapides! 
J’ai même été étonné d’avoir eu une fois une réponse en pleine nuit :p


Pareil ! Envoyé un mail à 1h42 du mat, reçu la réponse à 1h55, de Jonathan qui me souhaitait une bonne nuit :)

Le site de CapitaineTrain est tellement mieux fait que celui de Voyages-SNCF, et leur appli Android est mieux foutue aussi.

Le 18/02/2015 à 02h 06

J’ai été confronté à un service récemment qui m’obligeait à utiliser un compte Facebook. Autant dire que j’ai zappé le site, ils ont perdus un potentiel client.

Le 14/02/2015 à 12h 18

Déjà pris par Salomon

Le 11/02/2015 à 13h 54

Yeap merci :) J’ai déjà essayé mais c’est quand même contraignant : ce n’est pas intégré au flux de lecture du visiteur qui regarde un album (photo) en mode galerie, il faut que les visiteurs aient tous VLC, et ça marchotait à moitié quand j’ai testé en décembre : pas mal de vidéo n’étaient pas lu ou on ne pouvait pas avancer dans la vidéo, je ne me souviens plus.
 
J’avais présenté OwnCloud comme une alternative sérieuse à DropBox mais le fait qu’il n’y ai pas une app qui permette de visualiser les photos et les vidéos d’un coup, comme DropBox, ça n’aide pas trop. C’est moyen quand je leur dis qu’ils doivent télécharger les vidéos une par une là où DropBox permettait juste de les streamer, entre deux photos.
 

Le 11/02/2015 à 11h 12

Quelqu’un a-t-il une astuce (une app, du patch à la barbare, etc.) pour faire en sorte quand on partage une galerie photo (en mode petites vignettes), les vidéos y soient intégrées et lisibles par html5, ou au pire flash ?

Le 06/02/2015 à 09h 15

thepiratebay.se has address 127.0.0.1
(DNS de Free)

thepiratebay.se has address 104.28.4.42
(DNS de Google)

echo “104.28.4.42     thepiratebay.se” >> /etc/hosts

Le 04/02/2015 à 20h 52

Dez a écrit :

C’est d’ailleurs marrant, on observe une couverture des failles beaucoup plus importantes dans les média (que ce soit sur PCI ou ailleurs) qu’il y a quelques années, pourtant il y en avait autant qui paraissaient à l’époque. Mais heartbleed est passé par là. C’est dans un sens bien car je pense que beaucoup plus de DSI sont sensibles à ce genre de truc, ce qui pousse à un système globalement plus sécurisé, mais faut pas non plus verser dans l’extrême inverse, à tout vouloir patcher à la volée même quand ce n’est pas nécessaire stricto sensu.


 C’est surtout que les commerciaux des boites qui trouvent ces failles sont passés par là. Aujourd’hui, les failles dont le grand public entend parler ont chacune leur nom (alacon) et leur logo, voire leur site dédié. Pourtant il y a des failles plus graves que celles qui sont médiatisées, mais comme elles n’ont pas un nom qui claque, on en parle moins…

 

Le 30/01/2015 à 12h 24

bons baisers de Szczebrzeszyn a écrit :

Et puis, se connecter sur un NAS qui est protégé par un serveur Radius depuis le net, hem, je n’ai pas encore vu ça dans la réalité (les ports admin 5005 et 5006 sont bloqués par le pare-feu Cisco en WAN par défaut)…


Pour faire des pentests, dire qu’on est safe parce que la machine vulnérable n’est qu’en interne n’est pas une bonne pratique. Très souvent, on rentre par un petit trou depuis Internet, et après on rebondit sur des serveurs internes non-patchés “parce-que-c’est-pas-urgent-c’est-qu’en-interne” ;) Et rebondir par un NAS où justement il y a plein d’info et qui doit être accessible sur le réseau à tout le monde (ie sur plusieurs vlans), c’est juste parfait.

Cela dit, après avoir regardé le code des QNAP et des Synology, je fais beaucoup plus confiance à Synology, ça fait moins “scotch” :)

Le 29/01/2015 à 12h 03

jb a écrit :

Haha. En fait, non, car tes applis Android TV sont sandboxed…


Non mais c’était juste en rapport avec l’actualité, loin de moi l’idée de débattre là dessus. (et une sandbox ça se contourne ;). T’es un peu chatouilleux quand on parle de la sécu de VLC dis moi :)

Le 29/01/2015 à 11h 18

TheMyst a écrit :

On peut la rooter ? " />


D’après jb oui :
 


jb a écrit :

Y a même VLC dedans! ;)
Android TV ftw


" />   " />

Le 28/01/2015 à 10h 38

lincruste_2_la vengeance a écrit :

Sur les NAS ? Mais ils sont pas tous basés sur BSD ?



Les Synology c’est du Linux (sur mon DS414 : Linux DS414 3.2.40 #5022 SMP Wed Jan 7 14:18:25 CST 2015 armv7l GNU/Linux synology_armadaxp_ds414). Les QNAP pareil.

 

Le 28/01/2015 à 10h 35

Citan666 a écrit :

Non, parce que, c’est un peu la base du fonctionnement du système GNU/Linux le setuid root !


C’est quand même en train d’être remplacé par les capabilities (par exemple CAP_NET_RAW qui permet à ping de ne plus être setuid root).

Le 28/01/2015 à 09h 46

bandix400 a écrit :

si il y a des binaire setuid root (déjà on évite d’en laisser) vulnérables (vite la liste), alors n’importe quel utilisateur non root normalement logué sur la machine peut devenir root quand ça lui chante : permet moi d’être sceptique.



Pour la liste des setuid root, je t’invite à faire un find sur ton système. Oui, il en reste encore.

Pour la liste des setuid root vulnérables, je t’invite à lire… le lien de mon message que tu cites…
 

Le 28/01/2015 à 08h 45

Qualys explique avoir développé un exploit permettant d’obtenir un shell distant via Exim. Et qu’il y a des binaires setuid vulnérables, donc du localroot. Plus d’info là :http://www.openwall.com/lists/oss-security/2015/01/27/9

Le 27/01/2015 à 13h 18

Po d’Coll a écrit :

Si la réponse est : « à la base un greffier ne touche pas plus d’argent que les autres, voire même plutôt moins, mais ils se sont organisés pour créer infogreffe, et ça leur rapporte un max de thunes supplémentaire », ça me va.


Moi ça me va moyennement, dans le sens où, par exemple, un extrait k-bis est demandé pour pouvoir faire beaucoup de choses de manière officielle, et qu’il n’est valable que 3 mois. Je ne trouve pas que le travail fourni justifie que ce document soit payant plusieurs fois, tant qu’il ne change pas.
 

Le 26/01/2015 à 21h 13

Constance a écrit :

J’ai remarqué un problème très similaire chez un autre vendeur mais n’ai

 jamais osé le leur signaler, de crainte justement d'être accusé de ce       

genre de chose....

Pour avoir remonté des failles sur des sites marchands plusieurs fois (dont certains assez important), si tu y mets la forme y'a pas vraiment de raison que ça se passe mal. Il faut bien préciser que tu n'attends rien en retour, que tu fais cette démarche parce que tu te sers du site et que tu ne veux pas que tes données soient piratées, etc.     

La moins bonne expérience que j’ai eu, c’est un petit site qui avait une injection SQL qui permettait de récupérer les informations de tous les clients (moins de 2000 de mémoire) : remonté une fois, réponse : “merci beaucoup on corrige !‘. 3 mois plus tard la faille était toujours là, nouveau mail : “merci beaucoup on corrige, moi j’y connais rien mais je remonte à mon webmasteur”. Idem plusieurs fois. Au bout de 2 ans, ce qui devait arriver arriva : site piraté, données des clients publiées sur Internet. J’ai envoyé un mail pour les prévenir mais pas de réponse. Ça me fait penser que j’ai pas été voir si la faille était toujours présente :)

Le 07/01/2015 à 08h 17

Félicitations :)

Le 22/12/2014 à 11h 38

T’inquiètes pas ils vont sans doute publier un nouveau patch de 7 Go (quand ce n’est pas 40 …) pour corriger ce bug …