savory
est avec nous depuis le 25 février 2004 ❤️
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
25 commentaires
#Flock joue avec le feu et distille des indices
Le 16/09/2023Le 18/09/2023 à 07h 53
Les caricatures sont toujours au top !
Par contre la forme … reviens sur tes anciens dessins !
Domotique : partons à la découverte de Home Assistant
Le 16/08/2023Le 16/08/2023 à 21h 22
Je confirme ça fonctionne très bien, j’utilise également en complément de la clef USB zigbee une clef rfplayer pour parler avec de l’IOT en 433/868mhz, plus besoin d’avoir 30 appli pour parler en wifi avec ses lampes ou 2 ponts pour parler avec ses volets en zigbee et sa porte de garage/chaudiere en rts somfy.
Personnellement j’utilise un vpn pour y accéder car malheureusement HA contient beaucoup de vulnérabilités, j’aurais trop peur de l’exposer via un reverse proxy.
Sinon pour ceux qui n’aiment pas devoir rajouter des templates de sensors ou faire des scénarios en YAML je ne peux que conseiller cette intégration :
https://www.home-assistant.io/integrations/python_script/
Qui permet de plus facilement traiter des conditions et des timer pour faire des scripts d’automatisation (ça m’a permis de faire tous mes scripts de gestion de l’arrosage avec gestion hygrométrie, gestion de pluviomètre rf433 etc ).
Bref HA est pour moi la solution la plus aboutie et modulable qui existe en domotique actuellement.
5G : la Commission européenne exhorte à « adopter d’urgence des mesures » contre Huawei et ZTE
Le 19/06/2023Le 21/06/2023 à 18h 47
Ce qui est fun aussi c’est que huawei bosse avec nokia et ericsson sur la partie OSS ( Operations Support Systems ), en gros une sorte d’orchestrateur qui va gérer les HSS, UDM, eNodeB etc. enfin tous les network elements que tu retrouves dans un coeur de réseau 4G/5G (https://www.ossii.net/participating-companies/) et de plus ils ont clairement le coeur de réseau 5G le plus avancé du marché.
Ce qui à mon sens fait débat dans le fait d’interdire des constructeurs chinois sur le sol US et Européen ( après ça reste subjectif je n’ai pas toutes les infos sur ce sujet ) c’est la 3GPP TS 33.501 qui est une partie de la RFC GSM sur la 5G qui gere la gestion, tenez vous bien, d’une clef maîtresse utilisée pour le roaming entre les BTS 5G.
La 5G étant normalement un protocole maillé et qui reroute automatiquement un noeud coupé lors d’une déco depuis la signalisation a besoin d’une clef pour pouvoir changer son noeud et le truster pour ne pas avoir un mec qui arrive avec une bts rogue comme ces fameuses valises que l’on rencontre pendant les manif place de la république.
Et cette clef est dans les équipements partagées par tous les telco chez qui vous pouvez borner.
Une attaque théorique ( je suis pas techos telecom j’imagine qu’il y’a énormément d’autre vecteurs plus intelligent ) par exemple si un attaquant étatique possédait la clef serait de changer le SGSN (le network element qui gère la sortie data vers internet )pour la sortie data 5G et de mitm un mobile pour controler son traffic …
Surement une mine d’or pour nos alliés :) qui n’auront plus besoin de déposer de malheureux malwares chez orange pour leur remontée d’info, ils pourront faire du cas par cas.
Je suis prêt à parier une pinte qu’on va avoir un nouvel acteur américain sur le marché 5G dans les 10 ans à venir pour remettre de l’ordre dans tout ça ;p
Le 21/06/2023 à 17h 09
Quand on prend de haut ses interlocuteurs en se défendant derrière des articles deprecated depuis 10ans, on peut sentir la saveur que dégage ton raisonnement et je me délecte de tes réponses préparées avec vacuité.
Partant à la base d’une blague, certes potache, pour éveiller un peu le fait qu’utiliser massivement du saas américain, notamment chez les oiv et les boîtes de défense n’était pas une bonne idée pour défendre les intérêts français tu nous sors un article avec entre autre des ref d’un bouquin de 95 … Singulier à croire que ton raisonnement est en accord avec tes références ;)
Bref ça ne sert à rien d’alimenter le troll, je te concéde que la France fait de l’espionnage industriel et économique mais sans commune mesure avec nos “alliés” outre atlantique…
Le 21/06/2023 à 06h 40
Je t’invite à te renseigner sur ces trois points :
Les documents de WikiLeaks en 2015 qui donnent des informations sur l’écoute illégale de la NSA qui surveille les transactions financières de plus de 200M$ pour de l’ingérence et de l’espionnage économique
Ces mêmes documents qui parlent également de l’écoute “illégale” (on va pas troller sur le patriot act c’est un peu comme enfoncer des portes ouvertes) sur plusieurs gros acteurs du web américain (sniff des trames protobuf dans les DC de Google, récupération sauvage d’info client chez Microsoft etc. )
L’ingérence sauvage sur un contrat de naval group (ex DCNS) de 55 milliards avec l’Australie.
Merci les alliés ! Hahaha
Bref US ou chinois … Vivement qu’on coupe les liens avec ces deux gros acteurs de l’espionnage.
Le 19/06/2023 à 15h 11
et encore moins nous écouter en récupérant les informations venant de microsoft google cloudflare et consorts quand on doit vendre des sous marins
Next INpact vit ses dernières semaines… sauf miracle
Le 12/06/2023Le 08/06/2023 à 12h 28
Difficile vu le contexte actuel de rivaliser avec des médias biaisés du fait de leur financement “intéressés”.
C’est vraiment dommage de perdre un des derniers média indépendant qui était une bonne source d’information et portait des valeurs qui me tenaient à cœur.
J’espère que c’est passager, je vais faire passer le mot autour de moi, en espérant que ça puisse rajouter quelques dons.
Courage et svp tenez bon.
Log4Shell : derrière l’importante faille, l’éternelle question du soutien au logiciel libre
Le 13/12/2021Le 14/12/2021 à 14h 00
Oui il suffit de lancer cette commande sur tes serveurs pour savoir si la version de log4j vulnérable tourne :
for pid in \((pidof java);do cat /proc/\)pid/cmdline|xargs -0 && cat /proc/$pid/maps |grep log4j;done
Ensuite pour la rémediation il existe plusieurs méthodes ( un lien pris sur google au hasard : https://www.geekyhacker.com/2021/12/11/three-ways-to-patch-log4shell-cve-2021-44228-vulnerability/ )
Quant à la vulnérabilité fait attention, il y’a deux méthodes pour l’exploiter comme je l’ai dit dans un commentaire précédant:
Cette deuxième méthode est la plus impactante du fait que tout les jdk sont impactés et qu’ils utilisent une vuln de deserialization d’objet java arbitraire directement depuis la réponse du LDAP. Pour le moment quelques chemins ont été trouvés, notamment sur Websphere et Tomcat, mais dans les semaines à venir nous risquons d’avoir de nouveaux gadgets, il est important de patcher le plus vite possible.
( pour un exemple de deserialisation d’obj native sur Tomcat avec l’objet org.apache.naming.factory.BeanFactory je t’invite à regarder le blog post de veracode sur les injections jndi qui en parle https://www.veracode.com/blog/research/exploiting-jndi-injections-java )
Le 13/12/2021 à 22h 58
Je suis navré que tu penses que j’ai “craqué” mais je me permet de te paraphraser :
Déjç je ne suis pas d’accord sur le fait que l’opensource n’est pas un gage de qualité, par essence le fait de pouvoir lire le code et de le modifier à sa convenance est la panacée pour l’ingénieur qui veut coller une librairie ou un programme à une infrastructure existante.
ou encore :
On peut dire exactement la même chose du code closed source, personnellement je pense même qu’il est encore pire de faire confiance à du code de soft propriétaire d’entreprise ( je pense que ça ne sert à rien de citer tous les CVEs existant sur Microsoft, SAP, Oracle, IBM, HP, VMWare etc. je ne suis pas trop du genre à rabaisser quelque chose qui est déjà à terre )
Ce qui m’a fait tiqué dans tes propos, qui pour ma part étaient clairement dirigés contre le logiciel libre, c’est que tu penses qu’une partie des développeurs opensource, du fait qu’ils ne sont pas payés et font ça sur leur temps libre produisent du code de piètre qualité.
Alors tout d’abord, je me permet de les représenter sur ce point, certes il arrive souvent qu’à l’arrivée d’un nouveau développeur sur un projet que le code produit est défaillant sur plusieurs point, le temps pour lui d’appréhender le coding style l’api et les pièges liés au langage utilisé, mais il existe des outils très bien de suivi de code, des VCS ( tels que git svn cvs fossil et même en closed source comme perforce ou pvcs ) qui permettent une remédiation du code et une lecture aisée des diff entre les versions.
Pour ma part je pense que la plupart font souvent ça par passion et sont à mon avis beaucoup plus performant et efficaces que beaucoup de dev en entreprise qui font de l’alimentaire.
Pourtant comme tu le dis toi même :
Effectivement plein de vielles librairies avec un petit push de temps en temps comme zlib libxml2 etc. voire même les coreutils gnu qui n’évoluent plus beaucoup et pourtant tellement utilisés …
Là encore donne moi des librairies complexes telles que les bibliothèques de chiffrement, d’encodage vidéo, sur tout ce qui est traitement de signal, transformées de fourier etc. en closed source, je pense sincèrement que tu auras énormément de mal de trouver des exemples qui sont au même niveau que les équivalents open-source.
Bref avant de voir le troll dans ma réponse essaye de prendre du recul sur les choses, effectivement cette vulnérabilité impacte beaucoup d’applications, non pas parce que le code est de moins bonne qualité mais surtout parce qu’il y a plus d’application opensource qui l’utilisent.
Mais à mon avis beaucoup moins de serveurs seront impacté que les vulnérabilités d’antan utilisées par exemple par conficker, sasser ou code red worm, qui utilisaient justement du code mal désigné et closed source.
Le 13/12/2021 à 10h 32
On peut dire la même chose pour du closed source, il suffit de voir toutes les vulns liées à ADCS printernightmare ou encore le nouveau https://github.com/WazeHell/sam-the-admin d’avant hier, dans le code fermé de Windows …
C’est pas pire que log4j2 c’est sur mais je pense que le débat closed/open source est vraiment un épiphénomène…
De plus même si la résolution jndi fonctionne il faut tout de même avoir le deuxième step de la vuln qui passe, aka avoir une jvm ancestrale ou tourner sur un moteur d’application java avec les bons objets en instance permettant la résolution de classes externes et que le serveur impacté puisse se connecter au net sur le ldap et le http rogue pour récuperer la classe .
Malheureusement un outil sur github, JNDIExploit, qui a heureusement été vite rm par github d’ailleurs, a été fournit pour simplifier les différentes méthodes d’exploitation pour le step2 et des acteurs de botnet les ont vite mis en route ….
Je rajouterais qu’il est difficile maintenant de ne pas utiliser d’open source et qu’au final heureusement qu’il est là, sinon ton iPhone ou ton Android n’existerait pas ! ainsi que la plupart des infra critiques d’internet, bref c’est plus un troll pour moi qu’autre chose
L’Abonnement Next INpact à tarif réduit via notre campagne de financement participatif
Le 29/11/2021Le 28/11/2021 à 10h 10
De retour dans le box des abonnés
L’étau se resserre pour Huawei, sur fond de tensions géopolitiques
Le 24/08/2020Le 24/08/2020 à 07h 02
“Nous ne tolèrerons pas les tentatives du Parti communiste chinois de saper la vie privée de nos citoyens, la propriété intellectuelle de nos entreprises, ou l’intégrité des réseaux de prochaine génération dans le monde.” l’hôpital qui se fou de la charité …
#Flock va découvrir Vichy en 6G
Le 18/07/2020Le 18/07/2020 à 17h 56
Bonnes vacances ! et merci pour la 4 même si j’aimerais ne pas avoir à le dire
Identité numérique : Alicem c’est fini, bienvenue à la CNIe
Le 08/07/2020Le 09/07/2020 à 06h 59
Plus besoin ! il suffit que pr0nhub passe par France Connect !
#Flock a du pif
Le 04/07/2020Le 05/07/2020 à 08h 20
" />
#Flock croque la pomme
Le 27/06/2020Le 28/06/2020 à 06h 57
Merci Flock elles sont toutes au top !
#Flock est avec la Force
Le 07/03/2020Le 07/03/2020 à 17h 21
J’adore merci flock !
#Flock ne sait quelle pilule choisir
Le 08/02/2020Le 09/02/2020 à 10h 09
Les 6 " /> !!!
#Flock ne veut pas faire de la figuration
Le 02/11/2019Le 06/11/2019 à 18h 58
c’est clair " /> pour la dernière :)
Le 03/11/2019 à 08h 00
Le CDN de nextinpact est parti en week end on dirait :)
#Flock coupe le fil
Le 15/06/2019Le 15/06/2019 à 16h 40
Rien a jeter, du très bon :)
Merci flock ! " />
Redevance Copie privée : au tour des clés USB et cartes mémoires d’être réévaluées
Le 21/03/2018Le 22/03/2018 à 06h 40
çà vaudrait peut être le coup de lancer une action pour dénoncer un marché public frauduleux :-)
Le 21/03/2018 à 16h 10
Haha bien joué marc !
13 failles de sécurité trouvées dans l’ensemble des processeurs Ryzen/EPYC d’AMD et leurs chipsets
Le 13/03/2018Le 13/03/2018 à 16h 28
On peut surement dire merci à intel pour sa contribution dans l’audit des processeurs AMD
Emmanuel Macron élu Président de la République
Le 07/05/2017Le 10/05/2017 à 12h 19
Donc nous avons élu un énarque de plus.