Le 18/09/2023 à 07h 53

Les caricatures sont toujours au top !
Par contre la forme … reviens sur tes anciens dessins !

Le 16/08/2023 à 21h 22

Je confirme ça fonctionne très bien, j’utilise également en complément de la clef USB zigbee une clef rfplayer pour parler avec de l’IOT en 433/868mhz, plus besoin d’avoir 30 appli pour parler en wifi avec ses lampes ou 2 ponts pour parler avec ses volets en zigbee et sa porte de garage/chaudiere en rts somfy.

Personnellement j’utilise un vpn pour y accéder car malheureusement HA contient beaucoup de vulnérabilités, j’aurais trop peur de l’exposer via un reverse proxy.

Sinon pour ceux qui n’aiment pas devoir rajouter des templates de sensors ou faire des scénarios en YAML je ne peux que conseiller cette intégration :

https://www.home-assistant.io/integrations/python_script/

Qui permet de plus facilement traiter des conditions et des timer pour faire des scripts d’automatisation (ça m’a permis de faire tous mes scripts de gestion de l’arrosage avec gestion hygrométrie, gestion de pluviomètre rf433 etc ).
Bref HA est pour moi la solution la plus aboutie et modulable qui existe en domotique actuellement.

Le 21/06/2023 à 18h 47

refuznik a dit:

Sinon je rejoins grosso modo tout le monde. Pour tous les trucs critiques il faut gérer nous mêmes avec du matos français et européens c’est à dire pas de chinois ou américains. Pour tout le reste on cherche juste à prendre le meilleur qualité/prix et pour l’instant Huawey et ZTE sont les meilleurs sans compter qu’une bonne partie de leur matos et ouvert donc pouvant être auditer.

Ce qui est fun aussi c’est que huawei bosse avec nokia et ericsson sur la partie OSS ( Operations Support Systems ), en gros une sorte d’orchestrateur qui va gérer les HSS, UDM, eNodeB etc. enfin tous les network elements que tu retrouves dans un coeur de réseau 4G/5G (https://www.ossii.net/participating-companies/) et de plus ils ont clairement le coeur de réseau 5G le plus avancé du marché.

Ce qui à mon sens fait débat dans le fait d’interdire des constructeurs chinois sur le sol US et Européen ( après ça reste subjectif je n’ai pas toutes les infos sur ce sujet ) c’est la 3GPP TS 33.501 qui est une partie de la RFC GSM sur la 5G qui gere la gestion, tenez vous bien, d’une clef maîtresse utilisée pour le roaming entre les BTS 5G.

La 5G étant normalement un protocole maillé et qui reroute automatiquement un noeud coupé lors d’une déco depuis la signalisation a besoin d’une clef pour pouvoir changer son noeud et le truster pour ne pas avoir un mec qui arrive avec une bts rogue comme ces fameuses valises que l’on rencontre pendant les manif place de la république.

Et cette clef est dans les équipements partagées par tous les telco chez qui vous pouvez borner.
Une attaque théorique ( je suis pas techos telecom j’imagine qu’il y’a énormément d’autre vecteurs plus intelligent ) par exemple si un attaquant étatique possédait la clef serait de changer le SGSN (le network element qui gère la sortie data vers internet )pour la sortie data 5G et de mitm un mobile pour controler son traffic …

Surement une mine d’or pour nos alliés :) qui n’auront plus besoin de déposer de malheureux malwares chez orange pour leur remontée d’info, ils pourront faire du cas par cas.

Je suis prêt à parier une pinte qu’on va avoir un nouvel acteur américain sur le marché 5G dans les 10 ans à venir pour remettre de l’ordre dans tout ça ;p

Le 21/06/2023 à 17h 09

OlivierJ a dit:

Ça ira, merci.

Tu n’as clairement pas compris grand chose. As-tu lu l’article que j’ai mentionné précédemment ?

OK t’as pas compris grand chose non plus. Même remarque que plus haut.

Quand on prend de haut ses interlocuteurs en se défendant derrière des articles deprecated depuis 10ans, on peut sentir la saveur que dégage ton raisonnement et je me délecte de tes réponses préparées avec vacuité.

Partant à la base d’une blague, certes potache, pour éveiller un peu le fait qu’utiliser massivement du saas américain, notamment chez les oiv et les boîtes de défense n’était pas une bonne idée pour défendre les intérêts français tu nous sors un article avec entre autre des ref d’un bouquin de 95 … Singulier à croire que ton raisonnement est en accord avec tes références ;)

Bref ça ne sert à rien d’alimenter le troll, je te concéde que la France fait de l’espionnage industriel et économique mais sans commune mesure avec nos “alliés” outre atlantique…

Le 21/06/2023 à 06h 40

OlivierJ a dit:

Mais qu’est-ce que tu racontes ?

Je t’invite à te renseigner sur ces trois points :

• Les documents de WikiLeaks en 2015 qui donnent des informations sur l’écoute illégale de la NSA qui surveille les transactions financières de plus de 200M$ pour de l’ingérence et de l’espionnage économique





• Ces mêmes documents qui parlent également de l’écoute “illégale” (on va pas troller sur le patriot act c’est un peu comme enfoncer des portes ouvertes) sur plusieurs gros acteurs du web américain (sniff des trames protobuf dans les DC de Google, récupération sauvage d’info client chez Microsoft etc. )





• L’ingérence sauvage sur un contrat de naval group (ex DCNS) de 55 milliards avec l’Australie.

Merci les alliés ! Hahaha
Bref US ou chinois … Vivement qu’on coupe les liens avec ces deux gros acteurs de l’espionnage.

Le 19/06/2023 à 15h 11

et encore moins nous écouter en récupérant les informations venant de microsoft google cloudflare et consorts quand on doit vendre des sous marins

Le 08/06/2023 à 12h 28

Difficile vu le contexte actuel de rivaliser avec des médias biaisés du fait de leur financement “intéressés”.

C’est vraiment dommage de perdre un des derniers média indépendant qui était une bonne source d’information et portait des valeurs qui me tenaient à cœur.

J’espère que c’est passager, je vais faire passer le mot autour de moi, en espérant que ça puisse rajouter quelques dons.

Courage et svp tenez bon.

Le 14/12/2021 à 14h 00

odoc a dit:

Y a un moyen de savoir si on est vulnérable ?

Oui il suffit de lancer cette commande sur tes serveurs pour savoir si la version de log4j vulnérable tourne :

for pid in \((pidof java);do cat /proc/\)pid/cmdline|xargs -0 && cat /proc/$pid/maps |grep log4j;done

Ensuite pour la rémediation il existe plusieurs méthodes ( un lien pris sur google au hasard : https://www.geekyhacker.com/2021/12/11/three-ways-to-patch-log4shell-cve-2021-44228-vulnerability/ )

Quant à la vulnérabilité fait attention, il y’a deux méthodes pour l’exploiter comme je l’ai dit dans un commentaire précédant:

• via une vielle version du jdk qui fait deux étapes lors de l’exploitation, une résolution jndi sur ldap qui amène à une requete HTTP pour récuperer un objet sous forme de classe


• une résolution jndi sur ldap qui désérialise directement avec les objets en instance dans le classloader du serveur d’application

Cette deuxième méthode est la plus impactante du fait que tout les jdk sont impactés et qu’ils utilisent une vuln de deserialization d’objet java arbitraire directement depuis la réponse du LDAP. Pour le moment quelques chemins ont été trouvés, notamment sur Websphere et Tomcat, mais dans les semaines à venir nous risquons d’avoir de nouveaux gadgets, il est important de patcher le plus vite possible.

( pour un exemple de deserialisation d’obj native sur Tomcat avec l’objet org.apache.naming.factory.BeanFactory je t’invite à regarder le blog post de veracode sur les injections jndi qui en parle https://www.veracode.com/blog/research/exploiting-jndi-injections-java )

Le 13/12/2021 à 22h 58

Krystanos a dit:

Mais tu as complètement craqué ? Est-ce qu’à un moment j’ai dit que l’opensource était inutile et qu’il fallait privilégier le closed source ? Avant d’appeler au troll, il serait bon de lire le texte non ?

Ce n’est pas parce que l’opensource n’est pas l’eldorado souvent présenté, que ça ne vaut rien. Je n’utilise QUE de l’opensource pour bosser et je le vis très bien, mais il faut connaître les limites du système.

Je suis navré que tu penses que j’ai “craqué” mais je me permet de te paraphraser :

Krystanos a dit:

En même temps, est-ce étonnant ? Ça fait bien longtemps qu’on sait qu’une dépendance opensource n’est pas un gage de qualité et de sécurité.

Déjç je ne suis pas d’accord sur le fait que l’opensource n’est pas un gage de qualité, par essence le fait de pouvoir lire le code et de le modifier à sa convenance est la panacée pour l’ingénieur qui veut coller une librairie ou un programme à une infrastructure existante.

ou encore :

Krystanos a dit:

Tous les dev opensource ne sont pas forcément compétent en qualité. Ils bossent (en général) sans être payé sur ce projet.

On peut dire exactement la même chose du code closed source, personnellement je pense même qu’il est encore pire de faire confiance à du code de soft propriétaire d’entreprise ( je pense que ça ne sert à rien de citer tous les CVEs existant sur Microsoft, SAP, Oracle, IBM, HP, VMWare etc. je ne suis pas trop du genre à rabaisser quelque chose qui est déjà à terre )

Ce qui m’a fait tiqué dans tes propos, qui pour ma part étaient clairement dirigés contre le logiciel libre, c’est que tu penses qu’une partie des développeurs opensource, du fait qu’ils ne sont pas payés et font ça sur leur temps libre produisent du code de piètre qualité.

Alors tout d’abord, je me permet de les représenter sur ce point, certes il arrive souvent qu’à l’arrivée d’un nouveau développeur sur un projet que le code produit est défaillant sur plusieurs point, le temps pour lui d’appréhender le coding style l’api et les pièges liés au langage utilisé, mais il existe des outils très bien de suivi de code, des VCS ( tels que git svn cvs fossil et même en closed source comme perforce ou pvcs ) qui permettent une remédiation du code et une lecture aisée des diff entre les versions.
Pour ma part je pense que la plupart font souvent ça par passion et sont à mon avis beaucoup plus performant et efficaces que beaucoup de dev en entreprise qui font de l’alimentaire.

Pourtant comme tu le dis toi même :

Krystanos a dit:

Nombre de projets sont obsolètes mais servent de base à d’autres dépendances.

Effectivement plein de vielles librairies avec un petit push de temps en temps comme zlib libxml2 etc. voire même les coreutils gnu qui n’évoluent plus beaucoup et pourtant tellement utilisés …

Là encore donne moi des librairies complexes telles que les bibliothèques de chiffrement, d’encodage vidéo, sur tout ce qui est traitement de signal, transformées de fourier etc. en closed source, je pense sincèrement que tu auras énormément de mal de trouver des exemples qui sont au même niveau que les équivalents open-source.

Bref avant de voir le troll dans ma réponse essaye de prendre du recul sur les choses, effectivement cette vulnérabilité impacte beaucoup d’applications, non pas parce que le code est de moins bonne qualité mais surtout parce qu’il y a plus d’application opensource qui l’utilisent.

Mais à mon avis beaucoup moins de serveurs seront impacté que les vulnérabilités d’antan utilisées par exemple par conficker, sasser ou code red worm, qui utilisaient justement du code mal désigné et closed source.

Le 13/12/2021 à 10h 32

On peut dire la même chose pour du closed source, il suffit de voir toutes les vulns liées à ADCS printernightmare ou encore le nouveau https://github.com/WazeHell/sam-the-admin d’avant hier, dans le code fermé de Windows …

C’est pas pire que log4j2 c’est sur mais je pense que le débat closed/open source est vraiment un épiphénomène…

De plus même si la résolution jndi fonctionne il faut tout de même avoir le deuxième step de la vuln qui passe, aka avoir une jvm ancestrale ou tourner sur un moteur d’application java avec les bons objets en instance permettant la résolution de classes externes et que le serveur impacté puisse se connecter au net sur le ldap et le http rogue pour récuperer la classe .

Malheureusement un outil sur github, JNDIExploit, qui a heureusement été vite rm par github d’ailleurs, a été fournit pour simplifier les différentes méthodes d’exploitation pour le step2 et des acteurs de botnet les ont vite mis en route ….

Je rajouterais qu’il est difficile maintenant de ne pas utiliser d’open source et qu’au final heureusement qu’il est là, sinon ton iPhone ou ton Android n’existerait pas ! ainsi que la plupart des infra critiques d’internet, bref c’est plus un troll pour moi qu’autre chose

Le 28/11/2021 à 10h 10

De retour dans le box des abonnés

Le 24/08/2020 à 07h 02

“Nous ne tolèrerons pas les tentatives du Parti communiste chinois de saper la vie privée de nos citoyens, la propriété intellectuelle de nos entreprises, ou l’intégrité des réseaux de prochaine génération dans le monde.” l’hôpital qui se fou de la charité …

Le 18/07/2020 à 17h 56

Bonnes vacances ! et merci pour la 4 même si j’aimerais ne pas avoir à le dire

Le 09/07/2020 à 06h 59

Plus besoin ! il suffit que pr0nhub passe par France Connect !

Le 05/07/2020 à 08h 20

" />

Le 28/06/2020 à 06h 57

Merci Flock elles sont toutes au top !

Le 07/03/2020 à 17h 21

J’adore merci flock !

Le 09/02/2020 à 10h 09

Les 6 " /> !!!

Le 06/11/2019 à 18h 58

c’est clair " />  pour la dernière :)

Le 03/11/2019 à 08h 00

Le CDN de nextinpact est parti en week end on dirait :)

Le 15/06/2019 à 16h 40

Rien a jeter, du très bon :)
Merci flock ! " />

Le 22/03/2018 à 06h 40

çà vaudrait peut être le coup de lancer une action pour dénoncer un marché public frauduleux :-)

Le 21/03/2018 à 16h 10

Haha bien joué marc !

Le 13/03/2018 à 16h 28

On peut surement dire merci  à intel pour sa contribution dans l’audit des processeurs AMD 

Le 10/05/2017 à 12h 19

Donc nous avons élu un énarque de plus.