votre avatar Abonné

LostSoul

est avec nous depuis le 26 mai 2015 ❤️

Bio

Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?

774 commentaires

Le 25/07/2024 à 09h 09

"L'OS devrait être le seul à accéder au kernel?"

Euh... comment dire... les applications qui tournent ont besoin d'accéder au kernel pour fonctionner. On ne fait pas un malloc sans passer à un moment par le kernel.

Par contre, le kernel devrait avoir un périmètre robuste et empêcher des modules supplémentaires de commencer à accéder à tout et n'importe quoi.

Ce que Microsoft aurait dû faire il y a longtemps, c'est de travailler sur des accès officiels, via des api et des bacs à sable pour les outils désireux de faire de l'analyse ou de la surcharge en profondeur. Sous Linux, il y a eBPF qui permet de donner un certain niveau d'accès à des applications de monitoring et de sécurité, c'est puissant et largement utilisé tant pour apporter des fonctionnalités avancées (par exemple service mesh), que de l'analyse de paquet, du monitoring , le profilage applicatif, ...

La question est de savoir pourquoi Microsoft est tellement à la ramasse sur ce genre de sujet et pourquoi Windows est-il si fondamentalement dans le passé. Pour rappel, eBPF, c'est sorti en 2014...

N'oubliez pas que toute surcouche type api, sandbox etc. induit d'office une perte de perfs, c'est entre autre pour ça que les drivers graphiques tournent au niveau kernel. Je ne sais pas quel est le degré d'impact mais visiblement c'est suffisamment significatif pour qu'on garde cette possibilité, je pense.

Le 25/07/2024 à 09h 07

Un standard de fait est justement l'opposé d'une sélection réfléchie. Que le produit soit bon ou mauvais, le niveau de réflexion en entreprise se limite dans ce genre de situation à installer le truc populaire qui a le plus de partenaires sans faire d'analyse de risque.

Pourtant il y a des signaux qui devraient inciter à la prudence dans ce genre de cas (crowdstrike est en défaut sur un certain nombre de points ci-dessous):

- le produit tourne t'il dans le noyau et/ou avec les niveaux de privilège les plus élevés?
- le produit remplace ou désactive t'il un composant de sécurité standard?
- le produit utilise t'il un protocole de commande avec un processus serveur écoutant sur le réseau? Si oui, utilise t'il les mêmes privilèges que les processus d'opérations? (dédicace IBM)
- le code source est-il disponible à la consultation? Y a t'il des audits indépendants ? Les rapports sont-ils publics?
- la documentation est-elle publique?
- la communauté d'utilisateurs est-elle accessibles au public? Ou est-elle cantonnée au périmètre du support du produit?

- le produit tourne t'il dans le noyau et/ou avec les niveaux de privilège les plus élevés?
Oui, le produit tourne en ring 0 donc au niveau du kernel

- le produit remplace ou désactive t'il un composant de sécurité standard?
Non, il ne remplace pas la bouse à Windows, c'est plus un outil type "forensics", c'est de l'analyse en temps réels de patterns, en gros ça intercepte tout et nawak et ça le compare avec les comportements "statistiquements normaux" pour détecter les comportements anormaux.

- le produit utilise t'il un protocole de commande avec un processus serveur écoutant sur le réseau? Si oui, utilise t'il les mêmes privilèges que les processus d'opérations? (dédicace IBM)
Pas à ma connaissance mais je ne suis pas expert. Le produit est "découpé" en deux, tu as le Falcon Senror qui fait l'interception et l'écriture de logs et tu as ce qu'ils appellent FFC qui fait la collecte le traîtement et l'envoi si j'ai tout suivi. Par contre les updates des modèles sont poussées par CrowdStike directement sur le sensor

- le code source est-il disponible à la consultation? Y a t'il des audits indépendants ? Les rapports sont-ils publics?
Bah non c'est une société privée :p C'est pas un produit opensource (de loin) et d'ailleurs c'est mieux comme ça vu que ça pourrait potentiellement donner les clés à des petits malins pour bypasser ou même utiliser le sensor à des fins litigieuses.

- la documentation est-elle publique?
Du code? Certainement pas :p

- la communauté d'utilisateurs est-elle accessibles au public? Ou est-elle cantonnée au périmètre du support du produit?
Voir au dessus - société privée, ils ne vont pas distribuer la liste de leurs clients vu que ça donnerait une info potentiellement utile à des hackers, donc non, c'est beaucoup trop sensible pour que ce soit public.

Le 25/07/2024 à 09h 00

En même temps, la mise à jour sous Linux n'ayant pas cloué au sol des avions ou reporté des opérations chirurgicales, elle a été beaucoup moins visible par le commun des mortels. C'est peut être ça aussi là cause du traitement radicalement différent entre les deux problèmes...

Après, si cela avait été traité par les médias "classiques", on aurait eu droit à "une mise à jour Linux fait planter tous les systèmes" au lieu d'une mise à jour Windows (et encore, le terme Linux étant inconnu de bon nombre de nos concitoyens, je ne suis même pas sûr que Linux aurait été cité)..

La question c'est "pourquoi linux n'est pas présent dans ces domaines?" alors qu'on sait bien que ca reste redoutablement stable, surtout pour du serveur applicatif... MS trop présent ? Trop de lobbyisme ? Pas assez d'équivalents sur linux pour les logiciels ? Dans les années 80/90 j'aurais pu admettre mais à l'heure des applis web, même les applis .net peuvent se passer de Windows, du coup ca reste inquiétant cette prédominance de Windows un peu partout (et je suis un dev Windows donc c'est pas un parti pris)

Le 24/07/2024 à 16h 45

Je peux te dire que ce jeu de mot a dû faire le tour des data centers :p

Le 24/07/2024 à 16h 44

CrowdStrike a bien fait planter Linux il y a quelques semaines ( https://www.neowin.net/news/crowdstrike-broke-debian-and-rocky-linux-months-ago-but-no-one-noticed/ ), comme quoi même en blindant l'approche ça n'évite pas d'avoir des problèmes similaires.

D'ailleurs on voit vite la différence de traitement dans les médias entre linux (totalement passé à côté des médias mainstream) et win. Ca semblerait prouver aussi que les parts de marché linux restent faibles comparées aux parts de MS.

Le 24/07/2024 à 16h 42

Visiblement CrowdStrike semble être un "standard de fait" dans énormément de boîtes donc je suppose que le choix a été réfléchi. On est loin du "n'miporte quelle cochonnerie" ici.

Le 24/07/2024 à 16h 41

L'implémentation de Falcon Sensor ne permet pas de faire de pré-tests, et c'est bien un des soucis - il n'y a qu'un canal de diffusion pour les mises à jour.

Le 24/07/2024 à 16h 40

De ce que j’ai compris (à prendre avec des pincettes, donc), les kernels panic étaient avec l’implémentation eBPF _mais_, il s’agissait d’un backport d’eBPF par RedHat pour le vieux noyau utilisé du fait de leur politique LTS (la version majeure du noyau ne change pas mais il y a tellement de backports que ce n’est plus comparable à un noyau Linux vanilla).

Bref, le module eBPF de CrowdStrike aurait révélé un bug dans le backport d’eBPF, rapidement corrigé par RedHat.

Sachant que la plupart des entreprises utilisent quasiment toujours des versions LTS ...

Le 24/07/2024 à 16h 29

Pourquoi ? À cause d’un bug dans le validateur de contenu.
L’envoi en production s’est fait sur la base des tests réalisés et validés par erreur


En même temps, tu peux faire tous les tests que tu veux, si les changements sont validés quels que soient les résultats des tests, pourquoi s'embêter ? 😅

Ah là dessus on est bien d'accord, si leur instance de test est buggée, forcément ...
Reste quand même le reality test (manquant).

Comme on dit, le vrai test, c'est la confrontation avec la réalité.

Le 24/07/2024 à 15h 22

Si l'agent falcon sensor est enregistré au boot-start c'est pour une bonne raison : celle d'être sûr de passer avant tout le monde et donc de pouvoir prendre ses mesures le plus tôt possible.
C'est le problème de ce type d'agent en ring 0 aussi, aucun droit à l'erreur, sinon c'est d'office le crash système.

Pour info une ancienne version avait eu les mêmes conséquences sur des kernels linux aussi donc on ne peut même pas dire que c'est la faute de MS.
Ce qui est clair c'est que
1- leur mécanisme de validation me semble particulièrement faible pour un truc qui part en ring 0
2- je ne pige pas bien qu'ils n'aient pas au moins un "real life testing" avant tout déploiement de masse, sachant que ce truc fonctionne en push
3- Appremment et comme ca a été dit, CrowdStike ne permet pas par exemple d'avoir un noeud de maj qui déploierait "en différé", d'abord sur qqes honey pots puis sur les machines de prod quand on a validé que c'était stable.

Le 24/07/2024 à 15h 17

"injection de fautes" ...
C'est pas un des 1ers trucs qu'on est censés tester dans ce genre de cas ça ? Alimenter le process avec du garbage pour voir si il s'en sort ou si il se vautre lamentablement ?

Le 22/07/2024 à 06h 58

Pourquoi le fait que ce soit un EDR voudrait forcément dire que le client ne doit avoir aucun contrôle sur le déploiement des mises à jour ? Sur un environnement desktop, pourquoi pas, mais clairement sur des serveurs c'est inacceptable. Surtout qu'à priori là c'est pas juste une mise à jour des signatures de virus et/ou règles de détection heuristique, mais une mise à jour du moteur de l'EDR lui-même (vu qu'un fichier sys est concerné, je dirais le "pilote" qu'ils utilisent pour s'interfacer avec le kernel).

Non c'est pas un driver, ça a été expliqué dans la description du problème, le fichier a une extension .sys mais n'est justement pas un driver, c'est juste un fichier de données (je ne fais que citer CrowdStrike là évidemment).

Le 19/07/2024 à 15h 00

Je vais te dire: tout le monde :p Suffit de voir le nombre de boîtes impactées.
Le truc c'est que le Falcon Agent c'est un peu comme un "antivirus" donc c'est CrowdStike qui "pousse" les maj et pas le client qui les "tire". Quand ça marche bien c'est très bien, quand ça foire ... ça foire très bien aussi :p

Le 19/07/2024 à 14h 57

Une bonne heure pour "patcher" les serveurs ce matin :D Vive l'IT
Et oui, on se demande comment un truc pareil a pu passer ...

Le 20/07/2024 à 14h 41

Celui qui veut le fichier en question ...

Le 19/07/2024 à 11h 15

le mec aurait dû taper dans les 20 millions pour être crédible ...

Le 15/07/2024 à 10h 17

dark pattern ...

Le 10/07/2024 à 11h 14

Notepad c'est fait pour prendre une note vite fait, éditer un fichier config, un fichier json, whatever ...
Correcteur orthographique c'est vraiment la moins utile des fonctionnalités.
Une colorisation syntaxique pour les fichiers config / json / xml serait bienvenue par contre.Et oui, le support de markdown ce serait sympa aussi.
De toute façon la plupart des gens ont déjà des éditeurs de texte avancés (type notepad++) donc pourquoi "gonfler" notepad avec des fonctionnalités redondantes ? Mystère ...

Le 10/07/2024 à 11h 09

Microsoft: "oh oui on a observé mais c'est bon là maintenant on vous fait confiance" :v
Ok ...

Le 05/07/2024 à 12h 05

t'as dû utiliser un sceau pour tamponner des documents aussi? :p

Le 05/07/2024 à 12h 04

Que nenni, par un nuage ! Vive le cloud ! (ce message est à prendre au 3,14159e degré bien sûr :mdr:)

bah oui le nuage avec la ptite flèche orientée pour le dl / ul c'est déjà assez courant en fait.
Sinon on est plutôt sur ça : https://en.ac-illust.com/clip-art/23524689/upload-download-icon

Le 05/07/2024 à 12h 02

Bon après, l'administration japonaise en est encore à l'authentification des documents officiels avec un sceau que tu dois faire faire et qui coûte apparemment un prix plus qu'élevé ... Société d'ultra-technologie qui se base encore sur des règles ancestrales pour pas mal de trucs effectivement.
Sinon c'est pas le système de lancement de missiles américain qui demande encore des disquettes pour être initialisé? :v

Le 19/06/2024 à 11h 54

De toute façon ce serait complètement de con de se ranger à la recommandation de qui que ce soit pour voter, influenceur ou pas.
Le problème ici, c'est que ce sont probablement des "lobbyistes" qui ont un deal avec les mouvements de gauche anarchiste - reste à savoir quel est le deal.

Le 18/06/2024 à 19h 04

Le prompt initial est boîteux ...

Le 18/06/2024 à 19h 04

C'est pour ça que le prompt est crucial dans les LLM. On peut fortement orienter le modèle avec un prompt bien construit, et un prompt à l'arrache - comme celui qui a été écrit ici apparemment - ne sera absolument pas convaincant.

Le 27/05/2024 à 10h 12

" purement hardwares ET indépendants de la couche logicielle de l'ordi".
UN HDD / SSD externe chiffré matériellement?

oui un HDD chiffré a plein d'avantages, le 1er étant la performance vu que le chip dédié au chiffrement est onboard. C'est un poil moins souple pour faire évoluer les algos.
Bon, après il reste toujours le prob de la clé de chiffrement qu'il faudra entrer d'une manière ou d'une autre.
Exactement comme il existe des clés usb chiffrées il me semble.Il existe même des claviers chiffrés (bon, chiffrement faible faut pas non plus sombrer dans la parano)

Le 15/05/2024 à 07h 05

Perso je ne veux pas de bitlocker sur mon pc. Les données qui doivent être chiffrées le sont avec un outil ad hoc et le reste ne PEUT PAS être chiffré justement pour des raisons de mobilité de disque et de facilité de récupération (et la perf je ne savais pas que l'impact était si "sauvage" donc ça devient un 3e argument.)
Qu'ils activent bitlocker "par défaut" ok, mais en donnant la possibilité claire à l'utilisateur de ne PAS le faire.
Bitlocker est une saloperie sans nom.Les seuls chiffrements qui devraient exister - si chiffrement on veut - doivent être des chiffrements purement hardwares ET indépendants de la couche logicielle de l'ordi.

Le 26/04/2024 à 11h 56

Mmmm c'est valable pour les versions "pro" ou c'est seulement sur les versions "home" ?
Parce que bon ... a un moment faut arrêter les conneries chez MS ...

Le 03/04/2024 à 17h 02

Ca me rappelle quand je faisais du code Cobol sur mainframe : écriture papier, vérification, encodage et nombre de soumissions réduit pour que ça marche. Autant te dire que les bugs, tu les vérifies deux à trois fois avant de resoumettre. :D
Heureusement que ce temps là est révolu quand même ... quand je vois la souplesse de debugging de Visual Studio en .NET, je ne reviendrais pas en arrière pour tout l'or du monde.

Le 03/04/2024 à 16h 59

En général, les politiciens sont des imbéciles mal conseillés mais celle-là, c'est le sommet de la pyramide.
Il me semble que vous n'avez vraiment pas de bol en France ces derniers temps avec vos dirigeants quand même ...

Le 29/03/2024 à 06h 55

Faut dire que le RTF c'est un format quand même peu utilisé non?
Bon après c'était bien pratique pour taper une doc vite fait - je suis passé à markdown maisça reste "un truc de devs" malheureusement.

Le 11/03/2024 à 06h 54

Ah ben merde ... j'ai un jeu qui tourne sur WSA moi ...

Le 28/02/2024 à 10h 29

Entre l'insertion de pubs et l'augmentation des prix des plateformes, spas demain la veille que les gens arrêteront de pirater ...

Le 28/02/2024 à 10h 27

Perso j'aimerais juste qu'ils remettent dans file explorer la possibilité de faire un drag and drop vers les éléments de la barre breadcrumb du path. Je pige pas pourquoi ils ont retiré ça récemment ...

Le 13/02/2024 à 10h 15

La cancel culture dans toute sa splendeur ...

Le 05/01/2024 à 09h 41

Non, ça, c'était sur IRC.


Caramail :)

omg Caramail ...

Le 22/12/2023 à 14h 13

Aaah les newsgroups c'était le bonheur pour le pir.... pour le pr0 ... euh ... oui c'est ça pour les news ...

Le 05/01/2024 à 09h 40

Rha je suis content d'avoir échappé au Pascal (par contre j'ai pas échappé au Cobol ...)
Et surtout, j'ai réussi à éviter Delphi, très mauvais héritier de Pascal

Sinon Wirth a tout à fait raison concernant la lourdeur des logiciels qui croît avec la puissance des machines, c'est lié au "creeping featurism" qui engloutit des ressources pour rien ...

Le 25/10/2023 à 08h 08


SixK a dit:


disons qu’ils auront l’exclusivité du tracking ! :)




de fait …


Le 12/10/2023 à 14h 27


Mihashi a dit:


Hum, j’ai bondi sur ma chaise aussi.



Mais ce qui est demandé, ce sont les « données anonymes ». Pour faire des statistiques, j’imagine… En soit, pourquoi pas.



Mais le problème c’est de s’assurer que les données soient vraiment anonymes et qu’il ne faille pas tendre vers de la personnalisation des cotisations à l’extrême : « votre ADN indique que vous avez 80 % de chances d’avoir un cancer avant 50 ans → ×100 sur le montant d’assurance »…




En général quand une société privée utilise des données anonymes, c’est pour faire plus de profit, pas moins - le but des lobbyistes c’est justement de faire croire que c’est en faveur de l’usager et as en faveur des entreprises qui les paient.
Si tu veux je peux t’expliquer comment des “données anonymes” permettent de faire du screening et de proposer des produits “adaptés” à un “public cible” ;)


Le 12/10/2023 à 14h 25


Winderly a dit:


Cette brève me semble être une excellente explication de ce qu’est un lobby.




+1


Le 04/10/2023 à 08h 40

Cette conclusion … on va encore avoir des dramas dans l’industrie du jeu video :p


Le 04/10/2023 à 08h 37

C’est pas eux qui avaient comme slogan “c’est gratuit et ça le restera toujours” ? :D


Le 04/10/2023 à 08h 31


MisterDams a dit:


Ça affiche l’arrière plan “Colline verdoyante” d’XP.




:mdr: :incline:


Le 25/09/2023 à 19h 27


JCM77 a dit:


A lire la plupart des commentaires ci-dessus, FB est le repaire des extrémistes anonymes, déversant leur haine des policiers, leur haine des dealeurs, leur haines des personnes obèses, leur haine du gouvernement, leur haine des personnes trans, agrémentant le tout des insultes les plus virulentes et des menaces les plus mortelles, le tout caché tranquillement derrière leur écran.



Sinon, ma femme et moi utilisons FB pour partager un peu les temps forts de notre quotidien avec la famille et les proches. Que des “actus” que tout le monde peut savoir : Tata Jaqueline, Belle-maman, Jeff au bout de la rue, Ahmid mon collègue, Gérald D., Mark Z. , … Serions-nous seuls dans ce cas ?




Le réservoir de haine sur le net c’est plus X (Twitter) que FB en tout cas …


Le 22/09/2023 à 09h 50


jpagin a dit:


ça va permettre aux boomers de déverser un peu plus leur haine plus librement sur les sujets qui les rendent fou.



Je connaissais le switch entre les “comptes” des pages, mais pas cette fonctionnalité là. Je n’en vois pas trop d’intérêt, ça ne risque pas plutôt d’augmenter le risque d’usurpation d’identité et de comptes à tout va ?




Les boomers ils sont plutôt à l’hospice que sur FB … tu confondrais pas avec la GenX des fois ?



Sinon c’est où ? Je ne vois pas cette fonctionnalité :p


Le 22/09/2023 à 09h 47


ElMarcassin a dit:


Qu’elle soit entendue, je peux le comprendre. Mais une garde à vue (aussi longue, de surcroît) était-elle nécessaire ?




48h max une garde à vue …


Le 19/09/2023 à 10h 28


Trooppper a dit:


Si je devais taquiner un peu, quand tu vois qu’une Sandrine Rousseau vient te parler de cyberharcèlement sexiste quand des gens viennent systématiquement recontextualiser ses bullshit en notes de contexte sur X, tu vois là une grosse caricature de l’expression du biais en question.




Hha oui pu* ça me fait bien marrer - et de nouveau, les hommes en prennent autant pour leur grade vu qu’ils racontent autant de conneries. Mais la visibilité des cas sur les femmes est exacerbée par les media et celles sur les hommes gentiment ignorées.


Le 19/09/2023 à 10h 16


(quote:2153616:consommateurnumérique)
Voir commentaire #4. Il se trouve que les femmes sont largement absentes des cercles de décision et des milieux professionnels qui conçoivent les technologies, notamment numériques. Cela semble occasionner des biais de conception en défaveur des femmes, voire des violences sexistes ou du harcèlement disproportionné à l’encontre de femmes (comparativement à ce que rencontrent des hommes).




Je bosse dans le dev/datamining et on pleure pour rendre nos équipes mixtes. A une époque on avait pas mal réussi, curieusement y’a plus de filles dans les stats et le datamining que dans le développement pur et dur. Et on tournait très bien comme ça. J’ai eu des collègues et des stagiaires des deux sexes (coup d’bol ptet) mais c’était y’a 10 ans et là, je note un recul … curieux non ? (On bosse dans la regtech).


Le 19/09/2023 à 10h 24

Y’a un mec ou deux qui vont se faire virer dans l’équipe secops …


1 2 15 16