Le 10/08/2017 à 12h 22

Hé bah, c’est une belle leçon de Webdesign qu’on a là. Bluffant. Microsoft va dans le bon sens à ce niveau et ça fait du bien.

Hâte de voir ce que ce nouveau framework a dans le ventre.

Le 03/08/2017 à 15h 02

Ricard a écrit :

Ha bon ?



http://www.zdnet.fr/actualites/windows-10-s-immunise-aux-ransomware-connus-nous-… (lien trouvé vite fait.)


Pfeu. (Je m’étais pas permis de chercher en effet, je tombe de haut.)

Je suis resté sur les premières déclarations de Microsoft à propos d’UWP, les centennials et le desktop app bridge. C’était censé être relativement bien sandboxé (ou affin-able / filtrable en fonction des besoins).

Enfin, de tout de façon, encore une fois, l’accès est strictement limité, la macro s’exécute parce que il utilise un partage SMB sur un réseau intranet. Le vecteur d’infection est très faible, c’est le plus important… C’est surtout le seul vecteur d’infection, qu’on demande à zdnet d’attaquer hors macro, ils s’en sont tirés uniquement parce que la build d’office était l’unique lien vers l’api Windows.

Le soucis c’est les autres applications packagées sur UWP et qui utilisent aussi l’api Win32. Ils seront du coup forcément faillible dans le même sens qu’Office.

On revient au même point, à savoir des fichiers infectés potentiellement ouvrable par l’utilisateur.

Ok, c’est pas full secure, mais c’est déjà fortement couvert. Des choses comme ouvrir des .PDF seront systématiquement ouverts par Edge qui est sandboxé.
 
Office est probablement très difficile à sandboxer pour MS, c’est compréhensible, ce qui l’est moins c’est qu’ils ne puissent pas isoler l’exécution des macro (ou que VBA soit tout simplement limité).

Je me demande si sur les dernières build l’exploit est encore possible, je pense pas. (Et je ne trouve qu’eux [zdnet] qui discute de ça sur le net, pas eu d’autres pentest à ce sujet ?)

Le 03/08/2017 à 11h 39

Ricard a écrit :

T’inquiète pas pour moi niveau sécurité." />
Mais un système que tu dis hyper sécurisé et qui tombe en quelques heures avec une macro word, excuse-moi. Un système qui considère que le réseau est une zone sûre, aheum…
Combien de secrétaires/enfants vont cliquer sur “accepter l’exécution de la macro/whatever”, puisque tu vois bien cet OS dans les administrations/écoles ?
Avec une macro Word avoir accès à un Shell admin, super sécurité." />


Bah non, pas de shell (du tout) sur W10S même avec une macro word.
C’est précisément ce que j’ai narré sur un post précèdent :



Reclad a écrit :

Ce qu’il en est actuellement sur W10S: https://support.office.com/fr-fr/article/Bloquer-les-macros-suspects-dans-Micros…

Va falloir chercher la petite bête pour finir par l’exécuter.


Si la macro est finalement exécutée tu n’arriveras probablement pas à
grand chose, les apis dédiées à Win32 étant désactivés, le shell
également, tu pourras faire quoi ? Récupérer les fichiers persos de
l’utilisateur et les chiffrer ? OK, mais t’auras rien de plus, la
machine sera infectée seule et ne pourra pas infecter le réseau (se
propager), pas de backdoor non plus, pas de keylogging, pas d’adware,
pas de botnet…

Le vecteur d’infection par macro est
tellement ridicule que ce n’est pas une question de sécurité mais d’un
utilisateur qui cherche vraiment et volontairement à se faire infecter.

 


Petit bonus :https://blogs.msdn.microsoft.com/commandline/2017/05/18/will-linux-distros-run-o… (pour la partie console)

Le 03/08/2017 à 10h 13

Ricard a écrit :

" /> you made my day.

Tes idées préconçues sur la sécurité informatique me remplit de joie également. Think different pastaga. ">  

 


wpayen a écrit :

La question que je me pose c’est qu’en est-il des applications Win32 qui seraient déployées via SSCM ?


Vu que l’agent SCCM installé sur la machine est lui-même en win32, il ne sera tout simplement pas utilisable sur W10S. A voir ce qu’il en sera sur les prochaines build SCCM CB mais j’ai des doutes, il n’aura pas d’intérêt réel. (Quoi que, le monitoring des machines restera essentiel, mais on s’éloigne du sujet)

On préfèrera utiliser le Windows Store for Business (ou intune) sur W10S pour déployer les applications win32 conteneurisé en .appx (Desktop App Converter). Je ne sais pas pour le moment si le store privée d’entreprise est possible sur W10S mais si des contrats sont signés avec des entreprises, cette option sera logiquement ajoutée.

Et oui, l’avenir du packaging d’application passera par l’appx, les gens ne s’en rendent pas comptent mais ça va venir très rapidement en entreprise. (Et donc implicitement, la désactivation par défaut des exécutables sur les postes d’entreprise que ce soit avec WIN 10 Ent/Pro… ou W10S (rattaché à Azure)…)
 
https://www.hanselman.com/blog/PuttingMyVB6WindowsAppsInTheWindows10StoreProject…

 

Le 02/08/2017 à 12h 32

jeje07bis a écrit :

 ou pas :

https://www.generation-nt.com/windows-10-pirate-simple-fichier-word-actualite-19…


Ce qu’il en est actuellement sur W10S: https://support.office.com/fr-fr/article/Bloquer-les-macros-suspects-dans-Micros…

Va falloir chercher la petite bête pour finir par l’exécuter.

Si la macro est finalement exécutée tu n’arriveras probablement pas à grand chose, les apis dédiées à Win32 étant désactivés, le shell également, tu pourras faire quoi ? Récupérer les fichiers persos de l’utilisateur et les chiffrer ? OK, mais t’auras rien de plus, la machine sera infectée seule et ne pourra pas infecter le réseau (se propager), pas de backdoor non plus, pas de keylogging, pas d’adware, pas de botnet…

Le vecteur d’infection par macro est tellement ridicule que ce n’est pas une question de sécurité mais d’un utilisateur qui cherche vraiment et volontairement à se faire infecter.
 


Arcy a écrit :

Le problème des systèmes fermés (Windows 10 S, iOS, …), c’est que tu peux consommer que ce qu’on te donne ou un truc rebadgé (aka, Firefox qui tourne avec le moteur Safari sous iOS). Au final, t’as pas le droit de tester un truc qui pourrait être meilleur et le jour où, pour une raison inconnue, tout déconne (exemple, une MàJ qui désactive l’antivirus), bah tu l’as où je le pense …


Windows 10 (non S) est là pour ça. Encore une fois il s’agit d’un système fermé pour un utilisateur qui n’a pas les moyens (ou la connaissance) de maintenir son environnement, il préfère du clé en main car il n’a rien besoin d’autre. (Et ça fait des machines infectés en moins sur le web…) IOS est une erreur car il n’est que fermé et n’a pas d’option d’ouverture (comme un android par exemple : AOSP, store alternatifs, .apk..)

Le 02/08/2017 à 11h 33

Encore une fois, Windows 10 S est un excellent moyen à un parc informatique (de petite/moyenne taille ou école) d’avoir des postes de travail complètement sécurisés et surtout viable dans le temps. (Ex : pas de win32, donc pas de bugs à foison après x temps.)

Il est évident que cette version d’OS n’est réservé uniquement qu’aux très gros néophytes ou aux entreprises/écoles ne cherchant pas à dépenser ou maintenir de manière permanente son parc et qui sont bien entendu tournés vers la bureautique uniquement. (Pas d’applications métiers)

Windows 10 S est là JUSTE pour ces types de cas, les geeks on utilisera la version Pro ou on se tournera facilement sur du Linux, that’s all. Faut pas chercher la bête hein.

C’est une très bonne démarche, pour la plupart des utilisateurs lambdas qui ne font de tout de façon QUE de la bureautique et de la navigation web et qui ne comprennent absolument rien à l’informatique, Microsoft leur propose un truc clé en main, qui gère tout de lui-même. C’est aussi un moyen de baisser fortement les machines des utilisateurs lambdas infectées à foison nourrissant les botnets mondiaux…
 
Également, Je regarde les 90% de mes amis, qui ne cherchent qu’à faire trois choses sur leurs PC : Facebook, Streaming, pr0n et de temps en temps un peu de Word (et non pas de jeu, ils sont loin de ça) . Ils viennent t’embêter quand ils ont des problèmes de lenteur ou de virus. Tu leur installes Windows 10 S, tu n’entendras plus jamais râler.

Ce flavor fourni par Microsoft est une option en plus qui doit largement être compris pour ce qu’il est vraiment, une solution définitive aux mille millions de machines qui ne sont pas adaptées à des “non-geeks”.

 

Le 02/08/2017 à 13h 02

Alice: balls have zero to me to me to me to me to me to me to me to me to Ça me fait furieusement penser aux robots de NieR:Automata … " />" />" /> (Fanboy)

Le 01/08/2017 à 17h 59

Mais du coup, BTC ne vaudra plus rien si BCC rentre dans les marchés aussi rapidement ?
(Si dupliqué, alors la valeur non forkée va descendre en pique ? Vu que tout le monde va forcément utiliser son porte-feuille BCC)

 
 

Le 28/06/2017 à 13h 50

Confondez pas Petya et WannaCrypt, ce nouveau malware utilise de nouveaux moyens de diffusion où le patch Windows ne suffit visiblement pas.

Le gros problème est l’infection d’une machine d’un compte utilisateur possédant les credentials d’administration (accès au partage admin$) de l’ensemble des postes de travail et/ou serveurs. (Administrateur du domaine ou groupe d’administration pour le support technique). (Et oui, on crache dans la soupe pour des solutions comme LAPS/PAWs ou CyberArk mais ça sert aussi à ça… Techniques Pass The Hash en ligne de mire.)
 
Visiblement le malware n’est pas encore assez évolué. Le massacre aurait été “complet” si le programme cherchait les noms de machine depuis l’Active Directory (Get-ADComputer).

C’est d’ailleurs ce qui me surprend, j’ai vraiment le sentiment qu’il s’agit d’un avertissement et pas d’une tentative de blackout complet. L’Ukraine étant un peu le pays “béta” pour prévenir des pays qu’ils peuvent manger cher si ils cherchent la guerre. (Un peu comme les essais balistiques/nucléaires.)

Le 03/05/2017 à 12h 39

Reclad a écrit :

Bof, c’est déjà une technologie dépassée le ThinClient. Les problèmes sous-jacents sont nombreux malgré ceux que beaucoup laissent entendre.

L’UWP (et le Desktop Bridge [Allez… c’est “presque” aussi simple que faire un .deb…]) répond complètement et fondamentalement aux problèmes de packaging/maintenance/déploiement pour les environnements poste de travail en entreprise.


Bon je rajoute, dans le cas de Windows 10 S, je prédit largement l’apparition prochaine de beaucoup d’applications win32 bridgés vers UWP. Les éditeurs ont tout intérêt à le faire et Microsoft ne fera probablement pas la fine bouche pour autoriser ce genre d’applications connues dans le store (Evernote, Photoshop, Firefox, VLC…).

Ils proposent simplement là un OS avec une garantie de sécurité pour l’utilisateur vu qu’il ne téléchargera que sur le Store. Je prédit aussi qu’on proposera ça par défaut à notre Mme Michu à nous dans les années à venir.

Simplement dommage pour l’obligation d’utilisation d’Edge, mais je ne crois pas que ce discours tiendra longtemps.

Le 03/05/2017 à 12h 29

David_L a écrit :

Et pendant ce temps, en vrai tout va migrer en thin client + VM " />


Bof, c’est déjà une technologie dépassée le ThinClient. Les problèmes sous-jacents sont nombreux malgré ceux que beaucoup laissent entendre.

L’UWP (et le Desktop Bridge [Allez… c’est “presque” aussi simple que faire un .deb…]) répond complètement et fondamentalement aux problèmes de packaging/maintenance/déploiement pour les environnements poste de travail en entreprise.

Le 03/05/2017 à 12h 07

Je pense que c’est assez simple à comprendre. Microsoft cherche un moyen d’habituer les utilisateurs à utiliser le store tout en s’extirpant complètement du téléchargement d’exécutable win32 depuis internet.

D’abord pour la sécurité mais aussi pour s’assurer et réduire considérablement l’instabilité historique du système.

Les applications UWP sont une réponse à ces questions…

De notre côté (en tant qu’archi du PDT en entreprise), on cherche à maximiser l’utilisation du store (en utilisant notamment la conversion des .msi vers .appx) pour faciliter fortement la maintenance et l’utilisation du bac à sable par défaut des applications UWP.

Si des utilisateurs grand publics s’habituent à utiliser Windows 10 S, on pourra peut-être assumer, un jour, la disparition des applications win32.

Microsoft veut se débarasser de son héritage et c’est la seul solution qu’il a. Je trouve pour ma part que c’est une bonne idée.

(Attention Windows 10 S <> Windows RT, le store sera toujours personnalisable pour peu qu’on prenne un peu le temps de convertir ses applications win32 [C’est pas compliqué.])

Voyez le comme une sorte d’APT avec une sandbox natif. (Faut pas voir le mal partout les gens… :))

Le 22/12/2016 à 13h 54

Au contraire, le ruban est très pratique et apporte une meilleure ergonomie, le ruban reste ouvert, il ne se referme pas automatiquement. C’est comme un système de raccourcis des outils les plus utilisés.

C’est un progrès pour LibreOffice, mais ils n’ont pas assez de ressource pour monter vraiment et concurrencer MS. Les limites du libre pour des projets d’interface utilisateur trop complexes. 

Le 30/11/2016 à 11h 34

Non mais hallucinant vos remarques (commentaires) sur le jeu, vous avez faux sur beaucoup de points à propos de ce FF. Il faut y jouer (longtemps >50h) pour comprendre sa complexité, sa grandeur et son scénario. Je pense que d’ici quelques semaines vous entendrez des choses très particulières sur ce jeu. A ceux qui sont “déçus”, quel gâchis, vous ratez un monument vidéo-ludique, ne vous focalisez pas aux premiers préjugés apportés par ce jeu (Je soupçonne même Square Enix d’avoir volontairement étriqué les premiers chapitres [ou le mauvais scénario] du jeu comme une sorte d’enrobage laid recouvrant un bijou). 

Le 14/10/2016 à 15h 12

KP2 a écrit :

Prochaine nouveauté majeure : les configurations systèmes dans des fichiers !


oh wait !


Les clés de registres sont un équivalent des fichiers de configuration, non ? 

Ok, c’est un bordel sans nom dedans, mais bon, l’historique du système et les entreprises qui font absolument tout pour garder leurs applications obsolètes empêchent à Microsoft d’utiliser une base de registre réellement propre. (Allez, on y croit, une nouvelle ruche tout beau tout propre…) " />

Le 13/10/2016 à 10h 13

Microsoft se calque comme tout les autres entreprises du secteur avec le DevOps, ce qui est une suite logique pour l’entretien de ses produits. Je pense que le fonctionnement jusqu’à Windows ⁷⁄₈ des mises à jour a été une catastrophe autant pour l’utilisateur final que pour les DSI et ses Administrateurs.

Je le vois du bon oeil, ce que Microsoft propose c’est surtout un moyen de forcer et s’assurer que l’ensemble de ses produits restent homogènes, ce qui réduit fortement l’apparition de bug non maîtrisé sur “leur parc”. 

Je le dis par expérience, un exemple avec System Center Configuration Manager, les montées de version peuvent s’avérer compliqué parfois et des bugs sur une version peuvent devenir contraignants à la longue. La version SCCM 2012 R2 a dû subir cinq cumulative updates pour se retrouver “stable”. Donc 5 upgrades en production en plus avec les risques que ça prend. Et puis la version SCCM 2012 SP2 (= R2 SP1) trois cumulatives updates… On aurait continué comme ça, le support premier de Microsoft se serait probablement pendu. " />

Ce que propose Microsoft aujourd’hui avec SCCM >1511, c’est une gestion presque automatique des updates et une version de la plateforme “unique”. Si un bug est reporté, il sera forcément corrigé au plus vite et sans devoir préparer des mises en production longues et fastidieuses. Après, ça sera à la responsabilité de Microsoft de corriger le tir eux-même si un problème survient après une mise à jour obligatoire, si la plateforme est homogène (version identique) chez l’ensemble des DSI, si un problème arrive, tout le monde sera concerné, et on pourra espérer que sa résolution sera prise très au sérieux. 

Le 20/09/2016 à 10h 34

carapitcho a écrit :

Et non “Our free browser VPN secures all traffic through Opera (but not other browsers or apps you have installed)”https://www.opera.com/blogs/desktop/2016/09/free-vpn-in-opera-browser-40/


Si tu lances Netflix depuis le navigateur, si ?

Le 22/06/2016 à 16h 08

Renault a écrit :

DNF est plus rapide que yum, à tous les niveaux. Tu dois être la seule personne qui ose dire ça. :) 

DNF est globalement aussi fonctionnelle que Yum voire en mieux (pas que sur les perfs donc). Seules les fonctions très avancées sont potentiellement en régression, mais cela concerne plus les empaqueteurs que les utilisateurs normaux.


Coucou Renault " /> (Fruti, fruti… " />)

Petite question en vrac : Fedora (ou la version de Gnome) gère maintenant pleinement le Hi-DPI ? (Je vois l’intégration de QGnomePlatform pour les applications Qt, mais dans son ensemble (Tableau de bord, Menu, Icônes) on est bon ? Pas testé ailleurs que Mint/Cinnamon, mais de mémoire j’avais rencontré quelques soucis sur Gnome (il y a au moins un an ceci dit).

Le 09/06/2016 à 09h 51

Commentaire_supprime a écrit :

Tiens, un lecteur de mes nouvelles de SF. " />" />" />" />" />

J’ai pris comme postulat que la propulsion hyperluminique suivant la métrique d’Alcubierre pourrait fonctionner avec l’emploi d’ondes gravitationnelles pour créer la bulle d’hyperespace dans laquelle un navire spatial peut se déplacer à des vitesses hyperluminiques (jusqu’à 15000 fois la vitesse de la lumière dans mon univers de SF).


Hâte de lire aussi tes nouvelles. Petit point d’attention : *.no-ip.org est blacklisté sur pas mal de proxy d’entreprise (WebSense). :)

Sinon pour en apprendre d’avantage :&nbsphttp://gravity.paris/ (Participez au mooc sur la plateforme fun-mooc qui est très intéressant et gratuit…)

Le 04/04/2016 à 13h 07

 

Asgardcfr a écrit :

2bcalvi " />


Ouh, les souvenirs qui remontent. " /> 
Le top du warez à l’époque. 
 

Le 11/03/2016 à 14h 27

straffo a écrit :

Des administrateurs en colère ? si quelqu’un peut faire suer ces andouilles  qui pourrissent mes env de dev avec leurs antivirus qui passe pendant que je bosse qui ont décidé de crypter le disque système (merci trop sympa) qui pensent qu’un binaire que je viens de compiler est un faille de sécurité qui prennent des décisions de merde  genre empêcher un debugger de s’exécuter car “tu comprends ça permet de se balader dans la mémoire”#JeSuisPlaisir

Ce troll.     

C’est à toi de déclarer tes environnements de dev correctement et les isoler du parc informatique classique. T’as qu’à déclarer explicitement que ton environnement n’est pas lié à la production et tu n’auras pas de soucis. Mais ne t’attends pas à avoir les mêmes droits qu’une machine en production (internet par exemple). Après oui, l’admin est probablement un boulet qui ne sait pas différencier ce genre d’environnement, mais j’ai des doutes vu ta gueulante.

Après dans un environnement de production, c’est absolument normal que ton disque soit crypté, qu’un antivirus fasse son travail (pas forcément bien configuré vu qu’il passe n’importe quand). Pour ton histoire de programme, pareil, ton application n’est pas packagé et n’apparaissant pas au catalogue de service de la boite il n’a rien à faire sur ta machine. Une SI c’est pas un ordinateur personnel où on fait ce qu’on veut (Dépend des SI bien sûr, les mauvaises laissent l’utilisateur faire n’importe quoi). 

Le 04/06/2015 à 12h 34

brice.wernet a écrit :

Après, quand on avait 64mo de RAM et que l’interface graphique en consommait 4, on pouvait parler ressources.
Maintenant, même si elle consomme 100Mo sur 64Go, on s’en fout.
Le rapport de conso de ressources de l’interface graphique par rapport aux autres conso a fortement baissé.

Et si les Linux users sont contre, c’est aussi beaucoup parce que à l’époque où Win95 sévissait mais était utilisable à partir de 4Mo, Linux avec X (donc un client/serveur) ne se lançait pas, ou alors était incapable de lancer autre chose qu’un terminal, xeyes ou une horloge.

Linux avec interface graphique correcte et utilisable n’a pu fonctionner qu’à partir de 16Mo de RAM, donc environ l’époque de Windows 98 SP2 pour M. tout le monde. Et le retard était énorme, malgré les excellents projets Gnome et KDE (qui son maintenant en avance sur windows depuis des années)


Elle est belle cette réponse. :)
 
Quoi qu’il en soit, aujourd’hui, la présence ou non d’une interface graphique n’est pas en soit un problème de ressource, mais plutôt un potentiel problème de sécurité. Même si c’est “mineur”, moins t’as de portes, moins t’as de problèmes. (On peut penser au bidouillage tout simple qui était de remplacer l’exécutable de l’assistant d’ergonomie (loupe etc)) disponible au démarrage de session, par un cmd.exe qui se lançe automatiquement en tant qu’utilisateur système (admin).)
 
L’enjeu du SSH géré nativement par Windows, c’est de pouvoir unifier/simplifier la communication entre serveur et clients pour l’administration. (On peut penser au fait qu’il n’y aura que le port 22 à allow pour les FW et picétout.)
 
L’idéal ça sera quand bash sera porté sur Windows, ou powershell sur linux. Nos scripts seront interopérables. (Don’t feed me " />)

Le 27/05/2015 à 09h 47

Wahou, j’adore ! " />

L’interface graphique est un prérequis majeur pour l’adoption de Linux dans le desktop grand public. J’ose espérer que Fedora continue dans cette direction dans les prochaines releases. (Et j’espère qu’Ubuntu va enfin se remuer les fesses.)

On a aussi Elementary OS qui envoie la sauce (même si très pompé de Mac OS). Allez, encore deux ou trois ans et Linux mettra la pression chez le grand public.

Le 09/04/2015 à 09h 55

Mouep ,

Moi je dirai que l’attaque a très certainement pu être réalisé par un ancien prestataire/employé de TV5Monde qui avait accès a toutes sortes d’info au niveau de la sécurité SI. (Ce qui est largement possible.)

Personne n’a bloqué ses accès après sa sortie de mission OU il a laissé volontairement un backdoor (compte de service mystérieux ? " />)

Franchement, il faut pas aller plus loin. Avec le nombre de SSII et de consultants dans les grandes boites qui tournent en boucle (Qui a dit tout les 3 ans ? " />) on peut aisément se poser des questions sur la fiabilité et les précautions prises par la SI de TV5Monde avant l’attaque.

Le 04/02/2013 à 14h 35

Ca s’appellait comment Game avant ? " />