Ben c'est des composants électroniques (résistances, condensateurs, des connecteurs, des puces spécialisées). On peut partir du principe que ce sont des composants que le CERN utilise. Ils sont classés par catégorie, c'est déjà pas mal.
Je me suis déjà fait avoir avec des bibliothèques Kicad qui semblaient correctes, mais étaient fausses niveau dimensions. Un peu par frustration et prudence, quand je m'en servais, j'avais pris l'habitude de faire tous les symboles et empreintes moi-même, dès qu'on sortait des trucs très normalisés.
Ça prend du temps, l'avantage était que dans ma bibliothèque de composants, je n'avais que ceux que j'utilisais et non des milliers de références.
Deming est un outil de pilotage du SMSI... La casquette et les lunettes peuvent faire référence à un aviateur ou une aviatrice, ou un chauffeur/une chauffeuse de locomotive à vapeur.
Quand à l'air légèrement dépressif du chien, cela correspond bien aux personnes qui pilotent la sécurité et la conformité depuis plusieurs années, et qui ont pour devise la sécurité est un échec 😅.
ça aurait aussi pu être quelque chose comme ça, mais l'appli est en Laravel, pas en Rails :
Photo de l'accident de locomotive qui a traversé la façade de la gare Montparnasse en 1895
A ma connaissance il n'y a pas à l'heure actuelle de système suffisamment sensible pour écouter une fibre "droite", mais ça finira forcément par arriver.
Oui, c'est vrai qu'avec le bon filtrage, on arrive à extraire des trucs, et c'est d'autant plus facile quand on connaît la nature de ce qu'on cherche (par exemple : de la voix humaine).
Après, y'a plein de matériaux qui réagissent bien à la voix : les vitres, les plaques de plâtre (bonus s'il y a du polystyrène expansé derrière)... Sans outillage du tout, ou aidé d'un stéthoscope de base, j'arrive sans problème à écouter à travers des cloisons. D'ailleurs c'est bien pénible quand on habite un immeuble centenaire 😅.
Alors avec un piezo à 30 centimes, un ampli et du filtrage, on a que l'embarras du choix !
Ici, et on est d'accord, l'avantage serait d'utiliser la fibre déjà en place (avec le Y optique dont tu parles).
Il y a un faux ami bien plus vicieux dans le domaine : "control" qui se traduit par "mesure", et "measure" (ou "measurement") qui se traduit par "contrôle".
D'ailleurs ça un bout de temps que je n'ai pas regardé le code source de Deming, mais il me semble qu'au début du projet, c'était les termes "francisés" qui étaient utilisés, ce qui ne facilite pas la lecture :).
je fais régulièrement un appel du pied à l'équipe qui gère le SMSI là ou je travaille, pour qu'elle regarde Deming. Pour l'instant ça n'a pas abouti, mais je vais continuer :).
Oui, mais non. Le support "câble de fibre optique" peut être utilisé, s'il est arrangé sous forme de bobinage, ET que tu contrôle le signal qui passe dedans. De la même manière qu'avec un fil de cuivre bobiné et un petit aimant, tu peux faire un micro. Cette attaque ne transforme pas pour autant toutes les fibres en microphone !
On ne peut pas capter de l'audio depuis une fibre droite non préparée, qui passe le long d'un mur entre un routeur et un ordi, par exemple.
Le titre de l'article de Korben est très maladroit.
Le fait que l'on retrouve le fabuleux trio de Nicolas, Claude et Brice dans cette vieille affaire, alors même qu'ils passent dedans les juges en ce moment même pour d'autres faits, s’apprécie comme un refrain familier :).
Netbump operates in a client/server mode using a UNIX socket.
The 'netbump' client allows the user to manage their rules, while the 'nebumpd' server is responsible for handling all modifications (from clients or the system) to existing rules.
Y-a-t-il un moyen de dire "Alice ne peut modifier que ses jeux de règles mais pas ceux de Bob" ?
Intéressant, je dirais que ça se discute. Du point de vue du noyau Linux, ce n'est pas une 0-day, car un correctif existe en effet dans git sur la dernière version et les versions LTS.
Du point de vue d'une distribution/un produit qui utilise un noyau Linux, c'en est une, en particulier pour les noyaux qui ne font pas l'objet d'un correctif à la source, et doit être rétroporté.
Il y a trois modules listés : esp4, esp6 et rxrpc.
RxRPC, je ne connais pas, mais ça semble surtout utile pour AndrewFS (AFS), un système de fichier réseau qui est, je crois, assez confidentiel.
Par contre, ESP, c'est un bout d'IPSec, qui est utilisé dans beaucoup de technos de VPN, donc probablement présent et utile dans énormément de firewalls.
Pour une machine de "particulier", ça semble sans impact de les désactiver en attendant.
Vivement un exploit dans le module ipv4 directement qu'on rigole un peu :).
Je ne me suis pas exprimé clairement, on dit la même chose :). C'était plus clair en disant : "En cartographiant le service ou le déploiement, et non l'instance particulière ?"
Tu cartographies le service ou le déploiement, et non l'instance particulière ?
C'est pas forcément trivial à représenter, en effet. Comment dire "ce truc est déployé via tel code (une conf Terraform par exemple), a temporairement telle forme, mais n'est pas un actif précis".
Hello,
pour ce qui concerne un cas d'usage que j'ai, l'entreprise dans laquelle je travaille fourni des ordis sous Linux aux employé·es, sans accès root. Cette faille leur permet d'obtenir un accès admin pour bricoler un peu ce qu'elles veulent dessus1, et potentiellement faire des conneries qui auront des conséquences plus tard, ou à un bout de code récupéré sur le net d'obtenir cette accès. Donc oui c'est plutôt super grave en fait :-/.
Heureusement que c'est facile à bloquer - et c'est sans doute pour cette (mauvaise) raison que l'équipe de recherche a révélé la faille sans attendre que les distributions majeures soient prêtes.
Oui, la formation et la sensibilisation restent essentielles, mais c'est rarement suffisant.
Il y a des formations de programmation spécifiques et obligatoires sur la sécurité pendant le développement pour le shell, Go, Python (et peut-être d'autres langages) dès lors que tu interviens dans des périmètres de sécurité élevés. Ensuite, sur la base du volontariat, c'est possible de suivre ces formations aussi.
Et on a de la sensibilisation (plusieurs heures), aussi.
Pouf pouf, oui voilà. C'est une référence lointaine à ce passage :
C’est à nous, les nantis (je parle aux gens des trois premiers rangs), c’est à nous les nantis, qu’il appartient d’aider nos frères les plus démunis à s’intégrer dans nos rangs.
La coupe est pleine. Prenons-y garde, frères riches. La colère gronde au sein des masses. C’est véritablement un scandale, et probablement une contrepèterie. (Cherchez pas. Y en a pas.)
Oui, par défaut il y a 7 emplacements dans LUKS, et tu peux en avoir plus si besoin.
En l'occurrence, comme pour BitLocker sur Windows, on met une clé de récupération interminable qu'on garde au chaud en cas de besoin. Cette clé est prévue pour se taper pareil sur les dispositions qu'on offre1 (fr, us, gb, ca, es, it, de, pt), mais pas bépo ou ergo-l, pour ne citer qu'elles. Donc dans les 0,01% de cas où on est sur un truc super exotique, on va devoir démarrer sur un système de secours ou réinstaller.
je précise que la longueur de la clé est ajustée par-rapport à la taille du jeu de caractères disponibles, pour obtenir une entropie suffisante. ↩
C'est sûr, plutôt que maintenir un script bash de 20 lignes qui fait une modif locale dans /etc/default/keyboard, on va faire une intégration Jira, des webhooks qui déclenchent un processus avec 200 dépendances, qui va faire des validations en interrogeant le SI, et un petit processus d'intégration continue, qui au final va avoir le droit de faire un commit dans ma base de code et envoyer tout ça en production.
Y'a des cas où c'est totalement légitime d'avoir des processus complexe, je ne dis pas ! Mais franchement, remplacer un traitement local hyper simple par un système distribué... Tu t'es un peu enflammé nan 😘 ?
Par contre oui, on utilise Puppet/OpenVox pour la maintenance des ordis, c'est super chouette.
C'est clair ! Ça resterait le plus simple et le plus convivial en terme d'usage. Voire même pourquoi pas un clavier virtuel, et une option de synthèse vocale pour l’accessibilité dès les premières étapes de démarrage. Je ne me rend pas compte de quelle masse de code ça représenterait à ajouter dans un initrd/grub.
Il y avait eu il y a quelques mois une série d'article sur les problème d'accessibilité sous Linux quand on est en mode restreint, sous le nom I Want to Love Linux. It Doesn’t Love Me Back, c'était pas mal vu.
[^] # Re: On veut plus d'infos
Posté par cg . En réponse au lien Le CERN publie une bibliothèque pour KiCAD de 17 000 symboles de composants électroniques. Évalué à 2 (+0/-0).
Ben c'est des composants électroniques (résistances, condensateurs, des connecteurs, des puces spécialisées). On peut partir du principe que ce sont des composants que le CERN utilise. Ils sont classés par catégorie, c'est déjà pas mal.
Je me suis déjà fait avoir avec des bibliothèques Kicad qui semblaient correctes, mais étaient fausses niveau dimensions. Un peu par frustration et prudence, quand je m'en servais, j'avais pris l'habitude de faire tous les symboles et empreintes moi-même, dès qu'on sortait des trucs très normalisés.
Ça prend du temps, l'avantage était que dans ma bibliothèque de composants, je n'avais que ceux que j'utilisais et non des milliers de références.
# Très déçu
Posté par cg . En réponse au lien divulgation par carotte. Évalué à 6 (+4/-0).
Au lieu de :
Carrot disclosure
Once you have found a vulnerability, you can either sit on it, or disclose it
J'aurai préféré :
Carrot disclosure
Once you have found a carrot, you can either sit on it, or eat it
C'est vendredi, je vais vers la sortie
[^] # Re: Conseil cosmétique subjectif
Posté par cg . En réponse à la dépêche Deming — un SMSI Open Source par et pour des RSSI. Évalué à 6 (+4/-0).
Deming est un outil de pilotage du SMSI... La casquette et les lunettes peuvent faire référence à un aviateur ou une aviatrice, ou un chauffeur/une chauffeuse de locomotive à vapeur.
Quand à l'air légèrement dépressif du chien, cela correspond bien aux personnes qui pilotent la sécurité et la conformité depuis plusieurs années, et qui ont pour devise la sécurité est un échec 😅.
ça aurait aussi pu être quelque chose comme ça, mais l'appli est en Laravel, pas en Rails :
Photo de l'accident de locomotive qui a traversé la façade de la gare Montparnasse en 1895
[^] # Re: La clavier donne déjà une indication
Posté par cg . En réponse à la dépêche Discussions et débats sur l’affichage d’astérisques à la saisie du mot de passe par sudo-rs. Évalué à 3.
Oui, c'est vrai qu'avec le bon filtrage, on arrive à extraire des trucs, et c'est d'autant plus facile quand on connaît la nature de ce qu'on cherche (par exemple : de la voix humaine).
Après, y'a plein de matériaux qui réagissent bien à la voix : les vitres, les plaques de plâtre (bonus s'il y a du polystyrène expansé derrière)... Sans outillage du tout, ou aidé d'un stéthoscope de base, j'arrive sans problème à écouter à travers des cloisons. D'ailleurs c'est bien pénible quand on habite un immeuble centenaire 😅.
Alors avec un piezo à 30 centimes, un ampli et du filtrage, on a que l'embarras du choix !
Ici, et on est d'accord, l'avantage serait d'utiliser la fibre déjà en place (avec le Y optique dont tu parles).
[^] # Re: simple fichier Excel ?
Posté par cg . En réponse à la dépêche Deming — un SMSI Open Source par et pour des RSSI. Évalué à 3 (+1/-0).
Il y a un faux ami bien plus vicieux dans le domaine : "control" qui se traduit par "mesure", et "measure" (ou "measurement") qui se traduit par "contrôle".
D'ailleurs ça un bout de temps que je n'ai pas regardé le code source de Deming, mais il me semble qu'au début du projet, c'était les termes "francisés" qui étaient utilisés, ce qui ne facilite pas la lecture :).
# Pub interne
Posté par cg . En réponse à la dépêche Deming — un SMSI Open Source par et pour des RSSI. Évalué à 4 (+2/-0).
je fais régulièrement un appel du pied à l'équipe qui gère le SMSI là ou je travaille, pour qu'elle regarde Deming. Pour l'instant ça n'a pas abouti, mais je vais continuer :).
[^] # Re: La clavier donne déjà une indication
Posté par cg . En réponse à la dépêche Discussions et débats sur l’affichage d’astérisques à la saisie du mot de passe par sudo-rs. Évalué à 4.
Oui, mais non. Le support "câble de fibre optique" peut être utilisé, s'il est arrangé sous forme de bobinage, ET que tu contrôle le signal qui passe dedans. De la même manière qu'avec un fil de cuivre bobiné et un petit aimant, tu peux faire un micro. Cette attaque ne transforme pas pour autant toutes les fibres en microphone !
On ne peut pas capter de l'audio depuis une fibre droite non préparée, qui passe le long d'un mur entre un routeur et un ordi, par exemple.
Le titre de l'article de Korben est très maladroit.
[^] # Re: Au pays de Candy
Posté par cg . En réponse au lien Des États de l'Union Européenne vendent des logiciels espions à des pays qui violent les Droits humains. Évalué à 2 (+0/-0).
J'ai aussi la bédé mais je ne l'ai pas trouvé l'adaptation réussie.
# Au pays de Candy
Posté par cg . En réponse au lien Des États de l'Union Européenne vendent des logiciels espions à des pays qui violent les Droits humains. Évalué à 8 (+6/-0).
Ça a même parfois été bien documenté.
Le fait que l'on retrouve le fabuleux trio de Nicolas, Claude et Brice dans cette vieille affaire, alors même qu'ils passent dedans les juges en ce moment même pour d'autres faits, s’apprécie comme un refrain familier :).
[^] # Re: Avec plusieurs utilisatrices
Posté par cg . En réponse au journal présentation de netbump, un outil en ligne de commande pour limiter la bande passante (LINUX ONLY). Évalué à 2 (+0/-0).
Merci pour la clarification !
# Avec plusieurs utilisatrices
Posté par cg . En réponse au journal présentation de netbump, un outil en ligne de commande pour limiter la bande passante (LINUX ONLY). Évalué à 4 (+2/-0).
Hello,
dans la documentation, on peut lire :
Y-a-t-il un moyen de dire "Alice ne peut modifier que ses jeux de règles mais pas ceux de Bob" ?
[^] # Re: mise à jour
Posté par cg . En réponse au message Nouvelle faille zero-day Linux « Dirty Frag ». Évalué à 2 (+0/-0).
Oui, c'est vrai, je l'avais pas compris tout à fait comme ça, mais je trouve que ton explication est pertinente. Merci !
[^] # Re: mise à jour
Posté par cg . En réponse au message Nouvelle faille zero-day Linux « Dirty Frag ». Évalué à 3 (+2/-1).
Intéressant, je dirais que ça se discute. Du point de vue du noyau Linux, ce n'est pas une 0-day, car un correctif existe en effet dans git sur la dernière version et les versions LTS.
Du point de vue d'une distribution/un produit qui utilise un noyau Linux, c'en est une, en particulier pour les noyaux qui ne font pas l'objet d'un correctif à la source, et doit être rétroporté.
Qu'en penses-tu ?
# Oui quand même
Posté par cg . En réponse au journal Et ça continue [DirtyFrag]. Évalué à 6 (+4/-0).
Il y a trois modules listés : esp4, esp6 et rxrpc.
RxRPC, je ne connais pas, mais ça semble surtout utile pour AndrewFS (AFS), un système de fichier réseau qui est, je crois, assez confidentiel.
Par contre, ESP, c'est un bout d'IPSec, qui est utilisé dans beaucoup de technos de VPN, donc probablement présent et utile dans énormément de firewalls.
Pour une machine de "particulier", ça semble sans impact de les désactiver en attendant.
Vivement un exploit dans le module ipv4 directement qu'on rigole un peu :).
[^] # Re: Cartographie cloud
Posté par cg . En réponse à la dépêche Mercator — Cartographie de SI Open Source. Évalué à 3 (+1/-0).
Je ne me suis pas exprimé clairement, on dit la même chose :). C'était plus clair en disant : "En cartographiant le service ou le déploiement, et non l'instance particulière ?"
[^] # Re: LLM ou pas LLM ? (attention point Godwin)
Posté par cg . En réponse au journal [HS] [META] Les humains sont-ils courtois avec les IAs ?. Évalué à 2 (+0/-0).
Oui, et là on peut se dire que c'est même une IA qui se situe entre Pangloss et Himmler :
(l'Histoire a prouvé que la résistance est utile)
[^] # Re: Clairement un gros problème côté infra
Posté par cg . En réponse au journal "Cursor et Claude ont supprimé ma prod". Évalué à 2 (+0/-0).
Ce genre de futur ? Structured-Prompt-Driven Development (SPDD)
[^] # Re: Cartographie cloud
Posté par cg . En réponse à la dépêche Mercator — Cartographie de SI Open Source. Évalué à 3 (+1/-0).
Tu cartographies le service ou le déploiement, et non l'instance particulière ?
C'est pas forcément trivial à représenter, en effet. Comment dire "ce truc est déployé via tel code (une conf Terraform par exemple), a temporairement telle forme, mais n'est pas un actif précis".
[^] # Re: Avocat du diable (quel est le risque pour moi ?)
Posté par cg . En réponse au lien [Copy Fail] The same 732-byte Python script roots every Linux distribution shipped since 2017.. Évalué à 4 (+2/-0). Dernière modification le 03 mai 2026 à 11:12.
Hello,
pour ce qui concerne un cas d'usage que j'ai, l'entreprise dans laquelle je travaille fourni des ordis sous Linux aux employé·es, sans accès root. Cette faille leur permet d'obtenir un accès admin pour bricoler un peu ce qu'elles veulent dessus1 , et potentiellement faire des conneries qui auront des conséquences plus tard, ou à un bout de code récupéré sur le net d'obtenir cette accès. Donc oui c'est plutôt super grave en fait :-/.
Heureusement que c'est facile à bloquer - et c'est sans doute pour cette (mauvaise) raison que l'équipe de recherche a révélé la faille sans attendre que les distributions majeures soient prêtes.
C'est plus courant qu'on ne le croit ↩
[^] # Re: Zero Trust
Posté par cg . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 2.
Oui, la formation et la sensibilisation restent essentielles, mais c'est rarement suffisant.
Il y a des formations de programmation spécifiques et obligatoires sur la sécurité pendant le développement pour le shell, Go, Python (et peut-être d'autres langages) dès lors que tu interviens dans des périmètres de sécurité élevés. Ensuite, sur la base du volontariat, c'est possible de suivre ces formations aussi.
Et on a de la sensibilisation (plusieurs heures), aussi.
Oh, y'en a, on y pourra rien.
[^] # Re: Contrepèterie
Posté par cg . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 3.
Pouf pouf, oui voilà. C'est une référence lointaine à ce passage :
Sincèrement désolé :).
[^] # Re: Alors non
Posté par cg . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 3.
Oui, par défaut il y a 7 emplacements dans LUKS, et tu peux en avoir plus si besoin.
En l'occurrence, comme pour BitLocker sur Windows, on met une clé de récupération interminable qu'on garde au chaud en cas de besoin. Cette clé est prévue pour se taper pareil sur les dispositions qu'on offre1 (fr, us, gb, ca, es, it, de, pt), mais pas bépo ou ergo-l, pour ne citer qu'elles. Donc dans les 0,01% de cas où on est sur un truc super exotique, on va devoir démarrer sur un système de secours ou réinstaller.
je précise que la longueur de la clé est ajustée par-rapport à la taille du jeu de caractères disponibles, pour obtenir une entropie suffisante. ↩
[^] # Re: Alors non
Posté par cg . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 4.
C'est sûr, plutôt que maintenir un script bash de 20 lignes qui fait une modif locale dans
/etc/default/keyboard, on va faire une intégration Jira, des webhooks qui déclenchent un processus avec 200 dépendances, qui va faire des validations en interrogeant le SI, et un petit processus d'intégration continue, qui au final va avoir le droit de faire un commit dans ma base de code et envoyer tout ça en production.Y'a des cas où c'est totalement légitime d'avoir des processus complexe, je ne dis pas ! Mais franchement, remplacer un traitement local hyper simple par un système distribué... Tu t'es un peu enflammé nan 😘 ?
Par contre oui, on utilise Puppet/OpenVox pour la maintenance des ordis, c'est super chouette.
[^] # Re: Alors non
Posté par cg . En réponse au journal Des ciseaux à bouts ronds pour gérer nos ordis - Wrappers on Linux Workstations. Évalué à 2.
C'est clair ! Ça resterait le plus simple et le plus convivial en terme d'usage. Voire même pourquoi pas un clavier virtuel, et une option de synthèse vocale pour l’accessibilité dès les premières étapes de démarrage. Je ne me rend pas compte de quelle masse de code ça représenterait à ajouter dans un initrd/grub.
Il y avait eu il y a quelques mois une série d'article sur les problème d'accessibilité sous Linux quand on est en mode restreint, sous le nom I Want to Love Linux. It Doesn’t Love Me Back, c'était pas mal vu.
[^] # Re: Meow MRRP
Posté par cg . En réponse au lien Internet Protocol Version 8 (IPv8). Évalué à 4.
Pour ce document spécifique, le UUoC est fortement recommandé :
C'est par ailleurs LE protocole de choix pour les services en .meow.