Ouch.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Oui cest choupi. Heureusement que le mdp sur grub nest pas super repandu.

Sinon la sequence pour faire marcher lexploit est assez sympa aussi, avec plusieurs boucles de SMC dans la table des vecteurs dirq du mode reel. Cest vraiment un mega bol que ca fasse un truc utile ^^
avatar<<< Kernel Extremist©®™ >>>
Feel the power of (int16) !
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
Folco (./33) :
Aussi fixé dans Debian : https://www.debian.org/security/2015/dsa-3421
il aurait mieux valu le corriger, je pense embarrassed
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
gnagnagna tongue
avatar<<< Kernel Extremist©®™ >>>
Feel the power of (int16) !
Côtoyeur, le chevalier de la langue française. gni (Si on s'attaque au franglais, autant être cohérent. tongue)
avatarMes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité
on ne traduit pas les noms propres embarrassed
zikzak (./35) :
Le firewall corrompu, ça c'est la mega-classe !
http://arstechnica.com/security/2015/12/unauthorized-code-in-juniper-firewalls-decrypts-encrypted-vpn-traffic/
Ah, ils sont quand même taquins à la NSA !
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
"Côtoyeur", j'ai ri grin
avatar<<< Kernel Extremist©®™ >>>
Feel the power of (int16) !
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Hmm ouais, c'est clair que le chercheur est allé trop loin… Mais en même temps, si comme il l'a prouvé, la faille est grave au point de compromettre l'intégralité de la plateforme, ça vaut certainement plus que quelques 2500$ sorry
C'est un peu torts partagé sur ce coup…
avatarLe scénario de notre univers a été rédigée par un bataillon de singes savants. Tout s'explique enfin.
T'as un problème ? Tu veux un bonbon ?
[CrystalMPQ] C# MPQ Library/Tools - [CrystalBoy] C# GB Emulator - [Monoxide] C# OSX library - M68k Opcodes
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Zerosquare (./43) :
(suite de ./35)
http://blog.cryptographyengineering.com/2015/12/on-juniper-backdoor.html
Jouer avec le feu en somme.
To sum up, some hacker or group of hackers noticed an existing backdoor in the Juniper software, which may have been intentional or unintentional -- you be the judge! They then piggybacked on top of it to build a backdoor of their own, something they were able to do because all of the hard work had already been done for them. The end result was a period in which someone -- maybe a foreign government -- was able to decrypt Juniper traffic in the U.S. and around the world.
And all because Juniper had already paved the road.
Oui. Une belle démonstration que laisser des backdoors peut se retourner contre soi, chose que les spécialistes disent depuis longtemps, mais que ceux qui promeuvent les backdoors font semblant d'ignorer.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Sinon, vous pouvez aussi utiliser le maton certifié par l'ANSSI, mais il est tellement cher que ce n'est même pas envisageable cheeky
avatar
Nil (./47) :
Sinon, vous pouvez aussi utiliser le matos certifié par l'ANSSI, mais il est tellement cher que ce n'est même pas envisageable cheeky
ah ? je n'ai toujours vu que ça comme matos grin (ou alors des choses faites intelligemment quand on utilise du Cisco ou du Juniper)
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Que du matos certifié ANSSI ?
Ben au boulot, c'est bien simple, pour le prix d'un Firewall certifié, on a quasi toute l'infrastructure (on a du Cisco et HP) d'un de nos sites. Du coup, c'est vite vu...
avatar
il n'y a qu'a mettre un maton au SMIC pour faire la circulation des paquets (comme dans ton post initial)
Nil (./49) :
Que du matos certifié ANSSI ?Ben au boulot, c'est bien simple, pour le prix d'un Firewall certifié, on a quasi toute l'infrastructure (on a du Cisco et HP) d'un de nos sites. Du coup, c'est vite vu...
un seul firewall ? les arkoon/netasq (enfin, avant leur rachat) ne sont pas si chers que ça, normalement hum
en tout cas, je n'ai toujours vu que de l'arkoon et du netasq (c'est plutôt rare d'avoir un seul firewall)
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
J'exagère en disant que c'est le coût de toute l'infra, mais c'était pas tenable financièrement, c'est sûr, pour couvrir nos besoins actuels. Et on a effectivement regardé côté Arkoon et Netask pour remplacer notre solution Cisco.
En plus, à l'heure actuelle (à moins que ça ait changé ?) il n'y a pas de commuts ni de tête de réseau certifiés, donc n'avoir que le firewall, c'est bien mais sans plus, quoi...
avatar
(Et puis bon, du matos certifié c'est bien beau, mais une certification délivrée par des gens qui ont un intérêt à ce que les équipements soient "observables", voilà quoi... la NSA recommande aussi du matos qu'ils ont backdooré)
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Zerosquare (./53) :
(Et puis bon, du matos certifié c'est bien beau, mais une certification délivrée par des gens qui ont un intérêt à ce que les équipements soient "observables", voilà quoi... la NSA recommande aussi du matos qu'ils ont backdoor)
C'est tout l'intérêt de l'ANSSI : ils sont une agence purement défensive (contrairement aux ÉU où la NSA a les deux casquettes)
Nil (./52) :
J'exagère en disant que c'est le coût de toute l'infra, mais c'était pas tenable financièrement, c'est sûr, pour couvrir nos besoins actuels. Et on a effectivement regardé côté Arkoon et Netask pour remplacer notre solution Cisco.En plus, à l'heure actuelle (à moins que ça ait changé ?) il n'y a pas de communs ni de tête de réseau certifiés, donc n'avoir que le firewall, c'est bien mais sans plus, quoi...
C'est tout à fait envisageable (si on fait les choses bien) d'avoir du Cisco/Juniper à l'intérieur d'un périmètre défini par des Arkoon et des Netasq.
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
flanker (./54) :
C'est tout l'intérêt de l'ANSSI : ils sont une agence purement défensive (contrairement aux ÉU où la NSA a les deux casquettes)
Certes, mais ça reste une agence gouvernementale qui est sous l'autorité des responsables de la défense nationale. S'il est estimé à l'échelon supérieur que la présence d'une faille/backdoor a un intérêt stratégique supérieur aux risques qu'elle génère, ils ne vont pas laisser l'ANSSI communiquer dessus publiquement.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Zerosquare (./55) :
Certes, mais ça reste une agence gouvernementale qui est sous l'autorité des responsables de la défense nationale. S'il est estimé à l'échelon supérieur que la présence d'une faille/backdoor a un intérêt stratégique supérieur aux risques qu'elle génère, ils ne vont pas laisser l'ANSSI communiquer dessus publiquement.
Mais ce n'est pas du tout la même hiérarchie d'une part (le SGDSN n'a aucune autorité sur les services — et réciproquement — et n'a pas de rôle opérationnel), et d'autre part il est important pour l'ANSSI de conserver sa crédibilité s'ils veulent continuer à bosser avec les industriels ^^
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Je veux bien te croire, mais j'imagine mal une agence gouvernementale d'un pays mettre en garde les gens contre une backdoor implantée par une autre agence gouvernementale du même pays (même sans révéler qui est derrière), que ce soit en France ou n'importe où ailleurs dans le monde grin

Ça serait quand même se tirer une balle dans le pied, et je serais surpris qu'il n'y ait pas de mécanismes prévus pour éviter qu'une telle chose se produise.

Quand aux industriels, je pense pas qu'ils soient dupes non plus : on sait que les agences américaines ont demandé des boîtes comme Symantec de whitelister les malwares qu'ils utilisent, les services russes doivent faire pareil avec Kaspersky, etc. D'où l'intérêt de diversifier les sources d'infos et les fournisseurs de solutions de sécurité.
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo
Ça voudrait dire que l'ANSSI serait au courant de ce que font les services, et je trouve ça pas franchement crédible ^^. Au passage, je ne sais pas si l'ANSSI cherche énormément des failles (sauf certains types de matériel qui ne seront pas visés par les services français). Ce n'est pas tellement leur rôle.

Quand la NSA découvre une faille qu'elle garde pour elle, c'est la partie attaquante qui n'en parle pas à la partie défensive.
avatar<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant
Zerosquare (./57) :
Je veux bien te croire, mais j'imagine mal une agence gouvernementale d'un pays mettre en garde les gens contre une backdoor implantée par une autre agence gouvernementale du même pays (même sans révéler qui est derrière), que ce soit en France ou n'importe où ailleurs dans le monde grin
C'est pourtant ce que fait la NSA d'un côté et... la NSA d'un autre grin
avatar
Flan > ils n'ont pas forcément besoin d'être au courant. Ils peuvent trouver un truc de manière indépendante, et recevoir l'ordre par leurs supérieurs de ne pas en parler.

Nil > ouais enfin si la NSA met en garde contre une faille de la NSA (c'est déjà arrivé d'ailleurs ?), c'est parce qu'ils une faille meilleure en réserve tongue
avatarZeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo