1650

Et encore, il ne teste que des processeurs Intel >= Haswell, qui disposent au moins de INVPCID, qui réduit davantage l'overhead de KPTI que le seul PCID (>= Sandy Bridge) ne le permettait.
Les processeurs les plus anciens qui avaient reçu des mises à jour de microcode offrant quelques mitigations pour les premières vulnérabilités publiées liées à l'exécution spéculatives ou à d'autres side channels, à savoir certains processeurs de la première génération Core i* et tous les processeurs >= Sandy Bridge (que je sache), n'ont pas reçu de mitigations pour certaines vulnérabilités publiées plus récemment. Les Haswell, voire les Broadwell un peu plus récents (dont certains modèles disposent de SMAP, qui améliore un peu l'isolation kernel space / user space - chez AMD, seuls des processeurs beaucoup plus récents que les Broadwell offrent SMAP, hélas), doivent maintenant représenter ce qui se fait de plus ancien qui soit encore (un peu) maintenu par Intel...

Même les Haswell ne reçoivent plus de mises à jour du firmware ME depuis quelques temps déjà, alors que certaines des failles critiques dans des versions plus récentes de ces firmwares sont probablement également présentes dans les versions non maintenues.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1651



ça va être un sacré bordel pour faire l’inventaire de ce qui a été modifié et pour essayer de choper logciels et matériels espions qui ont peu être déposés/installés. J'aimerai pas taffer à l'IT du Capitole là!
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1652

ces gens sont trop abrutis pour avoir touché a l'info. ils sont au niveau du flingue et de la pipe bomb, l'IT c'est pas leur truc.

comme le dit @foone sur twitter normalement toutes les stations admin US sont lockées automatiquement par carte a puce. il faudra surtout comprendre si c'était vraiment celui de pelosi (on peut en douter), et pourquoi il n'a pas été bloqué.

1653

C'est une conception des choses, pour ma part je suis sûr qu'il y a eu des opportunistes qui ont placés 2-3 trucs. Et même si ce n'était pas le cas ça servira toujours d'excuse pour attribuer les fuites de documents sensibles (obtenus autrement) à cette intrusion.
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1654

c'était surtout des ordis non critiques apparemment

1655

Je veux bien le croire, mais d'un autre côté, à chaque fois qu'un truc se fait hacker on a droit exactement au même couplet : "c'est rien du tout, ça ne concerne qu'une toute petite portion des données, y'a aucun risque concret"... alors bon grin
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1656

Bin a priori, il n'y a pas de raison d'avoir énormément de choses vraiment critiques ou classifiées, un peu comme à l'Assemblée nationale ou au Sénat en France.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1657

Normalement... mais ce n'est pas à toi que je vais expliquer qu'en pratique, ce n'est pas si rare que des informations potentiellement sensibles se retrouvent sur des systèmes qui ne sont pas censés en contenir hehe
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1658

Certes, mais structurellement les députés et les sénateurs n'auront quasiment pas accès aux infos sensibles (en gros, tu as les membres de la CCSDN, de la DPR et de la CNCTR), et encore moins de documents classifiés.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1659

Oui et surtout qu'apparemment les rares bécanes marquées comme ayant accès à des infos classifiées étaient dans des zones différentes et n'ont pas connu d'intrusion apparemment. Après on est d'accord, c'est pas parce que c'est bien organisé en silo que certaines données classifiées ne se retrouvent pas sur des ordis normaux. Loin de moi l'idée d'être alarmiste, mais c'est juste un vecteur supplémentaire (après l'IT c'est une chose, mais refaire toutes les boiseries et les verreries cassées ça va être le plus gros du taff j'ai l'impression).
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1660

et puis bon, un ⊞ + L avant d'évacuer c'est pas la mort non plus, si ?

un mec qui quitte un plateau sans verrouiller son poste, il se fait croissanter dans beaucoup de boites...
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

1661

vince (./1660) :
un mec qui quitte un plateau sans verrouiller son poste, il se fait croissanter dans beaucoup de boites...

Dans la mienne ça gueulait car il y en a certains a qui la récurrence des méfaits commençait à faire un budget viennoiserie non négligeable. Du coup par soucis d'équité financière et ne souhaitant pas abandonner la technique du bâton qui, malgré tout, porte ses fruits (plus difficilement chez certains, soit) j'ai introduis le choix entre payer les croissants ou taffer avec ce clavier (azerty) à membrane pendant une journée entière :

Dura_Gadget_Kids_Keyboard__48306.1543518690.jpg

Et bien ceux qui ont tenté d'échapper aux croissants avec cette dernière solution on compris leur douleur et ont soit arrêté de laisser leur poste déverrouillé, ou sont revenus aux croissants sans moufter grin
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1662

grin
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1663

https://www.nextinpact.com/lebrief/45309/telegram-peut-exposer-position-exacte-sous-certaines-conditions :
C’est la découverte du chercheur Ahmed Hassan. Le problème réside dans la fonction « Personnes à proximité », que l’on trouve en haut de la section Contacts.

Cette fonction permet, une fois active, d’afficher les utilisateurs de Telegram proches. À travers l’application, il est impossible de savoir où sont ces personnes, car elle ne les pointe pas sur une carte. Elle affiche seulement une liste de contacts avec une distance relative.

Cependant, l’application reçoit bien la position de l’utilisateur, même si elle ne la diffuse pas. Le chercheur a donc montré qu’avec un appareil Android rooté et quelques outils, on pouvait afficher de fausses positions pour forcer Telegram à mettre à jour les distances. On peut alors obtenir la position de la personne visée par triangulation.
Ce n'est pas la première fois que ça arrive. Une appli de rencontres avait exactement la même faille.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1664

Classique. Ceci dit si tu utilise une telle fonctionalitée, il faut s'y attendre....
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1665

vince (./1660) :
et puis bon, un ⊞ + L avant d'évacuer c'est pas la mort non plus, si ?

un mec qui quitte un plateau sans verrouiller son poste, il se fait croissanter dans beaucoup de boites...

Ça dépend de la classe d'attaquant, bien sûr, mais théoriquement on considère que ça ne change rien : s'il y a eu accès physique, il y a eu compromission possible du poste.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1666

Cette histoire de chocoblast est effectivement bien en vigueur chez nous (affichée dans le bureau). Mon chef peu habitué a déjà eu droit 2x (mais bon c'est dur de profiter des croissantines en période de confinement et télétravail à 50% ).
Pour les utilisateurs, je me tâte à mettre un lock sur inactivité à genre 10mins, mais c'est pas simple (effets secondaires à anticiper, et je vous parle pas des commerciaux). Sinon bin faut faire de la pédago à gogo (tout le monde y passe depuis 1 mois love et j'ai de bons retours).

Un des collègues les plus geeks que j'ai eus avait un un raccourci clavier qui bloquait son écran sans le quitter. C'était improbable, à 3x admins on arrivait pas à déverouiller son poste gni ! J'ai même pas su comment il verrouillait/déverrouillait pour finir.
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

1667

La pédagogie ne marche pas toujours aussi bien que voulu... j'ai vu par contre des boites où c'est la hiérarchie/le rssi/les RH qui faisaient le rappel à l'ordre et dans ce cas, les gens prennent vachement plus vite les réflexes... En vrac : limitation du compte (pas d'accès au net entre autres) parce que user pas fiable, sermon parce que risque sécurité toussa, avertissement de l'employeur par les rh, motif de refus de primes/augmentations (méconnaissance des règles de sécurité), formation "imposée" sur le thème de la sécurité en lieu et place des souhaits de l'employé, etc...
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

1668

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1669

la solution c'est le badge tatoué sur le cul et le lecteur de badge sur la chaise.

1670

Ouais ben on te laisse essayer en premier tongue
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1671

C’est pas con n’empêche trilove

1672

Oui c'est pas con, c'est cul!
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1673

La version soft, c'est la carte à puce qui est indispensable pour le reste (par exemple pour badger dans les locaux). C'est un peu le cas pour la police nationale, par exemple : la carte pro sert pour s'authentifier sur le réseau.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1674

même chez leroy merlin et darty ils font du login par cartapuss.

1675



Si c'est vrai, c'est moche, très moche.

Il y a des têtes qui vont tomber.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1676

squalyl (./1674) :
même chez leroy merlin et darty ils font du login par cartapuss.
Oui, mais je doute sincèrement que les employés tiennent autant à leur carte qu’un policier à sa carte de police (c’est une faute grave de la perdre).
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1677

./1675 c'est vrai sur la partie récupération des données, mais pas sur la partie création de compte admins. En effet apparemment l'API était publique et l'accès aux données se faisait via des ID incrémentaux et non aléatoires. Le compte twitter donk_enby détaille tout ça.

EDIT: Ars Technica vient de publier un article sur le sujet qui résume bien tout:
Parler’s amateur coding could come back to haunt Capitol Hill riotersArs TechnicaSome 80 terabytes of posts, many already deleted, preserved for posterity.
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

1678

Autant beaucoup d'erreurs ont été faites, autant l'auteur de l'article ne se prive pas pour casser du sucre sans forcément comprendre de quoi il/elle parle. Ne pas effacer physiquement les messages c'est un choix technique, probablement mauvais, mais ça serait idiot de penser que c'est une erreur d'un "mauvais codeur". Même chose pour les ids incrementaux, la majorité des sites leake exactement le même genre d'info (y compris yN) sans que ce soit nécessairement une faille de sécurité à partir du moment où les permissions sont respectées (ce qui n'avait pas l'air d'être le cas ici, certes).

Comme c'est souvent le cas ces jours-ci, j'ai l'impression qu'il y a une volonté de s'acharner qui dépasse la simple information sur les faits, c'est dommage.
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

1679

En gros, 80 To de conversations personnelles rendues publiques sur un site qui se bat pour conserver les contenus illégaux. Ça ne semble pas gêner l'auteur outre mesure…
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1680

Zeph (./1678) :
Autant beaucoup d'erreurs ont été faites, autant l'auteur de l'article ne se prive pas pour casser du sucre sans forcément comprendre de quoi il/elle parle. Ne pas effacer physiquement les messages c'est un choix technique, probablement mauvais, mais ça serait idiot de penser que c'est une erreur d'un "mauvais codeur". Même chose pour les ids incrementaux, la majorité des sites leake exactement le même genre d'info (y compris yN) sans que ce soit nécessairement une faille de sécurité à partir du moment où les permissions sont respectées (ce qui n'avait pas l'air d'être le cas ici, certes).

Comme c'est souvent le cas ces jours-ci, j'ai l'impression qu'il y a une volonté de s'acharner qui dépasse la simple information sur les faits, c'est dommage.

Oui enfin Yn c'est un forum public donc les ID incrémentaux ce n'est pas un soucis ! Pour le reste on est d'accord que l'article est à charge, mais le fond est bien que pour un système privé il y avait quand même des failles qui auraient pu être corrigées si l'accent avait été mis sur la sécurité dès le départ.
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD