1710

Flan: pas que je sache?
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1711

Lionel Debroux (./1709) :
Et puis tu trouves tellement de machines avec des sudo mal configurés (NOPASSWD, etc.) par défaut...
C’est tout un débat sur le NOPASSWD, vu que ça impose de définir un mot de passe pour le compte.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1712

A mon sens, NOPASSWD est pratique pour certaines opérations automatiques, mais au-delà de ça, c'est une mauvaise chose pour la sécurité. Et comme j'imagine que distinguer un appel interactif d'un appel batch n'est pas toujours faisable de manière fiable ou portable, on ne peut pas proposer l'un sans laisser la porte ouverte à l'autre.

Ce qui me fait le plus râler, ce sont les machines produites par certaines infrastructures comme cloud-init - au moins dans certaines conditions - où le login de base est configuré comme:
xyz ALL=(ALL) NOPASSWD:ALL
Ce compte-là peut donc faire un simple
$ sudo -i
pour obtenir un prompt # sans même rentrer un quelconque mot de passe. On ajoute donc une LPE directe à une ACE/RCE sur ce compte-là, qui ne devrait pas certes tourner des services si c'était bien fait, mais on sait tous comment ça se passe en pratique. Et donc, dans le cadre d'une infrastructure à base des faibles conteneurs Linux, c'est en sus un container escape, puisque le root dans un conteneur doit être considéré comme équivalent root sur le host.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1713

NOPASSWD est discutable, mais peut etre utile pour certaines commandes si elles doivent etre executé avec un utilisateur précis, et on un scope limité. Apres demande le mot de passe utilisateur n'est pas un mal.


Donner NOPASSWD a tous pour tout est pour le coup complétement idiot. Utilise NOPASSWD n'est acceptable que avec des commandes particuliere, voir avec des options particulieres
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1714

Godzil (./1713) :
NOPASSWD est discutable, mais peut etre utile pour certaines commandes si elles doivent etre executé avec un utilisateur précis, et on un scope limité.
Encore faut-il que l'utilisateur ait un mot de passe cheeky (et ça reste un moyen efficace pour être sûr qu'il ne se connectera pas en console directement).
Faudrait que je regarde pour faire du sudo via carte à puce over SSH avec p11-kit.

Apres demande le mot de passe utilisateur n'est pas un mal.
Donner NOPASSWD a tous pour tout est pour le coup complétement idiot. Utilise NOPASSWD n'est acceptable que avec des commandes particuliere, voir avec des options particulieres
C'est sûr qu'il faut bien border le truc ^^
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1715

https://www.nextinpact.com/lebrief/45830/importante-vulnerabilite-dans-bibliotheque-libgcrypt-mise-a-jour-recommandee
La bibliothèque cryptographique est notamment utilisée dans GnuPG pour le chiffrement des données. Une faille sérieuse y a été découverte par Tavis Ormandy de l’équipe Project Zero de Google.

La faille est de type dépassement du tas (heap overflow), ou plus précisément un dépassement de mémoire tampon dans le tas, c’est-à-dire la zone de mémoire dynamique allouée à un programme pour son exécution.

Cette brèche n’existe que dans la version 1.9.0 de la bibliothèque. Selon GnuPG, elle serait apparue dans son développement il y a deux ans. L’équipe a très vite réglé le problème et propose depuis une mouture 1.9.1.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1716

\o/
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1717

Who is to blame for the malicious Barcode Scanner that got on the Google Play store? - Malwarebytes LabsMalwarebytes LabsLavaBird claims it was not them who is responsible for uploading malicious versions of Barcode Scanner, but an account named The space team.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1718

12 ans ?

A Windows Defender vulnerability lurked undetected for 12 yearsArs TechnicaMicrosoft patched the bug in its A/V program after researchers spotted it last fall.

1719

différence importante:
SU demande le mot de passe de l'utilisateur demandé.
SUDO demande le mdp de l'utilisateur actuel




le CNAME tracking, c'est le mal
Large-scale Analysis of DNS-based Tracking Evasion - broad data leaks included?Security, Privacy & Tech InquiriesUser tracking technologies are ubiquitous on the web. In recent times web browsers try to fight abuses. This led to an arms race where new tracking and anti-tracking measures are being developed. The use of one of such evasion techniques, the CNAME cloaking technique is recently quickly gaining popularity. Our

1720

Je vais finir par croire que Gemini c'est pas si mal si ça continue.

1721

1722

Une vulnérabilité basée sur l'exploitation d'un side channel par du HTML/CSS pur (sans JS) :
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1723

Oui enfin c'est un point de l'étude complete, et ca ne remplace pas les autres méthodes.

Ca ne marche de maniere satisfaisant que sur 1 des 4 cibles de tests, une moyennement et pas du tout sur les autres.

mais ca reste o_o
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1724

flanker a été invité sur ce sujet.

Un client m'a envoyé des fichiers chiffrés avec ce machin :
Conteneurs chiffrés, créer des valises diplomatiques - ZED!PRIM'XZED! permet d'échanger par conteneurs chiffrés des fichiers et dossiers sensibles protégés par mot de passe ou certificat, tel une valise diplomatique.


Le site web de la boîte dit qu'ils sont homologués par l'ANSSI. Tu en as déjà entendu parler ? Si oui, c'est sérieux ou pas ?
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1725

Il utilisent ça au CNES.
avatar

1726

Oui, c'est tout à fait sérieux smile Prim'X a pas mal de produits intéressants, pour chiffrer des conteneurs ou des disques complets.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1727

C'est quoi leur truc? En gros trucrypt?

"PRIM’X a développé et commercialise des logiciels de chiffrement de nouvelle génération. Ils utilisent la technique dite de « chiffrement à la volée » et se base sur une technologie d’interception à bas niveau des accès aux fichiers mise au point par la société."

Pour moi la description c'est la meme chose que trucrypt/bitlocker/filevault quoi.

Mais je ne trouve aucune info sur leur truc, perso la crypto boite noire bof bof...
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1728

C'est de la crypto classique, mais avec un tampon de l'ANSSI oui
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1729

Je ne trouve aucune info claire sur leur site web, c'est de la boite noire pour moi.

Pas d'article sur wikipedia.

Je ne dit as qu'il ne sont pas sérieux, je dit juste que j'ai moyen confiance dans du chiffrement boite noire.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1730

Uther, Flan > D'accord, merci pour l'info !

Godzil > Il est indiqué sur leur site que ça utilise AES 128 et 256 bits (je me suis posé la même question que toi).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1731

Perso, j'ai plus confiance quand l'ANSSI dit que c'est utilisable dans un cadre donné que dans un code open-source qui potentiellement n'a été regardé par personne.

De plus, les administrations n'ont simplement pas le choix : pour les échanges, ce sont des solutions qualifiés ou certifiées par l'ANSSI et rien d'autre.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1732

(tu vas pas me faire croire que tu n'as pas lu chaque ligne qui s'exécute sur tes machines quand même tripo)

1733

shhh
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1734

Godzil (./1727) :
Pour moi la description c'est la meme chose que trucrypt/bitlocker/filevault quoi.
Ils ont plusieurs produits, ZoneCentral pour chiffrer des fichiers ou des dossiers individuellement (comme la case « chiffrer » dans l'explorateur Windows, si je me souviens bien), Zed! pour envoyer des archives chiffrées avec du chiffrement asymétrique (si je ne me trompe pas) et Cryhod pour du chiffrement intégral de disque (pour avoir un peu plus confiance qu'en Bitlocker, et avec plus de possibilités).
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1735

Avoir plus confiance a quel niveau?

Tu pense que microsoft/NSA/CIA/Whatnot a aces a des clefs maitres pour bit locker? grin
J'en doutes.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1736

Pas besoin de clés maîtres spécifiquement pour Bitlocker quand un certain nombre de TPMs, sur lesquels Bitlocker se reposait, ont de grosses vulnérabilités, comme celles qui avaient été publiées il y a quelques temps smile
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1737

Pas vraiment la faute de bitlocker si le hardware est défaillant.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1738

Hardware ou firmware, puisqu'il existe des TPMs firmware ("fTPM") sans secure element dédié. Je l'ignorais jusqu'à assez récemment.
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1739

Mais du coup, quel est l'intérêt du point de vue sécurité ?
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1740

Aucun?
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.