Autoblog de sebsauvage.net

Ce site n'est pas le site officiel de sebsauvage.net
C'est un blog automatisé qui réplique les articles de sebsauvage.net

Mise à jour

Mise à jour de la base de données, veuillez patienter...

En vrac

mardi 30 août 2011 à 14:29


Source : http://sebsauvage.net/rhaa/index.php?2011/08/30/12/29/14-en-vrac


Ne disparaissez pas !

lundi 29 août 2011 à 22:29

Rhhaââ... en piochant dans ma vieille liste de liens, je me rend compte que beaucoup de sites intéressants ont disparu. Soit les pages ont été supprimées, soit le site entier, soit c'est le domaine qui n'est plus enregistré. C'est vraiment triste. Certes archive.org arrive souvent à sauver la mise, mais c'est vraiment déprimant.

Si vous ne voulez plus mettre à jour votre site/blog, que vous n'avez plus la motivation, par pitié ne supprimez pas les pages. Fermez juste les commentaires mais laissez les articles en ligne. Ils pourront être utiles à d'autres.

Le jour où mon site ne me motivera plus, je pense que:
  1. Je passerai tout en CreativeCommons.
  2. Je proposerai un zip avec tous les articles pour faciliter l'archivage et la consultation hors-ligne.
  3. Je laisserai le site en ligne en désactivant (voir supprimant) les scripts php d'admin (par sécurité).
  4. Je renouvellerai le nom de domaine pour 10 ou 20 ans d'un coup histoire que ça reste un moment.
  5. J'installerai un ou deux sites miroirs (pour palier aux hébergeurs qui mettent la clé sous la porte)

Mais je n'ai toujours rien planifié au cas où je passerais sous un bus :-. En particulier mes mots de passe (que je suis seul à connaître). Il faudra que j'y réfléchisse.

EDIT: Je pense mettre en place un "dead man switch" (ou "dispositif de l'homme mort"), mais ça pose divers problèmes de sécurité.

Source : http://sebsauvage.net/rhaa/index.php?2011/08/29/20/29/13-ne-disparaissez-pas-


En vrac

lundi 29 août 2011 à 13:01


Trop de choses à voir en ce moment = trop de "En vrac".

Source : http://sebsauvage.net/rhaa/index.php?2011/08/29/11/01/27-en-vrac


Je n'ai pas besoin d'antivirus: Le retour

lundi 29 août 2011 à 10:00

Arg. C'est toujours quand on pense lui avoir enfoncé un pieu dans le cœur, brûlé, coupé la tête et enterré pour de bon que ce zombie revient nous hanter: Je parle bien sûr du "Je-n'ai-pas-besoin-d'antivirus-je-fais-attention".

Rien de personnel contre Le Petit Marocain, mais là c'est un gros FAIL. Lisez juste ma réponse. Je la recopie ici pour utilité publique.

« La plupart des menaces de sécurité peuvent être traitées par simple fait d'être attentif aux détails »
« photos, films et textes ne sont pas des fichiers exécutables, par conséquent, ils ne posent aucun dommage. »
« vous êtes assez sûr si vous ignorez les fichiers EXE et utiliser uniquement les mp3 ou les avi »

OMG. FAIL.

ça fait peur. Ta vision de la sécurité informatique a bien 10 ans.

Il suffit de voir les failles dans le passé:

- Failles Flash, PDF, Java = infection en affichant une page web.
- Failles libpng = infection en chargeant un simple fichier png (oui dans les navigateurs, ou dans Office, ou n'importe quoi d'autre).
- Faille Windows Media Player = infection en lisant une vidéo WMV (corrigée depuis)
- Faille VLC = exécution de code en lisant une vidéo.
- Faille IE = infection en chargeant une URL (code malveillant directement dans l'URL)
- Faille Outlook = infection de l'ordinateur simplement en affichant le mail (sans même besoin d'ouvrir l'attachement)
- Faille dans les DLL lisant les vidéo (libavcodec et autres): infection en lisant une vidéo malveillante (dans tous les logiciels utilisant ces DLL, y compris des logiciels comme Nero)
etc.

Ces failles ont été corrigées, mais il y en aura d'autres.
Ne fait attention qu'aux fichiers, c'est rater 90% des vecteurs d'infection actuels.

Exemple 1:
Si tu pense que je pipote, regarde juste la page des corrections de VLC:
http://www.videolan.org/developers/vlc/NEWS
Tu y trouvera un truc du genre : "remote code execution".
ce qui veut dire: "infection rien qu'en lisant une vidéo".

Exemple 2:
Un autre exemple ? Chez Microsoft: Infection simplement en lisant une vidéo spécialement malformée: http://technet.microsoft.com/en-us/security/bulletin/MS09-051

Exemple 3:
Les MP3 c'est forcément sans danger ?
Faille chez Microsoft: http://technet.microsoft.com/en-us/security/bulletin/MS10-052
Lis un MP3, t'es directement infecté.

Ce genre de faille, on en retrouve dans tous les logiciels.

Donc: faire juste attention aux fichiers = FAIL.

Ne manipuler que des fichiers non-éxecutables = FAIL.

Faire confiance à ses amis pour qu'ils n'aient que des fichiers sains = FAIL.
Faire confiance à certains site web = FAIL (régies de pub infectées, site gouvernementaux infectant les PC...)

« si le CD de l'album des RHCP est neuf acheter au magasin la il n'y aura logiquement rien à craindre. »

FAIL:
CD infectés dans les magazines, CD infectés distribués par les fabricants même d'ordinateurs, etc.
Oh... et les CD de musique de Sony qui t'installent un chouette rootkit, aussi, dont les fonctionnalités peuvent ensuite être exploitées pour masquer des fichiers malveillants.

Ce n'est pas une attaque contre toi, mais vraiment c'est un gros FAIL.


Mise à jour 30 août 2011: La discussion se termine par ce commentaire du Petit Marocain:

Tant qu'il y'a pas de dégâts matériel, d'écran qui se fige, de problèmes de démarrage, problèmes d'extinction, lenteur atroces, bruit sonores de fond sur mon OS, pop-up ou tout autre genre de PUB d'infections, problème de pilote ou tout autre problème RÉELLEMENT VISIBLE, je m'en fou carrément de ce qui pourrait arriver d'autres.

Tant que l'infection n'est pas visible au premier plan, je n’en ai rien à battre.

Bon là, je crois que c'est l'argument massue. Je n'ai plus d'argument à avancer. Ça ne sert à rien.

J'abandonne :-[

Source : http://sebsauvage.net/rhaa/index.php?2011/08/29/08/00/44-je-n-ai-pas-besoin-d-antivirus-le-retour


En vrac

vendredi 26 août 2011 à 16:57


Bon week-end à tous !

Source : http://sebsauvage.net/rhaa/index.php?2011/08/26/14/57/07-en-vrac


En vrac

jeudi 25 août 2011 à 11:34


Source : http://sebsauvage.net/rhaa/index.php?2011/08/25/09/34/41-en-vrac


Blogs bidons

jeudi 25 août 2011 à 10:14

Ah le plaisir de regarder ses logs Project Honeypot.

173.234.211.101 est venu massivement balayer mes URLs (Changer constamment ton User-Agent ne sert à rien, guignol). C'est un spammeur de commentaire qui fait sa pub, par exemple pour cette nullité (http://www.squidoo.com/gagner-argent-facile-sur-internet):

Il a d'autres sites: http://www.squidoo.com/lensmasters/Vontage

Bref, l'archétype du feignant qui essaie de gagner de l'argent facilement avec internet en montant des blogs bidons bourrés de pub. Je hais ce genre de pollueur.

Source : http://sebsauvage.net/rhaa/index.php?2011/08/25/08/14/54-blogs-bidons


Le hasard est une chose difficile pour un ordinateur

jeudi 25 août 2011 à 09:32

Vous ne le savez peut-être pas, mais générer de vrais nombres aléatoires sur un ordinateur est une tâche ardue. En fait, c'est tout simplement impossible: L'ordinateur est une machine par nature déterministe, il ne peut donc pas y avoir d'aléa (Oui je sais, ça paraît difficile à croire quand on voit tous les plantages auxquels on est soumis.). Les programmeurs débutants ont presque tous eu affaire à ce problème en programmant "Devinez un nombre": C'était toujours la même série de nombres qui sortait quand on démarrait le programme.

Ceci est très problématique pour la sécurité: La majorité des protocoles cryptographiques (SSL/HTTPS/chiffrement VOIP...) ont besoin de nombres vraiment aléatoires, impossibles à prédire, pour chiffrer les données et sécuriser les communications.

Alors on ruse: On prend la date, la charge du CPU, ce qui passe sur le réseau, les frappes clavier, les déplacements de la souris et on mélange tout ça par un programme qui sort des nombres à peu près aléatoires (On dit "pseudo-aléatoires"). Mais on peut encore trouver des corrélations, des biais... bref des moyens de prédire avec une certains précision la suite de nombres.

Pour parer à cela, certains s'étaient amusés à filmer des lava-lampes avec une webcam pour produire des nombres aléatoires: La circulation des fluides étant très difficile à prévoir (cf. la météo), c'était une assez bonne source de nombres aléatoires. Même si c'est amusant, avouez qu'avoir des lava-lampes sur votre bureau n'est pas très pratique (et je ne parle pas des ordinateurs portables).

Alors comment obtenir de vrais nombres aléatoires ?

En 1999, Intel avait inclus dans ses processeurs un générateur de nombres aléatoires basé sur le bruit généré par le mouvement brownien dû à la chaleur du processeur. Mais c'était un circuit analogique à la base, qui consommait trop de courant. Intel a bossé dur et a sorti un nouveau système entièrement digital, consommant moins de courant, mais influencé également par le "bruit thermique". Il est capable de générer un bit aléatoire (0 ou 1) à chaque cycle d'horloge, autrement dit il génère 3 milliards de bits aléatoires par seconde, ce qui est assez formidable.

Notez que certaines sociétés vendent également des cartes d'extension spécialisés pour PC pour générer des nombres aléatoires. Selon les fabriquants, ces systèmes utilisent:

Aussi curieux que cela puisse paraître, le hasard est difficile à obtenir, mais indispensable pour la sécurité.

L'intérêt pour vous de ces progrès ? Une meilleure sécurité de vos communications.


EDIT: Guillaume me signale également une clé USB, ainsi que cette excellente page qui mesure la qualité de différents générateurs de nombres aléatoires et pseudo-aléatoires. La colonne à regarder est l'entropie. Dans ce test, elle doit tendre vers 8. Je suis content de voir que le bon vieux ISAAC (que j'avais ré-implémenté en Delphi il y a bien longtemps) a une bonne entropie comparé aux autres, et même meilleure que des solutions commerciales à 1000 dollars (avec en prime des débits supérieurs). (PS: Ce n'est pas moi qui ai inventé l'algo ISAAC, hein.).

Source : http://sebsauvage.net/rhaa/index.php?2011/08/25/07/32/33-le-hasard-est-une-chose-difficile-pour-un-ordinateur


Le Hollandais Volant aussi viré de Google AdSense

mercredi 24 août 2011 à 22:21

Pareil que moi: Il a respecté les règles, il a joué le jeu... et s'est fait virer comme un malpropre, sans explication, sans recours.

Merci Google.

Source : http://sebsauvage.net/rhaa/index.php?2011/08/24/20/21/32-le-hollandais-volant-aussi-vire-de-google-adsense


En vrac

mardi 23 août 2011 à 09:51


Il fait trop chaud (qui a dit "pour travailler") ?

Source : http://sebsauvage.net/rhaa/index.php?2011/08/23/07/51/42-en-vrac