cg a écrit 1745 commentaires

C'est chouette, bravo bravissimo !

Oui sur le fond, mais comment gérer les problèmes des abus? Par exemple les gens qui vont chez 36 médecins jusqu'à trouver un qui fait ce qu'ils veulent (et oui ça existe)

Faut voir : le coût actuel du contrôle est-il supérieur au coût qui serait engendré par les personnes qui aiment être malade si on les laissait faire ? (je pense que oui, mais je n'ai pas de chiffres).

quiconque manipule des pièces nues sous tension

Passé un léger trouble hormonal occasionné par la lecture de ce passage ;), peux-tu décrire ce qui est considéré comme une pièce nue ? J'ai fait un peu d'électronique (conception/fabrication de cartes) à un moment, ça m'interpelle. Merci d'avance !

Funix a fait une super série de journaux sur le sujet.

Perso, suite à ces journaux, j'ai mis mes données chez Infomaniak (dans Swiss Backup) avec rclone chiffré (et copie de la clé de chiffrement dans bitwarden). Et j'ai un disque USB caché dans la litière du chat (mais chut c'est un secret).

Comme ça je peux récupérer mes données même en perdant mon ordi.

je ne crois pas déjà avoir vu un disque dont le moteur a lâché (on entend toujours le disque tourner). Après je dépanne plutôt des ordinateurs, donc les disques sont différents. Avez-vous d'autres expériences que moi là-dessus ?

Après chaque coupure de courant, sur mes baies non secourues en courant (environ 250 serveurs de calcul, qui peuvent se permettre de casser à tout moment), je dois remplacer quelques disques durs.

Chez mes employeurs précédents, pareil après une extinction totale pour maintenance. C'est pire sur des disques qui ont eu "chaud" (local mal climatisé ou surchauffe temporaire suite à une panne de clim).

Après, j'ai aussi quelques disques qui ont plus de 100000 heures de fonctionnement (~11 ans !) et vont très bien.

Est-ce que les composants électroniques d'un serveur (autres que les disques) s'usent plus au démarrage / en fonctionnement / en sortie de veille

Voir ceci : Courant d'enclenchement (en anglais : Inrush current).

Sur des ordinateurs qui ne sont pas vraiment éteints quand ils sont éteints, le phénomène est sans doute limité, ceci-dit !

Si j'ai bien compris, l'idée est d'ouvrir le vote à une grande partie des membres de la FSF.

Pour aller un peu plus dans le détail, il y a plusieurs réponses à ta question.

---

Réponse 1 :

Sur un serveur, tu vas souvent avoir un module de gestion du système qui ne s'éteint pas : le Board Management Controller (BMC). Sur les Dell c'est l'iDRAC je crois. Ça permet par exemple d'accéder à la console en réseau par une adresse IP séparée de celle de l'OS, éventuellement sur un câble dédié. Ça permet de gérer le serveur à distance : mettre à jour le BIOS, monter des clés USB par le réseau, voir la console, allumer/éteindre/reboot même quand le système est planté, gérer le retrait et l'insertion d'une alimentation à chaud, etc…

On peut imaginer que le BMC possède une RTC ou en émule les fonctions. Et comme il ne s'éteint pas tant que les prises de courant sont branchées, ben il peut allumer le reste de l'ordi.

---

Réponse 2 (cas plus général je pense) :

Une puce RTC, c'est un petit composant électronique assez cher (1€), qui permet d'avoir l'heure, de gérer des alarmes, des comptes à rebours. On y accède par un bus série type I2C, entre autres possibilités.

Par exemple, le MAX31341 est une RTC fabriquée par Maxim. Dans la doc, les pages 1, 7 et 8 donnent une idée du truc. Page 23, les registres de la première alarme sont décrits (c'est ce qu'on programme via le bus I2C).

La doc du kit d'évaluation de ce composant RTC donne une idée de comment le mettre en œuvre, et de le repérer sur une carte mère. Sur la photo en page 1, la RTC est le petit carré noir avec marqué "U1" à côté (c'est pas que j'ai des bons yeux, c'est que c'est marqué page 11 et page 12 :D).

Dans ce cas, on peut imaginer que la puce RTC va envoyer un signal "Allume toi" (équivalent de l'appui du bouton POWER ON du châssis, en gros) à la carte mère (selon la norme ATX j'imagine).

---

Il y a sans doute d'autres réponses possibles, en fonction des cas (par exemple le CPU contient une RTC directement). J'ai approximé, mais je ne suis pas un spécialiste du sujet :D.

L'article avance aussi le fait que les logiciels malveillants sont plus faciles à développer et que les pirates n'ont plus besoin de compétences avancées en programmation, car ils peuvent acheter du code malveillant prêt à l'emploi, l'adapter à leurs besoins avec un peu de codage, et créer un type de logiciel malveillant entièrement nouveau.

En effet, il faut savoir que l'image du mec en hoodie dans son garage est totalement éculée. Le malware est organisé en une industrie, une mafia comme une autre quoi. Il y a même des plateformes de Malware as a Service, Spam as a Service…

Pour acheter les failles de sécurité, les éditeurs de logiciels peinent à être au niveau de ce qu'offre le marché noir en terme de rémunération.

Attendu que :

1. les disques durs mécaniques n'aiment pas du tout démarrer (les moteurs grillent à l'allumage en général) ;
2. L'électronique vieillissante de la gamme Tx10/Rx10 va aussi apprécier moyennement ;
3. Le consensus actuel est que c'est la fabrication du matériel qui est polluante et non pas son utilisation ;
4. Changer un disque dur, c'est fabriquer du matériel ;

il faut voir si c'est rentable écologiquement et financièrement de faire l'allumage et l'extinction tous les jours. Peut-être que seulement le week-end, pendant 2,5 jours, serait un meilleur équilibre, par exemple ?

(et merci pour les infos sur ACPI Wakeup, je ne connaissais pas !)

Merci pour les explications. J'avais cherché dans Help, sans succès. Je pense que si ces infos sont indiquées sur le site, ce serait vraiment plus clair et rassurant.

Par exemple dans la page about :

Create an account to save your list and keep your filters current (not required)

En tout cas je comprend mieux l'initiative. Merci grandement !

C'est vrai, je dois pouvoir la faire chauffer doucement, pour la tordre jusqu'à former un anneau. :-D

C'est crédible en effet :D

Arf ;).

Désolé, quand j'ai lu "anneau" j'ai pensé à un description un peu étrange du coil qu'on trouve dans les tags NFC. Je ne savais pas que ça existait vraiment sous forme d'anneau.

Je me tiens corrigé (I stand corrected) ;).

Les Yubikey NFC semblent correspondre : "The YubiKey NEO has USB 2.0 and NFC interfaces. All of the applications are available through these interfaces. The NFC interface also supports MIFARE Classic 1k."

En effet, merci pour la précision.

Ceci dit, je trouve assez naturel et attendu que les plateformes basées sur l'écosystème Linux (et/ou GNU/Linux) deviennent "rentable" du point de vue du développeur de malware : Linux n'est plus cantonné aux serveurs depuis longtemps, et les objets connectés sont nombreux à être mal/pas maintenus.

Mais comme tu dis, il y a de la marge ;).

Merci pour cet usage de uBlock, je ne connaissais pas !

À noter, car ça m'a dérouté : le site Let's block it insiste un peu pour que le visiteur crée un compte, mais ce n'est pas nécessaire pour utiliser les filtres générés.

Dans le genre, il y a eu L'art et la science dans Alien (Ed. La Ville Brûle) pour les 40 ans du film. C'est plusieurs textes sur l'univers d'Alien, le premier texte est une étude anatomique assez passionnante (j'ai moins aimé les autres textes).

En vrai, ce serait bien que ce soit l'achat du siècle. Le dernier pour les 78 ans à venir. C'est à dire, que des lois anti trust et anti monopolistiques entrent en vigueur pour éviter que ces monstres puissent se constituer.

Il y a quelques trucs intéressants autour de Facebook et ses filiales (instagram et whatsapp), d'Amazon, de NVidia et le rachat d'ARM.

En marge, ce rachat pourrait expliquer les rumeurs de rachat de Discord (très utilisé par les joueurs en ligne) par Microsoft.

Pour C++, j'ai fait la démonstration rigoureuse que ça ne compile pas sous Linux. Concernant le C, chacun sait que c'est en fait de l'assembleur déguisé !

Ne te laisse pas berner par le lobby des BigMalloc ;) !

Excellent journal, ça donne envie d'apprendre l'outil (les outils) en effet.

La simplicité et la pérennité font également partie de mes préoccupations.

J'ai récemment commencé à utiliser dot/graphviz (car frustré par Draw, Dia, Diagram, Yed…). Pic a l'air chouette !

C++ compile sous linux  !;)

Scandale ! C'est du FUD !

La preuve :

~$ g++ exemple.cpp
exemple.cpp:1:1: error: ‘boum’ does not name a type
    1 | boum
      | ^~~~

Plus sérieusement, il y a des outils écrits en Python, et le langage pour les extensions/plugins/scripts est en Python aussi.

Il n'y a pas les sous-titre sous forme de texte, dans un flux séparé, par exemple ?

Alors que le CD est connu pour avoir une grande dynamique, au moins 90 dB

Je crois qu'un défaut de l'encodage du niveau sonore dans le CD, est qu'il est fait sur une échelle linéaire LPCM. Ainsi, un pas représente le même écart sur toute la plage dynamique. Et c'est dommage, car l'oreille perçoit beaucoup mieux les nuances à faible volume qu'à fort volume.

Ainsi, il aurait fallu une échelle progressive, qui réserve plus de bits aux volumes faibles qu'aux volumes forts (genre une échelle logarithmique).

Je vais essayer d'expliquer le principe du race condition.

D'un côté, le programme "nettoyeur" a pour mission de supprimer les dossiers et fichiers qui sont plus vieux que 1 mois en dessous de /var/spool/pad (par exemple). Les liens symboliques ne sont pas suivis mais sont supprimés. Ce programme tourne en root.

/var/spool/pad/ contient un répertoire par utilisateur, comme ceci :

/var/spool/pad/alice
/var/spool/pad/bob
/var/spool/pad/charlie

D'un autre côté, les utilisateurs font un peu ce qu'il veulent dans leurs dossiers, mais ne peuvent en sortir.

Le nettoyeur va faire son scan de temps en temps et supprimer les vieux fichiers, en respectant la règle du mieux qu'il peut. Horreur, il a supprimé des fichiers en dehors de /var/spool/pad/alice !

Passons la scène au ralenti sur un IBM 8088 à 10MHz (1979) :

11h22 - Le nettoyeur scanne /var/spool/pad/alice et trouve un dossier caca et un fichier pipi (alice est un peu sénile) qui ont plus d'un mois. Il note dans son carnet qu'il faudra les effacer. Etc pour les autres dossiers.

11h23 - Alice supprime le dossier caca et le remplace par un lien vers /usr/bin/. (Elle n'est pas si sénile que ça semble-t-il).

11h24 - Confiant, le nettoyeur rentre dans le dossier caca et supprime son contenu, qui est en fait /usr/bin.

11h24 aussi - Fin du jeu :'( .

Le principe n'a rien de spécifique à Rust. C'est un bug, qui provoque un trou de sécurité.

En quoi est-ce grave pour un programme non privilégié ?

Ça ne fait certes pas un CVE, mais ça fait un comportement inattendu avec un effet potentiellement catastrophique, un genre de bug critique quand même, sans être un trou de sécurité.

Quand tu as un bug dans ext4 et que tu perds tes données, tu vas pas dire que ce n'est pas grave.

Imagine que rm -r se mette à suivre les liens symboliques ;).

Il faudrait plutôt dire, pour décrire le problème plus simplement, qu'un programme peut être amené à suivre un lien symbolique et effacer des fichiers en dehors de l’arborescence ciblée au départ.

Le fait que ça puisse être réalisé par un programme privilégié est la cerise sur le gâteau, mais déjà en soi c'est assez grave.

La gestion des permissions, quand à elle, reste correcte d'un point de vue système.