🚲 Tanguy Ortolo a écrit 12224 commentaires

C'est fou ce monde PC où on n'a pas de cible matérielle.

Voici quelques précisions.

Partitionnement

Les partitions utilisées par un système Android sont celles de la mémoire flash interne du téléphone, généralement au format eMMC. Cette mémoire est partitionnée en GPT, et ses partitions sont nommées (c'est une fonctionnalité de la GPT !) : recovery, system, data, et sans doute quelques autres.

Recovery

La partition recovery héberge carrément un système d'exploitation alternatif, jouant un peu le rôle d'un live-CD de secours. Dans sa version d'origine, ce système de récupération est vraiment minimal. Lorsqu'on le remplace par TWRP, il est nettement plus complet : ce n'est certes pas un système Android complet, mais il fournit plein de fonctionnalités liées à la récupération et à l'installation de systèmes.

Je me demande par ailleurs si ces systèmes de récupération ne sont pas entièrement hébergés dans un noyau et un initrd.

ADB

ADB signifie Android Debug Bridge, et c'est un protocole qui permet, depuis un PC, d'accéder à un système Android pour y faire des choses comme :

• obtenir un shell ;
• envoyer et récupérer des fichiers ;
• sauvegarder des données, des logiciels installés, voire tout le système.

ADB est logiquement disponible lorsque le téléphone tourne sous Android et que cette fonctionnalité a été activée, mais également lorsqu'il est démarré sous TWRP.

Fastboot

Fastboot est un chargeur de démarrage particulier, ou peut-être un mode spécifique du chargeur de démarrage normal, où celui-ci attend quelque chose de la part d'un ordinateur. Depuis l'ordinateur donc, on peut alors envoyer une image à flasher sur l'une ou l'autre partition. En particulier, on peut envoyer une image du système TWRP, à flasher sur la partition recovery.

Fastboot est disponible lorsque le téléphone est démarré en mode Fastboot, et donc pas sous un quelconque système d'exploitation.

Pour info, ce système de flashage est présent sur la plupart des téléphone, mais pas forcément tous. Les Samsung notamment, disposent de leur propre système de flashage, nommé Odin, dont l'implémentation libre côté ordinateur s'appelle Heimdall.

La convention d'origine, c'est d'utiliser des tirets pour les options — un seul pour une option courte, deux pour une option longue — et de laisser ensuite, sans tirets, les arguments. Une option, tel que je le comprends en tout cas, c'est quelque chose qui vient régler, préciser ou modifier ce que fait la commande. Les arguments sans tirets servent plutôt à indiquer ce sur quoi la commande va agir, en général un fichier ou un répertoire.

Plus tard, à ce qu'il me semble, on a introduit des commandes avec ce qu'on appelle des sous-commandes, par exemple ce systemctl status. Sans status, ça ne veut rien dire du tout, systemctl ne sait absolument pas ce qu'on veut qu'il fasse, d'où cette idée de « sous-commande ». C'est tout.

nftables. C'est moderne, et censé remplacer iptables.

Ça ne marche pas avec !important ?

Il faut un matos. Tu ne veux pas utiliser un truc "commun" (genre un smartphone), on te propose un boîtier dédié (ça a un coût vis à vis d'un truc qu'on réutilise, donc normal qu'on te fasse payer) mais tu n'es pas content quand même.

Ben, il y a une sacrée raison de l'être : cette banque se permet de rendre nécessaire l'utilisation d'un logiciel propriétaire dont la disponibilité est limitée à deux plate-formes, alors que le but dudit logiciel est simplement d'implémenter une norme tout à fait ouverte — TOTP — déjà implémentée sur toutes les plate-formes connues. À moins que ce ne soit pas du TOTP mais un truc maison, donc merdique (oui, en sécurité, faire maison parce qu'on pense pouvoir faire mieux que le standard existant, c'est merdique).

Surtout que vu le nom de leur implémentation, Certicode, ça sent le code à usage unique, et vu qu'on ne doit pas réinventer la roue dans ce domaine lié à la cryptographie, à tout les coups ça va être du TOTP, simplement wrappé dans un logiciel propriétaire qui masquera le secret partagé.

Pour rappel, TOTP, c'est un secret partagé entre un serveur et un client, qui permet de générer un code toutes les 30 secondes. Le client doit fournir le code, et le serveur vérifie qu'à ce moment précis (ou juste avant, ou juste après, pour autoriser un certaine dérive de l'heure du client, ainsi que le temps de saisir et d'envoyer le code), il génère bien le même.

From: Charlie Root
Object: Exemple

Ceci est un exemple de message, où je donne plein d'information à propos de rien du tout.

À demain cher collègue,

-- 
Charlie

PS : Tout ce qui suit n'a pas été rédigé par moi, mais est ajouté sans mon consentement par le serveur de courrier de notre université, en violation probable avec la charte du réseau RENATER. Je vous prie de ne pas en tenir compte, et vous invite à signaler cet abus aux responsables du service informatique.

---------------------------------------------------------------------
FIN DU MESSAGE, DÉBUT DU CONTENU AJOUTÉ SANS CONSENTEMENT DE L'AUTEUR
---------------------------------------------------------------------

Lorsqu'on installe un certificat sur un serveur, il est nécessaire d'installer également toute la chaîne de certificats intermédiaires jusqu'à la racine. Le certificat racine, en revanche, n'a pas besoin d'être installé, mais si on le fait, c'est inutile mais pas gênant.

Voici la raison. Lorsqu'un client se connecte sur le serveur, celui-ci va lui envoyer son certificat et la chaîne de certification. Le client va ainsi pouvoir vérifier que le certificat du serveur est bien signé par un certificat, qui est signé par un autre certificat, et ainsi de suite avec un nombre quelconque de niveaux, jusqu'à finalement tomber sur un certificat qui a été signé par le certificat racine d'une autorité de certification qu'il connaît. Concernant ce certificat racine donc, deux possibilités :

• si tout va bien, le client le connaît déjà, ce qui lui permet de finir la procédure de vérification et de valider la connexion : dans ce cas, si le serveur lui a fourni ce certificat racine, ça ne lui aura servi à rien, puisqu'il le connaissait déjà ;
• dans le cas contraire, si le client ne connaît pas ce certificat racine, il s'agit d'un échec de validation de la connexion, le serveur utilisant un certificat qui n'a pas de chaîne de certification partant d'une racine connue : dans ce cas, si le serveur lui a fourni ce certificat racine, cela n'aura pas servi non plus, parce que cette racine est inconnue et sera donc refusée par le logiciel client.

Concernant « la raison invoquée […] qu'il serait possible à un attaquant mal intentionné de récupérer le certificat racine », c'est n'importe quoi, et si celui qui a proféré ces absurdités a un boulot touchant de près ou de loin à la sécurité informatique, le principal danger pour votre entreprise est la présence de cet incompétent à un tel poste.

Si un attaquant récupérait l'autorité de certification racine, qui pourrait il compromettre ? Seulement le serveur concerné ? L'ensemble des serveurs concernés ? Comment ferait il ?

Rien, il ne pourrait rien compromettre à partir de cette information publique, que n'importe qui peut récupérer et qui a pour but de permettre la validation des connexions.

PS - sinon OSEF mais j'ai +1 le journal, avec lequel on n'a pas besoin d'être d'accord ça n'est pas la question… bref

Pareil, le sujet est pertinent.

Voilà, et vous? Vous en pensez quoi?

Plusieurs choses. Tout d'abord, qu'il est important d'avoir un thème qui s'applique à tous les logiciels qu'on utilise. C'est la raison pour laquelle je déteste la tendance de pas mal de logiciels, notamment sous Windows, qui ont leur propre thème, parce que le développeur trouvait qu'il pouvait forcément faire mieux que Microsoft en la matière, avec pour résultat une incroyable disparité. Du pur syndrome NIH au détriment de l'expérience utilisateur.

Du coup, quand je lis ça, ce qu'il me vient immédiatement à l'esprit, c'est « pourvu que les développeurs de GTK n'en tiennent pas compte » :

On a platform level, we believe GTK should stop forcing a single stylesheet on all apps by default. Instead of apps having to opt out of this by hardcoding a stylesheet, they should use the platform stylesheet unless they opt in to something else. We realize this is a complicated issue, but assuming every app works with every stylesheet is a bad default.

Ensuite, j'ai utilisé GTK+2 pendant des années, avec plusieurs thèmes qui ne m'ont jamais posé le moindre problème. C'est en passant à GTK+3 que je me suis rendu compte que certains thèmes étaient parfaitement inutilisables, ou très moches, avec certains logiciels. En tant qu'utilisateur, ça donne quand même pas mal l'impression que le problème vient de l'implémentation du système de thème. Peut-être donne-t-il trop de liberté, je ne sais pas, mais ça marchait bien avant, et ça marche moins bien maintenant.

Enfin, la solution pourrait être autre : Gnome pourrait avoir par exemple une batterie d'exemples destinés à tester les thèmes. Un thème devrait être parfaitement utilisable avec tous ces exemples pour être promu par Gnome, les autres thèmes étant officiellement déconseillés avec exemples à la clef.

Oui, on peut, c'est ce que je fais sur mes portables. En revanche, ça ajoute un empilement que GRUB n'apprécie pas trop. De toute façon, lire du LUKS avec GRUB, je n'ai jamais essayé et pas vraiment envie de le faire.

Je ne suis pas sûr de ce que GRUB prend vraiment en charge : pour le RAID1, j'en suis certain, mais pour le reste, il faudrait vraiment essayer.

RAID6, c'est avec deux disques de parité en effet.

Jamais essayé, non, mais dans le même genre, avec LVM, il y a les volumes logiques de type cache-pool, cf lvmcache(7).

Je dirais qu'elle est à 80% de sa capacité d'origine, à vue de nez.

Vu les articles sur le démontage du T470, ça doit être SATA et M.2 sur certains modèles. Le mieux serait sans doute de demander à LaptopService, ils pourront peut-être vérifier.

J'ai quelque chose comme un T470s chez moi. Déjà, je peux confirmer que c'est léger, peu encombrant et très, très performant par rapport à tout ce que j'ai connu d'autre. Il y a dedans un SSD en NVME, sans doute branché sur un port M.2, mais je n'ai pas ouvert pour vérifier. Je vérifierai ce que je peux trouver comme info supplémentaires.

As-tu regardé ce qui pouvait se trouver dans le marché du reconditionné ? J'ai récemment acheté un ThinkPad impeccable chez LaptopService, qui a l'avantage d'être en France et d'employer des travailleurs invalides. Les avantages du reconditionnés en général sont bien connus : c'est moins cher, ça retarde la mise au rebut de matériel en état de marche, et ça évite la production d'une nouvelle machine.

Bref, le principal, c'est que LaptopService donc, réinstalle sur les machines reconditionnées un système d'exploitation Windows avec une licence spéciale pour les reconditionneurs. Personnellement, je m'en suis aperçu après réception, donc trop tard, mais si on leur précise avec la commande qu'on n'a pas besoin de ce système, ils devraient pouvoir ne pas l'installer, et économiser ainsi son coût. Je doute qu'ils fassent une ristourne pour autant, mais même sans cela, ce sera toujours autant d'argent qui finira inutilement dans la poche de Microsoft, et qui ira à la place à la boîte de reconditionnement.

AArch64

Nouveau processeur pris en charge, le Arm Neoverse E1, nouvelles fonctionnalités (génération d'aléa, marquage mémoire, protection de branche).

Save-vous pourquoi il faut un support d'un processeur spécifique dans GCC ?

Voilà, c'est essayé, et je suis maintenant en train de batailler pour l'enlever.

Premier problème, avec Magisk, les logiciels peuvent devenir root, mais pour Dieu sait quelle raison, ce n'est plus possible pour le démon de débogage Android, adbd, qui précise qu'il ne peut pas tourner en tant que root sur un build de production. Je n'ai pas vérifié, mais ça donne l'impression que Magisk s'est amusé à remplacer adbd par sa propre version. Ça me suffit à décider de dégager Magisk.

Deuxième problème, l'interface graphique Magisk Manager propose un bouton pour « désinstaller Magisk ». Seulement, ça ne marche visiblement pas, vu qu'après redémarrage, il est toujours là. Enfin, ils sont toujours là : Magisk, avec notamment son binaire su, et Magisk Manager. Depuis le système de récupération TWRP, le désinstallateur officiel de Magisk ne fait pas mieux, après l'avoir lancé et redémarré le système, Magisk est toujours là et Magisk Manager aussi.

Du coup, je viens de restaurer une sauvegarde de mon système effectuée au préalable avec TWRP. Bien m'a pris de prendre cette précaution avant de m'amuser avec Magisk ! Et, ultime surprise, après avoir restauré mon système, Magisk Manager est toujours là. Mais d'où sort-il donc ? Je viens de le désinstaller, affaire à suivre. En tout cas, je suis vacciné, je ne toucherai plus à ce truc.

Magisk permet de cacher le root aux applications que l'on souhaite. Mon téléphone est rooté et mon application bancaire ne se plaint pas.

Je vais essayer, en revanche : “Magisk does NOT have a website. Do NOT download Magisk from unofficial sites.”

Les autres applications ne voient même pas que l'appareil est rooté.

Si, elles le voient. J'ai un logiciel bancaire qui refuse de fonctionner en indiquant que c'est rooté et qu'il n'aime pas ça. Je suppose qu'il constate simplement l'existence d'un binaire su ou sudo dans le PATH.

Acheter un smartphone sous Android, ça signifie avec tout plein de Google dedans. Pourtant, Android est une distribution GNU/Linux […]

Non, c'est une distribution Linux tout court. La libc utilisée par Android n'est pas celle de GNU, et il me semble qu'il en est de même pour l'ensemble des bibliothèques essentielles de ce système.

Il y a beaucoup de distributions GNU/Linux, mais là pour le coup, il n'y a pas de GNU.

Ton opérateur fourni normalement des cartes SIM supportant plusieurs formats selon quel partie tu détaches. Si tu as été prévoyant, tu dois encore posséder la base SIM format carte de crédit sur lequel tu peux détacher la partie miniSIM restante et reclipser ta micro ou nano SIM dedans pour te faire un adaptateur.

Si tu n'as pas été assez prévoyant, tu peux toujours t'en sortir en tâtonnant un peu pour placer la petite carte de téléphone dans l'emplacement plus grand du vieux téléphone. Ça passe, ça demande juste un peu de temps pour déterminer où la positionner correctement.

Le “bean” de Netbeans ne désigne pas un haricot, mais une fève ou un grain, en l'occurrence de café, qui est un thème symbolique plus ou moins central dans l'univers de Java.