oinkoink_daotter a écrit 1695 commentaires

Ben ton arme n'est pas chargée, hein.

mais quid de la sécurité ?

La dernière fois que j'ai regardé (ça remonte à trèèèèèès longtemps), ça ne gérait pas le multi utilisateur. Une recherche rapide aujourd'hui a l'air de le confirmer.
Il n'y a pas l'air d'y avoir non plus de partition root/user comme l'écrit pulkomandy< ici.

Rajoute à ça un webkit "début 2016".

A priori ce n'est pas fait pour faire de la sécu (ce qui n'est pas un reproche, je trouve la démarche absolument géniale)

Et tu vas découvrir que les mots de passes de connexion à ton compte sont tronquées à 14 caractères (constaté avec stupeur il y a pas mal d'années).

Ce sont les "hash" Lan Manager. Ce n'est pas la seule horreur de ce truc.
Parce qu'en fait, ce n'est pas 14 caractères, mais deux fois 7 (donc deux mots de passes vérifiés indépendamment de 7 caractères).
Et mis en uppercase.
Et y a pas de sel (note que c'est toujours vrai dans les bases de hashs windows, même si l'algo a changé, y compris sur l'AD lui même, #yolo)

C'était utilisé avec les windows 9x et obsolète avec NT4.

La concomitance temporelle entre ce post et celui de Tanguy< ici m'amuse :)

Un changement de poste pareil, cela ne se fait pas dans ton dos car tu changes à priori de contrat de travail (ton poste n'est plus le même)

Euh, je ne suis pas sur que ça existe en vrai, ça.
J'ai changé de domaine et de métier dans ma boîte précédente à plusieurs reprises et je n'ai jamais signé d'avenant à mon contrat de travail, qui a toujours été "développeur". Et pourtant, les process RH étaient vachement bordés.

Quid du partage de fichiers entre VM ?

Il n'y a pas de mécanisme natif d'échange de fichiers entre VM "temps réel" (genre Samba), probablement pour éviter le canal d'attaque sur le protocole ou les données. D'un point de vue réseau les VM sont isolées entre elles. Il existe des commandes et une adaptation du Window Manager pour envoyer des fichiers unitaires de façon maîtrisée d'une VM à l'autre. La remontée de données vers le domaine 0 est une purge délibérée car il ne faut pas le faire. Le gag c'est quand on veut monter une VM sur la base d'une ISO, qui a un moment donné a été téléchargée…

Est-il facile d'exporter une VM pour utiliser ailleurs, sauvegarder… ?

oui, il y a de mémoire des commandes qui permettent de le faire dans les menus du gestionnaire de VM. Ce sont de toute façon des fichiers avec un nom connu dans des répertoires connus, donc faisable aussi à la main.

T'es sûr ?

Dans ces cas là, habituellement, la maj sert surtout à uploader et activer le nouveau microcode à chaque démarrage (car il est "volatile"), pour pallier le support incertain, vu du fondeur, des maj via les OS.

Ce que je voulais dire : c'est que le malware est assez malin et sait exploiter correctement les fonctionnalités d'administration de Windows. Je ne vois pas ce qu'il y a d'étonnant à ce qu'un admin puisse modifier des postes clients. Linux a des technologies similaires.

Le problème c'est la complexité des process de maj et l'historique du bazard Windows/AD.

NotPetya a plusieurs moyens de réplication :

• l'exploitation de MS17-10. Ca permet tranquillou de passer SYSTEM à distance et de propager l'infection d'une machine à une autre. Ca se règle par l'installation du patch kivabien. Sur un Windows normal, ça se met gentiment à jour chez MS, ça reboote et le problème est réglé, tout seul comme un grand. Dans les boîtes et les grands groupes ça ne se fait pas comme ça, pour plusieurs raisons : les boîtes essayent d'avoir des reportings qui tiennent la route pour nourrir les équipes opérationnels et le RSSI et être capable de gérer ce qui est déployé et quand (tient, là par exemple avec le dernier patch tuesday, outlook fait chier avec les PDF) pour savoir ce qui va se passer et ne pas déployer n'imp ; il est compliqué de forcer les utilisateurs à rebooter leur machine (si si), nécessaire pour que le patch soit actif. Ces machins sont souvent immondes (kikoo SCCM), et ce process rajoute du temps. Et il y a du déchet. X% de machines ne choppent pas les patchs. Go figure. Pas de bol, les admins sites ont autre chose à faire que courir après les machines qui n'obeissent pas au patch management.
• les partages d'admin, WMI/Psexec et consorts. Ca permet, lorsqu'un compte est compromis avec des droits suffisants sur une machine cible, de lancer l'infection avec des commandes légitimes (et très pratiques - je voudrais que ce ne soit pas possible, mais c'est un autre débat).
• la capacité de choper les crédentials de l'utilisateur, et des autres personnes connectées s'il en a les droits.

Dans le cas présent toute machine compromise par le premier moyen de réplication ayant un compte connecté ayant des privilèges d'admin sur le domaine ou l'OU locale permettait la réplication via le deuxième moyen sur toutes les machines, mêmes patchées.

Et on touche à un des problèmes intrinsèques de Windows, avec sa manie de cacher des trucs partout, à être capable de bien cloisonner les credentials d'admin. Sous Windows, dès que vous avez des droits d'admin locaux, il y a moyen de récupérer en clair les mdps des utilisateurs connectés, y compris de niveau domaine. Il me semble aussi qu'il y a moyen de récupérer des hashs (non salés) de mdp de gens qui se sont connectés précédemment.
Un de ces hashs d'admin est rejouable pour des raisons de compatibilité, donc si deux machines ont le même mdp sur ce compte, on peut se propager de machine en machine jusqu'à tomber sur un compte d'admin domaine (game over).

Du coup, comment on fait pour se protéger de ça ? Les solutions sont connues et poussées par MS :

• Un mot de passe différent pour chaque compte "Administrateur" et renommage de ce dernier;
• Interdiction aux admin domaine de se connecter en local et via le réseau sur des PDT pour sanctuariser ces comptes
• Interdiction des communications machine à machine.

Sauf que c'est compliqué à faire, surtout quand on parle de petites structures. (et par défaut, cela reste possible)

Les risques que je ne couvre pas, j'en suis bien conscient merci. J'ai maint et maint fois répété qu'une sauvegarde locale ne peut se concevoir qu'avec une sauvegarde distante. Donc tous les risques cités sont déjà couvert par la sauvegarde distante.

Ben du coup, si j'ai bien compris, de ça et de ton post plus haut, en fait, tu as aussi une sauvegarde distante, même si moins régulière ?
Je n'avais pas compris, ça. Du coup, il n'y a plus de sujet.

C'est exactement le genre de réaction épidermique, ou du moins très tranchée que j'obtiens quand je parle de ce sujet. C'est parfois difficile d'avoir une argumentation posée dans ce cas là, ce qui est dommage

Ben dans la mesure où tu as supprimé de ta citation tout ce qui n'allait pas dans ton sens (ce qui est après "importance") et qui montre des risques que tu ne couvres pas, je ne peux pas grand chose pour toi.

Cela dit, le post de gle< plus haut est un bon détail. Après, c'est ton modèle de menace et surtout tes données. Your data, your rules.

Pas compris ça comme ça.

Il me semblait que ce débat était tranché depuis la fin des années 80, mais on dirait que non.

La politique de backup dépend toujours de la criticité des données à sauvegarder et des risques qui pèsent dessus. Sauf à considérer que tes données n'ont aucune importance ou qu'elles ne seront jamais les victimes d'une tragique erreur humaine, d'un accident climatique malheureux ou d'une alim de PC perverse qui embarque des devices dans sa mort, il faut une sauvegarde distante, ou, à tout le (très très) moins une sauvegarde de temps en temps sur disque amovible, gardée hors ligne.

Normalement, dans la plupart des cas, l'analyse de risque dit ça.

Perso, mon NAS est backuppé (chiffré) toutes les nuits chez Hubic, car je suis attaché à mes photos.

(qui utilise hélas des ARM)

Pourquoi "hélas" ?

il devient du même coup inutile de farfouiller dans les données puisqu'on n'a aucun moyen de séparer le vrai du faux.

Apparemment, il y a pas mal de mails(sans intérêt particulier) signées par DKIM. Cela sont donc très probablement vrais (mais toujours sans intérêt).

Et ça donne des articles tonitruants comme celui-ci, qui cherche à montrer le "décalage entre la communication & cuisine électorale".

Perso je trouverais pas mal qu'on fasse comme sur facebook : afficher la liste de qui a Plusser/Moinsser […]

Alors, d'abord, Facebook ne permet pas de plusser et de moinsser. Il permet uniquement d'aimer en permettant d'indiquer une vague émotion (adore, rire, étonnement, tristesse et colère). Et c'est délibéré car tout doit être positif sur Facebook. Et c'est uniquement pour cela que la liste des gens qui a "aimé" est affichée.

histoire que les gens assument et qu'on repère les haters :P

Super bonne idée ;-) (-: :-P …
…

Et tu en ferais quoi, au juste ?

Au départ je voulais pas que ça parte en troll

Le problème des analogies c'est qu'elles ne sont valables que quand elles comparent des choses comparables.
Désolé, mais non, on ne peut pas comparer Windows à une voiture, des virus à de la pluie, et des failles à des fuites dans les joints (surtout quand l'utilisateur moyen s'en sert au fond d'une piscine, car dans ce cas, il aurait fallu concevoir un sous-marin, mais ce n'est pas très efficient sur la route; bref). Le faire est risquer de s'exposer à ses limites simplistes (qui marchent d'ailleurs a peu près aussi bien avec du logiciel libre, car tu n'as même pas de garagiste, mais ouf, tu as une clef de 12).

Le fait est que l'on ne sait pas vraiment faire de logiciels parfaits et certainement pas sur des trucs aussi larges en périmètre qu'un OS généraliste (un Linux, un Windows, ou autre). On n'y arrive déjà pas avec des trucs aussi "simples" que des hyperviseurs (kikoo, Xen, c'est à toi que je pense)

c'est trés sérieux imaginé qu'il y ait des vies humaines perdu à cause d'un probleme informatique comment les familles de victimes réagirai si on leur disait qu'il est impossible de se retourner contre les concepteurs du logiciel incriminé ?

Ça par contre, en France, c'est bordé par la jurisprudence, et depuis longtemps.

La réponse est là, encore un blaireau qui a installé Linux pour la première fois la semaine dernière et qui trouve ça trop cool de faire son rebelz sur le net.

Oupa. Ça peut aussi être un nième multi d'un troll local.

On n'y accède pas grâce à dconf-editor ?

#àtrolltrolletdemiledredicestpermis

déso pas déso /o\

un peu comme notre estrosi et notre loi anti cumul ?

Tu veux dire le premier adjoint délégué à la sécurité, aux ressources humaines, aux finances, aux transports, aux travaux, à la voirie et au stationnement ? :)

Ca doit être pour ça aussi qu'ils ont une chaîne YouTube, une page Facebook, et des comptes twitter. J'imagine aussi qu'ils utilisent github.

Alors, oui, mais non.

Autant il est tout à fait possible de trouver un hébergement web/mail qui tienne la route et même avec le nom de domaine sérieux qui va avec dans la Roubaix Valley, autant c'est beaucoup plus difficile de trouver un concurrent à Facebook et Twitter où il y ait des gens à convaincre, voire même des gens tout court. A part éventuellement Viméo/Dailymotion/Pornhub (et encore, je n'ai pas les stats de vues en France) pour le concurrent à youtube, pour le reste, je ne vois pas.

Parce que sinon, quitte à jeter l'argent par les fenêtres, autant contribuer à mon micro parti, le Loutrothon.

Il a annoncé se retirer de la politique, et il a effectivement démissionné de son parti, l’UKIP (dont il était le leader).

Mais pas du parlement européen, parce que faut pas déconner avec le pognon tout de même.

Elle a donc fait 5 fois moins que le minimum prévu par la loi.

J'ai du mal à comprendre.
Il n'y a pas 50 mille qualifications pour (tentative de) homicide en France :

• L'assassinat (= meurtre prémédité), puni par l'article 221-3 du CP entre 0 et perpétuité (plus éventuellement rétention de sûreté) de gniouf. C'est un crime => assises.
• Le meurtre (=tuer quelqu'un de manière délibérée, par exemple sous le coup de l'émotion), puni par l'article 221-1 entre 0 et 30 ans de gniouf. C'est un crime => assises. Il y a des circonstances aggravantes -article 221-4- qui te font grimper à perpétuité + rétention de sûreté.
• La boulette (=tuer quelqu'un sans intention de le faire) est quant à elle punie au 221-6, entre 0 et 3 ans (5 ans si manquement à une obligation légale ou réglementaire), je ne parle pas des amendes. C'est un délit => correctionnelle. (je passe le truc spécifique sur les violences ayant entraîné la mort, les empoisonnements ou les incitations)

Dans les deux premiers cas, les tentatives sont punies des mêmes peines.
Dans le cas des délits, (ici cela n'a pas de sens), les tentatives sont punies si elles sont spécifiquement prévues.
(article 221-4 du CP)

Je ne vois donc pas comment une requalification en "tentative de" a pu changer quoi que ce soit sur la cour compétente ou sur une éventuelle peine mini qui à ma connaissance n'existe pas.

Tu devrais peut-être envoyer l'info à NextINpact, ça fera du bruit.

Plutôt Troy Hunt (pour la partie communication en clair, surtout si tu peux essayer des ID au hasard et récupérer des data sans les credentials qui vont bien).

C'est le même login si il est dispo (et c'est pas gagné)