Olivier a écrit 890 commentaires

Non, il suffit d'utiliser un algo réversible, comme un bête "rot13", pour chiffrer le mot de passe.
Je ne dis pas que c'est incassable comme méthode de chiffrement, mais au moins le mot de passe n'est pas en clair. Et je doute que les virus/trojan puissent stocker tout les algos des softs qui savent discuter avec de l'UPnP protégé par un mot de passe.

Pour info, "transmission", un client torrent utilise de tels algos reversibles pour stoker des mots de passe.

Les licences ne nous permettent pas de virtualiser ?

Microsoft a effectivement interdit la virtualisation de certaines version de Vista :
http://www.vmware.com/fr/interfaces/licensing/desktop.html
http://www.zdnetasia.com/news/software/0,39044164,61969665,0(...)

Mais bon, il s'agit de la version "Family", donc je ne pense pas que vous ayez ce type de versions sur vos vos serveurs.

Après, j'imagine que vos licences de Windows sont des accords d'entreprise (qui permettent de ne pas payer les licences unes à une, mais par "lot"). Dans ce cas-là, ce sont peut-être des licences spécifiques, avec des restrictions supplémentaires (qui interdisent par exemple la virtualisation).

Entre "ouvrir un port à l'écoute via UPnP" et "amorcer une connexion sortante vers un serveur" j'ai du mal à voir la différence.

Dans le 1er cas, la terre entière peut se connecter à la machine, et un "nmap 0.0.0.0/0 -p LE_PORT_QUI_VA_BIEN permet de détecter les machines infectées

Dans le 2nd cas, le virus doit connaître un moyen d'entrer en contact avec son concepteur, afin que celui-ci puisse prendre la main sur la machine (ou faire quoi que ce soit qui lui passe par la tête) : adresse IP fixe, nom de domaine temporaire, canal IRC, mail, etc... Bref, toutes sortes de choses que l'on peut retrouver dans le binaire du virus.

Enfin, certains virus (botnet) agissent comme client P2P ou FTP anonyme, afin d'héberger temporairement toutes sortes de contenus (louches ?). Ces botnet agissent de concert, afin de créer une sorte de réseau "d'amis". Pour les "clients" de ces réseaux, il est beaucoup plus facile de se connecter aux machines infectées si elles ont un port d'ouvert, que si c'est le virus qui dont établir une connexion avec un serveur centralisé (lui aussi repérable)

UPnP demande un mot de passe? La belle affaire, si ta bonne pratique se généralise, le virus n'aura qu'à sniffer ce mot de passe.

Sauf que le mot de passe, seul l'utilisateur le connaît. Une fois qu'il a renseigné le mot de passe dans le soft qui en a besoin (disons, "transmission"), le mot de passe n'a plus à être saisit. Il est sauvé par le soft, via un quelconque algo de chiffrage, que le virus ne connaîtra pas forcément. Quand à l'utilisation du mot de passe par le soft, est-ce que le protocole UPnP le laissera passer en clair sur le réseau ? J'avoue ne pas savoir.

L'automobile : Il y a régulièrement des constructeurs qui rappellent des véhicules au garage, hors période de garantie, afin de corriger divers problèmes connus : électronique, logiciel, suspension, direction, anti-corrosion, etc...

et pourtant avec Transmission (et notamment grâce à l'uPnP) c'est hyper simple de télécharger sans se prendre la tête.

Le problème avec UPnP, c'est que n'importe quel virus peut faire la même chose que "Transmission", et s'ouvrir facilement un port dans la box. Donc pour ceux qui se croient protégés, parce que "planqués" derrière leur box, ils ont tout faux.

Pour ma part, je désactive le UPnP sur les réseaux ADSL que je gère, ou au moins, je configure le UPnP pour qu'il demande un mot de passe si une machine veut dialoguer avec lui.

Le plus gros avantage de Skype est d'être capable de passer des passerelles de part et d'autre sans configuration de firewall, NAT et autres joyeusetés, or aujourd'hui les box faisant légion c'est indispensable.

Il y a STUN qui fait cela : http://fr.wikipedia.org/wiki/Simple_Traversal_of_UDP_through(...)

C'est utilisé, entre autre, pour le support de la voix du XMPP (le protocole de Jabber). Exemple de "proxy STUN" : proxy.jabber.org

Autre expérience que ci-dessus, mais avec un Advent 4213 cette fois-ci

Hardware similaire à l'Acer AspireOne, mais avec un écran plus grand (mais clavier identique), et un chips 3G interne

- Support lamentable pour le remboursement de XP (impossible). Déni complet du CLUF de la part du vendeur
- XP est bien entendu lié avec un DD tatoué, dont le tatouage se trouve à la fois dans le MBR et dans la piste zéro
- Je n'ai aucune idée de qui contacter pour le SAV, "Advent" est une pseudo-marque (il y a eu une discussion sur un journal à le sujet, mais j'ai perdu le lien)

- Installation là-aussi d'une Debian Squeeze/Testing, mais avec Gnome cette fois-ci
- Gros problèmes réseau (filaire) au début, il a fallut brider la carte en 10Mb/s. Avec les nouveaux kernel, 2.6.31, ca marche mieux (100Mb/s)
- Wifi, video, son, suspend-to-disk OK
- Suspend-to-ram pas fiable à 100%
- Webcam : Même problème que sur l'Acer AspireOne
- Installation de VirtualBox, et d'un Windows XP virtualisé : Tout marche sans problème
- 3G non testé sous Linux (je n'ai pas de carte SIM 3G, et je n'en n'ai pas besoin)

Conclusion :
- Support Linux OK,
- Mais je DECONSEILLE FORTEMENT cette machine, à cause du non-remboursement de XP (je suis vert de m'être fait avoir sur ce coup-là), et de la difficulté de support hardware (qui contacter ?)

Bonsoir

Acer AspireOne, acheté il y a 1 ans. Processeur Atom, 1Go de RAM, DD 160Go (pas un SSD). Windows XP remboursé sans difficulté (40€, mais 1 mois d'immobilisation).

Il y a 3 mois, la machine a refusé de booter du jour au lendemain (écran noir, mais le DD tourne visiblement). La machine ne boote sur rien du tout (confirmé par un sniffage de trames réseaux). Tout les tests n'ont rien donné, j'ai ouvert un ticket sur le SAV en ligne. Service rapide, machine expédié et reçu dans les 10 jours (0€ de frais). D'après la fiche, il fallait procéder à une mise à jour du BIOS, parue 1 semaine APRES le problème. Mais de toute façon, c'est difficile de mettre à jour une machine qui ne boot pas. Depuis, aucun nouveau problème.

Linux : Installation d'une Debian Squeeze/Testing, avec XFCE.
- Machine "souple", qui marche bien
- Réseau (100Mb/s), Wifi, son, susend-to-ram et suspend-to-disk marche correctement.
- Chipset vidéo Intel OK (drivers libres)
- La webcam a eu marché, mais depuis une mise à jour du kernel ce n'est plus le cas. Je n'ai pas cherché à la faire marché, de toute façon, je ne l'utilise pas.
- Pas de problème pour voir des films, et notamment les vidéos d'appareils photos numériques des (utilisation de mplayer)
- Adobe flash OK (non-free), vidéo de type youtube sans scrolling
- Les boutons du touchpad sont un peu chiants (durs), le clic/double clic sur le pad ne marche pas
- Le clavier est étroit, mais c'est normal pour un netpc

Acer me propose de souscrire à une extension de garantie : 35€ pour 2ans, 55€ pour 3ans. Vu le problème du BIOS, j'hésite un peu...

Conclusion : Pas de problème sous Linux avec ce modèle. Utilisation d'une souris externe recommandée

Intéressant. Et est-ce qu'il est possible d'utiliser une clef fichier sur une clef USB ? C'est exactement ce que je fais sur mon /home.

Je ne pense pas. A ce moment du boot, je ne suis pas sûr que la machine puisse accéder à de l'USB.

Le /etc/uswsusp.conf indique ceci :
RSA key file /etc/uswsusp.key

Infos :
http://www.digipedia.pl/man/doc/view/uswsusp.conf.8.html
RSA key file
If this this options points a valid RSA key, which can be created with suspend-keygen, the s2disk tool will generate a random key for the Blowfish encryption that will be passed to the resume tool within the image header with the help of the RSA cipher. Consequently you only need to type a passphrase on resume.

je ne peux pas utiliser de suspend-to-{ram,disk}.

Dans le cas du suspend-to-disk, sous Linux il est possible de chiffrer le "bloc de données" qui représente la ram, et qui est sauvé sur le disque dur.

Au démarrage, la clé de chiffrage te sera demandé, afin de sortir la machine de son hibernatation.

Enfin, si tu dis que tu as des donnée sensibles sur ta machine, j'espère pour toi que tu as pensé a chiffrer le swap ? Car celui-ci peu contenir des informations sensibles (mot de passe) qui étaient en mémoire. Voir, à effacer le swap lors de l'arrêt (ce qui doit être assez long). Ou, à ne pas utiliser du tout de swap.

m'a l'air assez récent pour supporter le 2.6.30 .

pour le support du kernel 2.6.30, cela marche. J'arrive à compiler le module (nvidia.ko) .

Le problème, c'est le support de xorg "1:7.4+4", le code "glue" entre le module proprio nvidia et le serveur X. C'est lui qui ne suit plus. Sous Debian, c'est le paquet "nvidia-glx-legacy-71xx" qui pose ce problème.

Par contre le support de ces cartes c'est dégradé dans *debian*. J'ai du attendre des mois avant qu'ils integrent la version du legacy 96xx compatible avec les kernel récent...

Moi, j'ai dus aller chercher le paquet "nvidia-kernel-legacy-71xx" dans "unstable" (alors que je suis en "testing") pour avoir un module qui se compile.

Passé un temps, il y avait ceci qui fonctionnait avec un kernel 2.6.30 : http://desiato.tinyplanet.ca/~lsorense/debian/nvidia-71xx-le(...) : Les paquets "glx" (pour xorg) et "kernel" (pour le kernel).
Mais les dernières mises à jours de xorg ont tout cassé, d'où l'obligation de limiter la version de xorg... :=(

suspend != hibernation.

ca dépend, moi je connais le suspend-to-ram et le suspend-to-disk (hibernation)

Personnellement, je l'utilise le suspend-to-ram que sur le portable de boulot, car je me déplace beaucoup dans la journée.

Pour la machine perso, je préfère le suspend-to-disk + arrêt de la prise multiple de la machine, afin d'avoir une consommation électrique réellement de 0w lorsque je n'utilise pas mon Linux.

pour ne rien gâcher le capsules ESE sont en papier, et pas en alu. Ça se recycle mieux et passe très bien au composte.

La capsule et son contenant sont biodégradable, c'est très bien.

Mais d'après http://www.chacunsoncafe.fr/PBCPPlayer.asp?PW=1&ID=34112(...) ("Dosettes E.S.E. - Qu'est-ce que c'est ?") :

Elle (la capsule) est emballée dans un sachet individuel hermétique et protégée sous atmosphère modifiée.
Toutes les molécules du café sont ainsi conservées intactes pendant près de 2 ans !


Ou je me trompe fort, mais je ne pense pas que ce "sachet individuel hermétique" soit en papier, non ? C'est donc un plastique ? Non recylcable ?

Un sachet individuel en plastique, ce n'est pas très écolo, non ?

Si avec cela http://www.maxicoffee.com/blog/?tag/homepressofr , le site ne se fait pas fermé par les Nestlé et consort, ils ont de la chance !

C'est du "piratage" de capsules ça ! :)

Par contre le problème avec les drivers nVidia c'est pour les vieilles cartes, et encore je trouve qu'elles sont plutôt bien supportées, quand je vois à quel point je galère pour essayer de faire marcher une matrox

Ces derniers mois, la situation s'est dégradée pour les vielles cartes vidéo nvidia.
Je supporte plusieurs machines (Debian Squeeze/Testing) qui ont des cartes compatibles uniquement avec les drivers "Legacy 71xx".
- Il a fallut bidouiller un peu pour les faire passer du kernel 2.6.2x au 2.6.30
- Mais par contre les dernières versions de Xorg (1:7.4+4) sont incompatibles ces vieux drivers...

La seul solution que j'ai trouvé, a été de limiter la mise à jours des paquets xorg... :=(

Il y a quelques mois, j'avais observé qu'il fallait une version très récente de flash pour avoir accès à M6replay.

Après analyse, il s'avère que M6 a utilisé une techno de chiffrement propriétaire à Adobe, dans le but d'empêcher l'internaute de sauver sur son disque dur le flux vidéo (avec un wget ou un mplayer -dumstream).

Je ne serais pas surpris que ce chiffrement ait un certain coût en terme de puissance CPU, d'où les ralentissements observés

Autre solution sinon : Tu visionnes actuellement le flux en HD, ce qui consomme BEAUCOUP plus de puissance CPU.

Je plussois ton argumentation, et je suis tout particulièrement d'accord avec :

je comprends pas qu'en 2010 mon ordinateur démarre encore plus lentement que celui que j'avais en 1995.

Pour ce qui est de :
Quand ça marche ([..]) y'a forcément un truc qui déconne au réveil.

j'ai résolu chez moi ce problème en écrivant et en lançant un script qui passe la machine en hibernation, en lançant tout un tas de commande de pré-hibernation ("ShutdownTasks"). Et en sortie d'hibernation, le dit script lance d'autres commandes de post-hibernation ("PowerUpTasks") :

ShutdownTasks
sudo hibernate
PowerUpTasks

Evidement, il y a plusieurs moyens de faire mieux, et le paquet "hibernate" propos des fonctionnalités en natif pour le faire.

Depuis, je mets ma machine une à deux fois par jour en hibernation (suspend-to-disk), et je ne la reboote que pour les mises à jour de kernel.

Tu dis que tu as rajouté un client torrent dedans ? Les puissance CPU et ram limitées de ce hardware arrivent à le gérer ?

Impressionnant.

Pour information, quel est le client "poid plume" que tu utilises ? Le client bittorent historique de Bram Cohen ?

Sans vouloir rentrer plus en avant dans le troll des benchmark, Tom's hardware est nettement moins enjoué quand au comparatif Vista / Seven :

http://www.presence-pc.com/tests/windows-7-performance-23210(...)
http://www.presence-pc.com/tests/windows-7-performance-23210(...)

D'un autre coté, faire tourner des bench "tout fait" comme les *mark*, je ne suis pas sûr que cela vaille grand chose...

J'ai deux machines chez moi, sur lesquels j'ai essayé le eSATA de mon boîtier IceBox :
- Une "ancienne" ASUS P5N-E SLI (processeur CoreDuo) : Aucun problème de stabilité de connexion. Le seul ennui, c'est qu'il faut que je monte la partition (ext4) à la main. Le problème vient peut-être de ext4, ou de udev. Mais ce n'est pas grave

- Une "nouvelle" ASUS AT3N7A-I (processeur Atom + chipset ION) : J'ai le même phénomène que toi, il y a des messages d'I/O error. Je ne peux même pas monter la partition.

Je pense que le kernel de Debian (2.6.30-2) ne doit pas gérer correctement le chipset

Là, on a le premier Windows qui consomme moins de ressources que la version précédente

Est-ce que cette impression de "légèreté" de Seven n'est pas dus au fait que depuis la sortie de Vista, la puissance des machines a augmenté, et que surtout, les machines ont largement plus de RAM ?

A l'époque de Vista, 1Go de ram était une configuration standard, alors que maintenant, c'est plutôt 2Go...

Aucune idée, je n'utilise pas assez Windows pour savoir ce que fait le FW intégré de Windows.

Les ports TCP/139 et UDP/137 UDP/138 servent tout les trois pour le "NETBIOS" . C'est par ces ports-là que se faisait le partage de fichiers à l'époque de DOS, et Windows 3x / 9x / NT.

Si tu désactives l'option "NETBIOS over TCP/IP" (cases à cocher dans les propriétés avancées de TCP/IP), cela ferme ces ports-là (un reboot de la machine est peut-être nécessaire).

Il ne reste alors que les ports TCP/445 et UDP/445, qui servent pour le SMB. Ces ports sont apparus avec Windows 2000 (il me semble). Pour du partage de fichier, Windows utilise maintenant par défaut le 445, plutôt que les 137/138/139

PS: Je ne suis pas windowsien... ;)

A noter que certains FAI filtrent les ports 135 (windows messeger, pas le MSN), 137, 138, 139 et 445, afin de limiter les failles de sécurités & intrusions les plus évidentes.

mais dès que tu veux échanger des fichiers avec une machine Windows, à part SMB il te reste plus grand chose

Si je devais utiliser un Windows pour partager des fichiers sur Internet avec un nombre limité de personnes (parents, proches, ...) :
- soit j'enverrai des mails (petit fichiers)
- soit je passerai par un soft libre de chat : Le protocole Jabber, par exemple, permet de partager des fichiers. Un nombre grandissant de clients supportent maintenant cette fonctionnalité
- sinon, je mettrais en place un serveur FTP(S), via Filezilla : http://filezilla-project.org/

partager ses fichiers avec ça, en ayant une adresse routable, c'est pas juste suicidaire ?

Par défaut, Windows active le partage de fichiers sur toutes les interfaces (réseau interne et Internet). De plus, le port TCP/445 qui est utilisé pour le partage de fichiers/imprimantes, est aussi utilisé pour d'autres trucs (authentification, ...), donc bloquer ce port peu avoir quelques conséquences un peu chiantes.