CasusNO

Honnêtement, il y a pas mal de boutique Etsy qui font de l'impression de figurine 3d. Je suis sur qu'avec un petit message, tu dois pouvoir t'arranger avec eux. Et l'avantage, c'est qu'ils ont clairement l'habitude de faire de la figurine.

Oui c'est sûr j'en ai vu plusieurs. D'où ma question de savoir si certains avaient testé et pouvaient m'en recommander. Bon finalement comme c'est un cadeau pour notre MJ après une campagne de quasiment 10 ans, je me suis tourné vers un service pro, même si c'est plus cher. On verra ce que ça donne.

Avast condamné........ pour revente de données !!

Si c'est gratuit, c'est toi le produit

Les scammers tentent d'imiter les messages de transporteurs de colis (vous devez payer une taxe pour libérer votre colis de la douane, voyez l'genre). Mais... À l'inverse, FedEx imite les scammers et envoie des messages légitimes auxquels aucune personne sensée ne répondrait...

https://www.troyhunt.com/thanks-fedex-t ... g-phished/

La faille qui fait trembler le monde open-source (et notamment certaines distributions Linux telles Debian), en exposant une "porte dérobée" (backdoor) côté SSH : https://linuxfr.org/users/ytterbium/jou ... -compromis

C'est pour le moins fascinant et vertigineux sur tous les plans (sociaux et techniques) :

• de l'ingénierie sociale, avec deux ans de mise en place : un "participant" sorti de nulle part a pu et su gagner des privilèges sur le maintien d'une librairie système bas niveau ("xz", un outil de compression), a réellement participé au projet, mais a pu "préparer" son attaque au fil du temps (en devenant co-maintainer d'une librairie précédemment gérée depuis qqs décennies par une seule personne, bien contente d'avoir de l'aide sur ce projet)
  
• ingénierie sociale qui semble plus large qu'un simple individu, d'autres comptes similaires "sidekick" ont été créé (probablement par d'autres personnes) pour appuyer cette préparation (plusieurs points laissent penser à une implication disons "étatique")
  
• une mise en place technique particulièrement retorse et aussi masquée que possible : la faille ne se trouve pas dans le code source lui-même (sous github), bien qu'il y ait eu des mécanismes introduits pour faciliter ensuite l'activation de la faille, mais dans des "données de tests" et dans la "chaîne de build des packages" - une fois cette dernière altérée, elle utilisait alors certaines données injectées dans les jeux de tests pour corrompre les binaires générés et déployés dans les distributions (donc quelque chose d'invisible à la simple lecture du code source originel !) (c'est ce qui explique que toutes les distributions ne sont pas touchées)
  
• également une obsfucation à l'exécution (la backdoor ne s'activant pas dans tous les cas : par ex., ne s'active pas sur SSH en DEBUG ou si lancé à la main, etc.)
  
• techniquement d'assez haut niveau (reroutage dynamique à l'exécution pour intercepter du code - ssh - n'ayant au départ rien à voir avec la librairie attaquée)
  

Le tout découvert un mois après que cette backdoor ait commencé à être diffusée ... un mois, c'est court (après deux ans de préparation pour le ou les attaquants) et long à la fois (combien de serveurs exposés dans l'intervalle ...), mais qui plus est, çà a été détecté par un ingénieur microsoft "random" qui s'étonnait que parfois, ses connexions remote en SSH étaient 500ms plus longues depuis qqs semaines que précédemment ... en investiguant, il s'est rendu compte qu'il devait y avoir quelque chose de louche ! (et c'est un gag quand on voit à quel point la plupart des outils microsoft sont catastrophiques niveau performances, oui, Teams / Outlook, je te regarde en disant çà).

La faille est généralement corrigée (par revert des packages vers une version antérieure sous debian, ... - sachant que certaines distributions comme archlinux ne sont pas affectées) ... mais il n'est pas encore sûr si, dans ses deux ans d'implication, l'attaquant n'a pas laissé d'autres failles du même acabit dans d'autres pans du code (ou de quoi préparer d'autres d'attaques).

On n'est pas encore au niveau d'un "The Cuckoo's Egg" (fiche wikipedia), également vertigineux, et on ne le sera sans doute plus jamais (tout va plus vite, et l'informatique / le hacking ne sont plus les mêmes qu'il y a 40 ans), mais çà se pose tout de même là.

# xz --version
xz (XZ Utils) 5.6.1
liblzma 5.6.1

Merci! Si je comprends bien, c'est surtout les distribs du monde debian qui sont touchées?
Je demande parce que j'ai encore un serveur sous Centos qu'il faut que je migre.

Toutes les distributions à base de .DEB/.RPM et dérivés sont potentiellement concernées (d'où, Debian, Fedora, ...).

Concernant les versions :
- Les versions 5.6.x sont celles où la backdoor a été activé
- Les version 5.4 sont celles qui contiennent du code "préparatif" mais à priori sans la backdoor (certaines distrib comme Fedora ont revert vers 5.4.x)
- Les versions avant 5.2 sont celles "avant" la première intervention (il y a deux ans) de ce hacker (mais sont trop vieilles à ce jour pour reverter dessus) (sachant, encore une fois, que toutes ses interventions n'étaient pas liées aux attaques, certaines étaient du vrai code intéressant, mais d'autres préparaient le terrain pour le futur)

D'où pourquoi ArchLinux, Gentoo, ... ne sont pas concernées : ces distributions compilent les binaires à partir du code source (à priori "safe", pour autant qu'on le sache à ce jour), alors que celles à partir de .DEB/.RPM utilisent la chaîne de build (= construction des packages) qui active la corruption.

Un audit du code de la libraririe doit toutefois être mené pour analysé justement les autres commits de cette personne (qui a fait de vraies améliorations dans le lot ! Et, encore une fois, sur une base de code qui ne semble pas poser problème à ce jour en soi, mais il est légitime de se poser la question quant à d'éventuels autres particularités introduites par cette personne)

tauther a écrit : ↑dim. mars 31, 2024 10:07 am Merci! Si je comprends bien, c'est surtout les distribs du monde debian qui sont touchées?

Le distributions basées sur debian testing (trixie) ou SID, et sur Fedora test (41), Fedora dev (rawhide)

Des distributions basées sur debian stable ou antérieures n'ont pas eu le temps d'être affectées.

La backdoor ciblait spécifiquement ces deux grosses distributions

À la boîte, on a deux mots de passe. Un pour le compte Windows, et un pour SAP. Avec des contraintes différentes, et des délais de péremption différents (et des contraintes de dissemblance avec les n derniers MdP).

Jusqu'ici, j'arrivais peu ou prou à garder le même MdP pour les deux mais là, c'est plus possible. Moralité... j'ai mis un cahier dans mon tiroir pour écrire mes MdP... Quand une politique de sécurité absurde va à l'inverse de la sécurité...

En termes de sécurité, il vaut mieux un mdp fort et pérenne qu'un mdp qui change mais dont on se souvient (car faible).

cdang a écrit : ↑mar. avr. 23, 2024 10:35 am À la boîte, on a deux mots de passe. Un pour le compte Windows, et un pour SAP. Avec des contraintes différentes, et des délais de péremption différents (et des contraintes de dissemblance avec les n derniers MdP).

Jusqu'ici, j'arrivais peu ou prou à garder le même MdP pour les deux mais là, c'est plus possible. Moralité... j'ai mis un cahier dans mon tiroir pour écrire mes MdP... Quand une politique de sécurité absurde va à l'inverse de la sécurité...

On a pas SAP mais j'ai les mêmes à la maison
Obligation d'avoir majuscules et minuscules, et chiffres et signe de ponctuation, et 16 caractères et renouvellement tous les 6 mois et pas le même que les 10 ou 12 derniers... Et multiplication des mots de passe avec le nombre de plate-formes.
Ma dernière, sur la plate-forme dédiée à enregistrer mes formations internes "corporate", j'ai fini par choisir comme mote de passe (la plate-forme se nomme "sam") : Samétrékon*4 (parce que 4e itération).
Oui, le cahier de mots de passe, et la vulnérabilité qu'il implique (enfin bon, un casseur devrait venir chez moi pour le voler, quand même) redevient nécessaire.
 

Pour se simplifier la vie, niveau passwords :

• SOLUTION 1 - avoir Bitwarden (= un gestionnaire de mot de passe, open-source, hébergeable chez soi (ou non), gratuit), et des mots de passes générés aléatoirement (16 caractères, ...) https://bitwarden.com/fr-fr/
  
• SOLUTION 2 - utiliser des phrases longues mais significatives - en effet, comme dit ci-avant, "SAP en pyjama en bas 2 chez toi !" comme mot de passe, c'est à la fois beaucoup plus facile à retenir (car visuel) et à la fois beaucoup plus sécurisé que "Zjx8o9_p12Ax" - voir ce xkcd : https://xkcd.com/936/ (et gérer la rotation avec un caractère supplémentaire ou un chiffre à l'intérieur de la phrase et qui itère au fil des périodes)
  
• SOLUTION 3 - utiliser un "algorithme" simple et appliqué à chaque site pour reconstruire un mot de passe unique, de la même manière, quel que soit le site - par ex. (mais à vous d'inventer le votre, en + riche), en version ultra simple pour l'illustration, accoler un "mot" (token) avec le nom du site (et qqs caractères supplémentaires pour respecter les règles), ex. "<nom_du_site><token>8S_", ce qui donnera pour SAP avec le mot/token "ABCDe" => "SAPABCDe8S_", pour google => "GOOGLEABCDe8S_", etc. (idem pour la rotation)
  
• SOLUTION 4, mais qui est plus complémentaire qu'une solution en elle même, normalement : utiliser des clés type yubikey https://www.yubico.com/la-cle-yubikey/?lang=fr - mais attention, c'est cher (et il faut plusieurs clés, minimum 2, voire 3), et normalement c'est surtout pour gérer le 2FA, donc en complément du password (et pas à la place) (= remplace surtout les "authenticateurs" sur smartphone type Authy, etc. (chiffres à saisir), etc.)
  

Dites, j'ai un souci avec Word. Parfois, lorsque j'ouvre une fenêtre, la fenêtre se referme. Plus rarement, il se ferme complètement et je dois relancer le pc pour pouvoir ouvrir le document. De même, parfois, je ne peux pas sélectionner le format d'enregistrement : le menu déroulant s'ouvre et se referme immédiatement, sans que je puisse changer le format.

Est-ce qu'il y a quelque chose à faire, à vérifier ?

j'utilise bitwarden et des mdps généré par algorithme humain (un peu faible dans mon cas)

Franchement, bitwarden, c'st bien, + le partage familial (2 en version gratuite) est utile.

Killing Joke a écrit : ↑mar. avr. 23, 2024 11:35 am SOLUTION 3 - utiliser un "algorithme" simple et appliqué à chaque site pour reconstruire un mot de passe unique, de la même manière, quel que soit le site - par ex. (mais à vous d'inventer le votre, en + riche), en version ultra simple pour l'illustration, accoler un "mot" (token) avec le nom du site (et qqs caractères supplémentaires pour respecter les règles), ex. "<nom_du_site><token>8S_", ce qui donnera pour SAP avec le mot/token "ABCDe" => "SAPABCDe8S_", pour google => "GOOGLEABCDe8S_", etc. (idem pour la rotation)

J'éviterais quand même de mettre de façon aussi évidente dans mon mot de passe le nom du site.