En vulgarisé (enfin le plus que je peux tout en restant cohérent), il y a deux failles liées, nommées “Metldown” et “Spectre”.
La première, nommée “Metldown”, permet de contourner la protection des données offerte par l’isolation de la zone mémoire de chacun des processus, en s’appuyant sur une faiblesse découverte au niveau physique du processeur lui-même.
Pour l’instant, on considère que cette faille touche mes processeurs dits « modernes », principalement de marque Intel, depuis près de 10 ans.
Quant à la seconde, “Spectre”, elle est assez proche de Meltdown, mais serait plus dévastatrice.
Concernant un peu de contexte, les détails de ces failles sont sous embargo (jusqu’à aujourd’hui, 4 janvier 2018, ou jusqu’au 9).
Ainsi, il est important de mettre à jour pour corriger en partie ces failles, mais vu que cela touche la partie physique du système, il risque d’être nécessaire de changer de matériel … (petit conseil personnel, regardez ailleurs que chez Intel)
Autres sources, un peu partout :
http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case-of-the-linux-page-table
Autre domaine pour Spectre, site web identique : https://spectreattack.com/
https://googleprojectzero.blogspot.fr/2018/01/reading-privileged-memory-with-side.html
Le patch sous Linux, avec l’option X86_BUG_CPU_INSECURE dans la configuration du noyau : https://github.com/torvalds/linux/commit/a89f040fa34ec9cd682aed98b8f04e3c47d998bd#diff-678874d00bf0df04f6f427f16f1dea36R902
En français https://www.nextinpact.com/news/105909-failles-securite-et-kpti-intel-publie-courte-reponse-fin-embargo-9-janvier.htm
En français https://www.numerama.com/tech/318251-faille-critique-sur-les-processeurs-intel-quelles-seront-les-consequences.html
En français https://www.numerama.com/tech/318576-meltdown-et-spectre-7-questions-pour-comprendre-les-failles-critiques-sur-les-processeurs.html
’Murica! Fock Yeah!
Sauvegarde : https://i.imgur.com/xy0V2iD.png (source https://imgur.com/gallery/XqLcT)
Vu sur FRnOG.
Un peu de documentation très bien faite sur SPICE et QEMU, et en y retouchant, j’ai maintenant le support de la souris avec relâchement automatique ! \o/
C’est de la folie !
Voilà ce que j’utilise pour un système installé sur une partition dédiée (en l’occurrence, un système Microsoft Windows 7 pour développer dessus quand je n’ai pas le choix) ; première partie à exécuter en tant que root pour monter le système, et deuxième partie en tant que simple utilisateur (moi en l’occurrence) :
-------- BEGIN FILE virtu_win7.sh --------
!/bin/env bash
coding: UTF-8
2017-11-13
DISKIMG="/dev/md/thican_win7"
if [ "$EUID" = "0" ] || [ "$USER" = "root" ] ; then
Those 3 commands, as root, before starting, to create the device /dev/md/thican_win7
FILE_MBR="/media/data_raid_2t_xfs/virtual_machines/win7_boot.mbr"
# Boot on "/dev/sdc1"
PARTITION_BOOT_UUID="586887AD68878888"
PARTITION_BOOT="/dev/disk/by-uuid/${PARTITION_BOOT_UUID}"
# System on "/dev/sdc2"
PARTITION_SYSTEM_UUID="D0C40178C40161D8"
PARTITION_SYSTEM="/dev/disk/by-uuid/${PARTITION_SYSTEM_UUID}"
losetup --find "${FILE_MBR}" && \
mdadm --build "${DISKIMG}" --level=linear --raid-devices=3 "$(losetup --list --output NAME --noheadings --associated "${FILE_MBR}")" "${PARTITION_BOOT}" "${PARTITION_SYSTEM}" && \
chown thican "${DISKIMG}"*
# En extra :
chmod g=rX,o=rX /dev/md/else
export QEMU_AUDIO_DRV=pa
MAC_ADDR="…"
/usr/bin/qemu-system-x86_64 -enable-kvm -machine type=pc,accel=kvm \
-cpu host -smp cores=2,threads=1 -m size=8G \
-drive file="${DISKIMG}",media=disk,format=raw,cache=none,if=virtio \
-boot order=c,menu=off -monitor stdio \
-name "Windows 7" \
-net nic,vlan=0,macaddr="${MAC_ADDR:-52:54:00:01:23:45}",model=virtio \
-net user,vlan=0 \
-display none -vga qxl -spice port=6000,disable-ticketing,disable-copy-paste,playback-compression=off \
-device virtio-serial-pci \
-chardev spicevmc,id=vdagent,debug=0,name=vdagent \
-device virtserialport,chardev=vdagent,name=com.redhat.spice.0 \
-usb \
-soundhw hda
-display gtk -vga vmware \
fi
-------- END FILE virtu_win7.sh --------
Et ensuite, j’utilise un client graphique tel que Remmina pour afficher avec SPICE la VM.
Profitez-en bien.
Les monnaies basées sur le “Proof of Work” (PoW) sont une catastrophe du point de vue écologique.
Et cette plaie qu’est le Bitcoin va être traînée pendant de longues décennies, jusqu’en 2140[1] d’après les estimations (oui oui, plus de 120 ans), avec une augmentation de la consommation énergétique que cela entraîne pour être le premier à récolter la maigre récompense.
1: https://bitcoin.stackexchange.com/questions/10486/when-will-the-last-bitcoin-be-mined
EDIT 2017-11-10: voir aussi https://digiconomist.net/bitcoin-energy-consumption
Ensemble d’actualités concernant le piratage dont a été victime Equifax (Equifax est une agence « dont la mission est de rassembler [des] informations […] sur les personnes souscrivant des crédits »).
Ce qui choque dans cette affaire, c’est le fait que l’entreprise cherche à nier ses erreurs, en les collant sur le dos de tiers, tout en ayant mis du retard à indiquer la fuite (découverte en interne le 29 juillet) pour prendre le temps de vendre des actions ou créer des lois.
« Il y a des torgnoles qui se perdent ! »
Voir aussi l’article (fr) sur NextINpact : https://www.nextinpact.com/news/105125-piratage-dequifax-jusqua-143-millions-victimes-donnees-tres-sensibles-derobees.htm
about:config:
-
network.http.sendRefererHeader
0 - never send the referring URL.
1 - send only when links are clicked.
2 - send for links and images (default). -
network.http.referer.XOriginPolicy
0 - always send referrer (default).
1 - only send if base domains match.
2 - only send if hosts match. -
network.http.referer.spoofSource
false - send the referrer (default).
true - spoof the referrer and use the target URI instead. -
network.http.referer.trimmingPolicy
0 - send full URI (default).
1 - scheme, host, port and path.
2 - scheme, host and port.
Vérifiez que la valeur de la variable "UserspaceHID" soit sur "true" dans le fichier "/etc/bluetooth/input.conf".
En voilà une avancée technologique très prometteuse, aussi bien écologique que (géo)politique.
Nous ne pouvons plus négliger le besoin de plus en plus important de stockage en énergie, à cause de nos besoins grandissants en mobilité ; or les solutions actuelles basées sur le Lithium-ion posent de nombreux problèmes géopolitiques et humains, liés à la rareté de ce métal[1]. Du fait de cette rareté dans de peu nombreuses zones, de nombreux conflits s'y opposent pour accéder à ces ressources.
Or la solution trouvée aux problèmes des électrocatalyseurs actuels va permettre le déploiement des batteries en zync-air, éléments plus abondants et plus respectueux écologiquement, changeant la donne sur les problèmes liés à l'extraction, la production, et la vie des produits Lithium-Ion.
1: https://www.washingtonpost.com/graphics/business/batteries/congo-cobalt-mining-for-lithium-ion-battery/ (anglais)
Autre source : http://www.amisdelaterre.org/IMG/pdf/lithium.pdf (français)
@TODO
Héhé, vivement que je retourne dans la bulle pour visiter ce système :-)
(Article en anglais)
Et voilà, une seule erreur, et c’est la catastrophe pour tout le monde ! Pourquoi ? parce que c’est le genre de risques qu’il y a avec tous ces services super centralisés.
Aujourd’hui, la flemme de décrire la faille (j’écris surtout pour garder les liens), mais en gros, ça s’appelle "CloudBleed", car ça a le même soucis que HeartBleed, c’est une zone mémoire prise aléatoirement.
En français, sur NextINpact : https://www.nextinpact.com/news/103421-cloudbleed-importante-fuite-donnees-chez-cloudflare-changez-vos-mots-passe.htm
En français, sur LinuxFR : https://linuxfr.org/users/pied/journaux/ho-la-belle-prise-chez-cloudflare
En anglais : https://bugs.chromium.org/p/project-zero/issues/detail?id=1139
Première collisions SHA-1 détectées, il est temps de considérer cet algorithme comme obsolète, en tout cas pour éviter la mitigation (ne panique pas toutefois, ça ne se trouve pas en un claquement de doigts).
Via SebSauvage : http://sebsauvage.net/links/?UEg0RQ
EDIT 2017-02-24 : en français sur LinuxFR : https://linuxfr.org/users/gouttegd/journaux/et-paf-le-sha-1
Voici une bande dessinée qui explique les découvertes autour du système Trappist-1, contenant sept planètes de taille et masse identiques à la Terre, gravitant autour d’une étoile dite "naine", plus petite que notre Soleil.
EDIT : Un article écrit chez NextInpact à ce sujet (actuellement réservé aux abonnés, il sera disponible pour tous d’ici quelques jours) : https://www.nextinpact.com/news/103400-trappist-1-sept-exoplanetes-trois-en-zone-habitable-decouverte-majeure.htm