Archives de catégorie : Sécurité

Les failles Meltdown et Spectre sur le net

Lien

Répondre

Plus gros que le bug de l’an 2000 et beaucoup plus discret … Misère.

Publié Site Liens
05/01/2018 futura-sciences.com https://www.futura-sciences.com/tech/actualites/securite-processeurs-intel-deux-failles-securite-touchent-aussi-puces-amd-arm-69737/ : Processeurs Intel : deux failles de sécurité touchent aussi les puces AMD et ARM .
05.01.2018 à 15h10 sciencesetavenir.fr https://www.sciencesetavenir.fr/high-tech/informatique/failles-de-securite-meltdown-et-spectre-les-fabricants-de-processeurs-dementent-tout-risque_119616 : Pour Intel, Meltdown ne relève pas d’une faille de conception et sera peu sensible pour les utilisateurs.
06 janv. 10:11 lci.fr https://www.lci.fr/high-tech/processeurs-intel-failles-informatiques-meltdown-et-spectre-apple-amazon-google-vous-etes-surement-concernes-voici-ce-que-vous-risquez-2075174.html : Failles informatiques Meltdown et Spectre : vous êtes sûrement concernés, voici ce que vous risquez.
05/01 à 11:24 lesechos.fr https://www.lesechos.fr/tech-medias/hightech/0301101606811-deux-importantes-failles-de-securite-decouvertes-dans-tous-les-processeurs-intel-2142383.php : Intel à l’épreuve de failles de sécurité sur ses processeurs
05/01/2018 à 14h15 bfmtv.com http://bfmbusiness.bfmtv.com/hightech/failles-intel-course-contre-la-montre-pour-corriger-spectre-et-meltdown-1342585.html : Failles Intel: course contre la montre pour corriger Spectre et Meltdown
04.01.2018 à 12h55 sciencesetavenir.fr https://www.sciencesetavenir.fr/high-tech/informatique/la-faille-de-securite-meltdown-contraint-intel-a-brider-la-vitesse-de-ses-processeurs_119588 : Une faille de sécurité contraint Intel à brider la vitesse de ses processeurs
4 janvier 2018 à 11h57 journaldugeek.com   http://www.journaldugeek.com/2018/01/04/meltdown-et-spectre-le-point-sur-les-failles-majeures-touchant-aussi-bien-les-cpu-intel-que-les-autres-marques-et-architectures/ : Meltdown et Spectre : le point sur les failles majeures touchant aussi bien les CPU Intel que les autres marques et architectures
04/01/2018 à 11:35 lefigaro.fr http://www.lefigaro.fr/secteur/high-tech/2018/01/04/32001-20180104ARTFIG00082-qui-sont-spectre-et-meltdown-les-failles-de-securite-qui-font-trembler-le-monde-de-l-informatique.php : Que sont Spectre et Meltdown, les failles de sécurité qui font trembler le monde de l’informatique ?
03/01/2018 à 16:31 lefigaro.fr http://www.lefigaro.fr/secteur/high-tech/2018/01/03/32001-20180103ARTFIG00166-une-faille-de-securite-majeure-dans-des-processeurs-intel-menace-la-performance-des-ordinateurs.php : Une faille de sécurité dans des processeurs Intel menace la performance des ordinateurs
04/01/2018 à 18h41 01net.com http://www.01net.com/actualites/intel-amd-arm-7-questions-pour-comprendre-les-mega-failles-des-processeurs-1341798.html : Intel, AMD, ARM: 7 questions pour comprendre les méga-failles des processeurs
3 janvier 2018 | 12:15 macg.co https://www.macg.co/materiel/2018/01/une-faille-de-securite-de-dix-ans-dans-les-processeurs-intel-100940 : Une faille de sécurité de dix ans dans les processeurs Intel
3 janvier 2018 à 14h37 hitek.fr http://hitek.fr/actualite/faille-securite-processeurs-intel-baisse-performances-ordinateurs_15014 : UNE IMPORTANTE FAILLE DE SÉCURITÉ SUR LES PROCESSEURS INTEL RISQUE DE RALENTIR LES PERFORMANCES DE VOTRE ORDINATEUR
03 janvier 2018 numerama.com https://www.numerama.com/tech/318251-faille-critique-sur-les-processeurs-intel-quelles-seront-les-consequences.html : Faille sur les processeurs Intel : quelles protections, quelles conséquences possibles
03 janvier 2018 blogdumoderateur.com https://www.blogdumoderateur.com/faille-processeurs-intel/ : Processeurs Intel : la correction d’une faille majeure pourrait ralentir votre ordinateur
03 janvier 2018 techniques-ingenieur.fr https://www.techniques-ingenieur.fr/actualite/articles/faille-intel-le-pire-est-a-venir-50725/ : Faille Intel : le pire est à venir
04 janvier 2018 lemonde.fr http://www.lemonde.fr/pixels/article/2018/01/05/meltdown-et-spectre-les-deux-failles-critiques-decouvertes-dans-la-plupart-des-processeurs_5237712_4408996.html :
Déc 29, 2017 macfay-hardware.fr http://www.macfay-hardware.fr/failles-processeurs-intel-explique/ : Des failles dans nos processeurs Intel ? On vous explique tout !

En attendant la publication du de XSA-253 ( patch KPTI / KASLR ) : #meltdownattack

Publié le par
6

Pour plus d’information sur la faille qui va faire perdre des performances:

Many x86 CPUs leak information to user space due to missing isolation of user space and kernel space page tables. There are many well documented ways to exploit that.
The upcoming software migitation of isolating the user and kernel space page tables needs a misfeature flag so code can be made runtime conditional.
Add the BUG bits which indicates that the CPU is affected and add a feature bit which indicates that the software migitation is enabled.
Assume for now that _ALL_ x86 CPUs are affected by this. Exceptions can be made later.

On va donc attendre jeudi à midi.

J’ai l’impression que l’on va vendre du CPU dans les prochains mois … Misère.

 

Digiposte + : les améliorations possibles et souhaitables.

Publié le par
Répondre

Je fais un nouvel article sur Digiposte (le service de La Poste). Mes précédents articles :

Je vais donc reprendre les améliorations possibles….

La sécurité :

C’est toujours le principal à mes yeux. Il faut au minimum :

  • Un interface qui liste les dates de connexions sur le dernier mois (pour tous les comptes). Sur l’interface il suffit de marquer : date, IP.
  • Un email pour informer qu’il y a une connexion (optionnel).
  • La double authentification (au moins pour les comptes payant).
  • Pouvoir bloquer certaines connexions venant de certains pays : Ukraine, Russie, Mexique (Je vais me faire des amis).

Aujourd’hui sur Digiposte il y a des documents sûrement plus importants que sur Google, par contre Googla a une interface qui liste les connexions, la double authentification …. C’est anormal que Digiposte ne fasse pas plus pour la sécurité.

La gestion des doublons :

Actuellement il y a des doublons de PDF, il faudrait une interface qui puisse détecter les doublons et qui propose la suppression. Il est facile de détecter des doublons de fichier, il suffit par exemple de calculer un checksum sur chaque fichier.

Les badges

Pour moi Digiposte devrait clairement développer les badges, (comme fait https://basno.com ) comment cela fonctionnerait ? C’est simple, les organismes poussent les diplômes, ou les certificats, ou les résultats vers Digiposte. Ensuite l’utilisateur veut en faire un Badge, il clique sur un bouton et cela crée une lien avec une image par exemple : <a href="https://secure.digiposte.fr/badge/123456789.html"><img src="https://secure.digiposte.fr/img/bac.png" alt="Bac"/></a>. Enuiste ce lien (avec l’image) peut être copié sur le CV, sur un blog, sur un email, sur un formulaire. Cela permet a une personne de vérifier la véracité du document, car en cliquant il tombe sur Digiposte.

 Cela permet par exemple :

  • A un recruteur de bien vérifier que les diplômes ont étés obtenus. « Selon la rue de Grenelle, jusqu’à 30% des CV transmis par les candidats aux cabinets de recrutement présentent des diplômes « de façon abusive ou inexacte ».
  • A un organisateur d’une plongée de vérifier que tous les plongeurs ont le niveau 1.
  • Pour chaque course on doit envoyer (via téléchargement) ou apporter le certificat médical. En utilisant un lien, c’est plus facile de voir la véracité et c’est plus facile pour le site qui fait l’enregistrement des coureurs.
  • A un organisateur d’un Trail de voir le nombre de point UTMB que le coureur possède. Le site @JaimeCourir a tous les résultats des courses, et certaines courses donnent droit à des points UTMB. Mais il n’y a pas de réelle vérification ….

On peut aussi imaginer des Badges pour des formations, ou des salons….

Ensuite l’idéal serait de faire des partenariats avec viadeo.com, linkedin.com ou xing.com pour les diplômes.

Bien sûr Digiposte doit gagner de l’argent, ( c’est le nerf de la guerre ):

  • Rendre les badges payants.
  • Mettre de la publicité quand une personne vient vérifier.
  • Il faut voir que cela va faire « gonfler » le compte, et donc les utilisateurs vont atteindre plus rapidement les 5 Go.
  • Rendre payant les statistiques de visite des Badges.

Voici par exemple mon badge de SPARTAN RACE : https://basno.com/67zq8ini , si on clique dessus :

Le source du badge étant : <a href= »http://basno.com/67zq8ini »> <img class= »aligncenter » src= »http://basno.com/67zq8ini.png » alt= » » /> </a>

Petite comparaison entre digiposte.fr et basno.com sur http://rankchart.net/ :

INTERFACE PLUS SIMPLE POUR LES PME

Actuellement seul les grosses entreprises sont visibles sur Digiposte, il faudrait mettre à disposition une interface plus simple pour les petites PME.

 

A suivre.

(Docteur-gsm.com & Paradisdiscount.com ) Enfin j’ai eu mon remboursement !

Publié le par
3

L’histoire est longue, l’histoire commence avant mon article sur la réparation de l’Alcatel IDOL : https://www.cyber-neurones.org/2016/03/changement-ecran-tactile-alcatel-onetouch-idol-3/ du 17/03/2016 (24033 visites le 3/08/2017). Avant d’écrire l’article j’ai une personne (sur un forum) qui m’indique qu’il est possible de changer seulement la vitre (contrairement à ce que je dis, pour moi seul le bloc complet peut être mis facilement). Pour cela il me dit qu’il faut commander chez docteur-gsm.com ou paradisdiscount.com. Au début je ne suis pas chaud quand je vois que c’est à Hong Kong, mais finalement je me dis que cela peut faire un bon sujet : « Pièce bidon ». Ensuite je décide de commander une première fois chez paradisdiscount.com , et de commander la même pièce chez docteur-gsm.com mais d’annuler rapidement la transaction. Le but de la seconde commande est plus de testé hipay.com . Voir si l’on peut annuler le paiement …

  • 25/02/2016 : Commande #GERCCJQPF passée le 25/02/2016 sur paradisdiscount.com .
  • 14/03/2016 : Commande #294099771 passée à 20:23:07 sur docteur-gsm.com 
  • 14/03/2016 : Demande d’annulation de la commande au vendeur et à hipay. à 20:38 (soit 15 min après, si je suis pas dans la loi HAMON à moi la peur ?
  • 14/03/2016 : Accusé de réception de hipay.com [TK_2373926] à 20h38 
  • 14/03/2016 : Email de confirmation à leur email TK_2373926 à 20h48 
  • 15/03/2016 : Signalement sur https://www.internet-signalement.gouv.fr/ . Mais il ne faut rien attendre de eux … c’est pour le fun malheureusement ? .
  • Je fais donc des articles et des emails pour prouver les mensonges.
  • 06/01/2017 : Signalement sur https://www.internet-signalement.gouv.fr/  6240d8a5cd . Histoire de faire un petit rappel ?
  • Ensuite je laisse tomber car j’estime que c’est perdu.
  • 13/07/2017 : Contact du juriste pour que je supprime tous les articles. Donc je décide de reprendre les conversations avec le juriste, hipay.com et la DDPP des alpes-maritimes. Je m’aperçois en plus qu’il diffuse mon adresse personnelle sans mon consentement, je saisi donc la CNIL et Blogger.com. Il supprime donc après quelques temps … mais je peux voir qu’ils utilisent le même procéder sur d’autres personnes.
  • Je refais donc des articles et des emails pour prouver les mensonges. Facile depuis le temps il est apparu de nombreuses vidéos sur la réparation et toutes montrent une vitre avec le bloc. En plus de cela docteur-gsm.com s’enfonce dans des explications :
  • 30/07/2017 : Il continue avec leurs mensonges, je n’en peux plus … je décide donc de faire un audit de sécurité sur leurs sites. Pour les informer gratuitement des failles de sécurité, sans bien sûr exploiter ses failles (c’est illégal). Je commence par un premier article que je juge léger car il permet seulement de faire une attaque de type « force ». Mais ils comprennent ou je veux en venir …
  • 30/07/2017 : Je vois que Docteur-gsm.com est très sensible aux commentaire dans TrustScore. Donc je fais un commentaire piquant :
  • 30/07/2017 : Docteur-gsm.com m’indique : « Notre avocat à contacter Gandi pour les deux derniers articles… c’est pas dans le but de vous nuire, c’est pour nous protéger. Nous ne voulons pas vous causer du tord et engendrer d’autres actions de votre part. » Et je répond que je meurs d’envi de voir leur avocat ….  Certaines personnes prennent peur quand il y a le mot « avocat » ou « juriste » dans un email.  … et c’est le dénouement (il faut dire que payer un avocat n’est jamais vraiment rentable. Et que leur cas est difficile a plaider vu que dans tous les échanges il y a hipay, DDPP, …), il me propose de me rembourser. Ouf …
  • 02/08/2017 : Remboursement de Docteur-gsm.com et Paradisdiscount.com . J’ai donc eu mon remboursement après 1 an et 5 mois de l’achat (pour ne pas dire plus) avec en plus l‘envoi de plus de 50 emails et l’écriture de près de 20 articles. J’estime donc que c’est une défaite. Il aurait fallu avoir 300 Euro (au moins) de dédommagement pour tous le temps que j’ai perdu. Mais bon google va faire son travail et référencer mes articles, cela permettra à d’autres personnes de ne pas faire la même erreur.
  • 02/08/2017 : J’informe docteur-gsm.com  que j’ai supprimé l’article comme convenu, et il résume :
    Merci, encore désolé pour notre conflit.

En conclusion : Malgré le remboursement je continue mon boycott de tous les sites utilisants le paiement hipay. Il est anormal que si Hipay a connaissance de mensonge clair de la part d’un Marchand, il ne puisse pas le bloquer (ou faire pression pour un remboursement). En fait cela m’a donné l’idée d’une start’up « Plume Pigeon », le concept est simple il faut un se situer dans un pays ou le transport coute plus de 10 Euro (Hong Kong), ensuite il faut prendre un système de paiement qui ne va pas faire pression sur le Marchand, et dernièrement il faut faire des paiements inférieur au prix de renouvellement de carte bleu : 30 Euro. En faisant cela le client ne fera pas opposition à l’achat car ce n’est pas rentable pour lui …

Les tags pour suivre les articles :

Maintenant je ne ferai donc plus d’article et d’achat via docteur-gsm.com , paradisdiscount.com, hipay.com.