GuiGui's Show

Rigolo :)

« Le protocole de routage OSPF est traditionnellement configuré statiquement, et à la main par l'administrateur réseaux. Certains réseaux, comme par exemple des réseaux un peu complexes à la maison, ont besoin d'un protocole de routage, mais sans avoir d'administrateur réseaux disponible. [NDLR : comme dans le projet Homenet -> https://www.bortzmeyer.org/7368.html ] Il faudrait un OSPF qui se configure tout seul, « plug and play ». Ce court RFC montre que c'est possible, avec très peu de modifications des mises en œuvre d'OSPF.

A priori, les réseaux auto-configurés n'auront aucune forme d'authentification, celle-ci nécessitant une certaine action de l'administrateur, par exemple entrer les mots de passe (section 4 de notre RFC). Si, toutefois, on veut authentifier, il est recommandé d'utiliser l'option du RFC 7166.

Dans OSPF, chaque routeur a un router ID (RFC 2328, section 1.2), qui fait 32 bits mais n'est pas une adresse IPv4. Il doit être unique dans la zone donc il faut que tous les routeurs auto-configurés se débrouillent pour ne pas prendre le même (autrefois, c'était une adresse IPv4, et celle du routeur - RFC 5340, annexe C.1, donc l'unicité était facilement garantie). Il faut donc désormais la générer aléatoirement, en utilisant comme graine du générateur aléatoire une information unique, comme le router hardware fingerprint décrit en section 7.2.2.

Même dans ce cas, des collisions de router ID sont possibles. Il faut donc une procédure de détection des duplicatas (section 7) qui consiste, pour les voisins immédiats, à se rendre compte qu'un LSA porte le même router ID que vous, avec une adresse IPv6 différente. Il faudra alors changer : c'est le routeur avec la plus petite adresse IP qui doit changer son router ID. Cette procédure de détection et de correction a été le plus gros sujet de discussion au sein du groupe de travail à l'IETF.

Pour les routeurs non-voisins, on utilise un nouveau TLV placé dans le LSA d'auto-configuration, Router-Hardware-Fingerprint, déjà mentionné au paragraphe précédent (au passage, ce nouveau LSA, prévu pour l'auto-configuration, est le numéro 15 et les valeurs qu'il contient font l'objet d'un nouveau registre). Sa valeur est un nombre qui a de très fortes chances d'être unique. Il est recommandé de le fabriquer en concaténant des valeurs probablement uniques, mais stables, comme l'adresse MAC, et numéro de série du routeur.

Comme vu plus haut au sujet de l'authentification, la sécurité ne s'entend pas bien avec l'auto-configuration (section 8 du RFC). L'auto-configuration fait que n'importe quelle nouvelle machine va être « adoptée » par le réseau et pourra y participer immédiatement. Une aubaine pour un attaquant. Si on n'est pas prêt à accepter cela, il faut recourir aux mécanismes d'authentification décrits dans la section 4 (RFC 7166 ou RFC 4552). »

Voir aussi : http://rick-hightower.blogspot.fr/2014/01/boon-json-in-five-minutes-faster-json.html

La seule fonctionnalité de la lib java Boon que j'ai testé est son parser json. Il est réputé très rapide, comme Jackson (autre lib java). Ces deux libs permettent d'obtenir directement des objets Java (POJO) à partir d'un fichier json. Pour moi, c'est assimilable à de la sérialisation/desérialisation d'objets java en json.

Àmha, ces lib sont utiles quand on doit parser du json dont le contenu est parfaitement déterminé. Exemple : une liste de clients. Sur des structures indéterminées (exemple : une annonce BGP), on aura très vite des clés au nom imprévu à l'avance (un préfixe IP, par exemple) et des besoins de récursivité (liste de listes d'entiers, par exemple). Sur ces cas d'usage, on perd en flexibilité (par rapport à des libs plus simple comme json-minimal) si l'on utilise des desérialiseurs custom voire ce n'est pas possible du tout.

« Pour le gouvernement – qui l’a répété à de nombreuses reprises – « il n’y aura pas ni DPI ni boîtes noires » (terme pourtant proposé par des conseillers de Matignon eux-mêmes lors de la présentation du texte à la presse, le 17 mars dernier).

Pour les spécialistes, cette affirmation sonne faux, puisque dans le même temps les services précisent ne vouloir accéder qu’aux métadonnées correspondant aux cibles que leur fameux « algorithme » aura définies.

Or de deux choses l’une: soit les services auront un accès direct aux données stockées par les fournisseurs de services (hébergeurs, serveurs de mail, moteurs de recherche…) français – exactement comme dans le programme PRISM de la NSA, qui fut à l’origine du scandale révélé par E. Snowden – soit il devra placer des sondes « boîtes noires » à des points stratégiques du réseau pour extraire du flux de toutes les données échangées celles qui l’intéresse. Ce qui ne peut se faire sans DPI.

[...]

On peut – sans prendre beaucoup de risque – supposer que le processus décrit par Octave Klaba (OVH) après la réunion entre hébergeurs et gouvernement correspond trait pour trait à la première option: contraints par le pouvoir en place, les hébergeurs devront fournir à la demande toutes les métadonnées en leur possession aux équivalents hexagonaux des DITUs du schéma ci-contre.

[...]

D’après les promesses du gouvernement (retranscrites dans le schéma ci-contre fait par Gandi), les données fournies par les hébergeurs se limiteront aux seuls services visés dans l’autorisation de l’exécutif: il n’y aura pas de surveillance générale de tous les sites hébergés. On en déduira que, forcément, l’information qui permet de sélectionner tel ou tel service, telle ou telle boîte email, viendra d’ailleurs: s’il y a « boîte noire » et « détection de signal faible », ça ne peut pas se faire en bout de chaîne, ni sur des services précisément définis. On n’est plus, là, dans la détection: on est dans la surveillance d’une cible déjà identifiée.

C’est déjà grave: c’est exactement ce que fait le programme PRISM, rappellons-le, le tout sans la moindre autorisation judiciaire.

Mais d’où viendront donc les renseignements permettant ce ciblage ?

[...]

Chez eux, point de métadonnées déjà décodées: ils ne sont pas en bout de chaîne, ce sont de simples tuyaux par lesquels passent tous nos petits paquets IP pas encore remis dans l’ordre. Les métadonnées sont quelque part dedans, mais éparpillées «façon puzzle», parfois chiffrées, souvent pas, en désordre complet. Impossible pour les fournisseurs d’accès de ne fournir « que les métadonnées » dont ils disposent: il n’en disposent pas.

Sauf si… Après tout, la promesse de ne pas « tout surveiller » et de ne recueillir « que les métadonnées », pour ce qu’elle vaut (rien n’a été inscrit dans la loi, tout se passera donc dans ses décrets d’application, modifiables à tout instant par d’autres décrets comme Gandi le remarque), cette promesse, donc, le gouvernement ne l’a faite qu’aux hébergeurs. Pas aux FAI.
[NDLR : c'est bien ce que j'avais compris (cf http://shaarli.guiguishow.info/?Oe8evQ). Du coup ce billet est un non-sens : https://reflets.info/le-caractere-intrusif-du-dispositif-dinterception-chez-les-fai-explique-par-les-operateurs/ ]

[...]

Il est probable, si on veut croire (re-mouahaha) les promesses du gouvernement, que seul un équivalent de PRISM soit imposé aux hébergeurs.

Tout comme il est quasi-certain que, côté FAI, on conservera boîte-noire, algorithme, et surveillance de masse. Et, que vos serveurs soient ou non hébergés en France, vous passerez toujours par votre FAI pour y acceder.

Et donc, quoi qu’en dise Bernard Cazeneuve (qui a sans doute un peu trop écouté les vendeurs de solutions de surveillance prêts à tout pour emporter le marché), on fera bien du DPI.

[...]

Pour n’importe quelle personne normale, dès lors que tous les échanges passent au travers de filtres gouvernementaux, il ne peut s’agir d’autre chose que de surveillance de masse, et ce quel que soit l’usage qui sera fait de ces filtres.

Pour un politicien qui veut défendre son bout de gras, cependant, c’est cet usage qui va définir si oui ou non on pèche « au chalut » ou « au harpon »: selon lui, du moment qu’il ne fait que regarder tout ce que nous faisons sans rien en faire (pour le moment) sauf si ça touche au terrorisme, alors il ne s’agit que de pèche au harpon.

Pur artifice de langage, qu’on peut traduire en français courant par « je regarde tout ce que tu fais, mais promis je te surveille pas ». Ou, pour rester dans la métaphore chalutière, « pour savoir où planter le harpon, il faut d’abord utiliser le sonar ».

Accessoirement se pose une question rigolote : un fonctionnaire qui découvre un crime ou un délit – même s’il n’a rien à voir avec le terrorisme – est tenu d’en informer les autorités judiciaires. Est-ce que l’algorithme du gouvernement est considéré comme un fonctionnaire ? Si oui, évitez de sortir des clous de quelque manière que ce soit, puisque vous serez poursuivis selon le bon-vouloir d’une machine, réglée par le gouvernement alors en place. »

Quelques précisions concernant le vocabulaire du gouvernement dans le projet de loi renseignement.

« La communication du gouvernement à propos du projet de loi renseignement est au moins efficace sur un point: il reste dans le flou. Son arme ? Le vocabulaire. Explications.

[...]

« Il n’y a pas de surveillance de masse »: FAUX

Mais là où le technicien et le militant parlent de surveillance de masse, le gouvernement parle, lui, de « simple » collecte massive de données.
Le gouvernement ne parle de « surveillance » que lorsqu’il y a intervention des services de renseignement, donc exploitation des données collectées et intervention de l’humain. La surveillance ne peut donc être massive puisque les dits services n’en ont pas les moyens.

CQFD.

La collecte et la surveillance sont donc deux concepts totalement différents pour le gouvernement. Pour les opposants à la loi en revanche, la surveillance est consubstantielle de la collecte, puisque c’est la définition même d’une société panoptique.

Cette divergence de vue a une conséquence non négligeable en matière de communication:

    le grand public frémit d’effroi devant les militants alarmistes1.
    le gouvernement va venir à la rescousse pour les rassurer: il n’y aura pas surveillance de masse mais plutôt collecte, ni mieux ni pire que « Monsieur Facebook ».
    l’opinion soulagée peut reprendre ses activité normales, ayant de peu échappé à un péril qu’elle croyait imminent…

Au passage, le militant va ramer comme un fou pour contrecarrer ce discours. Mécaniquement, il devient anxiogène pour être entendu, et le gouvernement quant à lui reste rassurant.

À votre avis, qui gagne à ce petit jeu finalement assez proche de Pierre & le loup ?

Il faut le dire et le répéter, la collecte massive de données, prévue dans le projet de loi renseignement, entraîne de facto une surveillance généralisée, au sens de la société panoptique.

« Seules les métadonnées intéressent les services de renseignement, pas le contenu »: FAUX

[...]

Comprenez-moi bien, les services de renseignement vont aussi enregistrer les métadonnées réseau, mais ils ne se contenteront pas que de ça.

[...]

Ce que les services de renseignement convoitent particulièrement, et qu’ils appellent métadonnées, sont donc bien des informations de contenu au sens réseau du terme.
Quelques exemples:

    Champs From, To et Subject pour un mail
    Entêtes HTTP qui donnent, entre autres, le nom d’hôte du site visité, l’URL, le navigateur, etc…
    Les identifiants d’accès (nom d’utilisateurs et mot de passe) à, par exemple, une boîte GMail ou un compte Twitter

Toutes ces informations sont appelées métadonnées par les services de renseignement[...]

Et pour les récupérer, il n’y a pas 36 solutions, il n’y en a qu’une seule: le DPI.

Sauf que Renaud Vedel, conseiller des Affaires intérieures de Manuel Valls, venu jouer les démineurs volontaires désignés d’office lors de l’enregistrement de l’émission « Atelier des médias » le jeudi 9 avril 2015 à Numa m’a affirmé en off, après l’enregistrement, que « les contenus n’intéressent pas les services de renseignement, au contraire des métadonnées comme, par exemple, l’URL d’une vidéo de décapitation sur Youtube ». Par exemple…

C’est bien connu, l’URL HTTP se trouve aux niveaux 3 & 4 du modèle OSI, hein ?… ou pas ? On m’aurait menti ?

Vous le sentez mieux l’enfumage sur les metadonnées ? »

« Stéphane Richard a expliqué qu'il faut "donner aux opérateurs les armes et les moyens d’innover", et que "la neutralité du net est l’ennemie de l’innovation des opérateurs".
[NDLR : sauf que jusqu'à présent, c'est la neutralité des réseaux qui a permis l'innovation de *tous* les acteurs du numérique et l'émergence même du réseau et des applications que nous connaisons aujourd'hui. Sans neutralité, pas de web, pas de FB, pas de cela. Une absence de neutralité permettrait *peut-être* l'innovation chez les opérateurs (et j'en doute fortement, voir plus bas pour l'une des raisons) et chez quelques FSI déjà en position dominante au détriment de tout le reste de l'écosystème. Voilà la nuance. Et là, je parle uniquement du volet économique de la neutralité des réseaux mais je rappelle que c'est beaucoup plus vaste et avec des enjeux plus importants que le fric (liberté d'expression, liberté d'accès à l'information, pluralité des plateformes et services,...  ]

"Moi aussi, j’aimerais bien qu’internet soit gratuit dans le monde entier. Mais ça n’est possible que dans les rêves", a-t-il déclaré, feignant de ne pas savoir que la question de la neutralité du net n'est pas celle de la gratuité, mais de la non-discrimination dans le traitement des communications. Le principe de la neutralité veut que les paquets soient transportés avec le même effort quelque soit le contenu, le destinataire ou l'expéditeur.

Or Orange a porté une entaille dans ce principe en commercialisant ce mois-ci un "Débit confort" qui permet aux abonnés souscrivant à l'option de bénéficier, non pas d'un tuyau plus large en toutes circonstances, ce qui n'aurait pas poser problème, mais un traitement prioritaire dans les zones à forte affluence. Le réseau peut s'y trouver congestionné si le point d'accès mutualisé n'est pas correctement dimensionné, ou si les ondes mobiles qui ne sont disponibles qu'en quantité limitée saturent. Dans ce cas les communications émises ou reçues par les clients à l'option "Débit confort" bénéficient d'un accès prioritaire aux mêmes routes que les autres clients, qui passent en second.

Ces derniers voient donc la qualité de leur accès mécaniquement dégradée pour laisser place aux clients prioritaires, ce qui encouragera toujours plus d'abonnés à souscrire à l'option, jusqu'à ce que plus personne ne puisse être prioritaire et que soit lancée une option "Débit vraiment confort", et ainsi de suite... L'intérêt commercial d'Orange devient alors d'arrêter de faire évoluer ses tuyaux, et de miser sur la congestion réelle ou induite pour obtenir que ses clients payent des accès prioritaires.
[NDLR : oui, la QoS est vendable uniquement sur un réseau sous-dimensionné/saturé : https://shaarli.guiguishow.info/?B-FJ1w ] »

« Pour les professionnels, Moneo précise que son service ne sera plus autorisé à fonctionner à compter du 30 avril. Les paiements sur les automates divers et horodateurs seront désactivés à compter du 31 mai.

Exception est faite pour les étudiants qui utilisent ce système dans les CROUS ou les restaurants universitaires. Les distributeurs automatiques, photocopieurs ou laveries prendront encore en charge le dispositif jusqu'au 30 juin. Pour les restaurants universitaires, la date de fin est prévue au 17 juillet 2015. »

Raaaaaaaaaah quelle excellente nouvelle ! Monéo, c'était juste invivable. Le but a toujours été la traçabilité des petits échanges qui se font en liquide, c'est tout, faut bien se l'avouer.

C'était juste l'enfer : montant minimal de chargement donc il restait toujours de l'argent inutilisé/able dessus, pour récupérer l'argent restant dessus, il fallait trouver la banque à l'autre bout de la ville qui a le bon lecteur (car les lecteurs habituels ne savent pas faire, ofc !), machines de chargement trop souvent en panne, il fallait utiliser ça ou rien, en dehors du campus, il fallait trouver les commerces acceptant Monéo,... Et là je parle uniquement des cas concernant les étudiants.

Dans quelques mois, il restera uniquement les monéo resto (et à part des pannes du SI Monéo, je n'ai rien remarqué de négatif à leur sujet en comparaison des titres restaurant papiers) \o/

Et pour le lulz : « Les personnes qui désirent récupérer les sommes d'argent encore présentes sur leurs comptes peuvent agir dès à présent. Elles doivent cependant faire vite puisque cette possibilité leur est ouverte jusqu'au 28 juillet. [...] Sinon, Moneo promet qu'un formulaire de demande sera mis en ligne sur son site à partir du mois de juillet. » :')

Via http://sebsauvage.net/links/?w0hs_A

« Des sondes un peu partout chez les FAI

Des sondes DPI, il en existe chez à peu près tous les FAI. La comptabilité de Qosmos sur ce point est très claire. Free est un bon client. Quant à Amesys, elle a répondu à un projet nommé « Matrice 10GB » chez Orange en décembre 2010 pour l’installation de DPI de test :

    « Pour répondre à des besoins de monitoring sur ses architectures complexes utilisant des infrastructures complexes utilisant  avoir une solution flexible que nous appellerons matrice pour rediriger et filtrer à la demande le flux en provenance d’un splitter ou d’un port de capture vers un outil d’analyse, optimisant de la sorte l’utilisation de ces derniers. En amont des matrices seront déployées par l’ingénierie site des splitters 70/30 installés dans des répartiteurs optiques ou des TAP Cuivre Gigabit. Les matrices seront déployées dans une armoire où seront aussi regroupés sondes et analyseurs de protocoles. Deux catégories d’usages sont aujourd’hui identifiées :

        La collecte en permanence des points précis de l’infrastructure à des fins de supervision de la qualité de fonctionnement via des équipements sondes

        la collecte de manière ponctuelle pour l’analyse des flux réseau dans le cadre de la résolution d’un incident ou du traitement d’un problème (analyseur de protocoles). »

Ces usages du DPI n’ont rien de commun a priori avec celui envisagé par le gouvernement. Il s’agit là de qualité de service, de facturation de services, bref, pas vraiment de la surveillance de masse. »


À recouper avec :
    * https://twitter.com/olesovhcom/status/589308079323373568

    * Les propos sur Twitter d'Alex Archambault (Free) il y 'a quelques années

    * Les révélations Snowden autour des liens Orange<->services de renseignement (cf http://shaarli.guiguishow.info/?7Hxmig).

« « Des “Imsi Catchers” espions devant l’Assemblée ? » titre FranceInfo.fr : la radio a diffusé sur son site ce jeudi matin une interview de la porte-parole de la Quadrature du Net, Adrienne Charmet, qui affirme que deux de ces appareils permettant d’intercepter des conversations téléphoniques avaient été détectés pendant la manifestation de lundi contre le projet de loi sur le renseignement.

[...]

 « Il n’y a pas assez de preuves »

« Je pense qu’il faut y aller avec des pincettes », minimise néanmoins Adrienne Charmet au téléphone avec Rue89. Plusieurs personnes proches de l’association, dont Julien Rabier (@taziden), ont en fait détecté lundi la présence d’appareils type Imsi Catcher sur des applications mobiles précisément conçues pour détecter les faiblesses du réseau.

[...]

Pour s’assurer de cette découverte, des membres de l’association sont retournés à proximité de l’Assemblée pour vérifier la présence de signaux . Rien n’est alors apparu sur les radars et Adrienne Charmet explique avoir rappelé le journaliste de France Info pour lui apporter cette précision.

La prudence est en effet de mise, car plusieurs scénarios sont envisageables. Et tous ne pointent pas forcément vers un espionnage mis en œuvre par les services de l’Etat :

    la première option peut tout simplement être une défaillance des applications mobiles utilisées. Sur Twitter, de nombreux experts du réseau mobile expliquent que ces dernières manquent de fiabilité et peuvent signaler une antenne d’un opérateur tout ce qu’il y a de plus classique ;

    la seconde possibilité est la présence, réelle, d’appareils équivalents aux Imsi Catchers, le jour de la manifestation. Mais là encore, rien n’assure aujourd’hui que ces équipements étaient pilotés par des services. Adrienne Charmet le reconnaît volontiers :

    « Il n’y a pas assez de preuves. Je doute d’une coïncidence mais il pourrait très bien s’agir de petits malins. »

Contacté, le ministère de l’Intérieur n’a pas encore répondu à nos questions.

[...]

Panoptique

Le problème, c’est que nous n’aurons probablement jamais le fin mot de l’histoire. Sauf si un agent se sent une âme de lanceur d’alerte, et souhaite nous contacter – qu’il n’hésite pas.

C’est par là que l’anecdote prend d’ailleurs un sens nouveau. « Quelle que soit la réalité de qui a fait ça, pourquoi et pendant combien de temps, ça illustre parfaitement la crainte engendrée par le projet de loi », soulève Adrienne Charmet.

Et en effet, cette histoire reflète parfaitement l’impasse dans laquelle cette logique de surveillance automatisée, invisible et massive, et aujourd’hui portée en France dans le projet de loi sur le renseignement, nous place. A savoir dans une incertitude complète. Sans qu’il soit possible de savoir si notre inquiétude vis-à-vis du respect de nos libertés relève de la vigilance légitime ou de la paranoïa excessive.

C’est le panoptique en acte : nous voilà prisonnier de cette fameuse cellule, en sachant que l’on peut être observé mais sans savoir si on l’est vraiment. Sauf, et on y revient, si un lanceur d’alerte se décide à nous révéler que nous sommes effectivement scrutés. Et comment. »

Via https://twitter.com/FradiFrad/status/588731534569394176

Ce que je cherche à faire : ne pas autoriser tout nouveau périphérique USB à initier une session data avec mon GNU/Linux. Dit autrement : je veux refuser tous les périphériques USB sauf ceux que j'ai explicitement autorisés. Je souhaite que ces restrictions s'appliquent à toutes les classes de périphériques (et pas seulement aux périphériques de stockage de masse USB, par exemple). Je souhaite lever cette restriction quand mon laptop est chez moi. Avantage : un périphérique (comme un ordinateur de poche) peut être alimenté sans avoir à lever la restriction.

Dans les solutions pas vraiment satisfaisantes, on a :
    * Utiliser grsecurity et son option sysctl deny_new_usb. Cf : https://en.wikibooks.org/wiki/Grsecurity/Print_version#Deny_new_USB_connections_after_toggle . Problème : pas inclus dans les noyaux compilés par Debian donc "coût" de maintenance ;

    * Désactiver tout un bus USB : echo 0 > /sys/bus/usb/drivers/usb/usb1/authorized . Problème : les périphériques autorisés ne fonctionnent plus non plus ;

    * Désactiver les périphériques branchés un à un dans un script. Exemple : echo 0 > /sys/bus/usb/drivers/usb/1-1/authorized . Problème : débrancher/rebrancher le périphérique et ça repart.

    * Utiliser les fonctions d'économie d'énergie dont autosuspend (power/autosuspend_delay_ms, power/control) : ça ne peut pas fonctionner puisqu'il y aura autoresume au branchement d'un périphérique, c'est tout l'objet de l'économie d'énergie.


Et la solution qui remplie le cahier des charges, un script udev que l'on met dans /etc/udev/rules.d/01-usblockdown.rules et qui contient :
#Script by Adrian Crenshaw
#With info from Michael Miller, Inaky Perez-Gonzalez and VMWare

#By default, disable it.
ACTION=="add", SUBSYSTEMS=="usb", RUN+="/bin/sh -c 'for host in /sys/bus/usb/devices/usb*; do echo 0 > $host/authorized_default; done'"

#Enable hub devices. There may be a better way than this.
ACTION=="add", ATTR{bDeviceClass}=="09", RUN+="/bin/sh -c 'echo 1 >/sys$DEVPATH/authorized'"

#Other things to enable
ACTION=="add", ATTR{idVendor}=="046d", ATTR{idProduct}=="0809", RUN+="/bin/sh -c 'echo 1 >/sys$DEVPATH/authorized'"
ACTION=="add", ATTR{serial}=="078606B90DD3", RUN+="/bin/sh -c 'echo 1 >/sys$DEVPATH/authorized'"
ACTION=="add", ATTR{product}=="802.11 n WLAN", RUN+="/bin/sh -c 'echo 1 >/sys$DEVPATH/authorized'"
#ACTION=="add", ATTR{idVendor}=="413c", ATTR{idProduct}=="2106", RUN+="/bin/sh -c 'echo 1 >/sys$DEVPATH/authorized'"


Autoriser un nouveau périphérique en permanence : l'ajouter à ce jeu de règles udev. Pour trouver les attributs d'un périphérique : udevadm info -a -p /sys/bus/usb/devices/1-1 ou /var/log/kern.log à la connexion du périphériques pour obtenir les attributs les plus importants.


Désactiver le blocage et autoriser un périphérique temporairement : for host in /sys/bus/usb/devices/usb*; do echo 1 | sudo tee $host/authorized_default; done
Le prochain périphérique USB connecté sera utilisé et déclenchera l'application du jeu de règles udev ci-dessus qui re-interdiront tout sauf les périphériques autorisés. À sa déconnexion, le périphérique ne pourra plus être reconnecté sans votre accord.


Pour désactiver le blocage de manière permanente : sudo mv /etc/udev/rules.d/01-usblockdown.rules ~/ ; for host in /sys/bus/usb/devices/usb*; do echo 1 | sudo tee $host/authorized_default; done

Si vous avez un Procurve 2524 avec un vieux firmware et que la fonctionnalité STP vous intéresse, pensez à mettre à jour le firmware : des cas de boucles ne sont pas détectés dans les anciennes versions du firmware.