GuiGui's Show

« Par décision 14-DCC-160 du 30 octobre 2014, l'Autorité de la concurrence a autorisé, sous réserve de plusieurs engagements, la prise de contrôle exclusif par Numericable Group de la Société Française de Radiotélephone (ci-après, « SFR »). Dans le cadre de ces engagements, Numericable s'est engagé à soumettre à l'agrément de l'Autorité de la concurrence des offres de référence relatives à l'accès de son réseau câblé et du réseau DSL de SFR et Completel.

[...]

Numericable s'est engagé à proposer à tout opérateur qui le souhaite deux offres d'accès à son réseau câblé. Une première offre, sous « marque blanche », doit permettre aux opérateurs MVNO qui ne déploient pas de réseau FttH et ne disposent pas de leur propre box d'accéder au câble. Une deuxième offre, dite « bitstream », doit permettre à tous les fournisseurs d'accès internet d'utiliser l'accès au câble pour proposer des offres très haut débit en utilisant leurs propres box et leurs propres interfaces clients.

[...]

Elles doivent donc être proposées à un prix excluant tout effet de ciseau tarifaire et laissant un espace économique suffisant aux concurrents pour se développer. Elles doivent également être proposées à des conditions transparentes, objectives et non-discriminatoires.
[NDLR : non-discriminatoire avec des FÀS en centaines (par ligne) voire milliers (porte de collecte) d'euros sur la partie services de collecte DSL de Completel et SFR à destination des entreprises [NDLR : donc uniquement les liens ADSL/SDSL avec GTR et garantie de débit pour l'instant, pas les accès grand-public] et inconnus sur la partie offres d'accès au réseau câblé (l'annexe A n'est pas disponible sur le site de l'Autorité). De telles conditions n'excluent pas du tout les FAI associatifs et les TPE/PME locales, noooon, c'est sûr. Mais on n'a pas la même définition de la discrimination « L'engagement de non-discrimination doit permettre en particulier de garantir que les tiers disposeront de conditions identiques à celles appliquées par la nouvelle entité pour ses besoins internes. ».]

Numericable s'est engagé à céder le réseau DSL de Completel pour permettre l'apparition d'un nouvel opérateur sur le marché des services de télécommunications fixes spécifiques entreprises. Dans l'attente de la réalisation de cet engagement, Numericable s'est également engagé à mettre à disposition les services de collecte DSL de Completel et SFR à destination des entreprises sur l'intégralité des NRA couverts par SFR  et Completel.

Numericable s'est engagé à proposer cette offre d'accès à des conditions objectives, transparentes et non discriminatoires, pour permettre aux opérateurs de détail de disposer d'une offre leur permettant d'être compétitifs sur le marché de détail. L'engagement de non-discrimination doit permettre en particulier de garantir que les tiers disposeront de conditions identiques à celles appliquées par la nouvelle entité pour ses besoins internes.

Les offres de référence communiquées par Numericable relatives à l'accès de son réseau câblé et du réseau DSL de SFR et Completel n'engagent pas, à ce stade, l'Autorité de la concurrence. Ils constituent des projets soumis à consultation et sont susceptibles de faire l'objet de modifications.

[...]

Afin d'éclairer l'examen de l'Autorité, les tiers intéressés sont invités à présenter leurs observations sur les propositions d'offres de référence communiquées par Numericable Group. Les observations pourront être adressées au service des concentrations de l'Autorité de la concurrence, au plus tard le 9 mars 2015 par voie postale ou électronique, à l'adresse suivante
[NDLR : la FFDN a-t-elle un rôle à jouer dans cette histoire ? Est-ce pertinent ?] »

ServerAliveInterval (dans ssh_config) ou ClientAliveInterval (dans sshd_config) permettent d'envoyer un keepalive à l'autre partie après un timer d'inactivité.

Super utiles face à un intermédiaire (entre un client SSH et un serveur SSH) qui a un suivi de connexion / NAT un peu stressé (exemple : trop de clients subitement (heure de pointe) donc durée de vie d'une entrée dans la table diminue pour préserver l'équité) ou zélé de base (implémentation douteuse) qui vire trop vite les états en cas d'inactivité.

« En effet, avec une seule route par défaut, tous les paquets IP ressortiront via la même interface, pour ma part eth0. Auparavant il fallait jouer avec ip rules, créer plusieurs tables de routage et composer avec tout ça. Si cela vous intéresse, vous pouvez regarder sur lartc.org comment procéder. Pour ma part je trouve que ça fait un peu mal aux cheveux.

Et bien depuis la version 3.12 du kernel Linux et la clause from, il suffit de deux commandes : ip -6 route add default dev tun0 from 2a00:5881:4008:400::/56 et ip -6 route add default dev eth0 from 2001:470:1f13:138::/64 si je veux répondre sur une IP dans chacun de ces réseaux, sur leur interface respective. Nous obtenons alors une table de routage du genre de :

default from 2001:470:1f13:138::/64 dev eth0  metric 1024
default from 2a00:5881:4008:400::/56 dev tun0  metric 1024
2001:470:1f13:138::/64 dev eth0  proto kernel  metric 4
2a00:5881:4008:400::/64 dev tun0  proto kernel  metric 256
fe80::/64 dev eth0  proto kernel  metric 256
default via fe80::250:fcff:fe4d:c3a4 dev eth0  metric 1024

Ainsi, mon serveur saura quelle interface utiliser en fonction de l’adresse source. »

Plus besoin de ip rule et table de routage multiples (voir http://shaarli.guiguishow.info/?xT-HMA), en v6 uniquement avec Linux >= 3.12 \o/

Via https://twitter.com/ErrataRob/status/568414082820399104

Un PoC est même disponible : https://canibesuperphished.com/
Via https://twitter.com/supersat/status/568372787196243968

Quelle surprise, on ne s'y attendait pas du tout ! :))))

« Le constructeur de PC ripou #Lenovo livre ses poubelles avec un #adware pré-installé, quoi vous affiche des pubs dans vos sessions Web. Bien pire, le navigateur est pré-configuré avec une Autorité de Certification [NDLR : X509] pirate (#SuperFish), ce qui permet de casser [NDLR : contourner plutôt : une des 2 parties de la communication est vérolée] TLS (attaque de l’Homme du Milieu) et donc de mettre les pubs même sur les sessions HTTPS. Seule solution : reformater tout PC acheté et y mettre un système d’exploitation de confiance (en attendant que les entreprises capitalistes mettent le malware dans le BIOS). » +1 :'(


« It looks like Lenovo has been installing adware onto new consumer computers from the company that activates when taken out of the box for the first time.

The adware, named Superfish, is reportedly installed on a number of Lenovo’s consumer laptops out of the box. The software injects third-party ads on Google searches and websites without the user’s permission.

[...]

A Lenovo community administrator, Mark Hopkins, wrote in late January that the software would be temporarily removed from current systems after irate users complained of popups and other unwanted behavior:

[...]

Other users are reporting that the adware actually installs its own self-signed certificate authority [NDLR : self-signed ? normal pour un certificat d'AC] which effectively allows the software to snoop on secure connections, like banking websites as pictured in action below.

This is a malicious technique commonly known as a man-in-the middle attack, where the certificate allows the software to decrypt secure requests [...] If this is true — we’ve only seen screenshots so far — Superfish could be far more dangerous than just inserting advertising.

[...]

Reports of Superfish being pre-loaded on Lenovo computers have appeared on forums as early as mid-2014.

[...]

Update: Mozilla Firefox does not appear to be affected by the SSL man-in-the-middle issue, because it maintains its own certificate store. »


« A pretty shocking thing came to light this evening – Lenovo is installing adware that uses a “man-in-the-middle” attack to break secure connections on affected laptops in order to access sensitive data and inject advertising. As if that wasn’t bad enough they installed a weak certificate into the system in a way that means affected users cannot trust any secure connections they make – TO ANY SITE.

However Superfish’s software has quite a reputation. It is a notorious piece of “adware”, malicious advertising software. A quick search on Google reveals numerous links for pages containing everything from software to remove Superfish to consumers complaining about the presence of this malicious advertising tool.

Superfish Features:

    Hijacks legitimate connections.
    Monitors user activity.
    Collects personal information and uploads it to it’s servers
    Injects advertising in legitimate pages.
    Displays popups with advertising software
    Uses man-in-the-middle attack techniques to crack open secure connections.
    Presents users with its own fake certificate instead of the legitimate site’s certificate.

[...]

This presents a security nightmare for affected consumers.
    Superfish replaces legitimate site certificates with its own in order to compromise the connections so it can install its adverts. This means that anyone affected by this adware cannot trust any secure connections they make.

    Users will not be notified if the legitimate site’s certificate has been tampered with, has expired or is bogus. In fact they now have to rely on Superfish to perform that check for them. Which it does not appear to do.

    Because Superfish uses the same certificate for every site it would be easy for another hostile actor to leverage this and further compromise the user’s connections.

    The user has to trust that this software which has compromised their secure connections is not tampering with the content, or stealing sensitive data such as usernames and passwords.

    If this software or any of its control infrastructure is compromised, an attacker would have complete and unrestricted access to affected customers banking sites, personal data and private messages. »


ÉDIT du 19/02/2014 à 13h55 :
« Clubic explique cependant qu'une manipulation permet au départ d'éviter de l'installer.
    «L'utilisateur a la possibilité de refuser l'installation de ce programme en décochant une petite case au moment où il allume pour la première fois son nouveau PC, mais évidemment, peu font attention à ce genre de détails.» [NDLR : ok, c'est cool mais la source / méthodologie pour arriver à cette conclusion n'est pas indiquée.]

[...]

Et, si vous n'avez pu l'éviter, «il est très simple de désinstaller Superfish. Voici d'ailleurs une vidéo qui vous explique comment procéder»:
[NDLR : apparemment, ce n'est pas aussi simple : « Readers should be aware that even after uninstalling the Superfish adware from their machines, the Superfish root certificate will remain. » ;) ]

[...]

Rien qu'en 2014, Lenovo a vendu plus de 59 millions de PC, faisant de lui le numéro un du marché, selon Gartner. »


« It installs a self-signed root HTTPS certificate that can intercept encrypted traffic for every website a user visits. When a user visits an HTTPS site, the site certificate is signed and controlled by Superfish and falsely represents itself as the official website certificate.

[...]

Even worse, the private encryption key accompanying the Superfish-signed Transport Layer Security certificate appears to be the same for every Lenovo machine. Attackers may be able to use the key to certify imposter HTTPS websites that masquerade as Bank of America, Google, or any other secure destination on the Internet. Under such a scenario, PCs that have the Superfish root certificate installed will fail to flag the sites as forgeries—a failure that completely undermines the reason HTTPS protections exist in the first place.

[...]

Palmer [NDLR : un chercheur en sécurité info semble-t-il] was later able to confirm that the private key for the Superfish certificate installed on his Yoga 2 contained the same private key as a Superfish certificate installed on a different person's Lenovo PC. That means there's a good chance attackers could use the certificate to create fake HTTPS websites that wouldn't be detected by vulnerable Lenovo machines. »

Ok donc un faux certificat X509 est généré à la volée sur le PC infecté pour chaque site web consulté. Il ne s'agit pas juste de quelques certificats pré-générés valides seulement pour quelques sites web bien connus (exemple : top X Alexa) !)
FIN DE L'ÉDIT.

ÉDIT du 19/02/2015 à 15h55 : Et vlaaaaam la clé privée et son mot de passe : http://shaarli.guiguishow.info/?TBUR6w FIN DE L'ÉDIT

En résumé : un assembleur PC ripou, un adware et la magie de X509. COMBO !

La Compagnie des Transports Strasbourgeois a changé les écrans d'affichage des horaires aux arrêts de tramways : on passe d'écrans à LEDS à des écrans+ordinateur. C'est encore en cours de déploiement (exemple : ligne A, tronçon Illkirch - Rotonde : OK, esplanade : NOK).

D'une part, ces nouveaux écrans sont moins lisibles et probablement plus consommateurs en énergie (LEDs versus écran complet + ordi derrière).

D'autre part, ils fonctionnent sous winwin Embedded ! N'importe quel système d'exploitation libre et gratuit développé en toute transparence par des communautés mondiales (famille GNU/Linux ou BSD) est capable de remplir une mission d'affichage aussi simple mais non, il faut avoir recours au produit propriétaire et payant fourni par une multinationale états-unienne opaque qui pratique l'évasion fiscale ! Il faut absolument utiliser des produits à l'éthique douteuse et jeter l'argent public et celui des usagers (vente de titres de transport) par la fenêtre !

Oui, je suis conscient que ce n'est pas évident car seulement quelques sociétés commerciales fournissent des « panneaux lumineux électroniques destinés à l'affichage d'informations dynamiques » basés sur un système d'exploitation libre GNU/Linux : Data Modul, Eyevis, Conrac,... et que ces sociétés ne sont peut-être pas en capacité de supporter un "gros" projet comme celui de la CTS. Peut-être que le système d'information derrière est codé/intégré par une société commerciale qui dev' sur winwin only... Mauvais prestataires, essayer de changer de prestataires.

Oui, la CTS a eu recours à un prestataire externe dans le cadre d'un appel d'offres public (http://ted.europa.eu/udl?uri=TED:NOTICE:206188-2013:TEXT:FR:HTML&src=0). Néanmoins, la CTS aurait pu définir l'utilisation de logiciels libres par le prestataire comme un critère de choix ou, tout au moins, comme un souhait fort (afin que l'appel d'offres ne soit pas fermé donc potentiellement invalidé). Ce type d'action favoriserait l'intérêt commun, éveillerait l'intérêt de fournisseurs de solutions libres qui se sentent habituellement exclus d'office des appels d'offres publics et inciterait le marché à devenir plus éthique.

Qu'on ne vienne pas me parler de coûts annexes à ceux des licences qui rendrait le logiciel propriétaire et payant plus intéressant : on ne s'adresse pas à des utilisateurs finaux (il ne s'agit pas de postes de travail dans une entreprise, une administration ou une école) donc les coûts de formation sont inexistants. Nous sommes sur un service de base (de l'affichage quoi !) d'un service existant donc le besoin (et donc le coût) en support payant pour migrer et maintenir le système est, au mieux inexistant, au pire strictement égal à l'actuel.

Bon, en même temps, à quoi s'attendre de la part d'une compagnie de transports en commun qui utilise du propriétaire à tous les niveaux (dev' des solutions internes, bornes/distributeurs aux arrêts de tram, bases de données Oracle (en cours de migration vers MS SQL server), serveurs mails, ...) et qui fait de l'open data fermé (https://strasweb.fr/2012/08/18/opendata-cts/) ? Pour moi, cela démontre avant tout un manque de volonté de la CTS plutôt qu'un manque de fournisseurs / marché public aux procédures strictes.

Bon, pour être honnête, la CTS utilise un peu de GNU/Linux pour au moins les sauvegardes et les transmissions. Joie ! C'est comme pour la défense (http://www.nextinpact.com/news/79148-le-contrat-entre-defense-et-microsoft-sera-reconduit-april-scandalisee.htm), il y'a un foutu partenariat avec MS ou quoi ?!

C'est dommage... Ne pas utiliser de solutions éthiques pour résoudre des problématiques aussi simples...


Nous (un groupe informel de 18 personnes) avons exprimé notre mécontentement par mail à la CTS et à Lumiplan (prestataire) hier (18/02) sur la base des arguments présentés ci-dessus (et réciproquement, d'ailleurs). Réponse standard "mail transmis aux personnes concernées". Via des voix en off, nous savons :
    - Que le mail est parvenu jusqu'au chef de projet concerné ;

    - Que notre mail a produit uniquement un effet minimal (aka "il sera bien vite oublié") mais qu'il a au moins produit de l'effet... À force de gratter et sur un malentendu, on arrivera peut-être un jour à ce que la CTS reconsidère ce choix en faveur de logiciels libres ;

    - La CTS a uniquement imposé les fonctionnalités dans le cahier des charges et le système d'exploitation n'est clairement pas un critère décisif ;

En attente d'une éventuelle réponse de la part de la CTS...

« Back in December when I revamped the SSH banner and started collecting the fingerprint I noticed an odd behavior. It turns out that a few SSH keys are used a lot more than once. For example, the following SSH fingerprint can be found on more than 250,000 devices!

[...]

It looks like all devices with the fingerprint are Dropbear SSH instances that have been deployed by Telefonica de Espana. It appears that some of their networking equipment comes setup with SSH by default, and the manufacturer decided to re-use the same operating system image across all devices.

The next duplicated fingerprint on the list comes in at around 200,000 devices, followed by another one used by 150,000 devices. By analyzing the facets it's easy to get a picture of systemic issues that plague both hardware manufacturers as well as ISPs/ hosting providers. »

Via https://twitter.com/Keltounet/status/567974628024582144

Après les gros animaux qui se font un duel avec les poteaux (aux USA principalement), la pelleteuse, la débroussailleuse contre un poteau (c'est du vécu), la mamie arménienne, le bateau egyptien, la voiture, le feu d'artifice belge, ... voici venu le scooter en feu \o/

Via https://twitter.com/bortzmeyer/status/567791059208765440

« La A20-OLinuXino-Lime2 est une carte de développement en matériel libre produit par OLimex. Elle dispose d’un système monopuce Allwinner A20 (double‐cœur Cortex A7 cadencé à 1 GHz, un processeur Mali-400), 1 Gio de mémoire vive DDR3, un connecteur HDMI Full HD 1080p, un connecteur LCD (4,3″, 7,0″ et 10,1″), de l’USB 2.0, un contrôleur Ethernet Gigabit, un lecteur de carte microSD, un connecteur SATA et permet de pouvoir connecter jusqu’à 160 GPIO. Ces deux cartes sont désormais prises en charge par le noyau Linux mainline.

[...]

Le problème lié à l’année 2038 est toujours là. Les fonctions internes do_settimeofday(), timekeeping_inject_sleeptime(), et mktime() ont maintenant des remplaçants sûrs pour le bogue de l’année 2038. Dans chaque cas, la nouvelle version ajoute « 64 » au nom de la fonction, et passe au type time64_t ou timespec64 pour représenter le temps. Maintenant, il est possible de rendre obsolètes les anciennes versions et la conversion du code peut commencer.

[...]

Le nouveau pilote ipvlan permet la création de réseaux virtuels pour l’interconnexion de conteneurs. Il est conçu pour fonctionner avec les espaces de noms en réseau [NDLR : netns]. Ipvlan est un peu comme le pilote macvlan existant, mais il fait son multiplexage à un niveau plus haut dans la pile.

Lors de la création de plusieurs espaces de nom, conteneur ou invité (sous-hôte) sur un hôte, plusieurs modes de connexion au réseau sont généralement disponibles (hôte seulement, NAT, pont réseau).

Dans le cas d'un pont réseau (l'équivalent d'un switch), l'hôte possède une interface physique (généralement appelée maître), éventuellement une interface représentant le pont, et une interface reliée (esclave) pour chaque sous-hôte.

Le plus généralement, on utilise le pilote bridge (man brctl). Il est cependant utile de limiter les interactions de chaque sous-hôte. Là où macvlan répartit les paquets en fonction de l'adresse mac (Niveau 2), ipvlan peut le faire en fonction de l'adresse IP (Niveau 3). [NDLR : ipvlan permet d'avoir deux interfaces, la master sur l'hôte (dans le netns) et la slave dans le conteneur au lieu de trois interfaces (2 sur l'hôte, 1 dans le conteneur càd l'interface "physique" de sortie et 2 veth).]