pied gauche

 

Sciences

Forum > Sciences > [Article] Actualité informatique

Article

Un[*b]curieux

13/01/22 (10:41)

avatar

Membre

Dans le cadre de mon taf, je fais un peu de veille sur le monde de l'informatique, donc je me dis que je peux aussi en parler ici.

Et on commence par un bug, trouvé il y a quelques heures, qui affecte Firefox, et plus particulièrement le protocole HTTP/3. Si votre navigateur est configuré pour utiliser automatiquement des services en HTTP/3, le bug sera déclenché plus rapidement (par exemple DoH ou la télémétrie). Ce bug fait tourner Firefox en boucle et le rend inutilisable, y compris la partie qui s'occupe d'en faire les mises à jour automatique.

Si vous êtes affecté.e.s, le plus simple est de désactiver HTTP/3 : aller dans about:config, chercher la clé 'network.http.http3.enabled', et la mettre à False.

Bien entendu, les conséquences pour le navigateur risquent d'être gigantesques, sachant qu'il est déjà en perte de vitesse.

Source

[ce message a été édité par Un[*b]curieux le 13/03 à 00:31]

Un[*b]curieux

10/01 (14:13)

avatar

Membre

Pour la petite blague, une équipe de hackers a été amenée à inspecter le code informatique d'un train en Pologne. Ils ont découvert que le constructeur avait bloqué les trains s'ils restaient plus de 10 jours dans un garage de maintenance d'un concurrent (la détection se faisait en utilisant les coordonnées d'un module GPS installé dans le train). Le constructeur proposait en effet un service de maintenance un peu plus coûteux. Les fonctions de blocage n'étaient pas documentées (bien entendu) dans le manuel. La société constructrice me semble avoir un déni plausible et poursuit en diffamation et pour violation de la propriété intellectuelle. De l'autre côté, il y a en ce moment en Pologne des trains qui roulent en ayant théoriquement perdu la validation du code qui tourne à bord (ce qui devrait être interdit).

Source 1 : https://badcyber.com/dieselgate-but-for-trains-some-heavyweight-hardware-hacking/
Source 2 : https://www.railtech.com/policy/2024/01/03/poland-hackers-used-to-unblock-trains/?gdpr=deny

[ce message a été édité par Un[*b]curieux le 10/01 à 14:13]

Satori[*n]9960

12/01 (13:15)

avatar

nombre messages : 10018

Membre

C'est assez vieux ça non ?

C'est le genre de comportement auquel on peut voir aussi typiquement de la part de plus en plus de gros "constructeurs" qui forcent les réparations dans leurs propres boutiques (bien évidemment, à prix complètement abusifs). C'est le genre d'argument au coeur du droit à la réparation.

___

The seagull / wonder if she is sad / left alone without being touched / by the blue of the sky / or the blue of the sea.

Un[*b]curieux

12/01 (14:19)

avatar

Membre

Satori[*n]9960 a écrit :

> C'est assez vieux ça non ?

Le premier article date de début décembre 2023, et ça semble être la fin de l'embargo que les hackers avaient, la conférence au 37C3 date du 27, donc non, ce n'est pas très vieux.

> C'est le genre de comportement auquel on peut voir aussi typiquement de la part de plus en
> plus de gros "constructeurs" qui forcent les réparations dans leurs propres boutiques
> (bien évidemment, à prix complètement abusifs). C'est le genre d'argument au coeur du droit
> à la réparation.

Oui, c'est le même genre de problème, mais ce n'est pas exactement le même niveau quand il s'agit d'un téléphone portable ou d'un train (parce que si tu briques ton téléphone, ça ne cause pas de mort).

Les instructions et règlementations sur la conception, la fabrication ou la maintenance des trains est extrêmement rigoureuse, les fonctions critiques doivent être certifiées SIL 4 (le plus haut niveau possible). Si on parle de développement informatique (qui est une partie que je maitrise un peu), cela se traduit par un coût énorme, puisque :
- on utilise des logiciels de sécurité avec lesquels on fait prouver que le code obtenu est conforme à une spécification (donnée en langage mathématique). La RATP utilise systématiquement la méthode B (c'est dans le cahier des charges des appels d'offre pour tout soft ferroviaire de sécurité).
- ces langages ont des capacités très limitées par rapports aux logiciels récents. Impossible d'utiliser de l'allocation de mémoire dynamique, par exemple, donc exit toutes les structures fancy des langages. De toute façon, sauf quand la conception n'est pas ouf, on s'en fout du temps de calcul, tout doit être super simple et tous les calculs doivent se terminer (de manière garantie) en une fraction de seconde.

Ici, les compagnies ferroviaires qui ont acheté du Newag auraient certainement refusé de leur commander des trains s'ils étaient liés à eux pour la réparation (pour commencer, Newag peut couler, et il faut pouvoir continuer à utiliser le train). L'appel d'offre mentionnait certainement la nécessité d'avoir les manuels d'entretien, et ceux-ci doivent être suffisants pour démonter/entretenir/réparer le train, ce qui n'était pas le cas ici (la version polonaise de l'article, traduite automatiquement, ajoute cette information : "Any restrictions on the serviceability, including the limitations introduced in the software, may constitute a potential civil law dispute between the contracting authority and the manufacturer.").

[ce message a été édité par Un[*b]curieux le 12/01 à 14:20]

Un[*b]curieux

25/02 (01:42)

avatar

Membre

Allez, pour la blague : quelqu'un connait la marque obscure… Nvidia ?

Elle est "méconnue" du grand public, il parait.

Un[*b]curieux

25/02 (14:28)

avatar

Membre

C'est toujours marrant d'imaginer la différence entre la sécurité que s'imaginent les hackers et celle de la vraie vie.

Un type a mis la main sur un portable utilisé dans une prison. C'est un portable avec pas mal de restrictions (pas de boot externe, des fonctionnalités très limitées, pas de port USB, un reset automatique du bios à chaque coupure de courant, bios protégé par mot de passe, etc.) et une coque transparente. À un moment, en désassemblant le code du bios, il arrive au fait que le mot de passe maitre passe à travers une moulinette pseudo-aléatoire dont il connait le résultat. Le jeu est donc de chercher un mot de passe tel qu'à travers la moulinette, il obtienne 'f8c1b9...6dccf'.

Ils commencent par tester les mots de passe les plus fréquents, puis les mots de passe du dictionnaire, puis des variations en changeant un caractère ou 2, etc. Quelqu'un dit qu'il va essayer de programmer un GPU pour essayer de le craquer (les GPU sont habiles pour ça parce qu'ils peuvent faire en parallèle des millions de tests de mots de passe).

Au final le mot de passe était "'N%(dU32p", trouvé dans une vidéo random d'un type qui explique comment faire un reset de cet ordi.

lien vers le thread d'analyse de l'ordi

lien vers la vidéo de reset (mdp au moment)

Bien entendu, il y a un xkcd pour raconter ça.

Forum > Sciences > [Article] Actualité informatique