Blog personnel de Jesus Forain où les principaux sujets sont l'informatique, la technologie, le spatial mais aussi divers sujets.
Site auto-hébergé sur un mini PC avec une connexion fibre
● Demander une adresse IP full stack chez Free pour avoir tous les ports
● Réparation d'un radio réveil impossible à mettre à l'heure et qui affiche 7L7
● Réparation d'une VMC: condensateur HS
● Raspberry Pi en récepteur audio Bluetooth (A2DP audio sink)
● Twitter devient x.com et son logo n'est pas sans rappeler celui x.org
● Enfouissement de pales d'éoliennes: vrai ou faux?
L'explosion du Ship vue depuis la Floride, regarder jusqu'à la fin. ▶
Rattrapage du Booster Super Heavy réussi mais avec 2 moteurs qui ne se sont pas rallumés lors du boostback burn et 1 lors de la phase de décélération. Malheureusement le Ship a encore été perdu. Il a eu une avarie de moteurs, plusieurs se sont é[...]
Début du direct de SpaceX, décollage toujours à l'heure prévue (00 H 30 en France).
Lancement annulé !
Décollage repoussé à 00 H 45, les préparatifs sont en cours.
Quand j'ai écris ce tuto, j'ai repris le fonctionnement d'un récepteur BT qui ne demande pas d'authentification. Il doit être possible de faire un système où il faut appuyer sur un bouton pour se mettre en mode appairage comme pour une enceinte BT en utilisant le GP[...]
Salut Jesus Forainsuper tuto merci beaucoup, ça marche nickel :) Je vais essayer de renforcer un peu la sécu, je suis en appart' et laisser l'appairage BT ouvert ça me plait moyen. Encore merci pour la publication @++Pete
Bonjour! J'ai enfin réussi ! Le problème résidait dans bluez, malgré les multiples distros que j'ai testé j'avais toujours un conflit quelque part, et là après une énième réinstalle propre et de longues recherches sur toutes les l[...]
Le problème doit venir du réseau Free. Si c'était le VPN de l'entreprise ça ne fonctionnerait pas quelque soit le fournisseur. Et l'IP partagée n'empêche pas l'utilisation d'un VPN, c'est surtout utile si comme moi tu héberges un serveur web et que tu [...]
Bonjour, Merci pour ton blog et toutes ces infos. J'ai un soucis un peu tricky. Depuis quelques semaines (impossible de me rappeler quand exactement), lorsque je suis en télétravail via le VPN de mon entreprise (via ma freebox pop), j'ai des erreurs reseau (fermeture de socket) entre l[...]
Ce vendredi 29 mars 2024, une backdoor a été découverte dans SSH mais peu de machines devraient être touchés puisque cette version de SSH contenant une faille de sécurité aurait été seulement déployée sur des versions de test et rolling release de distributions Linux. La backdoor n'est pas située dans le code de SSH mais dissimulée dans une bibliothèque utilisée par SSH.
Le détail de cette backdoor est expliqué sur GitHub. On devrait en apprendre davantage au fur et à mesure de l'analyse du code en cours, pour ça va surveille la discussion sur GitHub.
En attendant, mets immédiatement à jour ton Linux et vérifie que la vulnérabilité a été corrigée en allant sur le site de ta distribution (rubriques blog, forum, news, communauté, …).
Une backdoor ou porte dérobée en français est une faille de sécurité introduite volontairement, ici l'équivalent d'un passage secret, dans un programme afin d'avoir secrètement accès à une machine via une série d'actions spécifiques. SSH est un programme permettant d'exécuter à distance des commandes sur une machine Linux ou Apple et même Windows (SSH n'est pas installé par défaut sur Windows).
SSH est utilisé pour administrer les serveur à distance mais est aussi présent dans bon nombre de matériels tels que des routeurs et objets connectés. Maintenant si cette backdoor avait été massivement déployée je te laisse imaginer les dégâts que ça aurait fait! L'attaquant aurait pu prendre le contrôle de n'importe quel serveur, en récupérer les données ou le corrompre, distribuer massivement des malwares et Internet serait potentiellement devenu inutilisable; là c'est le scénario de la pire situation possible.
La backdoor a été découverte dans xz-utils, un programme de compression de données utilisé par d'autres logiciels. Le code malicieux n'est pas présent dans le code source disponible sur GitHub mais caché dans une archive de tests. Mettre du code dans une archive est courant mais là le but était de dissimuler la partie du code malveillant.
Le code malicieux est décompressé et intégré au moment de la compilation et des fonctions d'OpenSSH sont redirigées vers les fonctions malveillantes grâce IFUNC (indirect function), un outil de la glibc utilisé pour créer de multiples implémentations d'une fonction et choisir laquelle exécuter à l'exécution du programme.
Les conditions pour activer la backdoor sont d'utiliser une architecture x86 (CPU Intel ou AMD) et une distribution Linux basée sur Debian ou Red Hat y compris leurs dérivés comme Ubuntu ou Rocky Linux.
Pour l'instant ce sont les seules informations que l'on a sur cette backdoor, d'autres devraient suivre selon l'avancée de l'analyse du code.
D'autres projets pourraient être affectés comme libarchive et quand son code malveillant a provoqué des erreurs dans Valgrind, un débugger très utilisé sous Linux, le créateur n'a pas hésité à dire que c'était un bug de Valgrind et a même réussi à faire incorporer du code masquant ces erreurs dans le projet Valgrind.
La charge utile (payload en anglais) est activée si l'exécutable a pour chemin /usr/sbin/sshd c'est à dire le chemin du serveur SSH. Si le chemin est différent, la backdoor ne devrait pas s'activer.
La fonction RSA_public_decrypt de sshd est remplacée par la version de l'attaquant. En soumettant une clé particulière, cela permet d'envoyer des données à la fonction system() permettant ainsi d'exécuter des commandes fournies par l'attaquant sur le serveur.
Le dépôt xz-utils est seulement maintenu par 2 développeurs: Lasse Collin (Larhzu), le créateur depuis 2009 et Jia Tan (JiaT75) qui a contribué au projet depuis 2 ans et a obtenu les droits de modifications du dépôt depuis 1 an et demi. C'est ce dernier développeur, JiaT75, qui est le créateur de cette backdoor et qui a été supprimé du projet le dimanche 31 mars par Lasse Collin.
Pour l'instant on ne sait pas qui est derrière ça, ça peut aller du petit "hacker du dimanche" à un état en passant par une organisation criminelle. Le nom suggère que c'est un chinois mais ça n'est pas une preuve de la provenance de ce malware même si en ce moment la Chine est au cœur de tensions internationales.
Cette attaque a quand-même été longuement préparée vu que le développeur JiaT75 contribuait au projet depuis 2 ans.
