Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Je viens de tomber sur une vidéo de BFM TV qui m’a bien fait marrer dans laquelle les journalistes parlent de l’ascension du Youtubeur Inoxtag sur le mont Everest. Le gars a 22 ans, il est parisien et y’a un an, il s’est lancé le défi de monter tout là haut. Et au moment où j’écris ces lignes, il y est.

Je suis pas abonné à sa chaîne, et je ne le connais pas, mais quand je tombe sur un bout de vidéo de lui sur les réseaux, j’éprouve direct de la sympathie, car je le trouve joyeux, positif, feel good comme on dit :). Ce que j’aime, c’est sa motivation et son optimisme à toute épreuve.

Du coup, je suis ça de loin et j’espère vraiment qu’il va y arriver, qu’il n’aura pas de problème là-bas… etc. Perso, je trouve que c’est un super challenge qui de l’extérieur donne l’impression que c’est une mission suicide, mais comme le gars s’est quand même bien entraîné avant, qu’il s’est bien entouré, qu’il est intelligent et surtout motivé comme jamais et poussé par sa communauté, je pense qu’il a toutes les chances de son côté pour réussir.

Du coup, ça me fait bien marrer de voir les vieux grigous, des « professionnels de la profession » de la Montagne ça vous gagne, qui passent sur BFM TV pour expliquer aux autres vieux grigous qui regardent cette chaîne, que ce projet d’Inox c’est de la merde.

Alors si on n’a pas trop de cerveau, on pourrait les écouter et se dire : « Mais ils ont l’expérience, ils ont raison, faut respecter la Nature sauvage, ça ne se fait pas comme ça et bla bla bla bla…« 

Mais leurs arguments sont tout pétés et laissent transparaître leur seum. Ils disent par exemple que son ascension ne respecte pas « l’esprit et les valeurs de l’alpinisme« , que c’est devenu un « truc à cocher« … Y’en a même un qui dit carrément que c’est « violer l’Everest« . Bah putain…

Perso, je crois que « l’esprit et les valeurs de l’alpinisme » ont déjà été bafoués depuis longtemps par la surcommercialisation et la surfréquentation de l’Everest à laquelle ils participent depuis des années. Et si on réfléchit un peu, on se rend compte que si l’Everest pue littéralement la merde, c’est quand même à cause de tous ces soi-disant « professionnels » qui durant des années en ont fait leur précarré, allant chier dans tous les coins, laissant leurs ordures sur place, exploitant les locaux jusqu’au péril de leur vie… Ce sont eux-mêmes qui ont dégradé la montagne pendant toutes ces années, et Inoxtag ne fait que suivre la tendance qu’ils ont initiée.

Après, faut reconnaître qu’il y a quand même des mecs sérieux et respectueux dans le lot, faut pas généraliser non plus. Mais ça n’enlève rien au ridicule de la situation. Il suffit qu’une seule fois, un noob débarque et se dise : « Azy moi je le fais« , pour que tout ce qui a été dégradé avant soit de sa faute. C’est pathétique, j’ai jamais vu ça.

Ce qui leur fout les boules, je pense, c’est surtout qu’un gamin venant d’un univers qui leur est totalement étranger (Internet / Youtube), vienne marcher sur leurs plates-bandes et les ridiculiser avec seulement 1 an d’entraînement dans les pattes, eux, les vieux briscards.

Et le pire dans tout ça, c’est qu’ils passent à côté de l’essentiel. Parce que l’ascension d’Inox, qu’elle réussisse ou non, elle aura au moins le mérite de rajeunir l’image de la montagne, d’intéresser un nouveau public à l’alpinisme, et d’ouvrir le débat sur le dépotoir que c’est devenu. C’est donc plutôt une bonne nouvelle pour leur discipline, et ils devraient être contents. Mais non, ils préfèrent jouer les vieux râleurs et chouiner dans les médias.

Perso, ça m’énerve autant que ça me fait marrer.

Donc, je croise très fort les doigts pour qu’Inox atteigne son objectif en toute sécurité. Et qui sait, peut-être que son ascension et surtout les images qu’il va ramener vont finir par faire bouger les lignes et enclencher une prise de conscience chez tous ces dinosaures de la montagne. Il serait temps que les mentalités et les pratiques évoluent un peu là-haut, pour plus de respect de l’environnement et des populations locales.

@  — 

Dans le monde de la cybersécurité, la découverte de failles 0day critiques est un enjeu important, car elles peuvent être exploitées par des acteurs malveillants pour compromettre des systèmes qui n’ont pas encore eu le temps d’être mis à jour.

Récemment, un chercheur en sécurité a fait une découverte plutôt alarmante : 2 failles 0day sont présentes dans les noyaux Linux 6.4 à 6.5. Cependant, cette histoire a pris une tournure inattendue… En effet, il y a quelques jours, le chercheur en sécurité, connu sous le pseudonyme YuriiCrimson, a publié sur GitHub les détails de 2 exploits pour des failles 0day qu’il avait découverts dans le pilote n_gsm des noyaux Linux.

Sauf que l’une de ces 2 failles avait en réalité déjà été divulguée par un autre chercheur, Jmpeax. D’après YuriiCrimson, celui-ci lui aurait racheté pour la publier comme si c’était sa propre découverte. Il explique sur sa page Github qu’ignorant cette divulgation, il a involontairement « re-divulgué » sa propre découverte.

Face à cette situation assez malaisante, YuriiCrimson a alors décidé de « riposter » en publiant immédiatement un second exploit, encore inconnu, affectant une plage plus large de noyaux Linux, des versions 5.15 à 6.5. Cette nouvelle divulgation un peu précipitée ayant pour but de couper l’herbe sous le pied de Jmpeax et de prouver à tout le monde que c’était bien lui, le papa de la première vuln.

Ah l’égo !

Si tout cela se confirme, ça met en lumière plusieurs problématiques. Tout d’abord, racheter le travail d’un autre chercheur pour se l’attribuer c’est très moche. Et vendre son travail pour ensuite le rendre public, c’est très moche aussi.

De plus, la divulgation non coordonnée de failles 0day peut avoir des conséquences désastreuses. En rendant publics les détails d’exploitation avant que les éditeurs n’aient pu corriger les vulnérabilités, on expose les systèmes à des attaques immédiates. Une divulgation responsable, en collaboration avec les éditeurs concernés, permet donc de laisser le temps nécessaire pour développer et déployer des correctifs, protégeant ainsi les utilisateurs.

Voilà, c’était l’histoire cybersec moche du jour, dont nous sommes maintenant tous victimes, car il y a 2 jolis 0day non encore patchés qui se baladent.

Bref, gaffe à vos systèmes…

@  — 

Si vous me lisez assidument, vous avez surement tout capté à la fameuse backdoor XZ découverte avec fracas la semaine dernière. Et là je viens de tomber sur un truc « rigolo » qui n’est ni plus ni moins qu’une implémentation de la technique d’exploitation de cette backdoor XZ, directement à l’intérieur d’un agent SSH.

Pour rappel, un agent SSH (comme ssh-agent) est un programme qui tourne en arrière-plan et qui garde en mémoire les clés privées déchiffrées durant votre session. Son rôle est donc de fournir ces clés aux clients SSH quand ils en ont besoin pour s’authentifier, sans que vous ayez à retaper votre phrase de passe à chaque fois.

Cet agent démoniaque s’appelle donc JiaTansSSHAgent, en hommage au cybercriminel qui a vérolé XZ, et ça implémente certaines fonctionnalités de la fameuse backdoor sshd XZ. En clair, ça vous permet de passer par cette backdoor en utilisant votre client SSH préféré.

Ce truc va donc d’abord générer sa propre clé privée ed448 avec OpenSSL puis, il faudra patcher la liblzma.so avec la clé publique ed448 correspondante. Là encore, rien de bien méchant, c’est juste un petit script Python et enfin, dernière étape, faudra patcher votre client SSH pour qu’il ignore la vérification du certificat.

Et voilà !

Une fois que vous avez fait tout ça, vous pouvez vous connecter à cœur joie avec n’importe quel mot de passe sur n’importe quel serveur qui dispose de cette faille. Bon après, faut quand même faire gaffe hein, c’est pas un truc à utiliser n’importe comment non plus. Vous devez respecter la loi, et expérimenter cela uniquement sur votre propre matériel ou avec l’autorisation de votre client si vous êtes par exemple dans le cadre d’une mission d’audit de sécurité. Tout autre utilisation vous enverra illico en prison, alors déconnez pas !

Voilà les amis, vous savez tout sur JiaTansSSHAgent maintenant. Pour en savoir plus, rendez-vous sur le repo GitHub de JiaTanSSHAgent.

@  — 

Je pense que cette news va faire mal aux fesses de beaucoup d’entre vous (désolé ^^) ! Figurez-vous que très bientôt, pour mater votre petite vidéo X sur vos sites de cul préférés, va falloir sortir la carte bleue. Et ouais, c’est la nouvelle lubie de nos chers dirigeants qui veulent à tout prix nous protéger, enfin surtout protéger les enfants de toutes ces cochonneries qui pullulent sur la toile.

Certes, on est tous d’accord sur le principe, mais est-ce qu’on a vraiment besoin de fliquer tout le monde comme ça ? Et surtout, est-ce que c’est vraiment efficace comme méthode ?

Parce que bon, soyons honnêtes deux minutes, un ado un peu dégourdi qui veut à tout prix mater un film de boules, va forcement trouver un moyen de contourner la censure hein. Quitte à piquer la carte de papa et maman pendant qu’ils ont le dos tourné. Ou alors il ira sur des sites plus underground, pas forcément très recommandables, et là bonjour les dégâts…

Mais bon, c’est comme ça, c’est la loi, et va falloir faire avec. L’Arcom, le gendarme de l’audiovisuel, vient donc de pondre son fameux référentiel (docx) qui détaille toutes les mesures que les sites pornos devront mettre en place pour vérifier que leurs utilisateurs ont bien la majorité sexuelle. Et autant vous dire que ça rigole pas !

Déjà, va falloir prouver son âge avec sa carte bancaire. Alors ok, c’est pas forcément l’idéal niveau vie privée, mais au moins c’est efficace. Enfin, en théorie, parce qu’en pratique, rien n’empêche un ado de 16-17 ans d’avoir une carte bleue. Ensuite, les sites devront mettre en place un contrôle d’âge dès la page d’accueil, avant même d’afficher le moindre contenu olé olé. Et ça, ça va en faire râler les plus pressés d’entre vous ^^.

Et attention, c’est pas fini ! Les sites devront aussi s’assurer que leur système de vérification d’âge est fiable à 100%. Alors là, bon courage… Parce qu’entre ceux qui vont essayer de gruger avec de fausses cartes, ou je ne sais quoi encore, ça va pas être de la tarte. Mais les éditeurs n’auront pas le choix, car si jamais l’un de leurs sites se fait gauler par l’Arcom en train de diffuser du contenu pornographique à un mineur, c’est pas juste une petite tape sur les doigts qu’ils vont se prendre. Non non, ce sera carrément une amende qui peut aller jusqu’à 250 000 euros, ou 4% du chiffre d’affaires mondial. Autant dire que ça calme direct !

Et si jamais le site fait le mariole et refuse d’obtempérer malgré les mises en demeure, et bien ce sera le blocage pur et simple qui l’attendra. Son nom de domaine sera bloqué par les FAI grâce à la toute POUISSANCE DU BLOCAGE PAR DNS (ah-ah), et basta. Pas de pitié pour les contrevenants !

Bon, et sinon, ça va se passer comment concrètement tout ce bordel ?

Eh bien figurez-vous que l’Arcom, dans son immense bonté, a prévu une période de transition de 6 mois. Pendant ce temps-là, les sites porno pourront se contenter d’une simple vérification de la carte bancaire, sans forcément aller jusqu’à l’authentification forte avec le fameux 3D Secure. Mais, ils devront tous avoir mis en place des solutions qui respecteront le cahier des charges strict de l’Arcom, avec notamment une sécurisation sans faille des données personnelles des utilisateurs. Je sais d’avance comment ça va se terminer… loool.

Enfin, dernière petite subtilité, et non des moindres : ce contrôle d’âge ne s’appliquera pas seulement aux sites basés en France, mais aussi à tous ceux installés à l’étranger et accessibles depuis la France. Alors ok, pour les gros sites genre Jacquie et Michel ou Dorcel, ça devrait pas poser trop de problèmes, mais pour les petits sites plus modestes, ça risque d’être une autre paire de manches…

Au moins vous savez maintenant ce qui vous attend.

Source

@  — 

Ça y est les rétro-gamers, c’est le moment de boucler vos combinaisons et de prendre vos meilleures armes, car le code source du jeu culte Area 51 vient d’être rendu public ! Ce FPS de science-fiction sorti en 2005 nous plongeait dans les entrailles de la fameuse base militaire du Nevada, qui selon la légende est le théâtre d’expériences ultra-secrètes sur des extraterrestres. Développé par Midway Studios Austin, le jeu était sorti à l’époque sur PS2, Xbox et PC. Il s’agissait en fait d’un remake du jeu de tir au pistolet optique Area 51 des salles d’arcade, sorti dix ans plus tôt.

Dans cet épisode, on incarnait Ethan Cole, un agent en combinaison HAZMAT envoyé dans la zone 51 pour nettoyer la base d’un virus mutant qui a transformé le personnel en monstres sanguinaires. Un casting trois étoiles avait été réuni pour le doublage, avec David Duchovny (X-Files) dans le rôle principal, Marilyn Manson qui jouait Edgar un extraterrestre gris retenu prisonnier, et des acteurs comme Powers Boothe (Deadwood) ou Nolan North (Uncharted).

Malgré des critiques mitigées et des ventes décevantes, Area 51 est devenu un petit jeu culte pour son ambiance SF bien fichue, son gameplay nerveux et ses fusillades en vue subjective bien foutues pour l’époque. Mais alors qu’il était tombé dans un relatif oubli, voilà que ce bon vieux jeu refait surface de manière totalement inattendue en 2023 !

Le code source du jeu, datant du 31 mars 2005 c’est à dire juste avant la sortie officielle, a été retrouvé par hasard lors d’un vide-grenier chez un ancien développeur de THQ. Il a été mis en ligne sur GitHub par un groupe de fans dans l’espoir de faire revivre ce titre oublié. On y trouve tout le code du moteur Entropy Engine, la logique du jeu, ainsi que des versions Xbox, PS2 et même une ébauche de portage GameCube qui avait été annulé à l’époque. C’est une véritable mine d’or pour les archéologues du jeu vidéo et une occasion unique d’étudier les entrailles d’un titre commercial des années 2000.

Si vous êtes développeur, voilà une belle occasion de mettre la main à la pâte pour essayer de faire tourner Area 51 sur les machines actuelles. Pas mal de boulot en perspective pour arriver à compiler ce vieux code, retrouver les bons outils et débugger le bouzin, mais ça peut être un sacré défi intéressant. Et si vous voulez rejoindre la communauté de dingues qui s’est montée autour du projet, un Discord est même disponible pour échanger. De quoi raviver la flamme des vieux geeks nostalgiques de ce bon FPS à l’ancienne.

Rien que pour le plaisir de retrouver cette ambiance de thriller SF à la X-Files et de défourailler du mutant au fusil à pompe dans les couloirs glauques de la zone 51, ça vaudrait presque le coup d’essayer de le faire remarcher sur nos bécanes modernes. Imaginez le kiff d’ajouter en plus des mods, du online, ou de mixer ça avec un casque VR pour une expérience encore plus immersive ! Bon allez j’arrête de m’emballer, faudrait déjà réussir à recompiler ce bin’s et c’est pas gagné…

Mais quand même, on ne peut que saluer cette initiative de fans passionnés qui s’unissent pour sauver de l’oubli numérique ce petit morceau d’histoire du jeu vidéo. En espérant que ça inspirera d’autres projets de résurrection de vieux jeux abandonnés ! Comme disait l’autre, « le code source est éternel, seul le compilateur est volatile ». Ou un truc comme ça.