Theor

Si tu veux du léger pour une vieille machine tout en restant fiable et fonctionnel : Lubuntu. Mint-XFCE proposé par Malky est également un très bon choix.

C'est étrange de t'intéresser simultanément à Mageia et Arch, dont les cibles sont diamétralement opposées. Mageia est une reprise des anciennes Mandrake, à la base ce sont des RedHat/Fedora KDE-isées et simplifiées pour les utilisateurs lambdas. Arch Linux est une distribution servant une niche assez étroite : celle des développeurs ayant besoin de tourner continuellement sur du bleeding edge. Ce n'est pas une distrib sécurisée ni stable ni conçue pour l'être, elle est constamment mise à jour avec les toutes dernières versions de chaque bibliothèque et programme, et sert donc de plate-forme de test et de débogage continu pour les développeurs. Les casses sont fréquentes lors des mises à jours, donc c'est aussi un peu une roulette russe perpétuelle. Les deux ont des parts de marché très limitées ce qui les rend peu intéressantes - peu de support et en général seul face à ses problèmes. Pour avoir quelque chose de plus fonctionnel dans le temps, je te suggérerais plutôt Mint à la place de Mageia et une Debian à la place de Arch. Debian Jessie pour la modernité (systemd et co), Debian Wheezy pour l'emprunte et la consommation de ressources. Si la stabilité et la sécurité comptent, alors Ubuntu 14.04 LTS et Debian 7. CentOS7 est un bien sûr un excellent choix mais les paquets sont vieillissant, attends toi à y faire des chroots Fedora à la première compilation.

Non, ça fonctionne avec des expressions régulières codées en dur, tout simplement. L'extension FF proposée par Fadior fonctionne sur le même principe. Il me semble que c'est sed qui motorise Privoxy en arrière plan, donc tu peux aussi ajouter ou modifier des règles si tu le souhaites.

Les listes ? De quelles listes tu parles ?

J'utilise quelque chose d'équivalent et encore plus rapide (code natif) : privoxy. A installer avec un apt-get, ou sous Windows en tant que service. Les IO du proxy local se font ensuite sur le port 8118, à configurer dans Chrome, Firefox et les autres pour récupérer le contenu nettoyé. Il me semble que c'est notamment ce qu'avait utilisé Free pour bloquer la publicité via la Freebox.

Nouvel ordre social... Ca sent déjà bon le constructiviste autoritaire, ça.

Yep, en effet, je n'avais pas pensé à nc pour ça. Donc en Bash : for i in {1..1024}; do nc -v -n -z -w 1 192.168.0.X $i; done En PS: 1..1024 | % {try {write-host ((new-object Net.Sockets.TcpClient).Connect("192.168.0.X",$_)) "$_ is open" } catch{ ; }} Perl, il doit y avoir un CPAN pour ça. Mais j'aime pas Perl (ni Ruby), pour le coup les reproches de Poil à Gratter sur le code write-only s'y appliquent pleinement.

Non, ça résiste pas, par contre il va falloir beaucoup, beaucoup de rafales dans beaucoup, beaucoup d'endroits : https://getaddr.bitnodes.io/#

Oui, le PowerShell est puissant avec son approche objet, mais je trouve la syntaxe verbeuse et les commandes pas toujours pratiques. Heureusement qu'il y a les alias calqués sur les shells unix. Tiens, un exemple qui me vient en tête, (new-object System.Net.WebClient).DownloadFile(url, chemin), c'est quand même plus lourd que wget url -O chemin. Il y a pas mal aussi de commandes sans équivalent PS, comme justement dd. Mais après je ne juge pas, j'ai vu des sysadmins windows faire des miracles avec le PowerShell, genre un nmap en one liner. Du côté Linux, il faut carrément sortir Python pour en faire autant.

EMET serait un équivalent Windows de AppArmor, pas du tout de MalwareBytes, donc non ils ne font pas doublon. EMET surveille les appels du programme et les tue s'il détecte certains comportements étranges propres aux exploits, tandis que MB Pro fait de la vérification par signature à la manière d'un antivirus. Le programme a déjà été contourné mais ces techniques sont réservées à l'élite, la quasi totalité ne passent pas EMET. Evidemment, ça implique une vigilance utilisateur, aucun programme de sécurité ne peut rien contre un utilisateur qui accepte les prompts UAC sans se poser de question. ThinApp est une techno VMWare donc oui il faut une licence par poste. Je l'utilise surtout pour Office et les navigateurs web. On me glisse dans mon oreillette qu'il y aurait moyen de faire autrement pour la licence, mais je ne voudrais inciter à quoi que ce soit d'illégal. Les conteneurs sont bien entendu à créer dans une VM vierge réinitialisée à la fin de chaque nouvelle création (disque système indépendant et non persistant). Il existe également une option pour que les conteneurs soient non persistant, ça permet de relancer le programme à son état vierge à chaque nouveau lancement. Un autre truc bien pratique sous Windows, c'est Cygwin (ou Babun, ou MSYS2). Mine de rien, ça permet d'éviter l'installation d'un paquet de crapware genre téléchargeur, éditeur hexa, monteur d'image ou sshfs, recherche grep dans des fichiers ou des PDF, renommeur en batch, création et copie d'ISO avec dd et j'en passe. Cygwin est la pile software que j'emploie le plus fréquemment sous Windows. Là aussi, pour faire propre, à installer dans un VHD et à monter dans C:\cygwin ou un disque racine. Automatiser le montage au démarrage avec un script diskpart.

This. Voir l'exemple de Sandy Springs, GA, qui a fait exactement ça. Et la police municipale est tout à fait privatisable, c'est la police nationale qui demande un plus long travail de préparation.

Pour moi, installer EMET, utiliser des VM pour les tâches dangereuses comme le surf, et si possible conteneuriser ses applications avec ThinApp ou équivalent. C'est ce que je fais pour Office, notamment. Et évidemment, favoriser les logiciels libres.

Lenovo fait machine arrière : http://blogs.wsj.com/digits/2015/02/19/lenovo-cto-were-working-to-wipe-superfish-app-off-of-pcs/

Tout cela est presque trop beau pour être vrai. Ils font tout ce qu'il faut pour faire ouvrir les yeux aux gens, avec une efficacité qu'aucun libéral ne pourrait atteindre.

Déjà, il hook des API et s'insère dans le code système à peu près proprement pour échapper à la détection. D'autres auraient pu se contenter d'un processus discret avec son propre PID, bien visible. Le fait qu'il soit l'oeuvre d'un Etat n'en reste pas moins hautement discutable d'un point de vue éthique, c'est surtout ça qui me gêne avec ce malware.

De ce point de vue là, non, Guix n'amène rien de plus par rapport à Nix. Utiliser Scheme/Guile plutôt que le langage propre à Nix a plusieurs intérêts en revanche : - Scheme est plus puissant et standard, dispose d'un compilateur, de bibliothèques et peut appeler des fonctions C nativement. Nix est inspiré de Haskell et est donc plus "pur" fonctionnellement que LISP, mais plus exotique et moins développé. - Scheme possède des macros pour en faire un DSL de gestion de paquets, donc rien à envoyer au DSL de Nix - utilisation transparente de Scheme tant pour les fichiers de conf, description, ou scripts système Au final c'est un choix que je pense à la fois propre, puissant et élégant, quoique trop orienté power user pour l'utilisateur lambda. La distribution entière ressemblera un peu à un EMACS géant tournant autour d'un évaluateur scheme, sans torrents de dépendances dures derrière. En théorie, ça pourrait faire la distribution ultimement hackable.

Vouloir les combattre, partir en guerre contre ces pauvres gens... excellent moyen de les radicaliser et de légitimer leur cause... Se battre contre un fou, c'est jeter de l'huile sur son feu. Si vous ne pouvez vraiment pas les ignorer, faites genre de les comprendre, qu'ils se calment et qu'on passe à quelque chose de plus intéressant.

Et que ce serait une excellente idée que le seul moyen de s'en débarrasser soit de réinstaller l'OS depuis une image non Lenovo, donc exit la récupération OEM, et possiblement la clé de licence.

Oops, mince alors, les services de renseignements de l'Etat français se sont aussi fait prendre la main dans le sac... http://motherboard.vice.com/read/meet-babar-a-new-malware-almost-certainly-created-by-france http://www.cyphort.com/babar-suspected-nation-state-spyware-spotlight/

Ben en même temps, avoir l'idée de manger du sang caillé cuit dans un intestin, c'est raide là aussi...

C'est plutôt la présence de la truffe dans la liste que je trouve surprenante, ce n'est pas franchement répugnant. Par contre, les oeufs cuits dans l'urine humaine, là je comprends pas. Comment peut-on avoir une idée pareille ?

A ma surprise, certains commentaires ne vont pas dans le sens du Djihadisme étatiste. On sentirait même une pointe de libéralisme pour certains d'eux.

Ce genre de carte existe déjà et est classique : L'originalité de la carte des US est de cartographier le bruit (ou pour poursuivre l'euphémisme qui va bien, la pollution sonore) à l'échelle d'un pays entier. Et ce qui est interessant, c'est de constater que le souffle urbain, le bruit que l'on entend quand on ouvre sa fenêtre en milieu urbain, se diffuse sur une large partie du territoire. Le silence "normal" de 20-30db ne se rencontre plus que dans les zones particulièrement reculées, à plusieurs centaines de kilomètres des métropoles. Ni bien ni mal, juste une étude.

Carte du bruit aux US : http://news.sciencemag.org/environment/2015/02/new-map-shows-americas-quietest-places Je n'ose pas imaginer ce que ça donnerait en Europe, où l'on vit dans une soupe de bruit permanente.

Le projet GNU va se doter de sa première distribution officielle : GuixSD, basée sur Guix, lui même basé sur Nix mais utilisant Guile/Scheme plutôt que le langage DSL propre à Nix. Guix permet d'obtenir des environnements reproductibles (les paquets et dépendances sont représentés par leur somme de hashage), avec des paquets installables sans droits root, isolables les uns des autres, installables simultanément en plusieurs versions, et le tout avec un paradigme fonctionnel (façon LISP, on décrit le problème plutôt que la procédure, et le dorsal gère ensuite la résolution des dépendances et la mise en état désiré, y compris pour les rollbacks). Cerise sur le gateau, la distribution utilise dmd plutôt que systemd, qui a l'avantage d'être portable puisqu'elle vise à terme le support tant de Linux que de Hurd comme noyau. Le tout se veut 100% libre et hackable, sans être limité par un noyau particulier ou d'autres restrictions logicielles. http://www.gnu.org/software/guix/ Et le artwork qui va arriver, sorti aujourd'hui sur la mailing list. http://sirgazil.bitbucket.org/static/temp/img/guix/home-black-header.png https://www.gnu.org/software/guix/graphics/GuixSD.svg Juste un maigre ISO à démarrer sur QEmu pour l'instant, il va falloir faire mieux et vite... Je garde un oeil sur ce projet.