La directrice du Louvre, Laurence de Pérusse des Cars, a totalement failli à sa mission de préservation du patrimoine national, en négligeant honteusement la sécurité des objets exposés (alors que tout le monde savait de quoi il retournait). Mais cette brave femme a pu conserver son poste, car elle fait partie du milieu de la noblesse française. Elle connait les bonnes personnes, et elle sait comment leur parler.

Le parasitisme est une affaire de groupe. Et nous avons l'insigne honneur en France d'héberger un sacré paquet de ses membres.

On mérite ce qu'on tolère.

TLDR : la faille critique de CVSS 9,3/10 référencée CVE-2025-32463 concerne l'outil sudo entre les versions 1.9.14 et 1.9.17. Les versions antérieures ne sont pas touchées, les versions postérieures (1.9.17p1+) sont patchées.

Cette faille permet d'exécuter des commandes en root alors qu'on est simple utilisateur, et ceci sans trop de difficulté.

En avant la mise à jour !

Joli !

En plus de tous le reste, il se trouve que le top 15 des villes les plus dangereuses d'Europe contient 7 villes françaises :

• 2) Marseille
• 6) Grenoble
• 7) Montpellier
• 9) Nantes
• 10) Paris
• 11) Lyon
• 13) Nice

WebGoat est une application volontairement truffée de failles de sécurités. Elle a été imaginée pour se faire la main sur le top 10 OWASP des failles les plus connues.

Chaque faille fait l'objet d'une explication ainsi que d'un "tutorial" d'exploitation, à destination de ceux qui voudraient apprendre à exploiter ces failles en vue de les corriger.

Lien direct : https://owasp.org/www-project-webgoat/

Je garde ça sous le coude.

via @Brihx

Facile à installer et exécuter. Ça produit des rapports de vulnérabilité du type checkmarx.

A tester.

Parseur de log Linux, qui génère des rapports. A tester.

Dernières nouvelles de la CNIL.

La sécu met en place un orchestrateur (i.e. un répondeur automatique), qui doit rediriger le plus possible les personnes vers le site web lorsque cela est possible. Si la personne rappelle moins de 10 minutes après le premier appel, le répondeur raccroche aussitôt. Après deux appels raccrochés, l'assuré est mis en relation avec un conseiller.

On connait la démarche :

• D'abord on réduit le personnel. Ce qui dégrade le service.
• Puis les gens râlent ("Les services publics ça marche jamais !").
• Puis on privatise en promettant que ce sera mieux.
• Finalement, on paie plus cher pour un service pourri.

Et après ils vont venir nous vendre plus d'Europe, alors que c'est elle qui pousse à tout privatiser.

Une liste de choses à faire avant et pendant un voyage à l'étranger.

Plein de trucs pour sécuriser Linux (fs, conteneurs, droits, ...).

Comme quoi l'utilisation d'un vpn n'est efficace que si on sépare les activités clairement. Au moindre recoupement c'est foutu.

Excellent entretient avec un passage sur ce qui existait avant la sécu, et comment cela a contribué à la forme de 1945 du Régime Général de Sécurité Sociale.

Via sebsauvage

Je mets de côté.

Via sebsauvage

La nouvelle idée pourrie de notre cher ministre.

Pour savoir si SELinux est activé :

sudo sestatus

Pour connaître le niveau de protection de SELinux :

getenforce

Et maintenant, le plat de résistance.

La loi qui permet aux agents de l'ordre par la force de voir sans être vu. La comparaison avec Big Brother en Chine est savoureuse ...

Je garde ça pour tester.

via @Les hyperliens du barbu digressif