Messages récents

Pages: 1 2 [3] 4 5 6 7 8 ... 10

Linux / Expiration des clés Secure Boot de 2011: Les impacts pour Linux

« Dernier message par Sylv_01 le Aujourd'hui à 09:32:08 »

Bonjour vivien, merci pour l'info...
Il faut que je vérifie sur mon Dell Inspiron qui est en dual-boot, mais il est relativement récent (2024 je crois

), donc ça devrait aller.

Actus Orange / Premier cas de CG-NAT chez Orange

« Dernier message par levieuxatorange le Aujourd'hui à 09:28:17 »

Citation de: samsam_rolon le Aujourd'hui à 08:47:39

Visiblement non :
https://x.com/luiiisbaker/status/2068483927757423045?s=46&t=ZayGn-Ka58u9ef7C9YdHhA

C'est un boitier Unifi, de ce que j'en comprends (du site Web) c'est un boitier qui monte un SDWAN après la LiveBox !!!
Donc c'est impossible de conclure quoi que ce soit avec cette simple copie écran.
Par contre je connaissais pas Unifi, je vais regarder

LeVieux

Linux / Expiration des clés Secure Boot de 2011: Les impacts pour Linux

« Dernier message par vivien le Aujourd'hui à 09:27:12 »

Le 24 juin 2026, les anciennes autorités Secure Boot de 2011 expirent !

L'expiration des certificats de démarrage sécurisé Microsoft émis en 2011 (notamment l'autorité Microsoft Corporation UEFI CA 2011, qui arrive à échéance le 24 juin 2026) pose une question cruciale pour les utilisateurs Windows, mais aussi Linux. Par exemple, Ubuntu s'appuie historiquement sur ce certificat pour signer son chargeur de démarrage initial (shim).

Il faut ajouter les clés Microsoft UEFI CA 2023, via une mise à jour du BIOS / UEFI.

Dell par exemple indique la version minimum du BIOS pour prendre en chrage CA 2023 sur cette page.

Sous Linux, comment savoir si CA 2023 est installé ?

Il suffit de lancer dans un terminal la commande mokutil --db | grep "Subject:" (ou mokutil --kek | grep 'Subject:')

Si "Microsoft UEFI CA 2023" apparaît, vous êtes déjà protégé.

Quels sont les impacts d'une absence des certificats Microsoft 2023 pour Linux ?

À court terme : Aucun blocage immédiat du démarrage. Tant que les fichiers actuels (shim, grub, noyau) ne changent pas et sont signés avec la clé 2011, la plupart des micrologiciels UEFI continueront de charger les distributions Linux normalement, car ils ne bloquent pas activement les certificats expirés pour le boot existant.

Les limitations vont venir quand les distributions Linux vont cesser de signer leurs chargeurs de démarrage (shim) avec la clé de 2011 obsolète et utiliseront exclusivement la clé 2023. Cela pourait arriver dans les prochaines semaines. Canonical Annonce que Ubuntu 26.04.1 (mise à jour mineur qui sort en aout 2026) pourraient nécessiter l'autorité de certification 2023.

Conséquence : Si vous tentez d'installer une future version de Linux (ou de mettre à niveau vers une version majeure) qui intègre un shim exclusivement signé en 2023, votre PC affichera une erreur de violation de sécurité au démarrage. Pour votre Linux actuel, il ne recevra plus de mises à jour de sécurité pour le chargeur de démarrage shim sans le CA 2023. De ce fait, il ne sera plus possible d'appliquer les mises à jour aux autres composants de la pile de démarrage, ce qui pourrait permettre des attaques par rétrogradation sur des éléments tels que GRUB ou fwupd.

Si votre machine ne reçoit plus de mises à jour de BIOS/UEFI de la part du fabricant pour injecter les clés 2023, le plus simple est de désactiver le Secure Boot : En désactivant le Secure Boot dans les paramètres UEFI (BIOS) de votre PC, vous contournez complètement la vérification des certificats Microsoft. Linux démarrera et se mettra à jour sans aucune restriction.

C'est une opération qui se fait en allant dans les paramètres UEFI de votre PC. Canonical, l'éditeur d'Ubuntu, a prévu de publier prochainement des instructions à ce sujet.

Il est aussi possible d'injecter manuellement les nouvelles clés de 2023 dans la base de données de la carte mère, mais c'est souvent compliqué à réaliser.

Énergie / Prix de l'électricité négatifs, une menace pour les producteurs

« Dernier message par alain_p le Aujourd'hui à 08:58:27 »

En ces temps de forte chaleur très ensoleillés et de jours très longs, on pourrait penser que la production d'électricité solaire est à son maximum, et que les prix négatifs sont très nombreux, or ce n'est pas le cas voir ci-dessous. Les prix les plus bas prévus aujourd'hui sont d'environ 100€, comme les jours précédents, et les prix spot atteignent des sommets le soir, vers 20h30, à plus de 600€ le MWh.

Il est possible que le rendement des cellules solaires baisse lors de fortes chaleurs, et que d'autre part, la consommation électrique monte à des maxima le soir quand les gens rentrent et mettent la climatisation en route. Mais cela semble surtout le cas en Allemagne, Benelux...

Et cela montre encore qu'il n'y a pas de stockage, sur batterie ou autre, qui permettrait, alors que la production solaire devrait être à son maximum, et durer tard le soir, pouvoir restituer cette énergie en soirée...

Starlink / Plages IPv4 de Starlink

« Dernier message par vivien le Aujourd'hui à 08:55:02 »

Starlink est également utilisé pour des attaques DDOS su LaFibre.info.

En regardant, voici les plages IPv4 de Starlink.

L'attaque n'est peut-être pas géographiquement bien répartie, et peut-être qu'il manque de plages :

(cliquez sur la miniature ci-dessous - le document est au format PDF)

À noter que sur certaines plages IPv4, presque les 256 IP de la plage ont été utilisées.

Évolution de LaFibre.info, bugs et critiques / Accès très lent au site

« Dernier message par vivien le Aujourd'hui à 08:51:43 »

Pour information, voici les IPv4 impliquées dans l'attaque par déni de service applicative de LaFibre.info, sur la période du 5 au 19 juin 2026 :

(cliquez sur la miniature ci-dessous - le document est au format PDF)

Actus Orange / Premier cas de CG-NAT chez Orange

« Dernier message par samsam_rolon le Aujourd'hui à 08:47:39 »

Citation de: vivien le 19 juin 2026 à 16:52:46

Quand on n'a pas de box, il n'y a pas le signal envoyé que la "ne pas mutualiser mon IPv4 avec d'autres utilisateurs" est décoché => IPv4 dédiée

Visiblement non :
https://x.com/luiiisbaker/status/2068483927757423045?s=46&t=ZayGn-Ka58u9ef7C9YdHhA

Actus Orange / Premier cas de CG-NAT chez Orange

« Dernier message par brupala le Aujourd'hui à 08:43:35 »

Citation de: acut3 le Aujourd'hui à 00:54:57

En fait la valeur qui est envoyée est un bitfield qui représente les différents critères d'éligibilité au CGNAT. Sur le firmware SG40-fr-G06.R03.C09_16 c'est, en partant des bits de poids fort :
ACTIVE_STB
DYNDNS
DMZ
IPV6_DISABLED
STATIC_NAT
DSLITE_NOTREQUESTED
PRO
DSLITE_AUTODEACTIVATION
8 bits inutilisés (toujours à 0)
Donc 0x0400 correspond au critère DSLITE_NOTREQUESTED. Je vois que c'est en effet le critère modifié par la case à cocher (elle set le paramètre NMC.ServiceEligibility.DSLITE.Demand, qui contrôle le critère NMC.ServiceEligibility.DSLITE.Criteria.DSLITE_NOTREQUESTED).

J'en déduis donc que le fait se supprimer DSLite repasse en double stack, pas full ipv6, c'est tenable sur la durée ça de conserver double stack ?
Il doit bien être possible de faire du DSLite sans CGN au bout.
J'ai bien peur que ça devienne une option assez chère l'adresse ipv4 dédiée.

Incidents Orange / bug Livebox 5, puis plus d'IPv6

« Dernier message par levieuxatorange le Aujourd'hui à 08:30:58 »

Citation de: Furiousnp le Hier à 15:12:08

D'ailleurs je suis maintenant en lfbn-poi-***********.abo.wanadoo.fr niveau reverse DNS IPv4 (pas de reverse IPv6, mais c'est normal chez Orange)

Bonjour

Pas normal cela que tu n'ai pas de reverse IPv6.

Peux tu me mettre en MP ton prefix IPv6 qui n'a pas de reverse que je regarde ?

LeVieux

Actus Orange / Premier cas de CG-NAT chez Orange

« Dernier message par levieuxatorange le Aujourd'hui à 08:26:59 »

Citation de: samsam_rolon le Aujourd'hui à 07:49:31

Tu va faire tout le travail du vieux avant l'heure !

Plus vous vous avez fait de reverse plus je suis "à l'aise" pour compléter, cela devient que de la correction d'erreur

Et je trouve cela fun et super de voir le niveau technique des experts ici ...

LeVieux

Pages: 1 2 [3] 4 5 6 7 8 ... 10