Revue de presse du 07/05/2017
Merci aux contributeurs de cette revue !
jeudi 11 mai 2017
Les relations E-U-Arabie saoudite sont-elles en train de tourner au vinaigre ? Par Gregory Copley
Les relations E-U-Arabie saoudite sont-elles en train de tourner au vinaigre ? Par Gregory Copley
Source : OilPrice, le 20/03/2017
Le temps le dira, mais les cris de “victoire à Washington” du prince Mohammed ben Salmane, procureur de la couronne et Ministre de la Défense d’Arabie saoudite, semblent faux et peut-être même apocryphes. Il avait besoin de quelques signes de succès lorsqu’il est sorti de la Maison Blanche après la rencontre avec le président américain Donald Trump le 14 mars 2017 : l’Arabie saoudite est à court d’options et pousse ses alliés traditionnels — certains ne s’en réjouissant pas — à montrer leur solidarité, particulièrement concernant les guerres au Yémen, en Irak, en Syrie et en Libye. Et ce, en une période où les fortunes économiques du royaume sont fragiles et se détériorent, laissant présager des pressions politiques internes.
Le prince Mohammed semblait vouloir rallier au camp saoudien le président Trump — et parler au nom de tous les musulmans sur les bienfaits de l’administration Trump pour eux — mais il était en réalité soucieux d’exorciser l’apparente amitié florissante entre le président américain et le président égyptien Abdul Fatah al-Sissi, désormais ennemi juré du prince Mohammed. Il semble donc que l’animosité entre Egyptiens et Saoudiens se soit étendue à Washington alors qu’il est désormais devenu clair que la nouvelle administration américaine n’entendait pas automatiquement continuer la politique moyen-orientale de l’administration précédente.
Les enjeux sont d’envergure mondiale pour les États-Unis, mais si Washington devait choisir, il choisirait la géopolitique (Méditerranée-Suez-Mer rouge) et le poids culturel de l’Égypte.
[Rencontre] Mercredi 17 mai : AfterWork du blog (Spécial Thérapie de groupe :) )
[Rencontre] Mercredi 17 mai : AfterWork du blog (Spécial Thérapie de groupe :) )
Vu le succès des précédents Afterworks, je propose aux Franciliens de nous retrouver pour prendre un verre le mercredi 17 mai à partir de 19h30, dans le quartier des Halles.
L’idée est de faire connaissance, de discuter du blog et de l’actualité (qui a été bien chargée…), de répondre à vos questions, et surtout de faire se rencontrer la communauté qui s’est créée, pleine de gens sympathiques…
Il me semble que ce sera un bon moment pour discuter des résultats de l’élection présidentielle, qui auront probablement déçu beaucoup d’entre-vous – allez, venez, ça vous fera du bien d’en parler… 
(=> c’est une boutade)
Afin de gérer tranquillement les inscriptions, qui doivent être limitées, nous avons créé une application dédiée aux inscriptions aux rencontres du blog.
Pour cela, il faut : 1/ créer une fois pour toute un compte utilisateur, et 2/ s’inscrire ensuite à la rencontre.
URL: http://www.les-crises.fr/rencontre-mercredi-17-mai-afterwork-du-blog-special-therapie-de-groupe/
Marion Maréchal-Le Pen aurait-elle tout compris ?
Marion Maréchal-Le Pen aurait-elle tout compris ?
Elle n’était qu’une petite gamine quand, en 2002, son grand-père se sabordait dans sa campagne électorale du second tour pour faire réélire Jacques Chirac. Quinze ans après, elle assiste en direct à un autre sabordage opéré par sa tante lors du dernier débat de la campagne présidentielle pour faire élire Emanuel Macron. C’était peut-être le sabordage de trop pour une jeune fille qui, malgré le milieu politique dans lequel elle baigne, n’a pas tout à fait perdu cet idéalisme qui caractérise les jeunes de toutes les époques.
Déjà, il était plus que probable que le FN allait payer le prix du dernier coup de Jarnac fait à ses fans qui avaient bien cru que cette fois-ci ce serait la bonne. Mais après l’annonce du départ de Marion Maréchal-Le Pen, il est plus que certain que le Front National paiera le prix fort. Le coup est d’autant plus dur pour la petite entreprise familiale que l’annonce du départ de Marion Maréchal-Le Pen a eu lieu avant les élections législatives, ce qui affaiblit considérablement le petit capital de soutien accumulé pendant les élections présidentielles et sur lequel le FN aurait pu surfer pour les législatives.
En cas d’échec aux législatives, c’est la fin du FN, et il est difficile de croire que Marion Maréchal-Le Pen n’en ait pas conscience. Ce qui porte à penser que les raisons qui l’ont poussée à annoncer son départ avant les élections législatives sont extrêmement graves. Le grand-père, Jean-Marie Le Pen ne s’y est pas trompé ; il parle de trahison. Mais a-t-il pensé que ce serait plutôt sa petite-fille qui se serait sentie trahie, par les siens de surcroît ? Marion Maréchal-Le Pen aurait-elle découvert ou appris quelque chose de suffisamment grave pour la pousser à s’enfuir précipitamment de ce panier de crabes ? Ce ne sera peut-être qu’un épisode de plus pour ce parti factice des Le Pen, mais il sera extrêmement douloureux.
Source : Reseauinternational.net Informations complémentaires :
Crashdebug.fr : Asselineau : avec les orientations fixées par l'UE, Macron prépare une régression sociale phénoménale (RT)
Crashdebug.fr : A New York, l'étonnant compagnon de voyage de Marine Le Pen
Crashdebug.fr : Marine Le Pen, Cosette du Parlement européen ?
Crashdebug.fr : Scandale au Parlement européen : Argent facile, champagne à gogo et autres privilèges...
Crashdebug.fr : Des nouvelles de nos CHERS « amis » de Bruxelles...
Crashdebug.fr : Hauts fonctionnaires européens à 19.380 €uros par mois !
Crashdebug.fr : « Les Millions perdus de l'Europe » (docu. Arte, 2010)
Crashdebug.fr : Docu : Bruxelles le vrai pouvoir…
Crashdebug.fr : François Fillon à Philippe de Villiers : « Les Bilderbergs, c'est eux qui nous gouvernent »
Crashdebug.fr : L'Union européenne était une idée AMÉRICAINE...
Crashdebug.fr : La dette publique : une affaire rentable ?
Crashdebug.fr : La France vend son patrimoine à des états plus endettés...
Crashdebug.fr : L'Union Européenne, une Dictature démasquée...
Crashdebug.fr : Qui gouverne RÉELLEMENT la France et l'Europe
Crashdebug.fr : L’éclatante faillite du nouveau credo, par Maurice Allais (1999)
Crashdebug.fr : Je ne sais pas pour qui voter en 2017
Crashdebug.fr : François Asselineau la France face au désastre en 2017
URL: https://www.crashdebug.fr/actualites-france/13591-marion-marechal-le-pen-aurait-elle-tout-compris
Revue de presse du jour comprenant l’actualité nationale et internationale de ce jeudi 11 mai 2017
Revue de presse du jour comprenant l'actualité nationale et internationale de ce jeudi 11 mai 2017
Bonjour, jeudi 11 mai, je pars accompagner Chalouette en visite chez le médecin, je serais absent une partie de la matinée.
Sur ce, je vous souhaite une bonne lecture et une agréable journée.
f.
Actualités françaises :
11.05.2017
Marion Maréchal-Le Pen aurait-elle tout compris ? (Reseau International)
Parti socialiste : une procédure d'exclusion engagée contre Manuel Valls (France 24.com)
VIDEO. Assouplissement du Code du travail : qu'envisage Emmanuel Macron ? (France Tv Info.fr)
10.05.2017
Les agences de notation soulignent l'enjeu des législatives (Boursorama.fr)
Macron devant la pyramide du Louvre : un signal fort adressé à ses maîtres (Fawkes.fr)
Législatives. La France insoumise annonce la fin des négociations avec le PCF (L'Humanité.fr)
FN : Marion Maréchal-Le Pen abandonne ses mandats politiques (Les Echos.fr)
Pourquoi Marion Maréchal-Le Pen quitte (momentanément) la vie politique (Marianne.net)
Le Parti socialiste en mode survie pour les législatives (France 24.com)
Reprise du travail à Whirlpool : qu'espèrent les salariés de l'usine d'Amiens ? (France Tv Info.fr)
Moment détente (?) :
10.05.2017
Valls En Marche forcée…. (L'Express.fr)
Divers :
28.04.2017
P. Jovanovic - P-Y. Rougeyron : Revue de presse spéciale présidentielles 2017 (Youtube.com) via Contributeur anonyme
27.04.2017
Si vous hésitez à voter Macron, regardez ça (vidéo) (Nouvel Ordre Mondial.cc)
25.04.2017
François Asselineau explique le programme d'Emmanuel Macron en 1mn (Dailymotion.com) via Contributeur anonyme
Actualités internationales :
11.05.2017
Trump dans une tempête politique après le limogeage du N°1 du FBI (L'Express.fr)
A Washington, le chef de la diplomatie russe tente de renouer avec les Etats-Unis (Le Monde.fr)
GB: les plans du Labour pour le Brexit fuitent dans la presse (L'Express.fr)
Les "ultra-riches" sont de plus en plus nombreux dans le monde (L'Express.fr)
10.05.2017
Syrie : le Russe Lavrov vient chercher le soutien de l'Américain Tillerson (L'Express.fr)
Washington va armer les Kurdes de Syrie au risque d'exaspérer la Turquie (Libération.fr)
Donald Trump vire le directeur du FBI : Ce qu'il faut savoir (20 Minutes.fr)
Inde : derrière la carte d'identité biométrique, la surveillance de masse ? (France 24.com)
Climat : le président chinois Xi Jinping s'engage à "défendre" l'accord de Paris avec Emmanuel Macron (France24.com)
High-Tech :
10.05.2017
L’Assistant virtuel de Google comprend désormais le français (Le Monde.fr)
À quoi sert l'avion spatial secret américain ? (Le Figaro.fr)
Sciences :
11.05.2017
"Dix raisons de mettre fin aux tests sur les animaux" en laboratoire (L'Express.fr)
Informatique :
20 Minutes par jour :
Sécurité :
11.05.2017
Mégafichier TES: il est possible de refuser la numérisation de ses empreintes (L'Express.fr)
[NextINpact] Renseignement : une QPC pour empêcher la surveillance de (presque) n'importe qui (LQDN)
10.05.2017
Comment pirater à distance les ordinateurs utilisant des puces non sécurisées d'Intel : Il suffit d'utiliser une chaîne d’authentification vide (Theregister.co.uk)
10.05.2017
[LeMonde] Neutralité du Net : le régulateur américain des télécoms ouvre les hostilités (LQDN)
Dossiers :
10.03.2017
Sondages : Influences et Pouvoirs (LCP)
01.03.2017
Colorants, édulcorants, conservateurs, que cachent-ils ? (France 5)
06.02.2017
Cholestérol : le grand bluff (Arte)
28.01.2017
Cash Investigation : « Razzia sur le bois, les promesses en kit des géants du meuble » (France 2)
Livres :
09.03.2017
« Trump face à l'Europe » (Jean-Loup IZAMBERT) (Is-edition.com)
La politique ? « Plus rien à faire, plus rien à foutre » (Le Monde.fr)
Twilligth Zone :
Cinéma :
Séries :
13.04.2017
Les 100 - Saison 1, épisode 4/13
Le complément de la Revue de presse du jour comprenant les informations de ce qui fait l'actualité française et internationale du 6 au 8 mai 2017 vues par notre Contributeur anonyme.
DON : https://www.paypal.me/revuedepresse
ESPAGNE : ... condamné à 128 millions pour libéraliser l'énergie par des tribunaux d'arbitrage = avant-goût du TAFTA et explosion des tarifs
INDE : .. mpose la carte d'identité biométrique pour les aides sociales ou une carte bancaire
https://www.youtube.com/watch?v=7HtPRioxmSo
Etape n°1 ... fin du cash
Etape n°2 ... imposer un numéro d'identification unique par personne pour une surveillance de masse
Etape n°3 ... imposer une puce RFID corporelle sans laquelle personne ne puisse ni acheter ni vendre ?
VIDEO DU JOUR
Bientôt des robots livreurs en France ?
https://ovnisvideos.wordpress.com/2017/05/06/les-robots-de-boston-dynamics-bientot-en-france/
A chaque fois que vous vous retrouvez du côté de la majorité, il est temps de commencer à réfléchir. Mark Twain
SIGNE DES TEMPS :
TERRE : ... nuage bizarre ... nouvelle faille en Antarctique
https://fr.sputniknews.com/insolite/201705041031231475-vaisseau-spatial-extraterrestre-us-terre/
FRANCE : ... Bourse de Paris progresse plus sous la gauche que la droite
= logique ni manif, ni grèves massives sans syndicats, étudiants, fonctionnaires
BELGIQUE : ... 40 ans de carrière mais pas de pension pour 19700 Belges
1. VERS UN NOUVEL ORDRE MONDIAL FINANCIER
FRANCE : ... bras de fer mairie de Paris et agent de la sécurité ... suppression de l'allocation temporaire d'attente ...
http://www.europe1.fr/societe/lallocation-temporaire-dattente-supprimee-au-1er-septembre-3322355
UK : ... la city va reculer dit Goldman Sachs ...
CANADA : ... faillite des détaillants
BELGIQUE : ... l'entrée aux centres commerciaux bientôt payante ?
VENEZUELA : ... 36 morts en un mois les manifestations continuent
2. VERS UN NOUVEL ORDRE MONDIAL SOCIÉTAL
FRANCE : ... précaires menacés d'expulsion ... un retraité expulsé se suicide dans sa cave
http://www.la-croix.com/Journal/Ces-personnes-precaires-menacees-dexpulsion-2017-05-04-1100844675
RÉFORME MACRON : ... retraites dès 2018 ... proportionnel
https://videos.lesechos.fr/lesechos/sujet-actus/le-scrutin-proportionnel-en-trois-questions/r0r0fl'
JUSTICE : ... prédictive
MACRON 2017 : ... vote de classe, pour/contre UE ... jeunesse opte Melenchon ... BHL & la CIA
https://www.slate.fr/story/145035/melenchon-ravi-le-vote-de-la-jeunesse
http://www.dreuz.info/2017/05/02/bhl-lu-et-approuve-par-la-cia/
FAKE NEWS : ... Macron se dit victime ... Venezuela ... vers la pénalisation ...
3. VERS UN NOUVEL ORDRE MONDIAL SPIRITUEL
USA : ... risque de pandémie mondiale dit Bill Gates
Merci à notre Contributeur anonyme, pour lui faire spécifiquement un don, c'est ICI ! ; )
Cette Revue de presse vous a intéressé ? Crashdebug.fr a besoin de ses lecteurs pour poursuivre son activité, faites un don.
Pas rassasiés ? Vous voulez encore plus d'infos ? Je vous rappelle donc l'existence de la page Defcon Room actualisée 7j/7 et 24h/24 en libre service. ; )
Et bien sûr l'ensemble des Revues de presse précédentes dans les sections qui leur sont dédiées.
(Si vous venez de découvrir notre petit site voici une vidéo qui vous en expliquera rapidement le mode de fonctionnement)
Amicalement,
l'Amourfou...
Les 100 - Saison 1, épisode 5/13
Les 100 - Saison 1, épisode 5/13
Un nouvel épisode de notre série du mercredi soir, vu le contexte, j'aurai voulu le faire exprès, je n'aurai pas réussi...
Amicalement,
f.
Information complémentaire :
Retrouvez tout les autres épisodes de la série dans leur section.
Comment pirater à distance les ordinateurs utilisant des puces non sécurisées d'Intel : Il suffit d'utiliser une chaîne d’authentification vide
Comment pirater à distance les ordinateurs utilisant des puces non sécurisées d'Intel : Il suffit d'utiliser une chaîne d'authentification vide
Incroyable...
Parlons peu parlons bien, vous devez utiliser le test d'Intel pour savoir si votre système est à risque.
https://downloadcenter.intel.com/download/26755
Décompresser l'archive et lancer l'application Intel-SA-00075-GUI
Pour ce qui est de l'AMT désactivez-le avec cet utilitaire :
https://github.com/bartblaze/Disable-Intel-AMT
Téléchargez l'archive, décompressez-la, et lancez : DisableAMT.exe
Voilà, les plus paranos peuvent aussi bloquer les ports indiqués dans l'article ; )
Comment pirater à distance les ordinateurs utilisant des puces non sécurisées d'Intel : Il suffit d'utiliser une chaîne d’authentification vide
Exploiter les systèmes utilisant vPro et AMT
5 mai 2017 à 19:52, Chris Williams
Plongée dans le Code
Vous pouvez commander et contrôler à distance des ordinateurs qui utilisent les chipsets Intel vulnérables en leur envoyant des chaînes d'authentification vides.
Vous avez bien lu. Lorsque vous êtes censé envoyer un hachage de mot de passe, vous envoyez zéro octets. Rien. Nada. Et vous serez récompensé avec le puissant accès bas niveau au matériel d'une unité vulnérable à travers le réseau - ou sur Internet si l'interface de gestion fait face à la bande publique.
Rappelez-vous cela la prochaine fois qu’Intel, un géant des semi-conducteurs internationaux de $ 180 milliards, parle de l'importance de la sécurité.
Pour récapituler : Intel offre une boîte à outils de gestion à distance appelée AMT pour ses processeurs de large gamme utilisés dans les entreprises ; ce logiciel fait partie de la suite de vPro Chipzilla et fonctionne au niveau du firmware, en-dessous et hors de la vue de Windows, Linux, ou tout autre système d'exploitation que vous utilisez. Le code est exécuté sur l'ordinateur secret au sein de votre ordinateur, qui a le contrôle complet du matériel et parle directement aux ports réseaux, ce qui permet a un appareil d’être commandé à distance indépendamment de tout système d'exploitation et des applications qui sont en cours d'exécution, ou pas, au niveau supérieur.
Ainsi, AMT est conçu pour permettre aux administrateurs informatiques de se connecter à distance dans les entrailles d'ordinateurs afin qu'ils puissent redémarrer une machine plantée, réparer et modifier le système d'exploitation, installer un nouveau système d'exploitation, accéder à une console série virtuelle, ou accéder à un bureau à distance complet via VNC. Il est, pour l'essentiel, le mode dieu.
Normalement, AMT est protégé par mot. Cette semaine, il est apparu que cette authentification pouvait être contournée, ce qui pourrait permettre à des scélérats de prendre en charge les systèmes à distance ou une fois à l’intérieur d’un réseau d’entreprise. Ce problème de sécurité critique a été désigné CVE-2017-5689. Alors que Intel a patché son code, les gens doivent pester leurs fournisseurs de matériel pour les mises à jour nécessaires, avant de pouvoir procéder à l’installation de leur système.
Aujourd'hui, nous avons appris qu'il est trivial d'exploiter cette faille, permettant à quiconque de prendre le contrôle des systèmes vulnérables sans mot de passe.
AMT est accessible via le réseau dans une interface d'authentification web standard : le service écoute sur les ports 16992 et 16993. La visite de cette porte avec un navigateur ouvre une invite de login pour un mot de passe, et ce mot de passe est envoyé en utilisant la norme HTTP Digest authentification : le nom d’utilisateur et le mot de passe sont hachés à l'aide d'un nonce à partir du microprogramme AMT ainsi que quelques autres bits de métadonnées. Cette réponse brouillée est vérifiée par le logiciel AMT pour être valide, et le cas échéant, l'accès est accordé à l'interface de gestion.
Mais si vous envoyez une réponse vide, le firmware est dupé en pensant que cela est correct et vous laisse passer. Cela signifie que si vous utilisez un proxy pour modifier la réponse à une chaîne vide, ou autrement, si vous configurez votre navigateur pour envoyer des réponses d'authentification HTTP Digest vides, vous pouvez contourner les contrôles de mot de passe.
Pour l'essentiel, dans les coulisses, votre navigateur normalement envoie quelque chose comme ceci au service AMT, qui comprend la chaîne de réponses hachées contenant le nom d'utilisateur, le mot de passe et le serveur nonce :
GET /index.htm HTTP/1.1 Host: 192.168.1.2:16992 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.1.2:16992/logon.htm Connection: keep-alive Authorization: Digest username=»admin», realm=»Digest:048A0000000000000000000000000000», nonce=»Q0UGAAQEAAAV4M4iGF4+Ni5ZafuMWy9J», uri=»/index.htm», response=»d3d4914a43454b159a3fa6f5a91d801d», qop=auth, nc=00000001, cnonce=»9c5beca4011eea5c»
Eh bien regardez ça - en utilisant un proxy entre vous et l'appareil ou un outil similaire d’édition de trafic de bande, il suffit juste de modifier le hachage de réponse à envoyer à la place :
GET /index.htm HTTP/1.1 Host: 127.0.0.1:16992 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Connection: keep-alive Authorization: Digest username=»admin», realm=»Digest:048A0000000000000000000000000000», nonce=»qTILAAUFAAAjY7rDwLSmxFCq5EJ3pH/n», uri=»/index.htm», response=»», qop=auth, nc=00000001, cnonce=»60513ab58858482c»
Remarquez comment response est maintenant vide. Et pourtant, et le videur d'Intel vous laisse passer, même si vous avez flashé le portier sans mot de passe sans - aucune identité valide - :
HTTP/1.1 200 OK Date: Thu, 4 May 2017 16:09:17 GMT Server: AMT Content-Type: text/html Transfer-Encoding: chunked Cache-Control: no cache Expires: Thu, 26 Oct 1995 00:00:00 GMT
Si vous fouillez l'intérieur du firmware d'Intel, vous trouverez ce petit bijou qui se trouve au cœur de la matière – du code machine, qui une fois décompilé en C ressemble à peu près à ceci :
if(strncmp(computed_response, user_response, response_length)) deny_access();
Comme vous le savez peut-être, cette fonction standard compare pas plus que response_length octets dans les deux chaînes distinctes pour vérifier si elles sont identiques ou non. Les deux chaînes sont comparées, ici la réponse d'authentification envoyée par la personne qui tente de se connecter est (user_response) la réponse attendue par le service (computed_response). Si les deux chaînes correspondent, la fonction retourne zéro, ce qui indique que le mot de passe est bon comme prévu, et le code continue d'accorder l'accès. Si les chaînes sont différentes, la valeur de retour de la fonction est non nulle, ce qui signifie que le mot de passe est erroné, et l’accès est refusé. Jusqu'ici tout va bien.
Malheureusement, response_length est calculé à partir de user_response, donc si une chaîne vide est fournie, la longueur est égale à zéro, aucun octet n’est contrôlé, aucun octet n’est donc différent, et - comme prévu - strncmp()retourne zéro, ce qui indique un succès et l’accès est accordé. Ainsi, une chaîne de réponse vide se faufile comme valide quand elle est en fait invalide.
Intel devrait vraiment vérifier que les deux chaînes sont de la même longueur, puisque les réponses valides sont toujours des hash 32 octets MD5.
Merci à Embedi, pour le reverse engineering du code [ PDF ] et pour avoir également rapporté la faille à Intel en Mars. Tenable a également poussé autour de ce service et est venu à la même conclusion plus tôt cette semaine.
Intel a publié un peu plus d' informations sur la vulnérabilité ici, qui comprend des liens vers un outil pour vérifier si votre système est à risque avec des coordonnées de support, et une liste de conseils pour réduire la menace. Cet outil est apparemment dédié à Windows uniquement ; il y a une note d'info ici pour les utilisateurs Linux.
Il y a aussi cet outil tiers, ici , pour désactiver AMT à partir de Windows.
On nous dit que l'erreur de programmation est présente dans divers (mais pas tous), les chipsets processeur Intel de la famille Kaby Lake d’aujourd'hui jusqu’au silicium vendu dans les années 2010 : elle affecte principalement les PC d'entreprise, les postes de travail professionnels et les petits serveurs, plutôt que des dispositifs destinés à des gens normaux. Cependant, Chipzilla a admis aujourd'hui que « les consommateurs et les petites entreprises » peuvent finir par utiliser des processeurs à présent à la technologie vulnérable.
Si vous utilisez un processeur vPro et si vous utilisez les versions AMT 6 à 11.6 sur votre réseau, vous êtes certainement à risque concernant la vulnérabilité ci-dessus. Cela affecte également la norme Manageability (ISM) d'Intel et des produits de petite Business Technology (SBT). Nous vous recommandons d'utiliser l'utilitaire d'Intel pour doublement vérifier si oui ou non vous êtes silencieusement menacé par ce bogue.
Quelle est la gravité de ce bug ? Plutôt mauvaise. « L'exploit est trivial, d’un maximum de cinq lignes de python, et pourrait être faisable dans une commande shell d’une ligne », a dit l’inventeur SSH Tatu Ylonen.
« Il donne un contrôle total des machines affectées, y compris la capacité de lire et tout modifier, qui peut être utilisée pour installer des logiciels malveillants persistants. - Peut-être dans le firmware - . Et lire et modifier les données pour les serveurs de sécurité, il peut permettre de désactiver les fonctions de sécurité, créer des fausses informations d'identification, ou obtenir les clés racine.
« Désactiver AMT aujourd'hui, mobilisez qui vous avez besoin à partir de serveurs les plus critiques : ... comme les serveurs Active Directory, ou les autorités de certification, les bases de données critiques, les serveurs de signature de code, les pare-feu, les serveurs de sécurité, les SMH (si elles en ont permis) pour les centres de données, si vous le pouvez, bloquez les ports 16992, 16993, 16994, 16995, 623, 664 dans les pare-feu internes dès maintenant.
« Si vous avez quoi que ce soit connecté à Internet avec AMT, désactivez-le maintenant. Et supposez que le serveur a déjà été compromis. »
La dernière fois que nous avons regardé sur Shodan, il y avait plus de 8000 systèmes potentiellement vulnérables sur l'Internet public. Il y en aurait des milliers et des milliers d’autres sur les réseaux d’entreprise internes.
Maintenant, nous jouons le jeu de l'attente : Montrez-nous les correctifs
Alors, où en sommes-nous avec ces patchs, qui doivent être distribués par les vendeurs de machines, probablement parce qu'ils doivent signer les mises à jour du firmware avant qu'ils ne soient mis entre les mains des clients. Nous avons demandé aux principaux fournisseurs de matériel fonctionnant sous Intel pour avoir leurs avis. Voici avec quoi nous sommes revenus :
HP Inc
Un porte-parole nous a dit que le fabricant de PC sera en contact avec ses clients avec des détails des mises à jour du firmware nécessaire, ajoutant que le HP Inc « travaille en étroite collaboration avec Intel pour valider et mettre en œuvre leur mise à jour du firmware et aider nos clients à l’atténuation des risques potentiels. » La liste complète des produits visés est ici : la conséquence est un impact stupéfiant des produits touchés par ce bogue.
« Cette vulnérabilité est une faille de sécurité qui a pris naissance dans le développement et le déploiement du firmware de gestion d'Intel », a dit le représentant Inc HP, Au Register.
« HP et Intel travaillent en étroite collaboration pour assurer qu'il y ait des correctifs et des outils appropriés pour les clients et leurs environnements spécifiques. HP coordonne avec nos clients sur un plan de déploiement. Notre priorité absolue est d’atténuer les problèmes de sécurité et de réduire la complexité du déploiement pour nos clients. »
Les correctifs devraient arriver vers la fin de ce mois-ci et en juin, selon la famille de produits.
Lenovo
Le Slinger PC a une page importante ici détaillant les machines qui sont affectées, et lorsque des correctifs sont susceptibles d’arriver - la plupart du temps du 24 mai à juin. ThinkCentre, ThinkPad, ThinkServer, et les lignes de ThinkStation sont touchés.
« Lenovo est pleinement conscient de la vulnérabilité du firmware dans certaines versions de la facilité de gestion d'Intel et que cela impacte certains Lenovo, ainsi que d'autres périphériques PC et d'autres fabricants », nous a dit un porte-parole de Lenovo.
Le « Sécurité des produits Incident Response Team (de PSIRT) de Lenovo travaille en étroite collaboration avec Intel sur une solution permanente à la vulnérabilité. En attendant, Lenovo recommande à tous les clients de prendre les mesures suivantes pour atténuer le problème :
« La vulnérabilité du réseau peut être atténuée en déprovisant la facilité de gestion Intel SKU (AMT et ISM) ou la désactivation de la technologie de gestion Intel au sein de l'Intel MEBx. La vulnérabilité locale peut être atténuée par la désactivation ou la désinstallation du Service Manageability local (LMS) sur la gérabilité Intel UGS (AMT, ISM et SBT). »
Cette vulnérabilité locale est un vrai problème, mais à part : si vous avez vPro et AMT présents et activés sur votre ordinateur, mais pas provisionnés, vous êtes toujours à risque d'une escalade des privilèges locaux, comme détaillé dans l’avis original d’Intel.
Fujitsu
Le géant informatique japonais a une page ici avec la liste des étapes pour vérifier si vous êtes affecté, et comment obtenir les mises à jour du firmware nécessaires.
Hewlett Packard Enterprise
Personne n'a été disponible pour commenter ni confirmer la disponibilité de tous les correctifs, si nécessaire.
Dell
Personne n'a été disponible pour commenter ni confirmer la disponibilité de tous les correctifs, si nécessaire.
Cisco
Le fournisseur d'équipements de réseau et de serveur dit qu’il n'est pas affecté. « Cisco PSIRT est au courant de cette question », nous a dit un porte-parole de Cisco.
« A cette époque, notre enquête n'a pas identifié de technologie Cisco affectée. Si quelque chose de nouveau est constaté auquel nos clients doivent être informés et répondre, nous nous assurerons que nos clients savent ce qu'il en est, et comment y remédier grâce à notre processus de divulgation déjà établi. »
Apple
Les Macs fonctionnant avec un x86 d'Apple ne sont pas affectés, car ils ne sont pas livrés avec le logiciel AMT d'Intel. ®
Source : Theregister.co.uk
Traduction : ~ folamour ~
Corrections : ~ chalouette ~
Information complémentaire :
Crashdebug.fr : Des outils de piratage fuités de la NSA menacent les ordinateurs équipés de Windows 2000 à Windows 8
« Les Français dépensent trop… », dit Juncker à Macron
« Les Français dépensent trop… », dit Juncker à Macron
Le président de la Commission européenne, Jean-Claude Juncker à Berlin, le 8 mai 2017 (AFP / T. SCHWARZ)
Le président de la Commission européenne, Jean-Claude Juncker, a appelé lundi Emmanuel Macron à réduire la dépense publique en France une fois au pouvoir, jugeant que son niveau actuel n'était pas tenable à terme.
"Nous sommes confrontés avec la France à un problème particulier, les Français dépensent trop d'argent et ils dépensent au mauvais endroit", a déclaré à la presse à Berlin M. Juncker, au lendemain même de l'élection du centriste à la présidence française.
"Les Français consacrent entre 53% et 57% de leur Produit intérieur brut à leurs budgets publics, compte tenu du niveau relativement élevé de la dette, cela ne peut pas fonctionner dans la durée", a ajouté M. Juncker.
Il a estimé que le futur chef de l'Etat français ne pourrait pas compter à sens unique sur la mansuétude de ses partenaires européens sur ces questions. "Il appartient aussi aux Français de faire un geste en direction des autres" en faisant les réformes nécessaires, a-t-il dit.
Ces propos surviennent alors que la Commission doit publier jeudi ses prévisions économiques de printemps pour les pays de l'UE, suivies le 17 mai de recommandations. Or la France est sous pression pour respecter enfin les règles européennes, selon lesquelles les déficits publics doivent être en dessous des 3% du PIB.
Le président élu français a prévu dans son programme une réduction des dépenses publiques de 60 milliards d'euros en cinq ans, passant entre autres par la suppression de 120.000 postes de fonctionnaires.
Mais il a dans le même temps appelé l'Europe à se réformer et entend promouvoir des investissements dans l'UE.
Les conservateurs et sociaux-démocrates au sein du gouvernement de coalition de la chancelière Angela Merkel paraissent divisés sur l'attitude à adopter face aux projets européens du président élu français.
Le chef de la diplomatie allemande Sigmar Gabriel, un social-démocrate, milite pour qu'Angela Merkel et son ministre des Finances Wolfgang Schäuble mettent en sourdine leur orthodoxie budgétaire afin de donner une marge de manoeuvre à Emmanuel Macron.
Il a concrètement plaidé pour la création d'un Fonds d'investissement franco-allemand en faveur de la croissance, dont il entend donner les contours "dans les prochains jours".
"Nous devons à présent tout faire pour que la politique d'Emmanuel Macron réussisse en France et en Europe, car si ce n'est pas le cas Madame Le Pen est assez jeune pour se représenter dans cinq ans", a-t-il encore mis en garde lundi à Berlin.
"J'ai demandé un jour à la chancelière ce qui était plus coûteux, un déficit de 0,5% plus élevé que prévu en France ou Madame Le Pen" présidente, a-t-il dit.
Ce projet risque toutefois de rencontrer de fortes résistances de la part de la chancelière et de ses ministres conservateurs. "La politique européenne de l'Allemagne est définie par l'ensemble du gouvernement", a lancé lundi le porte-parole de Mme Merkel, Steffen Seibert, en réponse à l'initiative de M. Gabriel.
Jean-Claude Juncker, venu à Berlin pour la présentation d'un livre de Sigmar Gabriel, s'est par ailleurs dit réservé sur le projet d'Emmanuel Macron d'instituer un ministre des Finances de la zone euro.
"Cela annonce une gestation très difficile car tous les Etats de la zone euro ne sont pas d'accord que quelqu'un soit assis à Bruxelles ou ailleurs et décide, au-dessus des Parlements nationaux, de la manière dont les budgets doivent être faits", a prévenu M. Juncker.
Source(s) : Boursorama.fr via Contributeur anonyme
Informations complémentaires :
Crashdebug.fr : Du cauchemar à la réalité : Ce qui nous attend sous Macron 1er
Crashdebug.fr : Si vous hésitez à voter Macron, regardez ça (vidéo)
Crashdebug.fr : Le droit du travail réformé dès la rentrée
Crashdebug.fr : François Fillon à Philippe de Villiers : « Les Bilderbergs, c'est eux qui nous gouvernent »
Crashdebug.fr : L'Union Européenne, une Dictature démasquée...
Crashdebug.fr : Les Italiens doivent... 817 milliards d'euros au fisc
Crashdebug.fr : Sortir de l'euro ? Impossible pour les journalistes, mais pas pour les prix Nobel d'économie !
Crashdebug.fr : François Asselineau face à Jean-Jacques Bourdin dans l’entretien d’embauche présidentielle le 11 avril 2017 sur BFMTV
Crashdebug.fr : L'Union européenne était une idée AMÉRICAINE...
Crashdebug.fr : John Perkins : Les confessions d’un assassin financier
Crashdebug.fr : Je ne sais pas pour qui voter en 2017
Crashdebug.fr : François Asselineau la France face au désastre en 2017
URL: https://www.crashdebug.fr/international/13587-les-francais-depensent-trop-dit-juncker-a-macron