FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierBlogmotion

10nes : cette puce a protégé la NES pendant 20 ans 🗝

5 mai 2022 à 08:00
Par : Mr Xhark

J'ai découvert la chaine française Sakharu grâce à une suggestion sur la sécurité de la puce embarqué dans la console Nintendo NES : la 10NES.

L'histoire derrière cette puce est assez incroyable et un peu méconnue, et c'est l'occasion pour moi de vous faire partager cette excellente chaine YouTube :

Sur la Super Nintendo (SNES) c'est une tout autre méthode de hack grâce à un lecteur de disquette duplicateur de cartouches :

Personnellement je n'ai jamais vu un tel dispositif. Les premières puces que j'ai croisé et fonctionnelles étaient dans la Sony Playstation 1 (PSX).

D'ailleurs la créateur de la chaine a également fait une vidéo sur le hack de la PS3 :

George Hotz ne s'est pas arrêté là et Thomas nous en a également parlé par rapport à son histoire avec Tesla :

Ne s'improvise pas "hacker" (au sens noble du terme : bidouilleur) qui veut. Mais quand tu t'appelles Geohot c'est une autre histoire 🙂

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 05/05/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article 10nes : cette puce a protégé la NES pendant 20 ans 🗝 provient de : on Blogmotion.

Réparation électronique : le matériel pour débuter

29 avril 2022 à 08:00
Par : Mr Xhark

YouTube m'a recommandé une vidéo de Simon Liegeois dans laquelle il partage tous les outils pour bien débuter en réparation électronique :

Fer à souder, flux, étain, microscope, bain à ultrason, alimentation de labo. Peu de personne font le tour de leur labo et c'est un bon moyen pour découvrir des outils et astuces. Un peu dans l'esprit de ElectronikHeart, chaine inactive depuis 1 an.

J'ai justement découvert il y a seulement quelques semaines l'astuce de l'alcool isopropylique qui s'évapore pour identifier un composant qui chauffe anormalement grâce à une vidéo réparation de JohnJohn (à 13min20) :

De mon côté j'ai peu de choses en matériel car je ne fais pas d'analyse en profondeur, mais j'ai tout ce qui est basique. Peut-être je vous partagerai à mon tour cette liste bientôt !

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 29/04/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Réparation électronique : le matériel pour débuter provient de : on Blogmotion.

Que contiennent ces machines qui pompent un téléphone

25 avril 2022 à 08:00
Par : Mr Xhark

Sylvqin nous propose une vidéo sur une machine peu connue... en tout cas sur YouTube car la machine est très connue dans le milieu du forensic / judiciaire :

On se souvient de cette affaire d'iPhone en 2015 à San Bernardino. Et quelques années plus tard c'est Signal qui mets un petit tacle ^^

Et voici à quoi ressemble la valise avec ses accessoires :

Effectivement une jolie pièce de musée.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 25/04/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Que contiennent ces machines qui pompent un téléphone provient de : on Blogmotion.

[wordpress] Créer un déclencheur MySQL (trigger)

14 avril 2022 à 08:00
Par : Mr Xhark

Je me suis rendu compte qu'un de mes plugins WordPress était la cause d'une table plusieurs dizaines de mégaoctets.

Voici comment j'ai résolu ce problème : en créant un déclencheur (trigger

Analyse du problème

Lorsqu'une personne ajoute un commentaire en bas d'un article il est possible de remplir son nom/pseudo, email et site/blog. Il y a quelques années j'ai installé le plugin "Twitterlink Comments" qui ajoute un champ pour le pseudo Twitter.

Ce plugin crée une nouvelle table "wp_wptwitipid" (wp étant le préfixe par défaut) pour faire le lien entre le commentaire stocké dans la table wp_comments et l'email.

 

Problème : je reçois plusieurs dizaines de spams chaque jours, que vous ne voyez pas grâce à l'antispam. Mais ces spams restent stockés dans la base de données MySQL et sont tagués en tant que "spam" donc WordPress ne les affiche pas. Quand je purge les spams des commentaires cela ne purge pas la table wp_wptwitipid qui contient elle aussi une entrée (parce que oui, les spammeurs remplissent tous les champs).

Je me suis donc retrouvé avec pas loin de 100K enregistrements orphelins et inutiles en base, nickel 👍

Je ne l'ai pas précisé mais je me suis rendu compte tout à fait par hasard de la taille de cette table dans PhpMyAdmin, suite à un souci de backup... comme quoi 🙂

Identification des données à purger

Une requête avec jointure sur l'email pour localiser les données qui sont présentes uniquement dans une seule des 2 tables :

SELECT email FROM `wp_wptwitipid` 
LEFT JOIN `wp_comments` ON wp_comments.comment_author_email = wp_wptwitipid.email
WHERE wp_comments.comment_author_email IS NULL

Lors de la comparaison si le champ email est vide dans la table wp_comments alors c'est qu'il existe que dans la table du plugin (wp_wptwitipid).

Purge définitive des données

Avant cette étape j'ai bien réaliser une sauvegarde complète de la base de données mais aussi des 2 tables concernées pour ne restaurer que ces 2 là en cas plus rapidement si besoin.

Pour la suppression la syntaxe devient :

DELETE A 
FROM `wp_wptwitipid` A
LEFT JOIN `wp_comments` B ON B.comment_author_email = A.email
WHERE B.comment_author_email IS NULL

Avec les lettres A et B représentant les tables :

  • A=wp_wptwitipid
  • B=wp_comments

Et boom : tous les enregistrements inutiles sont supprimés. J'ai lancé une optimisation de la table derrière vu le volume de données supprimé.

Automatiser la suppression des données

Comme je n'ai pas envie de réitérer l'opération régulièrement j'aimerai que la purge soit réalisée à chaque suppression d'un commentaire WordPress.

Pour ça rien de plus simple il faut créer un déclencheur (trigger). Je dis simple mais en réalité c'est la première fois que je m'y intéresse, et c'est en réalité beaucoup plus simple que ce que j'imaginais.

Depuis l'interface de PhpMyAdmin cliquez sur la table puis créer un déclencheur (en haut à droite) :

  • table wp_comments
  • moment : AFTER
  • évènement : DELETE

Et la définition correspond à la requête de suppression précédente, rappel :

DELETE A 
FROM `wp_wptwitipid` A
LEFT JOIN `wp_comments` B ON B.comment_author_email = A.email
WHERE B.comment_author_email IS NULL

Résultat :

note: le champ créateur est facultatif, par défaut ce sera le nom de l'utilisateur MySQL

Autre possibilité si vous n'avez pas PMA pour créer directement le trigger en langage MySQL :

CREATE TRIGGER `trigger_maj_wptwitipid` AFTER DELETE ON `wp_comments`
FOR EACH ROW
DELETE A 
FROM `wp_wptwitipid` A
LEFT JOIN `wp_comments` B ON B.comment_author_email = A.email
WHERE B.comment_author_email IS NULL

Conclusion

Pour vérifier que tout fonctionne il suffit de supprimer un des commentaires depuis l'interface de WordPress. Regardez le nombre d'enregistrements dans la table "wp_wptwitipid" et si après la suppression du commentaire la valeur est décrémentée de 1 alors c'est gagné.

Je rappelle que j'ai laissé pour l'exemple le préfixe "wp_", pensez à utiliser votre prefixe si vous l'avez changé (ce qui est conseillé pour des raisons de sécurité).

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 14/04/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [wordpress] Créer un déclencheur MySQL (trigger) provient de : on Blogmotion.

Sortie d’Acronis Cyber Protect Home Office 2022

11 avril 2022 à 20:20
Par : Mr Xhark

Acronis True Image 2022 est sorti, ou plutôt Acronis Cyber Protect Home Office. Car le produit a bel et bien changé de nom.

Quoi de neuf ?

Acronis True Image est mort

18 ans après sa commercialisation Acronis True Image devient Acronis Cyber Protect Home Office.

Il est vrai qu'à force d'intégrer de plus en plus de fonctionnalités de sécurité (protection contre les ransomware, virus, etc.) Acronis True Image devenait un peu fourre-tout.

Ce renommage était donc assez logique, même si le pari est risqué compte tenu de la notoriété existante du nom True Image. Je trouve le nouveau nom trop long, surtout pour les non anglophones qui ne savent jamais dans quel ordre mettre les mots 🙂 Si ça ne tenait qu'à moi j'aurai opté pour Acronis Protect.

  • Bloquez les menaces en temps réel grâce à l'anti-malware avancé et l'AI associée
  • La réplication automatique de votre sauvegarde locale dans le cloud vous permet de conserver une copie hors site pour restauration (règle 3-2-1)
  • Réplication avec reprise (coupure internet)
  • Sauvegarde basée sur des déclencheurs (triggers)
  • Sauvegarde des cartes mémoire (SD, etc)
  • Prise en charge d'environnements virtuels (Parallels sur MacOS)
  • Filtrage web et protection temps réel
  • Protection des vidéoconférences (Zoom, Cisco Webex ou Microsoft Teams)
  • Chiffrement de bout en bout (AES 256 bits)
  • Signatures électroniques avec Acronis ASign
  • Acronis Notary (blockchain)
  • Nombre illimité de terminaux mobiles avec 1 seule licence
  • Compatibilité optimale avec Windows Security Center

Le produit est compatible avec Windows 11 et macOS 12.

Tarifs

Il est possible de choisir 1-5 ordinateurs couverts par le produit, en licence perpétuelle ou en abonnement.

En version essential :

  • 49,99€ pour 1 ordinateur
  • 79,99€ pour 3 ordinateurs
  • 99,99€ pour 5 ordinateurs

Tarifs complets disponibles ici (tarif réduit en cas de mise à niveau).

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 11/04/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Sortie d’Acronis Cyber Protect Home Office 2022 provient de : on Blogmotion.

Tout comprendre des LED WS2812 / SKS6812

11 avril 2022 à 08:00
Par : Mr Xhark

A force de me balader sur le web j'ai trouvé beaucoup d'informations au sujet des (bandeaux) LED WS2812B et SKS6812... mais l'approche était un peu empirique.

La chaine Abrège vient justement de publier une vidéo à ce sujet, et elle est PAR-FAITE!

Bravo Thomas, les explications sont à la portée de tous, les animations et le montage très propres.

Le petit projet démo pour donner du sens à tout ça : TIP TOP 🙂 J'aurai aimé avec un prof comme ça pour apprendre l'électronique !

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 11/04/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Tout comprendre des LED WS2812 / SKS6812 provient de : on Blogmotion.

[vidéo] Anatomie d’une vidéocapsule endoscopique

7 avril 2022 à 19:26
Par : Mr Xhark

Stéphane a reçu une vidéocapsule endoscopique.

Il s'agit d'une mini caméra embarquée dans une capsule similaire à un médicament. Le patient avale la capsule et celle-ci va filmer son voyage à l'intérieur du corps, en envoyant les images par onde radio :

Assez incroyable que l'on soit arrivé à ce niveau de miniaturisation.

Aucune info sur l'évacuation de la capsule en revanche 😀 vu le prix c'est vrai qu'on pourrait la reconditionner en mettant une enveloppe toute neuve... mais comme c'est le patient (ou la caisse de santé) qui paye, pourquoi s'embêter ?

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 07/04/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [vidéo] Anatomie d’une vidéocapsule endoscopique provient de : on Blogmotion.

Démonter un HDD pour remplacer son PCB

1 avril 2022 à 22:43
Par : Mr Xhark

Un disque dur mécanique est composé d'une carte électronique (PCB) et d'une partie mécanique : plateaux, moteur, etc. Il peut arriver que la carte électronique tombe en rade. Soit à cause d'une surtension, soit à cause d'un composant électronique qui rend l'âme. Dans ce cas il est possible d'acheter cette carte pour l'intervertir avec celle d'origine défectueuse.

C'est que nous propose Stéphane dans cette vidéo de réparation, sans toutefois tenter de récupérer les données. Le but pour lui était de ne pas jeter le disque, il l'a donc formaté quand la partition était détectée en raw (c'est à dire sans qu'elle soit reconnue).

ℹ : on retrouve le même programmateur de puce TL866 que celui que je vous ai présenté dans le sauvetage d'un PC Portable DELL (écran noir).

Il y a de fortes chances que des outils comme TestDisk ou DiskGenius seraient parvenus à détecter les partitions en balayant les secteurs du disque, pour ensuite récupérer les données. Dommage de ne pas avoir poussé la réparation jusque là car la majorité du boulot était faite grâce au dump de la puce EEPROM.

Une compatibilité loin d'être évidente

Ce qu'il faut savoir c'est qu'il existe un grand nombre de firmwares, versions de PCB. Même quand vous tombez sur une carte qui vous semble très proche il y a très peu de chance que vous soyez sur une version totalement identique. Cela veut dire qu'il y a très peu de chance de récupérer les données en changeant la carte sans procéder au dump de la puce d'origine.

Démonstration en salle blanche

Dès qu'il faut aller plus loin en permuttant les plateaux il faut concentration de particule très faible (salle blanche), des outils et logiciels professionnels hors de prix et un savoir faire qui n'est pas à la portée du débutant.

Je vous conseille d'aller voir la chaine YouTube canadienne HDD Recovery Services dont voici une mise en bouche :

Il travaille également sur divers périphériques de stockages : cartes mémoire, SSD. Franchement intéressant.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 01/04/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Démonter un HDD pour remplacer son PCB provient de : on Blogmotion.

Faire tourner un PC dans de l’eau du robinet / glace ?

23 mars 2022 à 08:00
Par : Mr Xhark

Inutile donc indispensable! Goodwin a testé de watercooler un PC avec de l'eau du robinet, sans la déminéraliser :

Ceci faisait suite au précédent essai qui consistait à congeler un PC dans de la glace. La première tentative avec un vernis de tropicalisation était ratée :

D'où le second essai qui s'est soldé par un succès :

Voilà, je pense qu'on a fait le tour de toutes les questions WTF du moment et vous n'aurez pas à martyriser du matériel chez vous. Je vous vois déjà dans les commentaires pour me dire que vous préférez utiliser un vieux boitier de PC pour le barbecue 😀

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 23/03/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Faire tourner un PC dans de l’eau du robinet / glace ? provient de : on Blogmotion.

Et vous, vous gardez vos serveurs combien de temps ?

15 mars 2022 à 08:00
Par : Mr Xhark

C'est ce que j'ai découvert dans une vidéo de Thomas qui est allé visité le datacenter d'Infomaniak :

Bon, quelques choix surprenants... La simple alimentation notamment. Même si tu doubles tes serveurs pour que la perte d'un membre ne plante pas le service, ça me paraît assez surprenant. Surtout que tu as 2 sources d'alimentation différentes, donc pourquoi ne pas les utiliser ?

Une 2ème alimentation ne consomme pas autant d'énergie que l'alimentation active. Bref tout est une question de choix, de redondance et de résilience.

Le plus surprenant c'est l'absence de climatisation, c'est vrai. Les composants supportent une plage de fonctionnement de plus en plus importante, mais attention au taux d'humidité. Pas d'info sur ce dernier dans la vidéo mais j'imagine qu'il est contrôlé un minimum pour ne pas oxyder les cartes.

Je trouve assez intéressant de garder les serveurs si longtemps, mais ça pose le problème de la garantie. De nombreux contexte d'entreprise / clients ne permettent pas cette souplesse. Je serai plutôt partant pour le reconditionnement des serveurs à des brokeurs, la pire des solutions restant bien sûr la benne. Même s'il faut dire que parfois le matériel a bien souffert quand il est décommissionné.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 15/03/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Et vous, vous gardez vos serveurs combien de temps ? provient de : on Blogmotion.

L’astreinte informatique : pour qui, pourquoi ?

7 mars 2022 à 08:00
Par : Mr Xhark

De nombreux postes IT comporte une astreinte : à tour de rôle vous êtes joignable par téléphone pour réagir à des alertes provenant d'humains, d'automates ou de supervision (centreon, shinken, zabbix...).

C'est un des inconvénients du métier d'ingé/admin système face au monde du développement.

Xavki propose justement de parler de son expérience et le sujet me semble intéressant car on est nombreux en france à être concerné par de l'astreinte mais peu à en parler, alors que ce sujet n'a rien de tabou.

J'ai profité de cette occasion pour vous partager mon retour d'expérience, et j'espère que vous y verrez plus clair avant d'accepter votre 1er poste avec astreinte.

C'est quoi l'astreinte ?

Par définition c'est quelque chose d'astreignant, qui constitue une contrainte. Le site du service public le résume ainsi :

L'astreinte correspond à une période pendant laquelle le salarié doit être en mesure d'intervenir pour accomplir un travail au service de l'entreprise. Le salarié d'astreinte n'a pas l'obligation d'être sur son lieu de travail et ou à la disposition permanente et immédiate de l'employeur.

Une des formules souvent rencontrée en entreprise est d'être d'astreinte 24h/24 pendant une semaine.

Vous devrez vous limiter à des activités compatibles. Ciné, resto, bowling... semble compliqués. Sauf si ça ne vous dérange pas de quitter le lieu. Même chose si vous conduisez parfois il faut s'arrêter pour réparer le bousin à distance.

Voilà, ça c'est pour poser le décor.

Les moyens à votre disposition

L'entreprise peut mettre à votre disposition : pc portable, téléphone mobile (ou routage sur votre mobile pro d'un numéro fixe), un véhicule et un équipement type clé 4G, etc.

Certaines astreintes imposent de pouvoir se déplacer dans un délai maximum de xx minutes sur un site géographique, vous ne pouvez donc pas être à 200km à siroter votre cocktail sur la plage (sauf si votre boite est à côté^^).

Il y a normalement une hiérarchie de managers d'astreinte sur qui vous pouvez "vous appuyer". Je ne parle pas techniquement mais en cas de prise de décision, plan critique, coordination, plan d'urgence, etc. Ces managers vivent des astreintes forcément plus cool que les vôtres puisqu'il sont appelés en dernier recours ou dans des cas bien particuliers. On les appelle souvent les "cadres d'astreinte", même si vous aussi vous pouvez être cadre.

Vous devrez emporter votre téléphone partout avec vous. Même si vous descendez les poubelles, vous l'aurez avec vous.

C'est une charge mentale :

  • le téléphone a-t-il du réseau ?
  • est-ce qu'il est en mode sonnerie ?
  • ai-je raté un appel ?
  • est-ce que je vais l'entendre s'il sonne ?

Des fois on a l'impression de sentir une vibration dans la poche du pantalon mais non c'est du bluff! On appelle ça les vibrations fantômes. Encore une fois ça dépend de votre personnalité, certains sont plus inquiets et consciencieux que d'autres...

Normalement si vous ratez un appel il revient quelques minutes après. Si vous recevez un appel au lieu d'un SMS optez pour une sonnerie d'appel qui dure longtemps, ça vous évitera de le rater.

Roulement d'équipe

Admettons que vous faites une semaine d'astreinte par mois.

En fonction du nombre de personnes montant l'astreinte votre tour reviendra plus ou moins souvent. En dessous de 5 personnes ça revient trop vite car vous aurez seulement 3 semaines de répit... et vous vous direz "ah plus qu'une semaine tranquille" avant la reprise.

Un planning d'astreinte doit être établi pour l'année complète pour que chacun puisse s'organiser. Un peu de souplesse est la bienvenue histoire de pouvoir échanger une semaine pour une soirée pour aller à un concert, un resto... quand ça tombe sur votre semaine d'astreinte.

Combien ça rapporte et est-ce obligatoire ?

Sur l'aspect légal / obligatoire je vous laisse lire ceci car cela dépend des conventions. Généralement c'est sur base de volontariat, et je vous conseille de poser la question dès l'entretien. Si vous n'avez pas envie de faire d'astreinte dite-le clairement dès l'entretien d'embauche, histoire que ça ne soit pas vécu comme une pression ensuite.

L'astreinte est rémunérée par une prime d'astreinte dont le montant peut être très variable. Généralement vous avez un montant fixe et un complément lié au nombre et temps d'intervention. De mon expérience personnelle en région une semaine d'astreinte par mois dans l'infra tourne autour de 600 à 800 euros brut. En dessous je trouve que l'impact contrainte/rémunération est négatif, mais ça ne regarde que vous. Si vous avez un appel dans la semaine pour 500 euros ça peut sembler intéressant... attention le jour ou vous passez à 15 appels hebdo.

Bon à savoir : la prime d'astreinte ne fait pas partie de votre salaire fixe. Ce montant ne sera pas pris en compte si vous demandez un prêt, un logement, etc. On se basera sur votre rémunération hors prime, sachez-le.

Certaines entreprises ont tendance à inclure le montant de l'astreinte dans la rémunération pour que ce soit plus attirant. Ne tombez pas dans le piège : le jour où cette astreinte est supprimée (ou si vous changez de poste) vous aurez une sacré surprise à la fin du mois. Certaines conventions prévoient une compensation après x années d'astreinte si celle-ci est supprimée, ça peut être (plus rarement) intégré au salaire fixe.

Renseignez-vous avant de démissionner car à quelques mois près vous pouvez passer à côté d'une compensation non négligeable due par l'entreprise.

S'organiser et être méticuleux

L'astreinte génère un lien fort avec l'entreprise pour laquelle vous serez le "superhéros", parce qu'on compte sur vous.

Bien qu'il n'y ait souvent pas d'engagement de résultat (best effort), vous pouvez vous mettre une pression et vous sentir coupable de ne pas avoir réglé le problème.

Je vous conseille de noter et horodater les actions réalisées quand vous sentez que l'appel sort du quotidien. Ce sera beaucoup plus facile pour alimenter le REX/RETEX s'il est demandé. De plus ça pourrait vous apporter un peu de lumière sur votre investigation : "ah tiens je vais aller vérifier ça parce que j'ai tel problème !". En vous relisant vous pourriez vous apercevoir que vous n'avez pas réaliser le bon cheminement.

Faites des captures d'écran ou enregistrez l'écran en vidéo. Là encore ça vous sera très utile pour revenir en arrière ou retrouver une configuration initiale que vous avez modifié sans backup 🙂

⚠ Avertissements et précautions

Même si cela peut bien se passer, tout n'est pas rose dans le monde de l'astreinte. J'ai pu collecter quelques avis autour de moi que je rassemble ici.

Un abonné de Blogmotion, que nous appellerons JC (Jean Cloud), m'a contacté spontanément, nous l'appellerons JC (coucou Jean-Cloud!).

Ne rentrez pas dans le tour d'astreinte si vous ne le sentez pas. 

Vous devez toujours être en doublon avec une autre personne sur les premières semaines d'astreinte. Pour pouvoir l'appeler si besoin d'aide/question/doute.

L'astreinte se passera extrêmement mal s'il existe une dette de documentation, et encore pire s'il y a de la rétention d'information. Et je ne parle pas forcément de quelque chose d'important, parfois on ne sait juste pas comment se connecter à une machine car il faut passer par un rebond... comme le dit Xavki on doit disposer d'une base de connaissance solide, en plus de l'ITSM/CMDB de l'entreprise.

Exemple : pouvoir chercher rapidement comment une alarme s'étant déjà présentée dans le passé a été résolue.

La pire des astreintes : en fonction de la personne d'astreinte un problème est résolu ou non. Si chaque membre de l'équipe dispose d'une expertise sur un périmètre donné l'astreinte doit concerner un socle commun. Si tu n'es pas DBA tu dois trouver une procédure permettant de réaliser des opérations sans avoir de réfléchir (au mieux transposer), même si tu dois comprendre ce que tu fais. Le contexte et la question du "pourquoi" est bien trop souvent oubliée dans les procédures de remédiation.

La liste des sondes pouvant déclencher un appel d'astreinte doit être revue au moins une fois par an, et aussi souvent que nécessaire tout au long de l'année. Si une sonde déclenche un appel d'astreinte mais qu'on ne sait pas résoudre le problème cette sonde est inutile et doit être supprimée (ou la solution documentée).

Le plus compliqué est de recevoir un appel d'astreinte à cause d'une ingérence chronique d'une autre équipe. Exemple : vous êtes d'astreinte et appelé pour un problème sur une base de données qui a saturé l'espace disque. Vous avez déjà remonté plusieurs fois le problème en demandant de séparer le volume de la BDD sur un point de montage dédié... mais rien n'a été fait. Autant dire que le matin en arrivant au boulot vous n'allez pas être forcément de la meilleure humeur 🙂

L'astreinte peut créer ou accentuer des tensions dans une équipe si celle-ci n'est pas bienveillante ou ne se sert pas les coudes. Surtout s'il y a un terrain d'inégalités, il en sera d'autant plus aggravé.

Vigilance également si vous n'êtes pas d'astreinte, ne répondez pas aux appels sur votre téléphone personnel. Et idéalement ne le communiquez pas! Si vous ouvrez cette porte illégale vous aurez bien du mal à la refermer sans culpabiliser ensuite.

Le conseil de JC :

Mon conseil pour ceux qui se lancent dans les astreintes : attention au travail déguisé.

Vous avez en général un certain temps pour vous connecter (30 min). Ça veut dire qu'il est acceptable que vous ne soyez pas chez vous, du moment que dans le temps imparti vous êtes connecté. Ne vous imposez pas de rester enfermé par précaution. Aujourd'hui avec la 4G/5G, on peut se connecter de n'importe où. Après oui, on est mieux sur son bureau, etc. Mais "show must go on", et si votre société vous demande plus de réactivité, c'est qu'ils n'ont pas compris qu'ils doivent avoir un service en 2x8 ou 3x8 plus compétent pour intervenir dans des urgences, et l'appel à l'astreinte doit rester de l'exception.

En résumé, l'astreinte oui, c'est bien dans une boîte qui vous respecte, mais ça peut vite devenir lourd dans le cas inverse, et la il faut se protéger du mieux possible.

L'impact sur vous (corps / sommeil)

L'astreinte est beaucoup plus adaptée aux petits dormeurs, ceux ayant besoin de moins de 8h de sommeil par nuit. Plus votre corps nécessite d'heures de sommeil, plus vous avez un risque d'être interrompu en plein milieu. S'il vous manque 1h de sommeil ou 4h ça n'est pas du tout la même histoire le lendemain.

Il est très difficile d'enchainer des appels d'astreinte consécutifs d'un jour sur l'autre en pleine nuit. Encore plus si vous avez besoin de 8h de sommeil comme expliqué juste avant.

De mon côté j'ai besoin de 8h de sommeil et c'est pour cette raison que j'ai arrêté de faire de l'astreinte. L'astreinte ne doit pas avoir un impact négatif sur vos missions initiales, votre poste.

L'astreinte ne dure qu'un temps

Je fais partie de ceux qui pensent que l'astreinte use et que plus tu vieillis plus c'est compliqué à gérer #teamboomer

Que vous ayez une vie de famille ou non, le corps et l'esprit ont besoin de récupérer. Si vous voyez l'astreinte comme un challenge personnel et que ça vous plaît alors tant mieux. Personnellement je vois plus ça comme une contrainte. Malheureusement quand tu es admin/ingé système/réseau ça va souvent de pair avec le job.

Ne pas vouloir faire d'astreinte peu être mal vu et c'est souvent le même argument culpabilisant qui est avancé : plus on est nombreux dans le tour d'astreinte moins il revient souvent.

Cela peut même devenir pernicieux :

Oui il/elle ne veut pas faire d'astreinte, ben il/elle doit déjà être suffisamment payé !

Et paf dans tes dents l'augmentation aux négociations annuelles de fin d'année 😁

Pas que du négatif

J'ai volontairement axé ce post sur les inconvénients pour vous informer et vous mettre en garde pour ne pas accepter un poste avec de l'astreinte sans comprendre ce que ça signifie.

Grâce à l'astreinte vous allez pouvoir :

  • gagner de l'argent
  • améliorer les procédures/docs
  • améliorer l'infrastructure pour limiter les appels
  • améliorer vos compétences/skills
  • sortir de votre zone de confort (si ça vous plait)
  • progresser dans l'entreprise
  • gagner en visibilité #superhéros

JC ajoute que :

Tout admin qui se respecte devrait faire de l'incident pour comprendre l'importance de la doc, des surveillances aux procédures claires.

Perso, j'ai du mal à ne pas respecter les 11h de repos légal entre le dernier appel et la reprise du travail, mais je suis le 1er à dire aux autres de le faire.

Sur votre CV ça peut aussi jouer en votre faveur, dans le sens ou vous avez un sens de l'engagement et que l'on peut compter sur vous.

Conclusion

L'astreinte c'est comme une literie : ça convient à certains et pas à d'autres. Ceci en fonction de votre rythme de vie, de votre capacité de récupération, de vos besoins de sommeil, de vos envies, vos besoins financiers, etc.

Il m'a semblé important de vous donner plus d'information et partager mon expérience sur ce sujet, ça n'est pas une vérité vraie et votre ressenti peut être très différent. La bienveillance de la structure et la prise en compte de l'humain vont fortement influencer votre expérience d'astreinte.

Avant de terminer un dernier point important : s'il est "facile" d'entrer dans un tour d'astreinte il est souvent plus compliqué d'en sortir, il faut donc poser toutes les questions avant de s'y lancer. L'idéal étant d'avoir une période de test, mais c'est rarement proposé.

Merci à xavki d'avoir amorcé le sujet dans sa vidéo. Je sais qu'il existe de nombreuses variantes sur les formules d'astreinte et n'hésitez pas à compléter en commentaire s'il vous manque des éléments essentiels.

illustration

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 07/03/2022 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article L’astreinte informatique : pour qui, pourquoi ? provient de : on Blogmotion.

Lire un QR Code sans smartphone : c’est possible

2 mars 2022 à 08:00
Par : Mr Xhark

Viviane de la chaine Scilabus a publié une vidéo décorticage du fonctionnement des QR Codes, qui sont clairement rentrés dans notre quotidien depuis la pandémie :

Je lui tire mon chapeau pour avoir réussi à expliquer le tout sans entrer dans la foultitude de détails que comporte ce sujet passionnant. Perso je suis toujours impressionné par la vitesse de lecture du code par les machines. Peut-être aussi parce qu'on ne sait pas quand la lecture commence vraiment, alors on bouge le téléphone en pensant qu'il ne lit pas bien le code 😃

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 02/03/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Lire un QR Code sans smartphone : c’est possible provient de : on Blogmotion.

GitHub1s : les dépôts GitHub dans VSCode (web)

26 février 2022 à 15:50
Par : Mr Xhark

GitHub n'est pas des plus pratiques pour lire des bouts de code, son interface n'est pas très ergonomique. Contrairement à VSCode qui est est beaucoup plus pratique, puisqu'il s'agit d'un IDE (ça aide).

Et bien sachez qu'il est possible d'aller sur GitHub depuis VSCode directement dans votre navigateur web! Il suffit d'ajouter "1s" dans l'URL.

Si je veux accéder au dépôt :

https://github.com/blogmotion/bm-RaspberryPi/

J'ai juste à ajouter "1s" à "github" :

https://github1s.com/blogmotion/bm-RaspberryPi/

ℹGitHub1s n'est pas lié à GitHub, il existe de nombreuses extensions pour Firefox et Chrome qui ajoutent directement un bouton vers GitHub1s quand vous êtes sur GitHub.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 26/02/2022 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article GitHub1s : les dépôts GitHub dans VSCode (web) provient de : on Blogmotion.

[DIY] Créez votre Ambilight avec un Raspberry Pi

21 février 2022 à 11:58
Par : Mr Xhark

Thomas nous propose une vidéo très complète sur sa dernière création : un bandeau Ambilight équivalent à ce que l'on trouve derrière les TV Philips. Comme d'habitude avec Thomas le résultat est  "tip top"😄

On a même droit à un PCB créé pour l'occasion et un boitier imprimé 3D top classe pour maintenir le tout :

Je trouve le rendu excellent et je ne connaissais pas Hyperion, un plaisir de voir un logiciel libre aussi bien fichu dans ce domaine.

Comme avec tous les systèmes DIY le flux TV (TNT) ne sera pas coloré... sauf si vous passez par une application (Molotov...) ou un boitier avec tuner TNT ayant une sortie HDMI comme c'est le cas de certaines box android.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 21/02/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [DIY] Créez votre Ambilight avec un Raspberry Pi provient de : on Blogmotion.

Huawei sans Play Store, toujours une cata ?

15 février 2022 à 21:21
Par : Mr Xhark

On se souvient de drama Huawei qui a perdu la possibilité d'avoir accès à l'écosystème du Google Play Store... applications, jeux mais aussi Gmail, Calendar, Maps, etc.

De mon côté j'ai complètement exclu Huawei des marques de smartphone, justement pour cette raison.

Je ne vois aucun intérêt à acheter un smartphone sous Android n'ayant pas accès au Play Store. Je sais bien qu'il existe des alternatives (coucou F-Droid), des hacks, qu'il faut arrêter d'utiliser les GAFAM, etc. Et d'ailleurs si tu veux vraiment te passer de Google ça peut être une option. Passer d'un logiciel américain à un logiciel Chinois, mouais.

Il y a aussi des enjeux de sécurité... on trouve déjà un grand nombre de cochonneries planquées dans des applications du Play Store, alors je n'imagine même pas sur les autres comme celui de Huawei.

Enfin bref, je partage l'avis de NowTech 🙂

La marque Honor lui n'est plus impactée car elle ne fait plus partie de la maison mère Huawei depuis fin 2020.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 15/02/2022 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Huawei sans Play Store, toujours une cata ? provient de : on Blogmotion.

Hack+Forensic d’une application Android ☠

1 février 2022 à 08:00
Par : Mr Xhark

Waked a publié 2 vidéos sur la contamination d'un smartphone Android.

D'abord avec l'injection d'une charge (payload) dans l'APK dans une application Android existante, qui permet ensuite d'avoir un accès au smartphone à distance.

Et une seconde orientée forensic, pour essayer de comprendre ce que contient l'application malveillante avec une décompilation de l'APK :

Je ne connaissais pas MobSF et je pense que je vais l'utiliser pour analyser quelques applications. En effet rien ne garantit qu'une application ne contient pas une petite porte dérobée, même sur le play store. Google tente d'éliminer ces applications mais il y a en a toujours qui passent à travers les mailles du filet. Rien n'est garanti non plus sur les magasins alternatifs comme F-Droid, bien que je le considère comme l'un des plus fiables.

Il existe une version en ligne de mobSF si vous n'avez pas envie de l'installer (parce JDK burk 😝)

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 01/02/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Hack+Forensic d’une application Android ☠ provient de : on Blogmotion.

Pourquoi JavaScript est claqué au sol ?

29 janvier 2022 à 08:00
Par : Mr Xhark

Une vidéo particulièrement intéressante de Thomas qui vient causer de tout l'historique du langage JavaScript :

Cela ne nous rajeunit pas ces histoires de JVM, Sun, Netscape, Mosaic et cie 😁

Lla suite aura donné tord à Microsoft qui a fini par adopter le moteur Chromium pour leur navigateur Edge... pour le plus grand bonheur des développeurs qui n'ont plus à adapter leur site pour IE.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 29/01/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Pourquoi JavaScript est claqué au sol ? provient de : on Blogmotion.

[Outlook] Créez et gérez jusqu’à 10 alias email 📥

16 janvier 2022 à 08:00
Par : Mr Xhark

Plutôt que de créer une nouvelle adresse email Microsoft (Outlook/Hotmail) vous pouvez profiter d'alias email.

Chaque boite email outlook (hotmail, msn, etc) permet d'avoir jusqu'à 10 alias gratuitementL'alias est une deuxième adresse email qui arrivera dans votre boite de réception existante. Vous pouvez créer un dossier ou un filtre automatique pour différencier plus facilement les emails arrivant sur chaque. Dans tous les cas le champ "destinataire" contiendra toujours l'alias et non votre réelle adresse email, ce qui facilite l'organisation.

Pourquoi créer un alias ?

Quelques cas d'usages : création d'un CV, postulation à un poste, inscription à un site particulier, etc. Si vous quittez une entreprise plutôt que de communiquer une adresse personnelle à tout le monde, créez un alias et supprimez-le quand il sera devenu inutile.

Enfin, l'alias ajoute un moyen supplémentaire de vous connecter à votre boite email. Si celle-ci est trop longue c'est un excellent moyen de gagner du temps sur la mire de connexion (le mot de passe ne change pas).

Comment créer un alias

▶ Pour créer, modifier ou supprimer vos alias : cliquez-ici (+ d'infos)

Il sera possible de choisir entre @outlook.com et @outlook.fr

Vous pouvez également créer gratuitement 5 alias email grâce au service Firefox Relay. Pour l'instant le sous domaine est encore bien accepté un peu partout (ça risque de ne pas durer).

Si vous vous demandez d'où vient l'idée de cet article, sachez que ce lien est de plus en plus difficile à trouver, alors plutôt que de le garder dans mes favoris je le partage avec vous.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 16/01/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article [Outlook] Créez et gérez jusqu’à 10 alias email 📥 provient de : on Blogmotion.

Lancer un programme *.exe en tant que « autorite nt\système »

12 janvier 2022 à 08:00
Par : Mr Xhark

Sous Windows il existe un super administrateur intégré. Plus fort que le compte administrateur ("administrator" en anglais), il permet de lancer des programmes, services, tâches, etc.

Le nom de ce super administrateur est le compte "autorite nt\système" ("NT Authority\system"), je vous en ai parlé ici : [PsExec] Lancer cmd en tant que "système"

Important : ce post s'adresse à des professionnels du monde informatique (sysAdmin, ingé système, etc) ou à des utilisateurs chevronnés qui comprennent ce qu'ils font.

PowerRun par Sordum

PowerRun fait partie des nombreux utilitaires gratuits développés par Sordum.

Il propose une interface simple qui permet de lancer n'importe quel programme ou commande depuis l'utilisateur "autorite nt\système".

⚠ Attention ⚠

PowerRun est aussi puissant que dangereux. En effet ce compte de bas niveau dans Windows ne permet normalement pas la connexion en tant que tel... et ça n'est pas pour rien. Ce sont les programmes de sécurité tels que des suites de sécurité (antivirus, EDR...) qui utilisent ce niveau de droit ultime (pour empêcher un utilisateur de l'arrêter, même s'il est membre des administrateurs).

Il y a d'autres cas d'usage dans lesquels PowerRun qui peut vous sauver la mise :

  • un problème de droit dans le registre (impossible de modifier...) grâce au bouton "registre" intégré
  • un problème de droit dans l'explorateur de fichiers

Pour le dernier cas il faudra : tuer explorer.exe (taskkill /f /im explorer.*) puis le lancer avec PowerRun (depuis une cmd par exemple). Attention vous perdrez temporairement l'environnement graphique de l'utilisateur en cours.

PowerRun fonctionne également en ligne de commande (CLI) :

Usage: PowerRun_x64.exe [/SW:<Window State (0-3)] [/WD:<Working Directory>]
[<file path> Required!] [<file commands>]

Commands:
/SW:0 = Hide window
/SW:1 = Show window (Default)
/SW:2 = Minimize window
/SW:3 = Maximize window
/WD:(Path) = Working directory
/SYS = Only System User (Not TrustedInstaller)

Examples:
PowerRun_x64.exe "C:\Test.exe"
PowerRun_x64.exe "C:\Test.exe" param1 param2 etc.
PowerRun_x64.exe "C:\Test.bat" param1 param2 etc.
PowerRun_x64.exe /SW:2 "/WD:C:\" notepad.exe C:\test.txt
PowerRun_x64.exe Regedit.exe "C:\Test.reg"
PowerRun_x64.exe Regedit.exe /S C:\Test.reg
PowerRun_x64.exe %SystemRoot%\system32\cmd.exe
PowerRun_x64.exe cmd.exe /k echo hello world!
PowerRun_x64.exe /SYS cmd.exe /k echo hello world!
PowerRun_x64.exe /SW:0 "Reg.exe" add "HKLM\Software\keyname" /v "valuename" /t REG_SZ /d "hello" /f

Une fois la commande ajoutée dans l'interface graphique vous pouvez facilement l'automatiser par le menu Editer > créer > créer fichier bat/vbs. (script chez MyDigitalLife pour l'ajouter en menu contextuel).

Conclusion

PowerRun est disponible en français, pensez à soutenir le développeur avec un don si le programme vous est utile.

Ne l'utilisez que si vous savez exactement ce que vous faites avec. Ne lancez pas des programmes avec ce niveau si ça n'est pas nécessaire, et pensez à bien les fermer une fois que vous aurez terminé. Ce niveau de droit est souvent utilisé par des charges malveillantes (virus, ransomware...) pour se propager partout dans un réseau : domicile, entreprise, etc.

Bonus : ajouter PowerRun en clic droit élévation (équivalent avec RunExplorer)

Quelques équivalents et alternatives :

  • AdvancedRun de Nirsoft (très complet!)
  • RunX de d7xTech
  • NSudo (tutoriel + script)
  • ExecTI : il permet de lancer des programmes en tant que "trustedInstaller"
  • Process Hacker (menu Hacker > Run as)
  • A la main en créant une tâche qui va appeler un script en tant que "autorite nt\système" (ce que fait CCleaner pour se lancer si vous l'installez...)

Pour comprendre les SID : documentation Microsoft.

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 12/01/2022 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Lancer un programme *.exe en tant que « autorite nt\système » provient de : on Blogmotion.
❌