Une vulnérabilité a été identifiée dans plusieurs distributions Linux, dont Ubuntu, permettant de contourner le chiffrement complet du disque.
C’est pas vraiment une faille, plutôt une fonctionnalité dangereuse (le debug shell).
3 « J'aime »
Ça fait du bien de voir des articles sur Gnunux passer ici.
Il faut être root pour modifier l’initrd de linux sur une machine existante. Et donc si t’es root avec de mauvaises intentions, ta machine est déjà morte. Si tu as accès au hardware, avec de mauvaises intentions, ta machine est déjà morte (car il suffit d’un keylogger USB pour capturer le mot de passe que tu vas forcément taper au clavier). Bref, en gros, si tu es déjà dans la mouise, il existe des tas de manière pour t’enfoncer encore plus. Pas grand chose de transcendant là.
4 « J'aime »
Non mais MDR… A ce niveau, si on est root, il y plus simple et plus rapide comme fonctionnalité dangereuse pour détruire son OS : l’interface chaise clavier (l’utilisateur).
C’est quoi cet article? c’est expliquer comment détruire son OS facilement ?
Sous Linux, si on est root, on a le droit de vie et de mort sur son OS. Et on est pas sous Windows là ou tout le monde l’utilise en tant qu’admin car sinon certaines applis / jeux ne marchent pas.
2 « J'aime »
Une faille où il faut un accès physique, ce n’est pas aussi critique qu’indiqué par l’article.
Par contre, ceux qui ont des serveurs avec carte d’accès distant (ILO, IDRAC, BMC) ont vraiment intérêt à avoir un bon VPN.
2 « J'aime »
Ceux qui utilisent ces outils ne sont déjà plus des « novices » et connaissent, en général, les risques liés aux accès remote.
1 « J'aime »
En lisant la fin de l’article, on a l’impression que la solution consiste à utiliser le TPM comme le fait déjà Windows, laissant penser que Linux est à la traîne de Windows. C’est fort !
1 « J'aime »
Ne jamais sous-estimer la flemme des utilisateurs 
3 « J'aime »
L’article a été écrit par quelqu’un qui est picousé à Windows ou qui n’y connaît rien à Linux… 
2 « J'aime »
C’est en effet le cas.
Il est déjà possible d’utiliser tpm2 depuis Linux, mais en gardant l’initramfs comme ça, ça ne change rien du tout.
J’ai montré y’a quelques mois a des collègues, que sur une install standard d’Ubuntu, utiliser clevis pour le tpm était une très mauvaise idée. J’ai régénérer un initramfs, un petit script qui utilise tpm2 pour ajouter une nouvelle clé, 3 lignes de Bash seulement.
D’ailleurs pareil sous windows, tu peux modifier l’efi, et même le résigné. Par contre t’aura un belle demande de recovery de bitlocker, et que font les utilisateurs ? Ils appellent le support qui leur donnent sans question la clé de récupération, la faille est ici humaine
1 « J'aime »
Pour bien sécurisé Linux, 2 solutions, soit chiffrer le /boot, soit créer un UKI avec kernel+initramfs, le tout signé par une clé custom pour secure boot, et on boot directement sur l’efi sans passé par grub ou autre bootloader.
Évidemment il faut sécurisé le bios également, activé secureboot