{"id":3291,"date":"2014-04-23T20:51:46","date_gmt":"2014-04-23T18:51:46","guid":{"rendered":"http:\/\/www.laurentmarot.fr\/wordpress\/?p=3291"},"modified":"2021-10-28T16:21:47","modified_gmt":"2021-10-28T14:21:47","slug":"ton-coeur-saigne-en-2014","status":"publish","type":"post","link":"https:\/\/www.laurentmarot.fr\/wordpress\/?p=3291","title":{"rendered":"Ton coeur saigne en 2014 !"},"content":{"rendered":"<p>Ce billet m&rsquo;est largement inspir\u00e9 par l&rsquo;<a title=\"Heartbleed sur Wikipedia\" href=\"http:\/\/en.wikipedia.org\/wiki\/Heartbleed\" target=\"_blank\" rel=\"noopener\">article Wikipedia<\/a> version anglaise ainsi que par ma travers\u00e9e attentive de l&rsquo;\u00e9v\u00e8nement qui m&rsquo;aura permis de revisiter TLS, les sockets Python et TCPDump.<\/p>\n<p>Je sais, comme dirait ma m\u00e8re \u00e0 @turblog : \u00ab\u00a0<a title=\"C'est compliqu\u00e9\" href=\"http:\/\/blog.spyou.org\/wordpress-mu\/2014\/04\/08\/pffff-cest-complique\/\" target=\"_blank\" rel=\"noopener\">pffff, c&rsquo;est compliqu\u00e9 !<\/a>\u00ab\u00a0. Mais, je peux vous \u00e9clairer.<\/p>\n<p>J&rsquo;avais par ailleurs publi\u00e9 d\u00e8s le 11 avril sur le site d&rsquo;Alliacom <a title=\"L'analyse de Heartbleed par Laurent Marot - Alliacom\" href=\"http:\/\/www.alliacom.com\/index.php\/nous-suivre\/blog\/item\/heartbleed-retour-sur-le-seisme\" target=\"_blank\" rel=\"noopener\">mon analyse \u00e0 chaud de la situation<\/a>.<\/p>\n<p>Ce post servira de trame \u00e0 notre <em><strong>Afterwork Alliacom<\/strong><\/em> du jeudi 24 avril 2014 \u00e0 18h00.<\/p>\n<p>En l&rsquo;\u00e9crivant, je me rem\u00e9more curieusement \/ furieusement une vid\u00e9o de Julien Codorniou \u00e0\u00a0CONF@42 &#8211; Facebook &#8211; <a href=\"http:\/\/www.dailymotion.com\/video\/x1obm6h_conf-42-facebook-why-hackers-will-rule-the-world_tech\" target=\"_blank\" rel=\"noopener\">Why hackers will rule the world<\/a>\u00a0et la n\u00e9cessit\u00e9 d&rsquo;\u00eatre un peu DEV pour comprendre le monde d&rsquo;aujourd&rsquo;hui. N\u00e9cessit\u00e9 de l&rsquo;\u00eatre m\u00eame davantage si on ne veut pas que le gimmick se transforme en <em>Why hackers will ruin the world !<\/em><\/p>\n<div id=\"attachment_3300\" style=\"width: 244px\" class=\"wp-caption alignleft\"><a href=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/HeratbleedPatch.png\" rel=\"lightbox[3291]\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-3300\" class=\"size-medium wp-image-3300\" title=\"Heartbleed d\u00e9j\u00e0 oubli\u00e9, what else ?\" src=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/HeratbleedPatch-234x300.png\" alt=\"Heartbleed d\u00e9j\u00e0 oubli\u00e9, what else ?\" width=\"234\" height=\"300\" srcset=\"https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/HeratbleedPatch-234x300.png 234w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/HeratbleedPatch.png 259w\" sizes=\"(max-width: 234px) 100vw, 234px\" \/><\/a><p id=\"caption-attachment-3300\" class=\"wp-caption-text\">Heartbleed d\u00e9j\u00e0 oubli\u00e9, what else ?<\/p><\/div>\n<p><strong>Chronologie :<\/strong><\/p>\n<ul>\n<li>Janvier 1999 : <a title=\"RFC 2246\" href=\"https:\/\/www.ietf.org\/rfc\/rfc2246.txt\" target=\"_blank\" rel=\"noopener\">RFC 2246<\/a> on passe de SSLv3.0 \u00e0 TLS1.0<\/li>\n<li>F\u00e9vrier 2012 :\u00a0<a title=\"RFC 6520 Heartbeat\" href=\"http:\/\/www.rfc-editor.org\/rfc\/rfc6520.txt\" target=\"_blank\" rel=\"noopener\">RFC 6520<\/a>. L&rsquo;extension Heartbeat ! Un des gros soucis de TLS, la phase de n\u00e9gociation aussi appel\u00e9e handshake est tr\u00e8s consommatrice \u00a0en ressources, on cr\u00e9e donc une extension pour garantir\u00a0qu&rsquo;une connexion est toujours <em>vivante<\/em>\u00a0(keep-alive). Simple <a title=\"HeartBeat par Bortzmeyer\" href=\"http:\/\/www.bortzmeyer.org\/6520.html\" target=\"_blank\" rel=\"noopener\">\u00e9change de messages entre les 2 pairs<\/a>\u00a0d\u00e9taill\u00e9 sur son blog par St\u00e9phane Bortzmeyer d\u00e8s 2012. Il aurait pu nous pr\u00e9venir de la faille \ud83d\ude42<\/li>\n<\/ul>\n<p style=\"text-align: center;\">\u00ab\u00a0<em>Heartbeat fournit un moyen de tester et de maintenir vivante un lien de connexion s\u00e9curis\u00e9 sans \u00eatre oblig\u00e9 de ren\u00e9gocier une connexion<\/em>\u00ab\u00a0.<\/p>\n<ul>\n<li>31 d\u00e9cembre 2011 : <strong>Robin Seggelmann<\/strong> r\u00e9alise le comit fatal, en impl\u00e9mentant Heartbeat au sein d&rsquo;openSSL. Beaucoup d&rsquo;annedotes inv\u00e9rifiables pas forc\u00e9ment glorieuses pour l&rsquo;auteur circulent sur internet sur les conditions de cette r\u00e9alisation.<\/li>\n<li>14 mars 2012 : openSSL v1.0.1 est publi\u00e9e. Cette version est la premi\u00e8re \u00e0 int\u00e9grer le bug.<\/li>\n<li>3 d\u00e9cembre 2013 : r\u00e9servation du CVE &#8211; 2014 &#8211; 0160 sur le site du MITRE, par qui ? pour quoi ?<\/li>\n<li>21 mars 2014 :\u00a0<strong>Bodo Moeller<\/strong> et <strong>Adam Langley<\/strong> de Google publient un patch corrigeant le bug d\u00e9couvert auparavant par\u00a0<strong>Neel Mehta<\/strong>\u00a0membre de l&rsquo;\u00e9quipe s\u00e9cu de Google.<\/li>\n<li>31 mars 2014 ; <strong>CloudFlare<\/strong> patche ses serveurs apr\u00e8s avoir \u00e9t\u00e9 myst\u00e9rieusement averti et avoir sign\u00e9 un accord de non-divulgation.<\/li>\n<li>1er avril 2014 : Google notifie openSSL de la faille.<\/li>\n<li>3 avril 2014 : <strong>Codenomicon<\/strong>, une soci\u00e9t\u00e9 de cybers\u00e9cu finlandaise rapporte \u00e0 son tour le bug qu&rsquo;elle signale au CERT finlandais.<\/li>\n<li>7 avril 2014 ; la version 1.0.1g d&rsquo;openSSL int\u00e9grant le patch est publi\u00e9e.<\/li>\n<li>Dans la nuit du 7 au 8 avril, \u00a0Cloudflare sur son blog\u00a0et Codenomicon (qui a imagin\u00e9 le nom de la faille et dans la foul\u00e9e d\u00e9pos\u00e9 le nom de domaine heartbleed.com) lancent le buzz volant la vedette \u00e0 Microsoft qui devait \u00eatre ce m\u00eame jour sur le grill du fait de l&rsquo;arr\u00eat de maintenance pour Windows XP.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>Le bug :<\/strong><\/p>\n<ul>\n<li>Une bonne d\u00e9monstration technique de la cause sur le blog de Lexsi ou sur le site de <a title=\"Heartbleed\" href=\"http:\/\/www.theregister.co.uk\/Print\/2014\/04\/09\/heartbleed_explained\/\" target=\"_blank\" rel=\"noopener\">The Register<\/a>. Il s&rsquo;agit en termes techniques d&rsquo;un tr\u00e8s banal buffer overflow.<\/li>\n<li>Une pr\u00e9sentation tr\u00e8s pertinente de <a href=\"http:\/\/www.denyall.com\/heartbleed-fr.html\" target=\"_blank\" rel=\"noopener\">DenyAll<\/a> sur le sujet.<\/li>\n<li>Les versions impact\u00e9es : 1.0.1 \u00e0 1.0.1f, la version 1.0.1.g \u00e9tant la version patch\u00e9e.<\/li>\n<li>En raccourci : le bug vous permet de voler le contenu de la m\u00e9moire du serveur vuln\u00e9rable auquel vous vous connectez par paquets de 64 Ko.<\/li>\n<li>Une explication simplifi\u00e9e en images:<\/li>\n<\/ul>\n<div id=\"attachment_3296\" style=\"width: 310px\" class=\"wp-caption aligncenter\"><a href=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Simplified_Heartbleed_explanation.svg_.png\" rel=\"lightbox[3291]\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-3296\" class=\"size-medium wp-image-3296\" src=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Simplified_Heartbleed_explanation.svg_-300x300.png\" alt=\"Heartbleed simplifi\u00e9 en images humoristiques\" width=\"300\" height=\"300\" srcset=\"https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Simplified_Heartbleed_explanation.svg_-300x300.png 300w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Simplified_Heartbleed_explanation.svg_-150x150.png 150w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Simplified_Heartbleed_explanation.svg_.png 600w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-3296\" class=\"wp-caption-text\">Heartbleed simplifi\u00e9 en images humoristiques<\/p><\/div>\n<ul>\n<li>\u00a0Ne pas oublier que le bug est une faille d&rsquo;impl\u00e9mentation et ne remet absolument pas en cause TLS.<\/li>\n<li>Cette faille appara\u00eet tr\u00e8s t\u00f4t apr\u00e8s le <em>gotoFail<\/em> d&rsquo;Apple et les d\u00e9boires de GnuTLS.<\/li>\n<li>Microsoft et Oracle (Java) traditionnels gros pourvoyeurs de failles en tout genre rigolent doucement de la situation car non touch\u00e9s par leur impl\u00e9mentation.<\/li>\n<li>Vous voulez la liste des produits impact\u00e9s ?<\/li>\n<li>Conduite \u00e0 tenir pour les utilisateurs des syst\u00e8mes vuln\u00e9rables : changement de mot de passe apr\u00e8s patch du site impact\u00e9, r\u00e9vocation des certificat apr\u00e8s reg\u00e9n\u00e9ration de clefs.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>Les risques :<\/strong><\/p>\n<ul>\n<li>Vol de mots de passe, clefs priv\u00e9e, num\u00e9ro de CB, &#8230;<\/li>\n<li>Ecoute d&rsquo;\u00e9changes num\u00e9riques.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>D\u00e9monstration<\/strong> :<\/p>\n<ul>\n<li>Sur des sandboxes internes \u00e0 Alliacom<\/li>\n<li><del>Sur des sites non patch\u00e9s \u00a0<\/del>ahhh non \u00e7a c&rsquo;est interdit \ud83d\ude42<\/li>\n<li>En utilisant les d\u00e9monstrateurs plus ou moins faibles\/fiables en ligne.<\/li>\n<li>Cloudflare challenge : 4 personnes ont r\u00e9ussi \u00e0 r\u00e9cup\u00e9rer une clef priv\u00e9e sur un serveur de tests. Cela leur a demand\u00e9 de g\u00e9n\u00e9rer entre 200 000 et 2 500 000 requ\u00eates.<\/li>\n<li>Limites : exploits basiques largement diffus\u00e9s mais outils d&rsquo;attaque pertinents rares et complexes. Il est amusant de constater que dans un <a href=\"https:\/\/twitter.com\/agl__\/status\/453370767690829825\" target=\"_blank\" rel=\"noopener\">tweet du 7 avaril<\/a>, Adam Langley pensait qu&rsquo;il n&rsquo;\u00e9tait pas possible de voler une clef priv\u00e9e.<\/li>\n<\/ul>\n<div id=\"attachment_3305\" style=\"width: 310px\" class=\"wp-caption aligncenter\"><a href=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/doztlsbleed.png\" rel=\"lightbox[3291]\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-3305\" class=\"size-medium wp-image-3305\" src=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/doztlsbleed-300x189.png\" alt=\"doztlsbleed\" width=\"300\" height=\"189\" srcset=\"https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/doztlsbleed-300x189.png 300w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/doztlsbleed.png 679w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-3305\" class=\"wp-caption-text\">doztlsbleed<\/p><\/div>\n<p>&nbsp;<\/p>\n<p><strong>Cons\u00e9quences :<\/strong><\/p>\n<ul>\n<li>Depuis mars 2012, vos mots de passe de 47 caract\u00e8res dont 13 caract\u00e8res sp\u00e9ciaux ne vous prot\u00e8gent pas de grand chose.<\/li>\n<li>NSA au courant \u00a0(<del>on me dit dans l&rsquo;oreillette que Vupen revend l&rsquo;exploit depuis 18 mois<\/del>\u00a0 Bad joke !) ? Th\u00e9orie du complot ?<\/li>\n<li>Sale temps pour les biblioth\u00e8ques SSL (Apple et GnuTLS).<\/li>\n<li>Coup de mou et stress test pour les autorit\u00e9s de certification et les CRL qui explosent.<\/li>\n<li>Tests non fiables et s\u00e9curit\u00e9 en carton (attention, rien ne remplace un audit de vos \u00e9quipements et recherche d&rsquo;utilisation d&rsquo;openSSL par des professionnels)<\/li>\n<li>500 000 serveurs webs touch\u00e9s (plus autant d\u2019\u00e9quipements r\u00e9seau ?)<\/li>\n<li>Je veux un IDS\/IPS. Tu l&rsquo;as vu passer mon\u00a0\\x16\\x03\\x02\\x00 ?<\/li>\n<li>openSSL =&gt; fork<strong> LibreSSL<\/strong> lanc\u00e9 par quelques membre de la communaut\u00e9 openBSD. La concurrence, \u00e7a dope la qualit\u00e9 ? En tout cas, \u00e7a fait maigrir : on parle de 90 000 lignes de code C supprim\u00e9es.<\/li>\n<li>Communaut\u00e9 opensource : des voix s&rsquo;\u00e9l\u00e8vent d\u00e9j\u00e0 pour critiquer la faible qualit\u00e9 d&rsquo;openSSL qui a b\u00e9n\u00e9fici\u00e9 de 800 $ de dons la semaine de la divulgation de la faille. Que se passerait-il avec du code propri\u00e9taire ? Personne ne serait au courant sauf ceux ayant d\u00e9couvert la faille apr\u00e8s reverse engineering (ah non c&rsquo;est vrai, c&rsquo;est interdit &#8230;)<\/li>\n<li>Autres victimes collat\u00e9rales : d\u00e9couverte dans les produits de notre ami \u00e9diteur xxxxx de biblioth\u00e8ques openSSL 0 .9.8a (ant\u00e9diluviennes ? = avant le bug de l&rsquo;an 2000 ) datant de 2000 et farcies de failles &#8230; mais non vuln\u00e9rables \u00e0 Heartbleed !<\/li>\n<li>Non, SSH n&rsquo;est pas concern\u00e9 !<\/li>\n<li>Nous, Alliacom ? Par exemple, comment utiliser SPLUNK pour d\u00e9tecter ce genre d&rsquo;activit\u00e9 suspecte.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><strong>Questions en suspens :<\/strong><\/p>\n<ul>\n<li>Pourquoi cette date de cr\u00e9ation de l&rsquo;entr\u00e9e CVE &#8211; 2014 &#8211; 0160 sur le site du MITRE (2013-12-03) ?<\/li>\n<li>Je fais comment pour lire pr\u00e9cis\u00e9ment telle ou telle zone m\u00e9moire ?<\/li>\n<li>A qui le tour ?<\/li>\n<li>Rappel d&rsquo;une question du FIC 2014 : <em>La cybers\u00e9curit\u00e9 est-elle un \u00e9chec ?<\/em>\n<p><div id=\"attachment_3318\" style=\"width: 310px\" class=\"wp-caption aligncenter\"><a href=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/CVEmitre2014-0160.png\" rel=\"lightbox[3291]\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-3318\" class=\"size-medium wp-image-3318\" src=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/CVEmitre2014-0160-300x230.png\" alt=\"CVE MITRE 2014-0160\" width=\"300\" height=\"230\" srcset=\"https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/CVEmitre2014-0160-300x230.png 300w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/CVEmitre2014-0160.png 825w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-3318\" class=\"wp-caption-text\">CVE MITRE 2014-0160<\/p><\/div><\/li>\n<\/ul>\n<div id=\"attachment_3315\" style=\"width: 310px\" class=\"wp-caption aligncenter\"><a href=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/bleedPython.png\" rel=\"lightbox[3291]\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-3315\" class=\"size-medium wp-image-3315\" src=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/bleedPython-300x218.png\" alt=\"Vous reprendrez bien un peu de Python ?\" width=\"300\" height=\"218\" srcset=\"https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/bleedPython-300x218.png 300w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/bleedPython.png 839w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-3315\" class=\"wp-caption-text\">Vous reprendrez bien un peu de Python ?<\/p><\/div>\n<p>&nbsp;<\/p>\n<div id=\"attachment_3333\" style=\"width: 310px\" class=\"wp-caption aligncenter\"><a href=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/tlsHandshake.png\" rel=\"lightbox[3291]\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-3333\" class=\"size-medium wp-image-3333\" src=\"http:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/tlsHandshake-300x242.png\" alt=\"TLS Handshake\" width=\"300\" height=\"242\" srcset=\"https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/tlsHandshake-300x242.png 300w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/tlsHandshake.png 523w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-3333\" class=\"wp-caption-text\">TLS Handshake<\/p><\/div>\n<p>&nbsp;<\/p>\n<div id=\"attachment_4873\" style=\"width: 310px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Capture-du-2021-10-28-16-16-55.png\" rel=\"lightbox[3291]\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4873\" class=\"size-medium wp-image-4873\" src=\"https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Capture-du-2021-10-28-16-16-55-300x214.png\" alt=\"fatal commit\" width=\"300\" height=\"214\" srcset=\"https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Capture-du-2021-10-28-16-16-55-300x214.png 300w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Capture-du-2021-10-28-16-16-55-1024x729.png 1024w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Capture-du-2021-10-28-16-16-55-768x547.png 768w, https:\/\/www.laurentmarot.fr\/wordpress\/wp-content\/uploads\/2014\/04\/Capture-du-2021-10-28-16-16-55.png 1110w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-4873\" class=\"wp-caption-text\">fatal commit<\/p><\/div>\n\n","protected":false},"excerpt":{"rendered":"<p>Ce billet m&rsquo;est largement inspir\u00e9 par l&rsquo;article Wikipedia version anglaise ainsi que par ma travers\u00e9e attentive de l&rsquo;\u00e9v\u00e8nement qui m&rsquo;aura permis de revisiter TLS, les sockets Python et TCPDump. Je sais, comme dirait ma m\u00e8re \u00e0 @turblog : \u00ab\u00a0pffff, c&rsquo;est compliqu\u00e9 !\u00ab\u00a0. Mais, je peux vous \u00e9clairer. J&rsquo;avais par ailleurs publi\u00e9 d\u00e8s le 11 avril [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20,51],"tags":[],"_links":{"self":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/3291"}],"collection":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3291"}],"version-history":[{"count":40,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/3291\/revisions"}],"predecessor-version":[{"id":4874,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/3291\/revisions\/4874"}],"wp:attachment":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3291"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3291"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3291"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}