Émission 367 du 29 septembre 2024

Actu

FreeDOS a 30 ans, et FreeBSD en a un de plus !

Étrange mais vrai, FreeDOS est moins vieux que FreeBSD… En tout cas, bon anniversaire à tous les deux.

CP/M a 50 ans

Et donc FreeDOS et FreeBSD sont des petits jeunes à côté de CP/M qui lui a passé le demi-siècle.

L’Union Européenne doit poursuivre le financement des logiciels libres

Plusieurs associations s’inquiètent de la fin possible du financement du logiciel libre en Europe, qui depuis 2020 via les programmes Next Generation Internet et des fondations comme NLNet ont bénéficié à de nombreux projets. Elles ont donc écrit une lettre ouverte à la Commission, signée notamment par FDN et Framasoft.

Appel à l’Europe pour garantir l’accès aux services essentiels sans passer par le numérique

Pour Ritimo, il est urgent de garantir l’accessibilité hors-ligne à tous les services essentiels, car tout le monde ne maîtrise pas le numérique.

En Suisse, les logiciels développés par le financement public doivent être OpenSource

« La Suisse exige que tous les logiciels développés pour le gouvernement soient open source avec divulgation du code source du logiciel »

Si seulement on avait la même volonté en France.

Cela rejoint l’initiative « Public Money, Public Code » de la FSFE.

Chiptune: The Awakening by Teo

  • RELEASED 17 AUGUST 2024
  • 2ND IN THE EVOKE 2024 MP3 / OGG COMPETITION

Sujet : Les FAILs de l’été par mmu_man [15:00] MICRO

Ça fait presque trois mois que je collecte des FAILs, tentons de synthétiser ça un peu pour donner l’ambiance, et on s’arrêtera sur quelques cas significatifs.

On commence par le coût de la panne ?

En juin une panne informatique mondiale a provoqué d’importantes perturbations dans les aéroports, compagnies aériennes et plusieurs grandes entreprises. La panne a été causée par une mise à jour du logiciel de sécurité Falcon de CrowdStrike qui comprenait un pilote buggué, qui a entraîné une erreur logique, provoquant un écran bleu de la mort (BSOD : Blue Screen of Death) sur environ 8,5 millions de PC. Cette mise à jour défectueuse a mis en lumière les risques associés à l’accès au noyau du système d’exploitation par les logiciels de sécurité. Et les tentatives de récupération rechargeaient le même pilote buggué constamment. Il a fallu aller débloquer chaque machine à la main… Il semble que ça puisse aussi affecter Linux en fait, même si Linux est moins affecté, en effet les développeurs de Linux ont ajouté un pilote générique que CrowdStrike utilise, au lieu de leur propre pilote buggué comme ils ont fait sous Windows. Et seuls 10 à 20 % des 15 milliards de dollars de pertes seront remboursés…

Le microcode des processeurs Core i9 série K de 13ème et 14ème génération avait un bug qui demandait une tension trop élevée et faisait planter ces processeurs Intel. Mettez à jour ! D’autres puces ont elles un problème cette fois ci dues au processus de fabrication.

Des failles en pagaille

Du côté failles de sécurité, on commence par des vilains qui achètent le domaine polyfill point io que de nombreux développeurs utilisent pour remplir des fonctions Javascript manquantes sur des vieux navigateurs (appelés poly fills), pour simplifier leur code. Sauf que du coup ils téléchargent du code compromis. Ça touche au moins 100000 sites web…

regreSSHion, une exécution de code à distance dans le serveur OpenSSH sur les systèmes utilisant la glibc. Mettez à jour !

Une faille dans le protocole d’authentification Radius, qui utilise toujours l’algorithme de hachage MD5…

On peut hacker les satellites ! Euh, au sens de « on a le droit » ou « c’est possible » ? Non, c’est toujours illégal, désolé pour la fausse joie. Mais en 2023 l’US Air Force a organisé un concours pour tester cette hypothèse, et trois groupes y sont arrivés.

SecureBoot compromis sur plus de 200 modèles de PC de 5 grands constructeurs. Les fabricants ont en effet laissé des certificats de test dans le firmware, dont les clefs ont été rendues publiques… Pourtant c’était bien indiqué qu’il ne fallait pas utiliser ces certificats en production… Tout ça pour ça, c’était bien la peine d’emmerder les gens qui voulaient installer GNU/Linux, tiens…

Une mise à jour Windows… qui empêche de démarrer Linux ! Ça vient d’une bonne intention, empêcher de démarrer les versions de GRUB affectées par la faille dont on vient de parler, sauf que tout le monde ne met pas son système à jour. En théorie cette mise à jour n’aurait pas du s’appliquer aux systèmes déjà sous dual-boot, uniquement à ceux qui n’ont que Windows, mais, oups. Bon c’est pas la première fois que Windows met le bazar dans le démarrage d’autres OS hein

Une faille dans la pile TCP/IPv6 de Windows.

Et quand y a des failles y a des fuites…

Une fuite de données chez SFR expose des informations sensibles de clients, dont des IBAN.

Chez Linksys, les routeurs Velop Pro enverraient les mots de passe wifi en clair sur le réseau. Sympa !

Une très grande partie des conversations Slack de Disney vient d’être publiée sur le net par un groupe d’hacktivistes qui aurait réussi à compromettre le compte de la société via un simple cheval de Troie, et récupérer plus d’1To de données.

Fuite de données chez LDLC.

Fuite de données chez Boulanger, Truffaut, Divia, PepeJeans, Grobill et Cultura, 27 millions de personnes touchés : Nom, Prénom, Date de naissance, Numéro Téléphone, Adresse postale complète, Coordonnées géographiques (latitude et longitude), Email, IBAN… Pensez à changer de nom, de date de naissance, de téléphone et à déménager et changer de banque… En vrai soyez vigilant envers les mails, les sms, les appels téléphoniques, les courriers voir les démarcheurs qui pourraient débarquer chez vous. Le risque de Phishing ou d’arnaque est important. Le risque d’usurpation d’identité est aussi majeur avec toutes ces données… Le hackeur dit aussi posséder des données « assurance retraite » mais on ne sait pas de quoi il s’agit pour l’instant

Vol de données : l’assurance retraite touchée à son tour, les informations de 370 000 personnes compromises.

Une partie des données d’usagers ont été volées, a annoncé la Caisse nationale d’assurance vieillesse (Cnav) vendredi 13 septembre, via des usurpations de comptes de prestataires du portail web.

Attention aux arnaques !

Des cybermalveillants se font passer pour le site « Cybermalveillance.gouv.fr » pour du phishing, fallait oser !

Avant la rentrée, des élèves arnaqués sur Internet se font soutirer leurs informations personnelles. Désormais suspendus, les sites malveillants «RevealClasse» et «VoirMaClasse» promettaient aux élèves de voir, en avant-première, la liste des camarades de leur future classe. Une escroquerie qui visait à leur dérober des données privées.

Souveraineté ou café ?

Si on parlait de souveraineté numérique ? Microsoft a reconnu auprès de l’autorité de la police écossaise ne pas pouvoir garantir la souveraineté des données hébergées dans son infrastructure Azure. Cela fait écho aux inquiétudes en France sur la Plateforme de données de santé (HDH).

Pour la Cour des comptes, qui a audité « le pilotage de la transformation numérique de l’État par la direction interministérielle du numérique » entre 2019 et 2023, les objectifs sont encore insatisfaisants dans la promotion des logiciels libres.

Google est officiellement un monopole, un juge l’a enfin décidé dans un procès anti-trust.

De la surveillance au petit déjeuner

Dans son rapport annuel, la Commission nationale de contrôle des techniques de renseignement (CNCTR) s’inquiète de la « récurrence d’anomalies » dans la collecte et l’exploitation des données par les services. Qu’est-ce que ça serait avec le RN au pouvoir ? Ah, oubliez que j’ai dit ça, on va effacer le podcast pour ma sécurité future.

La préfecture a autorisé la police à utiliser des drones pour surveiller la totalité de Paris toute une nuit. Le motif ? Le 1er tour des législatives et… un rassemblement organisé par LFI. En d’autres termes, surveiller les manifs spontanées de gauche contre l’extrême droite…

Sur la VSA, la Vidéosurveillance algorithmique : « Le Conseil d’État a rejeté, vendredi 21 juin 2024, une requête en référé de la société Veesion qui demandait la suspension de l’exécution d’un courrier de la Cnil estimant que sa solution de détection des vols à l’étalage n’était pas conforme au RGPD ».

À Orléans, la Quadrature du net obtient une victoire contre l’audio-surveillance algorithmique, l’utilisation de micros dans l’espace public pour détecter des comportements « anormaux ».

Le Groupement interministériel de contrôle (GIC) va développer avec les directions techniques de la DGSE et de la DGSI un système pour centraliser l’ensemble des données issues de la technique de recueil des données informatiques (RDI). Oué, et en un seul fichier tous les lier !

Au niveau européen, une fuite via Contexte révèle que la Suède et la France ont été activement impliquées dans la tentative belge de faire adopter la directive « ChatControl » en juin dernier, qui veut pouvoir espionner directement les terminaux.

Google aussi vous espionne, Chrome contient des passe-droits dans une extension cachée qui autorise les sous-domaines de google.com à accéder à plein de choses dont les informations de votre processeur et son utilisation.

Ah et puis leur IA Gemini scanne vos documents sur Google Drive sans vous demander la permission…

Ah ben Microsoft également : Une plainte allègue que Microsoft a pisté les acheteurs de jouets sexuels en ligne à l’aide d’un logiciel « d’enregistrement en temps réel » qui suit les mouvements de la souris, les clics et la navigation.

Recall, le truc qui enregistre tout ce que vous faites dans Windows 11, ne serait finalement pas désactivable

Le Nigeria inflige à Meta 220 millions de dollars d’amende pour violation des données personnelles. Ils sont plus forts que la CNIL ?

Et un peu de censure pour le goût…

Contraint par la justice de bloquer des noms de domaine, OpenDNS décide de quitter la France. On sait tous que le bloquage par DNS est très facilement contournable, mais bon, Canal+ fait la chasse aux « vilains pirates » alors il faut les laisser chasser…

En Russie, Poutine n’aime pas les VPN, et en fait donc retirer une vingtaine de l’App Store. Ça commence par le DNS et puis…

Et de la désinformation aussi !

Une étude détaille comment depuis au moins 2016 la Russie tente de manipuler (avec un certain succès il semble) l’opinion française par les réseaux sociaux en faveur de l’extrême droite.

Et de la disparition… tu m’vois, tu m’vois plus !

Google supprime son service de raccoucissement d’URL. On vous avait prévenu que c’était mal ces outils… Là ça va raccourcis à peau de chagrin.

Google s’excuse après qu’un bogue du gestionnaire de mots de passe de Chrome ait entraîné la disparition des mots de passe de 15 millions d’utilisateurs. « Nous sommes désolés ».

On vous avait dit qu’Amazon avait perdu énormément à cause des milions d’Alexa distribués à parte à ses clients… En fait ça se chiffre à 25 milliards de dollars.

Vous reprendrez bien un peu d’IA ?

Quelqu’un a créé une police de caractère TTF avec une IA intégrée, llama.ttf : elle remplace les points d’exclamation par des trucs générés par TinyStories. Cela est rendu possible par HarfBuzz, une bibliothèque utilisé notamment pour générer des ligatures correctes automatiquement mais qui permet aussi d’exécuter du code Wasm arbitrairement. Au secours !!! (Ah non, mince on a dit qu’il faut éviter les points d’exclamation…)

D’après le patron de l’IA chez Microsoft, « tout ce qui est publié en ligne n’est pas protégé par le copyright« . Du coup les gens en ont conclus qu’on avait le droit de copier Windows puisqu’on peut le télécharger. Ces gens sont vraiment stupides ou quoi ?

Microsoft prévient qu’il ne faut pas utiliser son IA pour quoi que ce soit de sérieux. Ah bon, sérieux ?

Une victime de VioGén. C’est un algorithme utilisé par la police espagnole pour évaluer la probabilité qu’une victime subisse à nouveau la violence, qui a dit à la police espagnole qu’elle était en sécurité. Puis son mari l’a tuée.

Doctolib aussi utilise vos données pour entraîner son IA

« L’extension Slack AI, qui permet d’utiliser une IA générative dans la plateforme de communication collaborative Slack, peut être utilisée pour récupérer des infos venant de canaux de discussion privés. Cette faille serait accessible via une injection de prompt. » Ça alors, qui aurait pu prévoir ?

Les émissions de carbone de Microsoft et Google ont explosé à cause de l’intelligence artificielle.

Google ne prétend plus être neutre en carbone, contrairement aux années précédentes.

D’après The Guardian, les GAFAM sous-estiment leurs émissions de plus de 600%.

De toute façon l’IA générative coûte trop cher par rapport au bénéfice apporté, c’est Goldman Sachs qui le dit. D’après eux il manque encore une « killer app » pour justifier son utilisation.

Chiptune: Demoszene Träume – Rabenauge Evoke 25th Anniversary Edit by DaTucker and MacGyverGear and Titus

  • RELEASED 17 AUGUST 2024
  • 1ST IN THE EVOKE 2024 MP3 / OGG COMPETITION

Agenda

Atelier réparation + de 60 ans

Organisé par Syntaxe Erreur 2.0. Réparons ensemble à travers un atelier collaboratif. Échangeons en partageant nos connaissances autour du numériques. Découvrons le monde numérique ensemble de manière ludique.

Le Mercredi 2 octobre de 10h à 12h et de 14h à 16h ;
d’autres dates sont prévus les 6 novembre, 11 décembre, 15 janvier et 5 février ;
Centre sociale de l’Abise, les Pions à Semur en Brionnais.

Conférence : la suite des protocoles Internet dans l’espace

Dans le cadre de la Journée du Conseil scientifique de l’Afnic. Malgré les défis de délais et d’interruptions, découvrez avec Marc Blanchet, Président de Viagenie, comment l’initiative DeepSpaceIP adapte la suite des protocoles Internet pour les communications spatiales lointaines.

Sur inscription ;
Vendredi 4 octobre 2024, 9h – 13h ;
Campus Cyber, 5-7 rue Bellini 92800 La Défense.

Du lien et des liens

La NSA vient de publier (suite à des demandes par le Freedom of Information Act) en vidéo plusieurs conférences données par Grace Hopper, dont certains rescapés et restaurés grâce aux National Archives américaines : Partie 1, Partie 2.

Et pour se distraire un peu, des clips vidéo de musiques sous license Creative Commons.

Si vous avez encore un Treo ou un Palm Pilot, un nouveau jeu est sorti pour PalmOS : « Captain’s MiniGolf », actuellement en version 0.6. Eh oui, y a encore des gens qui développent pour des PDA des années 2000… À quand des nouveaux jeux pour Windows CE ?

Un article intéressant sur les différentes méthodes de refroidissement des puces dans les Commodore 64, avec le blindage, sans, avec des radiateurs, plusieurs petits ou un seul… on vous laisse le suspense concernant la méthode la plus efficace.

Astrologeek

  • oldschool : (chanson C’est la ouate) De toutes les manières, c’est la FAT qu’elle préfère, pour organiser, tous ses fichiers à soi… c’est la FAT
  • technocritique : J’vous avais dit d’aller élever des chèvres en Ardèche ! Bon, en vrai faudra tout de même un ordinateur pour remplir la paperasse…
  • maker : Je suis loin d’être un modèle, j’en ai foiré des modèles 3D.
  • nerd : Ah c’est comme pour les JO, on a le tour des FAILs !
  • électronicien : Qui c’est qui a la GAL ? qu’on les passe au PAL !
  • télétravailleur : Avez-vous pensé à brancher le micro ?
No Tag

Comments are closed

Articles récents

    Commentaires récents

    Aucun commentaire à afficher.