Émission Underscore #196 du 27 septembre 2020

• Download:
• Podcasts Underscore59 MB

Actu

Odile Bénassy rejoint le conseil d’administration de la FSF

La première européenne à siéger à la Free Software Foundation, elle a déjà œuvré longtemps pour le libre, et on la croisait souvent lors des RMLL où elle était très impliquée. Bravo Odile !

La Quadrature du Net attaque la reconnaissance faciale dans le TaJ

Alors qu’au Royaume Uni un tribunal dit que la reconnaissance faciale viole les droits de l’Homme, même si il ne l’interdit pas complètement.

L’Apollo Team fait le point sur les nouveautés pour la Vampire

Et si ça ne vous suffit pas, il y a une interview vidéo de 3 heures d’un des développeurs, en anglais.

Sondage : l’utilisation et la contribution à OpenStreetMap dans les collectivité et administrations

Date limite : 16 octobre 2020

Nvidia s’achète ARM pour 40 milliards de dollars

Un des foundateurs d’ARM adresse une pétition au gouvernement britannique pour s’opposer à cet achat.

La Cour de justice de l’Union européenne consacre la Neutralité du Net

En mettant fin à la pratique du « zero-rating », qui favorisait certains services dont le trafic n’était pas décompté dans le forfait par rapport aux concurrents.

LibreOffice 7.0 est sorti cet été

Avec le support de la version 1.3 du format ODF normalisé, qui apporte la signature et le chiffrement de documents avec OpenPGP. L’enregistrement vers les format Microsoft Office sont aussi améliorés, et utilisent les versions plus récentes (2013-2019) au lieu du mode de compatibilité 2007 précédemment. LibreOffice sait aussi maintenant utiliser Vulkan pour l’accélération graphique.

La distribution GNU/Linux Debian a 27 ans déjà

La Fondation FreeBSD a 20 ans

Si FreeBSD est bien plus ancien, la fondation qui le porte fête ses 20 ans d’existence.

Chiptune: Dubmood – Ninjaflood starts school

Sujet : Les FAILs de l’été

• Plus de 100 modèles de routeurs wifi échouent à un test de sécurité, parfois juste à cause de mots de passe trop faciles à déchiffrer.
• Des réparateurs doivent hacker des respirateurs avec des dongles venus de Pologne pour les refaire marcher.
• Le CNNum a proposé la fin des forfaits Internet fixes illimités, mais heureusement l’ARCEP a dit non.
• Le Mexique voudrait rendre illégal l’installation d’un autre OS que celui prévu pour les PC et autres machines.
• Apple n’aura pas à payer 13 milliards d’euros d’arriérés d’impôts à l’Irlande.
• Un réseau de faux journalistes, utilisant des photos générées par intelligence artificielle et de faux CV, ont infiltré pendant plus d’un an des journaux conservateurs anglais en réussissant à y publier des éditos.
• Encore des failles chez Cisco.
• Une arnaque au don de Bitcoin et en profitant du contexte en lien avec le Covid-19… rien de très original.
  Toutefois, ce type de scam a pris une ampleur inédite à la suite d’une cyberattaque ayant visé Twitter et en étant relayé par des comptes de personnalités et entreprises de grosse notoriété, piratés par un ado.
• Orange confirme une attaque par ransomware contre une trentaine de ses clients professionnels.
• Sept VPN gratuits ont exposé les données de 20 millions de leurs utilisateurs par un serveur ElasticSearch mal sécurisé. Ça devient un mème ça… Mais sinon les VPN c’est cool.
• Plusieurs failles dans des VPN industriels.
• Les données de 900 serveurs VPN Pulse Secure se retrouvent à la rue. Sur un forum de hackers russe, on trouve à présent les données, y compris les mots de passe, de plus de 900 serveurs VPN professionnels utilisant Pulse Secure. Les VPN c’est secure on vous dit !
• Un groupe de hackers iraniens divulgue accidentellement 40Go de vidéos de formation interne.
• 12000 israéliens aurait été mis en quarantaine pour rien à cause du pistage de leur téléphone.
• Une indisponibilité chez Cloudflare pendant près d’une demi-heure à cause d’une erreur de configuration.
• Python semble être de plus en plus utilisé par les auteurs de malware, c’est vrai que c’est sympa comme language.
• La maison mère de Leboncoin rachète eBay pour 8 milliards de dollars. Con-centration ?
• BadPower, un malware pour chargeurs de téléphones qui peur faire prendre feu aux batteries. C’est beau l’USB-C, avec Power-Delivery on peut demander jusqu’à 20V au chargeur… vaut mieux se mettre d’accord et avoir confiance du coup.
• Le FBI utilise une entreprise américaine pour surveiller les trajets des voyageurs à travers le monde, en ayant accès à 1/3 des réservation aériennes mondiales.
• Le certificat SSL du site de La Poste révoqué. On ne sait pas encore trop pourquoi. Ils ont rapidement mis en place un certificat de remplacement avec LetsEncrypt.
• Doctolib victime d’un vol de données… C’est tellement pratique de refiler à une entreprise privée les dates de vos rendez-vous médicaux, et avec qui, c’est pas comme si on pouvait en déduire la spécialité et donc la raison probable des rendez-vous… Oh wait !
• Fuite des données de 17 millions d’utilisateur du site CouchSurfing.
• Garmin, le fabricant de GPS, a été touché par un ransomware en juillet, et a semble-t-il payé rapidement la rançon de 10 millions de dollars.
• Canon victime également d’un ransomware.
• Des données dérobées à LG et Xerox publiées. Ils n’ont probablement pas voulu payer de rançon.
• La police de San Francisco aurait utilisé un réseau de caméras privées pour espionner des manifestants.
• Une faille dans GRUB permet de passer outre SecureBoot.
  La NSA (LOL) explique comment mitiger le risque.
• Une étude révèle que Google détourne de plus en plus son moteur de recherche à son propre profit. Vraiment étonnant…
• Meow, une attaque sur des bases de données mal sécurisées pour les « nettoyer » et boucher la fuite. Ça peut sembler être une bonne intention mais à priori c’est aussi illégal que quand c’est malveillant.
• Netgear refuse de patcher des failles de 45 de ses modèles de routeurs. Une autre forme d’obsolescence programmée…
• Des failles dans Thunderbird. Ben oui ça arrive.
• Un bot écrit en Powershell. On ignore s’il se sent plus puissant qu’un bot en shell, il n’a pas été interviewé.
• Google Home s’est mis accidentellement à écouter les bruits des objets comme les détecteurs de fumée, au lieu de seulement répondre à son mot-clef. Visiblement une fonctionnalité en développement activée par mégarde. Mais qui écoutent ceux qui écoutent ?
• Première sanction par la CNIL au titre du RGPD, une amende de 250000€ pour Spartoo, un vendeur en ligne de chaussures.
• Des scientifiques ont du renommer certains gènes pour empêcher que Microsoft Excel interprètent ces noms comme des dates. Mais il veut vous aider Clippy !
• Une faille Bluetooth sur Android permet de récupérer des données discrètement.
• Une grosse fuite de codes sources, schémas et autres informations d’Intel sous NDA (Non-disclosure agreement, accord de non-divulgation). Le plus gros problème, c’est surtout que ces documents auraient du être publics dès le départ. Les NDA c’est mal.
• Encore des trous dans Zoom, cette fois-ci montrés à la dernière conférence DEF CON 28.
  Zoom qui a d’ailleurs menti en prétendant faire du chiffrement de bout-en-bout… et s’est pris un procès.
• Oh, un trou dans TeamViewer…
• Doki, un malware pour Docker…
• Apple a cherché à faire interdire le logo en forme de poire d’une application de recettes de cuisine. Bientôt une taxe Apple sur les maraîchers aussi ??
• Plus de 400 vulnérabilités dans les puces Snapdraggon de Qualcomm, utilisées dans probablement plus d’un milliard de téléphones et autres tablettes Android, et pas de mise à jour en vue. Et vous, vous avez la mise à jour pour votre ordiphone ?
• Des chercheurs ont infecté des sites d’Amazon pour pirater Alexa.
• Youtube qui supprime les sous-titres contributifs sur les vidéo, ce qui rend furieux les mal-entendants…
• Google Lens va bientôt faire vos devoirs à votre place, avec la solution détaillée. Cool, tout le monde aura 20/20 en maths, sans savoir pourquoi.
• Une nouvelle attaque sur les réseaux mobiles nommée ReVoLTE.
• Fin de la licence temporaire Android pour Huawei à cause du blocus du gouvernement américain. Comme d’habitude ce sont les utilisateurs qui vont trinquer et n’auront plus de mise à jour. Bon c’est pas comme si beaucoup de fabricants en proposait des mises à jour Android pour leur produit mais tout de même, les autres n’ont pas cette excuse…
• Les étudiants anglais furieux de la normalisation de leurs notes qui sous-note 39% d’entre eux lancent le slogan « Fuck the algorithm ».
• Une faille dans le système d’intégration continue Jenkins.
• La Chine a également banni Scratch car le langage contient « beaucoup de contenu humiliant, faux et diffamatoire sur la Chine », notamment en plaçant Hong Kong, Macao et Taïwan comme des « pays »… ce qu’ils peuvent être susceptibles…
• Des chercheurs dupliquent des clés d’après le son qu’elle font en les insérant dans la serrure.
• Les services secrets américains auraient payé pour obtenir sans mandat des données géolocalisant des utilisateurs de nombreuses applications mobiles.
• Un bug permet d’usurper n’importe quelle adresse gmail.
• Apple a tenté de forcer l’appli WordPress a ajouter une fonction de paiment pour toucher 30% dessus, en bloquant les mises à jour.
• 235 millions de profils Instagram, TikTok et Youtube fuités.
• Les développeurs de Chromium veulent pouvoir utiliser directement des sockets TCP et UDP, pour un navigateur web c’est un genre de boite de Pandore ça…
• Un SDK iOS populaire accusé d’espionner les utilisateurs et frauder sur les publicités. Si même les publicitaires s’arnarquent entre eux…
• Des vendeurs sur Amazon envoient des graines à plein de gens pour se mettre une bonne note à eux-même. Prenez-en de la graine !
• Le chef du renseignement danois viré pour avoir espionné des citoyens et avoir menti à ce sujet.
• Une MàJ de Windows 10 qui fait planter des PC Lenovo.
• La CNIL épingle 4 communes pour leur verbalisation assistée par ordinateur, qui est illicite.
• Apple interdit à Facebook d’expliquer aux gens que l’AppStore prend 30% de commission.
• Facebook veut vous obliger à vous connecter à votre compte pour utiliser votre Oculus Rift. Mais vous aviez promis !!!
• Il est possible de passer outre la vérification du code PIN sur les cartes Visa pour les transactions sans-contact.
• Une faille d’exécution de code à distance dans le client Slack.
• Un troll de brevet cherche à faire taire l’entreprise qu’elle attaque. L’EFF est furieuse.
• Facebook a viré des employés qui rassemblaient des preuves des biais pro-Trump de la plateforme.
• Une grosse panne de l’opérateur Level3, racheté par CenturyLink, a causé de nombreux problèmes en IPv4, de nombreux sites étaient injoignables pendant près de 5 heures.
• Une faille dans Google Drive.
• Amazon a cherché à recruter des analystes du renseignement pour lutter contre les actions syndicales.
• Au japon, un fan obsédé par un membre d’un collectif de J-pop a réussi à trouver son adresse en zoomant sur le reflet de sa maison dans son œil dans une photo postée sur les réseaux sociaux. Il a été arrêté après avoir attaquée la chanteuse.
• Le nouveau navigateur Microsoft Edge basé sur Chromium arrive dans Windows 10… et ne pourra pas être désinstallé, « Parce qu’il est une composante essentielle de son système d’exploitation ». Ça ne vous rappelle pas quelque chose ?
• Racoon, une faille dans TLS sur l’échange de clef Diffie-Hellman. Mais heureusement DHE n’est plus utilisé dans la version 1.3 de TLS, donc si vous êtes à jour ça devrait aller.
• Le ministère argentin de l’immigration également victime d’un ransomware, visiblement des dossiers concernant Interpol, mais aussi des numéros de passeport.
• Fuite d’informations personnelles de 100000 gamers chez Razer à cause d’une base Elasticsearch mal sécurisée.
• Le corona c’est une bonne affaire pour les GAFAM et les autres entreprises du numérique… 32 entreprises cumulent des bénéfices supérieurs de 109 milliards à ceux de 2019.
• BlindSide, une nouvelle faille sur Intel et AMD (pas de jaloux) exploitable sous Linux.
• En Algérie, Internet coupé « pour éviter la triche lors des examens du baccalauréat » qui débutait le 13 septembre.
• Des habitants de Nevoy dans le Loiret privé d’Internet à cause d’une souris qui a rongé les fibres optiques qui la gênaient dans son exploration.

Chiptune: EEEAAAOOO

Agenda

Rappelons que l’agenda est celui de la semaine passée lors des rediffusions le samedi.

Saint Etienne : Permanences GNU/Linux et Logiciels Libres par Alolise

Tous les lundis soir à partir de 19h00.
Rencontrer les bénévoles, passer sous Linux, poser des questions sur le libre, les logiciels, l’hébergement…

Pour passer votre ordinateur sous linux, nous vous invitons à nous prévenir avant votre passage.

Lundi 28 septembre 2020 de 19h00 à 23h00 ;
La Bricoleuse, 27 rue de la Ville, Saint Etienne.

Repair cafe au VAL

Pour lutter contre l’obsolescence programmée, pour apprendre à réparer soi-même et comprendre comment fonctionnent nos appareils, pour faire des économies et surtout passer un moment conviviale de partage et d’entraide, venez participer au Repair Café.

On fera quelques réparation autour d’un verre. Amies bricoleuses et bidouilleurs amateurs, si vous n’avez pas peur d’ouvrir une perceuse, ou un ordinateur, venez proposer votre aide. Et si vous avez un objet à réparer n’hésitez pas à lui offrir ça chance pour une deuxième vie.

Lundi 28 septembre, 18h – 2030 ;
Valence Atelier Libre, 13 bis rue Montplaisir, 26000 Valence.

Webinaire CNAM : Comment la pratique à distance interroge-t-elle les fondamentaux de l’accompagnement en orientation?

La crise sanitaire a eu un impact significatif sur les modalités de travail en contraignant une large portion des actif·ve·s au télétravail. Comme de nombreux·ses autres professionnel·le·s, les psychologues et les praticien·ne·s du conseil en orientation ont dû adapter et développer leurs pratiques de l’accompagnement à distance.
Comment la pratique à distance interroge-t-elle les fondamentaux de l’accompagnement en orientation ?
Une série de webinaires dont le premier aura lieu à partir du 30 septembre, tentera d’apporter des questionnements, des pistes de réflexion à cette question.

Mercredi 30 septembre 2020, 17h30 – 18h30 ;
En ligne, sur inscription.

Savoir Retro Game online experience

3 et 4 octobre 2020 ;
En ligne.

Du lien et des liens

[Nos vies numériques en 2030] – Appel à « fragments de futurs » par le Laboratoire d’Innovation Numérique de la CNIL. Envoyez-nous liens, textes, images ou propositions avant le 2 octobre 2020.

DESIGN RESSOURC.ES, une liste d’outils de design pour aider les designers à progresser et à rechercher de nouveaux outils.

Des styles CSS pour vos sites web… horribles ! (Windows 98, XP, MSDOS, 386…)

Paged Out!, un magazine gratuit sur la programmation.

Le BullshitJob Title Generator, qui propose des intitulés d’emplois absolument inutiles. Il aurait bien plu à David Graeber qui nous a quitté récemment.

Les vidéos de HOPE 2020 (Hackers On Planet Earth) sont disponibles.

La DEF CON Safe Mode aussi a publié ses vidéo.

Suicide Linux Battle Royale, un jeu où vous êtes éliminez si vous faites une erreur sur la ligne de commande.

Astrologeek

• macounet : Avec la touchbar tout se barre…
• technophile : En fait les DRM, c’est des doigts d’auteurs ?
• hacker : T’es laid ? Travaille. Tu deviendra pas beau pour autant mais au moins t’aurais des sous.
• codeur : – Tu prends quoi comme cocktail ? – Un planteur. – Euh, t’es sûr ? Tu codes ce soir…
• musicien : tu t’es mouillé dans la musique , oui j’ai suis tombe dans une flac
• télétravailleur : c’est à force de télétravail , qu’on devient télétravailleur !