Émission Underscore #227 du 2 mai 2021

• Download:
• Podcasts Underscore68 MB

Actu

Selon Intel la pénurie de composants pourrait durer encore 2 ans

Les nouveaux besoins liés à la constructions d’automobiles électriques qui deviennent prioritaire sur la vente des composants, ainsi que la demande des cartes graphiques par les vilains mineurs de cryptomonnaie se sont additionnés aux problèmes logistiques dus au Covid-19 avec certaines usines à l’arrêt pendant des mois.
Alors que quand on fait du rétro on sait que ça ne finira pas la pénurie de sasfépu 😀

Un technopolice belge est née !

Le mouvement Technopolice qui dénonce la numérisation forcée des espaces et des villes initié par LQDN a désormais un petit frère en Belgique.

Chiptune: Condition by FMS_Cat

Rank #3rd in the Revision Online 2021 PC 64k Intro competition Javascript.

Sujet : Les FAILs du printemps

Les FAILs c’est un peu comme les fleurs, parfois y en a tellement qu’on ne sait plus lesquelles regarder. Du coup, on en a fait un sujet. On en profitera pour détailler certains.

• Plusieurs failles sur l’application de vidéoconférence ZOOM ont été repérées par des chercheurs en cybersécurité néerlandais. En les exploitant, il leur a été possible de prendre le contrôle d’un ordinateur à distance.
• Le géant chinois Alibaba, accusé de pratiques monopolistiques par Pékin, a reçu une sévère amende, la plus lourde jamais reçue par un mastodonte de la tech locale.
• Des applications infectées par le malware Jocker téléchargées plus de 500000 fois depuis le magasin d’application de Huawei.
• Facebook aurait une réponse à géométrie variable aux pratiques politiques frauduleuses sur son réseau, en fonction des pays.
• Une entreprise se fait virer de Facebook Ads malgré 57 millions de dollars de dépenses sur la plateforme… sans aucune explication.
• Facebook censure la page de la ville de Bitche, en Moselle.
• Facebook a dépensé 23 millions de dollars pour la sécurité de Mark Zuckerberg en 2020.
• La dernière fuite de données d’utilisateurs de Facebook a du mal à passer en Europe. La Cnil irlandaise s’est saisie du sujet en ouvrant une enquête au titre du RGPD.
  Digital Rights Ireland les poursuit également, et vous pouvez les rejoindre.
• Et une nouvelle fuite de données pour Facebook. Cette fois-ci c’est l’outil Facebook Email Search v1.0 qui permetrait de « lier des comptes Facebook à un maximum de cinq millions d’adresses e-mail par jour ».
• Facebook préfère minimaliser la fuite de données restée irrésolue deux années durant. ‘A plus long terme, nous devrons la considérer comme un problème de secteur et la normaliser’, peut-on lire dans un mail interne que Data News a pu consulter.
• Un mauvais caviardage de documents de Google révèle que dans le cadre du projet Bernanke, Google aurait collecté des données d’enchères publicitaires pour les utiliser pour prendre l’avantage sur ses concurrents et ainsi lui rapporter 230 millions de dollars en une année (2013). Il semble également que Google se serait entendu sur les prix du marché publicitaire avec Facebook.
• Si Google Docs foire ce serait la faute des ad-blockers… ben voyons…
• Les salariés américains d’Amazon refusent de se syndiquer en Alabama. Pas très étonnant, entre les à-priori américains et les pratiques dissuasives d’Amazon…
• « NAME:WRECK », une nouvelle séries de vulnérabilités de piles TCP/IP embarquées dans une centaine de million de machines.
• Censuré par Youtube, un spécialiste en sécurité informatique et vie privée invite sa communauté à le suivre sur Peertube.
• La NSA et Microsoft mettent en garde contre une nouvelle fuite dans Exchange.
• Un député canadien arrive à poil sur une visio-conférence… c’est bien plus drôle que le maire d’Anvers
• Privacy International découvre que l’Union européenne finance une base de données biométriques de la population au Sénégal qui facilitera le renvoi des immigrés.
• La fuite de données chez Allekabels, site marchand néerlandais, ne touche pas cinq mille personnes, mais bien 3,6 millions, dont au moins 146.000 Belges.
• Australie: un tribunal sanctionne Google en matière de collecte des données. Google a enfreint la loi sur la collecte des données de localisation en trompant les utilisateurs du système d’exploitation Android sur les appareils portables, a estimé vendredi un tribunal australien dans une décision historique.
• Le gouvernement français va dépenser 2,8 millions d’euros pour « surveiller sa réputation en ligne ». Non, c’est pas une blague.
• « Yahoo! Answers » va fermer le 30 juin. Mince, comment on fera sans regarder wikipedia du coup ?
• Fin du support de Firefox sur les appareil Fire TV et Echo Show d’Amazon.
• Des utilisateurs signalent toute une série de problèmes causés par la toute dernière mise à jour pour Windows 10. L’update ‘KB5001330’ provoquerait des crashes ou refuserait tout simplement de s’installer.
• La version developpeur de Windows 10 va permettre d’utiliser des applications graphiques GNU/Linux. Et puis quoi encore ?
• Nouvelle attaque de « supply chain », cette fois chez Codecov, quand on vous dit que le « bash | curl » c’est mal…
  Le terme anglais de « supply chain » se traduit par « chaîne d’approvisionnement ». En informatique il s’agira des paquets et dépôts des dépendances logicieles que l’on dont récupérer pour construire un projet. Avant de pouvoir compiler, il vaut mieux être sûr d’avoir à disposition les bibliothèques dont il aura besoin. À l’époque actuelle, les gestionnaires de projets récupèrent souvent directement sur Internet toutes ces dépendances, parfois une version spécifique, mais parfois juste la version de développement en cours, sans être sûr qu’elle fonctionne. Et parfois sans même vérifier si la source est fiable, avec des pratiques comme le « curl | bash », c’est à dire le téléchargement d’un script en ligne que l’on envoie au shell pour exécution sans s’assurer de son contenu ni de son origine, et qui donc si le serveur qui l’envoie est compromis peut installer au passage des logiciels malveillants, ou corrompre ce que l’on cherche à construire.
• Apple refuse que l’on grave le mot « cul » sur les AirTag, mais pas mordre en anglais (« bite »)…
• Un bug dans macOS permet aux malwares de contourner la sécurité de l’OS.
• La Commission européenne introduirait cette semaine encore des accusations formelles à l’adresse d’Apple, d’après le Financial Times.
• Quanta, qui fabrique des MacBook et autres machines pour Apple, a refusé de payer la rançon de 50 millions de dollar à ceux qui lui ont dérobé de nombreuses infos, y compris des schéma des dernières machines et même une pas encore annoncée, qui se sont donc retrouvés publiés. Bon, d’un autre côté ces schéma ils auraient du être publics dès le départ… cf. Droit à la réparation.
• Un chercheur trouve deux bugs qui auraient pu permettre de fuiter les identités de tous les acheteurs de tracteurs John Deere.
• Le fabricant d’ordinateurs à tirer des charrues, pardon, de tracteurs (lol) John Deere une nouvelle fois « victime » de vilains hackers ? Il semble qu’ils aient passé une annonce d’emploi de spécialiste en sécurité avec besoin IMMÉDIAT…
• Le Colorado refuse de légiférer sur le droit à la réparation, malgré de nombreux témoignages en faveur de la réparabilité.
• Deux vulnérabilités à distance sur un robot cuiseur Cosori permettent de changer les paramètres à distance. Votre maison vous l’aimez bien cuite ?
• Des trous de sécurité dans les pilotes Nvidia pour Windows et Linux, pas de jaloux !
• L’outil d’extraction de données de téléphone Cellebrite serait vulnérable aux données qu’il tente d’extraire, d’après le créateur de la messagerie Signal. De plus il utiliserait une bibliothèque d’Apple sans permission, ce qui constitue une contrefaçon.
• Un turque soupçonné d’une escroquerie à 1,7 milliard d’euros sur sa plateforme d’échange de crypto-monnaie.
  La Turquie a ouvert une enquête jeudi 22 avril contre le fondateur d’une plate-forme d’échanges de cryptomonnaies nommé Thodex, et lancé ce 23 avril un mandat d’arrêt international à son encontre, l’accusant d’avoir fui à l’étranger en emportant les avoirs de ses clients.
  Ce type de plateformes sert normalement d’intermédiaire pour les gens souhaitant investir dans les crypto-monnaies sans avoir les connaissances techniques pour s’y connecter directement. Mais du coup ils peuvent usurper votre mandat et partir avec les sous…
• Les utilisateurs de la messagerie chiffrée Telegram sont appelés à la plus grande prudence. Des comptes utilisateurs contrôlés par des cyberpirates emploient un bot pour activer le trojan d’accès distant ToxicEye.
• Le site « Ma famille twitter » cache une escroquerie à qui vous permettez notamment de suivre de façon cachée des profils twitter de spammeurs pour les crédibiliser. Si vous avez déjà utilisé ça, révoquez les permissions et vérifiez les comptes que vous suivez.
• Les services d’intégration continue ont du instituter des quotas pour éviter d’être utilisés pour miner des cryptomonnaies.
• L’armée américaine annonce sur BGP un de leurs blocs d’adresses IPv4 après des décennies, le mystère demeure sur les raisons : pot de miel, envie de les vendre…
• Pendant 20 ans un logiciel de la poste britannique indiquait des détournements de fonds ayant mené à condamner 39 personnes, alors qu’ils savaient dès le départ qu’il était bogué. Ils ont depuis été blanchis en appel, heureusement.
• Le gestionnaire professionnel de mots de passe Passwordstate a propagé via son système d’actualisation un malware destiné à transférer des données d’utilisateurs à des cybercriminels.
• Le transporteur ColisPrivé racketté.
• La TVA va s’appliquer à tous les achats sur Internet hors de l’UE après le 1er juillet, y compris ceux inférieurs à 22 euros, ce qui n’était pas le cas jusqu’ici. Ça va être cocasse quand il va falloir payer 20 centimes au postier pour un achat de 1 euro…
• Les applis Corona de plusieurs pays, dont Coronalert, sont aux prises avec des problèmes de confidentialité générés par Google. Des applis préinstallées sur des appareils Android pourraient en effet accéder à leurs données.
• Encore un projet de loi antiterroriste en France qui va encore renforcer les pouvoir d’espionnage des services de renseignement…
  Si le texte était en préparation depuis plusieurs semaines déjà, il arrive après l’attaque de Rambouillet, ce qui pose la question de légiférer sous le coup de l’émotion, mais ce n’est malheureusement pas la première fois.
  Il prévoit notamment de « pérenniser » des mesures existantes de lois de 2015 et 2017, notamment certaines qui étaient en « expérimentation » depuis trois ans (comprenez : on va essayer mais on sait déjà qu’on va les garder), comme les perquisitions administratives, si joliment renommées en « visites domiciliaires ».
  De plus Gérald Darmanin a indiqué que « le texte prévoit d’actualiser et de pérenniser le recours aux algorithmes, c’est-à-dire le traitement automatisé des données de connexion, par la DGSI [Direction générale de la sécurité intérieure] ». Ces traitements devaient être évalués au bout de deux ans d’après la loi précédente. Vu qu’on attend toujours l’évaluation de lois comme DADVSI, on peut se demander s’ils vont vraiment les évaluer ou juste les maintenir sans avoir vérifier leur utilité.
• Le règlement de censure terroriste a été adopté par le Parlement européen, sans aucun vote, et permettra la censure en 1h chrono.
• Au Pays-bas, la ville d’Enschede devra verser 600.000 euros, parce que le traçage wifi de la ville a suivi des gens sur une base individuelle, en infraction avec le RGPD.
• Fuite de données de facturation chez DigitalOcean, un géant du « cloud ». Tiens, il pleut des données ?

Chiptune: Deus Cervidae by Nuance

RANK #2 in the Revision Online 2021 Windows – 64K Intro

Agenda

Rappelons que l’agenda est celui de la semaine passée lors des rediffusions le samedi.

Conférence : Guillaume Rozier – Quel rôle pour l’opendata en temps de pandémie ?

Guillaume Rozier, créateur de la plateforme CovidTracker, viendra échanger sur l’utilisation de l’open data comme bien public en temps de pandémie, ses forces et ses limites, et commentera pour les curieux·ses les aspects techniques de CovidTracker.

Le mercredi 5 mai à 19h00 ;
sur BBB.

Atelier numérique / Surfer sur le web

Comprendre ce qu’est un site internet, naviguer et passer d’un site à un autre, pour surfer sur le web avec facilité.

Tout public, Gratuit / Sur inscription ;
jeudi 06 mai 2021 de 14:00 à 16:00 ;
Médiathèque F. Mitterrand, Latour-Maubourg, Valence.

April Camp

8 et 9 mai

Du lien et des liens

État du libre 2021 : les enregistrements des présentations du samedi 27 mars sont en ligne !

Sur le Framablog, comment utiliser les cartes OpenStreetMap pour le vélo.

Pour les mordus du clavier, un super jeux vidéo très sympa en ligne pour s’entraîner à taper, Z-Type.

Une des plus belles pages d’Internet : visualisation en temps réel des éditions dans le projet collaboratif de cartographie libre OpenStreetMap.

User Agent DB, une base de données de navigateurs exotiques. Si vous avez un brouteur web étrange ou antique sur votre machine, allez visiter la page pour l’ajouter à la liste.

Chez rom-game, une série d’articles sur le studio Lankhor, son histoire, et la préservation de son héritage.

Astrologeek

• macounet : Oh non quelqu’un à déjà mangé ma pomme !
• oldschool : (sur l’air de nettoyer balayer casa toujours pimpante) Nettoyer, recaper, remplacer les Condos toujours clinquant !
• microsofteux : fenêtre sur les fails
• électronicien : arrête de nous faire le coups de la panne, tu vas encore te rétamer
• procrastinateur : je ne sort pas de mon lit, puisque de tout façon je vais y retourner
• télétravailleur : tu pourrais quand même choisir un autre endroit que tes toilettes pour travailler !