votre avatar Abonné

jotak

est avec nous depuis le 31 janvier 2008 ❤️

Bio

Développeur chez Red Hat (OpenShift...)

Masto: @[email protected]

322 commentaires

Le 19/11/2024 à 10h 59

On dirait que Stéphane Bortzmeyer a déjà tout dit :-)
L'objectif n°1 semble être de virer le propriétaire, donc les distros classiques répondent déjà au besoin. Tout est forkable en cas de besoin. Ou alors c'est pour mettre une étiquette "made in EU" qui claque.

Le 18/11/2024 à 19h 09

Un installeur linux à base de React, on n'arrête pas le progrès :mad2:

Le 12/11/2024 à 19h 44

Vous avez quand même tendance à oublier que Qwant a changé de mains l'année dernière. On n'aime ou on aime pas, mais je ne pense pas que l'idée de Klaba ce soit juste de se gaver d'aides avec cette acquisition. Il faut laisser un peu de temps pour voir ce qui va changer concrètement, Qwant a été si mal géré pendant des années, il doit y avoir du boulot.

Même sentiment que @Gilbert_Gosseyn : avec l'arlésienne de l'index, et maintenant de l'IA dans l'équation, ça a tout du vaporware. Difficile d'y croire.

Le 02/11/2024 à 19h 36

Un excellent article de Cory Doctorow à propos de bluesky (vs mastodon) :
https://pluralistic.net/2024/11/02/ulysses-pact/

Le 28/10/2024 à 21h 01

Les belles paroles d'un VC c'est proche de 0 sur l'échelle de la crédibilité non? Qu'est-ce qui va empêcher bluesky de suivre à terme le même chemin que twitter ? Il me semble que l'open-source/ mastodon offre de meilleures garanties.

Le 15/10/2024 à 13h 10

L'avantage c'est que, lorsque l'IA se cassera la gueule, on aura de l'énergie decarbonnée en surplus. Faut juste qu'elle se grouille de se casser la gueule.

Le 14/10/2024 à 22h 16

Ce que je dis n’engage que moi 😊

Quel est l’intérêt de Google et Apple de permette sciemment le contournement de leurs barrières en place par un acteur publicitaire tiers ?
Je n’en vois aucun.

Je ne dis pas que c'est fait sciemment. Il y a toujours des failles que d'autres peuvent exploiter (c'est d'ailleurs rappelé dans l'article). Ce ne sont pas que les hackers et les Etats qui cherchent ces failles.
D'ailleurs si Google et Meta annoncent enquêter et/ou couper les ponts avec CMG c'est bien qu'il y avait quelque chose de pas net là-dedans

Le 14/10/2024 à 21h 52

Je pense que c’est un combo entre la shitstorm garantie tant sur la certitude que l’amplitude, et le manque d’intérêt économique: l’image d’Apple et de Google est beaucoup plus précieuse que les 5% de produits que les annonceurs vont pouvoir vendre en plus.

Je ne pense pas que ce soit un gros risque personnellement.

Google et apple se sont désolidarisé de CMG sur cette histoire, ils n'assument pas, mais ça n'enlève rien au fait qu'une société tierce apparemment parvient à contourner les barrières en place, ou du moins c'est ce qu'elle a affirmé. Est-ce que vous avez du neuf là dessus depuis l'article de 404? Vous dîtes "c'est impossible" mais avez-vous creusé les dessous de cette histoire avec CMG?

Le 14/10/2024 à 21h 30

Et sinon le soit-disant problème de sécurité, c'est bidon ou pas? (Outre le fait que ce soit d'une mesquinerie absolue de forker sous ce prétexte)

Le 09/10/2024 à 21h 37

Plus qu'à pousser l'indépendantisme en Isère Orientale, on crée un nouveau pays et hop on récupère .io

Le 08/10/2024 à 22h 29

J'aimerais bien connaître les détails...
Une backdoor de ce type, à ma connaissance, consiste/ait à affaiblir la crypto pour permettre aux "bons" gouvernements/flics de casser le chiffrement sans trop de souci... C'était le cas il y a des dizaines d'années par exemple, où on interdisait le clés de chiffrement trop fortes. Mais aujourd'hui?

Page 5 ici https://www.laquadrature.net/files/201701_Oln_chiffrementsecuritelibertes.pdf
4 techniques sont listées :
- les "points clairs" , applicables si je comprends bien lorsque le "complice" (ex verizon) est à l'origine du chiffrement donc possède les clés, ce qui j'imagine est le cas sur les communications vocales voIP(?)
- les backdoors via des failles de sécurité (j'ai un peu de mal à voir comment mettre en place une surveillance généralisée par ce biais, sauf si on parle de faille sur l'algo de chiffrement lui même ?)
- la certification obligatoire: paraît obsolète
- limitation de la longueur des clés : obsolète (sauf si on parle de casser les les clés avec le quantique?)

Le 08/10/2024 à 22h 06

J'aimerais bien connaître les détails...
Une backdoor de ce type, à ma connaissance, consiste/ait à affaiblir la crypto pour permettre aux "bons" gouvernements/flics de casser le chiffrement sans trop de souci... C'était le cas il y a des dizaines d'années par exemple, où on interdisait le clés de chiffrement trop fortes. Mais aujourd'hui?

Le 07/10/2024 à 18h 26

Exactement. À mon boulot on passe notre temps à mettre à jour les dépendances pour "fixer les CVEs". Le ratio de vrai faille / faux-positif est environ de 1:50. Mais faut faire le job malgré tout, pour rassurer les clients qui ont les yeux rivés sur leur vulnerability scanner.

Le 04/10/2024 à 04h 06

Je ne me rappelle pas avoir déjà vu france info creuser un sujet.
"...certains médias privés qui courent après les infos fraîches pour faire de l’audience "
Pour moi c'est exactement le crédo de france info, d'aussi longtemps que je m'en souvienne.

Le 02/10/2024 à 19h 04

Sinon, red hat embauche des ingénieurs "migration toolkit virtualization", je dis ça je dis rien 😙
https://redhat.wd5.myworkdayjobs.com/jobs/?q=mtv

Le 02/10/2024 à 18h 47

Laisser ce genre de vm en place et conteneuriser tout le reste est possible et on peut mettre des vm sur kubernetes (via kubevirt)

Voilà, maintenant passer de vmware à kubevirt ça reste du boulot, surtout quand tu as 1000 vm et pas d'idée très précise de qu'est-ce qui tourne dedans et qui parle avec qui :D

Le 27/09/2024 à 18h 36

De là à traiter de "cancer" celui qui profite sans contribuer ?
Il me semble que c'est le cas de nombreux logiciels libres (voire tous ?). Rien que Firefox, Thunderbird, VLC, ou Ubuntu si on étend aux systèmes, ou Apache pour les serveurs : que celui qui a profité sans contribué leur jette la première peer.

Ça dépasse le cadre de l'open source là, ça a un coût par rapport au contenu hébergé.
Et il y a l'abus sur l'usage déguisé de la marque.

Le 27/09/2024 à 12h 38

En fait, il y a aussi du code non proprio, exemple encore aujourd'hui :
https://github.com/WinampDesktop/winamp/commit/5b91e3f697cb6a484b6a63d4fe529e4e15f6dd19

J'aime bien le 1er commentaire sur le commit :

Stop deleting things bro 😭😭😭
Un morceau de musique :
https://github.com/WinampDesktop/winamp/commit/47633753662e3f6b326084ef5928a2c0ba4347aa

L'historique est ici, c'est assez affligeant :
https://github.com/WinampDesktop/winamp/commits/community/

Bah, je trouve pas ça si dramatique. Un peu de tâtonnements au début, ça arrive, s'ils n'ont pas bcp l'expérience dans travailler en public.
Si ils ont vraiment leaké du code proprio c'est plus gênant mais là dans l'historique ça semble être non proprio (libdiscid, vorbis...)
Par contre va falloir qu'ils améliorent leurs messages de commits 😁

Le 27/09/2024 à 06h 44

C'est quoi le code proprio supprimé ? Je ne vois rien.

Le 27/09/2024 à 06h 35

Je crois que s'il y a une vraie réponse à ce problème de "faux open source" bien hypocrite
Je peux me tromper, mais pour le coup, je n'ai pas vu Winamp claironner que le logiciel était open source. Ce sont les commentateurs qui le font... comme sur Next, avec ce titre "accrocheur" à la limite du putaclic (désolé, je vous aime bien, vous le savez, mais il faut appeler un chat un chat).

Le code de Winamp a été placé sous une licence de type source available. Pourquoi lui reprocher de faire du "faux open source bien hypocrite" ?
Sur X, les réponses à l’annonce sont particulièrement critiques et fustigent la licence. L’éditeur donne l’impression de n’annoncer des sources ouvertes que pour obtenir gratuitement une main d’œuvre, sans respecter l’esprit de l’open source.
Idem qu'au dessus. Winamp n'a jamais dit que le code était open source. Lui reprocher de ne pas respecter l'esprit de l'open source relève donc, pour le coup, de l'hypocrisie.

Sinon, par extension, toute licence non open source (par exemple, la SSPL) est hypocrite.

"The Winamp source code is now open"... Difficile de ne pas penser à de l'open source avec une telle déclaration, non?

Le 27/09/2024 à 06h 26

On peut garder les clients captifs sans être en position dominante (ce qui me semble être le cas ici)

Le 20/09/2024 à 17h 02

Au top, la stratégie de broadcom.
How could this go wrong?

Le 05/09/2024 à 21h 45

J'ai une méthode plus simple : ignorer l'existence de ce service, ne jamais ouvrir les liens qui y pointent. J'aimerais tellement que les journalistes mettent des captures d'écran et non des intégrations dans les articles, ça me rassurerait de me sentir moins traqué par ce service irrespectueux.

Et pour ceux qui veulent du lien il y a xcancel, exemple : https://xcancel.com/nextinpact/status/1430496945630367747

Le 16/08/2024 à 18h 37

C'est du moins ce que Microsoft souhaite. Ça ne présume en rien de ce qu'un tribunal pourrait décider.

Le 16/08/2024 à 16h 11

J'aimerais bien connaître la part de l'augmentation de CVE imputable à Linux, désormais autorité reconnue pour en créer (CNA), et qui considère que grosso-modo n'importe quel bug du noyau y est éligible. (Cf https://lwn.net/Articles/961978/ )

Le 07/08/2024 à 16h 29

J'adore le dessin du poulet rôti, mais attention les avocats de crowdstrike sont sur les dents: arstechnica.com Ars Technica

Le 07/08/2024 à 16h 26

Bien évidemment, le nombre d’entrées attendues et proposées ont été alignées, à 21.
Vivement un 22e paramètre pour qu'on ressorte les pop-corn

Le 06/08/2024 à 17h 26

Sérieusement je trouve ça bien d'intégrer cette notion dès le recrutement, systématiquement. Je sais pas si c'est une pratique courante chez les big techs, perso j'ai pas souvent vu ça.
Reste à savoir s'ils vont tenir dans la longueur, ou oublier tout ça dans 6 mois.

Le 05/08/2024 à 16h 30

Javier Milei, le président argentin libertarien [...]
Alors là tout de suite, je me pose des questions sur la définition de "libertarien" vu ce qu'annonce le reste de l'article. On est dans un sacré paradoxe.

Le 30/07/2024 à 01h 04

eBPF est de plus en plus utilisé sous linux - justement crowdstrike l'utilise sous linux - également utile pour le monitoring, le réseau etc. Sous windows ça existe mais c'est rare et j'imagine loin d'être aussi mature. Dommage que microsoft ne l'ait pas cité comme une piste potentielle pour sécuriser le kernel.

Le 25/07/2024 à 18h 49

L'entreprise teste ainsi plus de 1 000 distributions Linux par mois
1000 distros?? Ça doit être en comptant différentes versions / peut-être différentes archis, sinon je vois pas ...

Le 25/07/2024 à 07h 12

De ce que j’ai compris (à prendre avec des pincettes, donc), les kernels panic étaient avec l’implémentation eBPF _mais_, il s’agissait d’un backport d’eBPF par RedHat pour le vieux noyau utilisé du fait de leur politique LTS (la version majeure du noyau ne change pas mais il y a tellement de backports que ce n’est plus comparable à un noyau Linux vanilla).

Bref, le module eBPF de CrowdStrike aurait révélé un bug dans le backport d’eBPF, rapidement corrigé par RedHat.

D'autre part le panic ne venait pas directement de l'exécution du programme ebpf, mais de sa vérification au préalable, un programme ebpf be pouvant pas de lui-même provoquer un kernel panic.
Donc le bug était côté linux/redhat.
Pour moi ça ne remet pas en cause la meilleure pertinence de l'approche ebpf/sandboxée, a l'opposé de ce que fait windows aujourd'hui. Évidemment il faut que le socle (côté linux/kernel) soit en béton armé, mais ça sécurise énormément les choses en cas de souci côté éditeur tiers.

(D'ailleurs ebpf pour windows existe, peut-être qu'il manque de maturité mais ça peut être la solution à l'avenir)

Le 24/07/2024 à 19h 01

Parce que la partie montée peut être vérifiée/signée et tout c qu'on veut, les fichiers de paramétrage ne le sont pas.
Ce n'est pas "plus safe" que Windows: Windows vérifie des signatures - Linux vérifie au kernel et Windows externalise, c'est tout.

Non non, je maintiens, en théorie un programme eBPF ne peut pas kernel panic. Là, il l'a fait à cause d'un bug (désormais fixé) dans le vérificateur. [Edit: en réalité c'est le vérificateur qui a crashé à cause du programme, le programme lui-même n'ayant même pas été exécuté, si je suis bien] . Le programme eBPF peut éventuellement crasher, être buggé, etc. mais ça ne devrait pas affecter le noyau, ou du moins pas jusqu'au crash.

cf https://www.brendangregg.com/blog/2024-07-22/no-more-blue-fridays.html
The worst thing an eBPF program can do is to merely consume more resources than is desirable, such as CPU cycles and memory. eBPF cannot prevent developers writing poor code -- wasteful code -- but it will prevent serious issues that cause a system to crash.

Le 21/07/2024 à 23h 18

Le hook noyau / eBPF est sensé être sûr (code exécuté dans une sandbox, et passé par un vérificateur), et d'ailleurs crowdstrike sur linux semble fonctionner ainsi. Donc a priori, plus safe que sous windows... sauf que même comme ça, ils parviennent à déclencher un kernel panic :ooo: (en théorie ça devrait pas)
cf red hat qui a eu un problème similaire en juin https://access.redhat.com/solutions/7068083 - un patch côté kernel a corrigé le vérificateur eBPF pour ça.

Le 20/07/2024 à 14h 52

La question qui tue maintenant, c'est : est-ce que ce désastre sera suffisant pour que cette entreprise à $74Mds se dise que ce serait peut-être bien de (mieux) tester ses màj? Vu la com assez laconique, on peut se poser la question.

Le 03/07/2024 à 22h 06

Publiquement accessible ne signifie qu'on peut légalement en faire ce qu'on veut.
C'est très bien d'avoir une hygiène numérique, ça n'excuse pas pour autant la réutilisation sans consentement ... a priori la question du droit d'auteur sur le matériel d'entraînement n'est pas tranchée (?)

Le 13/06/2024 à 13h 59

J'ai pas lu l'étude elle-même mais je suppose que l'argument de la courbe d'apprentissage concerne les collègues qu'on n'a pas réussi à débaucher de twitter

Le 10/06/2024 à 20h 19

"On ne fera XYZ que dans les limites imposées par la loi"
Ok mais, par définition, ça aurait été illégal sinon. Donc je vois pas en quoi c'est rassurant (?)

Le 04/06/2024 à 12h 39

Même sous linux, ou même en désactivant recall, tout le monde reste impacté. C'est pas seulement la machine qui fait tourner recall qui compte. C'est toute information qui passe par là. Envoyez un mail à quelqu'un qui utilise recall => votre mail y sera fiché. N'importe quelle information partagée est concernée, qu'elle soit publique ou privée.

Le 03/04/2024 à 18h 26

Après Heartbleed l'industrie avait lancé la CII pour financer des projets open-source, mais ils se sont focalisé sur les projets directement liés à la sécurité (Heartbleed / openssl ayant focalisé l'attention).

Là, on voit bien qu'il faut une approche différente. Les attaquants ont certainement cherché des cibles du style "la petite lib d'xkcd", ie. le petit truc utilisé massivement (dont par certains packaging de sshd, cœur du problème ici) mais maintenu par un hobbyiste plus ou moins démotivé. C'est exactement ce genre de shortlist que l'industrie doit aussi faire de son côté: identifier toutes ces libs peu maintenues mais très utilisées. Et peut-être redonner vie à la CII...

Le 03/04/2024 à 09h 05

Pas besoin que ça soit dans le kernel Linux. Une backdoor dans OpenSSH touche déjà bien plus de machine intéressantes pour les pirates.
Quasiment tous ce qui permet le contrôle à distance par un technicien utilise OpenSSH aussi bien sous Linux, BSD, Mac et même possiblement Windows depuis quelques années. C'est à dire que presque tout serveurs et même une bonne partie des machines connectées auraient pu être compromis.

En l'occurrence l'attaque réduisait intentionnellement la portée aux .deb et .rpm, certainement pour éviter aux hackers d'avoir à "gérer" trop de familles *nix. Il faut voir que si pour une raison x ou y le build génère des problèmes non anticipés (par exemple car non testé sur un système donné par le hacker) ça risque de mettre tout son travail de sape à l'eau.

Le 02/04/2024 à 23h 24

d'autant que ce n'est pas le code de test qui est incriminé, mais les fichiers data, donc encore moins le genre de truc qu'on va auditer scrupuleusement (du moins jusqu'à aujourd'hui)

Le 02/04/2024 à 23h 17

Mais il existe du coup peut-être des portes dérobées dans d'autres paquets qui elles, n 'ont pas eu la chance d'être trouvées...
Il faut voir qu'une backdoor exploitée est aussi plus visible car l'exploitation laisse des traces, lève des alarmes etc. ce qui braque tout de suite les regards vers les composants susceptibles d'être compromis. Donc oui il y a certainement d'autres backdoors actives, mais a priori elles finissent par être repérées (à moins d'être dormantes / non exploitées), c'est une traque sans fin.

Le 03/04/2024 à 07h 44

Discord est déjà un enfer de bruits et de popups en tout genre, hâte de voir ce que ça va donner avec de la pub en plus 🤣

Le 29/03/2024 à 07h 33

Seulement voilà, la première est payante et la seconde ne sait travailler qu’en texte brut.
Bon sinon y'a LibreOffice ou [insérer autre alternative ici], c'est pas comme si le choix manquait 😉

Le 22/03/2024 à 11h 38

Alibaba s'est tout de même mangé 2.8 milliards d'amende en Chine pour pratiques monopolistiques, et maintenant sous le coup d'un plan de scission.

Le 16/03/2024 à 08h 46

On peut voir le verre à moitié plein, sinon: il ne reste plus grand chose à nous dérober, c'est plutôt positif!

Le 24/01/2024 à 19h 38

Perso j'ai ressorti mon atari st pour mon fils qui voulait voir à quoi ça ressemblait. L'émulation ne m'intéresse pas, mais ressortir des vieilleries ça a un certain charme... Le tac-tac-tac du lecteur de disquettes, le "insert disk 4", tout ça 🙂
J'étais surpris de voir qu'il fonctionne assez bien, certaines disquettes doivent être abîmées mais j'ai à peu près un jeu sur deux qui marche (déception je voulais relancer ishar 3 mais ça veut pas 😭)

Le 11/12/2023 à 21h 00

J'y connais pas grand chose, mais le précédent article sur le PIIEC, et les infos que j'ai pu lire sur le site de la commission eu, donnaient en effet l'impression d'un investissement long et rigide, très planifié, pas franchement en phase avec l'industrie tech. Et d'y voir les usual suspects atos/orange aux premiers rangs renforce l'idée d'une énième pompe à argent public qui se dessine... J'espère juste avoir tort.

Le 08/12/2023 à 21h 43

on va pas se plaindre de voir une nouvelle tête au milieu des usual suspects :-)