On dirait que Stéphane Bortzmeyer a déjà tout dit :-) L'objectif n°1 semble être de virer le propriétaire, donc les distros classiques répondent déjà au besoin. Tout est forkable en cas de besoin. Ou alors c'est pour mettre une étiquette "made in EU" qui claque.
Vous avez quand même tendance à oublier que Qwant a changé de mains l'année dernière. On n'aime ou on aime pas, mais je ne pense pas que l'idée de Klaba ce soit juste de se gaver d'aides avec cette acquisition. Il faut laisser un peu de temps pour voir ce qui va changer concrètement, Qwant a été si mal géré pendant des années, il doit y avoir du boulot.
Même sentiment que @Gilbert_Gosseyn : avec l'arlésienne de l'index, et maintenant de l'IA dans l'équation, ça a tout du vaporware. Difficile d'y croire.
Les belles paroles d'un VC c'est proche de 0 sur l'échelle de la crédibilité non? Qu'est-ce qui va empêcher bluesky de suivre à terme le même chemin que twitter ? Il me semble que l'open-source/ mastodon offre de meilleures garanties.
L'avantage c'est que, lorsque l'IA se cassera la gueule, on aura de l'énergie decarbonnée en surplus. Faut juste qu'elle se grouille de se casser la gueule.
Quel est l’intérêt de Google et Apple de permette sciemment le contournement de leurs barrières en place par un acteur publicitaire tiers ? Je n’en vois aucun.
Je ne dis pas que c'est fait sciemment. Il y a toujours des failles que d'autres peuvent exploiter (c'est d'ailleurs rappelé dans l'article). Ce ne sont pas que les hackers et les Etats qui cherchent ces failles. D'ailleurs si Google et Meta annoncent enquêter et/ou couper les ponts avec CMG c'est bien qu'il y avait quelque chose de pas net là-dedans
Le
14/10/2024 à
21h
52
Je pense que c’est un combo entre la shitstorm garantie tant sur la certitude que l’amplitude, et le manque d’intérêt économique: l’image d’Apple et de Google est beaucoup plus précieuse que les 5% de produits que les annonceurs vont pouvoir vendre en plus.
Je ne pense pas que ce soit un gros risque personnellement.
Google et apple se sont désolidarisé de CMG sur cette histoire, ils n'assument pas, mais ça n'enlève rien au fait qu'une société tierce apparemment parvient à contourner les barrières en place, ou du moins c'est ce qu'elle a affirmé. Est-ce que vous avez du neuf là dessus depuis l'article de 404? Vous dîtes "c'est impossible" mais avez-vous creusé les dessous de cette histoire avec CMG?
J'aimerais bien connaître les détails... Une backdoor de ce type, à ma connaissance, consiste/ait à affaiblir la crypto pour permettre aux "bons" gouvernements/flics de casser le chiffrement sans trop de souci... C'était le cas il y a des dizaines d'années par exemple, où on interdisait le clés de chiffrement trop fortes. Mais aujourd'hui?
Page 5 ici https://www.laquadrature.net/files/201701_Oln_chiffrementsecuritelibertes.pdf 4 techniques sont listées : - les "points clairs" , applicables si je comprends bien lorsque le "complice" (ex verizon) est à l'origine du chiffrement donc possède les clés, ce qui j'imagine est le cas sur les communications vocales voIP(?) - les backdoors via des failles de sécurité (j'ai un peu de mal à voir comment mettre en place une surveillance généralisée par ce biais, sauf si on parle de faille sur l'algo de chiffrement lui même ?) - la certification obligatoire: paraît obsolète - limitation de la longueur des clés : obsolète (sauf si on parle de casser les les clés avec le quantique?)
Le
08/10/2024 à
22h
06
J'aimerais bien connaître les détails... Une backdoor de ce type, à ma connaissance, consiste/ait à affaiblir la crypto pour permettre aux "bons" gouvernements/flics de casser le chiffrement sans trop de souci... C'était le cas il y a des dizaines d'années par exemple, où on interdisait le clés de chiffrement trop fortes. Mais aujourd'hui?
Exactement. À mon boulot on passe notre temps à mettre à jour les dépendances pour "fixer les CVEs". Le ratio de vrai faille / faux-positif est environ de 1:50. Mais faut faire le job malgré tout, pour rassurer les clients qui ont les yeux rivés sur leur vulnerability scanner.
Sinon, red hat embauche des ingénieurs "migration toolkit virtualization", je dis ça je dis rien 😙 https://redhat.wd5.myworkdayjobs.com/jobs/?q=mtv
Le
02/10/2024 à
18h
47
Laisser ce genre de vm en place et conteneuriser tout le reste est possible et on peut mettre des vm sur kubernetes (via kubevirt)
Voilà, maintenant passer de vmware à kubevirt ça reste du boulot, surtout quand tu as 1000 vm et pas d'idée très précise de qu'est-ce qui tourne dedans et qui parle avec qui
De là à traiter de "cancer" celui qui profite sans contribuer ? Il me semble que c'est le cas de nombreux logiciels libres (voire tous ?). Rien que Firefox, Thunderbird, VLC, ou Ubuntu si on étend aux systèmes, ou Apache pour les serveurs : que celui qui a profité sans contribué leur jette la première peer.
Ça dépasse le cadre de l'open source là, ça a un coût par rapport au contenu hébergé. Et il y a l'abus sur l'usage déguisé de la marque.
Bah, je trouve pas ça si dramatique. Un peu de tâtonnements au début, ça arrive, s'ils n'ont pas bcp l'expérience dans travailler en public. Si ils ont vraiment leaké du code proprio c'est plus gênant mais là dans l'historique ça semble être non proprio (libdiscid, vorbis...) Par contre va falloir qu'ils améliorent leurs messages de commits 😁
Le
27/09/2024 à
06h
44
C'est quoi le code proprio supprimé ? Je ne vois rien.
Le
27/09/2024 à
06h
35
Je crois que s'il y a une vraie réponse à ce problème de "faux open source" bien hypocrite
Je peux me tromper, mais pour le coup, je n'ai pas vu Winamp claironner que le logiciel était open source. Ce sont les commentateurs qui le font... comme sur Next, avec ce titre "accrocheur" à la limite du putaclic (désolé, je vous aime bien, vous le savez, mais il faut appeler un chat un chat).
Le code de Winamp a été placé sous une licence de type source available. Pourquoi lui reprocher de faire du "faux open source bien hypocrite" ?
Sur X, les réponses à l’annonce sont particulièrement critiques et fustigent la licence. L’éditeur donne l’impression de n’annoncer des sources ouvertes que pour obtenir gratuitement une main d’œuvre, sans respecter l’esprit de l’open source.
Idem qu'au dessus. Winamp n'a jamais dit que le code était open source. Lui reprocher de ne pas respecter l'esprit de l'open source relève donc, pour le coup, de l'hypocrisie.
Sinon, par extension, toute licence non open source (par exemple, la SSPL) est hypocrite.
"The Winamp source code is now open"... Difficile de ne pas penser à de l'open source avec une telle déclaration, non?
J'ai une méthode plus simple : ignorer l'existence de ce service, ne jamais ouvrir les liens qui y pointent. J'aimerais tellement que les journalistes mettent des captures d'écran et non des intégrations dans les articles, ça me rassurerait de me sentir moins traqué par ce service irrespectueux.
Et pour ceux qui veulent du lien il y a xcancel, exemple : https://xcancel.com/nextinpact/status/1430496945630367747
J'aimerais bien connaître la part de l'augmentation de CVE imputable à Linux, désormais autorité reconnue pour en créer (CNA), et qui considère que grosso-modo n'importe quel bug du noyau y est éligible. (Cf https://lwn.net/Articles/961978/ )
Sérieusement je trouve ça bien d'intégrer cette notion dès le recrutement, systématiquement. Je sais pas si c'est une pratique courante chez les big techs, perso j'ai pas souvent vu ça. Reste à savoir s'ils vont tenir dans la longueur, ou oublier tout ça dans 6 mois.
Javier Milei, le président argentin libertarien [...]
Alors là tout de suite, je me pose des questions sur la définition de "libertarien" vu ce qu'annonce le reste de l'article. On est dans un sacré paradoxe.
eBPF est de plus en plus utilisé sous linux - justement crowdstrike l'utilise sous linux - également utile pour le monitoring, le réseau etc. Sous windows ça existe mais c'est rare et j'imagine loin d'être aussi mature. Dommage que microsoft ne l'ait pas cité comme une piste potentielle pour sécuriser le kernel.
De ce que j’ai compris (à prendre avec des pincettes, donc), les kernels panic étaient avec l’implémentation eBPF _mais_, il s’agissait d’un backport d’eBPF par RedHat pour le vieux noyau utilisé du fait de leur politique LTS (la version majeure du noyau ne change pas mais il y a tellement de backports que ce n’est plus comparable à un noyau Linux vanilla).
Bref, le module eBPF de CrowdStrike aurait révélé un bug dans le backport d’eBPF, rapidement corrigé par RedHat.
D'autre part le panic ne venait pas directement de l'exécution du programme ebpf, mais de sa vérification au préalable, un programme ebpf be pouvant pas de lui-même provoquer un kernel panic. Donc le bug était côté linux/redhat. Pour moi ça ne remet pas en cause la meilleure pertinence de l'approche ebpf/sandboxée, a l'opposé de ce que fait windows aujourd'hui. Évidemment il faut que le socle (côté linux/kernel) soit en béton armé, mais ça sécurise énormément les choses en cas de souci côté éditeur tiers.
(D'ailleurs ebpf pour windows existe, peut-être qu'il manque de maturité mais ça peut être la solution à l'avenir)
Parce que la partie montée peut être vérifiée/signée et tout c qu'on veut, les fichiers de paramétrage ne le sont pas. Ce n'est pas "plus safe" que Windows: Windows vérifie des signatures - Linux vérifie au kernel et Windows externalise, c'est tout.
Non non, je maintiens, en théorie un programme eBPF ne peut pas kernel panic. Là, il l'a fait à cause d'un bug (désormais fixé) dans le vérificateur. [Edit: en réalité c'est le vérificateur qui a crashé à cause du programme, le programme lui-même n'ayant même pas été exécuté, si je suis bien] . Le programme eBPF peut éventuellement crasher, être buggé, etc. mais ça ne devrait pas affecter le noyau, ou du moins pas jusqu'au crash.
The worst thing an eBPF program can do is to merely consume more resources than is desirable, such as CPU cycles and memory. eBPF cannot prevent developers writing poor code -- wasteful code -- but it will prevent serious issues that cause a system to crash.
Le
21/07/2024 à
23h
18
Le hook noyau / eBPF est sensé être sûr (code exécuté dans une sandbox, et passé par un vérificateur), et d'ailleurs crowdstrike sur linux semble fonctionner ainsi. Donc a priori, plus safe que sous windows... sauf que même comme ça, ils parviennent à déclencher un kernel panic (en théorie ça devrait pas) cf red hat qui a eu un problème similaire en juin https://access.redhat.com/solutions/7068083 - un patch côté kernel a corrigé le vérificateur eBPF pour ça.
La question qui tue maintenant, c'est : est-ce que ce désastre sera suffisant pour que cette entreprise à $74Mds se dise que ce serait peut-être bien de (mieux) tester ses màj? Vu la com assez laconique, on peut se poser la question.
Publiquement accessible ne signifie qu'on peut légalement en faire ce qu'on veut. C'est très bien d'avoir une hygiène numérique, ça n'excuse pas pour autant la réutilisation sans consentement ... a priori la question du droit d'auteur sur le matériel d'entraînement n'est pas tranchée (?)
J'ai pas lu l'étude elle-même mais je suppose que l'argument de la courbe d'apprentissage concerne les collègues qu'on n'a pas réussi à débaucher de twitter
"On ne fera XYZ que dans les limites imposées par la loi" Ok mais, par définition, ça aurait été illégal sinon. Donc je vois pas en quoi c'est rassurant (?)
Même sous linux, ou même en désactivant recall, tout le monde reste impacté. C'est pas seulement la machine qui fait tourner recall qui compte. C'est toute information qui passe par là. Envoyez un mail à quelqu'un qui utilise recall => votre mail y sera fiché. N'importe quelle information partagée est concernée, qu'elle soit publique ou privée.
Après Heartbleed l'industrie avait lancé la CII pour financer des projets open-source, mais ils se sont focalisé sur les projets directement liés à la sécurité (Heartbleed / openssl ayant focalisé l'attention).
Là, on voit bien qu'il faut une approche différente. Les attaquants ont certainement cherché des cibles du style "la petite lib d'xkcd", ie. le petit truc utilisé massivement (dont par certains packaging de sshd, cœur du problème ici) mais maintenu par un hobbyiste plus ou moins démotivé. C'est exactement ce genre de shortlist que l'industrie doit aussi faire de son côté: identifier toutes ces libs peu maintenues mais très utilisées. Et peut-être redonner vie à la CII...
Le
03/04/2024 à
09h
05
Pas besoin que ça soit dans le kernel Linux. Une backdoor dans OpenSSH touche déjà bien plus de machine intéressantes pour les pirates. Quasiment tous ce qui permet le contrôle à distance par un technicien utilise OpenSSH aussi bien sous Linux, BSD, Mac et même possiblement Windows depuis quelques années. C'est à dire que presque tout serveurs et même une bonne partie des machines connectées auraient pu être compromis.
En l'occurrence l'attaque réduisait intentionnellement la portée aux .deb et .rpm, certainement pour éviter aux hackers d'avoir à "gérer" trop de familles *nix. Il faut voir que si pour une raison x ou y le build génère des problèmes non anticipés (par exemple car non testé sur un système donné par le hacker) ça risque de mettre tout son travail de sape à l'eau.
Le
02/04/2024 à
23h
24
d'autant que ce n'est pas le code de test qui est incriminé, mais les fichiers data, donc encore moins le genre de truc qu'on va auditer scrupuleusement (du moins jusqu'à aujourd'hui)
Le
02/04/2024 à
23h
17
Mais il existe du coup peut-être des portes dérobées dans d'autres paquets qui elles, n 'ont pas eu la chance d'être trouvées...
Il faut voir qu'une backdoor exploitée est aussi plus visible car l'exploitation laisse des traces, lève des alarmes etc. ce qui braque tout de suite les regards vers les composants susceptibles d'être compromis. Donc oui il y a certainement d'autres backdoors actives, mais a priori elles finissent par être repérées (à moins d'être dormantes / non exploitées), c'est une traque sans fin.
Perso j'ai ressorti mon atari st pour mon fils qui voulait voir à quoi ça ressemblait. L'émulation ne m'intéresse pas, mais ressortir des vieilleries ça a un certain charme... Le tac-tac-tac du lecteur de disquettes, le "insert disk 4", tout ça 🙂 J'étais surpris de voir qu'il fonctionne assez bien, certaines disquettes doivent être abîmées mais j'ai à peu près un jeu sur deux qui marche (déception je voulais relancer ishar 3 mais ça veut pas 😭)
J'y connais pas grand chose, mais le précédent article sur le PIIEC, et les infos que j'ai pu lire sur le site de la commission eu, donnaient en effet l'impression d'un investissement long et rigide, très planifié, pas franchement en phase avec l'industrie tech. Et d'y voir les usual suspects atos/orange aux premiers rangs renforce l'idée d'une énième pompe à argent public qui se dessine... J'espère juste avoir tort.
322 commentaires
Au Parlement européen, une pétition veut encourager la création d’un Linux souverain
19/11/2024
Le 19/11/2024 à 10h 59
On dirait que Stéphane Bortzmeyer a déjà tout dit :-)L'objectif n°1 semble être de virer le propriétaire, donc les distros classiques répondent déjà au besoin. Tout est forkable en cas de besoin. Ou alors c'est pour mettre une étiquette "made in EU" qui claque.
Fedora 42 : vers un installeur Wayland et une édition KDE à part entière
15/11/2024
Le 18/11/2024 à 19h 09
Un installeur linux à base de React, on n'arrête pas le progrèsEuropean Search Perspective : Qwant et Ecosia unis pour « un index de recherche européen »
12/11/2024
Le 12/11/2024 à 19h 44
Bluesky lève 15 millions de dollars et prévoit des abonnements
28/10/2024
Le 02/11/2024 à 19h 36
Un excellent article de Cory Doctorow à propos de bluesky (vs mastodon) :https://pluralistic.net/2024/11/02/ulysses-pact/
Le 28/10/2024 à 21h 01
Les belles paroles d'un VC c'est proche de 0 sur l'échelle de la crédibilité non? Qu'est-ce qui va empêcher bluesky de suivre à terme le même chemin que twitter ? Il me semble que l'open-source/ mastodon offre de meilleures garanties.Google se tourne vers le nucléaire à son tour pour ses centres de données IA
15/10/2024
Le 15/10/2024 à 13h 10
L'avantage c'est que, lorsque l'IA se cassera la gueule, on aura de l'énergie decarbonnée en surplus. Faut juste qu'elle se grouille de se casser la gueule.Les smartphones nous espionnent-ils ? Oui, mais pas comme vous le pensez
14/10/2024
Le 14/10/2024 à 22h 16
D'ailleurs si Google et Meta annoncent enquêter et/ou couper les ponts avec CMG c'est bien qu'il y avait quelque chose de pas net là-dedans
Le 14/10/2024 à 21h 52
La fondation WordPress « forke » Advanced Custom Fields, un plugin de WP Engine
14/10/2024
Le 14/10/2024 à 21h 30
Et sinon le soit-disant problème de sécurité, c'est bidon ou pas? (Outre le fait que ce soit d'une mesquinerie absolue de forker sous ce prétexte)Noms de domaine : le .io pourrait-il vraiment disparaître ?
09/10/2024
Le 09/10/2024 à 21h 37
Plus qu'à pousser l'indépendantisme en Isère Orientale, on crée un nouveau pays et hop on récupère .ioDes pirates chinois auraient espionné des systèmes d’écoutes téléphoniques américains
08/10/2024
Le 08/10/2024 à 22h 29
4 techniques sont listées :
- les "points clairs" , applicables si je comprends bien lorsque le "complice" (ex verizon) est à l'origine du chiffrement donc possède les clés, ce qui j'imagine est le cas sur les communications vocales voIP(?)
- les backdoors via des failles de sécurité (j'ai un peu de mal à voir comment mettre en place une surveillance généralisée par ce biais, sauf si on parle de faille sur l'algo de chiffrement lui même ?)
- la certification obligatoire: paraît obsolète
- limitation de la longueur des clés : obsolète (sauf si on parle de casser les les clés avec le quantique?)
Le 08/10/2024 à 22h 06
J'aimerais bien connaître les détails...Une backdoor de ce type, à ma connaissance, consiste/ait à affaiblir la crypto pour permettre aux "bons" gouvernements/flics de casser le chiffrement sans trop de souci... C'était le cas il y a des dizaines d'années par exemple, où on interdisait le clés de chiffrement trop fortes. Mais aujourd'hui?
L’open source est partout, donc…
07/10/2024
Le 07/10/2024 à 18h 26
Exactement. À mon boulot on passe notre temps à mettre à jour les dépendances pour "fixer les CVEs". Le ratio de vrai faille / faux-positif est environ de 1:50. Mais faut faire le job malgré tout, pour rassurer les clients qui ont les yeux rivés sur leur vulnerability scanner.« Hacker éthique », « cybercriminel repenti »… le procès de Florent Curtet s’ouvrira fin novembre
03/10/2024
Le 04/10/2024 à 04h 06
Je ne me rappelle pas avoir déjà vu france info creuser un sujet.Pour moi c'est exactement le crédo de france info, d'aussi longtemps que je m'en souvienne.
AT&T vs Broadcom (VMware) : la hausse de la facture serait de… 1 050 % !
02/10/2024
Le 02/10/2024 à 19h 04
Sinon, red hat embauche des ingénieurs "migration toolkit virtualization", je dis ça je dis rien 😙https://redhat.wd5.myworkdayjobs.com/jobs/?q=mtv
Le 02/10/2024 à 18h 47
Le torchon brule dans l’écosystème commercial de WordPress
27/09/2024
Le 27/09/2024 à 18h 36
Et il y a l'abus sur l'usage déguisé de la marque.
Winamp Classic devient open source, mais pas trop
26/09/2024
Le 27/09/2024 à 12h 38
Si ils ont vraiment leaké du code proprio c'est plus gênant mais là dans l'historique ça semble être non proprio (libdiscid, vorbis...)
Par contre va falloir qu'ils améliorent leurs messages de commits 😁
Le 27/09/2024 à 06h 44
C'est quoi le code proprio supprimé ? Je ne vois rien.Le 27/09/2024 à 06h 35
Cloud : Google dépose plainte en Europe contre Microsoft pour pratiques abusives
26/09/2024
Le 27/09/2024 à 06h 26
On peut garder les clients captifs sans être en position dominante (ce qui me semble être le cas ici)La grogne monte contre VMware (Broadcom) : AT&T, Orange et Thales vont en justice
20/09/2024
Le 20/09/2024 à 17h 02
Au top, la stratégie de broadcom.How could this go wrong?
Plus d’un quart des annonceurs prévoient de réduire leurs dépenses sur X à cause d’Elon Musk
05/09/2024
Le 05/09/2024 à 21h 45
Microsoft précise que ses services d’IA ne sauraient être perçus comme fiables
16/08/2024
Le 16/08/2024 à 18h 37
C'est du moins ce que Microsoft souhaite. Ça ne présume en rien de ce qu'un tribunal pourrait décider.Le nombre de failles de sécurité a augmenté de 30 % en 6 mois : beaucoup de bruit pour rien ?
16/08/2024
Le 16/08/2024 à 16h 11
J'aimerais bien connaître la part de l'augmentation de CVE imputable à Linux, désormais autorité reconnue pour en créer (CNA), et qui considère que grosso-modo n'importe quel bug du noyau y est éligible. (Cf https://lwn.net/Articles/961978/ )Fiasco CrowdStrike : un paramètre en trop (ou en moins) est à l’origine du bug
07/08/2024
Le 07/08/2024 à 16h 29
J'adore le dessin du poulet rôti, mais attention les avocats de crowdstrike sont sur les dents: Ars TechnicaLe 07/08/2024 à 16h 26
Vivement un 22e paramètre pour qu'on ressorte les pop-cornMicrosoft fait de la sécurité une « priorité centrale » et l’intègre dans l’évaluation de ses employés
06/08/2024
Le 06/08/2024 à 17h 26
Sérieusement je trouve ça bien d'intégrer cette notion dès le recrutement, systématiquement. Je sais pas si c'est une pratique courante chez les big techs, perso j'ai pas souvent vu ça.Reste à savoir s'ils vont tenir dans la longueur, ou oublier tout ça dans 6 mois.
IA : l’Argentine s’inspire d’Israël, de la Chine et de la France pour « prédire les futurs crimes »
05/08/2024
Le 05/08/2024 à 16h 30
Alors là tout de suite, je me pose des questions sur la définition de "libertarien" vu ce qu'annonce le reste de l'article. On est dans un sacré paradoxe.CrowdStrike : Microsoft donne sa version des faits et va renforcer les tests
29/07/2024
Le 30/07/2024 à 01h 04
eBPF est de plus en plus utilisé sous linux - justement crowdstrike l'utilise sous linux - également utile pour le monitoring, le réseau etc. Sous windows ça existe mais c'est rare et j'imagine loin d'être aussi mature. Dommage que microsoft ne l'ait pas cité comme une piste potentielle pour sécuriser le kernel.Linux est aujourd’hui le premier système d’exploitation sur Microsoft Azure
23/07/2024
Le 25/07/2024 à 18h 49
1000 distros?? Ça doit être en comptant différentes versions / peut-être différentes archis, sinon je vois pas ...Fiasco CrowdStrike : Microsoft persiste et signe, tout est la faute de l’Europe
23/07/2024
Le 25/07/2024 à 07h 12
Donc le bug était côté linux/redhat.
Pour moi ça ne remet pas en cause la meilleure pertinence de l'approche ebpf/sandboxée, a l'opposé de ce que fait windows aujourd'hui. Évidemment il faut que le socle (côté linux/kernel) soit en béton armé, mais ça sécurise énormément les choses en cas de souci côté éditeur tiers.
(D'ailleurs ebpf pour windows existe, peut-être qu'il manque de maturité mais ça peut être la solution à l'avenir)
Panne CrowdStrike : comment une simple mise à jour a-t-elle entrainé une telle pagaille ?
19/07/2024
Le 24/07/2024 à 19h 01
cf https://www.brendangregg.com/blog/2024-07-22/no-more-blue-fridays.html
Le 21/07/2024 à 23h 18
Le hook noyau / eBPF est sensé être sûr (code exécuté dans une sandbox, et passé par un vérificateur), et d'ailleurs crowdstrike sur linux semble fonctionner ainsi. Donc a priori, plus safe que sous windows... sauf que même comme ça, ils parviennent à déclencher un kernel panic (en théorie ça devrait pas)cf red hat qui a eu un problème similaire en juin https://access.redhat.com/solutions/7068083 - un patch côté kernel a corrigé le vérificateur eBPF pour ça.
[MàJ] Fiasco CrowdStrike : détails techniques, 8,5 millions de machines touchées selon Microsoft
21/07/2024
Le 20/07/2024 à 14h 52
La question qui tue maintenant, c'est : est-ce que ce désastre sera suffisant pour que cette entreprise à $74Mds se dise que ce serait peut-être bien de (mieux) tester ses màj? Vu la com assez laconique, on peut se poser la question.[MàJ] LAION-5B : des photos d’enfants utilisées sans consentement pour entrainer des IA
03/07/2024
Le 03/07/2024 à 22h 06
Publiquement accessible ne signifie qu'on peut légalement en faire ce qu'on veut.C'est très bien d'avoir une hygiène numérique, ça n'excuse pas pour autant la réutilisation sans consentement ... a priori la question du droit d'auteur sur le matériel d'entraînement n'est pas tranchée (?)
Mastodon : les chercheurs n’ont finalement pas migré en masse
13/06/2024
Le 13/06/2024 à 13h 59
J'ai pas lu l'étude elle-même mais je suppose que l'argument de la courbe d'apprentissage concerne les collègues qu'on n'a pas réussi à débaucher de twitterAdobe assure que ses modèles d’IA Firefly Gen ne sont pas entrainés sur des données utilisateurs
10/06/2024
Le 10/06/2024 à 20h 19
"On ne fera XYZ que dans les limites imposées par la loi"Ok mais, par définition, ça aurait été illégal sinon. Donc je vois pas en quoi c'est rassurant (?)
La surveillance Windows Recall permet en l’état un pillage des données sensibles
04/06/2024
Le 04/06/2024 à 12h 39
Même sous linux, ou même en désactivant recall, tout le monde reste impacté. C'est pas seulement la machine qui fait tourner recall qui compte. C'est toute information qui passe par là. Envoyez un mail à quelqu'un qui utilise recall => votre mail y sera fiché. N'importe quelle information partagée est concernée, qu'elle soit publique ou privée.XZ Utils : comment une porte dérobée dans un composant de Linux a fait craindre le pire
02/04/2024
Le 03/04/2024 à 18h 26
Là, on voit bien qu'il faut une approche différente. Les attaquants ont certainement cherché des cibles du style "la petite lib d'xkcd", ie. le petit truc utilisé massivement (dont par certains packaging de sshd, cœur du problème ici) mais maintenu par un hobbyiste plus ou moins démotivé. C'est exactement ce genre de shortlist que l'industrie doit aussi faire de son côté: identifier toutes ces libs peu maintenues mais très utilisées. Et peut-être redonner vie à la CII...
Le 03/04/2024 à 09h 05
Le 02/04/2024 à 23h 24
d'autant que ce n'est pas le code de test qui est incriminé, mais les fichiers data, donc encore moins le genre de truc qu'on va auditer scrupuleusement (du moins jusqu'à aujourd'hui)Le 02/04/2024 à 23h 17
Il faut voir qu'une backdoor exploitée est aussi plus visible car l'exploitation laisse des traces, lève des alarmes etc. ce qui braque tout de suite les regards vers les composants susceptibles d'être compromis. Donc oui il y a certainement d'autres backdoors actives, mais a priori elles finissent par être repérées (à moins d'être dormantes / non exploitées), c'est une traque sans fin.Discord permet aux créateurs de diffuser de la publicité
03/04/2024
Le 03/04/2024 à 07h 44
Discord est déjà un enfer de bruits et de popups en tout genre, hâte de voir ce que ça va donner avec de la pub en plus 🤣WordPad disparaitra de Windows 11 avec la mise à jour 24H2
29/03/2024
Le 29/03/2024 à 07h 33
Bon sinon y'a LibreOffice ou [insérer autre alternative ici], c'est pas comme si le choix manquait 😉Les États-Unis attaquent Apple pour abus de position dominante
22/03/2024
Le 22/03/2024 à 11h 38
Alibaba s'est tout de même mangé 2.8 milliards d'amende en Chine pour pratiques monopolistiques, et maintenant sous le coup d'un plan de scission.[Édito] Internet, un annuaire des Français à ciel ouvert
15/03/2024
Le 16/03/2024 à 08h 46
On peut voir le verre à moitié plein, sinon: il ne reste plus grand chose à nous dérober, c'est plutôt positif!Ressortez les consoles du siècle dernier et savourez le néo-rétro
24/01/2024
Le 24/01/2024 à 19h 38
Perso j'ai ressorti mon atari st pour mon fils qui voulait voir à quoi ça ressemblait. L'émulation ne m'intéresse pas, mais ressortir des vieilleries ça a un certain charme... Le tac-tac-tac du lecteur de disquettes, le "insert disk 4", tout ça 🙂J'étais surpris de voir qu'il fonctionne assez bien, certaines disquettes doivent être abîmées mais j'ai à peu près un jeu sur deux qui marche (déception je voulais relancer ishar 3 mais ça veut pas 😭)
Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique
11/12/2023
Le 11/12/2023 à 21h 00
J'y connais pas grand chose, mais le précédent article sur le PIIEC, et les infos que j'ai pu lire sur le site de la commission eu, donnaient en effet l'impression d'un investissement long et rigide, très planifié, pas franchement en phase avec l'industrie tech. Et d'y voir les usual suspects atos/orange aux premiers rangs renforce l'idée d'une énième pompe à argent public qui se dessine... J'espère juste avoir tort.Cloud : 1,2 milliard d’euros pour un Projet important d’intérêt européen commun
08/12/2023
Le 08/12/2023 à 21h 43
on va pas se plaindre de voir une nouvelle tête au milieu des usual suspects :-)