Revue de presse de l’April pour la semaine 43 de l’année 2024

19
29
oct.
2024
Internet

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

Journal polyfill.io est contaminé

Posté par  . Licence CC By‑SA.
43
30
juin
2024

Bonjour tout le monde,

Ça fait 5 jours, et personne ne l'a mentionné ici, alors je fais tourner : https://sansec.io/research/polyfill-supply-chain-attack

En gros, un acteur chinois a racheté le nom de domaine polyfill.io et le compte GitHub. Et depuis, il s'en sert pour injecter des malwares. Visiblement, l'auteur original déconseille l'utilisation de polyfill.io, en rajoutant même qu'aujourd'hui, ça ne sert à rien avec les navigateurs actuels.

Pour les gens pas dans le milieu, polyfill.io permet(tait) de fournir des fonctions en (…)

Revue de presse de l’April pour la semaine 16 de l’année 2024

14
23
avr.
2024
Internet

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

Revue de presse de l’April pour la semaine 14 de l’année 2024

13
9
avr.
2024
Internet

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois

107
31
mar.
2024
Sécurité

Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

Journal Xz (liblzma) compromis

96
29
mar.
2024

Bonjour à tous,

La nouvelle que le projet xz (et en particulier liblzma) a été compromis vient de tomber. Donc avant de lire la suite, commencez par vous assurer que vous n'ayez aucune installation de xz version 5.6.0 ou 5.6.1 installée sur vos systèmes pour corriger cette porte dérobée, particulièrement si vous êtes avec un debian ou dérivée. Debian a une version corrigée "5.6.1+really5.4.5-1", Arch Linux une version 5.6.1-2.

Tous les détails de la faille de sécurité sont donnés là (…)

Programme de la PyConFR 23

Posté par  . Édité par Benoît Sibaud, Pierre Jarillon et ted. Modéré par ted. Licence CC By‑SA.
19
3
fév.
2023
Python

La PyConFR, l'évènement de la communauté francophone du langage de programmation python, aura lieu du 16 au 19 février 2023 à Bordeaux. L'évènement est gratuit mais l'inscription au préalable est obligatoire.

PyConFR du 16 au 19 février à Bordeaux

Le programme vient de paraître, le sommaire des conférences, des ateliers et des sprints vous attend dans la suite de cette dépêche.

Journal PyPI et les projets critiques

Posté par  (site web personnel) . Licence CC By‑SA.
32
11
juil.
2022

Demat' iNal,

En fin de semaine dernière, je reçois un courriel (oh, ce terme doucement désuet) des mainteurs de PyPI me félicitant pour mes trois projets promus "projets critiques", ce qui, à l'instar de mère-grand félicitant un jeune homme d'être costaud, puis s'empressant de lui demander de ranger sa valise dans le wagon TGV, me demande de mettre en place une authentification à deux-facteurs pour mon compte PyPI.

Petit retour sur cette expérience.

Déjà on comprend la motivation : Il (…)

Journal CPU Ex0179 Mecha, première partie

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
6
9
déc.
2021

Dans cette release de CPU, dans la série Futurs alternatifs : Des engins de chantier bipédiques, une reco vocale dure d'oreille, une attaque en supply chain et du design industriel sur cellulo. Nous recevons Yvan West Laurence, fondateur de la revue Animeland. Cette émission continue la semaine suivante, l'interview est déjà disponible en version longue.

Écoute, podcast, textes, liens et bleus d'archis : https://cpu.pm/0179

Chapitres :

Revue de presse de l'April pour la semaine 44 de l'année 2021

Posté par  (site web personnel, Mastodon) . Modéré par patrick_g. Licence CC By‑SA.
14
9
nov.
2021
Internet

Cette revue de presse sur Internet fait partie du travail de veille mené par l'April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l'April.

Webinaire Cyber & Open Source du Pôle Systematic le 11 mai 2021

Posté par  . Édité par Benoît Sibaud, ted et Ysabeau 🧶. Modéré par Xavier Teyssier. Licence CC By‑SA.
11
7
mai
2021
Sécurité

Les Hubs Open Source et Cyber & Security du Pôle Systematic vous invitent à un webinaire sur la sécurité des logiciels Open Source le mardi 11 mai de 14h à 16h30.

Cet événement fait suite à l’enquête organisée fin 2020 sur les pratiques et besoins relatifs à la sécurité des logiciels Open Source, qui avait recueilli plus de 120 réponses (dont de nombreuses parmi les lecteurs de LinuxFr.org)

Après une restitution des résultats de l’enquête, une table ronde permettra de confronter les opinions d’experts -utilisateur, intégrateur, régulateur, offreur- sur les points clés émergeant de l’enquête. Les participants pourront poser à cette occasion toutes leurs questions aux intervenants (La Poste, ANSSI, SafeRiver, LinkbyNet).

Enfin, nous accueillerons David Wheeler de la Fondation Linux pour une keynote en anglais "Securing the Development & Supply Chain of Open Source Software".

Nous avons le plaisir d’offrir à tous les lecteurs LinuxFr.org des invitations pour cet événement en ligne.
Code de gratuité à saisir sur la plateforme d’inscription weezevent : LinuxFr

Quel téléphone (plus ou moins) libre en 2021 ?

75
1
mai
2021
Mobile

Nous terminons notre tour du monde des systèmes d’exploitation libres pour smartphones avec la partie matérielle : quel appareil se procurer pour rouler un OS libre en 2021 ?

Si le critère principal est le logiciel libre, et a priori pour les libertés individuelles et le respect de sa vie privée, nous savons que d’autres critères peuvent rentrer en ligne de compte.

La lectrice ou le lecteur de LinuxFR.org étant exigeant·e et irréductible, les critères secondaires pourront être, selon les personnes : réaliser de belles photos (choix de photophones), s’assurer une bonne autonomie, maîtriser son budget, limiter les nuisances environnementales (Fairphone, téléphone de seconde main…), etc.

Nous tenterons de lui donner quelques pistes à travers les trois parties de cette dépêche : les téléphones DIY, les téléphones ouverts, les téléphones grand public pouvant rouler un OS libre.

Nokia 8810, le téléphone à clapet de Matrix
Crédits : Warner Bros (Matrix, 1999)