Bah ouais, mais on regarde quoi ? Difficile de choisir ! Heureusement, il existe un site qui va vous permettre de trouver le film parfait à regarder : FlickMetrix.
Ce site vous permet de parcourir un catalogue de films (et de séries) où tout est filtrable avec de nombreux critères comme le genre du film, sa date de sortie, sa note, la plateforme sur laquelle il est dispo…etc. Film populaire, film indépendant ou classique du cinéma, vous y trouverez forcement votre bonheur. Et si vous êtes du genre à tout planifier, vous pouvez même ajouter les films qui vous intéressent à une liste de favoris.
Pour moi qui suis en train de me refaire tous les films des années 80 / 90 avec les enfants, c’est top parce que faut se l’avouer, je ne me souviens pas de tout.
Ensuite, une fois que vous avez vu un film, vous pouvez l’ajouter à la section « Vus ». Vous aurez ainsi une trace de tous les films que vous avez regardés, ce qui est très pratique pour ne pas retomber sur un film que vous avez déjà vu, ce qui m’arrive souvent !
FlickMetrix vous proposera également une sélection de films recommandés selon les films que vous avez ajoutés à votre liste de films aimés. Bien sûr, dans la vie, il y a aussi des films qu’on n’aime pas et si vous tombez sur un film qui ne vous plaît vraiment pas, pas de souci ! Vous pouvez le mettre à la corbeille. Ainsi, FlickMetrix évitera de vous le proposer à nouveau.
Bref, FlickMetrix malgré son design un peu daté, vous permettra de trouver le film parfait pour votre soirée cinoche.
Attention, arnaqueurs et fraudeurs de crypto en tout genre, Big Brother Bercy vous surveille ! Le ministère de l’Économie s’apprête à dégainer un nouveau texte de loi antifraude, avec un focus particulier sur ces fameux crypto-actifs qui font tant fantasmer.
Le problème, c’est que visiblement, pas mal de petits malins se croient plus intelligents que l’administration fiscale. Sur les quelques 5 millions de Français qui joueraient avec des cryptos selon la BCE, seuls 150 000 auraient daigné le déclarer au fisc. Oups, il y a comme qui dirait un petit décalage… Selon Thomas Cazenave, ministre délégué chargé des Comptes publics, environ 400 millions d’euros de fraudes ont été constatées rien que pour le dispositif MaPrimeRénov, destiné à encourager la rénovation énergétique des logements.
Du coup, Bercy sort l’artillerie lourde et compte bien aligner les contrôles sur les cryptos avec ce qui se fait déjà pour les comptes à l’étranger. Au programme : des délais de reprise rallongés, des contrôles renforcés et des sanctions qui vont faire mal au portefeuille. Fini de jouer au plus malin avec le fisc !
Et pour traquer les tricheurs, Bercy mise sur un allié de choix : l’intelligence artificielle ! Comme l’explique cet article de Decrypt, des chercheurs ont prouvé qu’un modèle d’IA bien entraîné pouvait rapidement scanner l’immense blockchain Bitcoin et y détecter des schémas de blanchiment d’argent. Une aubaine pour les services fiscaux !
Concrètement, l’IA va apprendre à reconnaître les transactions légitimes et louches, puis suivre les liens entre les portefeuilles suspects pour mettre à jour des réseaux de fraude. Une analyse de masse qui serait impossible humainement vu le volume de données de la blockchain.
Évidemment, rien ne dit que Bercy utilisera exactement cette technique, mais une chose est sûre : les geeks de Bercy bossent dur pour ne rien laisser passer. Personnellement, j’espère juste que leur algo de traque aux cryptos frauduleuses sera un poil plus efficace que celui utilisé pour détecter les piscines non déclarées. Parce que pour le coup, c’était un beau ratage… Un nombre incalculable de fausses piscines détectées, des tonnes de réclamations, bref la lose.
Mais bon, gardons espoir. Peut-être que Bercy va nous pondre un modèle d’IA révolutionnaire capable de déceler la moindre petite fraude crypto, tout en épargnant les honnêtes citoyens (J’ai des doutes). Qui sait, on aura peut-être même droit à un petit chatbot sympa façon ChatGPT qui nous guidera gentiment dans nos déclarations de cryptos. « Bonjour, je suis Bercy-GPT, votre assistant fiscal bienveillant. Déclarez-moi tous vos bitcoins, et promis, pas d’amende ! » Bon, j’avoue, j’ai aussi des doutes…
En attendant, un conseil les amis : si vous avez des cryptos planqués sous le matelas numérique, c’est peut-être le moment de régulariser votre situation avant que Bercy-GPT ne vous tombe dessus. Sinon, gare aux nunchakus fiscaux de Bercy !
Aaah Nano, cet éditeur en ligne de commande si apprécié des geeks ! Simple, léger, accessible… Et il continu de s’améliorer puisque la version 8 vient de sortir et apporte son lot de nouveautés plutôt cool.
Déjà, les développeurs ont revu les raccourcis clavier par défaut pour coller aux standards. Fini le temps où on se mélangeait les pinceaux entre les éditeurs ! On retrouve maintenant les classiques Ctrl+F pour chercher, Ctrl+B pour chercher en arrière, Alt+F / Alt+B pour répéter la recherche et Alt+R pour remplacer. Les devs ont même pensé à ajouter l’option --modernbindings (ou -/ pour les flemmards) pour avoir des raccourcis façon Ctrl+X (quitter), Ctrl+C (copier), Ctrl+V (coller)… Un vrai bonheur !
Mais là où Nano pousse le bouchon encore plus loin (Maurice) c’est avec ses fonctionnalités bien geek. Saviez-vous par exemple qu’on peut désormais ouvrir un fichier directement à une ligne spécifique en rajoutant +numLigne après son nom ?
Les raccourcis Alt+Home et Alt+End permettent aussi de sauter en haut ou en bas du fichier en un clin d’œil, sans bouger le curseur. Idéal pour avoir une vue d’ensemble de son code. Et si vous souhaitez vous repérer dans vos sections avec des ancres et bien avec Alt+ » vous pouvez en placer à la volée et y revenir avec Alt+’. Super pratique pour naviguer dans vos documents !
Côté personnalisation, les amateurs de couleurs seront ravis puisque lorsque les trois chiffres d’un code #RGB sont identiques, Nano le mappe à l’échelle de gris xterm. Résultat, on passe de 4 à 14 nuances de gris pour styliser son terminal.
Et pour les irréductibles de la souris, sachez que la molette permet maintenant de scroller dans le fichier sans changer la position du curseur. C’est tout bête mais tellement pratique pour explorer rapidement un fichier.
Ah les années 90… L’époque bénie des interfaces old school, des systèmes bien bruts de décoffrage et du code qui sent bon le bricolage ! C’était le bon vieux temps. Mais si je vous disais qu’on peut avoir le beurre et l’argent du beurre ? Profiter de la beauté vintage d’une interface bien rétro et des muscles d’un UNIX moderne ?
Eh oui, c’est le pari un peu fou de SerenityOS, un OS fait maison avec amour qui marie l’interface cosy des 90s et le power user d’aujourd’hui.
Le look d’un Windows 95 croisé avec un Mac OS 8, mais qui repose sur un kernel custom fait à la main, avec une architecture bien clean, des applis maison et des outils qui déchirent. C’est ça SerenityOS.
Alors oui, c’est sûr que ça va pas remplacer votre Ubuntu ou votre Debian pour bosser (quoique, bossez-vous vraiment ?). Mais franchement, pour le fun, ça vaut grave le détour.
Le truc de ouf, c’est que tout est fait from scratch par une équipe de devs passionnés : le browser, la GUI, les jeux, les démos… Même le kernel et la LibC sont faits maison, c’est dire ! Et pourtant, ça reste super cohérent et intégré, avec une vraie philosophie derrière. C’est pas juste de la nostalgie, c’est aussi des idées neuves et du code au top !
Sous le capot, SerenityOS carbure à un kernel préemptif qui gère le multi-threading, un système de fichiers compatible POSIX, une stack réseau IPv4 qui cause TCP et UDP, et même un serveur graphique maison. Tout ça tourne sur du x86 64 bits, et c’est cross-compilé avec les outils modernes comme GCC et Clang. Et si vous êtes du genre power user à la recherche de la moindre killer feature, vous allez être servis :
Un browser digne de ce nom, avec support de JavaScript, WebAssembly et des technos web modernes
Des applis pour gérer votre vie numérique : mail, chat, calendar…
Des outils pour les devs : terminal, éditeur, débogueur, profiler…
Des jeux old-school : démineur, solitaire, échecs…
Et même un spreadsheet façon Excel, mais en mieux !
SerenityOS c’est un peu comme si vous vous étiez tous réunis dans un garage pour faire le système de vos rêves, avec les technos d’aujourd’hui mais l’état d’esprit et le goût du pixel d’hier. C’est frais, c’est fun, ça donne envie de bidouiller et de se replonger dans les joies du code et de l’OS DIY.
Alors si vous aussi vous avez gardé votre âme de geek des 90s, foncez sur SerenityOS pour tester tout ça !
Aujourd’hui, on va parler d’un truc qui s’appelle LSD, mais attention hein, je parle pas de votre dernière soirée chemsex hein… C’est plutôt un clone open-source de la commande ls en mode survitaminé ! Développé par la communauté et écrit en Rust, il rajoute plein de fonctionnalités hyper stylées comme les couleurs, les icônes, la vue en arbre, des options de formatage en pagaille…
L’idée vient du projet colorls qui est vraiment super aussi. Mais LSD pousse le délire encore plus loin. Déjà il est compatible avec quasi tous les OS : Linux, macOS, Windows, BSD, Android…
Et hyper simple à installer en plus… un petit
apt install lsd ou brew install lsd
et c’est réglé.
Ensuite il est ultra personnalisable. Vous pouvez faire votre thème de couleurs et d’icônes sur mesure juste en bidouillant des fichiers de config en yaml. Et il supporte les polices Nerd Font avec des glyphes spéciaux trop classes ! Bon faut avoir la bonne police installée sur son système et le terminal configuré, mais c’est pas bien compliqué. Et si vous êtes sur Putty ou Kitty, y’a des tweaks spécifiques à faire, mais c’est expliqué dans la doc.
Mais attendez c’est pas fini ! LSD gère aussi les liens symboliques, la récursion dans les sous-répertoires (avec une profondeur max en option), des raccourcis pour les tailles de fichiers plus lisibles, des indicateurs pour les exécutables, les dossiers, etc. Il peut même vous sortir des infos de git sur les fichiers de ton repo si vous activez l’option ! Et pleins d’autres trucs que j’ai même pas encore testés…
Depuis que je l’ai installé et que j’ai changé mon alias ls, je me régale à chaque fois que je liste un dossier. J’ai l’impression d’être dans un vaisseau spatial avec des néons partout ! Bon j’exagère à peine, mais franchement ça envoie du lourd.
Allez je vais pas tout vous spoiler non plus, je vous laisse le plaisir de découvrir LSD par vous-même et customiser votre expérience du terminal. Moi en tout cas je suis fan, et je dis pas ça parce que je plane ! 😄
Figurez-vous qu’Elektrobit, le géant allemand de l’électronique automobile, vient de nous pondre un truc qui va faire plaisir aux fans de libre : EB corbos Linux, le premier système d’exploitation open source qui respecte les normes de sécurité les plus pointues du monde de la bagnole.
En gros, les constructeurs en ont marre de se trimballer des kilomètres de câbles et des centaines de boîtiers noirs dans leurs caisses-. L’idée, c’est de tout centraliser sur quelques « super ordinateurs » qu’ils appellent des « plateformes de calcul haute performance ». Et chacun gère son domaine : la conduite, l’info-divertissement, les aides à la conduite… Bref, ça simplifie le bordel et ça permet de faire évoluer les fonctionnalités sans toucher au hardware.
Le hic, c’est que tout ce bazar logiciel doit être hyper sécurisé. Parce que si votre autoradio plante, c’est pas bien grave, mais si c’est votre direction assistée qui décide de partir en vacances, bonjour les dégâts ! C’est là qu’EB corbos Linux entre en scène.
Grâce à son architecture unique, ce système d’exploitation prend Linux et le rend compatible avec les exigences les plus draconiennes en matière de sécurité automobile, genre les normes ISO 26262 et IEC 61508 en utilisant un hyperviseur et un système de monitoring externe qui valide les actions du noyau. En gros, Linux peut continuer à évoluer tranquillou sans compromettre la sécurité.
Comme cette distrib est basé sur du bon vieux Linux, il profite de toute la puissance de l’open source. Genre les milliers de développeurs qui bossent dessus, les mises à jour de sécurité en pagaille, la flexibilité, la rapidité d’innovation… Tout ça dans une distrib’ véhicule-compatible, c’est quand même cool. En plus, Elektrobit a développé ce petit miracle main dans la main avec l’équipe d’ingénieurs d’Ubuntu Core chez Canonical. Autant dire que c’est du lourd !
Elektrobit a pensé à tout puisqu’ils proposent même une version spéciale pour les applications critiques, genre les trucs qui peuvent tuer des gens s’ils plantent. Ça s’appelle EB corbos Linux for Safety Applications, et c’est le premier OS Linux à décrocher la certification de sécurité automobile auprès du TÜV Nord.
Mais le plus cool, c’est qu’avec cet OS, vous pouvez laisser libre cours à votre créativité de développeur automobile. Vous voulez intégrer les dernières technos de conduite autonome, d’intelligence artificielle, de reconnaissance vocale… Pas de problème, Linux a tout ce qu’il faut sous le capot.
Imaginez que vous bossiez sur un système de reconnaissance de panneaux pour aider à la conduite. Avec ça, vous pouvez piocher dans les bibliothèques open source de traitement d’image, de machine learning, etc. Vous adaptez tout ça à votre sauce, en respectant les contraintes de sécurité, et voilà ! En quelques sprints, vous avez un truc qui déchire, testé et approuvé pour la route. Et si un autre constructeur veut l’utiliser, il peut, c’est ça la beauté de l’open source !
Autre exemple, vous voulez développer un système de monitoring de l’état de santé du conducteur, pour éviter les accidents dus à la fatigue ou aux malaises. Là encore, EB corbos Linux est votre allié. Vous pouvez utiliser des capteurs biométriques, de l’analyse vidéo, des algorithmes de détection… Tout en étant sûr que votre code ne mettra pas en danger la vie des utilisateurs.
Bref, vous l’aurez compris, c’est le meilleur des deux mondes avec d’un côté, la puissance et la flexibilité de Linux, de l’open source, de la collaboration à grande échelle et de l’autre, la rigueur et la sécurité indispensables au monde automobile, où la moindre erreur peut coûter des vies.
Un surdoué du bidouillage nommé Ryan Miceli, alias « grimdoomer » sur GitHub, vient de réussir un truc de malade : faire tourner Halo 2 en 720p sur une Xbox première génération ! Oui, 720p sur la vénérable console de Microsoft sortie en 2001, c’est un bel exploit.
Mais alors, comment ce bon vieux Ryan a-t-il réussi ce tour de passe-passe ? Eh bien figurez-vous qu’il a littéralement mis les mains dans le cambouis pour effectuer des modifications matérielles, dans le kernel, et même sur le jeu lui-même. Un travail de titan !
Pour entrer un peu plus dans les détails techniques, sachez que Miceli a installé un câble IDE 80 broches pour connecter le disque dur de la Xbox à un PCB custom qui supporte des vitesses de transfert plus rapides. Résultat, des temps de chargement optimisés et des perfs globalement boostées. Côté kernel, notre modder de génie a optimisé la gestion de la mémoire pour augmenter la quantité de RAM disponible pour le jeu. Et ce n’est pas tout ! Il a aussi ajouté le support du triple buffering pour un rendu plus fluide, et même des sliders pour régler le FOV.
Faut quand même se rappeler qu’à sa sortie, Halo 2 faisait déjà cracher les poumons de la console alors l’idée de le faire tourner en 720p, ça relève presque de la science-fiction. Il a notamment exploité une faille dans le système de mémoire partagée entre le CPU et le GPU et en bidouillant le code, il a réussi à gonfler la mémoire vidéo. Et même si le framerate trinque un peu à cause de cet overclocking, on est quand même en 720p au final.
Et pour ceux qui voudraient (presque) la même chose sur leur XBox mais qui n’ont pas envie de sortir le fer à souder, Ryan a pensé à tout. Certes, pour obtenir le Graal des 720p, faut mettre les mains dans les composants et charcuter un peu la bête, mais une bonne partie des améliorations, comme la correction du scaling en 480p ou les options pour régler le FOV, fonctionnent sur une console stock !
Vous en avez marre de jongler avec une multitude d’outils de gestion de paquets sur vos différents systèmes Linux et Unix ? apt sur Debian, dnf sur Fedora, pacman sur Arch, emerge sur Gentoo, pkg sur FreeBSD… Et je ne parle même pas de Homebrew sur macOS ou Scoop sur Windows ! Bref, un vrai casse-tête pour s’y retrouver et se rappeler de toutes les commandes spécifiques à chaque plateforme.
Heureusement, y’a un p’tit dev malin qui a décidé de nous faciliter la vie. Un certain Sigoden a créé upt, pour Universal Package-management Tool. L’idée c’est d’avoir une interface unique pour gérer ses paquets, quelque soit le système utilisé. Sous le capot, upt se base sur le gestionnaire natif de chaque OS mais vous permet d’utiliser une syntaxe commune pour les opérations de base : rechercher, installer, mettre à jour ou supprimer un paquet.
Bon alors techniquement, c’est écrit en Rust donc faudra passer par l’installation de cargo et de quelques dépendances. Mais rassurez-vous, c’est assez simple et bien documenté sur le dépôt GitHub du projet. Une fois que c’est fait, vous pourrez utiliser la commande upt de la même façon sur tous vos systèmes. Voici quelques exemples :
upt update pour mettre à jour le gestionnaire upt install package_name pour installer un paquet upt upgrade package_name pour le mettre à jour upt remove package_name pour le désinstaller upt search keyword pour chercher un paquet
Plutôt cool non ?
Fini les prises de tête à se rappeler si c’est apt search ou dnf search, pacman -S ou emerge… Maintenant on fait tout pareil avec upt !
Et ça supporte tous les outils suivants sous Linux, macOS, Windows, BSD :
Bon, j’avoue qu’il y a quelques petites limitations. Déjà upt n’est qu’une surcouche, donc il faudra quand même connaître les noms exacts des paquets pour chaque distrib. Pas de nom universel type « python3-dev » qui fonctionnerait sur Ubuntu comme sur Fedora.
Ensuite, si un même paquet est dispo dans plusieurs formats (deb, snap, flatpak…), upt va suivre un ordre de priorité pour choisir lequel installer. Mais vous pouvez outrepasser ça en définissant la variable d’environnement UPT_TOOL avec le nom du gestionnaire souhaité.
Par exemple, pour forcer upt à utiliser les paquets snap pour VLC plutôt que apt ou autre :
export UPT_TOOL='snap' upt install vlc
Dernier point, certaines commandes un peu plus avancées ne seront pas gérées directement par upt. Il faudra alors repasser par le gestionnaire natif. Mais pour une utilisation basique au quotidien, ce petit outil vous fera gagner pas mal de temps et de neurones.
Après, je dis pas que c’est la solution révolutionnaire qui va unifier une bonne fois pour toutes le monde des paquets sur Linux et Unix. Y’a encore du taf pour ça. Mais en attendant, upt est bien pratique pour ceux qui doivent régulièrement passer d’un système à l’autre.
Et puis soyons honnêtes, nous les linuxiens on est un peu maso sur les bords. On aime bien quand c’est compliqué et qu’il faut batailler pour faire un truc. Alors un outil qui simplifie les choses, ça va en rebuter plus d’un ! Mais je suis sûr que ça peut rendre service à pas mal de monde malgré tout.
En attendant, amusez-vous bien et n’oubliez pas : dans le doute, RTFM ! 😄
Vous en avez sûrement entendu parler ces derniers mois, le célèbre Youtubeur Cyprien est au cœur d’une polémique malgré lui. En effet, son image a été utilisée dans des deepfakes pour faire la promotion de jeux mobiles plus que douteux.
C’est donc bien une IA (et des humains) qui est derrière ces vidéos détournant l’image de Cyprien pour lui faire dire ce qu’il n’a jamais dit. On le voit notamment vanter les mérites d’une app soi-disant révolutionnaire pour gagner de l’argent facilement. Le souci, c’est que cette app sent l’arnaque à plein nez…
Résultat des courses, Cyprien s’est senti obligé de réagir pour démentir son implication dans ces pubs. À travers une vidéo mi-sérieuse mi-humoristique, il met en garde contre les dérives de l’IA et des deepfakes.
C’est quand même flippant de voir son image utilisée à son insu pour promouvoir des trucs plus que limite. Rien que le fait qu’il soit obligé de démentir montre à quel point un deepfake peut semer le doute dans l’esprit des gens, donc il fait bien de sonner l’alerte à travers sa vidéo.
Et c’est là qu’on se rend compte à quel point ces technologies peuvent être dangereuses si elles tombent entre de mauvaises mains. Aujourd’hui c’est Cyprien qui trinque, mais demain ça pourrait être n’importe qui d’entre nous. En attendant, méfiance quand vous voyez une vidéo d’une célébrité qui fait la promo d’un produit. Surtout si c’est pour une app ou un vpn (ah non, pas un vpn ^^). Y’a 9 chances sur 10 pour que ce soit un deepfake !
Perso, je l’ai trouvé au top cette vidéo, donc comme d’hab, je fais tourner.
Netflix a encore frappé, mais cette fois, ce n’est pas pour une nouvelle série addictive. Non, ils ont carrément utilisé des photos générées par IA dans leur dernier documentaire true crime « What Jennifer Did » (« Les Vérités de Jennifer », en français). Et autant vous dire que ça fait jaser sur la Toile !
Le docu retrace l’affaire sordide d’un meurtre commandité qui a eu lieu au Canada en 2010. Jennifer Pan, une ado en apparence sans histoires, a en fait orchestré l’assassinat de sa mère. Brrr, ça donne froid dans le dos ! Mais le plus fou, c’est que pour illustrer à quel point Jennifer était « pétillante, heureuse et pleine d’assurance » selon les mots d’une amie, Netflix a balancé des photos qui ont tous les codes des images générées par une IA. On parle de mains difformes, de visages déformés et même une dent de devant anormalement longue. Sympa le portrait !
Ça soulève pas mal de questions éthiques d’utiliser l’IA pour représenter une vraie personne, qui plus est dans une affaire criminelle. D’accord, Jennifer croupit en taule jusqu’en 2040 au moins, mais quand même, c’est glauque de tripatouiller la réalité comme ça. Surtout que bon, on n’est pas dans une fiction là, mais dans un fait divers bien réel et tragique.
On a déjà vu des séries utiliser l’IA pour générer des éléments de décor random, genre des affiches chelous dans True Detective. Mais là, on passe un cap en traficotant des photos d’une personne qui existe. Perso, ça me fait penser à ces deepfakes de célébrités qui pullulent sur internet alors si même les docs se mettent à nous enfumer avec de fausses images, où va-t-on ?
Netflix se défendent en disant que pour des raisons légales, ils ne pouvaient pas utiliser de vraies photos de Jennifer. Ok, mais ils auraient pu flouter son visage ou juste ne pas mettre de photos.
En tous cas, ça promet de sacrés débats sur l’utilisation de l’IA dans les médias. Jusqu’où peut-on aller pour illustrer une histoire vraie ? Est-ce qu’on a le droit de « créer » des images de personnes réelles dans ce contexte ? Autant de questions épineuses qui divisent.
La technologie utilisée par Netflix est probablement une forme de réseaux antagonistes génératifs (GAN) ou de deepfake. Ces technologies utilisent l’intelligence artificielle pour créer des images ou vidéos réalistes en apprenant des motifs à partir de données existantes. Les GAN sont composés de deux réseaux de neurones : un générateur qui crée les images, et un discriminateur qui essaie de distinguer les images générées des vraies. Au fil du temps, le générateur s’améliore pour créer des images ultra-réalistes, indiscernables de photos authentiques.
Mais l’usage de ces technologies soulève d’importantes questions éthiques, car elles peuvent servir à manipuler la perception de la réalité. Et dans le cas des Vérités de Jennifer, cela pourrait induire les spectateurs en erreur.
On verra si ça se généralise ou si Netflix saura en tirer des leçons.
Si vous êtes passionnés de science-fiction, laissez-moi vous parler de la dernière sensation qui agite la toile : l’adaptation par Netflix du monument de la SF chinoise, Le Problème à Trois Corps de Liu Cixin.
Autant vous dire que ça fait des vagues, surtout en Chine où les fans sont en ébullition !
Bon, déjà, petit rappel pour ceux qui vivraient dans une grotte (ou qui n’auraient pas encore eu la chance de découvrir cette pépite) : Le Problème à Trois Corps, c’est LE roman de hard SF qui a propulsé Liu Cixin au rang de légende vivante. Il s’agit d’une fresque épique qui nous embarque dans une histoire de premier contact avec une civilisation extraterrestre, le tout saupoudré de physique quantique, de sociologie et de réflexions sur la nature humaine. Bref, du lourd comme j’aime.
Donc forcément, quand Netflix a annoncé qu’ils allaient adapter ce mastodonte en série, il y a eu de l’excitation dans l’air. Sauf que voilà, en Chine, Netflix n’est pas vraiment le bienvenu. Mais vous croyez que ça arrête les fans ? Que nenni ! VPN, sites de streaming illégaux… ils ont plus d’un tour dans leur sac pour mettre la main sur les épisodes. Et là, c’est le drame…
Déjà, il faut savoir que les Chinois vouent un culte quasi religieux à l’œuvre de Liu Cixin. Chaque détail, chaque virgule est sacré. Alors forcément, quand ils ont vu que Netflix avait pris quelques libertés avec l’œuvre originale, ça a fait des étincelles ! Changements dans l’intrigue, personnages modifiés, voire carrément remplacés… Pour certains puristes, c’est un scandale, une hérésie, un crime de lèse-majesté !
Mais en même temps, il y a aussi pas mal de fans qui sont ravis de voir leur roman fétiche adapté par une grosse machine hollywoodienne et propulsé sur le devant de la scène internationale. Faut dire que les adaptations chinoises précédentes, bien que plus fidèles, n’avaient pas vraiment le même impact.
Et puis il y a ceux qui s’interrogent sur la façon dont la Chine est représentée dans la série. Parce que mine de rien, Le Problème à Trois Corps a une sacrée portée politique et historique. Ça parle de la Révolution Culturelle, des relations sino-américaines, de la place de la science dans la société… Pas vraiment des sujets anodins. Alors quand ils voient que les gentils sont joués par des acteurs occidentaux et les méchants par des chinois, certains crient au complot et à la propagande anti-chinoise. Faut les comprendre aussi…
Mais pour moi, l’essentiel est ailleurs.
OK, la série de Netflix n’est pas une adaptation littérale du bouquin. Mais est-ce vraiment un problème ? L’important, c’est que ça permet à un public encore plus large de découvrir l’univers fascinant de Liu Cixin et les questionnements vertigineux qu’il soulève sur notre place dans le cosmos. Et ça, c’est quand même sacrément excitant !
Après, je ne vais pas vous mentir, je viens de découvrir la version chinoise sortie l’année dernière et à ce qu’il parait, elle est incroyablement fidèle au bouquin. D’ailleurs, je ne remercierai jamais assez P5Lawrence de m’avoir fait découvrir cette pépite ! Figurez-vous que tous les épisodes sont dispos gratuitement sur Viki, la plateforme de streaming de Rakuten, avec des sous-titres en français s’il vous plaît.
Donc je vais faire confiance à mes followers Twitter et stopper immédiatement mon visionnage sur Netflix et je vais basculer sur cette version. Ensuite, on verra, mais je pense que je me ferais quand même celle de Netflix juste pour pouvoir comparer.
Allez, je vous laisse, j’ai un rendez-vous ce marathon de SF chinoise (30 épisodes quand même…).
Et n’oubliez pas de toujours garder un œil sur le ciel, on ne sait jamais qui pourrait nous rendre visite ! D’ailleurs, je crois que c’est prévu pour cette année ^^.
Dans le monde de la cybersécurité, la découverte de failles 0day critiques est un enjeu important, car elles peuvent être exploitées par des acteurs malveillants pour compromettre des systèmes qui n’ont pas encore eu le temps d’être mis à jour.
Récemment, un chercheur en sécurité a fait une découverte plutôt alarmante : 2 failles 0day sont présentes dans les noyaux Linux 6.4 à 6.5. Cependant, cette histoire a pris une tournure inattendue… En effet, il y a quelques jours, le chercheur en sécurité, connu sous le pseudonyme YuriiCrimson, a publié sur GitHub les détails de 2 exploits pour des failles 0day qu’il avait découverts dans le pilote n_gsm des noyaux Linux.
Sauf que l’une de ces 2 failles avait en réalité déjà été divulguée par un autre chercheur, Jmpeax. D’après YuriiCrimson, celui-ci lui aurait racheté pour la publier comme si c’était sa propre découverte. Il explique sur sa page Github qu’ignorant cette divulgation, il a involontairement « re-divulgué » sa propre découverte.
Face à cette situation assez malaisante, YuriiCrimson a alors décidé de « riposter » en publiant immédiatement un second exploit, encore inconnu, affectant une plage plus large de noyaux Linux, des versions 5.15 à 6.5. Cette nouvelle divulgation un peu précipitée ayant pour but de couper l’herbe sous le pied de Jmpeax et de prouver à tout le monde que c’était bien lui, le papa de la première vuln.
Ah l’égo !
Si tout cela se confirme, ça met en lumière plusieurs problématiques. Tout d’abord, racheter le travail d’un autre chercheur pour se l’attribuer c’est très moche. Et vendre son travail pour ensuite le rendre public, c’est très moche aussi.
De plus, la divulgation non coordonnée de failles 0day peut avoir des conséquences désastreuses. En rendant publics les détails d’exploitation avant que les éditeurs n’aient pu corriger les vulnérabilités, on expose les systèmes à des attaques immédiates. Une divulgation responsable, en collaboration avec les éditeurs concernés, permet donc de laisser le temps nécessaire pour développer et déployer des correctifs, protégeant ainsi les utilisateurs.
Voilà, c’était l’histoire cybersec moche du jour, dont nous sommes maintenant tous victimes, car il y a 2 jolis 0day non encore patchés qui se baladent.
La bande-annonce tant attendue de Joker : Folie à Deux vient de débarquer et elle va vous en mettre plein les mirettes !
Après le succès du premier volet en 2019, qui avait propulsé Joaquin Phoenix vers un Oscar amplement mérité, cette suite s’annonce encore plus déjantée et fascinante. Comme vous pouvez le voir dans la bande-annonce, notre cher Arthur Fleck n’a pas fini de nous en faire voir de toutes les couleurs. Toujours interné à l’asile d’Arkham, il trouve un peu de réconfort auprès d’une nouvelle venue aussi charismatique que mystérieuse : Harley Quinn.
Et attention, car cette suite ne sera pas qu’un simple film, mais bien une comédie musicale ! Eh oui, nos deux tourtereaux vont pousser la chansonnette et nous en mettre plein les oreilles. D’ailleurs, on peut les apercevoir en train de danser un slow langoureux dans ce qui ressemble à une version glauque et tordue d’un cabaret. Ça promet !
Mais ne vous y trompez pas, derrière ces airs de romance improbable, le film s’annonce tout aussi sombre et dérangeant que le premier opus. Les quelques scènes dévoilées nous montrent un Joker toujours aussi instable et imprévisible, tandis que sa nouvelle acolyte semble prête à tout pour semer le chaos avec lui.
Côté casting, on retrouve bien sûr Joaquin Phoenix qui reprend son rôle avec une intensité toujours aussi magnétique. Et que dire de Lady Gaga qui semble parfaitement à l’aise dans la peau de cette Harley Quinn à la fois séduisante et inquiétante. Un super duo bien explosif qui risque de marquer les esprits !
Réalisé par Todd Phillips, à qui l’on doit déjà le premier volet, Joker : Folie à Deux s’annonce comme l’un des événements cinématographiques les plus attendus de cette année. Entre sa dimension musicale inédite, son casting cinq étoiles et son ambiance toujours aussi singulière, le film a tous les ingrédients pour nous scotcher à notre siège.
Depuis mon dernier article sur Penpot et ses fonctionnalités de Flex Layout, l’outil n’a cessé d’évoluer pour offrir encore plus de possibilités aux designers et développeurs. Aujourd’hui, je souhaite vous présenter en détail une fonctionnalité très attendue : les CSS Grid Layout.
Pour rappel, Penpot est un outil libre et open source de conception d’interfaces pour applications web et mobiles. Intuitif et puissant, il permet de créer rapidement des prototypes et maquettes interactives, tout en générant le code CSS correspondant, prêt à être intégré dans vos projets.
Si les Flex Layout permettaient déjà de créer des designs responsives en adaptant les éléments à la taille de l’écran, les CSS Grid Layout vont encore plus loin en offrant un contrôle total sur le positionnement et le dimensionnement des composants. Concrètement, les CSS Grid Layout vous permettent de définir une grille sur laquelle placer vos éléments. Vous pouvez spécifier le nombre de lignes et de colonnes, leur taille, les gouttières entre elles. Chaque élément peut alors occuper une ou plusieurs cases de cette grille, s’étendre sur plusieurs lignes ou colonnes.
Cette approche offre une grande flexibilité pour créer des mises en page complexes et adaptatives. Vous pouvez par exemple concevoir facilement une page avec un header sur toute la largeur, une sidebar sur la gauche, un contenu principal au centre et un footer en bas, le tout en quelques clics et sans une ligne de CSS.
Autre atout des CSS Grid Layout : la possibilité de nommer chaque zone de votre grille. Fini les .col-md-4 ou .row-2 peu parlants, vous pouvez utiliser des noms comme « header », « main-content » ou « sidebar » pour structurer votre design de façon sémantique.
Pour vous aider à prendre en main cette fonctionnalité, je vous ai préparé une nouvelle vidéo tuto dédiée aux CSS Grid Layout. Je vous y montre comment créer vos premières grilles, les configurer, placer vos éléments et profiter de la puissance des CSS Grid Layout dans vos conceptions. Même si vous n’êtes pas familier avec le CSS Grid, vous verrez que Penpot rend son utilisation très intuitive.
Découvrez la vidéo ici ! Et pour vous inscrire sur Penpot, c’est par ici !
Vous êtes-vous déjà demandé ce que vos applications faisaient dans votre dos ? Quelles données elles envoyaient sur Internet à votre insu ? Je suis sûr que oui !
C’est pourquoi, si vous êtes soucieux de votre confidentialité et de la sécurité de vos informations, il est temps de faire connaissance avec OpenSnitch, le pare-feu interactif qui va vous permettre de mieux sécuriser et gérer les connexions sur votre ordinateur Linux.
Inspiré du célèbre Little Snitch sur macOS, OpenSnitch agit comme un garde-fou en vous alertant chaque fois qu’un programme tente d’établir une connexion sortante. Comme ça, plus besoin de laisser les applications communiquer sans votre consentement, vous avez le contrôle !
OpenSnitch utilise évidemment iptables couplé à NFQUEUE et ftrace présent par défaut dans le noyau pour détecter et alerter l’utilisateur d’un poste client Linux que quelque chose ne tourne pas rond. Top pour détecter les trucs louches comme l’exploitation d’une faille ou une fuite de données.
L’interface d’OpenSnitch est simple à prendre en main. Lorsqu’une application essaie d’accéder à Internet, une pop-up apparaît, vous donnant toutes les informations nécessaires pour prendre votre décision : le nom de l’application, l’adresse IP et le port de destination, et même le chemin de l’exécutable. Vous pouvez alors choisir d’autoriser ou de bloquer la connexion, de manière ponctuelle ou permanente.
OpenSnitch ne se contente pas de filtrer les connexions puisqu’il vous permet également de garder un œil sur l’activité réseau de votre système. Via son interface graphique, vous pourrez consulter l’historique des connexions, voir quelles applications communiquent le plus, et même exporter les données pour une analyse plus poussée.
OpenSnitch est disponible dans les dépôts de la plupart des distributions Linux, et son installation se fait en quelques commandes. Vous pouvez même l’essayer dans une machine virtuelle pour vous faire une idée avant de l’adopter sur votre système principal.
Envie d’un terminal nouvelle génération qui allie performance et flexibilité ? Ne cherchez plus, Alacritty est fait pour votre bonheur !
Disponible sur toutes les plateformes qui comptent (Linux, macOS, Windows, BSD ^^), ce terminal au look sobre et épuré cache sous son capot une configuration ultra complète. Pas besoin de réinventer la roue, Alacritty s’intègre avec vos applications préférées pour vous offrir une expérience sur-mesure sans compromis sur la vitesse. Bon OK, c’est encore un peu jeune, il est un peu long à configurer et il reste quelques fonctionnalités à ajouter et bugs à corriger, mais ça n’empêche pas de nombreux baroudeurs du shell de l’utiliser quotidiennement. YOLO comme on dit.
Mais Alacritty, c’est pas qu’un simple émulateur de terminal de base. Il embarque des features bien pratiques pour améliorer la vie des accros de la ligne de commande :
Vous aimez vim ? Ça tombe bien, avec le mode Vi vous pouvez retrouver vos réflexes pour vous déplacer et sélectionner du texte.
Vous avez la flemme de scroller manuellement pour retrouver une commande ou une erreur ? Utilisez la recherche intégrée pour localiser ce que vous voulez en un clin d’œil.
Vous en avez marre de jongler entre votre souris et votre clavier ? Avec les hints façon regex, plus besoin de quitter le clavier, interagissez avec n’importe quel texte à l’écran.
Votre PC rame quand vous ouvrez 10 terminaux en même temps ? Pas de problème, avec le mode multi-fenêtres , un seul process Alacritty est partagé intelligemment.
Et je vous ai parlé que de quelques fonctionnalités, y’en a bien d’autres à découvrir dans la doc.
Après la théorie, passons à la pratique. Pour l’installer, c’est ultra simple. Si vous êtes sur macOS ou Windows, direction la page des releases GitHub pour chopper le binaire. Sous Linux ou BSD, il est sûrement déjà dans le gestionnaire de paquets de votre distrib. Sinon, les instructions détaillées vous expliqueront comment compiler depuis les sources.
Une fois installé, pas besoin de vous embêter à configurer, les options par défaut sont déjà pas mal. Mais si vous voulez quand même mettre votre patte, le fichier de config en TOML se trouve, en fonction de votre OS, dans $XDG_CONFIG_HOME/alacritty, $HOME/.config/alacritty ou %APPDATA%\alacritty.
Par exemple, pour l’installer sous macOS, vous pouvez faire également :
Voici un exemple de config à mettre dedans pour obtenir un truc comme ça :
# Configuration du shell et des variables d'environnement
shell = { program = "/bin/zsh", args = ["-l"] }
[env]
TERM = "xterm-256color"
# Activation du rechargement dynamique de la configuration
#live_config_reload = true
# Configuration de la fenêtre pour un look minimaliste et semi-transparent
[window]
decorations = "buttonless"
dynamic_padding = false
opacity = 0.9
padding = { x = 25, y = 20 }
# Configuration de la police personnalisée avec styles spécifiques pour différents états du texte
[font]
size = 20.0
[font.normal]
family = "JetBrains Mono"
style = "Medium"
[font.bold]
family = "JetBrains Mono"
style = "Heavy"
[font.italic]
family = "JetBrains Mono"
style = "Medium Italic"
[font.bold_italic]
family = "JetBrains Mono"
style = "Heavy Italic"
# Configuration des couleurs
[colors]
[colors.primary]
background = '#282a36' # Arrière-plan foncé
foreground = '#f8f8f2' # Texte clair
[colors.cursor]
text = 'CellBackground'
cursor = '#ff79c6' # Couleur du curseur
[colors.selection]
text = 'CellBackground'
background = '#44475a'
# Configuration du curseur
[cursor]
style = { shape = "Block", blinking = "On" }
thickness = 0.25
# Ajout de raccourcis clavier pour améliorer l'efficacité
[keyboard]
bindings = [
{ key = 'N', mods = 'Control|Shift', action = 'CreateNewWindow' },
{ key = 'C', mods = 'Control|Shift', action = 'Copy' },
{ key = 'V', mods = 'Control|Shift', action = 'Paste' },
{ key = '+', mods = 'Control', action = 'IncreaseFontSize' },
{ key = '-', mods = 'Control', action = 'DecreaseFontSize' },
{ key = '0', mods = 'Control', action = 'ResetFontSize' }
]
Mais du coup, c’est vraiment le terminal le plus rapide ?
Difficile à dire… Mesurer les perfs d’un terminal, c’est compliqué. Sur les benchmarks, en tout cas, Alacritty s’en sort bien, surtout grâce à l’accélération GPU. Après, sur des critères plus subjectifs comme la latence ou la fluidité de l’affichage, difficile de départager les challengers. Le mieux est de l’essayer et de voir s’il convient à VOS usages.
Par contre, ne vous attendez pas à retrouver toutes les fonctionnalités de terminaux plus anciens. Pas de tabs, pas de splits, Alacritty se concentre sur son cœur de métier. Pour ces features, votre gestionnaire de fenêtres ou un multiplexeur comme tmux feront très bien l’affaire. Et si vous voulez faire un peu de customisation, il faudra vous plonger dans la doc.
Après, si jamais il vous manque un truc indispensable, le projet est ouvert aux contributions. Alacritty est d’ailleurs distribué sous licence Apache 2.0. Donc si vous vous sentez de rajouter ce p’tit truc manquant, la communauté vous accueillera à bras ouverts. Comme quoi, y’a pas que Microsoft qui sait faire dans l’open source ! mdr.
En attendant de voir vos pull requests pleuvoir sur ce projet, je ne peux que vous conseiller de tester Alacritty. Vous verrez, c’est le genre d’outil auquel on s’habitue vite et qui change la vie. Bon OK, ça reste un terminal, faut pas exagérer non plus. N’empêche que depuis que j’ai goûté à la fluidité de son rendu, j’avoue que j’aurais du mal à revenir en arrière !
Ça y est, les émulateurs de jeux rétro débarquent enfin sur l’App Store ! C’est la grande nouvelle annoncée par Apple ce vendredi. Les règles de l’App Store de la firme à la pomme s’assouplissent pour accueillir ces applications tant attendues par les fans de jeux rétro.
Jusqu’à présent, les émulateurs étaient persona non grata sur iOS, laissant les possesseurs d’iPhone dans l’obligation de passer par des solutions de contournement comme le jailbreak ou des magasins d’apps alternatifs. Mais ça, c’était avant ! Avec ce revirement, Apple ouvre grand les portes aux émulateurs déjà présents sur Android (enfin, ceux qui ont survécu aux assauts de Nintendo). Une décision qui pourrait bien couper l’herbe sous le pied des app stores tiers désormais autorisés dans l’Union Européenne.
Mais attention, pas question pour autant de faire n’importe quoi. Les jeux proposés devront respecter « toutes les lois en vigueur« , sous-entendu pas de place pour le piratage. Comme ça, les développeurs sont prévenus !
En parallèle, la firme de Cupertino a également clarifié sa position sur les « super apps » type WeChat. Mini-jeux et mini-apps devront se contenter donc se contenter d’HTML5 et n’auront pas le droit à leur app native.
Ces changements interviennent alors qu’Apple est dans le collimateur de la justice américaine. Le géant est accusé de vouloir étouffer la concurrence des apps de cloud gaming et des super apps. Une plainte qu’Apple semble avoir anticipée en autorisant récemment les services comme le Xbox Cloud Gaming ou GeForce Now.
Et ici, c’est la Commission Européenne qui met la pression. Résultat, Apple autorise désormais les apps de streaming musical à inclure des liens et des infos sur les abonnements hors App Store. Spotify peut dire merci à Bruxelles ! Mais tout n’est pas encore réglé. Malgré l’injonction de la commissaire européenne Margrethe Vestager de laisser les apps communiquer « librement » avec leurs utilisateurs, Apple compte bien continuer à prélever sa dîme sur les achats via les fameux liens. De quoi faire grincer des dents chez Spotify.
« Suivre la loi n’est pas optionnel, mais Apple continue de défier cette décision« , s’agace un porte-parole. « À partir du 6 avril, la Commission pourra lancer des procédures pour non-conformité et imposer des amendes quotidiennes. Il est temps d’agir de manière décisive pour donner une fois pour toutes un véritable choix aux consommateurs.«
Bref, vous l’aurez compris, c’est un petit pas pour les émulateurs, un grand pas pour l’ouverture de l’App Store. Mais le chemin est encore long avant d’arriver à un véritable marché ouvert et concurrentiel sur iOS. En attendant, sortez vos manettes et préparez-vous à replonger dans la nostalgie du rétrogaming directement sur votre iPhone !
Si ça vous saoule que des sites web vous trackent et récoltent des tas d’infos comme le type de navigateur et de système d’exploitation que vous utilisez, et bien j’ai ce qu’il vous faut les amis ! Il s’agit d’une petite extension Firefox bien pratique qui s’appelle « User-Agent Switcher » et qui comme son nom l’indique, va vous permettre d’embrouiller ces fouineurs en modifiant votre « user-agent » c’est-à-dire la façon dont votre navigateur s’identifie.
Avant d’aller plus loin, un petit rappel s’impose. Le « user-agent », c’est tout simplement une chaîne de caractères envoyée par le navigateur au serveur à chaque requête pour indiquer des infos comme le type et la version du navigateur, le système d’exploitation, etc. Ça ressemble à un truc du genre : Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:87.0) Gecko/20100101 Firefox/87.0
Maintenant que c’est dit, revenons à nos moutons. L’extension « User-Agent Switcher » va vous permettre de contrôler ce fameux user-agent et de le remplacer par ce que vous voulez. Comme ça, vous pourrez faire croire aux sites que vous utilisez un autre navigateur, un autre OS ou même un appareil mobile.
Alors comment ça marche ce truc ? Et bien c’est tout simple. Une fois l’extension installée depuis la page officielle, vous aurez un nouveau bouton dans votre barre d’outils Firefox. En cliquant dessus, vous pourrez choisir un user-agent prédéfini dans une liste (il y en a des tonnes !) ou entrer une chaîne personnalisée.
Et là c’est la fête du slip, l’extension va modifier le user-agent dans le navigateur mais aussi dans les entêtes des requêtes envoyées aux serveurs. Du coup, pour les sites, ça sera comme si vous utilisiez un autre navigateur ou appareil. La combine parfaite pour se faire passer pour l’ordinateur que vous n’êtes pas !
Parfois certains sites ou services surveillent le user-agent pour vous autoriser ou non à voir certains contenus comme des versions mobiles ou que sais-je. Avec cette extension, vous serez donc capable de tout voir 🙂
Mais ce n’est pas tout puisque User-Agent Switcher dispose plein d’autres options bien pensées :
Vous pouvez choisir d’appliquer le user-agent uniquement sur certains domaines, en mode liste blanche ou liste noire.
Il y a une option pour avoir un user-agent aléatoire qui change à chaque requête. Comme ça, vous brouiller encore plus les pistes !
Vous pouvez même définir un user-agent différent pour chaque fenêtre ou onglet de Firefox. Pratique pour tester le rendu d’un site sous différentes configurations.
Et si vous êtes du genre parano (ou précautionneux, c’est vous qui voyez), sachez que l’extension n’utilise aucune ressource quand elle est désactivée. De plus, elle ne modifie le user-agent que pour les requêtes HTTP, HTTPS et FTP, donc pas de souci pour vos pages locales.
Autre bon point, User-Agent Switcher est open-source et dispo sur GitHub.
Ah et j’oubliais, l’extension supporte une chiée de systèmes et navigateurs différents ! Que vous soyez sur Windows, Mac, Linux, Android ou même BeOS (si si ça existe encore), vous trouverez votre bonheur. Pareil côté navigateurs avec la totale : Chrome, Firefox, Opera, Safari et cie. Même Internet Explorer est de la partie, c’est dire !
Bref, si vous voulez reprendre un peu le contrôle sur vos infos de navigation face aux sites un peu trop curieux, User-Agent Switcher est clairement un incontournable. C’est sans danger, facile à utiliser et ça peut servir dans plein de cas, que ce soit pour raisons de sécurité, de test ou juste pour le fun.
Aïe aïe aïe, ça sent le roussi ! Une vilaine backdoor a été dénichée dans l’utilitaire xz Utils, un outil de compression présent dans un paquet de distributions Linux. Et attention, c’est du lourd : cette saloperie est capable de contourner l’authentification SSH et donc de permettre un accès non autorisé aux systèmes. Autant vous dire que c’est la panique générale !
La faille a été découverte le 29 mars 2024 par un dénommé Andres Freund, un développeur qui a flairé l’embrouille dans les versions 5.6.0 et 5.6.1 de xz Utils dont la liblzma. La backdoor se planque dans les fichiers de test bad-3-corrupt_lzma2.xz et good-large_compressed.lzma, et utilise un script appelé par build-to-host.m4 pour s’incruster dans le processus de build. Cerise sur le gâteau, elle exploite le mécanisme IFUNC de la glibc pour détourner l’authentification d’OpenSSH à l’exécution. Machiavélique !
En fait, le code malveillant ne se trouve pas directement dans le dépôt mais uniquement dans les archives de release 5.6.0 et 5.6.1. Un examen du code source ne révèle donc rien de suspect, il faut télécharger les tarballs pour chopper la version vérolée. Vicieux !
Mais le plus dingue dans l’histoire, c’est que cette backdoor a été commitée par un certain JiaT75, aka Jia Tan, l’un des deux principaux développeurs de xz Utils, qui bosse sur le projet depuis 2022 ! En fait, ce type a commencé par introduire une vulnérabilité dans libarchive en 2021 avant de s’attaquer à xz.
Quand des problèmes sont apparus avec Valgrind sur la liblzma juste après la release 5.6.0 en février, ce cher Jia Tan a suggéré qu’il s’agissait d’un bug de GCC. Il a même poussé un commit bidouillant le code pour contourner les erreurs Valgrind, en pointant vers un rapport de bug GCC n’ayant rien à voir. À ce stade, il n’y a plus de doute possible : le compte JiaT75 est contrôlé par un acteur malveillant, point barre. Reste à savoir si Jia Tan a toujours été un méchant ou si son compte a été compromis.
Depuis son entrée en scène, JiaT75 n’a pas chômé. Infrastructure de test vérolée, prise de contrôle progressive du projet, jusqu’à tenter de refiler la version backdoorée à Debian, Fedora et Ubuntu. Un certain Hans Jansen, dont le compte semble avoir été créé spécialement pour ça, a même ouvert une pull request pour intégrer le code malveillant ! Et dire que GitHub a attendu le dernier moment pour mettre le grappin sur JiaT75 et bloquer l’accès au dépôt, bien joué les gars. Ils ont même suspendu le compte de Lasse Collin, le mainteneur principal.Heureusement qu’Andres veillait au grain, sinon on n’imagine même pas le bordel.
Parce que oui, ces versions 5.6.0 et 5.6.1 ont failli se faufiler dans les releases stables des principales distribs. Par chance, elles ne se sont glissées que dans quelques bêtas, notamment Fedora 40, Fedora Rawhide et les distribs testing, unstable et experimental de Debian. Même Arch Linux y a eu droit dans une release stable. Bref, ça a failli faire très mal !
Comme le souligne Will Dormann, un analyste en sécu chez Analygence, si la backdoor n’avait pas été repérée à temps, ça aurait pu être une véritable hécatombe. Les systèmes les plus à risque sont ceux qui tournent avec glibc et xz 5.6.0 ou 5.6.1, surtout s’ils exposent un serveur SSH public. Là c’est défcon 1, faut mettre à jour TOUT DE SUITE MAINTENANT ! Pour les autres, pas de panique, mais mieux vaut jouer la prudence et updater fissa. Plus d’infos sur les systèmes touchés et comment les patcher dans cet article.
Mais qu’est-ce que SSH vient faire dans cette galère ? En fait, beaucoup de distribs Linux patchent sshd pour ajouter des fonctionnalités systemd, et libsystemd utilise la liblzma. Résultat, le code d’initialisation de liblzma est exécuté au démarrage de sshd. Et devinez quoi ? La backdoor vérifie si le programme lancé est /usr/bin/sshd et remplace des fonctions comme RSA_public_decrypt, utilisée pour valider les clés SSH. On vous laisse imaginer la suite… Une analyse complète est en cours, attendez-vous à d’autres révélations dans les prochains jours.
Depuis, c’est le branle-bas de combat. Les mainteneurs de Fedora et Debian se sont empressés de retirer les versions vérolées et de revenir à une release clean de xz Utils. Et les utilisateurs sont appelés à vérifier s’ils sont affectés en utilisant un script de détection mis à dispo par Andres himself. Mais le mal est fait et la confiance est ébranlée.
L’avenir du projet xz est incertain et il faut s’attendre à un ou plusieurs hard forks et à un gros nettoyage. Pour plus d’infos, jetez un œil aux alertes de sécurité de Redhat et Debian, ainsi qu’au thread oss-security sur le sujet.
Cet épisode rappelle cruellement qu’en matière de sécurité, la vigilance est mère de sûreté, même au sein des projets open source. Il met aussi en lumière la fragilité de notre écosystème, où des pans entiers reposent sur les épaules fatiguées de quelques mainteneurs débordés. Il est grand temps d’avoir une prise de conscience collective et de mieux soutenir ces projets critiques. Parce que mine de rien, on parle quand même des fondations qui font tourner une bonne partie d’Internet et des infrastructures critiques.
Connexion
