Il semblerait qu'il y ait une vaste campagne de clonage de dépôts sur GitHub afin d'y injecter du code malveillant destiné à transmettre l'intégralité des variables d'environnement à l'attaquant. L'occasion de rappeler de toujours vérifier ce qu'on télécharge, en particulier quand c'est destiné à être exécuté.
Une très bonne nouvelle pour la vie privée sur le Web.
Notons également l'existence de l'extension Remove FBclid and UTM, avec laquelle cette fonctionnalité semble complémentaire.
Si vous êtes développeur⋅se, que vous utilisez Docker et Docker-Compose sur vos projets et que vous utilisez GNU/Linux, vous avez très certainement déjà eu des problèmes de permission : en effet, il n'est pas rare que Docker (exécuté avec son propre utilisateur) et votre utilisateur se marche dessus, empêchant soit l'application d'écrire dans ses propres répertoires, soit vous d'éditer les fichiers sources.
On peut être tenté de changer les permissions en 0777
, mais il y a une solution plus élégante.
À part l'étape 0, la marche à suivre est à réaliser pour chaque projet.
0. Configurer votre utilisateur
Tout d'abord, vérifiez à l'aide de la commande groups
que votre utilisateur se trouve bien dans le groupe docker
. Si ce n'est pas le cas, ajoutez le :
sudo usermod -aG docker $USER
Le groupe docker
est celui auquel appartient l'utilisateur avec lequel est exécuté le démon de Docker.
Puis fermez et rouvrez votre session. Vous pouvez vérifier à nouveau que vous vous situez bien dans le groupe.
Cette étape est un one-shot, vous n'avez plus à vous préoccuper.
1. Donner votre projet au bon utilisateur et au bon groupe
Dans un terminal, positionnez-vous à la racine de votre projet, puis modifiez l'utilisateur et le groupe auquel le projet appartient, de sorte qu'il appartienne bien à votre utilisateur ainsi que le groupe docker
:
sudo chown -R $USER:docker
2. Corriger les permissions du projet
Il ne reste plus qu'à s'assurer que vous et votre groupe possède bien les mêmes permissions de lecture et d'écriture :
# D'abord pour vous :
chmod -R u+r .
chmod -R u+w .
# Et aussi pour le groupe :
chmod -R g+r .
chmod -R g+w .
Et voilà !
C’est pas trop tôt.
C’est pas comme si ça faisait plus de 20 ans que la technologie existait et avait fait ses preuves dans de nombreux pays.
La Poste a apparemment décidé de faire l'exact contraire de la bonne pratique : supprimer la fonctionnalité permettant l'authentification en deux étapes via une application OTP (comme Google Authenticator). La raison :
La fonctionnalité de double authentification par l’application mobile […] pouvait générer des blocages (notamment lors d’un changement de téléphone).
Elle recommande désormais l'utilisation de l'authentification en deux étapes par l'envoi d'un code par SMS, comme on en voit encore partout et alors même que cette fonctionnalité est moins sécurisée, puisque non chiffré (là où l'OTP avait l'avantage d'être calculé par l'application, et donc ne nécessitait aucune communication).
Bon. À la personne à La Poste qui a pondu cette décision : sachez que l'argument du changement de téléphone peut tout aussi bien s'appliquer à l'authentification par SMS, dans la mesure où (fun fact) on peut aussi changer de numéro de mobile. Si si !
Ah et autre fun fact, la problématique soulevée, en fait, elle est déjà connue, et une solution assez élégante a été proposée : générer des clés de secours à usage unique.
Bref, plutôt que de supprimer le support de fonctionnalités de sécurité qui ont fait leurs preuves (d'autant plus qu'on parle d'un coffre-fort numérique…), et si vous faisiez de la pédagogie auprès de vos utilisateurs, histoire de leur donner un peu de bonne pratique et d'hygiène numérique ?
Mise à jour 19/05/2022 : le service Digiposte a répondu (très) succinctement via Twitter qu'un nouveau dispositif d'authentification en deux étapes sera proposé, sans donner plus de détail sur sa nature et sur sa date de disponibilité. Je reste tout de même assez étonné de la manœuvre qui consiste à affaiblir la sécurité d'une application avant même de proposer une meilleure solution…
NVIDIA semble d'être ENFIN décidé à libérer le code de ses pilotes sous licence MIT !
Il reste encore pas mal de boulot (le processus a à peine commencé), mais je ne pouvais pas m'empêcher de partager cette heureuse nouvelle en partageant cette très belle issue #1
!
Cette avancée devrait permettre à l'avenir une intégration bien plus propre et, surtout, plus poussée des cartes graphiques de NVIDIA sous GNU/Linux, sujet de discorde depuis bien longtemps.
— C'est qui Deuchnord ?
— C'est moi.Un début de discussion tout à fait normal chez Les-Tilleuls.coop
Hier soir, j'indiquais brièvement et en 280 caractères que ce site avait subi une indisponibilité dans certaines situations. Pour être plus précis, cela arrivait notamment quand on tentait de venir sur tech.deuchnord.fr
avec Safari et qu'on utilisait le réseau mobile d'Orange.
Autant vous dire que quand j'ai découvert ça, je ne comprenais pas tout. C'est avec l'aide d'un collègue que j'ai fini par trouver le coupable : la configuration du serveur Nginx !
Quand on installe Nginx pour la première fois sur son serveur, il crée un fichier par défaut qui ressemble à ceci :
server {
# ...
listen 80;
# ...
}
Tel quel, on pourrait comprendre qu'une fois chargé, Nginx écoutera sur le port 80 (port standard dédié au protocole HTTP à la base du Web), et puis c'est marre. Spoiler : non, c'est pas le cas.
Ou pour être plus précis, Nginx ouvre bien le port 80 pour écouter ce qu'il se passe dessus, mais il le fait sur l'adresse IPv4 uniquement.
Si votre serveur possède aussi une adresse IPv6, vous devrez aussi indiquer à Nginx d'ouvrir le port sur ce protocole, autrement, il n'écoutera pas dessus !
Pour faire cela, rien de plus simple, il suffit d'éditer votre fichier et d'ajouter la directive suivante dans la section server
:
listen [::]:80;
Notez bien les deux signes :
entre crochets, suivis d'un nouveau signe :
.
Une fois cette modification faite, rechargez la configuration (service nginx reload
sous Debian), et votre site sera désormais bien disponible sur les adresses IPv6 !
[Les trois géants de la tech] vont faire en sorte que leurs produits prennent en charge la norme de connexion sans mot de passe de la Fido Alliance (Fast IDentity Online) et du World Wide Web Consortium. Empreinte digitale, scan du visage, ou code PIN seront les nouveaux sésames universels pour déverrouiller votre appareil et retrouver vos données.
Je trouve cette nouvelle très inquiétante. N'ayant jamais fait confiance à la biométrie pour l'authentification (trop intrusif et moins sûr), j'espérais ne jamais voir les mots de passe disparaître pour de bon.
Sans compter que ça va laisser sur le carreau de nombreux utilisateurs qui ne possèdent pas l'équipement pour cela, et vont donc devoir se rabattre sur le code PIN (bien moins sécurisé qu'un mot de passe).
Où l'on apprend soudain que l'on ne peut pas compiler un programme écrit dans un langage A avec un compilateur conçu pour un langage B. 🤪
Le dépôt GitHub du projet httpie, un des projets les plus suivis de la plateforme GitHub, a récemment été passé en privé par son mainteneur à la suite d'une série d'erreurs de manipulation, ce qui a provoqué la perte de la totalité de ses 54 000 étoiles et de ses plus de mille suivis.
Le cas de ce projet est assez intéressant : il met en évidence un certain nombre d'incohérences sur la plateforme et de messages d'alerte peu clairs, qui mis bout à bout dégradent l'expérience utilisateur, et qui finissent par amener à de mauvaises manipulation.
Mais ce qui m'interpelle surtout, c'est le refus de GitHub de restaurer les étoiles et les suivis du dépôt, dont ils possèdent pourtant une sauvegarde qu'ils ont déjà utilisée par le passé pour un de leurs propres projets qui avait subi exactement le même sort. Je peux comprendre qu'ils refusent ce genre de chose sur des projets ayant peu d'étoiles, mais ce n'est pas vraiment le cas ici…
Il est très facile de créer de jolies failles de sécurité, et c'est souvent le résultat d'un oubli ou d'une paresse.
Ici un cas pratique avec la Caisse d'Épargne qui avait oublié de supprimer un sous-domaine qui pointait à une époque vers un serveur légitime, depuis supprimé et dont l'adresse IP a été récupéré par un particulier… qui aurait pu effectuer des attaques assez violentes auprès des clients de la banque (s'il en avait eu conscience et l'avait voulu).
Un très bel article sur le blog technique de Netflix sur leur méthode pour s'assurer que la localisation ne cassent pas l'interface de leur application.
Ce blog est d'ailleurs une mine d'or pour la veille technique, dans la mesure où ils y partagent pas mal de leurs pratiques. Très intéressant, surtout au regard de la complexité technique d'une plateforme VOD.
Je passe exceptionnellement par Archive.org pour partager ceci, étant donné que le ticket a été fortement altéré par le mainteneur de la librairie.
Apparemment, la librairie JavaScript node-ipc
(utilisée par plus de 300 paquets, elles-même certainement en dépendance de beaucoup d'autres, vu que la plupart sont des librairies) a ajouté récemment un morceau de code offusqué qui s'active dans le cas où il est exécuté depuis une adresse IP russe ou biélorusse, et écrase tous les fichiers (au moins de l'application, peut-être du système entier) avec un message de protestation contre la guerre en Ukraine.
Faites donc très attention si cette librairie se trouve dans vos dépendances (directes ou non), car elle pourrait provoquer des dommages irréversibles pour vos utilisateurs.
Édit : un article ici qui explique la situation de façon un peu plus claire.
Microsoft continue de pourrir son OS avec des publicités affichées directement dans son interface. Après les notifications invitant à utiliser Edge dès qu'on ouvre Firefox ou Chrome et le message gigantesque appelant à sauvegarder dans OneDrive quand on ouvre son dossier personnel, voici donc la petite barre dans le gestionnaire de fichiers invitant à utiliser divers logiciels de Microsoft. L'histoire ne nous dit pas si le message publicitaire s'affichera en fonction des types de fichiers rencontrés pendant la navigation. :)))))
Vous vous souvenez de l'époque où Windows était un système d'exploitation et non un panneau publicitaire à 150€ (pour l'édition Famille) ?
Je découvre cette petite anecdote sympathique sur une voiture qui refusait de démarrer lorsque vous achetiez de la glace à la vanille.
Je l'aime beaucoup, car elle rappelle l'importance de prendre un peu de distance face à une situation sans aucune logique au premier abord.
Merci à Sébastien Sauvage pour la découverte !
Edit : je n'avais pas fait attention au lien vers l'article de Snopes en bas de la page, qui indique que cette anecdote est une légende urbaine et n'a donc jamais eu lieu.
Bien que fausse, je l'aime bien quand même pour le fond :)
Vous vous souvenez quand Microsoft a sauté Windows 9 en disant que Windows 10 était « le renouveau du système d'exploitation », et que quelques mois plus tard on s'est rendus compte que la vraie raison était que ça aurait cassé plein d'applis qui recherchaient la chaîne Windows 9
dans le nom de l'OS pour détecter Windows 95 et 98 ?
Eh bah surprise (non) : Firefox et Chrome vont bientôt arriver à la version 100.0… et ça va casser des sites qui vont se croire sur Firefox/Chrome 10.0 ! 🙃
L'authentification en deux étapes est devenue un incontournable aujourd'hui, et c'est tant mieux. Mais cela crée de nouvelles problématiques en terme d'UX, qu'il est bon de garder en tête.
Il se trouve qu'à l'aide d'une simple balise HTML <input />
, sans la moindre ligne de JavaScript, il est possible de rendre cette étape (pas forcément plaisante pour l'utilisateur, bien que nécessaire) un peu moins désagréable, en particulier sur les appareils mobiles.
Je découvre ce site de la Fondation Mozilla, une sorte de catalogue de la confidentialité des objets connectés. Clairement un indispensable pour bien choisir un produit sans sacrifier sa vie privée !
Et ce genre de dark pattern sur le consentement du profilage continuera de pulluler tant que rien ne sera fait par la CNIL pour les sanctionner.
Les noms de domaine en .xyz
, popularisés par Google lors de la création de leur holding Alphabet en 2015, semblent avoir acquis une réputation suffisamment mauvaise pour que le simple fait d'envoyer un e-mail à partir d'un tel nom de domaine suffit à le voir partir immédiatement en spam. Pire, il semblerait que le fait d'envoyer un lien avec un nom de domaine en .xyz
par SMS provoque un échec d'envoi sans notification de l'émetteur. Dit autrement, le destinataire de votre SMS a de bonnes chances de ne jamais le recevoir.
Cette situation me fait beaucoup penser aux domaines gratuits en .tk
qui ont reçu une mauvaise réputation après avoir été massivement utilisés pour réaliser des campagnes de phishing…