Dans le cadre de mon taf, je fais un peu de veille sur le monde de l'informatique, donc je me dis que je peux aussi en parler ici.

Et on commence par un bug, trouvé il y a quelques heures, qui affecte Firefox, et plus particulièrement le protocole HTTP/3. Si votre navigateur est configuré pour utiliser automatiquement des services en HTTP/3, le bug sera déclenché plus rapidement (par exemple DoH ou la télémétrie). Ce bug fait tourner Firefox en boucle et le rend inutilisable, y compris la partie qui s'occupe d'en faire les mises à jour automatique.

Si vous êtes affecté.e.s, le plus simple est de désactiver HTTP/3 : aller dans about:config, chercher la clé 'network.http.http3.enabled', et la mettre à False.

Bien entendu, les conséquences pour le navigateur risquent d'être gigantesques, sachant qu'il est déjà en perte de vitesse.

Source

Uncurieux a écrit :

Un bug dans l'application Elize : Source

Outre que l'appli est codée avec les pieds par des non-spécialistes, cela pose un certain nombre de questions, comme :
- est-ce une si bonne chose de permettre aussi vite à des gens incompétents de créer et diffuser une appli ? J'avoue avoir des idées très mitigées sur la question, au vu des problèmes causés par ce genre de trous de sécurité (vs liberté d'expression, en gros).
- pourquoi est-ce que les gens sont si impatients d'aller filer leurs intentions de vote à une application pour laquelle on a zéro contrôle des données ?

Edit : L'auteur annonce qu'il va essayer de faire gaffe un peu

Une attaque DDoS (Déni de Service Distribué) a eu lieu contre le système autonome de l'opérateur Andorre télécom hier soir.

Il semble que ça ait eu pour but (et effet) principal d'éliminer l'équipe d'Andorre de la compétition Minecraft "SquidCraftGames" qui a lieu en ce moment.


Source - Source 2

Faille trouvée dans l'implémentation de polkit. La faille est importante parce qu'elle permet à n'importe quel.le utilisateur/trice de devenir root sur une machine, elle affecte quasi tous les systèmes linux depuis 12 ans (la faille était présente dès la publication de l'outil).

Le problème venait d'une mauvaise gestion des arguments de la fonction qui permettent de réintroduire des variables d'environnement non contrôlées.

Une source, et quelques détails techniques

Bon, ça fait un moment que j'en parle, alors discutons cryptomonnaies, blockchain et NFT. Si vous avez entendu ces mots passer et que vous voulez savoir de quoi il s'agit de manière absolument pas objective, vous êtes au bon endroit.

A. Les banques

Une banque, c'est un endroit à qui tu files du pognon. Ils en font des saloperies genre financer des gros industriels qui vont détruire la planète, mais on espère quand même qu'ils retiennent qui possède combien. Pour ça deux possibilités : soit on met l'argent de chaque client dans un coffre au nom de ce client (avantage : pas de méprise, inconvénient : on peut pas utiliser le contenu du coffre), soit, ce qu'on fait plus souvent : on utilise un registre, c'est-à-dire une grande feuille de papier sur laquelle on écrit que Bidule possède 42€. Avec le temps les registres sont devenus informatisés, mais ça change pas grand chose pour nous.

Le principe d'une blockchain, c'est simplement d'être un registre décentralisé : il y a une part de cryptographie qui assure un consensus (on peut prouver aux autres utilisateurs que la version qu'on possède est la bonne), et sauf si vraiment beaucoup de personnes sont d'accord pour tricher dans le même sens, alors tout le monde aura le même registre.

Avantage : plus besoin de faire confiance à quelqu'un, les gens ne peuvent pas tricher par construction (je reviens là-dessus plus tard)
Inconvénient : ce registre nécessite des opérations de calcul compliquées (liées à la part cryptographique) pour fonctionner. Se pose alors la question de comment rémunérer les gens font ces opérations ?

B. Les cryptomonnaies

L'idée de la cryptomonnaie, c'est d'avoir un registre-blockchain qui retient combien chaque utilisateur possède de brouzoufs (ou toute autre unité d'argent que tu veux inventer), et de rémunérer en brouzoufs les gens qui font les opérations de fonctionnement de la blockchain. En gros il y a deux sortes d'utilisateurs/trices : les gens qui vont juste utiliser les brouzoufs comme moyen de paiement (inscrivant des transactions, achetant et dépensant leurs brouzoufs en les filant à d'autres personnes), et les gens qui vont faire les opérations de maintien des registres, et vont gagner des brouzoufs (et donc iront les dépenser au bout d'un moment).

Bon, on arrive au défaut assez inratable : l'écologie. Le maintien d'un tel registre demande énormément d'opérations, en fait. Ce sont des opérations complètement inutiles par ailleurs (il s'agit en gros de tirer assez de fois aux dés pour obtenir des valeurs bien particulières, tout en pouvant redonner la recette pour refaire le même lancer de dé). Et faire ces opérations peut s'avérer rentable : même si l'entretien du registre, par défaut, rapporte de moins en moins de brouzoufs, si la valeur du brouzoufs en $ augmente, alors il devient intéressant de travailler au registre avec son ordi. Voire d'acheter un ordi pour travailler davantage. Et si un ordi supplémentaire vous fait gagner plus, alors il n'y a pas vraiment de limite au pognon que vous allez gagner si vous mettez plus d'ordis sur le coup (au contraire, vous gagnez des facteurs d'échelle). Donc vous installer des fermes de minage, vous achetez des tas d'ordis avec un sacré paquet de cartes graphiques (les cartes graphiques peuvent effectuer plein de lancers de dés en parallèle), voire vous remettez en production des centrales électriques. Au final, quand tout est stabilisé, vous vous rendez compte que juste l'activité de minage et refroidissement des serveurs consomme autant d'électricité que la Finlande. Parfois, le plus rentable est de s'installer dans des pays froids (Islande, Canada) pour gagner sur la climatisation, parfois on se met juste dans un pays où l'électricité est moins chère, et tant pis si elle est produite en cramant du charbon (par exemple au Kazakhstan : 18% du minage mondial, l'électricité y est 70% charbon, 20% gaz naturel, 10% hydro).

En dehors de l'électricité, le matériel utilisé est en général du matériel grand public, typiquement des cartes graphiques pour gamers. Leur récupération par les fermes à cryptomonnaies a créé une pénurie (agravée par d'autres facteurs dont la pandémie, mais tout de même). À la limite, on peut dire qu'on s'en fout des pauvres gamers qui peuvent pas toucher leur carte nvidia 3080 assez vite, par contre la fabrication de tout ce matériel a également un coût écologique (en carbone émis, en terres rares, en eau, etc.).

(pour être tout à fait complet, les cryptomonnaies sont en train de changer de modèle de preuve de fonctionnement vers un système moins consommateur en énergie. Comme je l'expliquerai la prochaine fois, c'est de toute façon toujours trop).

Dans le prochain épisode : NFT, libertariens et autres stupidités.

Surcouf le Balafré a écrit :

> pour l'histoire du mdp root linux : on parle de ça https://opensource.com/article/18/4/reset-lost-root-password ?

Non, pas du tout, ça c'est un guide un peu vieux qui parle d'une technique encore plus vieille : on peut utiliser ça ou une variante depuis bien longtemps, et il y a des techniques plus sophistiquées si celle-ci ne marche pas, mais bon en général quand on a accès physique à la machine on peut bien faire ce qu'on veut (y compris extraire le disque dur et en copier le contenu ailleurs).

L'histoire dont je parlais, c'est une escalade de privilège, c'est à dire qu'une personne connectée sur une machine (par exemple à distance) peut exécuter du code comme s'il était administrateur sur la machine. Ça ne pose de problème que sur des machines partagées bien sûr : sur un ordinateur personnel, les conséquences seront minimes ou nulles a priori.

Suite du post précédent

C. Les NFT

Une fois qu'on a l'idée de faire un registre partagé et d'inscrire ce que chacun possède dessus, on peut se dire que le registre peut noter plusieurs valeurs différentes. Par exemple au lieu de juste posséder des bitcoins, on pourrait avoir à la fois des bitcoins rouges et des bitcoins bleus, mais ça serait assez peu utile.

Un truc plus utile, c'est de mettre des valeurs non fongibles dans le registre. Les valeurs fongibles, c'est celles qui peuvent se remplacer facilement (un euro est fongible : si tu perds ton euro, tu peux en récupérer un autre et ta possession sera indiscernable de celle d'avant, idem avec des matières premières. Une œuvre d'art, par contre, c'est non fongible : si tu perds ton œuvre, rien ne t'assure de pouvoir la remplacer, elle est unique. Et donc on arrive aux NFT : on peut indiquer sur le registre que quelqu'un possède un truc non fongible, qui est de fait une valeur informatique.

Les œuvres d'art numériques se prêtent particulièrement bien à ce petit jeu, donc on a vu fleurir des NFT de dessins plus ou moins idiots.

Sauf que en fait c'est complètement crétin comme principe :
L'acte de propriété dans un registre qui n'a pas de valeur légale ne donne pas particulièrement de droits dessus. Pas de droit d'exploitation ou de diffusion en tout cas.
Certifier une œuvre complètement couterait cher, donc en pratique on met une copie de l'œuvre sur un site, et on certifie que quelqu'un possède l'URL qui pointe dessus. Si j'ai une œuvre d'art et que je décide de la dupliquer 200 fois pour la vendre 200 fois, non seulement je peux, mais personne ne pourra s'en rendre facilement compte.
Rien n'interdit à n'importe quel quidam de mettre en vente des œuvres qu'il n'a pas créées. Il y a aujourd'hui des gens qui créent des NFT avec des œuvres d'artistes connus (et parfois ouvertement contre ces merdes) et gagnent le pognon sur leur dos.
Si l'image au bout de l'URL change, le NFT n'a plus aucune valeur. Bien sûr on pourrait certifier l'œuvre plutôt que son URL, mais les gens qui font des NFT en fait ne comprennent pas grand chose à la cryptographie sous-jacente.
Par contre, comme avec beaucoup de marchés spéculatifs non régulés, les NFT sont attractifs pour des schémas pyramidaux ("venez gagner du pognon avec les NFT, mais les derniers arrivés ne gagneront rien") et du blanchiement d'argent (mon compte 1 a mis en vente une image à 2 millions de $, mon compte 2 l'a achetée en utilisant de l'argent sale converti en bitcoins, mon compte 1 a une couverture légale pour posséder cet argent. Accessoirement, le compte 2 possède désormais une image qui vaut 2 millions de $ selon la dernière cotation, il peut essayer de la revendre pour une fraction importante du prix).

Je vous renvoie sur le bloc du chercheur Pablo Rauzi si vous voulez savoir pourquoi c'est encore plus stupide que ça.

Petite pause sur les crypto-trucs :

L'application Telegram a une fonctionnalité qui permet de trouver des personnes "proches de soi". En modifiant virtuellement sa position, cela permet d'obtenir leurs coordonnées et de les suivre avec une précision de l'ordre du mètre, sans bouger de chez soi.

Petit rappel, donc, que si vous avez besoin de confidentialité, l'appli qu'il faut utiliser est plutôt Signal

Décision de la CNIL concernant l'utilisation de Google analytics sur des sites français : c'est illégal.

C'est une excellente nouvelle !

Retour sur les crypto.

Une super keynote d'une conférence sur les cryptos, par David Rosenthal. La conclusion est sans appel