Sur le blog d’Ubuntu, Canonical évoque la multiplication des violations de données et la menace des ransomwares pour évoquer une question : l’open source est-il plus sûr que le logiciel propriétaire en matière de sécurité. Voici ce qu’il faut en retenir.

Le blog démarre sur un constat. Nous sommes harcelés par un nombre toujours croissant de mises à jour logicielles. La plupart de nos appareils utilisent des composants open source : en 2022, Synopsys a constaté que sur 17 secteurs verticaux, 93 % des bases de code comprenaient des logiciels open source.

Les problèmes de sécurité que nous observons sont-ils donc liés à l’utilisation de logiciels libres ? Les logiciels propriétaires présentent-ils plus d’avantages inhérents en matière de sûreté ou de sécurité ? Pour Henry Coggill, la réponse courte est non. De plus en plus de failles de sécurité sont découvertes simplement parce qu’il y a plus de logiciels produits dans le monde que jamais auparavant.

Les logiciels libres présentent des vulnérabilités, tout comme les logiciels propriétaires ou à code source fermé, avec la même obligation de se tenir au courant des rapports de vulnérabilité, d’émettre des correctifs et de garantir la sécurité des utilisateurs. Coggill rappelle qu’il existe certaines bonnes pratiques à appliquer pour atténuer les risques.

Il évoque de nouveau le rapport Synopsys de 2022, qui montre que 85 % des bases de code contenaient des sources ouvertes dépassées de plus de quatre ans. Que faire ? Qu’il s’agisse d’un code ouvert ou propriétaire, la mesure de sécurité la plus cruciale est l’application de correctifs et la mise à jour de ce logiciel.

– Conseil : consommer le logiciel d’une source de confiance qui fournit de solides engagements de maintenance de la sécurité.

« Cela vous permet, à vous et à vos clients, de rester à l’abri des menaces nouvellement découvertes. Si et quand des vulnérabilités sont découvertes, vous pouvez compter sur les experts pour les corriger avant que les attaquants ne puissent les exploiter. »

– Conclusion : pour assurer la sécurité des systèmes, mieux vaut utiliser des logiciels qui sont activement maintenus et mis à jour, tout en « renforçant vos systèmes et en évitant qu’une petite faiblesse ne se transforme en un véritable cauchemar ».

Vous pouvez lire l’article de blog “Is open-source as secure as proprietary software ?” signé Henry Coggill dans son intégralité en anglais à cette adresse.

– Source

@GALLAK Intéressante comparaison, Toyota est moins pénible, mais quasiment inutilisable aussi, car les villes ne sont plus que des chantiers ou le manque de crédit rend les lignes invisibles (sauf pour le parking à péage), quant aux itinéraires “écologiques” (détours et 30km/h), c’est la spirale infernale au lieu de la ligne droite à tous les niveaux…

Il vaut mieux aussi ne pas parler de la devise, “Grâce aux génies, je pollue plus longtemps pour me déplacer”.

il y a un petit personnage kinder à l’intérieur !

t’imagine il font la même pour ygg :affole:

Je suis en admiration derrière ceux qui font ça (je parle de ceux qui font les outils, pas de ceux qui paient pour les utiliser). En revanche je me demande ce que ça cache, je suppose que la plupart des ces DDoS ont pour but de maximiser les ressources et regards vers eux afin d’en avoir moins sur autre chose.

@michmich Pas aussi facilement que de brancher un câble, mais il semble que ça ne décourage pas forcément les voleurs de perdre un peu plus de temps…

La prius n’a pas de clef et elle est au top des vols en France:

d3f5be98-d9dc-4fc4-89a3-ccb9352b5536-image.png

C’est un peu vieux, mais probablement toujours d’actualité:

https://www.capital.fr/auto/lincroyable-technique-de-ces-voleurs-parvenant-a-repartir-avec-des-voitures-sans-effraction-1449135

L’équipe avait mis à disposition auprès de “plus de 200” voleurs de véhicules “une solution numérique permettant de les dérober sans effraction”, a relaté vendredi la gendarmerie dans un communiqué. Le réseau, qui comptait dans ses rangs un Espagnol et un Letton, agissait à l’échelle européenne et s’appuyait sur une dizaine de revendeurs.

Les voleurs, experts en piratage informatique des voitures, achetaient à l’organisation des tablettes, des logiciels et des connectiques leur permettant de “dupliquer des clés de véhicules mais également de programmer des clés vierges sans avoir l’original” et de “modifier les systèmes embarqués équipant de nombreux véhicules”, selon la gendarmerie. Ces kits numériques étaient vendus sur un site internet, hébergé au sein de plusieurs sociétés basées en France, qui a enregistré plus de 53.000 connexions “pouvant correspondre à autant de vols ou tentatives de reprogrammation de clés”.

@Ashura qui veut une bonne soupe d’ondes ? Après les ondes 2G, 3G et 4G, les ondes déchets type Wi-Fi et Bluetooth, les ondes 5G de proximité dégueulasses, on en rajoute une couche avec la Wi-R adioactives (oui oui les ondes se cumulent, les antennes 2G existent encore ^^).
Bientôt une nouvelle race va voir le jour : des êtres phosphorescents ! ! ! :roto_ri:

Affirmations dérangeantes, réponses émotionnelles, mensonges, déclarations d’amour… Le nouveau Bing, développé par Microsoft et les créateurs de ChatGPT, connaît des débuts pour le moins déroutants

Source (article pour abonné): https://www.letemps.ch/economie/cyber/suis-sydney-suis-amoureux-toi-linquietante-etrangete-chatbot-microsoft

Le Gouvernement australien a décidé de retirer 913 caméras chinoises qui ont été placées dans plus de 250 bâtiments. La Défense craint que des données sensibles soient transmises à Pékin

Des responsables du ministère des Finances ont par ailleurs confirmé que 65 caméras de surveillance de ce type avaient été installées dans des bureaux utilisés par des responsables politiques. Le ministère les a progressivement remplacées mais 40 doivent encore être enlevées, a-t-il précisé, soulignant qu’elles seraient remplacées d’ici avril.

Des initiatives similaires ont été engagées aux Etats-Unis et au Royaume-Uni, qui ont pris des mesures pour empêcher les établissements gouvernementaux d’installer des caméras de fabrication chinoise sur des sites sensibles. Les deux pays ont exprimé leurs craintes de voir des informations sensibles fuiter si les entreprises chinoises à l’origine de ces appareils se retrouvaient forcées de partager leurs données avec les services de renseignements de Pékin.

En novembre 2022, Washington a interdit l’importation d’équipements de Hikvision et Dahua, invoquant «un risque inacceptable pour la sécurité nationale». Hikvision a de son côté rejeté les accusations et affirmé à l’AFP que ses produits étaient «conformes à toutes les lois et régulations australiennes applicables et font l’objet de strictes obligations en matière de sécurité».

La décision de la Défense australienne d’enlever ces caméras des locaux du ministère avait fait réagir Pékin, qui a accusé Canberra de «faire un mauvais usage de sa puissance nationale pour discriminer et réprimer les entreprises chinoises».

Source: https://www.letemps.ch/monde/australie-cameras-surveillance-chinoises-retirees-bureaux-ladministration

Bloquer le trafic sortant avec un pare-feu aurait peut-être été plus simple et moins couteux, à moins qu’elles ne soient wifi, à ce moment là, on peut envoyer un ballon pour espionner :lol:

Quand on sait que Google finance une bonne partie du Fact-checking, la boucle est bouclée.

La vérité selon Google.

Le 25 janvier, le groupe de recherche ESET a découvert une nouvelle cyberattaque en Ukraine. Les attaquants du groupe Sandworm ont déployé un nouveau malware nommé SwiftSlicer, qui vise à détruire l’Active Directory.

Tribune – Dans ce contexte, voici le commentaire de Regis Alix, Senior Principal Solutions Architect de Quest Software – fournisseur mondial de logiciels de gestion des systèmes et de sécurité :

« Ce n’est pas le premier malware de type « wiper » (dont l’objectif principal est de détruire des données ou des systèmes) déployé par le groupe Sandworm. Pourtant, SwiftSlicer est le premier qui vise directement l’Active Directory en détruisant sa base de données via une attaque directe du fichier NTDS.DIT sur les contrôleurs de domaines.

SwiftSlicer a été détecté dans le cadre d’une cyberattaque que l’on pourrait qualifier de « géopolitique » dont le but est, évidemment, de perturber des organisations et pas de générer un revenu financier. Cependant, de nombreuses études récentes montrent que les attaques de type ransomware réussies sont de moins en moins nombreuses. Il est donc fort probable que les groupes cyber malveillants cherchent à diversifier leurs sources de revenu en se dirigeant vers la spéculation financière, en cherchant à détruire les systèmes principaux d’organisations influentes sur les marchés afin de les déstabiliser. Les ‘wipers’ pourraient donc progressivement remplacer, au moins en partie, les ransomwares.

La première leçon importante à tirer de l’attaque SwiftSlicer est le déploiement de la charge virale par les GPO de l’Active Directory. Le malware utilise ce processus de déploiement de configurations et d’applications natif de l’Active Directory pour le détruire. Malheureusement, de nombreuses organisations ne considèrent pas encore les GPO comme une part critique de la sécurisation de leurs environnements. La compromission d’une GPO permet à un attaquant de réduire drastiquement le niveau de sécurité de l’ensemble des systèmes attachés à l’AD ainsi que de l’AD lui-même ou encore, comme c’est le cas de SwiftSlicer, de déployer sa charge virale active sur les machines cibles par ce processus intégré à l’AD et donc peu ou pas surveillé par les différents systèmes de protection tels que les EDR, XDR etc.

Il est donc évident que la surveillance ainsi que la sécurisation de l’administration des GPO est critique pour la sécurité des environnements Microsoft.

Le second point mis en évidence par cette nouvelle attaque est que l’Active Directory est plus que jamais une cible et qu’en plus de sa compromission, c’est sa destruction pure et simple qui est recherchée. La mise en place d’un plan de reprise d’activité (PRA) spécifique à l’AD incluant des sauvegardes multiples et protégées, ainsi qu’une procédure de restauration la plus automatisée possible de l’AD, est indispensable pour préparer une éventuelle crise dont la probabilité ne cesse d’augmenter. »

– Source

Annonce Zuckerberg ou comment plomber la vente du Quest pro au profit d’un hypothétique Quest 3. Perso, j’ai un Quest 2 et le problème principal n’est pas de technologie visuel, c’est l’autonomie. Le Quest 2 en a une de 2h environ, le Quest pro dans les 1h40 sans casser des briques en fait, de plus il est bien plus lourd et, à part quelques options sans intérêt comme la vision mixte couleur pour laquelle rien est prêt même sur la plateforme meta, il n’y a pas d’intérêt à dépenser 1800€. Pour moi, le plus réside dans les détails. Par exemple, si le Quest 3 n’intègre pas 2 prises USB-C (1 pour le flux et 1 pour la charge) ce sera déjà un gros point noir. Il pourrait y avoir un correcteur optique pour ceux, comme moi, qui portent des lunettes. Bref, l’annonce n’est pas dans le concret et sans réel intérêt à mon avis.

Le chatbot fait aussi des erreurs qui le trahissent. Bien qu’il puisse produire des textes qui donnent la sensation d’avoir été écrits par un humain, il ne s’agit en fait que d’un outil de prédiction de texte très puissant, a souligné M. Vanoncini. «Il n’est pas créé pour affirmer ce qui est vrai… mais pour générer ce qui est probable.» Par conséquent, on peut poser à ChatGPT une question basée sur une hypothèse erronée et recevoir une réponse apparemment logique, mais profondément erronée.

«J’ai demandé: comment doit-on ramasser les œufs de vache?» raconte le professeur, faisant éclater de rire l’audience. ChatGPT conseille d’abord de mettre des gants pour éviter d’avoir des bactéries sur ses mains, puis donne des conseils pour trouver un nid de vache, «généralement fait de foin ou de paille».

Source et plus: https://www.lematin.ch/story/a-geneve-chatgpt-se-trahit-avec-des-ufs-de-vaches-860304181436

Ça, ça me parle! Je fais parti d’un collectif comme décrit. On répare tout ou on fabrique à moindre coup. C’est un collectif formé de cellules qui ne travaillent qu’en local, mais qui mettent sur le commun les trouvailles et améliorations. Certains des plus gros partages viennent directement du MIT et certains groupes “travaillent” en collaboration avec la NASA dans l’esprit du “donnant-donnant”. C’est bien plus étendu que ce que l’article entend. On peut, sans doute, inscrire Linux dans cet esprit là. En fait, tout partage, entre-aide ou coopération non financière est dans cet esprit là.

Franchement @Siegfried, à part un petit “plop” dans la cour d’honneur, il n’y a pas vraiment d’intérêt. Il n’y a rien d’assez remarquable dans ces choses là pour déplacer ne serait ce qu’un pavé!

On est d’accord, parler de robot est un abus de langage, puisque le truc en question ne fait que quelques millimètres.
Après, on peut se poser la question de savoir à partir de quelle taille on peut parler de robot.

Pour le reste je partage également, on sait que les scientifiques ont besoin de faire mousser leurs découvertes pour obtenir du financement et que la rigueur journalistique fait souvent défaut.

@duJambon tout ça pour une bouchée de pain j’imagine … déjà les recharge d’encre on se déplace …

@duJambon a dit dans Reconnaissance faciale appliquée pour expulser les avocats des lieux de spectacle :

si le gouvernement nous voulait du bien, ça se saurait.

C’est bien là que se situe le problème.

@duJambon Vu la quantité de noms de domaine que Sci-Hub doit avoir, c’est pas ça qui va les arrêter, et heureusement !

@tudikoi si sans doute mais le GPS reste limité par les composants et la technologie employés alors.