Ceinture jaune, mais j’ai pas de téléphone portable, ne travail plus et me promène pas avec un pc. Qui plus est les JO… suis trop bien dans ma campagne sans aller chercher des hackers parisiens ou pas. Aussi, mériterais-je la ceinture noire

Jeudi, des chercheurs de la société de sécurité Binarly ont révélé que Secure Boot était complètement compromis sur plus de 200 modèles d’appareils vendus par Acer, Dell, Gigabyte, Intel et Supermicro. La cause : une clé cryptographique à la base du démarrage sécurisé sur ces modèles qui a été compromise en 2022. Dans un référentiel GitHub public validé en décembre de la même année, une personne travaillant pour plusieurs fabricants d’appareils basés aux États-Unis a publié ce que l’on appelle une clé de plate-forme, la clé cryptographique. qui constitue l’ancre racine de confiance entre le périphérique matériel et le micrologiciel qui s’y exécute. Le référentiel se trouvait sur https://github.com/raywu-aaeon/Ryzen2000_4000.git, et on ne sait pas quand il a été supprimé.

Le référentiel comprenait la partie privée de la clé de la plateforme sous forme cryptée. Le fichier crypté, cependant, était protégé par un mot de passe à quatre caractères, une décision qui rendait trivial pour Binarly, et pour toute autre personne même un peu curieuse, de déchiffrer le mot de passe et de récupérer le texte brut correspondant. La divulgation de la clé est passée largement inaperçue jusqu’en janvier 2023, lorsque les chercheurs de Binarly l’ont trouvée alors qu’ils enquêtaient sur un incident dans la chaîne d’approvisionnement. Maintenant que la fuite a été révélée, les experts en sécurité affirment qu’elle torpille effectivement les garanties de sécurité offertes par Secure Boot.

“C’est un gros problème”, a déclaré Martin Smolár, un analyste de logiciels malveillants spécialisé dans les rootkits, qui a examiné l’étude Binarly et m’en a parlé. « Il s’agit essentiellement d’un contournement sécurisé du démarrage illimité pour les appareils qui utilisent cette clé de plate-forme. Ainsi, jusqu’à ce que les fabricants d’appareils ou les OEM fournissent des mises à jour du micrologiciel, n’importe qui peut essentiellement… exécuter n’importe quel logiciel malveillant ou code non fiable lors du démarrage du système. Bien sûr, un accès privilégié est requis, mais dans de nombreux cas, ce n’est pas un problème.

Les chercheurs de Binarly ont déclaré que leurs analyses des images du micrologiciel ont découvert 215 appareils utilisant la clé compromise, qui peuvent être identifiés par le numéro de série du certificat 55:fb:ef:87:81:23:00:84:47:17:0b:b3 : cd:87:3a:f4. Un tableau apparaissant à la fin de cet article répertorie chacun d’entre eux.

Les chercheurs ont rapidement découvert que la compromission de la clé n’était que le début d’une rupture beaucoup plus importante de la chaîne d’approvisionnement qui soulève de sérieux doutes sur l’intégrité du démarrage sécurisé sur plus de 300 modèles d’appareils supplémentaires provenant de pratiquement tous les principaux fabricants d’appareils. Comme c’est le cas avec la clé de plate-forme compromise dans la fuite GitHub de 2022, 21 clés de plate-forme supplémentaires contiennent les chaînes « NE PAS EXPÉDIER » ou « NE PAS FAIRE CONFIANCE ».

[image: 463d1356-2418-4a3d-8389-252583235ef8.png]
Certificat de test fourni par AMI.

Ces clés ont été créées par AMI, l’un des trois principaux fournisseurs de kits de développement de logiciels que les fabricants d’appareils utilisent pour personnaliser leur micrologiciel UEFI afin qu’il fonctionne sur leurs configurations matérielles spécifiques. Comme le suggèrent les chaînes, les clés n’ont jamais été destinées à être utilisées dans des systèmes de production. Au lieu de cela, AMI les a fournis à des clients ou des clients potentiels pour les tester. Pour des raisons qui ne sont pas claires, les clés de test ont été intégrées dans les appareils d’une liste presque inexhaustive de fabricants. Outre les cinq fabricants mentionnés précédemment, ils incluent Aopen, Foremelife, Fujitsu, HP, Lenovo et Supermicro.

Les meilleures pratiques de gestion des clés cryptographiques exigent que les informations d’identification telles que les clés de plate-forme de production soient uniques pour chaque ligne de produits ou, au minimum, soient uniques pour un fabricant d’appareil donné. Les meilleures pratiques imposent également que les clés soient alternées périodiquement. En revanche, les clés de test découvertes par Binarly ont été partagées pendant plus d’une décennie par plus d’une douzaine de fabricants d’appareils indépendants. Le résultat est que les clés ne sont plus fiables car la partie privée de celles-ci est un secret industriel de polichinelle.

Dans une interview, le fondateur et PDG de Binarly, Alex Matrosov, a écrit :

« Imaginez que tous les habitants d’un immeuble aient la même serrure et la même clé de porte d’entrée. Si quelqu’un perd la clé, cela pourrait poser un problème pour tout le bâtiment. Mais que se passerait-il si les choses étaient encore pires et que d’autres bâtiments avaient la même serrure et les mêmes clés ?

Matrosov a déclaré que son équipe avait trouvé des clés de plate-forme de test identiques sur les produits liés au client et au serveur. Les membres de l’équipe ont également déterminé qu’au moins une clé de test était utilisée dans des appareils vendus par trois fabricants distincts.

« Si la clé est divulguée, cela aura un impact sur l’écosystème », a-t-il expliqué. “Cela n’affecte pas un seul appareil.”

Binarly a nommé sa découverte PKfail en reconnaissance du problème massif de la chaîne d’approvisionnement résultant de l’incapacité de l’ensemble de l’industrie à gérer correctement les clés de la plate-forme. Le rapport est disponible ici . Les vidéos de preuve de concept sont ici et ici . Binarly a fourni un outil d’analyse ici .

Source et beaucoup plus: https://arstechnica.com/security/2024/07/secure-boot-is-completely-compromised-on-200-models-from-5-big-device-makers/

Encore un truc aussi foireux que BitLocker et une bonne raison de ne pas exiger ça de windows 11/12

L’événement a provoqué le chaos dans les aéroports, les épiceries et les points de vente Starbucks.

[image: 88e739b2-f807-46d7-a659-2dfcb3e0977d.png]

Vendredi, lorsqu’une mise à jour de CrowdStrike a provoqué le crash de millions de systèmes Microsoft dans le monde, de nombreuses entreprises ont été confrontées à un choix : adopter le paiement en espèces uniquement ou fermer leurs portes jusqu’à ce que les systèmes reviennent en ligne.

Cela a rapidement provoqué le chaos en Australie, dont le gouvernement a explicitement encouragé les entreprises à ne plus utiliser de numéraire. Des photos publiées sur les réseaux sociaux montraient des caisses automatiques uniquement par carte de la chaîne d’épicerie Coles affichant des écrans bleus de la mort. Les files d’attente pour les registres gérés par des humains dans les épiceries australiennes s’étendaient jusqu’à l’arrière du magasin, selon les médias locaux. Certains magasins australiens ont tout simplement fermé leurs portes.

Pendant ce temps, comme en témoignent les réseaux sociaux, certaines compagnies aériennes indiennes ont dû manuscrites délivrer des cartes d’embarquement aux personnes dont les vols étaient prévus vendredi. Aux États-Unis, un large éventail d’entreprises, notamment l’équipe de baseball des ligues mineures Norfolk Tides, les piscines publiques du comté d’Allegheny, en Pennsylvanie, et le cinéma Film Forum de New York, ont annoncé qu’elles fonctionneraient uniquement en espèces jusqu’à nouvel ordre.

Starbucks – dont le PDG de l’époque avait déclaré en 2020 que l’entreprise s’orientait « vers davantage d’expériences sans numéraire » – semble avoir été particulièrement durement touché. Un employé de Starbucks basé au Kansas a publié un TikTok montrant que le système de commande mobile était « complètement en panne ». La machine utilisée par le magasin pour imprimer les étiquettes des gobelets ne fonctionnait pas non plus. “Il ressort vierge à chaque fois”, a-t-elle déclaré en désignant l’imprimante d’étiquettes. Elle raconte à WIRED que certains clients étaient « bouleversés et très impolis » lorsqu’elle a essayé de s’expliquer. Une autre employée de Starbucks a déclaré sur TikTok qu’elle devait écrire chaque commande sur des notes autocollantes.

Alimentant encore davantage le chaos, Starbucks a proposé vendredi une offre de boissons à 3 $ aux membres de son programme de récompenses (au moins aux États-Unis). Un employé de Starbucks basé en Floride a déclaré à WIRED que la situation rendait le vendredi, un jour de la semaine « extrêmement chargé » dans des circonstances normales, encore plus stressant. Même si la plupart des gens étaient compréhensifs, dit-elle, il y avait « des gens frustrés à l’extérieur » lorsque le magasin a dû fermer son espace de restauration intérieur et se concentrer sur le service au volant.

Richard Forno, professeur de cybersécurité à l’Université du Maryland, a déclaré à WIRED que la panne de vendredi démontre la vulnérabilité de notre infrastructure cloud et Internet actuelle. « Les chaînes d’approvisionnement en logiciels constituent depuis longtemps un grave problème de cybersécurité et un point de défaillance unique potentiel », explique Forno. « Compte tenu des événements d’aujourd’hui, avec un peu de chance, le monde pourrait enfin se rendre compte que notre société moderne de l’information, souvent basée sur le cloud, repose sur une fondation très fragile qui n’est pas conçue pour la sécurité ou la résilience. » (Un porte-parole de Microsoft n’a pas répondu directement à cette évaluation.)

Un nombre croissant d’entreprises ont adopté le mode sans numéraire En 2020, en réponse à la pandémie, ce qui a perturbé la circulation de l’argent physique. Cependant, l’ACLU a averti que les magasins sans numéraire permettent la surveillance des consommateurs et ont un impact disproportionné sur les clients à faible revenu, qui sont moins susceptibles de posséder un compte bancaire et plus susceptibles d’utiliser des espèces. Ceci, en partie, a incité Philadelphie, San Francisco et New York à adopter des lois interdisant aux entreprises de fonctionner entièrement sans numéraire.

Mais certaines entreprises soulignent les avantages du paiement sans numéraire. Le stade Mercedes Benz d’Atlanta, devenu sans numéraire en 2019, a affirmé que le changement réduisait les délais de transaction, permettant ainsi aux files d’attente pour la nourriture et les boissons de se déplacer plus rapidement. Le site a déclaré dans un communiqué de presse qu’il avait économisé « plus de 350 000 $ en dépenses opérationnelles » un an après le changement. (WIRED a appelé le stade à plusieurs reprises vendredi, mais n’a pas pu parler avec un humain.)

Les systèmes de certaines entreprises concernées sont revenus en ligne en quelques heures. Bien qu’un article publié vendredi matin sur X ait annoncé que les parcours de golf North Park et South Park, basés à Pittsburgh, fonctionneraient uniquement en espèces jusqu’à nouvel ordre, un employé qui a répondu au téléphone a déclaré à WIRED que les parcours étaient déjà en mesure d’accepter à la fois les espèces et les cartes.

Pendant ce temps, certaines entreprises entièrement sans numéraire n’ont pas été touchées du tout. Le Las Vegas Sphere, qui fonctionne entièrement sans numéraire, n’a pas été affecté, selon un représentant du service client. Bien qu’une publication virale sur X semble montrer la Sphère en panne, l’image est fausse et circule depuis février. Le représentant de Sphere a confirmé qu’aucun de ses écrans n’a été affecté.

Source: https://www.wired.com/story/microsoft-crowdstrike-outage-cash/

J’ai déjà fait mon vieux con sur un autre topic, mais cette génération me fait un peu peur, il y a un côté on/off qui tue tout débat.

Pour parfaire le côté vieux con, on était aussi con à l’époque que les jeunes de maintenant, mais sans les certitudes!

C’était la connerie pour la connerie, sans les revendications.

@Nookyy Ils ne peuvent s’en prendre qu’a eux même, le politiquement correct n’a rien a faire dans l’art du divertissement et leur militantisme commence à en gonfler plus d’un!

Merci pour l’article très interessant qui en dit long sur les interêts stratégiques de nos nations. Ca fait un peu flipper n’empêche

@Popaul a dit dans Pire que le Japon, la marine militaire allemande utilise toujours des disquettes de 8 pouces :

4k

Normalement si tout va bien pour un remux, 4k, t’en auras pour plus de 50 ans à finir tous ça si tu commences maintenant ^^.
Moi j’ai terminé un dvdrip .avi que j’ai débuté en 2004 à enregistrer de bout en bout et enfin c’est terminé à l’instant (bon faut juste que je loue un box pour stocker tous ça ^^).

L’INA n’a qu’a bien se tenir, bibi va envoyer du lourd

3h 1/2 plus tard, toujours rien Y-a-t-il un modèle prédictif dans l’avion ?

Entre ça et les notes à tout va pour n’importe quel service Black Mirror n’est plus de la fiction.

L’application a été mise à jour pour résoudre le problème après avoir attiré l’attention du public.

OpenAI a annoncé son application de bureau Mac pour ChatGPT en grande pompe il y a quelques semaines, mais il s’avère qu’elle présentait un problème de sécurité assez grave : les discussions des utilisateurs étaient stockées en texte brut, où tout mauvais acteur pouvait les trouver s’il avait accès à votre machine.

Comme l’a noté l’utilisateur de Threads Pedro José Pereira Vieito plus tôt cette semaine , « l’application OpenAI ChatGPT sur macOS n’est pas en mode bac à sable et stocke toutes les conversations en texte brut dans un emplacement non protégé », ce qui signifie que « toute autre application/processus/malware en cours d’exécution peut lisez toutes vos conversations ChatGPT sans aucune demande d’autorisation.

Il ajouta:

macOS a bloqué l’accès à toutes les données privées des utilisateurs depuis macOS Mojave 10.14 (il y a 6 ans !). Toute application accédant aux données utilisateur privées (Calendrier, Contacts, Mail, Photos, tout bac à sable d’application tierce, etc.) nécessite désormais un accès utilisateur explicite.

OpenAI a choisi de se retirer du bac à sable et de stocker les conversations en texte brut dans un emplacement non protégé, désactivant ainsi toutes ces défenses intégrées.

OpenAI a maintenant mis à jour l’application et les discussions locales sont désormais cryptées, bien qu’elles ne soient toujours pas mises en bac à sable. (L’application est uniquement disponible en téléchargement direct depuis le site Web d’OpenAI et n’est pas disponible via l’App Store d’Apple où une sécurité plus stricte est requise.)

De nombreuses personnes utilisent désormais ChatGPT comme elles utiliseraient Google : pour poser des questions importantes, trier les problèmes, etc. Souvent, des données personnelles sensibles peuvent être partagées lors de ces conversations.

Ce n’est pas une bonne idée pour OpenAI, qui a récemment conclu un partenariat avec Apple pour proposer des services de chatbot intégrés aux requêtes Siri dans les systèmes d’exploitation Apple. Cependant, Apple a détaillé une partie de la sécurité autour de ces requêtes à la WWDC le mois dernier, et elles sont plus strictes que ce qu’OpenAI a fait (ou pour être plus précis, n’a pas fait) avec son application Mac, qui est une initiative distincte du Partenariat.

Si vous avez utilisé l’application récemment, assurez-vous de la mettre à jour dès que possible.

Source: https://arstechnica.com/ai/2024/07/chatgpts-much-heralded-mac-app-was-storing-conversations-as-plain-text/

On a beau être rigoureux en termes de sécurité, n’importe quelle application peut vous mettre dans la merde.

Amazon rembourse les robots professionnels et se concentrera plutôt sur la version domestique.

[image: 5f4d06a7-bf2f-4dd3-9358-28b61fe89535.png]
Entre un aspirateur et Wall-E

Amazon va fabriquer tous les robots Astro for Business le 25 septembre. Il a lancé le robot pour la première fois il y a environ huit mois en tant que dispositif de sécurité pour les petites et moyennes entreprises (PME) pour 2 350 $, mais l’appareil sera bientôt un nouvel ajout coûteux à la gamme d’Amazon à liste des produits ayant échoué.

Amazon a annoncé Astro en septembre 2021 en tant que robot domestique ; cette version de l’appareil n’est toujours disponible qu’en aperçu de 1 600 $ sur invitation uniquement.

En novembre, Amazon a orienté Astro vers les PME. Mais comme l’a rapporté GeekWire pour la première fois, Amazon a envoyé mercredi des e-mails aux employés travaillant sur Astro for Business et aux clients pour leur dire que les appareils cesseraient de fonctionner le 25 septembre. À l’époque, l’e-mail d’Amazon aux clients disait : « Vos données personnelles seront supprimées depuis l’appareil. Toutes les vidéos de patrouille ou d’enquête enregistrées par Astro seront toujours disponibles dans votre application Ring jusqu’à l’expiration de la durée de stockage de vos vidéos ou de la fin de votre abonnement Ring Protect. Selon The Verge, l’e-mail ajoute :

Bien que nous soyons fiers de ce que nous avons construit, nous avons pris la décision de mettre fin au support d’Astro for Business afin de nous concentrer sur faire d’Astro le meilleur robot pour la maison.

À partir de cette semaine, Amazon ne facturera plus aux utilisateurs les abonnements associés à Astro for Business, tels qu’Astro Secure, qui permet au robot de patrouiller les entreprises via des itinéraires personnalisés, ou Ring Protect Pro, qui permet aux propriétaires d’Astro for Business de stocker et de synchroniser l’historique vidéo. le robot avec les appareils Ring.

Amazon a déclaré qu’il rembourserait 2 350 $ à ses clients et leur accorderait un crédit Amazon de 300 $. Il a également annoncé qu’il rembourserait les frais d’abonnement prépayés non utilisés.

Amazon a refusé de partager le nombre de robots vendus, mais il est regrettable de voir une technologie aussi coûteuse et complexe devenir obsolète après moins d’un an. Amazon n’a partagé aucun moyen d’utiliser davantage les appareils, et la porte-parole Courtney Ramirez a déclaré à The Verge qu’Astro for Business ne pouvait pas être utilisé comme robot domestique. L’e-mail d’Amazon aux clients encourage les propriétaires à recycler Astro for Business via le programme de recyclage Amazon, Amazon couvrant les coûts associés.

Astro tarde à décoller

Amazon a présenté Astro fin 2021, mais en 2024, il n’est toujours pas disponible au grand public. Lorsqu’Amazon a lancé Astro pour les PME, il semblait qu’il aurait pu trouver une nouvelle niche pour le produit. Un rapport de Business Insider de mai 2023 affirmait qu’Amazon avait choisi de lancer Astro for Business plutôt que « un plan interne visant à lancer un modèle moins coûteux » en 2022 pour les consommateurs.

Astro for Business pouvait patrouiller de manière autonome des espaces allant jusqu’à 5 000 pieds carrés avec un périscope HD et une vision nocturne, il pouvait transporter de petits appareils et, bien sûr, était contrôlable par Amazon Alexa. Depuis sa sortie, nous avons pris connaissance des difficultés financières désastreuses d’Alexa et avons vu David Limp, qui dirigeait le projet Astro en tant que vice-président directeur des appareils et services d’Amazon, quitter Amazon , tandis que sa division a subi des licenciements notables (un représentant d’Amazon a déclaré à GeekWire que la fermeture d’Astro for Business n’entraînera pas de licenciements puisque les employés commenceront plutôt à travailler sur la version domestique du robot).

L’avenir d’Astro

Selon les e-mails d’Amazon, la société est toujours désireuse de publier la version domestique d’Astro, ce qui pourrait surprendre certains puisqu’il n’y a eu aucun signe d’une sortie imminente depuis qu’Amazon a annoncé Astro il y a des années.

En mai 2023, un représentant d’Amazon a déclaré à Insider que la société avait les yeux rivés sur le potentiel de l’IA générative pour Astro. Il est probable qu’Amazon espère un jour proposer Astro aux consommateurs avec la version IA générative d’Alexa (qui est attendue cette année avec des frais d’abonnement). En mai 2023, Insider a cité des documents internes qui, selon lui, discutaient de l’ajout « d’intelligence et d’une interface conversationnelle parlée » à Astro.

Mais étant donné qu’il a fallu à Amazon plus de deux ans et demi (et ce n’est pas fini) et que cela aurait nécessité le travail de plus de 800 personnes pour rendre Astro généralement disponible, ainsi que la disparition soudaine de la version professionnelle, il y a des raisons d’hésiter à payer le prix. prix élevé et frais d’abonnement éventuels pour un Astro grand public, si jamais il sort. Les premiers utilisateurs pourraient se retrouver dans une position tout aussi décevante que les PME qui ont acheté Astro for Business.

Le développement d’Astro intervient à une époque tumultueuse pour le secteur des appareils d’Amazon, car il cherche à faire d’Alexa un assistant d’IA compétitif et, surtout, lucratif. En juin, Reuters a rapporté que la haute direction d’Amazon avait déclaré aux employés que 2024 était une « victoire incontournable » pour Alexa. Certains analystes s’attendent à une réduction des investissements dans Alexa si le niveau payant ne décolle pas.

Le robot domestique Astro d’Amazon fait face à une montée difficile vers toute sortie potentielle ou demande des consommateurs. Pendant ce temps, la version qui a réellement été commercialisée se dirige vers un cimetière rempli d’autres produits Amazon morts, comme Just Walk Out, Amazon Glow , Fire Phone, les boutons Dash et l’ Amazon Smart Oven.

Source: https://arstechnica.com/gadgets/2024/07/amazon-is-bricking-2350-astro-robots-10-months-after-release/

Voir aussi: https://planete-warez.net/topic/5098/le-gouvernement-japonais-admet-que-nous-ne-sommes-plus-dans-les-années-90-et-cesse-d-exiger-des-disquettes

[image: 1321.jpg]

Dans son rapport sur l’état de l’Internet en France, l’Arcep ne se penche pas uniquement sur l’interconnexion et la neutralité du Net. L’autorité en profite également pour faire le point sur le déploiement de l’IPv6 en France (la fin de la transition est prévue pour 2030) et sur les perspectives.

L’Arcep se félicite que la France obtienne la médaille de bronze en termes d’utilisation d’IPv6, parmi les 100 pays au monde avec le plus d’internautes : « Mi-2023, 81 % des clients fixe grand public (FttH, câble, ADSL) avaient de l’IPv6 activé, contre 66 % sur le réseau mobile ». Un an auparavant, il était respectivement question de 72 et 60 %. Mais attention, ces chiffres cachent de grandes disparités entre les FAI.

Fin de migration prévue pour 2030

L’Arcep estime que la fin de la transition arrivera aux alentours de 2030. La période coïncidera avec la fermeture du réseau cuivre pour une raison simple : « certains opérateurs ont choisi de ne pas faire migrer des infrastructures en fin de vie vers le protocole IPv6 ».

[image: image-6.png]

C’est un peu la même situation que Free Mobile qui joue la montre sur la 2G. L’opérateur n’a finalement déployé que quelques sites depuis son lancement, pour les fermer quelques mois plus tard. Free et Orange ont pour rappel prolongé leur accord d’itinérance en 2G et 3G jusqu’en 2025, au grand dam des deux autres opérateurs nationaux.

IPv6 sur le fixe : demandez le programme

L’Arcep dresse le bilan des quatre opérateurs nationaux pour le réseau fixe grand public :

• Bouygues Telecom : IPv6 activée pour tous ses clients FttH, ADSL, VDSL, 4G et 5G box équipés, avec une box compatible et connectés sur le réseau en propre de Bouygues. Il n’y a pas d’IPv6 pour les clients connectés sur un DSLAM Orange.

• Free : IPv6 activé pour tous ses clients FttH, ADSL, VDSL sur son réseau en propre. Pas d’IPv6 pour les clients non dégroupés, ni pour ceux avec une box 4G+.

• Orange : IPv6 activée pour tous ses clients FttH, ADSL, VDSL, 4G et 5G Home avec une box compatible et sur un réseau qui attribue les adresses par DHCP. L’IPv6 n’est pas proposé pour quelques clients ADSL grand public (adresses attribuées via PPP).

• SFR : le renouvellement des équipements incompatibles avec l’IPv6 sur le réseau FttH se termine, explique l’Arcep. L’IPv6 n’est pas systématiquement activé, c’est au client de le faire, ce qui explique le taux bien plus bas que les autres opérateurs.

Avec la fermeture du cuivre en ligne de mire, SFR a décidé de « supprimer en 2023 le support de l’IPv6 sur les offres ADSL/VDSL. L’IPv6 (encapsulé dans l’IPv4) était auparavant disponible sur les offres ADSL et VDSL, mais non activé par défaut (à fin juin 2022, 1 % des clients ADSL et VDSL avaient activé cette option) ». Pas d’IPv6 sur le réseau câble.

[image: image-7-1024x547.png]

Pour les pros… ce n’est pas mieux

Un mot sur les clients Pro. La situation est la même que pour le grand public chez Bouygues et Free. Mais elle est différente chez Orange et SFR, largement majoritaires sur ce marché (surtout le premier).

Chez Orange, IPv6 n’est pas disponible en ADSL ou VDSL Pro. Chez SFR, IPv6 n’est disponible que sur les offres 4G et 5G fixe, pas pour les offres Pro en FttH, ADSL, VDSL ou câble. Il existe aussi de nombreux opérateurs alternatifs sur le marché pro, avec IPv6 par défaut.

Comme le rappelle l’Arcep, « le retard de développement d’IPv6 entraîne le risque d’une scission en deux d’internet, avec IPv4 d’un côté et IPv6 de l’autre. À titre d’illustration, quand un site web ou une application est hébergée en “IPv6-only”, elle n’est alors pas accessible aux utilisateurs qui n’ont qu’une adresse IPv4 ».

Or, nous sommes en période de pénurie d’IPv4 depuis plusieurs années.

[image: arcep_barometre_ipv6_2024_05_fixe_podium-1.png]

Allez, on passe au mobile (spoiler : c’est pire que le fixe)

Sur le mobile, c’est encore plus compliqué : « Si les principaux opérateurs proposent tous de l’IPv6, la différence se fait sur l’activation » et sur le système d’exploitation.

Sur Android, « Bouygues Telecom, Orange et SFR activent par défaut l’IPv6 sur les mobiles Android dont la date de commercialisation est postérieure à 2018 (Bouygues), 2020 (Orange) et 2021 (SFR). Free n’active pas l’IPv6 par défaut », il faut donc le faire manuellement depuis son espace client et sur son smartphone.

[image: image-9.png]

Passons aux iPhone : « Bouygues Telecom, Orange et SFR activent par défaut IPv6 sur les iPhone dont la version iOS est au minimum iOS 12.2 (Bouygues), iOS 13.0 (Orange pour iPhone 7 et plus récent), iOS 14.3 (SFR), iOS 15.4 (Orange pour iPhone 6S et SE) ». Pourquoi faire simple quand on peut faire compliqué.

Là encore, il faut manuellement activer IPv6 chez Free et avoir au moins iOS 15.4. Free, en tête de l’IPv6 sur le fixe, est bon dernier sur le mobile, faute d’activer cette fonctionnalité par défaut chez ses clients.

Pas de grande différence chez les pros sur le mobile

Sur les offres Pro, les conditions sont les mêmes chez Bouygues Telecom, Orange et SFR. Chez Free Pro, il n’y a pas encore d’IPv6.

[image: arcep_barometre_ipv6_2024_07_mobile_podium.png]

Hébergements, emails : des maillons encore fortement à la traine

Pour accéder à un site ou un service en IPv6, il faut non seulement avoir un opérateur et un smartphone compatibles (et avec l’option activée), mais aussi que l’ensemble des maillons d’Internet prennent en charge IPv6. Ce dernier existe pour rappel depuis plus de 20 ans.

« En octobre 2023, les hébergeurs de sites web représentent l’un des maillons de la chaîne d’internet les plus en retard dans la migration vers l’IPv6. En effet, seuls 31,2 % des sites web sont accessibles en IPv6 ». La situation s’améliore néanmoins avec plus de sites activés en IPv6 ces deux dernières années comparés à la période 2015 à 2021.

[image: image-13.png]

Au-delà du chiffre global de 31,2 %, il y a de fortes disparités chez les hébergeurs. Ionos est largement en tête, suivi par LWS, Infomaniak et Cloudflare. D’autres sont encore loin de la moyenne : 6,3 % pour Amazon AWS, 5 % pour Google Cloud, 4,6 % pour Gandi, 9,8 % pour Scaleway…

Mais, il y a pire : « La transition des hébergeurs e-mail connaît également un fort retard : seuls 18,8 % des serveurs e-mail sont à ce jour adressés en IPv6. Néanmoins, on note cette année une forte progression par rapport à 2022 : le taux d’IPv6 a plus que doublé en 12 mois, passant de 8 à 19 % ».

Dans les deux cas, il reste encore beaucoup de travail.

[image: image-12.png]

Source : next.ink

OpenAI veut savoir dans quelle mesure les articles du New York Times sont « originaux » et méritent d’être protégés par le droit d’auteur. La société AI recherche des sources de journalistes pour l’aider à se défendre contre une plainte pour violation de droits d’auteur de plusieurs millions déposée précédemment par le journal. Le Times s’oppose à cette demande d’information ainsi qu’à d’autres, suggérant que l’approche d’OpenAI est trop large et pourrait potentiellement avoir un effet dissuasif.

Depuis l’année dernière, divers ayants droit ont commencé à intenter des poursuites contre les entreprises qui développent des modèles d’IA.

La liste des plaignants comprend des maisons de disques, des auteurs de livres, des artistes visuels et des journaux, dont le New York Times. Ces ayants droit s’opposent tous à l’utilisation présumée de leur travail pour former des modèles d’IA sans compensation adéquate.

Le procès du New York Times vise OpenAI et Microsoft et progresse régulièrement. OpenAI a récemment indiqué qu’elle aimerait consolider cette affaire avec une action en justice similaire intentée par d’autres journaux , mais le Times s’oppose à cette proposition.

Même si ces questions sont débattues devant les tribunaux, les deux parties ont également procédé à l’enquête préalable. Cela permet essentiellement à une partie de demander des preuves à l’autre, pour soutenir ou réfuter correctement les allégations de violation du droit d’auteur qui constituent la base du procès.

OpenAI recherche du matériel « source » du New York Times

Dans sa quête de preuves, OpenAI s’intéresse particulièrement aux droits d’auteur des œuvres du New York Times. Cela inclut les articles de presse protégés par le droit d’auteur, qui sont souvent basés sur diverses informations recueillies par ses journalistes.

Par exemple, les demandes de découverte non. 10-12 lire comme suit :

NON. 10 : Documents suffisants pour identifier le contenu expressif, original et d’origine humaine de chacune de vos œuvres revendiquées.

NON. 11 : Documents suffisants pour identifier le contenu non expressif, non original ou non d’origine humaine de chacune de vos œuvres revendiquées.

NON. 12 : Documents suffisants pour montrer chaque œuvre écrite qui a éclairé la préparation de chacune de vos œuvres affirmées, quels que soient sa longueur, son format ou son support.

Le New York Times n’est pas satisfait de cette approche. La société a refusé de partager les notes des journalistes et d’autres informations, car cela serait trop général et trop fastidieux. En outre, le Times a souligné qu’une grande partie des informations recherchées par OpenAI sont protégées par le privilège du journaliste.

OpenAI dépose une requête pour contraindre

Le refus a créé un différend entre les parties et OpenAI a exhorté le tribunal à intervenir. Idéalement, la société d’IA souhaite que le tribunal oblige le Times à coopérer.

OpenAI suggère que les informations sur la « source » aideront à déterminer quelles parties des articles sont « originales » et dignes de protection par le droit d’auteur, ce qui peut l’aider à contrer les allégations de violation du droit d’auteur.

“[L]e Times ne peut pas intenter de poursuite pour violation de toute partie d’une œuvre protégée par le droit d’auteur qui n’est pas originale du Times, comme ce serait le cas si le Times copiait l’œuvre ou les éléments d’autrui dans le domaine public”, écrit OpenAI.

Dans sa plainte, le Times décrit comment il investit énormément de temps et d’expertise dans ses articles, qui sont parfois le résultat de mois ou d’années d’enquêtes approfondies. OpenAI aimerait savoir ce qu’implique cette affirmation.

« Ayant choisi de remettre directement en question la manière dont le Times a créé les œuvres en question – y compris les méthodes, le temps, la main-d’œuvre et l’investissement – ​​OpenAI a le droit d’en découvrir davantage », écrit OpenAI.

En préparation de sa défense, OpenAI souhaite en outre savoir quelles parties des articles protégés par le droit d’auteur sont du « contenu expressif, original, d’origine humaine » et quelles parties sont du « contenu non expressif, non original ou d’origine non humaine ». »

Le New York Times refuse de se conformer

En réponse à la requête en contravention, le Times indique clairement que l’entreprise n’a pas l’intention de céder. Il souligne que ses articles sont protégés par le droit d’auteur, qu’ils incluent ou non du matériel tiers.

« OpenAI prétend que les notes des journalistes sous-tendant les œuvres revendiquées peuvent permettre de déterminer si les articles de presse du Times sont réellement un contenu original et expressif – mais ce n’est pas ainsi que fonctionne la loi sur le droit d’auteur. Le caractère expressif d’une œuvre est déterminé par référence à l’œuvre elle-même.

“De plus, même dans le cas improbable où les notes d’un journaliste montrent que 90 % d’un article comprend des citations textuelles des sources originales de l’auteur, cet article serait toujours protégé par le droit d’auteur”, ajoute le Times.

En outre, le journal réitère que les demandes d’interrogatoire préalable sont excessives et portent atteinte au privilège du journaliste. Bien qu’OpenAI ait souligné qu’elle ne cherchait pas à identifier de sources confidentielles, sa demande de découverte pourrait avoir un effet dissuasif.

Si les organismes journalistiques sont tenus de divulguer tous les documents sources de chaque article protégé par le droit d’auteur, cela peut avoir de graves conséquences sur leur capacité ou leur volonté d’engager des poursuites en justice contre les contrevenants potentiels.

Mais c’est peut-être précisément ce qu’OpenAI a essayé de réaliser ici, note le journal.

“En effet, étant donné la portée tout à fait inappropriée de cette demande, il faut se demander si un effet dissuasif est exactement ce qu’OpenAI, qui semble avoir volé des millions de créateurs de contenu, espère”, écrit le Times.

Source: https://torrentfreak.com/openai-wants-new-york-times-to-show-how-original-its-copyrighted-articles-are-240704/

Je m’étonne qu’il n’existe pas un mouvement “j’entraîne l’I.A. à ma façon”!

Il a raison JB, dommage que les DSI soient si frileux avec l’open-source, les SS2I/ENS/MSP ne pensent qu’à marger et que l’Europe s’en fiche de ne pas être souveraine pour tout ce qui est numérique.

La société éditant la solution d’accés à distance, Teamviewer, a indiqué avoir détecté une intrusion dans son réseau. Elle mène l’enquête et précise que son environnement IT interne est séparé de celui des produits.

[image: 000000097952.png]
Teamviewer a détecté une intrusion dans son environnement IT interne. (Crédit Photo: Teamviewer)

Tous les éléments de langage ont été pesés pour éviter la panique. Teamviewer, éditant un logiciel d’accès à distance a publié un communiqué indiquant que son équipe de sécurité avait « détecté une irrégularité » au sein de l’un de ses réseaux. Une tournure élégante pour signifier un piratage de son environnement IT. L’intrusion a été relevée mercredi par la société basée en Allemagne et a immédiatement appelé de l’aide auprès d’enquêteurs spécialisés en cybersécurité.

L’éditeur a également pris des « mesures de remédiation nécessaires » et a activé son plan de réponse à incident. Dans son communiqué, il a souhaité rassurer ses clients, « l’environnement informatique interne de Teamviewer est totalement indépendant de celui du produit. Il n’y a aucune preuve suggérant que ce dernier ou les données des clients sont affectés ». Effectivement, une compromission de la plateforme d’accès à distance pourrait avoir un effet dévastateur sur les 600 000 clients (par exemple l’écurie de Formule 1 Mercedes) revendiqués par la société.

Les groupes APT ciblent activement les services Teamviewer

La nouvelle de l’intrusion a été rapportée, selon nos confrères de Bleepincomputer, pour la première fois sur Mastodon par Jeffrey, un professionnel de la sécurité informatique. Il a partagé une alerte diffusée sur le Dutch Digital Trust Center, un portail web utilisé par le gouvernement, les experts en sécurité et les entreprises néerlandaises pour partager des informations sur les menaces en matière de cybersécurité.

D’autres alertes ont ensuite suivi comme celle de NCC dont l’équipe de sécurité « a été informée d’une compromission importante de la plateforme d’accès et d’assistance à distance TeamViewer par un groupe APT », sans citer le nom du groupe en question. Le Health Information Sharing and Analysis Center (Health-ISAC) aux Etats-Unis a publié une note montrant que les services TeamViewer étaient activement ciblés par le groupe de pirates russes APT29, également connu sous les noms de Cozy Bear, Nobelium et Midnight Blizzard. L’organisation recommande d’examiner les logs pour détecter tout trafic inhabituel de bureau à distance.

Source : lemondeinformatique.fr

L’entreprise TeamViewer attribue une intrusion informatique au renseignement extérieur russe

La société assure que rien ne montre pour le moment que l’infrastructure de développement de ses logiciels a été compromise.

La société TeamViewer a annoncé, vendredi 28 juin, avoir détecté une intrusion informatique attribuée à APT29, une unité des services de renseignements extérieurs russes régulièrement identifiée dans des opérations d’espionnage très sophistiquées.

Le communiqué de l’entreprise, qui avait annoncé la veille avoir identifié des « irrégularités » dans son système, inquiète au plus haut point les experts. TeamViewer est connue pour commercialiser dans le monde entier des outils très populaires d’accès à distance, utilisés par exemple pour partager le contrôle d’un ordinateur lors d’un dépannage. TeamViewer estime pour le moment que l’attaque a été circonscrite à une partie du réseau et que les pirates n’ont pas réussi à accéder à des données de clients ou à l’infrastructure concernant les produits développés par l’entreprise. Une nouvelle communication est attendue d’ici la fin de la soirée (heure française).

L’entreprise affirme que cette attaque a démarré le 26 juin et utilisait les identifiants d’un employé, une porte d’entrée très classique dans les cas d’intrusion informatique dans le réseau d’une entreprise. Une alerte avait été émise le 27 juin par la société spécialisée en sécurité informatique NCC Group, qui affirmait avoir reçu des informations faisant état d’une compromission de TeamViewer par APT29.

Le développeur allemand, comptant des centaines de milliers de clients dans le monde, représente une cible de choix pour les groupes spécialisés dans l’espionnage. Ses logiciels distribués très largement, s’ils venaient à être compromis ou modifiés, représenteraient une porte d’entrée idéale pour prendre le contrôle d’autres réseaux. Ces attaques appelées « supply chain », parce qu’elles ciblent les fournisseurs de service qui irriguent des entreprises mais aussi des institutions dans le monde entier, sont aujourd’hui une des principales menaces aussi bien en matière d’espionnage que de cybercriminalité.

Un acteur spécialisé dans l’espionnage

Le groupe APT 29 est un des principaux acteurs impliqués dans les opérations de cyberespionnage russes. Le 19 juin, l’Agence nationale de la sécurité des systèmes d’information (Anssi) publiait un rapport détaillant comment ce groupe, aussi appelé Nobelium, avait ciblé depuis 2021 de nombreux diplomates français. L’ambassade de France à Kiev avait notamment été ciblée par un e-mail contenant une pièce jointe vérolée.

Source : lemonde.fr

@Raccoon a dit dans Windows 11 active désormais la sauvegarde des dossiers OneDrive sans votre permission :

Même Apple passerait pour un enfant de cœur à côté.

C’est dire qui aurait cru ça possible

Tu peux payer légalement environ 75€ par an, en convertissant du gamepass core ( ancien gold), pour avoir du GPU:)

Ça, ou un algorithme, voire une pseudo I.A. quelle différence finalement ?

Mieux vaut consulter, et mieux vaut consulter un bon médecin