Planète Warez

@Raccoon a dit dans Un nouveau groupe sanguin découvert, pour le moment chez une seule personne :

Une référence à la patiente d’origine guadeloupéenne qui en est l’unique porteuse au monde.

C’est pas une très bonne nouvelle pour la pauvre dame (cool pour les chercheurs mais chiant pour la patiente ^^)

@kemkem a dit dans Eco-Cooler, la première climatisation passive qui fonctionne sans électricité :

mais à terme il vaut mieux investir dans une isolation

Je plussoie.

Il fait 33.7 °C degré ici et avec mon isolation de murs extérieur je stagne à 26°C, un poil plus sous les toits qui sont aussi isolé avec plaques de polyuréthane mais je suis proche de la toiture.

ça fait une belle différence tout de même. Par contre ça ne fais pas tout mais c’est déjà pas mal…
Pas de clim à la maison, ça reste supportable…

Les films anti-uv/mirroir sur les fenêtres sont aussi hyper efficace. J’en ai un sur ma baie vitrée de chambre et je vois une belle différence dans la pièce… Je peux laisser le volet ouvert sans problème sans craindre que la fenêtre génère une chaleur de dingue

Je verrais si j’ai la même température à 40° dehors

EDIT: Pointe à 35 degré, la température n’as pas bougé

Trashé aussi, je déteste passer par le web (ou par une appli, dans ce cas aussi) pour gérer mon courrier.

@michmich Il va bien, il n’y aurait aucun blessé. Sacré explosion en tout cas…

https://www.rts.ch/play/tv/19h30/video/vincent-kucholl-a-laffiche-de-ciao-ciao-bourbine-est-linvite-du-1930?urn=urn:rts:video:14627564

@duJambon a dit dans Cloudflare face à une attaque DDoS éclair d’une intensité inédite :

c’est qui à bien put la produire

Un état, genre sud global/BRICS. :ahah:

Une base de données colossale regroupant plus de 16 milliards d’identifiants volés vient d’être découverte sur un forum de hackers.

Surnommée “rockyou2024”, cette compilation provient de multiples piratages réalisés au fil des années. Les informations exposées comprennent des adresses e-mail, des mots de passe, et parfois des données sensibles associées, notemment chez les géants come Meta, Google, Apple et compagnie…

Ce méga-leak dépasse largement toutes les fuites précédentes en termes de volume, et représente une menace réelle pour la sécurité numérique mondiale.

Il rappelle l’urgence de renforcer les pratiques de cybersécurité, comme l’usage de mots de passe uniques, l’authentification à deux facteurs, les passkeys et la vigilance face au phishing.

L’incident touche aussi bien les particuliers que les entreprises et institutions, risquant de provoquer des vagues massives d’usurpations d’identité et de cyberattaques automatisées.

– Sources :

https://www.clubic.com/actualite-569565-alerte-la-plus-grande-fuite-de-donnees-de-l-histoire-16-milliards-de-mots-de-passe-dans-la-nature.html

https://www.clubic.com/actualite-569613-que-faire-16-milliards-de-mots-de-passe-apple-facebook-et-google-voles-voici-6-conseils-a-suivre-pour-se-proteger.html

Vous pouvez toujours, comme d’habitude, vérifier si vos comptes figurent dans cette fuite via HaveIBeenPwned.com et changer vos password concerné, activer l’auth à 2 facteurs, passkey.

–> On ne le rappellera jamais assez : des mots de passe à usage unique modifiés régulièrement ou mieux des phrases de passe ou passkey. Il est fortement conseillé d’'utiliser des gestionnaires de mot de passe avec générateur de password, passkey et passphrase ainsi que surveiller l’activité de vos comptes.

Vos serveurs web classiques, les censeurs les trouvent en 3 clics. Même avec un VPN foireux, même caché derrière CloudFlare, même en priant très fort, alors imaginez que vous voulez publier un truc sur le web sans que personne ne puisse remonter jusqu’à vous ? Et bien en fait c’est hyper simple avec torserv qui lance automatiquement votre site comme service caché Tor.

Il s’agit d’un serveur web statique durci qui intègre nativement Tor. Pas de base de données MySQL qui traîne, pas de PHP qui fuite, juste vos fichiers HTML, CSS et JavaScript servis proprement. Le truc génial, c’est la configuration zéro. Vous lancez le binaire et hop, votre site devient accessible via une adresse .onion automatiquement générée.

J’ai découvert torserv après avoir passé 2 heures à galérer avec une config manuelle d’Apache + Tor pour un petit projet perso car configurer un service caché à la main, c’est pas de la tarte. Faut éditer torrc, créer les bons répertoires, gérer les permissions, redémarrer les services… Avec torserv, tout ça disparaît. Vous pointez sur votre dossier web et c’est parti.

Et le pire dans tout ça ? C’est que même après avoir fait votre config manuelle parfaite, vous êtes jamais sûr à 100% de pas avoir laissé trainer une faille. Un header Apache qui balance votre version, un module PHP mal configuré, un log qui enregistre les requêtes… Avec torserv, ces soucis n’existent pas. Le code est minimaliste par design.

Pour comprendre l’intérêt, faut savoir comment fonctionnent les services cachés Tor. Contrairement à un site normal où votre serveur a une IP publique visible, un service .onion reste planqué dans le réseau Tor. Les visiteurs passent alors par plusieurs relais chiffrés, et même eux ne connaissent pas votre vraie localisation.

Mais torserv va plus loin.

Il embarque directement le binaire Tor, donc pas besoin d’installer quoi que ce soit sur votre machine. Et le serveur intégré écrit en Go gère tout : il lance Tor en tâche de fond, génère les clés cryptographiques pour votre .onion, et sert vos fichiers avec les bons headers de sécurité. Tout ça dans un seul exécutable de moins de 20 Mo.

Le petit bonus sympa c’est que torserv ajoute du jitter temporel sur les réponses (50-200ms aléatoires) et du padding sur la taille des fichiers. Ça complique sérieusement l’analyse de trafic pour ceux qui voudraient identifier votre site par ses caractéristiques réseau.

Et les cas d’usage sont nombreux. Vous pouvez par exemple héberger des documents sensibles sans passer par un cloud public. Parfait pour le journalisme d’investigation, l’activisme dans certains pays, ou même pour une entreprise qui veut éviter les fuites via des plateformes externes.

– Mais y’a d’autres trucs cools à faire :

Partage temporaire de fichiers : Vous lancez torserv le temps de partager des docs, puis vous coupez tout. Aucune trace. Blog personnel vraiment privé : Pour publier vos pensées sans que Google indexe tout Backup décentralisé : Pour héberger vos sauvegardes chiffrées accessibles uniquement via Tor

Maintenant, si vous voulez tester, vous devez télécharger le binaire depuis GitHub, vous le lancez dans le dossier contenant vos fichiers web, et torserv génère automatiquement votre adresse .onion. En 5 minutes chrono vous avez un site web invisible.

– Concrètement, ça donne ça :

wget https://github.com/torserv/torserv/releases/download/latest/torserv-linux-amd64.zip unzip torserv-linux-amd64.zip cd TorServ ./torserv

Et boom, vous avez un truc du genre : http://xxxxxxxxxx.onion qui s’affiche dans votre terminal. Copiez-collez dans Tor Browser et voilà.

Ce qui m’a surpris pendant mes tests, c’est la performance. J’avais des aprioris sur la lenteur du réseau Tor, mais pour du contenu statique, ça reste très correct. Évidemment, on est pas sur de l’hébergement classique, mais pour des documents, des pages simples, ça fait le taf. Et puis l’avantage, c’est que votre bande passante n’est pas plombée puisque le trafic transite par les relais Tor.

Et la sécurité intégré à torserv, ce n’est pas que du marketing. Le serveur limite les requêtes, filtre les tentatives d’exploitation, et expose le minimum de surface d’attaque. Bref, contrairement à Apache ou nginx avec leurs 50 000 modules, torserv fait juste ce qu’il doit faire : servir des fichiers statiques de manière sécurisée. Moins de complexité, moins de failles potentielles.

– Voici ce qu’il propose :

Scrubbing EXIF automatique : Vos photos sont nettoyées de toutes métadonnées avant d’être servies Headers durcis : Pas de User-Agent, pas de Referer, pas d’ETag qui traîne Localhost only : Le serveur n’écoute que sur 127.0.0.1, impossible d’y accéder depuis ailleurs que votre propre machine Pas de logs : Rien, nada, que dalle. Même sous la torture, votre serveur ne balance rien

Après vous l’aurez compris, c’est du statique uniquement, donc oubliez WordPress, les formulaires dynamiques ou les API. Si vous avez besoin d’interactivité, faudra regarder ailleurs. Et puis, c’est plutôt récent comme projet, donc ça n’a pas encore la maturité d’un Apache.

– Autres trucs chiants :

Pas de HTTPS : Mais bon, avec Tor c’est déjà chiffré de bout en bout, donc on s’en fout Pas de compression : Gzip et compagnie sont désactivés pour éviter les attaques BREACH PDF bloqués : Par sécurité, torserv refuse de servir des PDF (trop de métadonnées potentielles) Taille max des fichiers : Évitez les vidéos de 2 GB, ça va ramer sévère

Comparé aux autres solutions, torserv a ses avantages. OnionShare c’est bien pour du partage ponctuel, mais c’est GUI only et moins flexible et SecureDrop c’est overkill pour la plupart des usages.

Je trouve donc que Torserv trouve le bon équilibre car il est assez simple pour être utilisé par n’importe qui, et assez sécurisé pour tenir la route face aux menaces courantes. Et pour du professionnel avec de gros besoins, partez plutôt sur une infrastructure dédiée mais pour 90% des cas d’usage (partage de docs, mini-site personnel…etc) c’est exactement ce qu’il vous faut.

Attention quand même, l’anonymat total n’existe pas. Même avec Tor et torserv, vos habitudes de rédaction, vos heures de publication, le style de vos contenus peuvent vous trahir. L’OPSEC (operational security) reste crucial. Et évidemment, côté légalité, respectez les lois de votre pays car Tor c’est pas un permis pour tout faire.

Un dernier conseil, si vous êtes vraiment parano (et vous avez peut-être raison), utilisez l’option --new-key qui génère une nouvelle adresse .onion à chaque lancement. Comme ça, même si quelqu’un trouve votre site, il pourra plus y accéder la prochaine fois. C’est radical mais efficace.

– Sources :

https://github.com/torserv/torserv

https://korben.info/torserv-serveur-web-anonyme-tor-zero-config.html

Top! Voilà un sérieux concurrent qui va faire la nique à SpaceX

« Si les satellites avaient été détruits, cela aurait été un gaspillage des années d’efforts que nous avons déployées et de l’argent investi dans la mission. »

Après avoir lancé l’année dernière une paire de satellites qui n’ont pas réussi à atteindre la bonne orbite autour de la Lune, le Centre chinois de technologie et d’ingénierie pour l’utilisation de l’espace (CSU) a mis au point une nouvelle tactique : utiliser une « fronde » gravitationnelle pour placer les satellites au bon endroit.

La Chine a lancé les satellites, baptisés DRO-A et DRO-B , en mars 2024 à bord d’une fusée Longue Marche-2C, selon la chaîne de télévision publique China Global Television Network (CGTN). Ils étaient censés se placer en orbite rétrograde lointaine – le DRO étant le nom des deux satellites – autour de la Lune , afin de faciliter la navigation et le suivi des engins spatiaux dans l’espace Terre-Lune.

Les premier et deuxième étages de la fusée ont fonctionné comme prévu. Mais un problème technique avec l’étage supérieur Yuanzheng-1S a empêché les satellites d’atteindre leur orbite prévue, et la CSU a perdu le contact avec le duo.

Lorsque la CSU a réussi à localiser les satellites égarés, ils tournaient sur une orbite beaucoup plus proche de la Terre que prévu. L’équipe a donc commencé à réfléchir à une solution pour les amener sur la trajectoire prévue.

« Nous avons été divisés en deux équipes », a expliqué Hao. « L’une contrôle à distance les propulseurs des satellites pour ralentir leur rotation. L’autre équipe, la mienne, calcule le meilleur itinéraire pour remettre les satellites sur la bonne voie. »

Les satellites ayant été partiellement endommagés lors du lancement, ils n’ont pas pu bénéficier de suffisamment de lumière solaire pour assurer la rotation nécessaire. L’équipe a donc résolu le problème en utilisant la gravité de la Terre , de la Lune et du Soleil pour propulser les satellites vers leur destination.

La procédure a duré 123 jours. « Si l’on ne veut pas consommer trop d’énergie, il faut la remplacer par autre chose », a expliqué Mao Xinyuan, chercheur à la CSU, à CGTN. « Nous avons choisi de consommer plus de temps afin d’économiser de l’énergie. »

L’opération de sauvetage a été achevée à la mi-juillet 2024 et les deux satellites se sont séparés six semaines plus tard, selon SpaceNews . DRO-A et DRO-B tournent désormais autour de la Lune et travaillent avec un troisième satellite, DRO-L, qui avait précédemment été lancé en orbite terrestre basse .

« Ils serviront de phares dans l’espace », a déclaré Mao. Désormais, grâce à ces satellites en position, « nous pouvons localiser un vaisseau spatial en seulement trois heures, contre deux jours ou plus avec le positionnement terrestre traditionnel. »

Source: https://www.space.com/astronomy/moon/china-uses-gravity-slingshot-to-rescue-pair-of-wayward-moon-satellites

Une société de surveillance de la situation spatiale a observé des approches rapprochées de satellites en orbite géosynchrone.

La Chine a rapproché deux vaisseaux spatiaux très haut au-dessus de la Terre dans le cadre d’une mission de démonstration de ravitaillement, selon une société de connaissance de la situation spatiale.

Les satellites chinois Shijian-21 et Shijian-25 se déplaçaient l’un vers l’autre en orbite géosynchrone , à environ 35 786 kilomètres au-dessus de l’équateur, a rapporté Spacenews le 6 juin. Et maintenant, les deux satellites semblent avoir eu une brève première rencontre, selon les observations au sol.

Le suivi optique effectué par la société de surveillance spatiale S2A Systems montre un rapprochement rapproché entre les deux satellites le 14 juin, les deux étant parfois pratiquement impossibles à distinguer l’un de l’autre. Cela suggère que Shijian-21 et Shijian-25 ont au moins effectué un essai d’approche rapprochée et pourraient même avoir effectué un essai d’amarrage et de désamarrage.

Le suivi de s2a indique que les deux engins spatiaux ont effectué des rapprochements très rapprochés les 13 et 14 juin.

Le test vise à démontrer les capacités de ravitaillement en orbite et d’extension de mission, contribuant ainsi à améliorer la durabilité des opérations spatiales.

Shijian-25 a été lancé en janvier pour démontrer le ravitaillement en orbite et l’entretien des satellites, tandis que Shijian-21 a été lancé en 2021 et a remorqué un satellite mort hors de l’orbite géosynchrone et vers une orbite plus élevée, « cimetière ».

95d85a1c-ed8f-4e5d-b57e-4221f20dcc9d-image.png

44f5d717-3955-4f4f-a575-4e8be4c56e02-image.png

Les deux sondes spatiales ont été développées par l’Académie des technologies spatiales de Shanghai (SAST), une entreprise publique chinoise. SpaceNews a également signalé que les sondes de surveillance américaines USA 270 et USA 271 se trouvaient à proximité, à l’est et à l’ouest des deux sondes chinoises, et étaient susceptibles d’observer l’activité.

Les États-Unis, par l’intermédiaire du géant aérospatial Northrop Grumman, ont déjà testé des services de prolongation de la durée de vie des satellites en orbite géosynchrone avec ses engins spatiaux Mission Extension Vehicle-1 et Mission Extension Vehicle-2 , basée à Tokyo, , tandis que la société Astroscale vise à réaliser ses propres tests de ravitaillement complexes dès l’année prochaine.

Source et vidéo: https://www.space.com/space-exploration/satellites/2-chinese-spacecraft-just-met-up-22-000-miles-above-earth-what-were-they-doing

Après la camionnette qui embarque la moto volée, le camion qui embarque la voiture de luxe, voici venir le satellite qui capture les satellites espions. 🙂

@Popaul Désolé, je n’ai pas eu le temps de retoucher la traduction plus en avant, j’ai préféré faire mes courses avant la grosse chaleur 🙂

Mais c’est le journaliste qui se la pète, l’original est bien tordu aussi.

@patricelg carrément trop trognons. :wub:

@Popaul ou une barre de vie pour les membres qui sont pas sages. :ahah:

@boule2 a dit dans [Lunii] Installer et changer les histoires sur une LUNII conteuse d'histoires :

@damoos
Hello
Un grand Merci d’abord pour ce partage du pack et les explications.
J’ai suivi les consignes pour le transfert des packs officiels mais ça n’a pas fonctionné
En même temps je n’ai pas trouvé cette commande : a.isPackDraggable=function(e){return!e.official}
Il y en avait une autre presque identique (que j’ai remplacé du coup par ta solution) mais ça n’a pas réglé le problème.
Si tu as une autre piste je suis preneur.
En te remerciant
Salut, j’ai le même souci que toi, si t’as réussi à trouver une solution tu pourrais m’aider ?😅😅

Le catalogue récemment annoncé rassemble des sources antérieures à 2022 non touchées par la contamination de ChatGPT et de l’IA.

Ancien dirigeant de Cloudflare John Graham-Cumming, a récemment annoncé le lancement d’un site web, lowbackgroundsteel.ai, qui traite le contenu créé par l’homme avant l’apparition de l’IA comme une ressource précieuse – une capsule temporelle d’expression créative organique datant d’une époque où les machines n’étaient pas encore présentes dans le débat. « L’idée est de pointer vers des sources de textes, d’images et de vidéos créées avant l’explosion du contenu généré par l’IA », a écrit Graham-Cumming sur son blog la semaine dernière. La raison ? Préserver ce qui rendait les médias non IA si singulièrement humains.

Le nom de l’archive provient d’un phénomène scientifique de l’époque de la Guerre froide. Après le début des essais nucléaires en 1945, les radiations atmosphériques ont contaminé la production mondiale d’acier. Pendant des décennies, les scientifiques ayant besoin de métal exempt de radiations pour leurs instruments sensibles ont dû récupérer de l’acier provenant d’épaves de navires d’avant-guerre. Les scientifiques ont appelé cet acier « acier à faible bruit de fond ». Graham-Cumming établit un parallèle avec le web actuel, où le contenu généré par l’IA se mélange de plus en plus aux contenus créés par l’homme et les contamine.

Avec l’avènement de modèles d’IA générative comme ChatGPT et Stable Diffusion en 2022, il est devenu beaucoup plus difficile pour les chercheurs de garantir que les médias trouvés sur Internet ont été créés par des humains sans recourir à des outils d’IA. ChatGPT, en particulier, a déclenché une avalanche de textes générés par l’IA sur le web, forçant au moins un projet de recherche à cesser complètement ses activités.

Cette victime était wordfreq , une bibliothèque Python créée par la chercheuse Robyn Speer. Elle permettait de suivre la fréquence d’utilisation des mots dans plus de 40 langues en analysant des millions de sources, dont Wikipédia, des sous-titres de films, des articles de presse et les réseaux sociaux. Cet outil était largement utilisé par les universitaires et les développeurs pour étudier l’évolution du langage et créer des applications de traitement automatique du langage. Le projet a annoncé en septembre 2024 qu’il ne serait plus mis à jour car « le Web dans son ensemble regorge de données incomplètes générées par de grands modèles de langage, écrites par personne pour ne rien communiquer ».

Certains chercheurs s’inquiètent également de l’entraînement des modèles d’IA sur leurs propres résultats, ce qui pourrait entraîner une dégradation de la qualité au fil du temps – un phénomène parfois appelé « effondrement du modèle ». Cependant, des données récentes suggèrent que cette crainte pourrait être exagérée dans certaines conditions. Une étude de Gerstgrasser et al. (2024) suggère que l’effondrement du modèle peut être évité lorsque les données synthétiques s’accumulent aux côtés des données réelles, plutôt que de les remplacer entièrement. En fait, lorsqu’elles sont correctement organisées et combinées à des données réelles, les données synthétiques issues des modèles d’IA peuvent contribuer à l’entraînement de modèles plus récents et plus performants.

Une capsule temporelle de l’expression humaine

Graham-Cumming est un expert en préservation des technologies. Ingénieur logiciel et écrivain britannique, il est surtout connu pour avoir créé POPFile , un logiciel open source de filtrage du courrier indésirable, et pour avoir obtenu des excuses du gouvernement britannique pour ses persécutions envers le décrypteur Alan Turing – des excuses présentées par le Premier ministre Gordon Brown en 2009.

Il s’avère que son site web, avant l’IA, n’est pas nouveau, mais il est resté sans annonce jusqu’à présent. « Je l’ai créé en mars 2023 pour centraliser les ressources en ligne non contaminées par du contenu généré par l’IA », a-t-il écrit sur son blog.

Le site Web pointe vers plusieurs archives majeures de contenu pré-IA, notamment un vidage Wikipédia d’août 2022 (avant la sortie de ChatGPT en novembre 2022), la collection de livres du domaine public du projet Gutenberg, les archives photographiques de la Bibliothèque du Congrès et l’ Arctic Code Vault de GitHub - un instantané de code open source enterré dans une ancienne mine de charbon près du pôle Nord en février 2020. Le projet wordfreq apparaît également sur la liste, congelé à une époque antérieure à la contamination par l’IA qui rendait sa méthodologie intenable.

Le site accepte les soumissions d’autres sources de contenu pré-IA via sa page Tumblr . Graham-Cumming souligne que le projet vise à documenter la créativité humaine d’avant l’ère de l’IA, et non à critiquer l’IA elle-même. Avec la fin des essais nucléaires atmosphériques et le retour du rayonnement de fond à des niveaux naturels, l’acier à faible teneur en carbone est finalement devenu inutile pour la plupart des usages. La question de savoir si le contenu pré-IA suivra une trajectoire similaire reste ouverte.

Il semble néanmoins raisonnable de protéger dès maintenant les sources de créativité humaine , y compris les archives, car ces dépôts pourraient s’avérer utiles à des fins que peu de gens apprécient actuellement. Par exemple, en 2020, j’ai proposé de créer une « arche cryptographique » – une archive horodatée de médias pré-IA, dont l’authenticité pourrait être vérifiée par les futurs historiens, et qui aurait été collectée avant ma date limite, alors arbitraire, du 1er janvier 2022. Les déchets de l’IA polluent bien plus que le discours actuel ; ils pourraient aussi obscurcir les archives historiques.

Pour l’instant, lowbackgroundsteel.ai se présente comme un modeste catalogue d’expressions humaines issues de ce qui pourrait un jour être considéré comme la dernière ère pré-IA. Il s’agit d’un projet d’archéologie numérique marquant la frontière entre les cultures humaines et les cultures hybrides homme-IA. À une époque où il devient de plus en plus difficile de distinguer les productions humaines de celles des machines, ces archives pourraient s’avérer précieuses pour comprendre l’évolution de la communication humaine avant l’arrivée de l’IA dans le chat.

Source: https://arstechnica.com/ai/2025/06/why-one-man-is-archiving-human-made-content-from-before-the-ai-explosion/

@Violence a dit dans IOS 26 Automix ou comment transformer de la bouillie en bouillie + :

Surtout que le plaisir de mixer, c’est de caler les beats, passer une mesure au bon moment, choisir les disques et morceaux qui se marient ensemble à la perfection, etc…

Je plussoie 👍👍👍

Les dispositions relatives aux logiciels sécurisés, à la cryptographie résistante aux attaques quantiques et à d’autres technologies sont supprimées.

Les professionnels de la cybersécurité expriment leurs inquiétudes concernant un récent décret exécutif publié par la Maison Blanche qui évince les exigences en matière de sécurisation des logiciels utilisés par le gouvernement, de punition des personnes qui compromettent les réseaux sensibles, de préparation de nouveaux schémas de cryptage qui résisteront aux attaques des ordinateurs quantiques et d’autres contrôles existants.

Le décret présidentiel (DP), publié le 6 juin, annule plusieurs décrets clés en matière de cybersécurité mis en place par le président Joe Biden, dont certains dataient de quelques jours seulement avant la fin de son mandat en janvier. Un communiqué accompagnant le DP de Donald Trump affirmait que les directives de Biden « tentaient d’introduire des questions problématiques et gênantes dans la politique de cybersécurité » et constituaient un « marché politique ».

Pro-business, anti-réglementation

Les ordres spécifiques abandonnés ou assouplis par Trump incluaient ceux exigeant (1) que les agences fédérales et les entrepreneurs adoptent des produits avec un cryptage quantique dès qu’ils sont disponibles sur le marché, (2) un cadre de développement de logiciels sécurisé (SSDF) rigoureux pour les logiciels et services utilisés par les agences fédérales et les entrepreneurs, (3) l’adoption de régimes résistants au phishing tels que la norme WebAuthn pour la connexion aux réseaux utilisés par les entrepreneurs et les agences, (4) la mise en œuvre de nouveaux outils pour sécuriser le routage Internet via le protocole Border Gateway, et (5) l’encouragement des formes numériques d’identité.

À bien des égards, les décrets présidentiels sont autant des démonstrations de force qu’un moyen d’élaborer une politique judicieuse. Les directives de Biden en matière de cybersécurité s’inscrivaient principalement dans cette seconde catégorie.

Les dispositions relatives au cadre de développement logiciel sécurisé, par exemple, sont nées des conséquences dévastatrices de l’ attaque de la chaîne d’approvisionnement de SolarWinds en 2020. Lors de cet incident, des pirates informatiques liés au gouvernement russe ont piraté le réseau de SolarWinds, un service cloud largement utilisé. Ils ont ensuite déployé une mise à jour malveillante qui a distribué une porte dérobée à plus de 18 000 clients, dont de nombreux sous-traitants et agences du gouvernement fédéral.

Les départements du Commerce, du Trésor, de la Sécurité intérieure et les Instituts nationaux de la santé ont tous été compromis. De nombreuses entreprises privées, parmi lesquelles Microsoft, Intel, Cisco, Deloitte, FireEye et CrowdStrike, ont également été piratées.

En réponse, un décret de Biden a exigé que l’Agence de cybersécurité et de sécurité des infrastructures établisse un formulaire commun d’auto-attestation que les organisations vendant des logiciels critiques au gouvernement fédéral respectaient les dispositions du SSDF. L’attestation provenait d’un dirigeant de l’entreprise.

Le décret présidentiel de Trump supprime cette exigence et ordonne à l’Institut national des normes et de la technologie (NIST) de créer une implémentation de sécurité de référence pour le SSDF, sans autre exigence d’attestation. Cette nouvelle implémentation remplacera la norme SP 800-218, l’implémentation de référence actuelle du SSDF par le gouvernement, bien que le décret présidentiel de Trump exige que les nouvelles directives s’en inspirent.

Les critiques ont déclaré que ce changement permettrait aux entrepreneurs du gouvernement de contourner les directives qui les obligeraient à corriger de manière proactive les types de vulnérabilités de sécurité qui ont permis la compromission de SolarWinds.

« Cela permettra aux utilisateurs de cocher la case “Nous avons copié l’implémentation” sans pour autant respecter l’esprit des contrôles de sécurité de la SP 800-218 », a déclaré Jake Williams, ancien hacker de la NSA et aujourd’hui vice-président de la recherche et du développement pour l’entreprise de cybersécurité Hunter Strategy, lors d’une interview. « Très peu d’organisations respectent réellement les dispositions de la SP 800-218, car elles imposent des exigences de sécurité contraignantes aux environnements de développement, qui ressemblent généralement à des environnements de développement immersifs. »

Le décret présidentiel de Trump annule également les exigences imposées aux agences fédérales pour l’adoption de produits utilisant des schémas de chiffrement invulnérables aux attaques quantiques. Biden a mis en place ces exigences afin de dynamiser la mise en œuvre de nouveaux algorithmes résistants aux attaques quantiques, actuellement développés par le NIST.

« Nous nous sommes retrouvés avec une orientation moins ferme et moins de directives, là où nous n’avions déjà pas grand-chose », a déclaré Alex Sharpe, fort de 30 ans d’expérience en gouvernance de la cybersécurité. Lui et d’autres experts du secteur préviennent que la transition vers des algorithmes résistants aux attaques quantiques constituera l’un des plus grands défis technologiques jamais relevés par les gouvernements et le secteur privé. Cela engendrera des frictions et des résistances à la refonte complète des piles logicielles, des bases de données et des autres infrastructures existantes, qui sera nécessaire.

« Maintenant que le mécanisme d’application a été supprimé, de nombreuses organisations seront moins susceptibles de s’en occuper », a-t-il déclaré.

Trump a également abandonné les instructions données aux départements d’État et du Commerce pour encourager les principaux alliés étrangers et les industries étrangères à adopter les algorithmes PQC du NIST.

D’autres changements imposés par l’EO comprennent :

Interdire au Département du Trésor de sanctionner les personnes aux États-Unis impliquées dans des cyberattaques contre les infrastructures américaines. Le communiqué de la Maison Blanche indiquait que cette modification empêcherait « tout usage abusif contre des opposants politiques nationaux ». Suppression de la déclaration disant que le protocole BGP, principal moyen d’acheminement du trafic sur Internet, est « vulnérable aux attaques ». Sont également supprimées les exigences existantes obligeant le Département du Commerce, en collaboration avec le NIST, à publier des directives sur la mise en œuvre de « méthodes de sécurité BGP opérationnellement viables », telles que l’infrastructure à clés publiques de ressources et la création d’autorisations d’origine de route pour les réseaux gouvernementaux et les fournisseurs de services sous contrat. Ces défenses sont conçues pour prévenir les types d’attaques et d’incidents BGP qui ont détourné des adresses IP appartenant à des banques et autres infrastructures critiques. Abandon du projet de l’administration Biden d’encourager l’utilisation de documents d’identité numériques. La Maison Blanche a déclaré que la mise en œuvre des cartes d’identité numériques « risquait de provoquer des abus généralisés en permettant aux immigrants illégaux d’accéder abusivement aux prestations sociales ».

« Je pense que c’est très favorable aux entreprises et anti-réglementation », a déclaré Williams à propos de l’orientation générale du nouveau décret. Outre l’assouplissement des exigences SSDF, il a ajouté : « La suppression des messages de sécurité BGP est un cadeau pour les FAI, qui savent qu’il s’agit d’un problème, mais qui savent aussi que sa résolution leur coûtera cher. »

Sharpe a déclaré que la plupart des exigences supprimées « étaient tout à fait logiques ». Faisant référence à Trump, il a ajouté : « Il parle du fardeau de la conformité. Qu’en est-il du fardeau de la non-conformité ? »

Source: https://arstechnica.com/security/2025/06/cybersecurity-take-a-big-hit-in-new-trump-executive-order/

Mes données on beau être chez moi, celles que mes fournisseurs me réclament (eau, électricité, impôt, banques, fai (déjà piraté au moins 3 fois), etc…) ne le sont pas. Ma carte d’identité est chez sony (compte playstation verouillé oblige, sony piraté aussi) et chez un fournisseur d’accès. Après, piraté ou pas, allez savoir à qui ces boîtes vendent vos infos. Youpi !