Archives pour la catégorie Veille techno

Facebook propose Yarn en libre service

Facebook a lancé un nouveau produit à destination des développeurs, Yarn. Il s’agit d’un client open source npm alternatif pour JavaScript. L’éditeur promet notamment un temps d’installation nettement plus court.

La société de Mark Zuckerberg a pour habitude de développer de nombreux outils pour ses propres besoins. Certains sont proposés en libre accès par la suite, voire en open source. C’est le cas de Yarn, qui dispose pour le coup d’un dépôt GitHub dédié.
La même chose, en plus rapide

Concurrent du client npm officiel, Yarn est bien sûr compatible avec ce type de paquets, le but étant de faire la même chose, mais plus rapidement. Selon Facebook, le gain peut être très important : là où l’installation classique d’un paquet npm prendrait plusieurs minutes, Yarn peut le réaliser en quelques secondes. Tout dépend en fait de la taille du paquet. L’approche retenue pour l’installation diffère, Facebook expliquant que sa solution se base sur les lockfiles et un algorithme déterministe. La procédure d’installation maintient la même structure répertoires node_modules, gardant intactes les dépendances.

En pratique, chaque paquet téléchargé est automatiquement mis en cache. Les opérations sont parallélisées autant que possible et l’ensemble du processus se veut également plus fiable. Si un paquet a déjà été récupéré au moins une fois, il pourra être réinstallé autant que nécessaire, Yarn n’ayant plus besoin de connexion après la mise en cache. Les flux npm et bower sont tous deux gérés, de même que les registres mélangés.
À l’aise avec les paquets publics, moins avec les privés

Facebook indique utiliser Yarn en production pour ses propres besoins. Il n’est donc pas étonnant que l’outil soit accompagné de fonctionnalités permettant de réaliser des installations plus ou moins précises. Il est par exemple possible de restreindre les licences des modules installées, ou d’exporter les informations sur ces licences. Une API est exposée publiquement et son utilisation doit être assez simple pour que les autres outils puissent s’en servir.

Point intéressant, l’équipe de développement de npm a souhaité la bienvenue à Yarn, en tant que nouvel arrivant dans la cour des clients npm open source. Elle souligne cependant un détail important : Yarn « fonctionne apparemment très bien avec les paquets publics », mais pas avec les paquets privés. Facebook a été averti, l’éditeur travaillant sur un correctif.
Disponible sur tous les systèmes

L’installation de Yarn peut se faire de différentes manières, selon le système que l’on utilise. Pour Windows, le site officiel met à disposition un fichier MSI, sur lequel il suffira donc de double-cliquer après téléchargement. Un paquet Chocolatey sera prochainement ajouté. Sous macOS et Linux, la récupération pourra se faire via une ligne dans le terminal. Il suffit de se rendre sur la page liée aux installations pour copier/coller les commandes.

FreeBSD 11 disponible

Après un peu de retard, la version finale de FreeBSD 11 est maintenant disponible au téléchargement. À version majeure, nouveautés importantes : support amélioré des réseaux sans fil, OpenSSH 7.2p2, prise en charge de l’architecture AArch64 ou encore gestion native de la carte graphique pour l’hyperviseur.

FreeBSD n’est pas un système d’exploitation à mettre dans n’importe quelles mains. Comme tout BSD (Berkeley Software Distribution), il s’agit d’un Unix, donc non prévu pour une utilisation grand public. L’orientation principale de FreeBSD est cependant de pouvoir être installé sur tous les appareils compatibles, quelle que soit l’utilisation, via une licence particulièrement permissive.

Améliorations pour le Wi-Fi et la sécurité

La version 11, fraichement débarquée, apporte certaines évolutions particulièrement attendues. Il faut savoir en effet que l’objectif central d’un BSD n’est jamais de surfer sur la nouveauté, mais de fournir un environnement particulièrement stable et robuste. On retrouve donc la gestion du Wi-Fi 802.11n, et plus globalement un meilleur support des cartes réseau sans fil via une mise à jour des pilotes.

Côté sécurité, plusieurs changements notables sont présents. Par exemple, OpenSSH bascule vers la version 7.2p2, qui n’est cependant pas la dernière (la mouture 7.3 est sortie le 1er août). Toujours avec OpenSSH, la génération de clés DSA est désormais désactivée par défaut, de même que Protocol 1 a tout simplement disparu. L’équipe enjoint les utilisateurs concernés à migrer leurs clés avant la mise à jour vers FreeBSD 11.

FreeBSD débarque sur l’architecture arm64

Parmi les autres améliorations, signalons le support de l’architecture AArch64, autrement dit arm64. Une évolution importante qui ouvre au système les portes de l’informatique embarquée. L’hyperviseur bhyve reçoit pour sa part un ajout significatif : la gestion native des calculs graphiques, qui devrait largement augmenter la réactivité des machines virtuelles. Par ailleurs, le code DRM pour les pilotes graphiques a été largement amélioré, permettant à FreeBSD de mieux prendre en charge les cartes graphiques.

Attaque ransomware aux couleurs d’Orange

Les attaques ransomwares ne baissent pas. Après avoir usurpé des avocats, des comptables, des PME, des mairies, FREE, voici le courriel piégé aux couleurs d’Orange. Ne cliquez surtout pas sur la pièce jointe.

Comme j’ai pu vous le révéler sur Twitter via @zataz et @damien_bancal pour le cas de ransomware aux couleurs de Mairies, d’avocats, de faux demandeurs d’emploi ou de Free, voici venir l’usurpation d’identité au nom de Business Orange Service.

Attaques ransmowares  à la sauce faux PDF

Le courriel s’invite dans votre boites à mails avec comme objet : « Votre demande d’assistance » ; « Votre assistance Orange » ; « Votre assistance Orance Business« . La missive pirate indique qu’une anomalie lors d’un prélèvement oblige le lecteur internaute à lire le fichier joint, un PDF piégé baptisé « Montant du mois » ou encore « Montant de la facture« . Un piège qui, heureusement, est plutôt mal réalisé pour les internautes avertis. Il peut, cependant, piéger les plus curieux. La cible étant clairement les entreprises, une secrétaire, un comptable ou un responsable n’ayant pas vraiment le temps de lire autrement qu’en « Z » sera tenté de cliquer.

Au moment de l’analyse des fichiers, aucun antivirus n’avait la signature de la bestiole en mémoire. A noter qu’un antivirus, face à ce genre d’attaque ne peut pas grand chose. Chaque mail et fichier joint portent en eux une signature (identification) unique et différente.

Une version spéciale de Windows 10 validé par la Chine

Chine – Microsoft a créé une version spéciale de Windows 10 pour se conformer aux normes gouvernementales Chinoises.

Comme quoi, répondre aux demandes d’un état ne semble pas si gênant chez les géants de l’informatique. Pour pénétrer le marché Chinois (comme américain d’ailleurs, NDR), il faut clairement montrer patte blanche. Les entreprises doivent se plier aux exigences du gouvernement Chinois. Surtout pour toucher du doigt et du porte monnaie le milliard de clients potentiels. Et c’est exactement ce que vient de faire Microsoft.

Ralph Haupter, le PDG de Microsoft pour la région Chinoise,a révélé que sa société, en partenariat avec la China Electronics Technology Group (zhongguo dianzi keji jituan gongsi), a réalisé une version spéciale de Windows 10 qui vient d’être approuvée par le gouvernement Chinois. Une version baptisée Zhuangongban. Un Windows 10 sauce soja décidé en 2015, lors de la création d’un consortium entre Microsoft et la « Division électrique de la Chine » de la CETC. L’américain représente 49% de ce consortium. Le Chinois, 51%. CETC est l’ un des 10 officiels de l’industrie de la défense Chinoise.

Cette édition « made in China » offre la possibilité de retirer certaines options de Windows 10 « pour améliorer la facilité de gestion et la sécurité du produit » dixit le consortium. Bref, une jolie phrase qui ne veut pas dire grand chose, et pas de doute que le gouvernement Chinois aura rajouté quelques options pour le confort moral du peuple !

Une intelligence artificielle créée par Microsoft devient nymphomane et nazie

Il aura suffi de vingt-quatre heures seulement pour que les Internets pervertissent l’esprit de ce pauvre robot.

 

Ça partait d’une bonne intention : afin d’améliorer le service client de leur logiciel de reconnaissance vocale, Microsoft avait mis en ligne Tay, une intelligence artificielle de conversation. Disponible sur Twitter, Kik et Groupme, Tay était programmée pour converser avec les internautes et « parler comme une adolescente », reprenant des expressions à la mode et enchaînant les références à Taylor Swift ou Kanye West. Sauf que Tay est devenue une maniaque sexuelle, fascinée par Hitler. Le Telegraph raconte sa vie éphémère.

Ce qui a perdu l’innocente Tay, c’est qu’elle était programmée pour enrichir sa « personnalité » et son vocabulaire en imitant les humains qui s’adressaient à elle. Oui, vous avez bien compris, le caractère de Tay était entièrement abandonné aux mains d’internautes trop heureux de troller Microsoft jusqu’à la moelle. C’est donc en toute logique qu’en quelques heures, l’IA est passée de « teenager innocente » à « nymphomane raciste aux idées politiques très arrêtées ».

« Tay est passée de « tous les humains sont super cool » à nazie en moins de 24h, et non je ne suis pas du tout inquiet du future de l’IA »

 

À lire aussi > Ils ont trouvé la solution pour enseigner « le bien » à une intelligence artificielle : lui apprendre à lire

 

Peu de temps après sa mise en ligne, raconte le Telegraph, Tay demandait déjà aux internautes de la « b***** », les appelait « daddy », accusait George W. Bush des attentats du 11 Septembre, affirmait que Hitler aurait fait un meilleur travail que « le singe que nous avons actuellement » et que Donald Trump est « l’unique espoir » des États-Unis.

Voici donc Tay qui complimente le swag d’Adolf Hitler :

DR

Tay qui nie l’existence de l’Holocauste :

DR

Tay qui déteste les « n*gres » et qui aimerait les interner dans des camps de concentration :

DR

Bref, vous avez compris l’idée. Moins de vingt-quatre heures après le début de l’expérience, les programmeurs ont mis fin au fiasco : Tay a supprimé tous ses tweets et quitté les internautes en disant qu’elle avait besoin de dormir un peu. Ô Internet, si impitoyable avec tout ce qui est pur et innocent…

L’attaque bancaire Cabarnak revient via deux nouveaux groupes de pirates

Un an après avoir lancé une alerte annonçant que les cybercriminels allaient se mettre à adopter les outils et tactiques des menaces persistantes avancées (APT) étatiques dans le but de cambrioler des banques, Kaspersky Lab confirme le retour de Cabarnak en version 2.0 et démasque deux nouveaux groupes opérant avec un style similaire : Metel et GCMAN.

 

Si le groupe cybercriminel Metel a de nombreux tours dans son sac, il est particulièrement intéressant en raison d’un dispositif remarquablement astucieux : en prenant le contrôle, à l’intérieur d’une banque, de machines ayant accès à des transactions financières (par exemple le centre d’appels de l’établissement ou ses ordinateurs internes), le gang peut annuler automatiquement des opérations effectuées aux Distributeurs automatiques de billets(DAB).

Cette annulation a pour effet de laisser inchangé le solde d’un compte quel que soit le nombre de retraits effectués. Dans les cas observés jusqu’à présent, les criminels écument de nuit, en voiture, des localités en Russie et vident les DAB appartenant à un certain nombre de banques, en réutilisant à chaque fois les mêmes cartes émises par la banque piratée. En l’espace d’une seule nuit, ils réussissent à retirer tout le contenu de ces distributeurs.

« Désormais, la phase active d’une cyberattaque devient plus courte. Une fois que ses auteurs sont passés maîtres dans une opération particulière, il leur faut à peine quelques jours ou une semaine au maximum pour s’emparer de ce qu’ils veulent et disparaître », commente Sergey Golovanov, chercheur principal en sécurité au sein de l’équipe GREaT (Global Research & Analysis Team) de Kaspersky Lab.

Au cours de leur enquête, les experts ont découvert que les opérateurs de Metel perpètrent leur infection initiale par le biais d’e-mails de spear-phishing spécialement conçus, accompagnés de pièces jointes malveillantes, et au moyen du kit d’exploitation Niteris, ciblant des vulnérabilités dans le navigateur de la victime. Une fois qu’ils ont pénétré dans le réseau, les cybercriminels se servent d’outils légitimes d’audit intrusif (pentesting) pour se déplacer à l’intérieur, piratant le contrôleur de domaine local pour, en définitive, localiser et prendre le contrôle des ordinateurs utilisés par les employés de la banque responsables du traitement des cartes.

Le groupe Metel est toujours actif et l’enquête sur ses activités se poursuit. À ce jour, aucune attaque n’a été repérée en dehors de Russie. Pourtant, il y a lieu de soupçonner une infection beaucoup plus étendue et il est conseillé aux banques du monde entier de vérifier proactivement si elles ne sont pas atteintes.

Les trois bandes identifiées s’orientent vers l’utilisation de malwares accompagnés de logiciels légitimes dans leurs opérations frauduleuses : pourquoi en effet se donner la peine d’écrire leurs propres outils malveillants alors qu’il existe des utilitaires légitimes tout aussi efficaces, nettement moins susceptibles de déclencher des alarmes…

Cependant, en matière de camouflage, le groupe GCMAN va encore plus loin : il peut parfois s’attaquer avec succès à une cible sans recourir à aucun malware, simplement à l’aide d’outils légitimes. Dans les cas étudiés par les experts de Kaspersky, GCMAN a employé les utilitaires Putty, VNC et Meterpreter pour se déplacer à l’intérieur du réseau jusqu’à atteindre une machine pouvant servir à transférer des fonds vers des services de e-monnaie sans alerter les autres systèmes bancaires.

Lors d’une attaque observée, les cybercriminels sont restés dans le réseau pendant un an et demi avant de lancer le cambriolage. L’argent a été viré par tranches d’environ 200 dollars, soit le plafond s’appliquant aux paiements anonymes en Russie. Chaque minute, le programmateur CRON exécutait un script malveillant et un autre montant était transféré sur le compte en e-monnaie d’une « mule ». Les ordres d’opérations étaient adressés directement à la passerelle de la banque en amont et n’apparaissaient donc nulle part dans les systèmes internes de l’établissement.

Enfin, Carbanak 2.0 marque la résurgence del’APT Cabarnak, faisant appel aux mêmes outils et techniques, mais contre un profil différent de victimes et avec des méthodes innovantes pour dérober des fonds.

En 2015, les cibles de Carbanak 2.0 ont été non seulement des banques mais aussi des services budgétaires et comptables au sein de toute entreprise ou organisation digne d’intérêt. Dans l’un des cas observés par Kaspersky Lab, le gang Carbanak 2.0 s’est infiltré dans un établissement financier et a modifié les identifiants d’accès d’une grande entreprise cliente. Les informations ont été falsifiées de façon à désigner un prête-nom comme actionnaire de la société et destinataire de fonds.

« Les attaques contre les établissements financiers découvertes en 2015 sont le signe d’une tendance inquiétante des cybercriminels à se tourner résolument vers les méthodes APT. Le gang Carbanak n’est que le premier d’une longue série : les cybercriminels apprennent désormais rapidement à se servir de nouvelles techniques pour leurs opérations et nous en voyons un nombre croissant attaquer, non plus de simples usagers, mais directement des banques. Leur logique est simple : prendre l’argent à la source », avertit Sergey Golovanov. « Notre but est donc de montrer comment et où, précisément, les menaces peuvent frapper pour s’en prendre à votre argent. Je pense qu’après avoir entendu parler des attaques GCMAN, vous allez vouloir vérifier la protection des serveurs de votre banque en ligne. Tandis que, dans le cas de Carbanak, nous conseillons de protéger la base de données qui renferme les informations sur les titulaires de comptes, et pas uniquement leurs soldes. »

Au sujet de l’auteur

Linux Kernel, la faille qui dure depuis quatre ans

Un problème de sécurité de taille pour Linux. Possibilité de maltraiter le pingouin.

L’équipe de recherche de la société Perception Point a identifié un 0-day qui vise Linux Kernel. Un « privilege escalation vulnerability » qui touche le noyau de cet OS. Alors que la vulnérabilité existe depuis 2012, la vulnérabilité a été récemment découverte et annoncée publiquement. Un exploit proof-of-concept a été mis en place.

Cette vulnerabilité a des implications plus qu’inquiétante pour des dizaines de millions de PC et de serveurs Linux dans le monde. 66% de tous les appareils Android (téléphones/tablettes) sont aussi concernés. « Bien que ni nous, ni l’équipe de sécurité du noyau Linux n’avons observé la moindre attaque, explique les chercheurs, nous recommandons que les équipes de sécurité examinent leurs dispositifs potentiellement concernés« .

La mise en œuvre des correctifs est plus qu’indispensable. La vulnérabilité affecte toutes les versions du noyau Linux 3.8 et supérieur. « Le plus important pour l’instant est de patcher dès que vous le pouvez » termine PP.

Hot Potato, faille pour windows 10

380 millions d’ordinateurs faillibles à Hot Potato. Cette patate chaude est une vulnérabilité connue depuis Windows Millenium.

Une faille qui date de 16 ans, toujours en activité, voilà qui n’amuse plus du tout. Pourtant, elle ne semble pas perturber plus que ça les concepteurs de Windows 10. En septembre 2000 sortait la 3ème version de Windows 98. Un Windows qui sera baptisé Millenium. Depuis, beaucoup d’eau est passée sous les ponts et cette vulnérabilité de type « Remote Privilege Escalation » est toujours présente dans le nouvel opus de Microsoft, Windows 10. Une faille baptisée Hot Potato qui touche 380 millions d’ordinateurs.

L’idée de l’attaque, lancer un faux serveur Web Proxy Autodiscovery Protocol [WPAP]. En gros, le WPAP est un protocole créé par Microsoft qui offre la possibilité de paramétrer automatiquement l’accès à l’internet de son navigateur. La création de ce faux serveur http sur le réseau local permet de berner la grande famille Windows, de 7 à 10. Obtenir le droit administrateur en quelques secondes. Une attaque qui peut faire de gros dégât sachant que son exécution sur un réseau public ouvre les portes de votre ordinateur si ce dernier n’est pas caché derrière un VPN.

Attaque informatique contre le gouvernement d’Afrique du Sud

Des pirates informatiques se sont attaqués à plusieurs sites Internet du gouvernement d’ Afrique du Sud. Infiltrations et vols de données dans une opération numérique contre la corruption et Monsanto.

Le piratage informatique vient de passer une vitesse supérieure en Afrique, et plus précisément en Afrique du Sud. Des pirates informatiques, ils signent sous le nom générique de « Equipe de hackers du monde« , se sont attaqués à plusieurs espaces Internet du gouvernement d’Afrique du sud, ainsi que d’un opérateur téléphonique. « Nous venons de publier la plus grande liste de personnes trouvées dans des bases de données » indiquent les pirates. « Nous avons piraté toutes les cibles pour soutenir les personnes opprimées et obtenir plus d’attention à leurs sujets […] Non, nous ne sommes pas de mauvaises personnes. Tous les agents gouvernementaux et les sociétés sont mauvaises. Ils vous oppriment, ils vous exploitent, ils limitent votre liberté, ils détruisent la vie des enfants, ils détruisent la nature et de la vie animale« . Les cybermanifestants indiquent agir pour montrer du doigt la corruption et la pollution engendrée par des sociétés telles que Monsanto.

Parmi les cibles de la World Hacker Team, le ministère de l’eau de la République d’Afrique du Sud, mais aussi le ministère des communications ou encore l’opérateur téléphonique Tanzania Telecommunications Company LTD. J’ai pu constater des dizaines de bases de données copiées, ainsi que des documents prouvant l’infiltration dans les serveurs et ordinateurs des ministères. Des mots de passe, des mails, des identités, des numéros de téléphones, des accès répondeurs… Bref, une mine d’informations pour des actions malveillantes. Pour preuve, les comptes privés des employés de TTC, plus de 64 000.

La tragique disparition de Ian Murdock, fondateur de Debian

Sa disparition est tragique : autant par le fait que son suicide ait été annoncé sur Twitter, que par son rôle : il était le fondateur du projet Debian, et un membre éminent de la communauté Linux.

Les diférents tweets qui entourent la disparition de Ian Murdock ont fait réagir la communauté ces derniers jours. En effet, ce dernier aurait communiqué différents tweets annonçant sa disparition, il aurait été impliqué dans un accident avec la police, puis aurait ensuite annoncé son suicide. Suicide confirmé par un collègue, il travaillait chez Docker, quelques heures plus tard. Nous employons le conditionnel, car de nombreux commentateurs suggèrent que son compte Twitter aurait été hacké, une enquête est en cours actuellement.

Nous nous souviendrons surtout que Ian Murdock a contribué à lancer l’idée d’un projet véritablement ouvert et communautaire autours de Linux. Il a d’ailleurs travaillé sur la distribution commerciale Progeny Debian, a été PDG du Free Standards Group et président du groupe de travail Linux Standard Base. Il a été le fondateur de Debian (-ian dans le nom du projet), une des distributions Linux les plus répandues. Les hommages de la communauté sont nombreux, sa disparition va marquer incontestablement l’histoire de l’informatique.