Mauvaise nouvelle, Microsoft vient de mettre en lumière une faille bien vicieuse qui se planque dans un paquet d’applications Android… enfin, quand je dis un paquet, je parle quand même de plus de 4 milliards d’installations concernées.

Cette saleté, baptisée « Dirty Stream« , permet à une app malveillante d’écrire tranquillou dans le répertoire d’une autre app et d’exécuter du code comme bon lui semble.

Mais comment c’est possible ce bazar ?

Eh bien figurez-vous que sous Android, les apps peuvent partager des données entre elles grâce à un système de « fournisseur de contenu ». Jusque là, tout va bien, sauf que certains petits malins ont trouvé le moyen de contourner les contrôles de sécurité en utilisant des « intents personnalisés » mal ficelées.

En clair, une app malveillante envoie un fichier avec un nom ou un chemin trafiqué à une app légitime qui, sans méfiance, l’exécute ou le stocke gentiment dans l’un de ses dossiers critiques. Et paf, l’attaquant peut alors faire mumuse avec les données de l’app cible, voler des infos sensibles comme les identifiants SMB et FTP stockés dans le fichier rmt_i.properties, ou carrément prendre le contrôle de l’app. Bref, c’est le boxon.

Et le pire, c’est que ce genre de boulettes est monnaie courante. Les chercheurs de Microsoft ont épinglé plusieurs apps populaires, comme le gestionnaire de fichiers de Xiaomi (1 milliard d’installations, tout de même) qui utilise un chemin spécifique /files/lib pour sauvegarder les fichiers, ce qui peut être détourné par un attaquant. Autant dire que ça fait un sacré paquet de téléphones exposés.

Heureusement, après avoir prévenu Google et les éditeurs concernés, des correctifs ont été déployés en vitesse. Mais ça la fout mal surtout quand on sait que selon l’équipe de recherche sur la sécurité des applications Android de Google, 20% des apps Android seraient vulnérables à ce type d’attaque. Ouch !

Alors, que faire pour se protéger ?

Et bien commencez par mettre à jour vos apps via le Google Play Store, à vérifier les permissions des app installées et surtout évitez d’installer des appli louches surtout si ça vient d’un store alternatif ou un APK tombé du camion. Et si vous êtes dev Android, il va falloir blinder vos apps en suivant ces bonnes pratiques :

• Ignorer le nom retourné par le fournisseur de fichiers distant lors de la mise en cache du contenu reçu
• Utiliser des noms générés aléatoirement ou assainir le nom de fichier avant d’écrire un fichier en cache
• Vérifier que le fichier en cache se trouve dans un répertoire dédié avant d’effectuer une opération d’écriture
• Utiliser File.getCanonicalPath et valider le préfixe de la valeur retournée pour s’assurer que le fichier est au bon endroit

Voilà, vous savez tout pour ne pas vous faire dirty streamer dans les grandes largeurs !

Source

Multitasking MS-DOS 4. Rien que le nom ça fait rêver. Un nom qui respire le futur, qui transpire l’innovation. Mais c’est quoi en fait ?

Et bien au début des années 80, alors qu’on se battait encore en duel avec des disquettes 5″1/4, Microsoft avait dans ses cartons un projet d’OS révolutionnaire baptisé Multitasking MS-DOS 4. Bon, ce n’est pas le nom le plus sexy de l’histoire de l’informatique mais derrière cette appellation austère se cachait un système d’exploitation qui promettait déjà le multitâche et tout un tas de fonctionnalités incroyables pour l’époque !

L’histoire commence en 1983 lorsque Microsoft rassemble une équipe de développeurs talentueux pour plancher sur la nouvelle version de MS-DOS, qui doit apporter un max de nouveautés pour l’époque : multitâche, multi-threading, pipes, sémaphores… Tout ça sur les modestes processeurs 8086/8088 qui avaient une mémoire limitée.

Le projet s’appelle d’abord MS-DOS 3.0 avant d’être renommé MS-DOS 4.0 en avril 1984. En parallèle, Microsoft travaille sur le « vrai » DOS 3.0 qui sortira en août 1984. Vous suivez ? C’est un peu le bazar mais c’est ça qui est bon !

Puis en juin 1984, une première beta de Multitasking DOS 4 est envoyée à quelques privilégiés. Et autant vous dire que ça décoiffe ! Le multitâche fonctionne déjà, géré par un composant baptisé « Session Manager ». On peut lancer jusqu’à 6 applications en même temps en leur attribuant des raccourcis clavier. Le Session Manager gère aussi les fameuses « erreurs fatales » qui pouvaient faire planter tout le système. Avec lui, si un programme plante, il n’embarque pas tout le système avec lui. C’est un concept révolutionnaire pour l’époque !

MS-DOS 4.0 apportait également son lot d’améliorations comme une meilleure gestion de la mémoire, le support des disques durs de plus de 10 Mo (si si, à l’époque c’était énorme !), une API étendue, et même un système de fichiers réseau (Microsoft Networks).

Le développement de ce MS-DOS 4.0 s’est fait en étroite collaboration avec IBM car le géant informatique planchait à l’époque sur son propre OS avec une architecture similaire à MS-DOS 4.0. Mais plutôt que de se faire concurrence, Microsoft et IBM ont décidé de joindre leurs forces. MS-DOS 4.0 a ainsi servi de base au développement d’IBM PC-DOS 4.0. Les deux OS partageaient une grande partie de leur code source et étaient compatibles entre eux. Une belle démonstration du partenariat entre Microsoft et IBM !

Malheureusement, malgré toutes ses qualités, MS-DOS 4.0 n’a jamais été commercialisé. Son développement a été stoppé au profit d’OS/2, le nouveau projet de Microsoft et IBM et la plupart de ses fonctionnalités ont été recyclées dans ce nouvel OS. MS-DOS 4 n’était pas très apprécié à l’époque à cause de son utilisation gourmande de 92 Ko de RAM. Cela a même poussé le concurrent DR-DOS à sauter directement de la version 3.41 à la version 5.0 pour ne pas être associé à MS-DOS 4 !

Multitasking MS-DOS 4 est ainsi resté à l’état de projet, même si certaines de ses innovations ont survécu dans d’autres OS. Son code source est longtemps resté dans les cartons de Microsoft, jusqu’à ce que la société décide de le libérer en open source, sous licence MIT le 4 avril dernier. Un joli cadeau pour les passionnés d’histoire de l’informatique !

Malheureusement, la libération du code source ne s’est pas faite sans accrocs. Comme l’a souligné le développeur Michal Necasek du blog OS/2 Museum, la publication sur GitHub a introduit des bugs dans certains fichiers critiques. La conversion en UTF-8 casse notamment la compatibilité avec les anciens outils et dépasse la limite de 512 bytes par ligne de l’assembleur MASM de l’époque.

Microsoft a reconnu le problème par la voix de Connor Hyde, co-développeur de la libération de MS-DOS 4, qui a invoqué des raisons légales pour expliquer l’absence des timestamps d’origine. Un échange constructif s’en est suivi avec Michal Necasek pour essayer de résoudre ces problèmes.

En attendant un fix, si vous êtes curieux d’essayer MS-DOS 4.0 par vous-même, sachez que c’est possible ! Grâce à la libération du code source, des passionnés ont pu recompiler l’OS et le faire tourner sur des machines modernes via des émulateurs comme DOSBox.

Voici les étapes pour lancer MS-DOS 4.0 sur votre PC :

1. Téléchargez l’émulateur DOSBox sur le site officiel
2. Installez DOSBox sur votre machine
3. Récupérez une image disque de MS-DOS 4.0. Vous pouvez en trouver sur des sites d’archives comme WinWorldPC
4. Ouvrez DOSBox et montez l’image disque de MS-DOS 4.0 avec la commande :
mount c /chemin/vers/image_dos4.img -t iso
5. Démarrez MS-DOS 4.0 en tapant : c:

Sinon, vous pouvez le tester directement en ligne ici.

Et voilà, vous pouvez maintenant explorer ce morceau d’histoire de l’informatique et découvrir par vous-même les prémices du multitâche sous DOS, malgré les quelques bugs introduits lors de la libération du code source !

Amusez-vous bien !

Source initiale
Infos complémentaires

Imaginez le bazar si quelqu’un ajoutait par erreur tous les Jean-Michel de votre entreprise dans une conversation de groupe ! C’est un peu ce qui est arrivé chez Microsoft cette semaine. De nombreux employés prénommés Mike ou Michael ont eu la surprise de se retrouver sans le vouloir dans une boucle d’échanges par mail.

Michael Schechter, le VP de Bing, raconte s’être réveillé avec une quantité inhabituelle d’emails non lus. Sur le coup, il a cru à un gros plantage en prod pendant la nuit, mais non, en fait c’est juste une personne qui s’est amusée à créer un groupe avec beaucoup de gens qui s’appellent Mike ou Michael chez Microsoft. Et pas de bol pour eux, ils sont nombreux !

Face à cette situation ubuesque, Michael a eu le réflexe de demander à Copilot (l’assistant d’IA de krosoft) de résumer le fil de discussion et croyez-moi, ça vaut son pesant de cacahuètes ! D’après Copilot, les participants ont commencé par demander des explications sur le but de ce groupe, tout en notant avec amusement qu’ils avaient le même prénom. Évidemment, ça n’a pas manqué de partir en vrille et chacun y est allé de sa petite blague, de jeux de mots rigolos comme renommer le groupe en « Mikerosoft« . Certains se sont même demandé avec humour si ce n’était pas un piège pour les virer !

Le plus drôle dans l’histoire, c’est que malgré les nombreux messages, personne n’a compris qui avait créé ce groupe ni pourquoi. Un beau mystère ! En attendant, les participants en ont profité pour faire connaissance. Si ça se trouve, il y en a même qui en ont profité pour corriger des bugs… roooh.

Ça rappelle quand même qu’il faut toujours faire attention avec les emails de groupe ou les mises en copie. Une erreur est vite arrivée et on a vite fait d’envoyer des conneries et de les regretter après ! Une histoire similaire a d’ailleurs eu lieu dans les années 90 selon Eric Lippert. Un type voulait contacter « Mike de Microsoft » qu’il avait rencontré à une conf sauf qu’il a réussi à chopper les adresses des 600 Mike de la boîte. La presse avait titré à l’époque « Heureusement qu’ils ne cherchaient pas Bill » !

L’histoire ne dit pas s’il vont s’organiser un barbecue ou séminaire entre Mike, mais je troue que « Mikerosoft », ça sonne quand même mieux que Microsoft, non ?

Source

Bad news, la firme de Redmond vient tout juste de lancer une nouvelle mise à jour pour les Insiders sous Windows 10, la build 19045.4353 qui à première vue n’a rien de bien folichon… Mais si on y regarde de plus près, y’a quand même un truc qui risque de vous faire tiquer : Une bannière dans les Paramètres pour vous pousser à abandonner votre bon vieux compte local et passer à un compte Microsoft.

On se demande bien pourquoi Microsoft tient tant à ce qu’on ait tous un compte chez eux sur nos machines. Bon ok, je suppose que c’est lié à toutes leurs fonctionnalités en ligne, genre la synchro des paramètres, les sauvegardes dans le cloud, la gestion simplifiée des abonnements, tout ça mais bon, ça devient un peu pushy je trouve. On dirait presque une incitation à passer sous Linux ^^.

Cette guéguerre de Microsoft contre les comptes locaux sous Windows, ça gave tout le monde, même Elon Musk qui a pété un câble en découvrant qu’il pouvait pas installer Windows 11 sans compte Microsoft. La chance qu’on a sous Windows 10, c’est qu’on peut encore contourner ce forcing sans trop se prendre la tête lors de l’installation initiale mais sous Windows 11 par contre, c’est une autre paire de manches… Impossible d’utiliser un profil local, sauf si vous connaissez l’astuce à base de oobe\bypassnro.

Pour l’instant, ce changement se déploie progressivement, donc vous n’aurez peut-être pas tous droit à ce joli cadeau. Mais si vous voulez voir cette bannière par vous-même, pas de souci… il vous suffit de télécharger l’outil ViVeTool, ouvrez une invite de commande en mode administrateur, et hop, un petit

vivetool /enable /id:42563876

et le tour est joué. (et c’est /disable pour le désactiver)

Par contre, une fois que ce sera en place, pour mettre hors de vue ces satanées bannières, faudra aller dans Paramètres > Confidentialité > Général et décocher l’option « Afficher le contenu suggéré dans l’application Paramètres« . Ou alors, un bon vieux clic sur la croix à côté du bouton « Se connecter maintenant« , et basta.

Alors on migre ou pas ?

D’un côté, ça facilite pas mal de trucs d’avoir un compte Microsoft, surtout avec tous leurs machins à base d’IA qui vont arriver, mais de l’autre, j’aime bien garder un minimum de contrôle sur mes données et ma vie privée. Certains d’entre vous préfèrent d’ailleurs surement garder leurs infos perso pour eux, et ne pas se créer de compte Microsoft ce qui est bien légitime comme préoccupation.

J’ai juste peur qu’à un moment, cette incitation risque à un moment de se transformer en obligation… On verra bien.

Source

Figurez-vous que le géant Microsoft, oui oui, le monstre de Redmond, se retrouve à genoux devant la communauté open source de FFmpeg.

Et pourquoi donc ? Parce que ces satanés codecs multimédias leur donnent du fil à retordre !

Mais attention, ne croyez pas que Microsoft va gentiment demander de l’aide comme tout le monde. Non non non, eux ils exigent, ils ordonnent, ils veulent que les petites mains de FFmpeg réparent illico presto les bugs de leur précieux produit Teams. Bah oui, faut pas déconner, c’est pour un lancement imminent et les clients râlent !

Sauf que voilà, les gars de FFmpeg ils ont pas trop apprécié le ton. Ils sont là, tranquilles, à développer leur truc open source pour le bien de l’humanité, et là Microsoft débarque en mode « Eho les mecs, faudrait voir à bosser un peu plus vite là, on a besoin de vous là, maintenant, tout de suite ». Super l’ambiance.

Alors ok, Microsoft a daigné proposer quelques milliers de dollars pour les dédommager. Mais bon, les développeurs FFmpeg ont un peu de fierté quand même et souhaitent un vrai contrat de support sur le long terme, pas une aumône ponctuelle balancée comme on jette un os à un chien.

Et là, c’est le choc des cultures mes amis ! D’un côté Microsoft, habitué à régner en maître sur son petit monde propriétaire, à traiter les développeurs comme de la chair à code. De l’autre, la communauté open source, des passionnés qui bouffent du codec matin midi et soir, qui ont la vidéo dans le sang et le streaming dans les veines.

Microsoft fait moins le malin maintenant puisqu’ils réalisent que leur précieux Teams, ça marche pas terrible sans FFmpeg et que leurs armées de développeurs maison, n’y connaissent pas grand chose en codecs multimédia. Et surtout que la communauté open source, bah elle a pas trop envie de se faire exploiter comme ça.

Moralité de l’histoire : faut pas prendre les gars de FFmpeg pour des poires. Ils ont beau être « open », ils ont leur dignité et Microsoft va devoir apprendre à respecter ça, à collaborer d’égal à égal, à lâcher des billets et des contrats de support au lieu de jouer au petit chef.

Parce que sinon, Teams risque de sonner un peu creux sans codecs qui fonctionnent. Et là, ça va être dur d’expliquer aux clients que la visio ça sera en version mime, parce que Microsoft a pas voulu mettre la main au portefeuille pour avoir de l’audio qui marchent.

Et, si vous voulez en savoir plus sur ce choc des titans, foncez sur https://sopuli.xyz/post/11143769 , vous n’allez pas être déçu du voyage !

Vous connaissez sûrement la fameuse boîte de dialogue « Format » présente dans toutes les versions de Windows, des plus anciennes aux plus récentes. Mais si, cette grande fenêtre verticale pas sexy pour un clou avec toutes les options pour formater votre clé USB ou votre disque dur.

Je parle de ça :

Et bien, vous êtes-vous déjà demandé pourquoi son apparence semble un peu beaucoup vintage aujourd’hui ? Et bien bizarrement, il s’agissait en réalité d’une solution temporaire qui dure maintenant depuis près de 30 ans !

L’histoire nous est offerte par Dave Plummer, vétéran de Microsoft qui a œuvré sur des fonctionnalités légendaires comme le Gestionnaire des tâches, le célébrissime jeu Pinball ou encore le support natif des fichiers ZIP. En 1994, Dave et ses collègues s’attelaient au portage des pelletées de lignes de code de Windows 95 vers NT, dont une refonte de l’interface de la boîte de dialogue Format.

Ni une ni deux, notre cher Dave attrape une feuille, y gribouille la liste des fonctions indispensables, puis se rue sur le Resource Editor de Visual C++ 2.0 pour concevoir rapidement un prototype tout en hauteur. L’idée était de pouvoir cocher toutes les cases dans le bon ordre pour formater vite fait bien fait. Loin d’être un canon de beauté, cette maquette devait juste faire l’affaire en attendant l’arrivée de la vraie interface promise probablement par un designer qui une fois encore, n’a pas su se lever à temps.

Sauf que voilà, presque 30 ans plus tard, les utilisateurs de Windows attendent toujours ladite UI ! La solution temporaire s’est donc enracinée au fil des décennies. Même les builds preview de Windows 11 continuent de l’arborer fièrement, comme vous arborez fièrement à +50 balai votre t-shirt Metallica.

Comme le souligne Dave avec humour : « Faites gaffe quand vous committez des solutions ‘temporaires’ !« . De plus, son choix arbitraire de la taille maximale des clusters ce fameux jeudi matin a également figé pour l’éternité la taille limite d’un volume FAT à 32 Go. Un effet de bord tenace qui nous colle encore aujourd’hui aux basques.

Alors comment se fait-il que cette relique des années 90 ait pu traverser les âges au sein du système d’exploitation le plus utilisé au monde ? Après tout, Windows a connu des évolutions majeures de son interface comme Aero ou encore Fluent.

La réponse se cache peut-être dans l’adage « On ne change pas une équipe qui gagne« . Malgré son look suranné, la boîte de dialogue Format remplit son office à merveille. Son côté brut de décoffrage lui confère un certain charme utilitaire, que j’adore, qui en fait une icône indémodable de l’univers Windows, au même titre que le mythique écran BSOD (qu’on regrette… ou pas.) ou encore le fidèle Solitaire sur lequel peuvent compter tous les fonctionnaires de la planète.

Bref, ce truc est une vraie pièce de musée numérique et j’espère que la prochaine fois que vous formaterez quelque chose, vous la regarderez d’un autre œil, avec peut-être une petite larme d’émotion.

Allez, à plus les amis, et n’oubliez pas, comme avec votre partenaire, parfois, le provisoire… ça dure.

Source (merci à Bisti et Lorenper)

J’sais pas si vous avez vu, mais l’un des plus grands contributeur au monde au logiciel libre nous a sorti un nouvel outil open source très cool baptisé Garnet. Et ce nouveau système de cache open source développé par Microsoft (oui, c’était une blague à retardement ^^) va surement faire trembler Redis et Memcached (ou pas, c’est encore trop tôt pour le savoir).

D’après les specs, Garnet est conçu pour la scalabilité et le débit poussés à fond les ballons. En gros, on peut gérer un max de requêtes sans faire sourciller votre infra et donc au final, faire des économies ! En plus, d’après le benchmark, les perfs sont juste assez dingues et les temps de latence côté client sont réduits à leur max. Comme souvent avec Microsoft, c’est visiblement du solide.

Garnet repose sur la dernière techno .NET, c’est multi plateforme et hyper extensible. Y’a une API blindée de fonctionnalités et avec le mode cluster, on peut même faire du sharding, de la réplication et de la migration dynamique de clés. Les chercheurs de Microsoft ont mis près d’une décennie à peaufiner cette technologie et c’est maintenant en place chez eux notamment dans les plateformes Windows & Web Experiences, Azure Resource Manager et Azure Resource Graph.

Microsoft a comparé Garnet aux autres solutions du marché et les résultats sont sans appel. Que ce soit en throughput ou en latence, Garnet explose tout le monde, même dans des conditions de charge de taré. Ce qui fait la différence avec Garnet, c’est surtout sa capacité à exploiter pleinement les capacités matérielles actuelles, comme les cœurs multiples, le stockage hiérarchisé et les réseaux rapides, tout en restant simple d’utilisation pour les développeurs d’applications.

Maintenant si vous voulez tester, faire des benchmark et éventuellement un jour remplacer votre Redis, Microsoft a rendu Garnet disponible sur GitHub.