Coincée en orbite terrestre pour sa future mission en 2027, la capsule Artémis III va devoir évoluer avec prudence. Pour protéger son équipage, la NASA a calculé une trajectoire très précise afin de slalomer entre les débris des méga-constellations et les radiations spatiales.
Le Cern fermera son installation phare, le LHC, pour les quatre prochaines années. L'occasion de lancer de grands travaux pour améliorer encore les résultats scientifiques de ce tunnel gigantesque qui repousse les frontières de nos connaissances sur la physique.
Dans le langage courant, on confond trop souvent les notions d’énergie et de puissance. Or, ces notions sont au cœur d’enjeux clés pour nos sociétés, comme nous en prenons conscience de façon aiguë lorsque des tensions géopolitiques viennent brutalement renchérir le prix de l’énergie jusqu’à remettre en cause nos modes de vie… On fait le point sur ces deux grandeurs, le lien entre elles et les unités pertinentes pour les quantifier.
Si vous tournez sous Arch Linux et que vous piochez vos paquets dans l'AUR, lâchez ce que vous faites 2 minutes et lisez mon article. Car plus de 400 paquets de l'Arch User Repository ont été vérolés ce 11 juin, et le truc qu'ils embarquent ne rigole pas du tout. En effet, des chercheurs de Sonatype ont repéré une campagne baptisée Atomic Arch où un seul attaquant a réussi à glisser un stealer (un voleur d'identifiants quoi) dans des centaines de paquets d'un coup.
Mais bonne nouvelle avant de paniquer quand même, les dépôts officiels d'Arch (core, extra, multilib) ne sont pas concernés. C'est l'AUR, et uniquement l'AUR.
Si vous avez installé ou mis à jour un paquet AUR ces derniers jours, vous devez donc vérifier si vous n'êtes pas infecté. Des noms comme alvr, gnome-randr-rust ou ipfs-desktop-bin font partie de la liste, et elle est sacrément longue. Le signe qui doit vous mettre la puce à l'oreille, c'est par exemple un paquet qui n'a rien à voir avec du JavaScript et qui se mettrait pourtant à lancer un npm install durant son installation.
Pour sortir la liste de tout ce qui vient de l'AUR sur votre machine, un petit pacman -Qm fera le job, et
le forum de CachyOS
propose également un script qui compare vos paquets à la liste des vérolés connus. Méfiez-vous quand même, car ce script repère juste les noms de paquets piégés, et ne vérifie pas l'intégrité de votre système. Un résultat propre veut dire qu'aucun paquet connu n'est installé chez vous, mais pas que vous êtes tiré d'affaire, alors on reste concentré.
Alors comment ce malware s'est retrouvé dans autant de paquets ?
Eh bien l'attaquant n'a même pas eu besoin de pirater quoi que ce soit puisque l'AUR permet à n'importe qui "d'adopter" les paquets orphelins, c'est-à-dire ceux que leur mainteneur d'origine a laissés tomber. Il a donc récupéré la propriété de centaines de ces paquets abandonnés via la procédure normale, puis modifié leur PKGBUILD pour qu'à l'installation, un hook télécharge en douce un paquet npm piégé du genre atomic-lockfile. Ce paquet déploie ensuite un binaire baptisé deps, et ce deps, c'est une vraie saloperie.
Parce que ce deps, comme je vous le disais, c'est un voleur d'identifiants mais vraiment taillé pour cibler les développeurs. Dans le dos de la victime, il récupère vos clés SSH privées, vos tokens GitHub, vos identifiants npm, Docker et Podman, vos tokens HashiCorp Vault, les cookies et mots de passe de vos navigateurs, vos sessions Slack, Discord ou Telegram, vos configs VPN et même tout votre historique de commandes shell. En clair, toutes les clés de votre vie de dev qui, une fois dans la nature, ouvrent grand la porte vers d'autres systèmes.
Et si vous avez lancé le paquet en root, il installe en prime un rootkit eBPF qui se planque carrément dans le noyau pour masquer ses processus. Le fonctionnement même de ce truc fait alors qu'il est quasi impossible de détecter à l'œil nu si on est infecté ou pas. On est sur la même logique que le ver Shai-Hulud planqué dans des paquets , sauf qu'ici l'échelle a pris une autre dimension.
Alors que faire pour se protéger ?
Eh bien si vous avez le moindre doute, partez du principe que la machine est compromise, surtout si le paquet a tourné avec les droits root. Et supprimer le paquet ne suffira pas car le rootkit, lui, reste planté.
Donc on fait comme d'hab, on régénère tous ses secrets, nouvelles clés SSH, révocation et régénération des tokens GitHub, npm, Docker et Vault, changement des mots de passe stockés dans le navigateur et compagnie... Et pour la suite, comme d'hab, faites attention à ce que vous installez et prenez l'habitude de lire les PKGBUILD avant de valider, parce qu'un script post-install qui fait autre chose qu'un simple echo, ça doit vous faire tiquer direct.
Quoi qu'il en soit, l'AUR n'a jamais été audité, c'est même l'un des principes du truc et tout le monde le sait... mais 400 paquets piégés d'un coup avec un rootkit qui vise vos accès, ça change fortement l'échelle du problème.
Bref, vérifiez vos paquets et faites tourner vos secrets aussi bien que vous faites tourner les serviettes quand c'est le jour du beaujolais au taf !
Et un grand merci à Maximilien pour le lien !
Vendredi 12 juin, SpaceX a réalisé la plus grande introduction en Bourse de l'histoire, 75 milliards de dollars levés, un bond de 19 % dès la première séance. Les marchés ont validé sans hésiter une entreprise qui perd des milliards et dont les actionnaires n'auront quasiment aucun mot à dire.
La présidente de SpaceX, Gwynne Shotwell, vient de dessiner l'avenir à court terme du Starship. Au menu des trois prochains lancements : une session de rattrapage technique, un assaut orbital imminent et un exode surprise vers la Floride.
Face aux frappes américaines, Téhéran réplique sur le terrain de la cyber-guerre asymétrique. Accusé de complicité tactique avec le Pentagone et de briser la censure locale, le réseau satellitaire Starlink de SpaceX est désormais dans le viseur des Gardiens de la révolution.
Face aux frappes américaines, Téhéran réplique sur le terrain de la cyber-guerre asymétrique. Accusé de complicité tactique avec le Pentagone et de briser la censure locale, le réseau satellitaire Starlink de SpaceX est désormais dans le viseur des Gardiens de la révolution.
La présidente de SpaceX, Gwynne Shotwell, vient de dessiner l'avenir à court terme du Starship. Au menu des trois prochains lancements : une session de rattrapage technique, un assaut orbital imminent et un exode surprise vers la Floride.
Si la consommation d'insectes est répandue chez les humains à travers la planète, ce n'est pas le cas en Europe ou même sur l'essentiel de l'hémisphère nord. Une spécificité qui serait déjà en place durant la Préhistoire.
Coincée en orbite terrestre pour sa future mission en 2027, la capsule Artémis III va devoir évoluer avec prudence. Pour protéger son équipage, la NASA a calculé une trajectoire très précise afin de slalomer entre les débris des méga-constellations et les radiations spatiales.
Face aux frappes américaines, Téhéran réplique sur le terrain de la cyber-guerre asymétrique. Accusé de complicité tactique avec le Pentagone et de briser la censure locale, le réseau satellitaire Starlink de SpaceX est désormais dans le viseur des Gardiens de la révolution.
Face aux frappes américaines, Téhéran réplique sur le terrain de la cyber-guerre asymétrique. Accusé de complicité tactique avec le Pentagone et de briser la censure locale, le réseau satellitaire Starlink de SpaceX est désormais dans le viseur des Gardiens de la révolution.
Après l'annonce de l'équipage de la mission Artémis III, de nombreuses personnes se sont indignées en ligne de l'absence de femmes parmi les astronautes choisis. L'administrateur de la Nasa a tenté de se défendre de toute forme de sexisme.
Après avoir dévoilé le commandant de bord, Vast et l'Agence spatiale européenne ont annoncé un autre membre d'équipage, qui officiera en tant que pilote.
Coincée en orbite terrestre pour sa future mission en 2027, la capsule Artémis III va devoir évoluer avec prudence. Pour protéger son équipage, la NASA a calculé une trajectoire très précise afin de slalomer entre les débris des méga-constellations et les radiations spatiales.
Coincée en orbite terrestre pour sa future mission en 2027, la capsule Artémis III va devoir évoluer avec prudence. Pour protéger son équipage, la NASA a calculé une trajectoire très précise afin de slalomer entre les débris des méga-constellations et les radiations spatiales.
Longtemps, Luca Parmitano a incarné le sommet du palmarès spatial européen : durée, sorties extravéhiculaires, commandement de l’ISS. Puis Thomas Pesquet est revenu une deuxième fois en orbite et a effacé plusieurs de ses marques. Mais avec son affectation comme pilote d’Artémis III, l’Italien change de terrain.
La crainte n'est pas neuve. Mais cette fois la démonstration existe : une équipe réunissant l'université de Toronto, le Vector Institute, l'université de Cambridge et la division recherche de ServiceNow a dévoilé un logiciel malveillant capable de raisonner et de s'adapter seul à mesure qu'il progresse dans un réseau, là où les attaques automatisées classiques se bornaient à dérouler un scénario écrit à l'avance.
Le mot choisi par les chercheurs est parlant. Un ver, en informatique, désigne un programme qui se recopie d'une machine à l'autre sans la moindre action de l'utilisateur, à la différence du virus traditionnel qui réclame l'ouverture d'un fichier piégé pour s'activer.
La nouveauté tient au cerveau de l'engin. Plutôt qu'une liste d'instructions figées, le prototype s'appuie sur un grand modèle de langage, la même famille d'intelligence artificielle que celle qui anime les assistants conversationnels grand public, pour examiner chaque machine rencontrée, en déduire les faiblesses et décider lui-même de la marche à suivre avant de se cloner sur la cible suivante.
Les chiffres communiqués donnent la mesure de l'expérience. Dans le réseau de test bâti pour l'occasion, le ver est parvenu à compromettre près de 75 % des machines et à se répliquer sur environ deux tiers d'entre elles, récoltant à chaque intrusion les identifiants et les points faibles qui lui ouvraient l'accès suivant.
Un détail mérite qu'on s'y arrête. Plusieurs des vulnérabilités exploitées n'avaient été rendues publiques qu'au cours de l'année 2026, donc après la date d'arrêt de l'apprentissage du modèle, et le programme a tout de même reconstruit des attaques fonctionnelles à partir des seules descriptions publiées. Il a raisonné, pas récité.
S'ajoute une caractéristique qui complique sérieusement la détection : l'intelligence artificielle s'exécute localement sur les machines déjà infectées, lesquelles lui prêtent la puissance de calcul nécessaire à son raisonnement, ce qui dispense le ver de contacter en permanence un serveur central et réduit d'autant les traces susceptibles d'alerter les équipes de sécurité.
Il faut toutefois remettre les choses à leur juste place. Le travail relève de la preuve de concept menée en laboratoire, dans un environnement fermé, par des universitaires dont l'objectif assumé est d'alerter la communauté de la sécurité avant que des acteurs réellement hostiles ne franchissent le même cap, et rien de tout cela ne circule aujourd'hui dans la nature.
Reste que le signal est difficile à ignorer. Ce qui bridait jusqu'ici la plupart des attaques automatisées tenait à leur rigidité, puisqu'elles échouaient dès que la cible s'écartait du scénario prévu, et c'est exactement cette limite qu'une intelligence artificielle capable de s'adapter fait tomber.
Du coup, les défenses qui reposent sur la reconnaissance de signatures déjà connues ou sur la lenteur habituelle des attaquants à exploiter une faille récente méritent d'être repensées, ce que les chercheurs assument en publiant leurs résultats pour offrir une longueur d'avance aux défenseurs.
Bref, l'IA ne se contente plus d'écrire du code, elle commence à conduire l'attaque elle-même.
Source : Security Affairs
Connexion