On savait que les modèles d'IA savaient écrire du code, on découvre cette année, de plus en plus qu'ils savent aussi le casser à une échelle qui dépasse l'entendement, et le projet fwupd vient d'en faire les frais d'une manière assez spectaculaire avec sa version 2.0.21, qui rattrape à elle seule plus de 250 problèmes de sécurité potentiels détectés sur les trois derniers mois, par des scanners de vulnérabilités pilotés par l'intelligence artificielle.

Derrière cette vague de correctifs, il y a surtout Mythos, le modèle développé par Anthropic, retiré depuis sur ordre des autorités américaines, et entraîné spécifiquement pour fouiller du code à la recherche de failles exploitables. Et les chiffres de son programme baptisé Project Glasswing donnent le vertige, puisqu'en passant au peigne fin plus de 1000 projets open source, Mythos a pointé environ 23 000 vulnérabilités potentielles, dont près de 1700 ont déjà été confirmées par des sociétés de sécurité externes et plus de 1000 classées graves ou critiques.

fwupd, c'est justement l'un de ces projets passés au crible. Pour rappel, ce logiciel libre est la brique qui s'occupe de mettre à jour le firmware de vos machines sous Linux (le firmware, c'est le petit programme gravé au plus près du matériel, dans la carte mère ou le SSD, et qui démarre avant même le système d'exploitation). Il alimente le LVFS (Linux Vendor Firmware Service), une sorte de magasin centralisé où les fabricants déposent leurs mises à jour, et d'où des millions de PC sous Linux viennent piocher de quoi se mettre à niveau sans bricoler dans le BIOS.

C'est Richard Hughes, le développeur de Red Hat qui pilote fwupd depuis des années, qui a fait le ménage. La 2.0.21 n'apporte volontairement aucune fonctionnalité nouvelle, puisque Hughes s'est contenté de rapatrier les correctifs déjà passés dans la branche récente 2.1.x vers la vieille branche 2.0.x, celle sur laquelle restent accrochées les distributions stables qui n'aiment pas changer de version dans leurs dépôts officiels, du genre Debian ou les déclinaisons pensées pour l'entreprise. Du coup, même les serveurs et les postes figés sur du logiciel volontairement ancien profitent du nettoyage.

Alors il faut quand même relativiser. Sur ces 250 problèmes, on parle de soucis potentiels, pas de portes grandes ouvertes activement exploitées par des pirates, et une bonne partie ne serait sans doute jamais devenue une vraie attaque dans la nature. Sauf que voilà, un bug qui traîne dans du firmware, c'est rarement anodin, vu que ce code tourne avant le système, avec des privilèges énormes, dans un recoin qu'un antivirus ne va quasiment jamais inspecter.

Source : Phoronix

Admettons que vous ayez besoin de transmettre des fichiers d'une machine A à une machine B, le plus vite possible et sans vous prendre la tête ?

Et bien j'ai ce qu'il vous faut et ça s'appelle USB4STREAM, qui vient d'être fraîchement mergé dans Linux 7.2. C'est Intel qui a pondu ce protocole "super simple" (c'est leur expression) pour balancer des paquets bruts d'une machine à une autre, directement par le câble USB4 ou Thunderbolt sans serveur intermédiaire... Juste deux bécanes et un fil.

Et effectivement, comme ils le disent, c'est super simple ! Une fois le module chargé et le stream configuré (un petit tour par ConfigFS pour faire apparaître le device), votre noyau expose des périphériques /dev/tbstreamX, et n'importe quelle application qui sait faire un read/write peut alors taper dedans.

Vous branchez le câble, et il vous suffit ensuite d'écrire dans le device qui doit expédier les données d'un côté, puis de les recevoir sur l'autre machine. C'est tout... Du Unix pur jus, où tout est un fichier.

Et les usages sont beaucoup plus larges qu'on ne croit... Y'a donc du transfert de fichiers d'un ordinateur à un autre, évidemment (un peu comme Croc , mais sans passer par le réseau du tout) mais aussi, pourquoi pas, du partage de webcam entre deux systèmes, ou permettre un accès à n'importe quel flux de données brutes en basse latence. Ainsi, plus besoin de passer par des serveurs tiers dans le cloud, ou d'installer un outil de transfert en réseau local .

Ça me rappelle quand je jouais avec les copains à des jeux vidéos en utilisant un port série sur le PC... À l'ancienne comme on aime, sauf qu'on est en 2026 et qu'on a maintenant 40 Gb/s dans le tuyau !

Puis contrairement à Thunderbolt qui nous promettait la vitesse de l'éclair il y a plus de dix ans (ouais, je vous sors les archives là...lol), là c'est natif Linux, et dispo pour tout le monde via un simple device !

Le choix raffiné : le câble, pas le cloud

Le patch d'Intel est d'ailleurs passé tranquillou puisqu'ils l'ont glissé dans le pull USB/Thunderbolt de la merge window, et c'est Linus Torvalds lui-même qui l'a mergé sur master sans la moindre objection. Et quand Linus laisse passer sans râler, c'est plutôt bon signe.

Le reste du lot vaut le coup d'œil aussi puisque cette même pull améliore l'allocation des tunnels DisplayPort en multi-écran sur Thunderbolt, et ajoute un pilote de température pour le contrôleur xHCI du chipset AMD Promontory 21. Notez que ce dernier a été écrit en partie par Codex, l'agent de codage d'OpenAI... Mais balek tant que c'est propre et que ça fonctionne.

Bref, si vous avez deux machines en USB4 sous la main, gardez un œil sur le noyau Linux 7.2...

Source

The Linux Foundation has introduced the Agent Name Service (ANS), an open standard designed to provide artificial intelligence agents with trusted identities. This framework utilizes the existing Domain Name System (DNS) to verify an agent's organizational affiliation and specific permissions. By anchoring identity to DNS, the service avoids proprietary registries and allows for the verification of an agent's code integrity and activity history.

Source

Le système d'exploitation SteamOS de Valve se déploie désormais à plus grande échelle. Votre PC est-il compatible ?

Cet article SteamOS arrive sur PC, Valve transforme votre ordinateur en console de salon a été publié en premier par GinjFo.

Canonical has expanded its Livepatch service to support the Arm64 architecture, enabling zero-downtime kernel updates for compatible hardware. This technology allows critical security patches to be applied to the Linux kernel while the system is running, eliminating the need for immediate reboots. The service is primarily aimed at maintaining high availability for mission-critical servers, edge devices, and cloud infrastructure.

Source

Découvrez Sefirah, l'application open source qui relie Android à Windows et Linux : presse-papiers, notifications, fichiers et recopie d'écran.

Le post Sefirah : une application open source pour relier son smartphone Android à son PC Windows ou Linux a été publié sur IT-Connect.

Systemd 261 introduces a new cloud Instance Metadata Service subsystem featuring the systemd-imdsd daemon. This service provides a unified local interface for accessing metadata across various providers like AWS, Azure, and Google Cloud, reducing the need for provider-specific tools. Administrators can now restrict direct network access to cloud metadata endpoints to enhance security against request forgery and unauthorized access.

Source

Un correctif destiné au noyau Linux 7.2 mentionne le nom NVIDIA Blackwell-Next dans le pilote NVGrace-GPU VFIO.

Cet article Blackwell-Next apparaît dans Linux : un indice sur de futurs GPU de Nvidia a été publié en premier par GinjFo.

Le pilote Vulkan open source NVK pour Linux gagne une compatibilité expérimentale avec la technologie DLSS dans Mesa 26.2-devel.

Cet article Jeu sous Linux, le DLSS est prise en charge par le pilote Vulkan NVK ! a été publié en premier par GinjFo.

Ce tutoriel explique comment installer et configurer l'antivirus ClamAV sur un serveur Linux (Debian, Ubuntu, Linux Mint) via la ligne de commande.

Le post Guide ClamAV : installer et configurer un antivirus sur un serveur Linux a été publié sur IT-Connect.

C'est la fin d'une époque. Le noyau Linux, le cœur du système qui pilote le matériel et les communications, s'apprête à supprimer le support d'AppleTalk, ce vieux protocole réseau qu'Apple utilisait dans les années 80 et 90 pour faire dialoguer ses Mac entre eux avant que TCP/IP, le langage commun d'internet, ne s'impose partout.

À l'époque, c'était plutôt malin: vous branchiez deux machines et une imprimante, et elles se trouvaient toutes seules, sans la moindre configuration, du plug-and-play avant l'heure à un moment où monter un réseau relevait encore du casse-tête réservé aux initiés.

Aujourd'hui, plus grand monde ne parle ce dialecte. Il en subsiste quelques traces dans Bonjour, la techno maison qui détecte automatiquement imprimantes et appareils sur un réseau local, mais le protocole d'origine, lui, est mort depuis longtemps.

Près de 4000 lignes de code vont donc disparaître avec la version 7.2 du noyau, et Apple avait lui-même enterré AppleTalk dès 2009, du temps de Mac OS X Snow Leopard. Autant dire que le préavis a été large.

Le plus étonnant, c'est ce qui a déclenché le grand ménage. Ce n'est pas vraiment l'abandon par les utilisateurs, mais une vague de correctifs générés par intelligence artificielle qui a fini par saturer la liste de diffusion des développeurs réseau.

Depuis quelques mois, des outils basés sur des grands modèles de langage, balancent automatiquement des "corrections" de bugs sur du code que personne n'avait réclamé, pour un protocole que plus aucun matériel ne fait tourner.

Et chaque proposition, même inutile, mobilise un humain qui doit la lire, la tester et vérifier qu'elle ne casse rien ailleurs, du temps précieux soustrait au vrai travail de mainteneurs déjà débordés par les contributions légitimes.

C'est Jakub Kicinski, qui supervise toute la pile réseau du noyau, qui a fini par trancher: plutôt que de faire éplucher par ses équipes des patchs pondus en série par des machines pour réparer une techno morte, il a préféré retirer AppleTalk d'un seul geste.

Et il n'en est pas à son coup d'essai. Au cycle précédent, pour Linux 7.1, il avait déjà passé à la trappe ARCnet, l'ISDN, la radio amateur et toute une collection de vieux pilotes réseau oubliés, soit près de 138 000 lignes effacées d'un coup, dans ce qu'il a lui-même baptisé la "LLM-pocalypse".

Le code d'AppleTalk ne finit quand même pas tout à fait à la poubelle, puisqu'il rejoint AX.25 et la radio amateur dans un dépôt GitHub mis de côté, pour les rares curieux qui voudraient encore bidouiller avec.

Bref, c'est une première: des contributions automatisées qui font retirer du code encore fonctionnel. L'IA ne crée pas toujours. Parfois, elle déblaie.

Source : Phoronix

Arch Linux bloque la création de comptes sur l'AUR le temps de nettoyer une vague de paquets malveillants touchant plus de 1 500 paquets.

Le post AUR : plus de 1 500 paquets compromis, Arch Linux ferme les inscriptions a été publié sur IT-Connect.

Des chercheurs de l'université de Californie à San Diego, épaulés par Google, viennent de prouver un truc contre-intuitif : un Pixel mis au rebut il y a trois ans tient encore tête à un serveur professionnel sur certains calculs, au point qu'on peut en assembler un vrai data center au lieu de le foutre à la poubelle.

L'idée a été posée sur le blog de recherche de Google . Une fois l'appareil ouvert, les chercheurs retirent tout ce qui ne sert plus, l'écran, la batterie au lithium, les caméras et la coque, jusqu'à ne garder que la carte mère et sa puce, ce qu'on appelle un SoC, le processeur qui faisait tourner Android avant qu'on le bascule sur une distribution Linux des plus classiques.

Ce système, le même qui anime déjà l'immense majorité des serveurs de la planète, libère la puce des limites pensées pour un mobile, à commencer par ce bridage qui met les applications en pause dès qu'elles passent à l'arrière-plan. Ensuite, il suffit de relier ces cartes mères entre elles via Kubernetes, l'outil que les géants du web emploient déjà pour piloter les milliers de machines de leurs centres de données comme un seul gros ordinateur.

Le plus déroutant arrive là. Sur la plupart des tests ne mobilisant qu'un seul cœur, un Pixel Fold de 2023 dépasse un serveur ASUS RS720A-E11 pourtant équipé de deux gros processeurs AMD, le genre de bête qu'on retrouve dans les baies des entreprises.

Le serveur empile bien plus de cœurs en parallèle, si bien qu'il faut réunir entre 25 et 50 téléphones pour rivaliser avec son débit total. Mais bon. Dès lors que vous ramassez ces appareils gratuitement au lieu d'acheter du silicium neuf, l'équation se renverse.

Le vrai argument est écologique, puisque près de la moitié des émissions de carbone d'un smartphone sur toute sa vie part dans sa seule fabrication, surtout dans l'assemblage de la carte mère et du processeur, ce fameux carbone gris déjà cramé avant même que l'appareil ne s'allume.

On change pourtant de mobile tous les trois ou quatre ans, en balançant une puissance de calcul encore largement bonne à servir, pendant que les entreprises font fabriquer des serveurs flambant neufs pour les mêmes tâches. Le gâchis est énorme.

L'équipe a pour l'instant fait tourner une grappe de 20 téléphones, qui a encaissé sans broncher le pic de rendu des devoirs d'une classe de plus de 75 étudiants avec une latence plus basse que les services cloud du commerce. Elle prépare déjà un cluster d'environ 2 000 Pixel pour la rentrée, capable d'absorber une centaine de cours d'informatique en même temps pour une fraction du prix du cloud habituel.

Reste à rester lucide. Ces puces ont peu de mémoire, donc on les cantonne aux tâches légères, la correction automatisée ou les carnets de code, loin de l'entraînement d'un gros modèle d'IA.

Mais voir une montagne d'e-déchets se muer en salle de classe numérique, ça donne sacrément envie d'y croire. Surtout vu le nombre de Pixel qui dorment au fond de nos tiroirs, même moi j'en ai deux qui traînent pour tout vous dire.

Source : Techspot

ESET a découvert des variantes Windows du malware SprySOCKS, liées au groupe chinois Earth Lusca, utilisées pour espionner des gouvernements dans quatre pays.

Le post Des versions Windows du malware SprySOCKS visent des gouvernements a été publié sur IT-Connect.

Le monde des liseuses, c'est un monde impitoyaaaable. Entre les Kobo, les Kindle, les tablettes chinoises ou encore les formats proprio des ebooks et leurs DRM à la con, c'est super difficile de faire le bon choix. Puis ça coûte cher aussi ces petits trucs... Alors si vous visez les économies, l'arrêt des prises de tête et la préservation de la planète, Episteme est un lecteur d'ebooks libre qui va vous plaire.

Il supporte de nombreux formats de livres, à peu près tout ce qui traîne sur vos disques : PDF, EPUB, MOBI, AZW3, FB2, DOCX, ODT, du Markdown, du HTML, et même vos comics en CBZ, CBR et CB7. Et le truc cool, c'est que la même appli tourne aussi bien sur Android, que Windows et Linux (c'est du Kotlin). Pas de version pour macOS par contre... snif.

Episteme sur Android et son interface en Jetpack Compose

Et surtout, avec Epistem, le cœur de lecture reste 100% local, et les trucs en ligne (genre le résumé par IA, le dico, la synthèse vocale cloud...etc) sont totalement optionnels. Notez que la version du Play Store embarque tous ces extras proprio avec achats intégrés.

Mais il existe aussi une édition "OSS Offline" à qui on a carrément retiré les permissions réseau, comme ça, votre liseuse maison ne pourra littéralement plus appeler le moindre serveur, même si elle en avait envie.

La version libre, elle, est dispo sur F-Droid et Github et fonctionne en BYOK, "bring your own key" pour y mettre votre propre clé API pour l'IA au lieu de raquer un abonnement.

Perso, je n'aime pas trop lire de livres électroniques sur mon ordinateur, et je préfère largement mon Kindle mais quand je suis obligé, j'utilise la liseuse intégrée de Calibre, et j'avoue, c'est loin d'être sexy. Episteme, lui, est quand même bien plus agréable, vous verrez...

La même appli sur desktop, Linux comme Windows

Côté confort, vous pouvez tourner les pages ou scroller vers le bas, activer la synthèse vocale, prendre des notes, placer des signets, régler la police et la taille du texte ainsi que la couleur du fond de page.

Ajoutez à cela des thèmes (Sepia, OLED, Slate), un mode reflow pour les PDF, la lecture multi-onglets, un mode musicien et les annotations à l'encre. Et si vous lisez sur un écran e-ink, le vénérable Koodo et KOReader garderont l'avantage c'est sûr, mais sur un écran classique, Episteme envoie du lourd !

Si vous galérez encore à lire vos ebooks librement , c'est clairement une piste à creuser. Ça se télécharge sur le site officiel d'Episteme si ça vous intéresse.

Besoin d'un antivirus sur votre PC Linux ? Découvrez ClamUI, l'interface graphique de ClamAV : installation, scan, protection en temps réel et quarantaine.

Le post ClamUI : un antivirus graphique pour votre PC Linux a été publié sur IT-Connect.

Linux 7.1 dévoile un pilote NTFS entièrement réécrit et un nettoyage en profondeur du noyau. Découvrez les nouveautés principales de cette version.

Le post Noyau Linux 7.1 : entre nouveau pilote NTFS et nettoyage du code, voici les nouveautés a été publié sur IT-Connect.

Plus de 400 paquets de l'Arch User Repository (AUR) ont été compromis pour diffuser un rootkit et un infostealer ciblant les identifiants des développeurs.

Le post Arch Linux : plus de 400 paquets de l’AUR piégés par un rootkit et un infostealer a été publié sur IT-Connect.

MÀJ du 12 juin : quand j'ai publié cet article, on en était à 400 paquets vérolés. Sauf que le chiffre n'a pas arrêté de grimper dans la journée. Quelques heures plus tard on parlait de 900, puis en fin de journée la liste recensait déjà 1579 paquets touchés, et les devs d'Arch précisent eux-mêmes que cette liste contient "beaucoup, mais pas tous" les paquets concernés. Bref, le décompte bouge en permanence, et il a même été suivi d'une seconde vague d'attaque encore plus sophistiquée. Donc si vous voyez circuler 400, 1500 ou 2000, c'est juste que chacun a pris la photo à un instant différent. La bonne nouvelle, c'est que les développeurs d'Arch ont depuis supprimé tous les commits malveillants qu'ils ont identifiés et estiment l'incident sous contrôle.

Si vous tournez sous Arch Linux et que vous piochez vos paquets dans l'AUR, lâchez ce que vous faites 2 minutes et lisez mon article. Car plus de 400 paquets de l'Arch User Repository ont été vérolés ce 11 juin, et le truc qu'ils embarquent ne rigole pas du tout. En effet, des chercheurs de Sonatype ont repéré une campagne baptisée Atomic Arch où un seul attaquant a réussi à glisser un stealer (un voleur d'identifiants quoi) dans des centaines de paquets d'un coup.

Mais bonne nouvelle avant de paniquer quand même, les dépôts officiels d'Arch (core, extra, multilib) ne sont pas concernés. C'est l'AUR, et uniquement l'AUR.

Si vous avez installé ou mis à jour un paquet AUR ces derniers jours, vous devez donc vérifier si vous n'êtes pas infecté. Des noms comme alvr, gnome-randr-rust ou ipfs-desktop-bin font partie de la liste, et elle est sacrément longue. Le signe qui doit vous mettre la puce à l'oreille, c'est par exemple un paquet qui n'a rien à voir avec du JavaScript et qui se mettrait pourtant à lancer un npm install durant son installation.

Pour sortir la liste de tout ce qui vient de l'AUR sur votre machine, un petit pacman -Qm fera le job, et le forum de CachyOS propose également un script qui compare vos paquets à la liste des vérolés connus. Méfiez-vous quand même, car ce script repère juste les noms de paquets piégés, et ne vérifie pas l'intégrité de votre système. Un résultat propre veut dire qu'aucun paquet connu n'est installé chez vous, mais pas que vous êtes tiré d'affaire, alors on reste concentré.

Alors comment ce malware s'est retrouvé dans autant de paquets ?

Eh bien l'attaquant n'a même pas eu besoin de pirater quoi que ce soit puisque l'AUR permet à n'importe qui "d'adopter" les paquets orphelins, c'est-à-dire ceux que leur mainteneur d'origine a laissés tomber. Il a donc récupéré la propriété de centaines de ces paquets abandonnés via la procédure normale, puis modifié leur PKGBUILD pour qu'à l'installation, un hook télécharge en douce un paquet npm piégé du genre atomic-lockfile. Ce paquet déploie ensuite un binaire baptisé deps, et ce deps, c'est une vraie saloperie.

Parce que ce deps, comme je vous le disais, c'est un voleur d'identifiants mais vraiment taillé pour cibler les développeurs. Dans le dos de la victime, il récupère vos clés SSH privées, vos tokens GitHub, vos identifiants npm, Docker et Podman, vos tokens HashiCorp Vault, les cookies et mots de passe de vos navigateurs, vos sessions Slack, Discord ou Telegram, vos configs VPN et même tout votre historique de commandes shell. En clair, toutes les clés de votre vie de dev qui, une fois dans la nature, ouvrent grand la porte vers d'autres systèmes.

Et si vous avez lancé le paquet en root, il installe en prime un rootkit eBPF qui se planque carrément dans le noyau pour masquer ses processus. Le fonctionnement même de ce truc fait alors qu'il est quasi impossible de détecter à l'œil nu si on est infecté ou pas. On est sur la même logique que le ver Shai-Hulud planqué dans des paquets , sauf qu'ici l'échelle a pris une autre dimension.

Alors que faire pour se protéger ?

Eh bien si vous avez le moindre doute, partez du principe que la machine est compromise, surtout si le paquet a tourné avec les droits root. Et supprimer le paquet ne suffira pas car le rootkit, lui, reste planté.

Donc on fait comme d'hab, on régénère tous ses secrets, nouvelles clés SSH, révocation et régénération des tokens GitHub, npm, Docker et Vault, changement des mots de passe stockés dans le navigateur et compagnie... Et pour la suite, comme d'hab, faites attention à ce que vous installez et prenez l'habitude de lire les PKGBUILD avant de valider, parce qu'un script post-install qui fait autre chose qu'un simple echo, ça doit vous faire tiquer direct.

Quoi qu'il en soit, l'AUR n'a jamais été audité, c'est même l'un des principes du truc et tout le monde le sait... mais des centaines voire plus d'un millier de paquets piégés d'un coup avec un rootkit qui vise vos accès, ça change fortement l'échelle du problème.

Bref, vérifiez vos paquets et faites tourner vos secrets aussi bien que vous faites tourner les serviettes quand c'est le jour du beaujolais au taf !

Et un grand merci à Maximilien pour le lien !

Source