Canonical has expanded its Livepatch service to support the Arm64 architecture, enabling zero-downtime kernel updates for compatible hardware. This technology allows critical security patches to be applied to the Linux kernel while the system is running, eliminating the need for immediate reboots. The service is primarily aimed at maintaining high availability for mission-critical servers, edge devices, and cloud infrastructure.

Source

Découvrez Sefirah, l'application open source qui relie Android à Windows et Linux : presse-papiers, notifications, fichiers et recopie d'écran.

Le post Sefirah : une application open source pour relier son smartphone Android à son PC Windows ou Linux a été publié sur IT-Connect.

Systemd 261 introduces a new cloud Instance Metadata Service subsystem featuring the systemd-imdsd daemon. This service provides a unified local interface for accessing metadata across various providers like AWS, Azure, and Google Cloud, reducing the need for provider-specific tools. Administrators can now restrict direct network access to cloud metadata endpoints to enhance security against request forgery and unauthorized access.

Source

Un correctif destiné au noyau Linux 7.2 mentionne le nom NVIDIA Blackwell-Next dans le pilote NVGrace-GPU VFIO.

Cet article Blackwell-Next apparaît dans Linux : un indice sur de futurs GPU de Nvidia a été publié en premier par GinjFo.

Le pilote Vulkan open source NVK pour Linux gagne une compatibilité expérimentale avec la technologie DLSS dans Mesa 26.2-devel.

Cet article Jeu sous Linux, le DLSS est prise en charge par le pilote Vulkan NVK ! a été publié en premier par GinjFo.

Ce tutoriel explique comment installer et configurer l'antivirus ClamAV sur un serveur Linux (Debian, Ubuntu, Linux Mint) via la ligne de commande.

Le post Guide ClamAV : installer et configurer un antivirus sur un serveur Linux a été publié sur IT-Connect.

C'est la fin d'une époque. Le noyau Linux, le cœur du système qui pilote le matériel et les communications, s'apprête à supprimer le support d'AppleTalk, ce vieux protocole réseau qu'Apple utilisait dans les années 80 et 90 pour faire dialoguer ses Mac entre eux avant que TCP/IP, le langage commun d'internet, ne s'impose partout.

À l'époque, c'était plutôt malin: vous branchiez deux machines et une imprimante, et elles se trouvaient toutes seules, sans la moindre configuration, du plug-and-play avant l'heure à un moment où monter un réseau relevait encore du casse-tête réservé aux initiés.

Aujourd'hui, plus grand monde ne parle ce dialecte. Il en subsiste quelques traces dans Bonjour, la techno maison qui détecte automatiquement imprimantes et appareils sur un réseau local, mais le protocole d'origine, lui, est mort depuis longtemps.

Près de 4000 lignes de code vont donc disparaître avec la version 7.2 du noyau, et Apple avait lui-même enterré AppleTalk dès 2009, du temps de Mac OS X Snow Leopard. Autant dire que le préavis a été large.

Le plus étonnant, c'est ce qui a déclenché le grand ménage. Ce n'est pas vraiment l'abandon par les utilisateurs, mais une vague de correctifs générés par intelligence artificielle qui a fini par saturer la liste de diffusion des développeurs réseau.

Depuis quelques mois, des outils basés sur des grands modèles de langage, balancent automatiquement des "corrections" de bugs sur du code que personne n'avait réclamé, pour un protocole que plus aucun matériel ne fait tourner.

Et chaque proposition, même inutile, mobilise un humain qui doit la lire, la tester et vérifier qu'elle ne casse rien ailleurs, du temps précieux soustrait au vrai travail de mainteneurs déjà débordés par les contributions légitimes.

C'est Jakub Kicinski, qui supervise toute la pile réseau du noyau, qui a fini par trancher: plutôt que de faire éplucher par ses équipes des patchs pondus en série par des machines pour réparer une techno morte, il a préféré retirer AppleTalk d'un seul geste.

Et il n'en est pas à son coup d'essai. Au cycle précédent, pour Linux 7.1, il avait déjà passé à la trappe ARCnet, l'ISDN, la radio amateur et toute une collection de vieux pilotes réseau oubliés, soit près de 138 000 lignes effacées d'un coup, dans ce qu'il a lui-même baptisé la "LLM-pocalypse".

Le code d'AppleTalk ne finit quand même pas tout à fait à la poubelle, puisqu'il rejoint AX.25 et la radio amateur dans un dépôt GitHub mis de côté, pour les rares curieux qui voudraient encore bidouiller avec.

Bref, c'est une première: des contributions automatisées qui font retirer du code encore fonctionnel. L'IA ne crée pas toujours. Parfois, elle déblaie.

Source : Phoronix

Arch Linux bloque la création de comptes sur l'AUR le temps de nettoyer une vague de paquets malveillants touchant plus de 1 500 paquets.

Le post AUR : plus de 1 500 paquets compromis, Arch Linux ferme les inscriptions a été publié sur IT-Connect.

Des chercheurs de l'université de Californie à San Diego, épaulés par Google, viennent de prouver un truc contre-intuitif : un Pixel mis au rebut il y a trois ans tient encore tête à un serveur professionnel sur certains calculs, au point qu'on peut en assembler un vrai data center au lieu de le foutre à la poubelle.

L'idée a été posée sur le blog de recherche de Google . Une fois l'appareil ouvert, les chercheurs retirent tout ce qui ne sert plus, l'écran, la batterie au lithium, les caméras et la coque, jusqu'à ne garder que la carte mère et sa puce, ce qu'on appelle un SoC, le processeur qui faisait tourner Android avant qu'on le bascule sur une distribution Linux des plus classiques.

Ce système, le même qui anime déjà l'immense majorité des serveurs de la planète, libère la puce des limites pensées pour un mobile, à commencer par ce bridage qui met les applications en pause dès qu'elles passent à l'arrière-plan. Ensuite, il suffit de relier ces cartes mères entre elles via Kubernetes, l'outil que les géants du web emploient déjà pour piloter les milliers de machines de leurs centres de données comme un seul gros ordinateur.

Le plus déroutant arrive là. Sur la plupart des tests ne mobilisant qu'un seul cœur, un Pixel Fold de 2023 dépasse un serveur ASUS RS720A-E11 pourtant équipé de deux gros processeurs AMD, le genre de bête qu'on retrouve dans les baies des entreprises.

Le serveur empile bien plus de cœurs en parallèle, si bien qu'il faut réunir entre 25 et 50 téléphones pour rivaliser avec son débit total. Mais bon. Dès lors que vous ramassez ces appareils gratuitement au lieu d'acheter du silicium neuf, l'équation se renverse.

Le vrai argument est écologique, puisque près de la moitié des émissions de carbone d'un smartphone sur toute sa vie part dans sa seule fabrication, surtout dans l'assemblage de la carte mère et du processeur, ce fameux carbone gris déjà cramé avant même que l'appareil ne s'allume.

On change pourtant de mobile tous les trois ou quatre ans, en balançant une puissance de calcul encore largement bonne à servir, pendant que les entreprises font fabriquer des serveurs flambant neufs pour les mêmes tâches. Le gâchis est énorme.

L'équipe a pour l'instant fait tourner une grappe de 20 téléphones, qui a encaissé sans broncher le pic de rendu des devoirs d'une classe de plus de 75 étudiants avec une latence plus basse que les services cloud du commerce. Elle prépare déjà un cluster d'environ 2 000 Pixel pour la rentrée, capable d'absorber une centaine de cours d'informatique en même temps pour une fraction du prix du cloud habituel.

Reste à rester lucide. Ces puces ont peu de mémoire, donc on les cantonne aux tâches légères, la correction automatisée ou les carnets de code, loin de l'entraînement d'un gros modèle d'IA.

Mais voir une montagne d'e-déchets se muer en salle de classe numérique, ça donne sacrément envie d'y croire. Surtout vu le nombre de Pixel qui dorment au fond de nos tiroirs, même moi j'en ai deux qui traînent pour tout vous dire.

Source : Techspot

ESET a découvert des variantes Windows du malware SprySOCKS, liées au groupe chinois Earth Lusca, utilisées pour espionner des gouvernements dans quatre pays.

Le post Des versions Windows du malware SprySOCKS visent des gouvernements a été publié sur IT-Connect.

A critical privilege escalation vulnerability in the LiteSpeed cPanel plugin is now being exploited in the wild, prompting a warning from CISA. The flaw, tracked as CVE-2026-54420, allows attackers with basic FTP or web shell access to gain full root privileges on shared hosting environments. This security hole specifically affects servers running CloudLinux or CageFS due to the improper handling of user-provided symlinks.

Source

Le monde des liseuses, c'est un monde impitoyaaaable. Entre les Kobo, les Kindle, les tablettes chinoises ou encore les formats proprio des ebooks et leurs DRM à la con, c'est super difficile de faire le bon choix. Puis ça coûte cher aussi ces petits trucs... Alors si vous visez les économies, l'arrêt des prises de tête et la préservation de la planète, Episteme est un lecteur d'ebooks libre qui va vous plaire.

Il supporte de nombreux formats de livres, à peu près tout ce qui traîne sur vos disques : PDF, EPUB, MOBI, AZW3, FB2, DOCX, ODT, du Markdown, du HTML, et même vos comics en CBZ, CBR et CB7. Et le truc cool, c'est que la même appli tourne aussi bien sur Android, que Windows et Linux (c'est du Kotlin). Pas de version pour macOS par contre... snif.

Episteme sur Android et son interface en Jetpack Compose

Et surtout, avec Epistem, le cœur de lecture reste 100% local, et les trucs en ligne (genre le résumé par IA, le dico, la synthèse vocale cloud...etc) sont totalement optionnels. Notez que la version du Play Store embarque tous ces extras proprio avec achats intégrés.

Mais il existe aussi une édition "OSS Offline" à qui on a carrément retiré les permissions réseau, comme ça, votre liseuse maison ne pourra littéralement plus appeler le moindre serveur, même si elle en avait envie.

La version libre, elle, est dispo sur F-Droid et Github et fonctionne en BYOK, "bring your own key" pour y mettre votre propre clé API pour l'IA au lieu de raquer un abonnement.

Perso, je n'aime pas trop lire de livres électroniques sur mon ordinateur, et je préfère largement mon Kindle mais quand je suis obligé, j'utilise la liseuse intégrée de Calibre, et j'avoue, c'est loin d'être sexy. Episteme, lui, est quand même bien plus agréable, vous verrez...

La même appli sur desktop, Linux comme Windows

Côté confort, vous pouvez tourner les pages ou scroller vers le bas, activer la synthèse vocale, prendre des notes, placer des signets, régler la police et la taille du texte ainsi que la couleur du fond de page.

Ajoutez à cela des thèmes (Sepia, OLED, Slate), un mode reflow pour les PDF, la lecture multi-onglets, un mode musicien et les annotations à l'encre. Et si vous lisez sur un écran e-ink, le vénérable Koodo et KOReader garderont l'avantage c'est sûr, mais sur un écran classique, Episteme envoie du lourd !

Si vous galérez encore à lire vos ebooks librement , c'est clairement une piste à creuser. Ça se télécharge sur le site officiel d'Episteme si ça vous intéresse.

Besoin d'un antivirus sur votre PC Linux ? Découvrez ClamUI, l'interface graphique de ClamAV : installation, scan, protection en temps réel et quarantaine.

Le post ClamUI : un antivirus graphique pour votre PC Linux a été publié sur IT-Connect.

Linux 7.1 dévoile un pilote NTFS entièrement réécrit et un nettoyage en profondeur du noyau. Découvrez les nouveautés principales de cette version.

Le post Noyau Linux 7.1 : entre nouveau pilote NTFS et nettoyage du code, voici les nouveautés a été publié sur IT-Connect.

The Arch Linux security team has disabled new account registrations for the Arch User Repository (AUR) following a large-scale supply chain compromise. Attackers hijacked or created over 1,500 community-maintained packages to deliver malicious payloads, including information stealers and eBPF-based rootkits. While the community-driven AUR was heavily targeted, the official core repositories remained unaffected due to their more stringent review processes.

Source

The stable release of Linux kernel 7.1 is now available, featuring a significant overhaul of the NTFS storage driver and broad hardware performance enhancements. This update includes a completely rewritten NTFS implementation that has been in development for four years to provide full write support and improved stability. Administrators managing cross-platform environments will benefit from better write performance through the integration of iomap and folio technologies.

Source

Plus de 400 paquets de l'Arch User Repository (AUR) ont été compromis pour diffuser un rootkit et un infostealer ciblant les identifiants des développeurs.

Le post Arch Linux : plus de 400 paquets de l’AUR piégés par un rootkit et un infostealer a été publié sur IT-Connect.

A threat group known as Velvet Ant successfully maintained a presence within a large organization's isolated network for ten years by hijacking the authentication stack. The intrusion began in 2016 when the actors compromised internet-facing systems before pivoting into an air-gapped environment with no direct external connection. By establishing a remote execution path through chained Nginx and FastCGI modifications, the attackers bypassed traditional network segregation without requiring direct internet access.

Source

MÀJ du 12 juin : quand j'ai publié cet article, on en était à 400 paquets vérolés. Sauf que le chiffre n'a pas arrêté de grimper dans la journée. Quelques heures plus tard on parlait de 900, puis en fin de journée la liste recensait déjà 1579 paquets touchés, et les devs d'Arch précisent eux-mêmes que cette liste contient "beaucoup, mais pas tous" les paquets concernés. Bref, le décompte bouge en permanence, et il a même été suivi d'une seconde vague d'attaque encore plus sophistiquée. Donc si vous voyez circuler 400, 1500 ou 2000, c'est juste que chacun a pris la photo à un instant différent. La bonne nouvelle, c'est que les développeurs d'Arch ont depuis supprimé tous les commits malveillants qu'ils ont identifiés et estiment l'incident sous contrôle.

Si vous tournez sous Arch Linux et que vous piochez vos paquets dans l'AUR, lâchez ce que vous faites 2 minutes et lisez mon article. Car plus de 400 paquets de l'Arch User Repository ont été vérolés ce 11 juin, et le truc qu'ils embarquent ne rigole pas du tout. En effet, des chercheurs de Sonatype ont repéré une campagne baptisée Atomic Arch où un seul attaquant a réussi à glisser un stealer (un voleur d'identifiants quoi) dans des centaines de paquets d'un coup.

Mais bonne nouvelle avant de paniquer quand même, les dépôts officiels d'Arch (core, extra, multilib) ne sont pas concernés. C'est l'AUR, et uniquement l'AUR.

Si vous avez installé ou mis à jour un paquet AUR ces derniers jours, vous devez donc vérifier si vous n'êtes pas infecté. Des noms comme alvr, gnome-randr-rust ou ipfs-desktop-bin font partie de la liste, et elle est sacrément longue. Le signe qui doit vous mettre la puce à l'oreille, c'est par exemple un paquet qui n'a rien à voir avec du JavaScript et qui se mettrait pourtant à lancer un npm install durant son installation.

Pour sortir la liste de tout ce qui vient de l'AUR sur votre machine, un petit pacman -Qm fera le job, et le forum de CachyOS propose également un script qui compare vos paquets à la liste des vérolés connus. Méfiez-vous quand même, car ce script repère juste les noms de paquets piégés, et ne vérifie pas l'intégrité de votre système. Un résultat propre veut dire qu'aucun paquet connu n'est installé chez vous, mais pas que vous êtes tiré d'affaire, alors on reste concentré.

Alors comment ce malware s'est retrouvé dans autant de paquets ?

Eh bien l'attaquant n'a même pas eu besoin de pirater quoi que ce soit puisque l'AUR permet à n'importe qui "d'adopter" les paquets orphelins, c'est-à-dire ceux que leur mainteneur d'origine a laissés tomber. Il a donc récupéré la propriété de centaines de ces paquets abandonnés via la procédure normale, puis modifié leur PKGBUILD pour qu'à l'installation, un hook télécharge en douce un paquet npm piégé du genre atomic-lockfile. Ce paquet déploie ensuite un binaire baptisé deps, et ce deps, c'est une vraie saloperie.

Parce que ce deps, comme je vous le disais, c'est un voleur d'identifiants mais vraiment taillé pour cibler les développeurs. Dans le dos de la victime, il récupère vos clés SSH privées, vos tokens GitHub, vos identifiants npm, Docker et Podman, vos tokens HashiCorp Vault, les cookies et mots de passe de vos navigateurs, vos sessions Slack, Discord ou Telegram, vos configs VPN et même tout votre historique de commandes shell. En clair, toutes les clés de votre vie de dev qui, une fois dans la nature, ouvrent grand la porte vers d'autres systèmes.

Et si vous avez lancé le paquet en root, il installe en prime un rootkit eBPF qui se planque carrément dans le noyau pour masquer ses processus. Le fonctionnement même de ce truc fait alors qu'il est quasi impossible de détecter à l'œil nu si on est infecté ou pas. On est sur la même logique que le ver Shai-Hulud planqué dans des paquets , sauf qu'ici l'échelle a pris une autre dimension.

Alors que faire pour se protéger ?

Eh bien si vous avez le moindre doute, partez du principe que la machine est compromise, surtout si le paquet a tourné avec les droits root. Et supprimer le paquet ne suffira pas car le rootkit, lui, reste planté.

Donc on fait comme d'hab, on régénère tous ses secrets, nouvelles clés SSH, révocation et régénération des tokens GitHub, npm, Docker et Vault, changement des mots de passe stockés dans le navigateur et compagnie... Et pour la suite, comme d'hab, faites attention à ce que vous installez et prenez l'habitude de lire les PKGBUILD avant de valider, parce qu'un script post-install qui fait autre chose qu'un simple echo, ça doit vous faire tiquer direct.

Quoi qu'il en soit, l'AUR n'a jamais été audité, c'est même l'un des principes du truc et tout le monde le sait... mais des centaines voire plus d'un millier de paquets piégés d'un coup avec un rootkit qui vise vos accès, ça change fortement l'échelle du problème.

Bref, vérifiez vos paquets et faites tourner vos secrets aussi bien que vous faites tourner les serviettes quand c'est le jour du beaujolais au taf !

Et un grand merci à Maximilien pour le lien !

Source