Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Alerte rouge dans la galaxie des navigateurs web ! Microsoft vient d’annonce qu’une faille critique 0-day a été découverte dans Edge et corrigée en urgence. Mais attention, cette vulnérabilité ne se limite pas au navigateur de Microsoft puisque c’est toute la famille Chromium qui est touchée !

Google a bien tenté de faire profil bas en publiant discrètement un correctif pour Chrome le 26 mars, sans trop s’étendre sur les détails. Mais c’était sans compter sur la perspicacité de Microsoft qui a mis les pieds dans le plat en confirmant que l’exploit était activement utilisé par des cybercriminels. Aïe !

Baptisée CVE-2024-2883, cette vilaine faille se cache dans le moteur graphique ANGLE (Almost Native Graphics Layer Engine) utilisé par les navigateurs Chromium pour faire tourner le WebGL. En gros, c’est la porte d’entrée parfaite pour exécuter du code malveillant sur votre machine.

Heureusement, Microsoft a réagi au quart de tour en sortant illico presto la version 123.0.2420.65 d’Edge qui colmate la brèche. Mais attention, si vous utilisez un autre navigateur basé sur Chromium comme Chrome, Brave, Vivaldi ou Opera, vous êtes aussi concernés. Alors, foncez vérifier que vous avez bien la dernière version à jour !

Pour ce faire, rien de plus simple : tapez « chrome://settings/help » (ou l’équivalent pour votre navigateur) dans la barre d’adresse et laissez la magie opérer. Si une mise à jour est disponible, elle sera téléchargée et installée automatiquement. Ensuite, relancez le navigateur et le tour est joué !

Ce n’est pas la première fois qu’une faille 0-day fait trembler le monde des navigateurs. En 2021, une vulnérabilité similaire avait été découverte dans Chrome et avait été activement exploitée pendant des semaines avant d’être corrigée. Un vrai cauchemar pour les utilisateurs et les éditeurs !

Source



Si vous êtes un développeur à la recherche d’un nouvel éditeur de code, vous allez être content avec Lapce dispo pour Windows, Linux et macOS. Encore en version pré-alpha, Lapce n’a d’autres ambitions que de venir chatouiller les orteils de Visual Studio Code.

Pour le moment, on en est loin, mais cet éditeur a quand même quelques atouts dans sa manche. Tout d’abord, son interface graphique et ses performances sont au top du top de l’optimisation grâce au langage dans lequel il est codé, à savoir Rust.

En effet, grâce à l’accélération GPU intégrée à l’interface graphique native, les lags au lancement de l’éditeur et lors de la saisie sont totalement éliminés. Pour les développeurs de Lapce, tout ralentissement lors de la frappe est considéré comme un bug et sera donc résolu.

L’une des fonctionnalités les plus intéressantes de Lapce est la possibilité de se connecter à une machine distante en toute transparence via SSH, pour bénéficier d’une expérience « locale ». Cela vous permet de profiter d’un environnement identique à votre serveur de production ou d’exploiter toutes les performances de la machine distante. Idéal pour les développeurs travaillant en équipe ou en télétravail.

Côté mise en forme du code, Lapce utilise Tree-sitter pour la coloration syntaxique, ce qui est une solution bien plus rapide et efficace que les techniques à l’ancienne basées sur les expressions régulières (regex). De plus, la prise en charge intégrée du protocole LSP (Language Server Protocol) permet à Lapce de proposer de la complétion de code, des diagnostics ainsi que des actions éventuelles sur le code analysé en temps réel.

Si vous êtes un utilisateur de Vim, bah déjà bon courage. Mais surtout, ne vous inquiétez pas, Lapce intègre nativement une expérience d’édition similaire à Vim, sans avoir besoin d’installer de plugin. Vous n’avez qu’à activer l’option d’édition modale dans les paramètres de l’IDE et vous pourrez utiliser tous vos raccourcis Vim comme un bon tröll velu.

Pour encore plus de personnalisation, vous pouvez aussi écrire vos propres plugins pour Lapce en utilisant n’importe quel langage de programmation capable d’être compilé pour produire du WASI (WebAssembly System Interface). Ainsi, vous pouvez choisir un langage de programmation que vous aimez pour créer des plugins rapidement sans apprendre un truc spécifique.

Enfin, Lapce vous permet de lancer un terminal directement dans le répertoire de votre espace de travail, sans quitter l’éditeur. Cette fonction simplifie la gestion des fichiers et des dossiers, rendant votre workflow encore plus fluide.

Bref, bien que Lapce soit encore en phase pré-alpha, et loiiiin d’égaler Visual Studio Code, cet éditeur open source écrit en Rust, est promis à un bel avenir chez tous ceux pour qui les perfs sont très importantes (tout le monde quoi…).

Rendez-vous sur lapce.dev pour en savoir plus ! Et la doc est ici.

Merci à Lorenper


Saviez-vous qu’une faille de sécurité plus vicieuse qu’un boss de fin de niveau est tapie dans les entrailles de notre cher Linux depuis plus d’une décennie ? Et attention, on ne parle pas d’un vulgaire bug qui fait planter votre distrib’ préférée, non non. Cette saleté, baptisée « WallEscape » par Skyler Ferrante, un chercheur en sécurité un peu barré (on y reviendra), permet ni plus ni moins à un petit malin de vous subtiliser votre précieux mot de passe Admin !

Tout commence avec une commande anodine appelée « wall« , présente dans le package util-linux. Son petit boulot à elle, c’est d’envoyer des messages à tous les utilisateurs connectés sur une même machine. Jusque-là, rien de bien méchant, vous me direz.

Sauf que voilà, un beau jour, ou plutôt un sale jour de 2013, un commit un peu foireux est venu s’immiscer dans le code de wall tel un cheveu sur la soupe. Depuis, cette brebis galeuse s’est gentiment propagée dans toutes les versions de util-linux, tel un virus informatique qui s’ignore.

Mais qu’est-ce qu’il y avait de si terrible dans ce ce commit ? Eh bien, pour faire simple, le dev qui l’a poussé, a tout bonnement oublié de filtrer correctement les fameuses « escape sequences » dans les arguments de la ligne de commande. Résultat des courses : un petit malin un peu bricoleur peut maintenant s’amuser à injecter tout un tas de caractères de contrôle pour faire des trucs pas très catholiques sur votre terminal.

Et c’est là que notre ami chercheur en sécurité dont je vous parlais au début de l’article, entre en scène. Armé de sa curiosité légendaire et de son sens de l’humour douteux, il a flairé le potentiel de la faille et s’est amusé à monter un scénario d’attaque digne d’un film de ma saga préférée : « Die Hard ». L’idée, diaboliquement géniale, est d’utiliser ces fameuses « escape sequences » non filtrées pour créer de fausses invites sudo sur le terminal de la victime. Ainsi, tel un loup déguisé en agneau, l’attaquant peut vous inciter à gentiment taper votre mot de passe administrateur, pensant avoir affaire à une véritable demande d’authentification système.

Bon, je vous rassure tout de suite, il y a quand même quelques conditions à remplir pour que l’attaque fonctionne. Déjà, il faut que l’option « mesg » soit activée sur votre machine et que la commande wall ait les permissions setgid.

Bien sûr, en tant que vrai geek qui se respecte, vous avez probablement déjà mis à jour votre système avec la dernière version de util-linux qui colmate la brèche. Sinon, vous pouvez toujours vérifier que les permissions setgid ne sont pas activées sur wall ou carrément désactiver cette fonctionnalité de messages avec « mesg« .

En attendant, je ne peux que vous encourager à jeter un coup d’œil au PoC de notre ami chercheur, histoire de voir à quoi peut ressembler une fausse invite sudo des familles. C’est toujours ça de pris pour briller en société.

Allez, amusez-vous bien et n’oubliez pas : sudo rm -rf /*, c’est le mal !

Source


Tiens, tiens, ce cher Elon Musk nous réserve encore des surprises de taille avec X, anciennement connue sous le nom de Twitter ! Le milliardaire vient d’annoncer que certains comptes auront désormais accès gratuitement à des fonctionnalités premium. Il se prend pour Xavier Niel, le gars 🙂

Concrètement, si votre compte X a plus de 2500 abonnés vérifiés, vous allez pouvoir profiter des fonctionnalités Premium sans débourser un centime. Et si vous avez la chance d’avoir plus de 5000 fidèles followers, c’est carrément Premium+ qui vous tend les bras !

Avant cette annonce fracassante, il fallait casquer 8$ par mois pour avoir accès à Premium et tous ses avantages : des posts plus longs, des uploads vidéos plus conséquents, une priorité dans les réponses et moins de pubs dans votre timeline. Quant aux utilisateurs Premium+, en plus de dire adieu à la publicité, ils ont même droit à Grok, le chatbot d’IA générative de X.

Depuis qu’Elon Musk a racheté Twitter pour la modique somme de 44 milliards de dollars en avril 2022, le réseau social a beaucoup fait parler de lui. Entre les polémiques sur la liberté d’expression, les changements de nom, et les fonctionnalités qui changent ou disparaissent, on ne s’ennuie pas une seconde.

Mais tout n’est pas rose dans le monde merveilleux de X. Un juge américain vient de rejeter une plainte déposée par la plateforme contre un groupe accusant X de laisser proliférer les discours haineux depuis l’arrivée de Musk aux manettes. Le juge a estimé que X ne supportait pas la critique et punissait les défendeurs pour leur liberté d’expression. Un revers cinglant pour le réseau social qui compte bien faire appel.

Et comme si cela ne suffisait pas, le nombre d’utilisateurs quotidiens de X serait en chute libre par rapport à ses concurrents comme Instagram et TikTok. Selon des chiffres rapportés par NBC News, l’utilisation quotidienne de X aux États-Unis aurait chuté de 23% depuis novembre 2022, juste après la finalisation du rachat par Musk. Une baisse bien plus importante que pour les autres géants des réseaux sociaux sur la même période.

Au niveau mondial, c’est pas la joie non plus. Les utilisateurs actifs quotidiens sur X sont descendu à 174 millions, soit une baisse de 15% par rapport à l’année précédente. Pendant ce temps-là, Snapchat, Instagram, Facebook et TikTok continuent de voir leur nombre d’utilisateurs grimper. Aïe aïe aïe…

Alors certes, Elon Musk et son équipe peuvent se vanter d’accueillir encore 250 millions d’utilisateurs quotidiens dans le monde, comme l’a fièrement annoncé X Data en mars dernier. Mais n’oublions pas que c’est quand même moins que les 258 millions revendiqués par le patron en personne fin 2022.

Malgré ces quelques zones de turbulences, X continue d’avancer et d’innover pour séduire les utilisateurs. Les nouvelles fonctionnalités premium gratuites pourraient bien doper l’attractivité de la plateforme et convaincre les indécis de sauter le pas. Après tout, qui n’a pas envie de pouvoir poster des messages plus longs et des vidéos de meilleure qualité sans payer un centime ?

Source


La FDN (French Data Network), cette association de héros du Net qui défend nos libertés numériques propose un VPN public en accès libre ! Oui, un accès VPN gratuit et accessible à tous, pour surfer sur la Toile en mode ninja.

Pour rappel, un VPN (Virtual Private Network), c’est comme le tunnel magique d’El Chapo, sauf que ça chiffre toutes vos données quand vous vous baladez sur Internet. Vos échanges étant chiffrés de bout en bout, même les vilains FAI qui voudraient mettre leur nez dans vos petites affaires en ligne ne verront que du charabia incompréhensible. Avec le VPN de la FDN, vous allez pouvoir semer les mouchards, contourner la censure et naviguer en toute tranquillité, même sur les réseaux publics craignos.

Pour en profiter, c’est super simple. Il vous suffit d’installer le client OpenVPN sur votre ordi, votre smartphone ou votre tablette. Ensuite, vous téléchargez la configuration du VPN de la FDN, et hop, vous voilà paré.

Le VPN public de la FDN utilise les serveurs de l’asso, et s’engage à respecter votre vie privée et à ne pas logger vos données. Ça rend bien service donc et en plus, c’est l’occasion de soutenir la FDN qui se bat au quotidien pour nos droits et libertés sur Internet en leur faisant un petit don ou en rejoignant l’association si vous pouvez.

Personnellement, je dis un grand merci à toute l’équipe de la FDN pour cette initiative géniale. Ça fait du bien de voir qu’on peut encore compter sur des assos comme ça pour défendre l’intérêt général.

Pour essayer ce VPN, foncez sur https://vpn-public.fdn.fr.

Source