Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Lien affilié – 🍒🍕🥝🍔🥑🥗 ~ 10 € offerts sur vos prochaines courses de bouffe avec JOW avec le code 2LE2QR ~ 🍒🍕🥝🍔🥑🥗

@  — 

Le célèbre lanceur d’alerte Edward Snowden vient de tirer la sonnette d’alarme sur Twitter. Selon lui, les développeurs de Bitcoin ont intérêt à se bouger les fesses pour intégrer des fonctionnalités de confidentialité au niveau du protocole, sinon ça va sentir le roussi !

Snowden a balancé ça en réponse à une annonce de Wasabi Wallet qui a dû suspendre ses services pour les utilisateurs américains. Eh oui, les autorités US s’attaquent en ce moment à plusieurs projets qui osent protéger un tant soit peu la vie privée des utilisateurs de cryptos. Même Trezor, le célèbre fabricant de hardware wallets, a dû mettre un terme à sa fonctionnalité CoinJoin qui permettait d’anonymiser un peu les transactions.

C’est la suite logique de l’arrestation des fondateurs de Tornado Cash, l’année dernière que le département de la justice américain (DOJ) accuse carrément de blanchiment d’argent et de complot ! Tout ça parce qu’ils ont développé un outil pour protéger la vie privée des utilisateurs…

Mais c’est la définition même de « service de transmission monétaire » qui pose problème puisque les procureurs US ont décidé de l’étendre à toutes les sauces, même aux développeurs de wallets qui n’ont aucun contrôle direct sur les fonds des utilisateurs. Autant dire que ça fout un sacré bordel.

Coin Center, un groupe de défense des libertés numériques, parle carrément de violation de la liberté d’expression et de la vie privée et estime que la position du DOJ est une interprétation agressive et démesurée de la loi. Même le FBI s’y met en mettant en garde les Américains contre l’utilisation de services non enregistrés.

Alors qu’est ce que ça implique concrètement pour les utilisateurs lambda ? Eh bien, disons que si vous tenez à votre vie privée, il va falloir redoubler de prudence parce que les plateformes qui exigent une vérification d’identité (le fameux KYC) sont de véritables pièges ! Une fois que votre wallet perso a interagi avec l’une d’entre elles, c’est foutu puisque tout votre historique de transactions en plus d’être exposée au grand jour, est forcement lié à votre identité.

Heureusement, il existe encore quelques solutions pour garder un semblant d’anonymat. Les monnaies confidentielles comme Monero ou Zcash par exemple, qui intègrent des mécanismes de confidentialité directement dans leur protocole. Mais attention, même ces outils ne sont pas parfaits et nécessitent de bien savoir ce qu’on fait.

En attendant, on ne peut qu’espérer que les développeurs de Bitcoin et des autres cryptos prennent au sérieux cet avertissement de Snowden et se bougent pour intégrer des fonctionnalités de confidentialité robustes au cœur même des protocoles. Des mécanismes comme les preuves à divulgation nulle de connaissance (zk-SNARKs) pourraient permettre d’avoir une vraie confidentialité au niveau protocolaire.

En tout cas, une chose est sûre : la bataille pour la vie privée est loin d’être gagnée et il va falloir rester vigilants si vous ne voulez pas vous retrouver à poil sur la blockchain !

Source


@  — 

Sopwith, ce nom ne vous dit peut-être rien, mais ce petit jeu d’avion rétro vient tout juste de souffler ses 40 bougies ! Pour l’occasion, je vous propose donc un petit voyage dans le temps, direction 1984.

À l’époque, les ordis avaient encore une drôle de tête. L’IBM PC, sorti 3 ans plus tôt, était le roi de la jungle informatique et c’est dans ce contexte que David L. Clark, un programmeur de génie chez BMB Compuscience, a pondu Sopwith. Le concept était simple mais diablement efficace : vous pilotez un biplan vu de côté, comme dans les bons vieux scrolling shooters, et vous devez exploser un max d’ennemis.

Jusque-là, rien de bien original… Mais Sopwith avait plus d’un tour dans son sac ! Déjà, le jeu était jouable en réseau, via un système appelé Imaginet. Une vraie prouesse technique pour l’époque et niveau gameplay, c’était top puisque le coucou pouvait lâcher des bombes pour démolir les bâtiments ennemis, exécuter des figures aériennes du feu de dieu pour semer ses adversaires, et même récolter des power-ups pour upgrader son arsenal. Le tout avec une maniabilité aux petits oignons et des graphismes hauts en couleurs pour l’époque.

Résultat des courses, Sopwith est vite devenu un classique sur les IBM PC de l’époque. Les geeks s’arrachaient littéralement le jeu, au point que des copies pirates ont commencé à circuler sous le manteau. D’ailleurs, BMB Compuscience n’a jamais vraiment cherché à le commercialiser, préférant s’en servir comme vitrine technologique.

Et vous savez quoi ? 40 ans après, Sopwith est toujours là !

Grâce à SDL, un clone open source du jeu a pu voir le jour et vous pouvez y jouer directement dans votre navigateur ou sur votre Windows, macOS, Linux, BeOS…etc. Et je peux vous dire que les sensations sont intactes et le plaisir de jeu aussi. Si j’abusais, je dirais que ce jeu n’a pas pris une ride. Mais je n’abuse jamais, je sais rester raisonnable comme garçon.

Bref, si vous voulez replonger dans la grande époque des jeux rétro ou simplement découvrir un morceau d’histoire du jeu vidéo, foncez sur Sopwith. C’est gratuit et c’est fun, et si vous voulez en savoir plus sur l’histoire fascinante de ce jeu culte, jetez un œil à cette page rétrospective sur les 40 ans de Sopwith

@  — 

Ça faisait un bail que je ne vous avais pas parlé stockage et j’ai reçu dans ma boite mail le dernier rapport de Backblaze sur les taux de panne des disques durs au premier trimestre 2024. Moi, ça m’intéresse toujours du coup, je vais vous faire un petit résumé de ce qu’ils racontent. Pour ceux qui ne connaissent pas, Backblaze c’est le gourou du stockage dans le cloud puisqu’ils ont des milliers et des milliers de disques dans leurs datacenters et publient régulièrement des stats sur leur fiabilité.

Alors, qu’est-ce que ça donne pour ce premier trimestre ?

Déjà, le taux de panne global est en baisse, et passe à 1,41% contre 1,53% au trimestre précédent. C’est plutôt une bonne nouvelle et ça s’explique notamment par le remplacement progressif des vieux disques de 4 To qui commençaient à fatiguer. Le taux de panne annualisé (AFR) des 4 To est ainsi passé de 2,33% à 1,36%. Comme quoi, la retraite, ça a du bon.

Mais le plus intéressant, c’est de regarder les taux par modèle et par fabricant. Et là, on a quelques surprises. D’abord, trois modèles Seagate n’ont eu aucune défaillance sur la période : le 16 To ST16000NM002J, le 8 To ST8000NM000A et le 6 To ST6000DX000. Chapeau bas même s’il faut nuancer un peu car l’intervalle de confiance est encore un peu haut sur les deux premiers. Mais le 6 To avec ses 9 ans de service sans broncher, c’est quand même impressionnant.

Côté déceptions, on retrouve des modèles avec des AFR au-dessus de 3,5%, notamment des Seagate 10 To et 14 To, des Toshiba 14 To et des HGST 12 To. Le pompon du fail revient au Seagate 12 To ST12000NM0007 avec un taux de panne annualisé de presque 13% ! Autant dire qu’il ne fait pas bon avoir ce modèle dans son NAS.

En regardant l’âge moyen de panne, on constate aussi une tendance intéressante. Il est passé de 2 ans et demi en 2023 à 2 ans et 10 mois début 2024. Bon, c’est encore tôt pour crier victoire et dire que les disques deviennent de plus en plus robustes, mais c’est un signal encourageant. D’autant que les modèles « actifs » (ceux encore en prod) ont maintenant une moyenne de 2 ans et 11 mois avant la panne. On se rapproche doucement des 3 ans, psychologiquement ça fait une différence.

Pour info, cette tendance suit ce qu’on appelle la courbe en baignoire (bathtub curve en anglais) qui modélise le taux de panne des disques durs au fil du temps. En gros, il y a pas mal de pannes au début (mortalité infantile), puis ça se stabilise pendant quelques années avant de remonter en fin de vie.

Si on zoome sur les disques hautes capacités, qui nous intéressent le plus car les plus fiables, voici ce qui se dégage :

  • En 12 To, les HGST (Hitachi) sont très fiables mais difficiles à trouver. Et les WD qui les ont remplacés commencent à faire leurs preuves.
  • En 14 To, les WD WUH721414ALE6L4, Toshiba MG07ACA14TA et Seagate ST14000NM001G sont de bonnes options. Les deux autres modèles 14 To par contre, bof bof.
  • En 16 To, le choix est large avec 6 modèles au top, surtout chez WD.

En bonus, le rapport nous livre quelques infos intéressantes :

  • Les 4 To, principalement des Toshiba MD04ABA400V qui ont tiré leur révérence, après des années de bons et loyaux services, ont été remplacés par des petits jeunes de 16 To.
  • Backblaze surveille la température des disques et vire ceux qui dépassent les specs du constructeur. Ils ont ainsi mis 275 disques au piquet ce trimestre. Si ça ce n’est pas du management thermique respecté, je sais pas ce que c’est !
  • Et il y a un groupe de 641 disques « à part », qui n’ont pas assez de jours au compteur pour être statistiquement pertinents. Mais ils les surveillent quand même du coin de l’oeil, des fois qu’un d’eux fasse des étincelles.

Voilà, vous savez tout sur ce rapport ! N’hésitez pas à le consulter, et Backblaze publie toutes les données brutes sur leur site. Vous pouvez jouer avec, faire vos propres analyses, identifier les pépites ou les boulets. C’est toujours intéressant de regarder sous le capot comment se comportent ces petites bêtes de stockage.

+ d’infos ici.

@  — 

Ce serait quand même cool si on pouvait créer des applications basées sur l’IA sans avoir à écrire la moindre ligne de code, vous ne trouvez pas ?

Ah mais attendez, c’est possible en fait ! Et comment ? Et bien grâce à Flowise, un outil open source dont la mission est de démocratiser l’accès aux grands modèles de langage (LLM) comme GPT-3 ou LLaMA.

Grâce à une interface intuitive de type drag & drop, Flowise permet aux développeurs de tous niveaux de concevoir et déployer rapidement des agents conversationnels évolués capables de répondre à des requêtes complexes. Comme ça, fini le temps perdu à coder des fonctionnalités de base, votre job c’est juste d’innover et de vous amuser !

Parmi les fonctionnalités phares de Flowise, on retrouve donc :

  • Une bibliothèque de plus de 100 intégrations prêtes à l’emploi (Langchain, LlamaIndex…) pour enrichir vos agents
  • Un éditeur visuel pour orchestrer et enchaîner facilement les différents composants de vos apps
  • La possibilité de créer des agents autonomes, capables d’effectuer des tâches complexes en utilisant différents outils et sources de données
  • Un système de cache et de mise en mémoire pour optimiser les performances et les coûts
  • Des options de déploiement flexibles (API, SDK, widget) pour intégrer vos créations dans n’importe quelle application

Pour vous donner quelques idées, Flowise peut vous aider à créer aussi bien un chatbot spécialisé pour votre boutique en ligne, qu’un assistant personnel pour gérer votre productivité ou encore un outil de recherche intelligent pour votre base de connaissances.

Comme je le disais, la plateforme est entièrement open source et peut même fonctionner en mode « air-gapped » (sans connexion au net) avec des modèles tournant en local, ce qui est pratique si vous avez des projets plus sensibles.

Pour bien débuter avec Flowise, rien de plus simple :

  1. Installez Node.js (version 18.15.0 ou supérieure)
  2. Exécutez la commande npm install -g flowise pour l’installer
  3. Lancez l’application avec npx flowise start
  4. Ouvrez votre navigateur à l’adresse http://localhost:3000 et c’est parti mon kiki.

Vous pouvez aussi utiliser l’image Docker si vous préférez.

Ensuite, pour vous familiariser avec l’outil, vous pourrez utiliser l’un des templates fourni pour faire un agent conversationnel avec mémoire, un chatbot capable d’analyser des documents PDF et Excel ou encore un assistant personnel multi-tâches. Et pour les plus aventureux, Flowise propose également une API et un SDK complet pour intégrer vos créations dans n’importe quel projet.

Si ça vous branche, rendez-vous sur le site officiel.

@  — 

Mauvaise nouvelle, Microsoft vient de mettre en lumière une faille bien vicieuse qui se planque dans un paquet d’applications Android… enfin, quand je dis un paquet, je parle quand même de plus de 4 milliards d’installations concernées.

Cette saleté, baptisée « Dirty Stream« , permet à une app malveillante d’écrire tranquillou dans le répertoire d’une autre app et d’exécuter du code comme bon lui semble.

Mais comment c’est possible ce bazar ?

Eh bien figurez-vous que sous Android, les apps peuvent partager des données entre elles grâce à un système de « fournisseur de contenu ». Jusque là, tout va bien, sauf que certains petits malins ont trouvé le moyen de contourner les contrôles de sécurité en utilisant des « intents personnalisés » mal ficelées.

En clair, une app malveillante envoie un fichier avec un nom ou un chemin trafiqué à une app légitime qui, sans méfiance, l’exécute ou le stocke gentiment dans l’un de ses dossiers critiques. Et paf, l’attaquant peut alors faire mumuse avec les données de l’app cible, voler des infos sensibles comme les identifiants SMB et FTP stockés dans le fichier rmt_i.properties, ou carrément prendre le contrôle de l’app. Bref, c’est le boxon.

Et le pire, c’est que ce genre de boulettes est monnaie courante. Les chercheurs de Microsoft ont épinglé plusieurs apps populaires, comme le gestionnaire de fichiers de Xiaomi (1 milliard d’installations, tout de même) qui utilise un chemin spécifique /files/lib pour sauvegarder les fichiers, ce qui peut être détourné par un attaquant. Autant dire que ça fait un sacré paquet de téléphones exposés.

Heureusement, après avoir prévenu Google et les éditeurs concernés, des correctifs ont été déployés en vitesse. Mais ça la fout mal surtout quand on sait que selon l’équipe de recherche sur la sécurité des applications Android de Google, 20% des apps Android seraient vulnérables à ce type d’attaque. Ouch !

Alors, que faire pour se protéger ?

Et bien commencez par mettre à jour vos apps via le Google Play Store, à vérifier les permissions des app installées et surtout évitez d’installer des appli louches surtout si ça vient d’un store alternatif ou un APK tombé du camion. Et si vous êtes dev Android, il va falloir blinder vos apps en suivant ces bonnes pratiques :

  • Ignorer le nom retourné par le fournisseur de fichiers distant lors de la mise en cache du contenu reçu
  • Utiliser des noms générés aléatoirement ou assainir le nom de fichier avant d’écrire un fichier en cache
  • Vérifier que le fichier en cache se trouve dans un répertoire dédié avant d’effectuer une opération d’écriture
  • Utiliser File.getCanonicalPath et valider le préfixe de la valeur retournée pour s’assurer que le fichier est au bon endroit

Voilà, vous savez tout pour ne pas vous faire dirty streamer dans les grandes largeurs !

Source