Apparemment, ce n'est pas la premiĂšre fois que l'on parle de la faille Ă l'origine de cette fuite (et de beaucoup d'autres) ici ; il y a mĂȘme tout un historique.
Pourquoi ça changerait Ă court terme ? Le coĂ»t des pertes et des amendes ? Peut-ĂȘtre, mais je n'y crois pas trop je dirais que ça fera plus de faillites surtout. NIS2 et CRA ? Ă voir.
Ensuite, l'article dit "face à des robots infiniment patients". C'est une citation de Crob, mais c'est surtout une citation d'une blague qu'il a fait. Et les robots ne sortent pas de nulle part, y a bien quelqu'un qui paye pour et qui s'en occupe. Bien sur, ça va pas aller avec l'imaginaire apocalyptique qui fait que ça devient viral.
# Le bon cÎté de la chose ?
PostĂ©Â par ÇpÉŚÆuâ nÇıɄÊÊÉW-ÇÉčÉčÇÄ±Ô (site web personnel) . ĂvaluĂ©Â Ă Â 9 (+6/-0).
Apparemment, ce n'est pas la premiĂšre fois que l'on parle de la faille Ă l'origine de cette fuite (et de beaucoup d'autres) ici ; il y a mĂȘme tout un historique.
C'est probablement extrĂȘmement naĂŻf de ma part, mais je vois de bons cĂŽtĂ©s potentiels dans l'affaire.
1) L'article Ă©voque une remise en question des usages de cloud US par les institutions europĂ©ennes. Mais j'imagine que quel qu'ait Ă©tĂ© la couleur ou la saveur du nuage employĂ©, la faille aurait Ă©galement pu ĂȘtre exploitĂ©e.
2) De mon cĂŽtĂ©, je me dit que ces « braves » pirates, une fois exploitĂ©e de maniĂšre sonnante et trĂ©buchante leurs donnĂ©es les mettront peut-ĂȘtre en ligne ? Peut-ĂȘtre y gagnera-t-on de nouveaux dossiers de presse mettant en lumiĂšre quelques dysfonctionnement de nos institutions (pas si) publics. Ăa pourrait conduire Ă corriger les dits problĂšmes. Qui sait ?
3) Mais peut-ĂȘtre que ça peut aussi conduire le lĂ©gislateur Ă s'interroger sur la pertinence de politiques de transparence totale (via porte dĂ©robĂ©e par exemple) imposĂ©e aux citoyens de l'union ?
4) Ou bien à allouer un peu mieux les crédits de l'union ? Qui sait si une attaque comme celle-ci peut peser dans la future création d'un pÎle public du logiciel Libre ?
« IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » â Odes â Horace
[^] # Re: Le bon cÎté de la chose ?
PostĂ©Â par BenoĂźt Sibaud (site web personnel) . ĂvaluĂ©Â Ă Â 10 (+10/-0).
La sĂ©curitĂ© informatique exige rigueur , constance, permanence. Ăa trie sur qui veut et peut le faire. Du cĂŽtĂ© dĂ©veloppement on veut toujours plus, plus vite, du vibe codĂ©, ne pas faire de maintenance (parce que chiante vu qu'il faut aussi rigueur, constance, permanence), et encore plus de dĂ©pendances. Ăa ne peut pas bien se passer.
Pourquoi ça changerait Ă court terme ? Le coĂ»t des pertes et des amendes ? Peut-ĂȘtre, mais je n'y crois pas trop je dirais que ça fera plus de faillites surtout. NIS2 et CRA ? Ă voir.
Et indirectement pourquoi ça va ĂȘtre compliquĂ© si une nouvelle gĂ©nĂ©ration de mainteneurs/euses de projets libres ne se lĂšve pas, alors que les personnes fatiguent et doivent supporter les abus et autres harcĂšlements de sociĂ©tĂ©s abusives autour (on veut ça sans payer ni contribuer, on exige tel document, on exige telle rĂ©ponse immĂ©diate, etc.)
On devrait faire des comptes premium pour les personnes qui font la maintenance de projets libresâŠ
[^] # Re: Le bon cÎté de la chose ?
PostĂ©Â par Misc (site web personnel) . ĂvaluĂ©Â Ă Â 7 (+4/-0).
Je pense que ce genre de comportement est largement surestimé (d'une part), et sans doute plus causé par soit des différences d'ordre culturel (insérer ici mon laius sur la différence de communication entre allemands/russes et américains, ou américains et japonais), soit par de l'incompétence parfois inévitable des employés de certaines boites (car bon, suffit d'une personne qui fasse une connerie et ça fait le tour du web libriste).
On a pas vraiment de stats sur le phĂ©nomĂšne, juste des anecdotes mise en avant dans un environnement mĂ©diatique qui rĂ©compense la viralitĂ© et qui vont rĂ©sonner avec certains schĂ©mas du libre, Ă savoir que le Codeur devrait ĂȘtre tout puissant, sans avoir de responsabilitĂ© vis Ă vis de personne.
[^] # Re: Le bon cÎté de la chose ?
PostĂ©Â par BenoĂźt Sibaud (site web personnel) . ĂvaluĂ©Â Ă Â 9 (+6/-0).
Je peux parler de ce que reçoit LinuxFr.org.
CÎté courriel, on en reçoit pour te fourguer tout et n'importe quoi, pour te placer de la pub, pour t'aider à remplacer des liens cassés par des sites de spam, des rapports de sécurité bidon, du phishing divers et varié pour cibler DNS/domaines/serveurs/comptes externes/etc., des injonctions de cabinets d'avocat.
CÎté web, le trafic de bourrins des spammeurs / IA / moteurs de recherche, les cochoncetés laissées par les spammeurs, des gens qui nous offrent des audits de sécurité non sollicités, des bourrins qui configurent un flux RSS à récupération toutes les secondes, etc.
CÎté modération, la position habituelle entre le marteau et l'enclume, un équilibre entre toujours trop et toujours pas assez, qui va conduire à des échanges sur différents canaux (tribunes, courriels, sur le site, en privé, etc.).
CÎté développement, il n'y a jamais les fonctionnalités que les gens veulent, et parfois ils te l'expriment avec des remarques cinglantes, pensant que ça va accélérer le développement (qui est bien sûr retardé parce qu'on leur en veut personnellement et pas parce qu'on fait d'autres choses par ailleurs).
CÎté légal, les exigences sont plutÎt à la hausse (responsabilité des plateformes, réactivité sur les signalements, RGPD et minimisation des données, gestion de l'ùge ?, obligation de cybersécurité ?).
CÎté humain, la question du renouvellement des gens (assez classique chez les bénévoles), mais aussi une certaine usure via la modération et parfois les critiques perso, plus les gestions de situations pénibles (incidents, mises en demeures, cas de revenge porn, décÚs, tensions dans les équipes, etc.).
Certains de points ci-dessus sont liés au fait que le site est visible, avec des contenus générés par le lectorat. D'autres sont plutÎt génériques.
Le pas rĂ©cent xkcd sur le dĂ©v du Nebraska, les cas typiques genre openssl et xz, la crĂ©ation de l'openssf, rien que le dernier khryspresso avec LâIA gĂ©nĂšre trop de failles de sĂ©curitĂ© : les mainteneurs open source sont Ă bout, alerte lâOpenSSF et Top NPM Maintainers Targeted with AI Deepfakes in Massive Supply-Chain Attack, Axios Briefly Compromised, la montĂ©e des tensions gĂ©opolitiques donc plus d'attaques sur les chaĂźnes d'approvisionnement, la montĂ©e de la cybercriminalitĂ© organisĂ©e donc plus d'attaques partout, etc.
En termes de responsabilités, ça dépend si tu publies without warranty of any kind en tant que bénévole, ou si tu vends ton service/logiciel, si tu suis les législations de ton pays (par ex RGPD et minimisation).
[^] # Re: Le bon cÎté de la chose ?
PostĂ©Â par Misc (site web personnel) . ĂvaluĂ©Â Ă Â 6 (+3/-0).
Alors, un xkcd, ça ne fait que reflĂ©ter ce qu'on croit, pas vraiment une Ă©tude. Ăa conforte un peu mon point, Ă savoir que ça rĂ©sonne.
Et on va pas ressortir la propagande de Microsoft des annĂ©es 2000 et dire qu'il faut pas prendre Linux car ç'est pas maintenu par des boites. On s'est quand mĂȘme battu pour en arriver la, et je pense qu'on a tendance Ă vite l'oublier.
Si j'en crois ce site, il y a 320 millions de dĂ©pĂŽts sur github et 5 millions d'utilisateurs. MĂȘme en se limitant Ă 0.1% qui serait un noyau dur de la communautĂ© des libristes, ça reste Ă©norme (et si quelqu'un vient me dire "tout le monde n'est pas sur github", ça donne une limite basse).
D'aprĂšs ce site de la PSF, il y a 800 000 paquets pythons sur pypi. Sur les stats de lib.rs, on voit qu'il y a 250 000 crates pour 60 000 utilisateurs/Ă©quipes.
Dans tout les cas, c'est Ă©norme.
MĂȘme avec le nombre d'attaque qu'on a eu en 2026, on reste quelques ordres de magnitude en dessous de la taille du libre sur toutes les mĂ©triques qu'on peut trouver.
Donc ouais, y a eu des soucis, mais quand je dit "c'est sur estimé", c'est par rapport à la taille de la communauté et la quantité de code. Le monde du libre, c'est plus vraiment une poignée de gens sur une liste de discussions, et j'ai le sentiment qu'on a tendance à vite l'oublier.
Ben je pense ça illustre bien le coté "environnement médiatique" de mon commentaire.
Pour commencer, contrairement au titre, ce qui est dit dans l'article n'est pas que l'IA gĂ©nĂšre des failles de sĂ©cu, mais des gens qui utilisent des IA pour Ă©crire des rapports de sĂ©curitĂ© (mĂȘme si comme souvent quand on parle d'IA, la partie "humaine" est inexprimĂ©). C'est quand un dĂ©tail important.
Ensuite, l'article dit "face à des robots infiniment patients". C'est une citation de Crob, mais c'est surtout une citation d'une blague qu'il a fait. Et les robots ne sortent pas de nulle part, y a bien quelqu'un qui paye pour et qui s'en occupe. Bien sur, ça va pas aller avec l'imaginaire apocalyptique qui fait que ça devient viral.
Mais il y a d'autres imprécisions, comme le passage sur le CRA, je cite "le Cyber Resilience Act européen pourrait imposer aux mainteneurs bénévoles des obligations légales de répondre aux divulgations de vulnérabilités", ce qui est faux vu que primo, le CRA concerne les produits commerciaux (c'est une réglementation sur le fonctionnement du marché intérieur avant tout), donc exit la partie bénévole. En plus, les autorités de concurrence et/ou de sécurité ont sûrement des trucs plus importants que de s'occuper d'un codeur au Nebraska, pour reprendre l'exemple du xkcd. Je rappelle que seul les autorités administratives susnommés peuvent imposer des amendes, et qu'il n'y a aucun façon pour personne de porter plainte via le CRA. Le CRA n'est pas le RGPD, ça ne donne pas de droit, et encore moins de droit à ester en justice.
Je suis sur que je pourrais démonter plus l'article, mais je finir par dire qu'en copiant collant l'article dans GPTZero, l'outil indique que c'est probablement un article écrit par IA (j'imagine une traduction non relu de l'original en anglais). Alors on fait confiance ou pas à l'outil, mais c'est pas comme si l'éditeur du site avait une réputation irréprochable en France.
Et pour tout le reste, oui, y a des groupes qui ont les crocs, mais je ne pense pas que ça soit une question de géopolitique, ou en tout cas, pas récente. Par exemple, on pense que l'attaque sur axios vient de la Corée du Nord, et sauf erreur de ma part, Trump n'a rien fait à ce niveau.
Ensuite, encore une fois, je dit pas qu'il y a rien, je dit surtout qu'il y a une exagĂ©ration pour les devs, dans le sens ou la majeur partie des projets non cĂ©lĂšbres ne semblent pas crouler sous la charge (ou alors, je bosse sur des projets trop secure, mais j'ai des doutes). En fait, je dirait mĂȘme que comme on a beaucoup plus de projets qu'il y a 20 ans, les emmerdes grimpent en mĂȘme temps, mais juste parce qu'on a plus de projets.
Le cas de Linuxfr est différent, car c'est un site web, donc oui, tu as sans doute des tas d'attaques, tout comme je reçois parfois des emails pour me dire qu'il y a un souci sur jenkins ou gerrit car on peut y accéder depuis le web (ce qui est normal pour un projet libre, mais tout le monde ne semble pas le savoir).
[^] # Re: Le bon cÎté de la chose ?
PostĂ©Â par Voltairine đłïžâđ . ĂvaluĂ©Â Ă Â 3 (+1/-0).
Cela pose surtout question sur l'usage des scanners de vulnérabilités. Sont-ils pertinents et apportent-ils un réel gain de sécurité ?
Avoir un modÚle de déploiement automatisé qui va chercher directement les derniÚres versions sur Github, ou autre, de ces outils est-il une bonne chose ?
[^] # Re: Le bon cÎté de la chose ?
PostĂ©Â par Gil Cot â (site web personnel, Mastodon) . ĂvaluĂ©Â Ă Â 4 (+2/-0).
Réponse courte : Oui.
Cette question est, selon moi, un peu comme demander si un antivirus est utile⊠Bien entendu, ces outils ne suffisent pas ou ne se suffisent ; Bien entendu, on peut sâen passer dans certains cas ; Mais on ne peut pas dĂ©crĂ©ter que câest globalement pas pertinent.
Réponse courte et avis personnel : Non.
Je ne comprends pas cette manie de courir aprĂšs les derniĂšres version âŠet ce de maniĂšre automatique. Je ne comprends pas pourquoi des dĂ©ploiements se font avec des versions alĂ©atoires de dĂ©pendances ; Tout comme je ne comprends pas la tendance Ă tĂ©lĂ©charger et lancer aveuglĂ©ment des trucs issus de sites randoms (ou dâun site de microsoft ici mais cela ne change rien en fait)
âIt is seldom that liberty of any kind is lost all at once.â â David Hume
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent Ă celles et ceux qui les ont postĂ©s. Nous nâen sommes pas responsables.