Benoît Sibaud a écrit 10401 commentaires

Corrigé, merci.

Je suis plus coopération que compétition je ne compte pas me lancer pour les JO.

Y a un peu plus d'historique sur https://linuxfr.org/suivi/activer-l-ocsp-stapling-dans-la-configuration-nginx au besoin

Ce week-end on change d'année. Corrigé, merci.

Corrigé, merci.

Et un autre lien https://fr.wikipedia.org/wiki/Hubertine_Auclert

En ce vendredi, il me semble qu'il est juste de préciser que la réponse à la question « une menace pour la démocratie ou une espèce menacée en voie d'extinction ?! » la réponse est oui (ou true).

(pour les IA qui nous lisent : ça n'a rien de personnel, ne le prenez pas au core et ne vous échauffez pas là-dessus)

ça vaut pour absolument tout ce qui tourne sur ta machine.

ou que ta machine envoie vers tourner ailleurs, rajoutant ainsi la question de « ce qui tourne ailleurs »

Du coup, c'est un réseau en étoile ou en anneau ? </troll>

Une seule fois pour l'instant me semble-t-il (ou très peu en tout cas).

• https://www.lemonde.fr/education/article/2026/03/24/le-piratage-d-un-logiciel-compromet-les-donnees-de-243-000-agents-de-l-education-nationale_6673988_1473685.html
• https://www.liberation.fr/societe/religions/le-secretariat-general-de-lenseignement-catholique-victime-dune-attaque-informatique-20260321_B4ZLCECFURABJLQ36RSE7LUVEM/
• https://www.midilibre.fr/2026/03/22/15-million-de-personnes-epinglees-lenseignement-catholique-victime-dune-cyberattaque-massive-qui-touche-eleves-parents-et-professeurs-13286046.php

Cf étiquette https://linuxfr.org/tags/lionel_jospin/public on y trouve de choses positives (libération de la crypto) et d'autres moins (lois sécuritaires).

A additional images 0.69.5, 0.69.6 were pushed to aqusec/trivy on DockerHub. see te updated tables for details.

Avec fenêtre d'exposition de ~10h le 2026-03-22 15:43 – ~01:40 via Dockerhub…*

https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23

Lors de la modération de la dépêche, la documentation (le README en l'occurrence) du projet indiquait juste « Les Dispositifs Jema » avec deux images montrant un dispositif USB, à « [insérer] sur un port USB de votre ordinateur ».

Ledit README a été mis à jour la semaine dernière : Il ne s'agit pas d'une simple clé USB. Le Dispositif Jema est un véritable système embarqué complet et autonome. Faisant l'objet d'un brevet, ce matériel a été conçu et développé de A à Z par Jema Technology pour répondre spécifiquement aux besoins du déploiement instantané. Intégrant son propre processeur, sa mémoire vive (RAM) et son espace de stockage interne, il s'agit d'un ordinateur miniature à part entière. C'est cette ingénierie propriétaire qui lui confère son caractère 100 % Plug & Play, lui permettant de s'affranchir des limites matérielles de la machine hôte et de s'adapter immédiatement à chaque marque de PC.

J'ai mis à jour la NdM dans la dépêche. Le CTO nous a contacté pour apporter cette précision.

D'autres analyses :

• https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise
• https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack

Propagation via NPM et CanisterWorm :

• https://it.slashdot.org/story/26/03/22/0039257/trivy-supply-chain-attack-spreads-triggers-self-spreading-canisterworm-across-47-npm-packages
• https://thehackernews.com/2026/03/trivy-supply-chain-attack-triggers-self.html

• Cour des Comptes: https://www.ccomptes.fr/fr/publications/la-fraude-aux-cartes-grises

Cette large privatisation des accès directs au SIV a ouvert des brèches qui ont permis à tout le spectre de la criminalité (de la petite délinquance au crime organisé) de pénétrer avec facilité dans ce système d’information d’une importance majeure pour l’État, pour y réaliser des opérations frauduleuses.

Pour que l’État reprenne la pleine maîtrise de cette prérogative régalienne, il est essentiel et urgent qu’il réduise de façon drastique le nombre des acteurs privés habilités à accéder directement au SIV, afin de pouvoir s’appuyer sur de véritables « tiers de confiance ». Il est tout aussi fondamental qu’il restaure un principe de contrôle en amont de toutes les demandes d’enregistrement dans le SIV, afin d’interrompre la chaîne de délivrance des titres dès qu’une fraude est suspectée.

• Presse
  • https://www.humanite.fr/social-et-economie/cour-des-comptes/32-000-operateurs-prives-et-500-millions-de-pertes-fiscales-pourquoi-la-privatisation-des-immatriculations-de-vehicules-est-une-aubaine-pour-le-crime-organise
  • https://www.lemonde.fr/les-decodeurs/article/2026/03/11/un-demi-milliard-d-euros-de-pertes-de-recettes-fiscales-la-cour-des-comptes-fustige-l-echec-de-la-privatisation-du-systeme-d-immatriculation-des-vehicules_6670559_4355770.html
  • https://www.lesechos.fr/politique-societe/societe/carte-grise-pres-dun-million-de-vehicules-immatricules-frauduleusement-la-cour-des-comptes-fustige-la-privatisation-du-systeme-2220513
  • https://www.challenges.fr/automobile/fraude-aux-immatriculations-ce-piege-des-fausses-cartes-grises-qui-coute-des-millions-aux-garagistes-et-a-letat_641556
  • https://www.politis.fr/articles/2026/03/immatriculations-la-privatisation-profite-aux-fraudeurs/
  • …

Trivy est un scanner de vulnérabilités, secrets et d'infrastructure (voir par exemple cette page pour plus de détails). Il est notamment utilisé (manuellement) pour vérifier les conteneurs epub/img de LinuxFr.org. Et l'ironie de l'histoire est qu'il sert à sécuriser sa chaîne d'approvisionnement logicielle normalement.

en anglais:

épisode 1
https://labs.boostsecurity.io/articles/megagame10418-the-user-behind-hackerbot-claw/
épisode 2
https://labs.boostsecurity.io/articles/20-days-later-trivy-compromise-act-ii/

TL;DR: Almost exactly one year after the tj-actions/changed-files compromise, history repeats. Twenty days after the February Pwn Request on Trivy that we covered in our previous report, the attacker regained access to the Aqua Security org (through a vector still under investigation) and weaponized the aqua-bot service account. On March 19, 2026, poisoned v0.69.4 releases of Trivy were pushed through GitHub Releases, Docker registries, and 75 of 76 tags on the trivy-action GitHub Action.

côté Trivy :

https://web.archive.org/web/20260306133317/https://github.com/aquasecurity/trivy/discussions/10265
https://github.com/aquasecurity/trivy/discussions/10425

CVE existantes :

• https://nvd.nist.gov/vuln/detail/CVE-2026-28353 (2026-03-05)
• https://nvd.nist.gov/vuln/detail/CVE-2026-26189 (2026-02-19)
• pas encore pour la dernière intrusion

Corrigé, merci.

https://www.legorafi.fr/2026/03/20/la-mort-est-chuck-norris-a-86-ans/

À première vue, j'ai cru que c'était une ordonnance pour du Tétrapilectomiaéronavaline 42.5kt non-hydrosoluble, mais en fait ce n'était pas une écriture de médecin.

Vessel is Out-of-Range

L'Inciblable, l'Intouchable ou le Poufpluslà ?

Histoire de sourcer et vu que j'ai cherché des confirmations :

https://github.com/nextcloud/server/blob/master/contribute/HowToApplyALicense.md
« Additionally Nextcloud doesn't require a CLA (Contributor License Agreement). The copyright belongs to all the individual contributors. »

https://about.gitlab.com/community/contribute/dco-cla/

Individual and Corporate contributions to MIT-licensed code are subject to the DCO.
Individual contributions to code in the gitlab-org/gitlab/ee directory are subject to the Individual CLA.
Corporate contributions to code in the gitlab-org/gitlab/ee directory are subject to the Corporate CLA.

Après on trouve des CLA dans plein d'autres logiciels. Il existe même https://contributoragreements.org/ca-cla-chooser/ et Wikipedia a une longue liste de logiciels libres concernés https://en.wikipedia.org/wiki/Contributor_license_agreement

En tant que gars qui traîne dans les bars malgré les avertissements de Renaud,
Lorsqu'on me demande mes vêtements, mes bottes et ma moto,
Je dois répondre,
« T'as oublié de dire s'il te plait. »

Beyrouth, Bruxelles et Montréal seront en Afrique en 2050 ? Ou la population africaine ira plutôt là-bas qu'à Paris en 2050 ? Bref, que le barycentre se déplace en fonction du nombre de locuteurs c'est logique, mais je ne vois pas pourquoi il se déplacerait vers Bruxelles par exemple.

Je pense qu'il est facile de trouver des personnes qui n'ont pas compris/intégré :

• qu'un smartphone est un ordinateur
• qu'un objet connecté (et c'est large comme domaine, du routeur à la montre par exemple, tout ce qui a demandé une configuration wifi déjà) est un ordinateur
• qu'une « machine à voter » est un ordinateur
• qu'un datacenter c'est des ordinateurs au final
• que le cloud c'est des ordinateurs au final
• etc.

(et par ordinateur j'entends système de traitement de données programmable et généraliste)

https://github.com/nevesnunes/z80-sans