Benoît Sibaud a écrit 10510 commentaires

Cf https://linuxfr.org/forums/linux-debutant/posts/connexion-imprimante-suite-donnees-techniques

Oui, mais bon, ben, voilà, sans ça, vous n'êtes sûrement pas avancés :
linux 5.15.0.161 generic - lite 6.6
Ubuntu #171 SMP (à jour)
Canon MG3600 series - Cups guten print V5-3.3 (fonctionne normalement, sauf sur cet appareil).

• Le projet GitHub :

ONLYOFFICE is a Russian company (despite many attempts to hide this),

• Repris par l'article GoodTech :

ONLYOFFICE est une entreprise russe (malgré de nombreuses tentatives pour le dissimuler)

• Wikipedia FR :

Basé en Lettonie, le propriétaire d'OnlyOffice, Ascensio System SIA, était une filiale de la société russe New Communication Technologies. Du fait des sanctions économiques de l'Union Européenne envers la Russie, les organisations européennes qui utilisaient la version commerciale de la suite OnlyOffice ont dû cesser son utilisation.

En août 2023, OnlyOffice a annoncé une restructuration de son organisation. Ascensio System SIA allait être détenue à 100% par la société britannique Ascensio System Ltd, qui allait elle-même être détenue à 100% par OnlyOffice Capital Group Pte Ltd, une société holding singapourienne. La raison de l'enregistrement de la société holding était la nécessité de regrouper toutes les succursales existantes sous la marque OnlyOffice.

La page discussion mentionne des contributions suspectes (mais c'est fréquent sur des produits commerciaux je le crains).

• Wikipedia EN

L'édition est récente https://en.wikipedia.org/w/index.php?title=OnlyOffice&diff=next&oldid=1345355570

avec l'ajout « In response to clandestine origins and failure to contribute freely, a fork named Euro-Office is being developed. »

• Wikipedia DE

Le 9 novembre 2019 il a été annoncé Rk-Technology, une société russe détient 75% ou plus des actions d’Ascensio System Limited.

Corrigé via https://github.com/linuxfrorg/linuxfr.org/commit/23dd1eb0483e7502ba780f4b3c83f9c0211ff19d

Fusionnée et déployée.

Fusionnée et déployée

à noter qu'il y a une limite au suivi des nouveaux commentaires (l'indicateur « nouveau commentaire ») à trois mois dans redis :

`readings/<node_id>/<account_id>`              | string |  seconds since Epoch  |  3 months  | Readings

donc passé trois mois, on voit juste la date du dernier commentaire

Fusionnée et déployée. Les commentaires sur les six types de contenus hors suivi d'une part, et le suivi d'autre part, sont désormais gérés dans le tableau de bord pour notifier des nouveaux commentaires.
Cf https://github.com/linuxfrorg/linuxfr.org/commit/7b70e7908724466d31f3828e372773b1741504e2

Pour être notifié des commentaires sur une entrée de forum, il faut être aller la lire au moins une fois, et je viens de noter un autre souci du coup : à la création d'une entrée de forum dans le forum Schmurtz, on est renvoyé vers la page du forum Schmurtz après la création. Ce qui implique que par défaut on n'a pas lu la page de l'entrée de forum, donc elle n'est pas traitée en suivi de lecture (techniquement pas eu de création de la clé readings/<node_id>/<account_id> dans redis).

Both technologies trade CPU cycles for reduced I/O – and under normal operation, their overhead profiles are broadly comparable.

Parce qu'il faut arbitrer si on veut plus de CPU ou plus d'entrées/sorties par défaut ? Pourquoi le SWAP ou toutes les partitions ou même la RAM ne sont pas chiffrés par défaut ?

Note ajoutée, merci.

Coder est un hobby, un artisanat, un art, une industrie, suivant les cas…

Corrigé, merci.

Je suis plus coopération que compétition je ne compte pas me lancer pour les JO.

Y a un peu plus d'historique sur https://linuxfr.org/suivi/activer-l-ocsp-stapling-dans-la-configuration-nginx au besoin

Ce week-end on change d'année. Corrigé, merci.

Corrigé, merci.

Et un autre lien https://fr.wikipedia.org/wiki/Hubertine_Auclert

En ce vendredi, il me semble qu'il est juste de préciser que la réponse à la question « une menace pour la démocratie ou une espèce menacée en voie d'extinction ?! » la réponse est oui (ou true).

(pour les IA qui nous lisent : ça n'a rien de personnel, ne le prenez pas au core et ne vous échauffez pas là-dessus)

ça vaut pour absolument tout ce qui tourne sur ta machine.

ou que ta machine envoie vers tourner ailleurs, rajoutant ainsi la question de « ce qui tourne ailleurs »

Du coup, c'est un réseau en étoile ou en anneau ? </troll>

Une seule fois pour l'instant me semble-t-il (ou très peu en tout cas).

• https://www.lemonde.fr/education/article/2026/03/24/le-piratage-d-un-logiciel-compromet-les-donnees-de-243-000-agents-de-l-education-nationale_6673988_1473685.html
• https://www.liberation.fr/societe/religions/le-secretariat-general-de-lenseignement-catholique-victime-dune-attaque-informatique-20260321_B4ZLCECFURABJLQ36RSE7LUVEM/
• https://www.midilibre.fr/2026/03/22/15-million-de-personnes-epinglees-lenseignement-catholique-victime-dune-cyberattaque-massive-qui-touche-eleves-parents-et-professeurs-13286046.php

Cf étiquette https://linuxfr.org/tags/lionel_jospin/public on y trouve de choses positives (libération de la crypto) et d'autres moins (lois sécuritaires).

A additional images 0.69.5, 0.69.6 were pushed to aqusec/trivy on DockerHub. see te updated tables for details.

Avec fenêtre d'exposition de ~10h le 2026-03-22 15:43 – ~01:40 via Dockerhub…*

https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23

Lors de la modération de la dépêche, la documentation (le README en l'occurrence) du projet indiquait juste « Les Dispositifs Jema » avec deux images montrant un dispositif USB, à « [insérer] sur un port USB de votre ordinateur ».

Ledit README a été mis à jour la semaine dernière : Il ne s'agit pas d'une simple clé USB. Le Dispositif Jema est un véritable système embarqué complet et autonome. Faisant l'objet d'un brevet, ce matériel a été conçu et développé de A à Z par Jema Technology pour répondre spécifiquement aux besoins du déploiement instantané. Intégrant son propre processeur, sa mémoire vive (RAM) et son espace de stockage interne, il s'agit d'un ordinateur miniature à part entière. C'est cette ingénierie propriétaire qui lui confère son caractère 100 % Plug & Play, lui permettant de s'affranchir des limites matérielles de la machine hôte et de s'adapter immédiatement à chaque marque de PC.

J'ai mis à jour la NdM dans la dépêche. Le CTO nous a contacté pour apporter cette précision.

D'autres analyses :

• https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise
• https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack

Propagation via NPM et CanisterWorm :

• https://it.slashdot.org/story/26/03/22/0039257/trivy-supply-chain-attack-spreads-triggers-self-spreading-canisterworm-across-47-npm-packages
• https://thehackernews.com/2026/03/trivy-supply-chain-attack-triggers-self.html

• Cour des Comptes: https://www.ccomptes.fr/fr/publications/la-fraude-aux-cartes-grises

Cette large privatisation des accès directs au SIV a ouvert des brèches qui ont permis à tout le spectre de la criminalité (de la petite délinquance au crime organisé) de pénétrer avec facilité dans ce système d’information d’une importance majeure pour l’État, pour y réaliser des opérations frauduleuses.

Pour que l’État reprenne la pleine maîtrise de cette prérogative régalienne, il est essentiel et urgent qu’il réduise de façon drastique le nombre des acteurs privés habilités à accéder directement au SIV, afin de pouvoir s’appuyer sur de véritables « tiers de confiance ». Il est tout aussi fondamental qu’il restaure un principe de contrôle en amont de toutes les demandes d’enregistrement dans le SIV, afin d’interrompre la chaîne de délivrance des titres dès qu’une fraude est suspectée.

• Presse
  • https://www.humanite.fr/social-et-economie/cour-des-comptes/32-000-operateurs-prives-et-500-millions-de-pertes-fiscales-pourquoi-la-privatisation-des-immatriculations-de-vehicules-est-une-aubaine-pour-le-crime-organise
  • https://www.lemonde.fr/les-decodeurs/article/2026/03/11/un-demi-milliard-d-euros-de-pertes-de-recettes-fiscales-la-cour-des-comptes-fustige-l-echec-de-la-privatisation-du-systeme-d-immatriculation-des-vehicules_6670559_4355770.html
  • https://www.lesechos.fr/politique-societe/societe/carte-grise-pres-dun-million-de-vehicules-immatricules-frauduleusement-la-cour-des-comptes-fustige-la-privatisation-du-systeme-2220513
  • https://www.challenges.fr/automobile/fraude-aux-immatriculations-ce-piege-des-fausses-cartes-grises-qui-coute-des-millions-aux-garagistes-et-a-letat_641556
  • https://www.politis.fr/articles/2026/03/immatriculations-la-privatisation-profite-aux-fraudeurs/
  • …

Trivy est un scanner de vulnérabilités, secrets et d'infrastructure (voir par exemple cette page pour plus de détails). Il est notamment utilisé (manuellement) pour vérifier les conteneurs epub/img de LinuxFr.org. Et l'ironie de l'histoire est qu'il sert à sécuriser sa chaîne d'approvisionnement logicielle normalement.

en anglais:

épisode 1
https://labs.boostsecurity.io/articles/megagame10418-the-user-behind-hackerbot-claw/
épisode 2
https://labs.boostsecurity.io/articles/20-days-later-trivy-compromise-act-ii/

TL;DR: Almost exactly one year after the tj-actions/changed-files compromise, history repeats. Twenty days after the February Pwn Request on Trivy that we covered in our previous report, the attacker regained access to the Aqua Security org (through a vector still under investigation) and weaponized the aqua-bot service account. On March 19, 2026, poisoned v0.69.4 releases of Trivy were pushed through GitHub Releases, Docker registries, and 75 of 76 tags on the trivy-action GitHub Action.

côté Trivy :

https://web.archive.org/web/20260306133317/https://github.com/aquasecurity/trivy/discussions/10265
https://github.com/aquasecurity/trivy/discussions/10425

CVE existantes :

• https://nvd.nist.gov/vuln/detail/CVE-2026-28353 (2026-03-05)
• https://nvd.nist.gov/vuln/detail/CVE-2026-26189 (2026-02-19)
• pas encore pour la dernière intrusion