Mais est-ce réellement le rôle d'un langage de programmation de se préoccuper de sécurité ou de vie privée? C'est un peu comme si on reprochait à C++ de ne pas se préoccuper de la vie privée des utilisateurs.
Il ne s'agit pas que d'un langage de programmation, mais de tout un environnement (peut-être comme KDE ou GNOME, ou au moins comme Qt et GTK).
Pour le sujet du fingerprinting: prise individuellement, chaque information remontée est assez cohérente. Le site que tu visites a besoin de connaître ton fuseau horaire pour t'afficher les heures locales. Il a besoin de la taille de ta fenêtre pour faire sa mise en page. Il a besoin de savoir quelles langues tu comprends pour t'afficher le site dans une langue que tu connaît. Il a éventuellement besoin de ton niveau de batterie pour savoir s'il lance une vidéo en full HD qui va consommer les 2% qu'il te reste, ou bien si il vaut mieux passer sur une version légère du site.
Par contre, le truc aurait peut-être pu être pensé pour que ces infos ne puissent pas être remontées vers le serveur, et que un maximum de choses se fassent en local. Probablement que ça n'a pas été possible parce que une grande partie de la conception a été faite avant que la vie privée des utilisateurs soit à la mode, et c'était difficile de changer après coup et que ça remettrait en question des choix assez fondamentaux.
Après, il se trouve que des entreprises se sont engouffrées dans cette faille pour monter un business à partir de l'extraction de données. Mais je ne suis pas certain que ce soit lié, le fingerprinting est assez opportuniste et détourne des fonctionnalités qui, prises individuellement, n'étaient pas prévues pour ça.
Ceci amène à considérer le hacking comme quelque chose de relativement banal ("bidouilles, transformations et créations"), là où c'était originellement une méritocratie, où l'on ne pouvait pas s'auto-proclamer hacker mais seulement être reconnu comme tel par l'entourage.
a: to cut or sever with repeated irregular or unskillful blows
b: to cut or shape by or as if by crude or ruthless strokes
"découper par des coups répétés ; irréguliers ou maladroits", en gros "tailler à la hache". On n'est pas vraiment dans la méritocratie ni dans le travail de qualité.
Par extension ce même verbe est utilisé pour n'importe quel travail effectué grossièrement, sans adresse ni élégance.
Ce n'est qu'ensuite que des gens désignés (péjorativement) comme "hackers" en électronique ou en informatique se sont réappropriés le terme et lui ont donné une signification plus valorisante. Car la solution inélégante pour l'un est, pour l'autre, le trait de génie est l'exploitation inattendue de fonctionnalités, et l'ouverture de nouvelles possibilités pour un logiciel ou un matériel donné.
Le mot geek a pris un virage un peu simlaire dans les années 90-2000. C'était très négatif, mais c'est devenu un badge de fierté pour certaines personnes.
La situation est plus compliquée. À l'époque où Firefox travaillait au respect des normes, il s'agissait de normes établies par le w3c, plutôt stables et avec une évolution assez lente.
Situtaion qui bien sûr ne convenait pas du tout à Google qui hréfère faire évoluer les choses très très vite. Ils ont donc créé le WHATWG qui a remplacé le w3c pour la standardisation du HTML. Depuis, le HTML5 est en "rolling release", toutes lë nouveautés sont ajoutées directement dedans avec peu de préoccupation de la vie privée des utilisateurs. Le rythme est beaucoup plus rapide. Malheureusement, les développeurs d'autres navigateurs ont plus ou moins suivi ce mouvement.
Cela pose déjà des problèmes bêtement techniques: une fois que quelque chose est standardisé, c'est très compliqué de le retirer car cela casserait les sites web exisants. Un standard avec une évolution lente permettrait de faire des expériences puis de les abandonner avant qu'elles n'aient le temps d'être standardisées. Le travail pour suivre le rythme est conséquent et contribue à la prise de poids des moteurs de rendu.
Cela met donc en évidence un problème plus profond: il ne s'agit pas juste du respect des normes, mais de la façon dont ces normes sont établies. Mozilla a, il me semble, suivi Google dans cette aventure en se disant que c'était mieux d'essayer de lutter de l'intérieur pour défendre la vie privée des utilisateurs. Peut être que si à l'époque ils étaient restés du côté du w3c, les choses seraient bien différentes? Quelques années plus tard, ils ont accepté d'implémenter des DRM pour les contenus vidéo. Maintenant ils espionnent leurs utilisateurs via de la télémétrie et essaient d'intégrer des chatbots intelligence artificielle et je ne sais pas quoi alors qu'on leur demande juste de faire un navigateur…
Ce serait servo ou blink ça m’irait aussi, l’important c’est que les différents acteurs dont des représentants des utilisateurs aient leurs mots à dire.
Tout à fait. Le truc qui me chiffonne un peu c'est que WebKit semble souvent oublié dans ces discussions (comme si il n'existait que Gecko, Blink, et Servo voire Ladybird comme candidats sérieux), alors même que ça me semble être celui qui est déjà le mieux configuré (en termes de gouvernance et de portabilité) pour répondre à ce besoin.
Je ne sais pas si c'est lié à l'implication importante de Apple dans le projet (qui ne m'a pas l'air de poser tant problème que ça, et qui sera naturellement "diluée" s'il y a plus de participants) ou pour des problèmes techniques (performance, compatibilité/respect des standards, …) ou pour d'autres raisons. Qui peuvent être justifiées, mais dans ce cas j'aimerais bien savoir ce qu'elles sont, et pas que WebKit soit juste éliminé d'office de la discussion.
Quel moteur alternatif à Blink si Gecko cesse d'être supporté ?
Il y a WebKit, qui est co-développé actuellement par Apple, Sony et Igalia et n'aurait pas de problème à accueillir des participants supplémentaires (par le passé il y a eu Nokia/Qt, Samsung, et Google avant qu'ils créent un fork avec Blink).
Le support multi plateformes est bon, et la distribution est faite sous forme de juste un moteur de rendu, autour duquel il est relativement facile de construire un navigateur.
Gecko faisait la même chose il y a longtemps, mais il a été tué par Mozilla qui a décidé de le lier à Firefox. Si Mozilla abandonnait le développement du moteur, ça rouvrirait la possibilité de mettre en place un vrai projet de moteur de rendu, indépendant d'un navigateur et avec une gouvernance plus ouverte. Et les contributeurs de plusieurs navigateurs pourraient y participer au lieu de maintenir chacun sa version.
En ce qui me concerne, je vais continuer à travailler avec WebKit ou mes patchs pour ajouter le support de Haiku sont plutôt bien reçus (j'ai même vu des patchs pour le support de Hurd passer il y a pas longtemps, comme quoi Apple n'a pas peurt des OS concurrents!)
En fait F-Droid ne veux que du libre et sur Firefox, le nom et le logo sont breveté… Donc ils le rejettent et change que ça je crois.
C'est plutôt Mozilla qui ne veut pas que le nom et le logo Firefox soient associés à des versions du navigateur qu'ils n'ont pus personellement validées. Ce qui semble normal, sinon n'importe quel site malveillant pourrait proposer un Firefox vérolé plein d'extensions publicitaires et de logiciels espions.
F-Droid pourrait faire des démarches auprès de Mozilla pour faire valider leur version (ce que Debian a fait, par exemple, auparavant ils avaient une version de Firefox renommée Iceweasel), mais c'est une certaine perte d'indépendance sur ce qu'ils décident de packager ou non, et quelles modifications ils peuvent apporter.
Chez Haiku, notre version de Firefox s'appelle également Iceweasel. Mais Librewolf et Waterfox sont également disponibles dans nos dépôts logiciels.
C'est compatible électriquement et au niveau du protocole, mais pas au niveau mécanique. Il faut donc effectivement un adaptateur passif.
Sur des machines plus anciennes, le BIOS ne sait pas gérer un disque dur IDE, mais il est possible d'installer XT-IDE sous forme d'une ROM d'extension pour ajouter le code nécessaire. Chez moi j'ai un clone de PC-XT avec un processeur 8086 équipé ainsi (ça ne me sert à rien, cela dit).
Le fond du problème il est plus là que sur les personnes. Le petit milieu tourne en rond.
Les deux côtés du problème s'entretiennent l'un l'autre. Il yea des gens cui conçoient le logiciel libre comme un culte de la personne de rms (volontairement ou pas). Ça rend rms irremplaçable. Donc c'est lui qui donne toutes les conférences. Donc personne d'autre n'a l'occasion de se mettre en avant et de prendre le relais. Donc les gens qui ne sont pas trop content de cette façon de voir les choses vont voir ailleurs. Soit ailleurs que dans le logiciel libre, soit ailleurs qu'à la FSF. Par exemple la Software Freedom Conservancy qui fait plein de trucs pour le logiciel libre et donne plein de conférenges intéressantes. Si on veut absolument des noms: Karen Sandler ou Bradley Kuhn par exemple.
Ge n'est pas propre à la FSF, culturellement les gens ont du mal avec les organisations où il n'y a pas un "chef", et c'est compliqué à maintenir pour d'autres raisons. Mais bon, Richard Stallman n'est pas immortel et plus tout jeune, si la FSF choisit de rester organisée dans un culte de la personne (pourquoi pas, ça semble bien fonctionner tout de même), qui sera son ou sa rerplaçante? Difficile si l'organisation est incapabne de faire émerger d'autres personnes ou de fonctionner sans rms (qui avait été exclu du comité de direction avant d'être finalement réintégré).
Moi j'ai peu d'espoir pour la survie de la FSF dans ces conditions. Heureusement il y a d'autres organisations qui sont mieux gérées à mon avis, et qui prendront très bien le relais si ce n'est déjà fait.
En fait il fait une intervention, c'est tout le temps la même à peu de chose près. Après 40 ans à donner la même conférence toutes les semaines, je pense que n'importe qui deviendrait aussi bon que lui.
Et en plus, il présente une vision "réductrice" du logiciel libre qui parle uniquement du logiciel libre, c'est à dire des licenses et oes 4 libertés fondamentales. Ça n'aborde donc pas du tout tous les aspects communautaires.
Or, la partie sur les licenses, quelque part, c'est un combat qui est plus ou moins déjà gagné. Aujourd'hui il serait plus intéressant de parler d'autres aspects: aussi bien sur le plan technico-organisationnel (comment on maintient des projets sur des dizaines d'années avec des équipes distribuées hartout dans le monde et des milliers de participants) que politique (trouver des moyens de financer le logiciel qui ne dépendent pas des gafam, protéger la vie privée des utilisateurs) ou encore sociétales (la diversité dans l'informatique, est-ce que le logiciel libre peut contribuer à l'écologie et à la lutte contre le changement climatique en retardant l'obsolescence du matériel, …).
Je suis sûr qu'on peut trouver plein de gens pour faire des interventions intéressantes sur ces sujets où il y a plein de choses à dire. C'est dommage d'en rester à la conf degré zéro d'introduction au logiciel libre, non?
Pour les soucis de santé, il me semble avoir lu qu'il y a effectivement une sur-représentation des AVC si on regarde la semaine juste après le changement d'heure, mais qui est annulée par les semaines suivantes.
La conclusion est que le changement d'heure a été le stress de trop pour des personnes qui étaient déjà sur le point de faire un AVC, qui se serait déclenché de toutes façons pour une autre raison une ou deux semaines plus tard.
Cela dit, avec un système hospitalier saturé, il pourrait tout de même y avoir un effet supplémentaire à concentrer les problèmes sur le même jour ou la même semaine?
Je ne sais pas si on peut tout mettre sur le dos de l'incompétence. Certains de ces bots font des efforts pour utiliser plusieurs user agents imitant de vraies machines pour essayer de passer innaperçus, ce qui suppose un minimum de compréhension de comment ça marche et une volonté d, rendre le truc difficile à bloquer par les méthodes habituelles.
Il y a donc au moins une part de malveillance. D'habitude je suis le premier à envisager l'incompétence, mais là il y a des gens qui le font exprès.
Même chose chez Facebook avec un bot qui fait des milliers de requêtes et dont la documentation dit explicitement qu'ils ont choisi de ne pas respecter le crawl-delay du robots.txt. Il n'y a pas de "oups on a pas fait attention, désolé" là dedans cette fois ci.
Oui, ça coùte moins cher de retélécharger les choses que de faire un mirroir de tout l'internet.
Et même sur une "petite" forge, un crawler un peu stupide qui suit tous les liens, il va scanner tout l'historique git du projet si c'est accessible via une interface web, et probablement dans tous les formats possibnes (log, diff, blame, en html, en texte, …). Ça fa?t assez vite un gros volume de données, Multipilié par quelques dizaines d'entreprises qui entraìnent des modèles, chacune travaillant probablementsur plusieurs modèles différents en parallèle, ça fait un très gros volume.
J'utilise également un clone saleae (pour mes bricolages personnels). Plutôt pas mal pour les choses simples en effet. Le matériel est très simple, basé sur un composant standard, et la vraie valeur de ces outils est dans le logiciel. Pour ma part je ne vois pas de problème à utiliser un clone avec un logiciel libre. Les problèmes de Saleae viennent plutôt de leur choix de faire payer assez cher le matériel pour financer le logiciel (logiciel dont on a pas vraiment besoin si on utilise Sigrok).
Les systèmes professionnels vont se dif#érencier soit par la gestion de protocoles plus exotiques, soit par du matériel capable de capturer plus de signaux, à une fréquence plus élevée.
Si on veut par exemple tracer un bus adresse et données d'un CPU, ce genre de choses peut être utile. Certains proposent même des modules logiciels pour désassembler le code exécuté à la volée.
Il peat aussi y avoir des besoins particuliers si on veut scanner des protocoles qui ont des spécificités au niveau électronique (usb, sata, hdmi qui utilisent des paires différentielles par exemple).
Mais si on a pas ces besoins, un analyseur DIY simple fera très bien l'affaire, avec un logiciel comme Sigrok par exemple.
Par exemple sur mon site web, le robots.txt met un crawl-delay de 5 minutes pour tout le monde par défaut. Je n'ai pas besoin que les robots indexent mon site plusieurs dizaines de fois par jour, le contenu change assez peu.
Si les robots LLM respectaient ce réglage, je n'aurait pas de problème de charge CPU ou de bande passante (j'ai d'autres problèmes personnels avec les LLM mais c'est une autre histoire). ça règle le deuxième problème: ce réglage étant valide pour tout le monde, il n'y a pas de "course".
Il en est de même pour les liens avec rel="nofollow" que les robots ne devraient normalement pas utiliser (et je suppose que les gens qui se plaignent de problème de charge CPU sur leurs applis web sont un minimum compétents et ont déjà mis en place ce type de mesures pour éviter que les robot scannent des choses qui n'ont pas besoin de l'être).
Sauf que non: certains de ces robots ignorent complètement le robots.txt, d'autres ignorent le crawl-delay, d'autres refusent un crawl-delay supérieur à 10 secondes. Donc je les ai exclus par d'autres moyens, parce que ce mois ci c'était 2 adresses IP qui représentaient plus de 50% du traffic arrivant chez moi.
Je pense que tous les employés de Cloudflare ne sont pas des milliardaires de la tech, et j'espère que la mise en place du nouveau régime technofasciste américain ne va pas se faire sans un minimum de résistance.
Quelle autre raison pourraient-ils avoir pour faire un message de blog dont le but principal est de dire "coucou, on voit vos mots de passe"? Le risque de "bad buzz" me semble assez évident avec un tel message, non?
Moi, si j'étais Cloudflare et que le gouvernement me demandait ça, je ferais un article de blog disant HÉ VOUS AVEZ VU? ON A ACCÈS À VOS MOT DE PASSES IL FAUDRAIT PAS QUE ÇA TOMBE ENTRE DE MAUVAISES MAINS. À défaut de pouvoir être plus explicite…
Au doigt mouillé, je dirais que 49% des fois où on nous demande "M." ou "Mme" c'est uniquement pour pouvoir le mettre dans un courrier (ce qui en soit ne sert strictement à rien)
Il ms emble que Voyages SNCF s'est fait taper sur les doigts à ce sujet il y a quelques semaines: effectivement, c'est excessif, et ils n'ont pas à te demander ça pour te vendre un billet de train.
Dans votre article sur les circuits EF9364 et suivants, à un moment vous vous posez la question suivante :
« Comment et pourquoi la SESCOSEM a eu l'idée de se lancer dans ce projet? »
Cette idée ne vient pas de la Sescosem, mais de Jean Gastinel.
Sur le site de Grenoble, il y avait de bonnes interactions entre les universitaires et l’industriel Sescosem (puis EFCIS). Jean Gastinel, fils de Noël prof de fac, était bricoleur en électronique et avions radio-commandés. Il rentre à l’ENS et a envie de construire un ordinateur, il demande à son père comment faire. Celui-ci lui conseille d'en parler à François Anceau, enseignant-chercheur à la fac de Grenoble. Ce dernier lui conseille d’aller voir à Paris Gérard Noguez, enseignant-chercheur à l’Université Paris 6, sur le campus de Jussieu.
Jean Gastinel entraîne ses copains de promotion ENS dans l’aventure. Le petit groupe construit un ordinateur 12 bits. Ensuite, Jean définit la fonction de son circuit alphanumérique pour sa thèse, et créé une maquette de simulation en circuits MSI. À l’époque, il n’y avait pas de logiciels de CAO (de toutes façons, il n’y avait pas d’écrans interactifs !), et nous faisions la conception logique en câblant des circuits existants et en contrôlant avec un oscilloscope. Les fréquences dépassaient rarement 10 MHz.
Pour faire exister le circuit, il s’adresse tout naturellement aux connaissances chez Sescosem-EFCIS. Une personne importante dans le lancement du projet chez EFCIS a été M. Joumard qui s’est passionné tout de suite, puis ensuite M. Moreau pour le suivi de la réalisation.
À l’époque, Efcis a suivi, sans objectif précis, si ce n’est de mettre ces circuits à son catalogue. De même ensuite pour mes circuits graphiques.
EFCIS signifie "Etude et Fabrication de Circuits Intégrés Spéciaux". Ils étaient orientés vers la réalisation de circuits à la demande, mais faisaient aussi des circuits standards. C’était une filiale de THOMSON. Dans ce monde industriel, les conceptions ne sont pas publiques. Or, pour ma thèse, j’avais insisté pour pouvoir tout publier. EFCIS a déposé 4 demandes de brevets en mon nom, avec Thomson comme propriétaire, la veille de ma soutenance de thèse. (En accord avec le contrat que l’ENS avait signé.)
C’est le fait que la structure de mes blocs de base était publique qui a permis à EFCIS de les réutiliser ensuite pour les circuits du minitel. En effet, si cela avait été propriété d’un de leur client, ils n’auraient pas pu les ré-utiliser.
Dans les années qui ont suivi, la stratégie marketing de Efcis n’était plus compatible avec la relation avec les élèves de l’ENS et la collaboration s’est arrêtée. Dans une période transitoire (vers 1982), nous avions conçu, toujours en relation avec EFCIS, un ordinateur basé sur un microprocesseur 8 bits, qui a été commercialisé par EFCIS sous le nom de Monocarte-THEMIS. Il a été candidat pour équiper les lycées, mais il était un peu plus haut de gamme que ses concurrents et donc plus cher à produire.
Je vous partage un message de Philippe Matherat, qui a été contacté par un lecteur de cette dépêche (bublbobl) et qui a donné son accord pour la publication de ce message.
Je vous remercie de votre message, et de votre intérêt pour ces circuits et cette époque.
En effet, je suis le concepteur du premier GPU, au niveau mondial !
Ce sont les circuits EF9365 et EF9366.
Nous étions une bande de copains, élèves de l’Ecole normale Supérieure, de la promotion 1973.
L’informatique était balbutiante, les ordinateurs étaient gigantesques (un bâtiment), très rares et très chers. Personne n’envisageait qu’ils puissent être répandus et bon marché. Les seuls écrans connus étaient ceux de la télévision. Les terminaux informatiques étaient des machines à écrire mécaniques actionnés par des relais électromécaniques. Ces terminaux étaient reliés à des gros ordinateurs distants, par une ligne téléphonique à 300 bits/s.
Jean Gastinel était le seul de notre promotion qui connaissait un peu ce qui se passait aux Etats-Unis, grâce à son père : Noël Gastinel, qui était professeur à Grenoble et qui avait fait des voyages dans les universités américaines et chez IBM. Il avait fait équiper l’université de Grenoble d’un ordinateur IBM 370.
Il nous a sensibilisé aux circuits intégrés. Les premières mémoires MOS de taille correcte sont apparues dans ces années-là chez Intel (1 K bits en 1971, 4 K bits en 1974, 64 K bits en 1978).
Jean Gastinel, avec Jean-Marc Frailong et Jean-Luc Richier, ont réalisé un ordinateur 12 bits, à base de circuits MSI de Texas-Instruments, dans les années 1973-1975. Puis Jean-Gastinel s’est lancé dans la conception du circuit d’affichage alpha-numérique, qui a été commercialisé sous le nom de SFF364 puis EF9364 (le changement de nom correspond au changement de nom de la société Sescosem en EFCIS). Cette conception a fait l’objet de sa thèse de 3è cycle.
À la suite, j’ai pensé qu’on pouvait faire du graphique. Il faut bien voir que ceci n’est devenu possible que grâce aux nouvelles mémoires de 4 K bits, car un affichage 512 x 512 à 1 bit/pixel nécessite 64 boitiers mémoires de 4 K bits. En fait cela ne devient raisonnable qu’avec 16 boîtiers de 64 K bits. Il n’était donc pas possible de faire un GPU avant ces années-là. Mon mérite a été d’avoir le flair de voir qu’une période nouvelle pouvait s’ouvrir, et que les écrans graphiques pouvaient se démocratiser.
Nous avons bénéficié d’une période magique, dans laquelle une bande de jeunes étudiants pouvaient passer un contrat d’industrialisation avec une entreprise de semi-conducteurs française. Nos intentions n’étaient pas du tout de gagner de l’argent en créant une start-up. Nous avons tout donné au public, les contrats ont été passés entre Efcis et l’Ecole normale supérieure. L’argent rapporté a servi à créer le Laboratoire d’informatique de l’Ecole normale supérieure, qui n’existait pas auparavant.
D’après ce que je crois savoir, les circuits du Minitel ont été conçus par Efcis, à partir des briques de base de ma thèse de 3è cycle.
Après cela, nous avons été recrutés comme chercheurs au CNRS, installés dans le nouveau laboratoire que nous avions créé à l'ENS. Jean Gastinel et quelques autres sont ensuite partis en 1986 dans la Silicon Valley, chez Xerox-Park. Je suis resté à Paris, chercheur CNRS. J’ai travaillé sur la dissipation du calcul, puis sur les circuits asynchrones.
Dans les années 70, nous faisions la même chose que les créateurs d’Apple, eux dans un garage, nous dans les caves de l’ENS. Mais nous n’avions pas du tout la même mentalité. Notre idéal était de créer des choses qui profiteraient au grand public, avec l’idée que notre rôle était de concevoir, puis de passer à l’industrie qui réaliserait et commercialiserait. Nous avions un dédain pour la fonction commerciale et la finance. Nous avons mis longtemps à comprendre que cela ne pouvait réussir que si les créateurs étaient les mêmes que ceux qui géraient l’industrialisation et la montée en puissance financière.
Cette différence de mentalité explique la différence de succès entre la Silicon Valley et la France.
Il y a probablement quelques autres coquilles dans ma recopie (mais aussi plusieurs dans l'original que j'ai corrigées, la technologie de correction orthographique sur les machines à écrire de l'époque n'était pas ce qu'elle est aujourd'hui).
J'essaierai peut-être de vectoriser proprement tous les schémas un de ces jours, mais ça ne sera pas pour tout de suite. Et puis peut être qu'on perd la mise en contraste entre le travail réalisé, moderne pour l'époque, et la mise en page à la machine à écrire avec les images insérées à la main (et pas toujours bien droit).
Il me manque également quelques références que je n'ai pas réussi à identifier ou à trouver sur internet (j'ai peu d'espoir pour certaines qui sont probablement des documents internes de la SESCOSEM, mais au moins pour les articles publiés dans Electronics, ça devrait être possible). Les titres et auteurs des articles ne semblent pas toujours très rigoureusement retranscrits, ça ne facilite pas les recherches.
Pour ceux qui voudraient lire la suite (en quelque sorte), la thèse de troisième cycle de Philippe Matherat se trouve sur sa page personnelle
C’est une énorme source de financement qui disparaît mais ce n’est pas la seule et des scientifiques qui ont fuis leur pays on en a un certain nombre d’exemple.
Chaque scientifique qui passe du temps à chercher des financements ou à quitter son pays, c'est un scientifique qui ne passe pas du temps à faire des recherches sur le changement climatique. Et ça marche de façon plus globale. Pas mal de monde doit déjà être occupé à gérer le grand n'importe quoi (annuler des licensiements de fonctionnaires clairement abusifs, etc), mais quand on est face à un tel torrent de caca, c'est difficile de suivre le rythme et ça va pas être le moment propice pour des enquètes de fond ou quoi que ce soit d'autre qui fasse avancer les choses.
Je ne comprend pas de quoi tu parles quand il s'agit de "contourner des niveaux de sécurité"?
On parle de commandes de debug qui permettent au logicieltournant sur la puce de manipuler le composant bluetooth présent également sur la puce.
Si le code n'utilisepas ces commandes (ce qui est probable, puisqu'elles ne sont pas documentées), il ne se passe rien.
Espressif utilisent probablement ces commandes dans leurs développements internes et ça pourrait être pratique de les avoir sous la main hour déployer un patch depuis un driver, un jour.
Dans le cadre d'un scénario d'attaque: pour exploiter ces commundes, il faut déjà être en mesure d'exécuter du code sur la puce. D'où le fait que ça ne soit pas vraiment une backdoor, ça en serait une si on pouvait accéder à ces commandes directement depuis le bluetooth par exemple et dire à la puce "hey donne moi un dump de ton firmware qui est censé être protégé"
Maintenant, dans le cadre d'une attaque sur du matériel utilisant un ESP32, ces commandes pourraient être utilisées pour faire une "escalation de privilèges" comme on dit: une fois que l'attaquant a réussi à exécuter du code pouvant communiquer avec le composant bluetooth, il pourrait trouver un moyen d'exploiter ces commandes pour, peut-être, réussir à injecter du code quelque part (dans le noyau? Dans le firmware bluetooth?) Et ainsi gagner des permissions supplémentaires. Mais ça, c'est le cas de n'importe quel bout de logiciel.
La chose un peu dommage, c'est que ça ne soit pas documenté. Quelqu'un qui aurait tenté de sécuriser par tous les moyens son matériel, pourrait donc être surpris de découvrir ce possible vecteur d'attaque auquel il n'aurait pas pensé.
Il faut être un peu large sur les bans. Pour ma part j'ai fini par exclure toutes les IP de Meta, de Alibaba Cloud, et de Huawei par exemple.
Cela ne va probablement pas perturber les utilisateurs normaux de mon site.
En complément, j'ai aussi un système de ban à partir du user agent:
Le robot fait une ou plusieurs requêtes sur le serveur HTTP
Le serveur répond avec une erreur spécifique (erreur 403 indiquant un accès refusé) pour les user agent que j'ai bloqués (principalement ceux qui ne respectent pas le Crawl-Delay du robots.txt et génèrent plus de traffic que tous les visiteurs non-robotiques combinés).
Fail2ban surveille les logs du serveur HTTP, toute IP qui déclenche des erreurs 403 va assez rapidement être bannie au niveau du pare-feu.
Cette deuxième protection prend un peu de temps à faire effet, mais déjà le fait de retourner une erreur 403 au lieu d'une vraie page au niveau du serveur web, ça réduit considérablement la charge CPU.
Ensuite on peut consulter la liste d'IP bannies par fail2ban, trouver les plages d'IP correspondantes à l'aide d'un whois IP, et décider s'il s'agit d'un range à bloquer manuellement ou pas.
Pas de problème, mon message écrit un peu vite n'était pas très clair, c'est mieux avec un vrai clavier et le temps pour mettre les liens vers les choses auxquelles je voulais faire référence. Comme ça les gens qui n'ont pas déjà lu cette page (ou vécu cette époque sur IRC) comprendront mieux ce que je voulais dire :)
Le cas IRC est un peu différent: Freenode a explosé à cause de la gestion catastrophique de son admin. Les gens sont parti vers LiberaChat (en majorité) ou vers OFTC (qui existait déjà avant, mais moins connu), mais ce sont les deux principaux réseaux. Je n'ai plus aucun contact sur Freenode.
Je ne parlais pas de ça, je parlais du netsplit à l'époque où IRC n'était vraiment qu'un seul réseau fédéré à ses débuts.
À cette époque là il y avait beaucoup plus de conflits entre les opérateurs de différents serveurs qui avaient des règles et pratiques de modération très différentes. La solution a été d'arrêter la fédération globale et d'avoir à la place plusieurs réseaux. Voir cette page qui résume cette histoire.
Freenode est arrivé un peu plus tard.
ce vieux réseau, passé de mode, attire surtout des devs pour des projets libres
Il existe plein d'autres communautés IRC toujours plus ou moins actives. Et qui, même avec beaucoup moins d'utilisateurs, demandent beaucoup plus de modération qu'un canal IRC de projet opensource. La relativé anonymité des utilisateurs (pas de création de compte) fait que c'est un endroit où certaines personnes se croient tout permis. La liste des canaux les plus fréquentés sur Europnet par exemple est assez révéltatrice.
[^] # Re: Équipe de développement assez grande ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Librewolf, ce que Firefox devrait être…. Évalué à 3.
Il ne s'agit pas que d'un langage de programmation, mais de tout un environnement (peut-être comme KDE ou GNOME, ou au moins comme Qt et GTK).
Pour le sujet du fingerprinting: prise individuellement, chaque information remontée est assez cohérente. Le site que tu visites a besoin de connaître ton fuseau horaire pour t'afficher les heures locales. Il a besoin de la taille de ta fenêtre pour faire sa mise en page. Il a besoin de savoir quelles langues tu comprends pour t'afficher le site dans une langue que tu connaît. Il a éventuellement besoin de ton niveau de batterie pour savoir s'il lance une vidéo en full HD qui va consommer les 2% qu'il te reste, ou bien si il vaut mieux passer sur une version légère du site.
Par contre, le truc aurait peut-être pu être pensé pour que ces infos ne puissent pas être remontées vers le serveur, et que un maximum de choses se fassent en local. Probablement que ça n'a pas été possible parce que une grande partie de la conception a été faite avant que la vie privée des utilisateurs soit à la mode, et c'était difficile de changer après coup et que ça remettrait en question des choix assez fondamentaux.
Après, il se trouve que des entreprises se sont engouffrées dans cette faille pour monter un business à partir de l'extraction de données. Mais je ne suis pas certain que ce soit lié, le fingerprinting est assez opportuniste et détourne des fonctionnalités qui, prises individuellement, n'étaient pas prévues pour ça.
[^] # Re: Sens noble du hacking & proximité certaine avec le logiciel libre
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au sondage Le hacking et vous. Évalué à 4.
Pas sûr de ça?
Le terme "hacker" dérive du verbe "to hack":
a: to cut or sever with repeated irregular or unskillful blows
b: to cut or shape by or as if by crude or ruthless strokes
"découper par des coups répétés ; irréguliers ou maladroits", en gros "tailler à la hache". On n'est pas vraiment dans la méritocratie ni dans le travail de qualité.
Par extension ce même verbe est utilisé pour n'importe quel travail effectué grossièrement, sans adresse ni élégance.
Ce n'est qu'ensuite que des gens désignés (péjorativement) comme "hackers" en électronique ou en informatique se sont réappropriés le terme et lui ont donné une signification plus valorisante. Car la solution inélégante pour l'un est, pour l'autre, le trait de génie est l'exploitation inattendue de fonctionnalités, et l'ouverture de nouvelles possibilités pour un logiciel ou un matériel donné.
Le mot geek a pris un virage un peu simlaire dans les années 90-2000. C'était très négatif, mais c'est devenu un badge de fierté pour certaines personnes.
[^] # Re: Équipe de développement assez grande ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Librewolf, ce que Firefox devrait être…. Évalué à 9.
La situation est plus compliquée. À l'époque où Firefox travaillait au respect des normes, il s'agissait de normes établies par le w3c, plutôt stables et avec une évolution assez lente.
Situtaion qui bien sûr ne convenait pas du tout à Google qui hréfère faire évoluer les choses très très vite. Ils ont donc créé le WHATWG qui a remplacé le w3c pour la standardisation du HTML. Depuis, le HTML5 est en "rolling release", toutes lë nouveautés sont ajoutées directement dedans avec peu de préoccupation de la vie privée des utilisateurs. Le rythme est beaucoup plus rapide. Malheureusement, les développeurs d'autres navigateurs ont plus ou moins suivi ce mouvement.
Cela pose déjà des problèmes bêtement techniques: une fois que quelque chose est standardisé, c'est très compliqué de le retirer car cela casserait les sites web exisants. Un standard avec une évolution lente permettrait de faire des expériences puis de les abandonner avant qu'elles n'aient le temps d'être standardisées. Le travail pour suivre le rythme est conséquent et contribue à la prise de poids des moteurs de rendu.
Cela met donc en évidence un problème plus profond: il ne s'agit pas juste du respect des normes, mais de la façon dont ces normes sont établies. Mozilla a, il me semble, suivi Google dans cette aventure en se disant que c'était mieux d'essayer de lutter de l'intérieur pour défendre la vie privée des utilisateurs. Peut être que si à l'époque ils étaient restés du côté du w3c, les choses seraient bien différentes? Quelques années plus tard, ils ont accepté d'implémenter des DRM pour les contenus vidéo. Maintenant ils espionnent leurs utilisateurs via de la télémétrie et essaient d'intégrer des chatbots intelligence artificielle et je ne sais pas quoi alors qu'on leur demande juste de faire un navigateur…
[^] # Re: Équipe de développement assez grande ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Librewolf, ce que Firefox devrait être…. Évalué à 7.
Tout à fait. Le truc qui me chiffonne un peu c'est que WebKit semble souvent oublié dans ces discussions (comme si il n'existait que Gecko, Blink, et Servo voire Ladybird comme candidats sérieux), alors même que ça me semble être celui qui est déjà le mieux configuré (en termes de gouvernance et de portabilité) pour répondre à ce besoin.
Je ne sais pas si c'est lié à l'implication importante de Apple dans le projet (qui ne m'a pas l'air de poser tant problème que ça, et qui sera naturellement "diluée" s'il y a plus de participants) ou pour des problèmes techniques (performance, compatibilité/respect des standards, …) ou pour d'autres raisons. Qui peuvent être justifiées, mais dans ce cas j'aimerais bien savoir ce qu'elles sont, et pas que WebKit soit juste éliminé d'office de la discussion.
[^] # Re: Équipe de développement assez grande ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Librewolf, ce que Firefox devrait être…. Évalué à 10.
Il y a WebKit, qui est co-développé actuellement par Apple, Sony et Igalia et n'aurait pas de problème à accueillir des participants supplémentaires (par le passé il y a eu Nokia/Qt, Samsung, et Google avant qu'ils créent un fork avec Blink).
Le support multi plateformes est bon, et la distribution est faite sous forme de juste un moteur de rendu, autour duquel il est relativement facile de construire un navigateur.
Gecko faisait la même chose il y a longtemps, mais il a été tué par Mozilla qui a décidé de le lier à Firefox. Si Mozilla abandonnait le développement du moteur, ça rouvrirait la possibilité de mettre en place un vrai projet de moteur de rendu, indépendant d'un navigateur et avec une gouvernance plus ouverte. Et les contributeurs de plusieurs navigateurs pourraient y participer au lieu de maintenir chacun sa version.
En ce qui me concerne, je vais continuer à travailler avec WebKit ou mes patchs pour ajouter le support de Haiku sont plutôt bien reçus (j'ai même vu des patchs pour le support de Hurd passer il y a pas longtemps, comme quoi Apple n'a pas peurt des OS concurrents!)
[^] # Re: Fennec
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Librewolf, ce que Firefox devrait être…. Évalué à 10.
C'est plutôt Mozilla qui ne veut pas que le nom et le logo Firefox soient associés à des versions du navigateur qu'ils n'ont pus personellement validées. Ce qui semble normal, sinon n'importe quel site malveillant pourrait proposer un Firefox vérolé plein d'extensions publicitaires et de logiciels espions.
F-Droid pourrait faire des démarches auprès de Mozilla pour faire valider leur version (ce que Debian a fait, par exemple, auparavant ils avaient une version de Firefox renommée Iceweasel), mais c'est une certaine perte d'indépendance sur ce qu'ils décident de packager ou non, et quelles modifications ils peuvent apporter.
Chez Haiku, notre version de Firefox s'appelle également Iceweasel. Mais Librewolf et Waterfox sont également disponibles dans nos dépôts logiciels.
[^] # Re: Ça donne envie de le rallumer
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal De la nostalgie du 486. Évalué à 4. Dernière modification le 12 mai 2025 à 09:26.
C'est compatible électriquement et au niveau du protocole, mais pas au niveau mécanique. Il faut donc effectivement un adaptateur passif.
Sur des machines plus anciennes, le BIOS ne sait pas gérer un disque dur IDE, mais il est possible d'installer XT-IDE sous forme d'une ROM d'extension pour ajouter le code nécessaire. Chez moi j'ai un clone de PC-XT avec un processeur 8086 équipé ainsi (ça ne me sert à rien, cela dit).
[^] # Re: Obsession ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien « The Keynote Will NOT Go Forward » — lien-signets : Richard Stallman devient persona non grata. Évalué à 6.
Les deux côtés du problème s'entretiennent l'un l'autre. Il yea des gens cui conçoient le logiciel libre comme un culte de la personne de rms (volontairement ou pas). Ça rend rms irremplaçable. Donc c'est lui qui donne toutes les conférences. Donc personne d'autre n'a l'occasion de se mettre en avant et de prendre le relais. Donc les gens qui ne sont pas trop content de cette façon de voir les choses vont voir ailleurs. Soit ailleurs que dans le logiciel libre, soit ailleurs qu'à la FSF. Par exemple la Software Freedom Conservancy qui fait plein de trucs pour le logiciel libre et donne plein de conférenges intéressantes. Si on veut absolument des noms: Karen Sandler ou Bradley Kuhn par exemple.
Ge n'est pas propre à la FSF, culturellement les gens ont du mal avec les organisations où il n'y a pas un "chef", et c'est compliqué à maintenir pour d'autres raisons. Mais bon, Richard Stallman n'est pas immortel et plus tout jeune, si la FSF choisit de rester organisée dans un culte de la personne (pourquoi pas, ça semble bien fonctionner tout de même), qui sera son ou sa rerplaçante? Difficile si l'organisation est incapabne de faire émerger d'autres personnes ou de fonctionner sans rms (qui avait été exclu du comité de direction avant d'être finalement réintégré).
Moi j'ai peu d'espoir pour la survie de la FSF dans ces conditions. Heureusement il y a d'autres organisations qui sont mieux gérées à mon avis, et qui prendront très bien le relais si ce n'est déjà fait.
[^] # Re: Obsession ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien « The Keynote Will NOT Go Forward » — lien-signets : Richard Stallman devient persona non grata. Évalué à 10.
En fait il fait une intervention, c'est tout le temps la même à peu de chose près. Après 40 ans à donner la même conférence toutes les semaines, je pense que n'importe qui deviendrait aussi bon que lui.
Et en plus, il présente une vision "réductrice" du logiciel libre qui parle uniquement du logiciel libre, c'est à dire des licenses et oes 4 libertés fondamentales. Ça n'aborde donc pas du tout tous les aspects communautaires.
Or, la partie sur les licenses, quelque part, c'est un combat qui est plus ou moins déjà gagné. Aujourd'hui il serait plus intéressant de parler d'autres aspects: aussi bien sur le plan technico-organisationnel (comment on maintient des projets sur des dizaines d'années avec des équipes distribuées hartout dans le monde et des milliers de participants) que politique (trouver des moyens de financer le logiciel qui ne dépendent pas des gafam, protéger la vie privée des utilisateurs) ou encore sociétales (la diversité dans l'informatique, est-ce que le logiciel libre peut contribuer à l'écologie et à la lutte contre le changement climatique en retardant l'obsolescence du matériel, …).
Je suis sûr qu'on peut trouver plein de gens pour faire des interventions intéressantes sur ces sujets où il y a plein de choses à dire. C'est dommage d'en rester à la conf degré zéro d'introduction au logiciel libre, non?
[^] # Re: précisions
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Fin du changement d'heure : où en est-on ? . Évalué à 4.
Pour les soucis de santé, il me semble avoir lu qu'il y a effectivement une sur-représentation des AVC si on regarde la semaine juste après le changement d'heure, mais qui est annulée par les semaines suivantes.
La conclusion est que le changement d'heure a été le stress de trop pour des personnes qui étaient déjà sur le point de faire un AVC, qui se serait déclenché de toutes façons pour une autre raison une ou deux semaines plus tard.
Cela dit, avec un système hospitalier saturé, il pourrait tout de même y avoir un effet supplémentaire à concentrer les problèmes sur le même jour ou la même semaine?
[^] # Re: vibe coding
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Le site de curl désormais à 1,6 Go/minute de trafic à cause des crawlers pour LLMs. Évalué à 5.
Je ne sais pas si on peut tout mettre sur le dos de l'incompétence. Certains de ces bots font des efforts pour utiliser plusieurs user agents imitant de vraies machines pour essayer de passer innaperçus, ce qui suppose un minimum de compréhension de comment ça marche et une volonté d, rendre le truc difficile à bloquer par les méthodes habituelles.
Il y a donc au moins une part de malveillance. D'habitude je suis le premier à envisager l'incompétence, mais là il y a des gens qui le font exprès.
Même chose chez Facebook avec un bot qui fait des milliers de requêtes et dont la documentation dit explicitement qu'ils ont choisi de ne pas respecter le crawl-delay du robots.txt. Il n'y a pas de "oups on a pas fait attention, désolé" là dedans cette fois ci.
[^] # Re: Je comprends pas
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Le site de curl désormais à 1,6 Go/minute de trafic à cause des crawlers pour LLMs. Évalué à 10.
Oui, ça coùte moins cher de retélécharger les choses que de faire un mirroir de tout l'internet.
Et même sur une "petite" forge, un crawler un peu stupide qui suit tous les liens, il va scanner tout l'historique git du projet si c'est accessible via une interface web, et probablement dans tous les formats possibnes (log, diff, blame, en html, en texte, …). Ça fa?t assez vite un gros volume de données, Multipilié par quelques dizaines d'entreprises qui entraìnent des modèles, chacune travaillant probablementsur plusieurs modèles différents en parallèle, ça fait un très gros volume.
[^] # retex
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Un super Logic Analyzer DIY pour pas cher. Évalué à 5.
J'utilise également un clone saleae (pour mes bricolages personnels). Plutôt pas mal pour les choses simples en effet. Le matériel est très simple, basé sur un composant standard, et la vraie valeur de ces outils est dans le logiciel. Pour ma part je ne vois pas de problème à utiliser un clone avec un logiciel libre. Les problèmes de Saleae viennent plutôt de leur choix de faire payer assez cher le matériel pour financer le logiciel (logiciel dont on a pas vraiment besoin si on utilise Sigrok).
Les systèmes professionnels vont se dif#érencier soit par la gestion de protocoles plus exotiques, soit par du matériel capable de capturer plus de signaux, à une fréquence plus élevée.
Si on veut par exemple tracer un bus adresse et données d'un CPU, ce genre de choses peut être utile. Certains proposent même des modules logiciels pour désassembler le code exécuté à la volée.
Il peat aussi y avoir des besoins particuliers si on veut scanner des protocoles qui ont des spécificités au niveau électronique (usb, sata, hdmi qui utilisent des paires différentielles par exemple).
Mais si on a pas ces besoins, un analyseur DIY simple fera très bien l'affaire, avec un logiciel comme Sigrok par exemple.
[^] # Re: robot.txt
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Drew Devault : Please stop externalizing your costs directly into my face . Évalué à 6.
ça dépend ce que tu veux faire.
Par exemple sur mon site web, le robots.txt met un crawl-delay de 5 minutes pour tout le monde par défaut. Je n'ai pas besoin que les robots indexent mon site plusieurs dizaines de fois par jour, le contenu change assez peu.
Si les robots LLM respectaient ce réglage, je n'aurait pas de problème de charge CPU ou de bande passante (j'ai d'autres problèmes personnels avec les LLM mais c'est une autre histoire). ça règle le deuxième problème: ce réglage étant valide pour tout le monde, il n'y a pas de "course".
Il en est de même pour les liens avec rel="nofollow" que les robots ne devraient normalement pas utiliser (et je suppose que les gens qui se plaignent de problème de charge CPU sur leurs applis web sont un minimum compétents et ont déjà mis en place ce type de mesures pour éviter que les robot scannent des choses qui n'ont pas besoin de l'être).
Sauf que non: certains de ces robots ignorent complètement le robots.txt, d'autres ignorent le crawl-delay, d'autres refusent un crawl-delay supérieur à 10 secondes. Donc je les ai exclus par d'autres moyens, parce que ce mois ci c'était 2 adresses IP qui représentaient plus de 50% du traffic arrivant chez moi.
[^] # Re: FUD ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 4.
Je pense que tous les employés de Cloudflare ne sont pas des milliardaires de la tech, et j'espère que la mise en place du nouveau régime technofasciste américain ne va pas se faire sans un minimum de résistance.
Quelle autre raison pourraient-ils avoir pour faire un message de blog dont le but principal est de dire "coucou, on voit vos mots de passe"? Le risque de "bad buzz" me semble assez évident avec un tel message, non?
[^] # Re: FUD ?
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien CloudFlare voit tous vos mots de passe en clair (sur tous les sites qui utilisent CloudFlare). Évalué à 8.
Moi, si j'étais Cloudflare et que le gouvernement me demandait ça, je ferais un article de blog disant HÉ VOUS AVEZ VU? ON A ACCÈS À VOS MOT DE PASSES IL FAUDRAIT PAS QUE ÇA TOMBE ENTRE DE MAUVAISES MAINS. À défaut de pouvoir être plus explicite…
[^] # Re: D'où l'intérêt...
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal changer de genre est un droit garanti par le RGPD. Évalué à 4.
Il ms emble que Voyages SNCF s'est fait taper sur les doigts à ce sujet il y a quelques semaines: effectivement, c'est excessif, et ils n'ont pas à te demander ça pour te vendre un billet de train.
[^] # Re: Un message de Philippe Matherat
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal La thèse de Jean Gastinel: conception et intégration d'un terminal alphanumérique (1977). Évalué à 10.
# Un message de Philippe Matherat
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal La thèse de Jean Gastinel: conception et intégration d'un terminal alphanumérique (1977). Évalué à 10.
Je vous partage un message de Philippe Matherat, qui a été contacté par un lecteur de cette dépêche (bublbobl) et qui a donné son accord pour la publication de ce message.
[^] # Re: Une petite mine d'or…
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal La thèse de Jean Gastinel: conception et intégration d'un terminal alphanumérique (1977). Évalué à 7.
J'ai rajouté les 2 images manquantes.
Il y a probablement quelques autres coquilles dans ma recopie (mais aussi plusieurs dans l'original que j'ai corrigées, la technologie de correction orthographique sur les machines à écrire de l'époque n'était pas ce qu'elle est aujourd'hui).
J'essaierai peut-être de vectoriser proprement tous les schémas un de ces jours, mais ça ne sera pas pour tout de suite. Et puis peut être qu'on perd la mise en contraste entre le travail réalisé, moderne pour l'époque, et la mise en page à la machine à écrire avec les images insérées à la main (et pas toujours bien droit).
Il me manque également quelques références que je n'ai pas réussi à identifier ou à trouver sur internet (j'ai peu d'espoir pour certaines qui sont probablement des documents internes de la SESCOSEM, mais au moins pour les articles publiés dans Electronics, ça devrait être possible). Les titres et auteurs des articles ne semblent pas toujours très rigoureusement retranscrits, ça ne facilite pas les recherches.
Pour ceux qui voudraient lire la suite (en quelque sorte), la thèse de troisième cycle de Philippe Matherat se trouve sur sa page personnelle
[^] # Re: Attaque de Trump contre le GIEC
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien America is Going Just Great (timeline). Évalué à 5.
Chaque scientifique qui passe du temps à chercher des financements ou à quitter son pays, c'est un scientifique qui ne passe pas du temps à faire des recherches sur le changement climatique. Et ça marche de façon plus globale. Pas mal de monde doit déjà être occupé à gérer le grand n'importe quoi (annuler des licensiements de fonctionnaires clairement abusifs, etc), mais quand on est face à un tel torrent de caca, c'est difficile de suivre le rythme et ça va pas être le moment propice pour des enquètes de fond ou quoi que ce soit d'autre qui fasse avancer les choses.
[^] # Re: Réponse d’espressif
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au journal Une backdoor dans les ESP32 ?. Évalué à 8.
Je ne comprend pas de quoi tu parles quand il s'agit de "contourner des niveaux de sécurité"?
On parle de commandes de debug qui permettent au logicieltournant sur la puce de manipuler le composant bluetooth présent également sur la puce.
Si le code n'utilisepas ces commandes (ce qui est probable, puisqu'elles ne sont pas documentées), il ne se passe rien.
Espressif utilisent probablement ces commandes dans leurs développements internes et ça pourrait être pratique de les avoir sous la main hour déployer un patch depuis un driver, un jour.
Dans le cadre d'un scénario d'attaque: pour exploiter ces commundes, il faut déjà être en mesure d'exécuter du code sur la puce. D'où le fait que ça ne soit pas vraiment une backdoor, ça en serait une si on pouvait accéder à ces commandes directement depuis le bluetooth par exemple et dire à la puce "hey donne moi un dump de ton firmware qui est censé être protégé"
Maintenant, dans le cadre d'une attaque sur du matériel utilisant un ESP32, ces commandes pourraient être utilisées pour faire une "escalation de privilèges" comme on dit: une fois que l'attaquant a réussi à exécuter du code pouvant communiquer avec le composant bluetooth, il pourrait trouver un moyen d'exploiter ces commandes pour, peut-être, réussir à injecter du code quelque part (dans le noyau? Dans le firmware bluetooth?) Et ainsi gagner des permissions supplémentaires. Mais ça, c'est le cas de n'importe quel bout de logiciel.
La chose un peu dommage, c'est que ça ne soit pas documenté. Quelqu'un qui aurait tenté de sécuriser par tous les moyens son matériel, pourrait donc être surpris de découvrir ce possible vecteur d'attaque auquel il n'aurait pas pensé.
[^] # Re: .
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Les hébergeurs associatifs en difficulté face aux indexeurs d'entraînement IA. Évalué à 6.
Il faut être un peu large sur les bans. Pour ma part j'ai fini par exclure toutes les IP de Meta, de Alibaba Cloud, et de Huawei par exemple.
Cela ne va probablement pas perturber les utilisateurs normaux de mon site.
En complément, j'ai aussi un système de ban à partir du user agent:
Cette deuxième protection prend un peu de temps à faire effet, mais déjà le fait de retourner une erreur 403 au lieu d'une vraie page au niveau du serveur web, ça réduit considérablement la charge CPU.
Ensuite on peut consulter la liste d'IP bannies par fail2ban, trouver les plages d'IP correspondantes à l'aide d'un whois IP, et décider s'il s'agit d'un range à bloquer manuellement ou pas.
[^] # Re: Ce n'était peut-être pas si précipité de fermer l'instance
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Au sujet du fediverse, de Zaclys et de la modération. Évalué à 2.
Pas de problème, mon message écrit un peu vite n'était pas très clair, c'est mieux avec un vrai clavier et le temps pour mettre les liens vers les choses auxquelles je voulais faire référence. Comme ça les gens qui n'ont pas déjà lu cette page (ou vécu cette époque sur IRC) comprendront mieux ce que je voulais dire :)
[^] # Re: Ce n'était peut-être pas si précipité de fermer l'instance
Posté par pulkomandy (site web personnel, Mastodon) . En réponse au lien Au sujet du fediverse, de Zaclys et de la modération. Évalué à 4. Dernière modification le 07 mars 2025 à 13:06.
Je ne parlais pas de ça, je parlais du netsplit à l'époque où IRC n'était vraiment qu'un seul réseau fédéré à ses débuts.
À cette époque là il y avait beaucoup plus de conflits entre les opérateurs de différents serveurs qui avaient des règles et pratiques de modération très différentes. La solution a été d'arrêter la fédération globale et d'avoir à la place plusieurs réseaux. Voir cette page qui résume cette histoire.
Freenode est arrivé un peu plus tard.
Il existe plein d'autres communautés IRC toujours plus ou moins actives. Et qui, même avec beaucoup moins d'utilisateurs, demandent beaucoup plus de modération qu'un canal IRC de projet opensource. La relativé anonymité des utilisateurs (pas de création de compte) fait que c'est un endroit où certaines personnes se croient tout permis. La liste des canaux les plus fréquentés sur Europnet par exemple est assez révéltatrice.