Aujourd'hui, je vais vous parler de Azer Koçulu.

Azer est un développeur passionné d'open source qui depuis des années publie des modules pour NPM, un gestionnaire de paquets utilisé par les projets Javascript pour installer des dépendances.

Et dernièrement, il a sorti un module baptisé Kik, qui vous vous en doutez, a attiré l'attention des avocats de la société Kik du logiciel de messagerie du même nom. Suite à un premier contact, Azer a refusé de supprimer son module et les avocats de Kik ont déposé une plainte pour violation de marque.

Suite a cette plainte, NPM a donc décidé de supprimer le module Kik de Azer, ce qui l'a vraiment, mais alors vraiment énervé. Azer a donc décidé de retirer de NPM ses 250 modules. Violent quoi..

"Cette situation m'a fait réaliser que NPM était un terrain privé où les sociétés ont plus de pouvoir que les gens, et si je fais de l'open source, c'est pour donner du pouvoir aux gens." (Azer Koçulu)

Là où ça se complique, c'est que l'un de ses modules baptisé Left-pad est massivement utilisé dans des tas de projets comme Node, Babel...etc.

Left-pad, c'est 11 petites lignes :

module.exports = leftpad;

function leftpad (str, len, ch) {
str = String(str);

var i = -1;

if (!ch && ch !== 0) ch = ' ';

len = len - str.length;

while (++i < len) {
str = ch + str;
}

return str;
}

En retirant left-pad du dépôt, toutes ces applications se sont foiré à l'installation, ne trouvant pas la dépendance. Et quelle dépendance, car rien que le mois dernier, left-pad a été téléchargé plus de 2,4 millions de fois. Je vous laisse imaginer le chaos parmi la communauté Javascript.

Laurie Voss, le CTO et co-fondateur de NPM a donc pris la décision historique de dé-dépublier (restaurer quoi...) left-pad 0.0.3 afin que les applications que tout le monde continue à s'installer et à fonctionner.

Left-Pad sur NPM est donc maintenu par une nouvelle personne, Azer a publié un article sur Medium pour s'expliquer et mis son code sur GitHub pour ceux qui en auraient besoin.

Cette situation est intéressante car elle montre que l'application bête et méchante du copyright peut parfois avoir des effets de bord conséquents. A mon sens, NPM aurait du tenir tête aux avocats de Kik.

On constate aussi que pas mal de projets open source sont soutenus par une poignée de personnes et reposent sur des bouts de codes charnières qu'il est ensuite compliqué de retirer. Ce n'est pas pour rien que tout ceci s'appelle des "dépendances" et on voit là concrètement l'importance vitale de ces dépendances. Le monde de l'open source manque peut être encore un peu d'alternatives, de forks...etc. Je repense au problème avec OpenSSL en 2014, qui a donné trop tardivement le jour à LibreSSL.

En attendant, si votre code ne fonctionne pas même avec le retour de left-pad, faites un

npm cache clear

pour nettoyer le cache de npm et récupérer la version restaurée.

Source

Cet article merveilleux et sans aucun égal intitulé : 11 lignes de codes qui disparaissent et ce sont des centaines de projets open source qui sont mis à mal ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Il suffit d'un petit moment de relâchement, et d'être là au mauvais moment pour se faire avoir par un escroc qui exploitera vos failles humaines pour parvenir à ses fins.

Les techniques de social engineering exploitent la confiance que vous accordez à quelqu'un en appuyant sur des leviers tels que votre gentillesse, votre ignorance, votre peur, votre paresse...etc. Cette infographie réalisée par Smartfile liste quelques techniques connues qu'elles soient réalisées en face à face, au téléphone ou derrière l'ordinateur. Je vous invite à les lire et à les faire tourner autour de vous, afin de savoir reconnaitre une tentative future de social engineering sur votre sublime personne. ;-)

Source

Cet article merveilleux et sans aucun égal intitulé : Les techniques de social engineering ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

On est maintenant pas mal à avoir une petite imprimante 3D à la maison ou au Fab Lab du coin et c'est trop l'éclaaaaate !

Seulement, voilà... Y'a un aspect qu'il ne faut pas négliger, c'est la sécurité. Que ce soit avec des imprimantes achetées toutes faites ou montées vous-même, il y a en effet toujours un risque d'incendie. La tête qui dépose le plastique chauffe quand même entre 190°C et 250°C, et il arrive parfois qu'il y ait un bug...

L'objet peut se décrocher du plateau et se retrouver coincé, la tête peut partir en live dans un coin, elle peut toucher les câbles électriques, le plastique peut s'agglutiner autour de la tête, la température peut dépasser largement les 250°C...etc. Et le PLA, l'ABS ou une partie de l'imprimante peut s'enflammer.

Il y a tellement de scénarios possibles qu'il est impossible de tout prévoir. D'ailleurs sur les forums, on voit parfois ce genre de photos, qui font froid dans le dos.

Si vous êtes un pro de l'impression 3D, vous connaissez surement les risques. Mais si vous débutez comme moi, ça ne vous a peut-être même pas traversé l'esprit, ou alors vous êtes en mode "ça n'arrive qu'aux autres, c'est pas si fréquent".

Si je peux me permettre quelques conseils, voici ce que j'applique chez moi en matière de sécurité concernant l'imprimante 3D.

• 1/ Je fais gaffe que rien ne traine autour qui pourrait tomber, ou toucher les parties chaudes de l'imprimante, ou bloquer le plateau. Je m'arrange aussi pour qu'il n'y ait aucun enfant dans le coin.
• 2/ Je reste toujours à proximité lorsque je lance une impression. Si je dois partir faire une course, même 10 min, je ne lance pas d'impression 3D.
• 3/ Evidemment, pour les impressions qui prennent beaucoup de temps, c'est pas évident. Quand j'ai vraiment un truc qui va prendre plus d'une dizaine d'heures, je me lève super tôt, pour lancer l'impression. Ou histoire de réduire le temps d'impression, je baisse la qualité ou je découpe la pièce en plusieurs parties.
• 4/ J'ai installé un détecteur de fumé à proximité.
• 5/ J'ai acheté un petit extincteur que je garde sous la main.

Voilà les quelques conseils que je peux vous donner à ce sujet. Un feu, ça peut partir très vite et devenir vite ingérable donc ne faites pas les cons.

Si le sujet vous intéresse, il y a un article en anglais à ce sujet ici.

Cet article merveilleux et sans aucun égal intitulé : Imprimantes 3D – Attention à la sécurité ! ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous êtes à Paris le 28 avril, je vous propose de nous rejoindre, la team Remixjobs et moi-même pour assister au premier RjTalk, une série de conférences réalisées par des développeurs pour les développeurs, en marge du traditionnel RJDay.

Au programme de l'après-midi, il y aura donc :

• Développer une Application ReactJS/Flux : exemple de la refonte de RemixJobs par Chloé Gence et Florent Teissier, développeurs front-end chez RemixJobs

ReactJS a beaucoup fait parler d’elle cette année. Cette librairie développée par Facebook a très vite séduit les développeurs, qui se sont empressés de l’adopter. Les front-end de RemixJobs ont justement choisi de développer la nouvelle version du job board avec React et Flux. Retour d’expérience.

• Live coding et présentation d’ElectronJS par Sébastien Bianchi, développeur front-end passionné de JavaScript et d’Angular

ElectronJS, c’est la techno qui a permis de créer Slack, Visual Studio Code et Atom. Grâce à ce framework, on peut développer facilement des applications multiplateformes (Linux, Windows et MacOS) en JavaScript. En 30 minutes, vous découvrirez les fondamentaux, ainsi qu’un exemple d’application de chat.

• Introduction à AngularJS par Virginie Bardales, développeuse freelance

Ces deux dernières années, AngularJS était sous les feux de la rampe. Mais depuis quelque temps, depuis l’arrivée de ReactJS en fait, rien ne va plus ; même si l’annonce de la dépréciation d’Angular 1 par rapport à Angular 2 a fait pas mal de bruit. Qui sait de quoi sera fait demain ? React tiendra-t-elle ? Que va-t-il advenir de Polymer, d’Angular 2, ou encore d’Aurelia.io ? Face à cet avenir flou, s’intéresser à AngularJS prend tout son sens : ce framework mal-aimé continue à fournir de bons et loyaux services, sans parler du nombre d’applications qu’il va bien falloir entretenir.

• Et pour finir, je vous ferai une introduction au monde merveilleux des Bug Bounties.

Pour faire simple, c’est une récompense qu’une société offre à ceux qui trouvent des failles de sécurité dans un périmètre donné et comme avec mes associés. Si vous voulez vous spoiler, je vous invite d'ailleurs à lire l'article que j'ai rédigé à ce sujet.

Évidemment, je serai présent toute l'après-midi, donc on aura le temps de discuter tranquillement si vous le souhaitez.

Pour vous inscrire, rendez vous sur RjTalk.com. A très vite !

Cet article merveilleux et sans aucun égal intitulé : RJTalk – Des conférences pour les développeurs, par les développeurs. ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

C'est un peu la fête du slip dans le Google Play Store en ce moment. Grâce à un exploit dans le noyau Linux utilisé par Android, il est possible de rooter facilement le téléphone.

Cet exploit (CVE-2015-1805) a été découvert par Zimperium, qui est connu pour vendre de jolies failles aux gouvernements du monde entier. À mon avis, ils l'avaient dans leur poche depuis longtemps et ont été obligés de la communiquer à Google parce que cette dernière s'est retrouvée dans la nature. Ce n'est qu'une hypothèse de ma part bien évidemment.

Alors bien sûr, des tas de petits malins ont poussé sur le PlayStore des applications légèrement modifiées qui permettent de rooter le téléphone ou exploiter des fonctionnalités qui normalement exigent que le téléphone soit rooté. Je vous laisse imaginer les possibilités que ça peut offrir à des malwares en tout genre.

Les versions touchées sont les Android utilisant des noyaux 3.4, 3.10 ou encore 3.14, y compris sur les Nexus. La version 3.18 ou supérieure n’est quant à elle pas vulnérable.

Si votre téléphone a été rooté à votre insu, vous n'aurez d'autre choix que de reflasher la ROM.

C’est donc le grand nettoyage sur le PlayStore et Google en a profité pour mettre à jour sa fonctionnalité de vérification des applications avant publication sur l’App Store et recommande à tout le monde de patcher son téléphone dès que le correctif sera disponible.

Source

Cet article merveilleux et sans aucun égal intitulé : Le PlayStore Android en “déroote” totale ! ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.