du 29 novembre 2018
Date

Choisir une autre édition

Bibliothèque Node.js vérolée : NPM sort un communiqué, le responsable se justifie

Il y a quelques jours, un développeur révélait l’infection de la bibliothèque event-stream, téléchargée jusqu’à 2,4 millions de fois par semaine, par du code visant un portefeuille de cryptomonnaies, Copay.

Le cheval de Troie (flatmap-stream) était insidieux pour plusieurs raisons. D’une part, event-stream est une dépendance d’autres projets, qu’on installe habituellement avec des dizaines d’autres sans y réfléchir. D’autre part, le code infectieux ne fonctionnait qu’en présence de bibliothèques de Copay sur le serveur.

L’histoire a fait son effet, notamment à cause de la première justification du concepteur d’event-stream, Dominic Tarr, qui a laissé les clés de son projet au pirate après un simple email. Ne l’utilisant plus « depuis des années », il a simplement donné son projet à la première occasion, sans le moindre contrôle.

Rapidement, l’équipe de NPM, le système de distribution officiel des bibliothèques Node.js, a pris la main sur le compte d’event-stream et retiré la version 3.3.6, en cause.

Dans un billet de blog, elle explique avoir été avertie le 26 novembre de l’infection, le pirate ayant pris le contrôle du compte NPM du projet. La version 3.3.6 d’event-stream datait du 9 septembre, passant inaperçu pendant deux mois.

Le ciblage très précis des développeurs de Copay limite les dégâts, selon NPM. « La plupart des développeurs ne seraient pas affectés, même s’ils ont installé le module malveillant par erreur. » Le code tentait de récupérer les informations du compte et la clé privée des comptes disposant de plus de 100 bitcoins ou de plus de 1 000 bitcoins cash. Il a été déployé dans Copay entre les versions 5.0.2 et 5.1.0.

Pour sa part, le développeur Dominic Tarr revient sur la polémique, certains le jugeant irresponsable. Il répète son principal point : ce module était devenu un poids pour lui. « Si ce n’est plus amusant, vous n’obtenez absolument rien à maintenir un paquet populaire », estimant que beaucoup de dépendances sont dans le même état d’abandon.

Tarr estime que partager les droits d’édition et de publication est une pratique commune dans le monde de Node.js, et assure qu’il n’aurait pas accepté s’il s’était douté des intentions du pirate. Pour lui, il faut soit payer les mainteneurs des modules (souvent fatigués, ne tirant rien de modules qu’ils n’utilisent plus eux-mêmes), soit contribuer, tout simplement.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Comme toujours en pareille situation, le fabricant reste discret sur les annonces qui seront faites. Selon CNet, il est question du « retour attendu d'une icône réinventée »... tout un programme.

Il serait donc question du retour du « mythique » Razr, mais avec un écran pliable, comme le voulait la rumeur au début de l'année. Depuis, le constructeur a confirmé qu'il planchait sur le sujet, sans donner plus de détails pour l'instant. 

Copié dans le presse-papier !

Hier, le patron de Facebook a livré un long discours devant un parterre d'étudiants de l'université de Georgetown à Washington. Pendant plus d'une demi-heure, il est revenu sur de nombreux sujets d'actualité.

C'était notamment le cas d'une publicité controversée (avec de fausses informations sur Joe Biden) de Donald Trump pour sa réélection : « Nous ne vérifions pas les faits des publicités politiques. Nous ne faisons pas cela pour aider les politiciens, mais parce que nous pensons que les gens devraient pouvoir voir eux-mêmes ce que les politiciens disent ». 

Il s'est également prononcé en faveur d'une plus large liberté d'expression : « en cas de doute, nous devrions toujours pencher vers une plus grande liberté d'expression », comme le rapporte l'AFP. Il est également revenu sur le cas de la Chine qui construit son propre Internet D'autres sujets comme la question du respect de la vie privée et des données personnelles semblent par contre avoir été éludés. 

Copié dans le presse-papier !

Nuance est connu pour ses applications de reconnaissance vocale (la série de logiciels Dragon), et notamment Dragon Medical pour le corps médical.

Du côté de Microsoft, c'est évidemment d'Azure dont il est question et de ses applications d'intelligence artificielle. La suite vous vous en doutez : un mélange des deux pour « améliorer la productivité, tout en permettant aux médecins de se concentrer sur ce qu'ils font le mieux : prendre soin des patients ».

« Avec le consentement du patient », la conversation entre le médecin et le patient sera écoutée et analysée pour remplir automatiquement le dossier médical du second. Une synthèse et une ordonnance peuvent aussi être délivrées. 

Afin de mettre en place ce partenariat, Nuance migre une partie de son infrastructure sur Azure.

Copié dans le presse-papier !

L'Avicca se félicite de cette réouverture, demandée depuis deux ans et affirme que « la voie est donc entrouverte pour les 27 départements qui attendaient avec impatience cette annonce pour lancer la desserte en FTTH des 3 millions de foyers français qui étaient, jusqu’à aujourd’hui, exclus de toute perspective d’accompagnement par l’État ».

Pour son président Patrick Chaize, « il n’est pas indispensable de budgéter immédiatement les 600 millions d’euros nécessaire pour atteindre cet objectif [...] En revanche, les parlementaires devront impérativement se mobiliser dans le cadre du projet de loi de finances pour permettre à l’ensemble des premières demandes, prêtes à être déposées, d’être accompagnées ».

L'État ne pourrait en effet financer que 30 % des premiers dossiers. « S’il est bien confirmé que le reliquat du Plan France THD soit affecté à hauteur de 140 millions d’euros à l’atteinte de l’objectif du 100 % FTTH pour tous les Français, il convient donc de prévoir dans le cadre de la loi de finances d’une première autorisation de programme de 322 millions d’euros supplémentaires », explique l'Avicca.