du 29 novembre 2018
Date

Choisir une autre édition

Bibliothèque Node.js vérolée : NPM sort un communiqué, le responsable se justifie

Il y a quelques jours, un développeur révélait l’infection de la bibliothèque event-stream, téléchargée jusqu’à 2,4 millions de fois par semaine, par du code visant un portefeuille de cryptomonnaies, Copay.

Le cheval de Troie (flatmap-stream) était insidieux pour plusieurs raisons. D’une part, event-stream est une dépendance d’autres projets, qu’on installe habituellement avec des dizaines d’autres sans y réfléchir. D’autre part, le code infectieux ne fonctionnait qu’en présence de bibliothèques de Copay sur le serveur.

L’histoire a fait son effet, notamment à cause de la première justification du concepteur d’event-stream, Dominic Tarr, qui a laissé les clés de son projet au pirate après un simple email. Ne l’utilisant plus « depuis des années », il a simplement donné son projet à la première occasion, sans le moindre contrôle.

Rapidement, l’équipe de NPM, le système de distribution officiel des bibliothèques Node.js, a pris la main sur le compte d’event-stream et retiré la version 3.3.6, en cause.

Dans un billet de blog, elle explique avoir été avertie le 26 novembre de l’infection, le pirate ayant pris le contrôle du compte NPM du projet. La version 3.3.6 d’event-stream datait du 9 septembre, passant inaperçu pendant deux mois.

Le ciblage très précis des développeurs de Copay limite les dégâts, selon NPM. « La plupart des développeurs ne seraient pas affectés, même s’ils ont installé le module malveillant par erreur. » Le code tentait de récupérer les informations du compte et la clé privée des comptes disposant de plus de 100 bitcoins ou de plus de 1 000 bitcoins cash. Il a été déployé dans Copay entre les versions 5.0.2 et 5.1.0.

Pour sa part, le développeur Dominic Tarr revient sur la polémique, certains le jugeant irresponsable. Il répète son principal point : ce module était devenu un poids pour lui. « Si ce n’est plus amusant, vous n’obtenez absolument rien à maintenir un paquet populaire », estimant que beaucoup de dépendances sont dans le même état d’abandon.

Tarr estime que partager les droits d’édition et de publication est une pratique commune dans le monde de Node.js, et assure qu’il n’aurait pas accepté s’il s’était douté des intentions du pirate. Pour lui, il faut soit payer les mainteneurs des modules (souvent fatigués, ne tirant rien de modules qu’ils n’utilisent plus eux-mêmes), soit contribuer, tout simplement.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Le résultat est plutôt impressionnant et devrait faire gagner un temps précieux aux graphistes (et autres adeptes de mèmes).

Benjamin Groessing, à l'origine du projet avec David Fankhauser, indique qu'il utilise Python (pour le calcul), Ruby (pour le site) et une solution d'apprentissage profond pour effectuer la détection des corps humains et retirer tout ce qu'il y a autour.

Il en ressort un cliché avec un fond transparent, que n'importe qui peut remplacer comme bon lui semble. Cela montre une fois de plus l'intérêt de l'IA dans le domaine de la retouche photo, déjà exploitée par de nombreux outils. Certains réclament d'ailleurs un plug-in GIMP.

Dans la FAQ du service, l'équipe précise que le modèle est entraîné pour détecter le fond de l'image, mais que des algorithmes permettent ensuite d'affiner le résultat, pour gérer les petits détails et limiter la contamination colorimétrique.

Pour le moment, l'image de sortie est limitée à 500 x 500 pixels pour des raisons de performances (et probablement limiter les abus). Elle pourrait passer à 1000 x 1000 pixels. Une API va être mise en place pour ceux qui voudraient utiliser remove.bg de manière régulière.

L'IA devrait à terme être utilisée pour détecter d'autres éléments tels que des produits. Les développeurs se disent à l'écoute de ceux qui auraient des besoins particuliers. Une newsletter permet de suivre le projet.

Toutes les photos envoyées puis calculées sont supprimées après une heure.

Copié dans le presse-papier !

La semaine dernière, Honor dévoilait un prototype de son View 20. Il a la particularité de repousser un peu plus les limites de l'encoche (« notch ») puisqu'il s'agissait alors d'un petit trou dans la dalle pour la caméra frontale.

Aujourd'hui, le constructeur annonce son Nova 4, qui reprend cette caractéristique si particulière. La dalle de 6,4 pouces affiche une définition de 2 310 x 1 080 pixels et dispose donc d'un petit trou circulaire en haut à gauche, avec un capteur optique de 20 Mpixels dedans.

Le smartphone est animé par un SoC Kirin 970 avec 8 Go de mémoire vive et 128 Go de stockage. Une batterie de 3 750 mAh, un connecteur USB Type-C et Android 9.0 Pie sont de la partie.

Le Nova 4 avec une caméra de 48 Mpixels est annoncé à 3 399 yuans (435 euros avec une simple conversion), contre 3 099 yuans (400 euros) avec un capteur de 20 Mpixels. La Chine est le premier pays servi, mais l'Europe et l'Inde devraient suivre selon The Verge.

Copié dans le presse-papier !

L'annonce a été faite par Paul Berberian, directeur général de Sphero, à nos confrères de The Verge. Les robots aux couleurs de Star Wars (et des autres licences Disney/Pixar) ont en effet disparu du site du fabricant et ne seront plus fabriqués. Néanmoins, le support des applications sera assuré pendant « au moins deux ans, si ce n'est plus » affirme le dirigeant.

Paul Berberian explique que les jouets se vendent bien lorsqu'un film sort, mais que le soufflé retombe rapidement. De plus, les statistiques internes montrent qu'une fois l'excitation du moment passé, les jouets ne sont quasiment plus utilisés.

Dans le même temps, les robots éducatifs de Sphero prennent de l'importance. Décision a donc été prise de recentrer les ressources sur ce marché, visiblement porteur pour la société.

Copié dans le presse-papier !

Comme prévu, les applications mobiles qui doivent accompagner le lancement des dernières box de Free commencent à arriver dans les boutiques d'Apple et Google, après une phase de bêta.

Outre le changement de nom, la fiche de l'App Store indique qu'une connexion automatique est en place avec myCanal, que la gestion du pack Sécurité est proposée, ainsi qu'un fonctionnement de type second écran pour la lecture des éléments en replay.

Du côté des livraisons des clients en migration, une partie de ceux ayant commandé le boîtier Player Devialet semblent toujours sans nouvelles de leur colis. Peu de boîtiers s'exposent en outre sur les réseaux sociaux pour le moment.

Au point que même un site communautaire comme Freenews s'inquiète de la date de réception de son exemplaire, alors que plusieurs médias ont déjà été livrés. Comme toujours dans ce genre de cas, Free communique peu.

Le FAI invoque le succès de l'offre, sans livrer le moindre chiffre, à travers Angélique Gérard qui précise que «  les volumes étant importants et les transporteurs débordés en cette fin d’année, ne comptez pas les jours, cela arrivera ! ». Pile sous le sapin ?

Il faudra aussi sans doute s'armer de patience côté logiciel. Certaines fonctionnalités ne seront sans doute pas prêtes ou finalisées dans un premier temps. Une habitude pour de tels lancements. Nous devrions pouvoir faire un premier point sous peu.

Copié dans le presse-papier !

Les annonces se multiplient depuis hier, à l'image de Joe Sponer qui évoque le lancement de Vox Video Lab sur YouTube. Le site a précédemment produit En Bref pour Netflix.

On assiste donc à la suite de la valse des créateurs, qui suivent les plateformes au gré des financements qui leurs sont proposés. Google indique vouloir soutenir la production de contenu d'information avec la déclinaison vidéo de sa News initiative, dotée de 25 millions de dollars.

Dans les projets retenus, on trouve ainsi Der Spiegel, le Financial Times, The Guardian et de nombreux médias américains. Contrairement au fonds DNI, celui-ci n'est en effet pas limitée à l'Europe, et les USA représentent 23 des 87 dossiers retenus (soit plus d'un quart).

En France, Le Monde, qui a déjà bénéficié à trois reprises du DNI, a une nouvelle fois obtenu un financement. Il en est de même pour le média social Brut ou la chaîne HugoDécrypte.

Dans ce dernier cas, Google précise qu'il s'agit d'une émission produite en studio, proposant de débattre de l'actualité, avec des interviews, du fact checking et des experts. Il y a quelques jours, Hugo Travers annonçait le lancement de la chaîne Craft qui ne semble pour le moment pas correspondre à la description faite par YouTube.

Il peut donc s'agir d'un autre programme. Le détail des projets et les sommes fournies par Google n'ont pour le moment pas été précisés.