du 29 novembre 2018
Date

Choisir une autre édition

Bibliothèque Node.js vérolée : NPM sort un communiqué, le responsable se justifie

Il y a quelques jours, un développeur révélait l’infection de la bibliothèque event-stream, téléchargée jusqu’à 2,4 millions de fois par semaine, par du code visant un portefeuille de cryptomonnaies, Copay.

Le cheval de Troie (flatmap-stream) était insidieux pour plusieurs raisons. D’une part, event-stream est une dépendance d’autres projets, qu’on installe habituellement avec des dizaines d’autres sans y réfléchir. D’autre part, le code infectieux ne fonctionnait qu’en présence de bibliothèques de Copay sur le serveur.

L’histoire a fait son effet, notamment à cause de la première justification du concepteur d’event-stream, Dominic Tarr, qui a laissé les clés de son projet au pirate après un simple email. Ne l’utilisant plus « depuis des années », il a simplement donné son projet à la première occasion, sans le moindre contrôle.

Rapidement, l’équipe de NPM, le système de distribution officiel des bibliothèques Node.js, a pris la main sur le compte d’event-stream et retiré la version 3.3.6, en cause.

Dans un billet de blog, elle explique avoir été avertie le 26 novembre de l’infection, le pirate ayant pris le contrôle du compte NPM du projet. La version 3.3.6 d’event-stream datait du 9 septembre, passant inaperçu pendant deux mois.

Le ciblage très précis des développeurs de Copay limite les dégâts, selon NPM. « La plupart des développeurs ne seraient pas affectés, même s’ils ont installé le module malveillant par erreur. » Le code tentait de récupérer les informations du compte et la clé privée des comptes disposant de plus de 100 bitcoins ou de plus de 1 000 bitcoins cash. Il a été déployé dans Copay entre les versions 5.0.2 et 5.1.0.

Pour sa part, le développeur Dominic Tarr revient sur la polémique, certains le jugeant irresponsable. Il répète son principal point : ce module était devenu un poids pour lui. « Si ce n’est plus amusant, vous n’obtenez absolument rien à maintenir un paquet populaire », estimant que beaucoup de dépendances sont dans le même état d’abandon.

Tarr estime que partager les droits d’édition et de publication est une pratique commune dans le monde de Node.js, et assure qu’il n’aurait pas accepté s’il s’était douté des intentions du pirate. Pour lui, il faut soit payer les mainteneurs des modules (souvent fatigués, ne tirant rien de modules qu’ils n’utilisent plus eux-mêmes), soit contribuer, tout simplement.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Après des rumeurs persistantes et des fuites, les nouvelles lunettes connectées pour les professionnels sont officiellement annoncées. Le fabricant affirme avoir écouté les retours de ses clients pour cette nouvelle monture.

Elles sont articulées autour de la plateforme Snapdragon XR1 avec un SoC à quatre cœurs à 1,7 GHz (en 10 nm), épaulé par 3 Go de LPDDR4 et 32 Go d'eMMC. Android Oreo est aux commandes.

Pour le reste, il est question de Wi-Fi 5, Bluetooth 5.x, d'une caméra de 8 Mpixels, d'un écran affichant 640 x 360 pixels, d'un port USB 2.0 Type-C, d'une batterie de 820 mAh, etc. Tous les détails sont disponibles par ici.

Les Google Glass Enterprise Edition 2 sont proposées à 999 dollars par le géant américain, mais elles ne sont pas directement vendues aux utilisateurs.

Copié dans le presse-papier !

Le président chinois Xi Jinping a profité d'une tournée d'inspection dans son pays pour rappeler que la Chine a un quasi-monopole sur la production des terres rares, un composant stratégique pour les nouvelles technologies, comme le rappelle Les Echos.

La menace, à peine voilée, est qu'il pourrait interdire l'exportation de ces minéraux dans la guerre commerciale que se livrent les deux pays.

Copié dans le presse-papier !

La directive sur le droit d’auteur a été publiée le 17 mai au Journal officiel de l’Union européenne, en plusieurs langues. Le blog spécialisé IpKitten.blogspot.com a repéré une jolie erreur de traduction dans sa version italienne.

Dans le versant français du point 7 de l’article 17 (ex article 13, sur les filtres), il est spécifié que la coopération entre les plateformes de partage et les titulaires de droit « ne conduit pas à empêcher la mise à disposition d'œuvres (…) téléversés par des utilisateurs qui ne portent pas atteinte au droit d'auteur et aux droits voisins, y compris lorsque ces œuvres ou autres objets protégés sont couverts par une exception ou une limitation ».

En somme, les filtres doivent toujours laisser passer les contenus respectueux du droit d’auteur ou soumis à une exception (citation, parodie, etc.)

La version italienne de ce même passage est diamétralement opposée : « la cooperazione tra i prestatori di servizi di condivisione di contenuti online e i titolari dei diritti deve impedire la disponibilità delle opere o di altri materiali caricati dagli utenti, che non violino il diritto d'autore o i diritti connessi, anche nei casi in cui tali opere o altri materiali siano oggetto di un'eccezione o limitazione ».

Autrement dit, par l’oubli d’une négation, il est écrit que la coopération entre plateformes et sociétés de gestion collective « doit empêcher » la mise à disposition de contenus parfaitement licites. « C’est clairement une erreur », commente le blog coédité par la juriste Eleonora Rosati. Erreur qui devrait donc rapidement être corrigée.

Copié dans le presse-papier !

En avril de l'année dernière, cette annonce était un coup de tonnerre dans le monde des télécoms américains.Les deuxièmes et troisièmes opérateurs ne voulaient plus faire qu'un (sous le nom T-Mobile).

Le régulateur américain (FCC) s'est évidemment penché sur la question. En septembre, il s'est même accordé un délai supplémentaire après la réception de nouveaux documents.

Pour séduire les autorités, les deux protagonistes font la promesse d'un déploiement rapide de la 5G (reste à voir ce qu'ils appellent 5G…). Pour Ajit Pai, numéro un de la FCC, ces « engagements importants » sont dans l'intérêt des consommateurs. Il a donc « l'intention de recommander » à ses collègues de voter pour, comme il l'indique publiquement dans ce communiqué.

Dans les semaines à venir, Ajit Pai présentera un projet de directive allant dans ce sens.