du 27 novembre 2018
Date

Choisir une autre édition

Node.js : une bibliothèque populaire vérolée vise un portefeuille de crypto-monnaies

Un reproche de plus en plus fréquent à l’endroit des projets libres, dont ceux fondés sur Node.js, est la forêt de dépendances plus ou moins solides sur lesquelles ils reposent. Certaines, pourtant considérées comme essentielles, sont maintenues par des particuliers sur leur temps libre, voire abandonnées.

C’était le cas d’event-stream pour Node.js, très utilisé. Pourtant, son concepteur Dominic Tarr a cessé son développement depuis longtemps, ouvrant la porte à right9ctrl.

Il a repris le projet et immédiatement publié even-stream 3.3.6, vérolé avec « flatmap-stream 1.1 ». Problème : la bibliothèque est téléchargée jusqu’à 2,4 millions de fois par semaine, selon NPM Stat.

« Il m’a envoyé un email et dit qu’il voulait maintenir le module, donc je lui ai donné. Je n’obtiens rien en maintenant ce module, je ne l’utilise même plus, depuis des années », s’est défendu le créateur de l’outil, face à des pairs dubitatifs. Certains lui ont dit d’archiver son projet sur GitHub s’il n’était plus activement développé ; une précaution oubliée.

Le projet est resté sous le nom de Dominic Tarr sur GitHub. Il ne peut être transféré officiellement à right9ctrl, qui avait déjà ouvert un dérivé (fork). Pourtant, le concepteur a perdu tous droits sur le projet sur npm, le système de distribution de modules de Node.js. Un utilisateur demande à revenir à la version 3.3.4, la dernière mouture sûre connue.

Le code masqué ne fonctionnerait qu’en présence de bibliothèques liées à Copay de Bitpay sur le même serveur. Copay permet de créer des portefeuilles de crypto-monnaies partagés. Le code malveillant inclus dans event-streamer tenterait donc de voler les bitcoins que contient Copay.

Selon NPM, la version 3.3.6 d’event-stream a disparu du dépôt, ne laissant que les moutures 3.3.5 et 4.x. Cette nouvelle branche a été publiée il y a deux mois par right9ctrl.

« La seconde mise à jour (commit) après [la version 3.3.6] retire l’injection et crée une nouvelle version majeure [4.x] pour nettoyer le dépôt GitHub de la présence de flatmap-stream, tout en conservant tous ceux utilisant la branche 3.x affectés », estime FallingSnow, qui a révélé le scandale sur GitHub.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

En mai 2018, le Wall Street Journal indiquait qu’Apple et Goldman Sachs travaillaient ensemble à la création d’une nouvelle carte bancaire pour la marque à la pomme.

Le journal persiste et signe : le projet a bien avancé et des employés d’Apple vont tester la nouvelle carte dans les semaines à venir. Basée sur une Mastercard, elle tablerait sur un cashback de 2 %, potentiellement davantage lors d’achats de produits Apple.

Les deux entreprises y verraient (évidemment) des bénéfices mutuels. Pour Apple, une commission plus importante qu’avec d’autres banques partenaires d’Apple Pay. Pour Goldman Sachs, un nouveau pont pour attirer les clients vers Marcus, sa banque en ligne.

Cette carte aurait également une intégration plus poussée dans le Wallet d’iOS. Les clients auraient ainsi plus de fonctionnalités, notamment la mise en place de limites dans les achats et l’obtention rapide d’une liste des dernières transactions.

La prochaine WWDC, dans trois mois, serait une bonne occasion d’annoncer le partenariat.

Copié dans le presse-papier !

Hier, la société américaine a envoyé dans l'espace une fusée Falcon 9 avec un premier étage recyclé (éprouvé dans le discours commercial de SpaceX) déjà deux fois.

Il a en effet déjà été utilisé pour la mission Iridium-7 en juillet 2017 et SAOCOM 1A en octobre 2018. Les charges utiles ont été larguées sans encombre et le premier étage est revenu se poser sur la barge Of Course I Still Love You. Bref un sans faute avec trois lancements et trois récupérations.

Parmi les engins envoyés dans l'espace se trouve l'atterrisseur lunaire Beresheet de la société israélienne SpaceIL. La NASA félicite la société dont l'engin est « en passe de devenir le premier modèle commercial à atteindre la surface de la Lune ».

Copié dans le presse-papier !

Il prendra place dans l'Engineering Center (créé en 2011) sur le campus du géant du Net à Issy-les-Moulineaux, dans la région parisienne.

La société explique que « ce centre a pour mission d’accompagner les entreprises du monde entier dans leur transformation digitale (sic) et dans leur quête d’efficacité et de productivité accrues grâce à l’IA ».

Microsoft ne donne pas plus de détails pour l'instant.

Copié dans le presse-papier !

Après 15 ans dans la société et près de 13 ans  en tant que Président et directeur de l'exploitation, il quittera la société le 15 avril pour prendre sa retraite.

Doug Bowser, qui n'est pas de la famille du célèbre personnage mais vice-président des ventes et du marketing, le remplacera.

« J'apprécie vraiment tout ce que Reggie a fait pour Nintendo », lâche Shuntaro Furukawa, PDG de Nintendo. « Il laisse la société en bonne santé et avec une forte dynamique », ajoute-t-il.

Copié dans le presse-papier !

La Commission d’accès aux documents administratifs (CADA) et la Commission nationale de l’informatique et des libertés (CNIL) ont lancé hier une consultation portant sur un projet de « guide pratique de la publication en ligne et de la réutilisation des données publiques », qu’elles ont élaboré conjointement, en lien avec la mission Etalab.

Ce document, à destination des administrations comme des citoyens, fait un point sur les réformes impulsées notamment par la loi pour une République numérique de 2016 et le RGPD : obligations de mise en ligne, formats de données, anonymisation, etc.

Initialement, la CNIL espérait que ce guide puisse être publié dès la fin 2016 (voir notre article).