du 27 novembre 2018
Date

Choisir une autre édition

Node.js : une bibliothèque populaire vérolée vise un portefeuille de crypto-monnaies

Un reproche de plus en plus fréquent à l’endroit des projets libres, dont ceux fondés sur Node.js, est la forêt de dépendances plus ou moins solides sur lesquelles ils reposent. Certaines, pourtant considérées comme essentielles, sont maintenues par des particuliers sur leur temps libre, voire abandonnées.

C’était le cas d’event-stream pour Node.js, très utilisé. Pourtant, son concepteur Dominic Tarr a cessé son développement depuis longtemps, ouvrant la porte à right9ctrl.

Il a repris le projet et immédiatement publié even-stream 3.3.6, vérolé avec « flatmap-stream 1.1 ». Problème : la bibliothèque est téléchargée jusqu’à 2,4 millions de fois par semaine, selon NPM Stat.

« Il m’a envoyé un email et dit qu’il voulait maintenir le module, donc je lui ai donné. Je n’obtiens rien en maintenant ce module, je ne l’utilise même plus, depuis des années », s’est défendu le créateur de l’outil, face à des pairs dubitatifs. Certains lui ont dit d’archiver son projet sur GitHub s’il n’était plus activement développé ; une précaution oubliée.

Le projet est resté sous le nom de Dominic Tarr sur GitHub. Il ne peut être transféré officiellement à right9ctrl, qui avait déjà ouvert un dérivé (fork). Pourtant, le concepteur a perdu tous droits sur le projet sur npm, le système de distribution de modules de Node.js. Un utilisateur demande à revenir à la version 3.3.4, la dernière mouture sûre connue.

Le code masqué ne fonctionnerait qu’en présence de bibliothèques liées à Copay de Bitpay sur le même serveur. Copay permet de créer des portefeuilles de crypto-monnaies partagés. Le code malveillant inclus dans event-streamer tenterait donc de voler les bitcoins que contient Copay.

Selon NPM, la version 3.3.6 d’event-stream a disparu du dépôt, ne laissant que les moutures 3.3.5 et 4.x. Cette nouvelle branche a été publiée il y a deux mois par right9ctrl.

« La seconde mise à jour (commit) après [la version 3.3.6] retire l’injection et crée une nouvelle version majeure [4.x] pour nettoyer le dépôt GitHub de la présence de flatmap-stream, tout en conservant tous ceux utilisant la branche 3.x affectés », estime FallingSnow, qui a révélé le scandale sur GitHub.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Comme l'explique TechCrunch, elle est hébergée sur Amazon Web Services et ne demandait pas le moindre mot de passe. Si nous en parlons au passé, c'est parce qu'elle n'est désormais plus en libre accès.

Nos confrères ont pu y trouver des informations de contacts provenant de comptes d'influenceurs, de célébrités et de marques. Des informations publiques comme la biographie, la photo de profil, le nombre d'abonnés et l'emplacement géographique étaient présentes, ainsi que d'autres, confidentielles, comme l'adresse email et le numéro de téléphone du propriétaire du compte.

Nos confrères ont pu identifier le propriétaire de la base de données : la société Chtrbox basée à Mumbai. Elle propose du contenu sponsorisé aux influenceurs. D'ailleurs, la base de données contenait aussi une identification de la « valeur du compte », utilisée pour déterminer le montant à payer.

TechCrunch a contacté certains comptes présents dans la liste et a pu avoir confirmation que les informations sur l'email et le numéro de téléphone étaient correctes. Ils ont par contre affirmé ne pas avoir été en contact avec Chtrbox.

De son côté, Facebook enquête afin de déterminer si les informations confidentielles proviennent bien d'Instagram ou d'une autre source. Le réseau social va également demander à Chtrbox comment il a obtenu ces informations.

Copié dans le presse-papier !

Au 1er juillet prochain, les drones de 800 grammes ou plus devront théoriquement être équipés d’un dispositif de « signalement électronique ou numérique ». L’idée : permettre aux forces de l’ordre de mieux suivre leurs évolutions, à distance, par exemple pour détecter automatiquement un appareil qui s’approcherait trop d’un site sensible (tel qu’une centrale nucléaire).

Du décollage à l'atterrissage, chaque drone devra transmettre aux pouvoirs publics, éventuellement par le biais d’une application, des informations telles que sa position géographique et son altitude, sa vitesse, etc.

Dans le cadre de l’examen du projet de loi Mobilités, le député Rémy Rebeyrotte demande toutefois à ce que cette obligation ne s’applique pas aux drones « dépourvus à la fois de caméra et de pilote automatique ».

« L’intégration d’un dispositif de signalement dans des aéromodèles non conçus pour recevoir un tel dispositif est très difficile, parfois impossible, sur les modèles de faibles dimensions » se justifie l’élu LREM. Selon lui, cela s’avère même « potentiellement dangereux car la compatibilité du dispositif avec les systèmes de télécommande utilisés sur les aéromodèles ne peut être garantie d’où un risque d’interférence pouvant conduire à une perte de contrôle du modèle ».

Le parlementaire soutient également que cette « contrainte » (quand bien même elle n’est pas encore en vigueur) « décourage les nombreux aéromodélistes étrangers qui ont l’habitude de pratiquer leur loisir en France, durant les vacances et par conséquent nuit à l’attrait touristique de notre pays et aux retombées économiques qui y sont liées ».

Copié dans le presse-papier !

La directive sur le droit d’auteur a été publiée le 17 mai au Journal officiel de l’Union européenne, en plusieurs langues. Le blog spécialisé IpKitten.blogspot.com a repéré une jolie erreur de traduction dans sa version italienne.

Dans le versant français du point 7 de l’article 17 (ex article 13, sur les filtres), il est spécifié que la coopération entre les plateformes de partage et les titulaires de droit « ne conduit pas à empêcher la mise à disposition d'œuvres (…) téléversés par des utilisateurs qui ne portent pas atteinte au droit d'auteur et aux droits voisins, y compris lorsque ces œuvres ou autres objets protégés sont couverts par une exception ou une limitation ».

En somme, les filtres doivent toujours laisser passer les contenus respectueux du droit d’auteur ou soumis à une exception (citation, parodie, etc.)

La version italienne de ce même passage est diamétralement opposée : « la cooperazione tra i prestatori di servizi di condivisione di contenuti online e i titolari dei diritti deve impedire la disponibilità delle opere o di altri materiali caricati dagli utenti, che non violino il diritto d'autore o i diritti connessi, anche nei casi in cui tali opere o altri materiali siano oggetto di un'eccezione o limitazione ».

Autrement dit, par l’oubli d’une négation, il est écrit que la coopération entre plateformes et sociétés de gestion collective « doit empêcher » la mise à disposition de contenus parfaitement licites. « C’est clairement une erreur », commente le blog coédité par la juriste Eleonora Rosati. Erreur qui devrait donc rapidement être corrigée.

Copié dans le presse-papier !

Après des rumeurs persistantes et des fuites, les nouvelles lunettes connectées pour les professionnels sont officiellement annoncées. Le fabricant affirme avoir écouté les retours de ses clients pour cette nouvelle monture.

Elles sont articulées autour de la plateforme Snapdragon XR1 avec un SoC à quatre cœurs à 1,7 GHz (en 10 nm), épaulé par 3 Go de LPDDR4 et 32 Go d'eMMC. Android Oreo est aux commandes.

Pour le reste, il est question de Wi-Fi 5, Bluetooth 5.x, d'une caméra de 8 Mpixels, d'un écran affichant 640 x 360 pixels, d'un port USB 2.0 Type-C, d'une batterie de 820 mAh, etc. Tous les détails sont disponibles par ici.

Les Google Glass Enterprise Edition 2 sont proposées à 999 dollars par le géant américain, mais elles ne sont pas directement vendues aux utilisateurs.

Copié dans le presse-papier !

Déjà disponible sur Windows 10 en version Canary et Dev (lire notre prise en main), mais pas encore en bêta, les utilisateurs de Mac peuvent désormais eux aussi tenter l'expérience.

La version Canary est disponible pour macOS. Attention, il s'agit d'une version mise à jour quotidiennement et pouvant rencontrer des problèmes importants. À utiliser donc en connaissance de cause.

« Microsoft Edge pour macOS offrira la même expérience de navigation que sous Windows, avec des optimisations au niveau de l'expérience utilisateur pour que vous vous sentiez comme chez vous sur un Mac », explique l'éditeur.

Des ajustements sur les polices, les menus et les raccourcis clavier ont ainsi été mis en place. La Touch Bar des MacBook est également supportée.