du 27 novembre 2018
Date

Choisir une autre édition

Node.js : une bibliothèque populaire vérolée vise un portefeuille de crypto-monnaies

Un reproche de plus en plus fréquent à l’endroit des projets libres, dont ceux fondés sur Node.js, est la forêt de dépendances plus ou moins solides sur lesquelles ils reposent. Certaines, pourtant considérées comme essentielles, sont maintenues par des particuliers sur leur temps libre, voire abandonnées.

C’était le cas d’event-stream pour Node.js, très utilisé. Pourtant, son concepteur Dominic Tarr a cessé son développement depuis longtemps, ouvrant la porte à right9ctrl.

Il a repris le projet et immédiatement publié even-stream 3.3.6, vérolé avec « flatmap-stream 1.1 ». Problème : la bibliothèque est téléchargée jusqu’à 2,4 millions de fois par semaine, selon NPM Stat.

« Il m’a envoyé un email et dit qu’il voulait maintenir le module, donc je lui ai donné. Je n’obtiens rien en maintenant ce module, je ne l’utilise même plus, depuis des années », s’est défendu le créateur de l’outil, face à des pairs dubitatifs. Certains lui ont dit d’archiver son projet sur GitHub s’il n’était plus activement développé ; une précaution oubliée.

Le projet est resté sous le nom de Dominic Tarr sur GitHub. Il ne peut être transféré officiellement à right9ctrl, qui avait déjà ouvert un dérivé (fork). Pourtant, le concepteur a perdu tous droits sur le projet sur npm, le système de distribution de modules de Node.js. Un utilisateur demande à revenir à la version 3.3.4, la dernière mouture sûre connue.

Le code masqué ne fonctionnerait qu’en présence de bibliothèques liées à Copay de Bitpay sur le même serveur. Copay permet de créer des portefeuilles de crypto-monnaies partagés. Le code malveillant inclus dans event-streamer tenterait donc de voler les bitcoins que contient Copay.

Selon NPM, la version 3.3.6 d’event-stream a disparu du dépôt, ne laissant que les moutures 3.3.5 et 4.x. Cette nouvelle branche a été publiée il y a deux mois par right9ctrl.

« La seconde mise à jour (commit) après [la version 3.3.6] retire l’injection et crée une nouvelle version majeure [4.x] pour nettoyer le dépôt GitHub de la présence de flatmap-stream, tout en conservant tous ceux utilisant la branche 3.x affectés », estime FallingSnow, qui a révélé le scandale sur GitHub.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Pour se démarquer, le fabricant affirme que son produit dispose « d'un champ de vision inédit, permettant aux utilisateurs d'obtenir une image plus grande et plus précise de leur pas de porte ».

Elle permet d'avoir « une vision en pied de leurs visiteurs et des paquets posés sur le sol ». En plus de la caméra, un micro et un haut-parleur sont présents pour une conversation bidirectionnelle avec les visiteurs. 

Arlo ajoute que sa sonnette « permet d'effectuer des appels vidéo directement vers les téléphones mobiles et de recevoir des alertes personnalisées lorsque des colis, des personnes, des véhicules ou des animaux sont détectés ».

Elle se connecte à un carillon mécanique ou électronique existant et sera disponible en 2020 en Europe. Reste maintenant à connaître son prix.

Copié dans le presse-papier !

Après une phase de consultation organisée en début d’année, la Commission d’accès aux documents administratifs (CADA) et la Commission nationale de l’informatique et des libertés (CNIL) ont publié hier leur « guide pratique de la publication en ligne et de la réutilisation des données publiques ».

Ce document, à destination tant des administrations que des citoyens, fait un point sur les réformes impulsées notamment par la loi pour une République numérique de 2016 et le RGPD : obligations de mise en ligne, formats de données, etc.

Une « fiche pratique relative à l’anonymisation des documents administratifs » a également été diffusée. D’autres devraient suivre « ultérieurement », afin « d’apporter un éclairage spécifique sur d’autres thématiques en lien avec l’Open Data ».

Le fameux guide, attendu depuis 2016, sera mis à jour régulièrement « pour intégrer notamment les évolutions légales et jurisprudentielles ainsi que les éléments de doctrine développés par la CNIL et la CADA », précisent les deux autorités administratives.

Copié dans le presse-papier !

L'Avicca se félicite de cette réouverture, demandée depuis deux ans et affirme que « la voie est donc entrouverte pour les 27 départements qui attendaient avec impatience cette annonce pour lancer la desserte en FTTH des 3 millions de foyers français qui étaient, jusqu’à aujourd’hui, exclus de toute perspective d’accompagnement par l’État ».

Pour son président Patrick Chaize, « il n’est pas indispensable de budgéter immédiatement les 600 millions d’euros nécessaire pour atteindre cet objectif [...] En revanche, les parlementaires devront impérativement se mobiliser dans le cadre du projet de loi de finances pour permettre à l’ensemble des premières demandes, prêtes à être déposées, d’être accompagnées ».

L'État ne pourrait en effet financer que 30 % des premiers dossiers. « S’il est bien confirmé que le reliquat du Plan France THD soit affecté à hauteur de 140 millions d’euros à l’atteinte de l’objectif du 100 % FTTH pour tous les Français, il convient donc de prévoir dans le cadre de la loi de finances d’une première autorisation de programme de 322 millions d’euros supplémentaires », explique l'Avicca.  

Copié dans le presse-papier !

D'extérieur, il ressemble à d'autres SUV du fabricant suédois, sauf que la calandre est pleine et que le pot d'échappement est absent. Bien évidemment, la trappe du réservoir laisse place à une borne pour recharger la voiture.

Volvo annonce 4,9 secondes pour passer de 0 à 100 km/h, une autonomie de plus de 400 km et une autonomie de 80 % avec 40 minutes de charge.

Tous les détails sont disponibles par ici. Reste maintenant à connaître son prix et sa disponibilité.

Copié dans le presse-papier !

Au troisième trimestre, le fondeur revendique des revenus de 293,05 milliards de dollars taïwanais (environ 8,61 milliards d'euros), en hausse de 12,6 % sur un an et de 21,6 % sur trois mois.

Le bénéfice net est de 101,07 milliards de dollars taïwanais (environ 3,2 milliards d'euros), soit une augmentation de 13,5 % sur 12 mois et de 51,4 % par rapport au trimestre précédent.

Pour rappel, TSMC est actuellement sous le coup d'une plainte de GlobalFoundries qui demande à la justice américaine d'interdire l'importation de certains produits.

La société avait alors répliqué en demandant également à la justice de trois pays (États-Unis, Allemagne et Singapour) de stopper la production et d'interdire à la vente des produits GlobalFoundries.