Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

Dans le monde de la cybersécurité, la découverte de failles 0day critiques est un enjeu important, car elles peuvent être exploitées par des acteurs malveillants pour compromettre des systèmes qui n’ont pas encore eu le temps d’être mis à jour.

Récemment, un chercheur en sécurité a fait une découverte plutôt alarmante : 2 failles 0day sont présentes dans les noyaux Linux 6.4 à 6.5. Cependant, cette histoire a pris une tournure inattendue… En effet, il y a quelques jours, le chercheur en sécurité, connu sous le pseudonyme YuriiCrimson, a publié sur GitHub les détails de 2 exploits pour des failles 0day qu’il avait découverts dans le pilote n_gsm des noyaux Linux.

Sauf que l’une de ces 2 failles avait en réalité déjà été divulguée par un autre chercheur, Jmpeax. D’après YuriiCrimson, celui-ci lui aurait racheté pour la publier comme si c’était sa propre découverte. Il explique sur sa page Github qu’ignorant cette divulgation, il a involontairement « re-divulgué » sa propre découverte.

Face à cette situation assez malaisante, YuriiCrimson a alors décidé de « riposter » en publiant immédiatement un second exploit, encore inconnu, affectant une plage plus large de noyaux Linux, des versions 5.15 à 6.5. Cette nouvelle divulgation un peu précipitée ayant pour but de couper l’herbe sous le pied de Jmpeax et de prouver à tout le monde que c’était bien lui, le papa de la première vuln.

Ah l’égo !

Si tout cela se confirme, ça met en lumière plusieurs problématiques. Tout d’abord, racheter le travail d’un autre chercheur pour se l’attribuer c’est très moche. Et vendre son travail pour ensuite le rendre public, c’est très moche aussi.

De plus, la divulgation non coordonnée de failles 0day peut avoir des conséquences désastreuses. En rendant publics les détails d’exploitation avant que les éditeurs n’aient pu corriger les vulnérabilités, on expose les systèmes à des attaques immédiates. Une divulgation responsable, en collaboration avec les éditeurs concernés, permet donc de laisser le temps nécessaire pour développer et déployer des correctifs, protégeant ainsi les utilisateurs.

Voilà, c’était l’histoire cybersec moche du jour, dont nous sommes maintenant tous victimes, car il y a 2 jolis 0day non encore patchés qui se baladent.

Bref, gaffe à vos systèmes…

@  — 

Si vous me lisez assidument, vous avez surement tout capté à la fameuse backdoor XZ découverte avec fracas la semaine dernière. Et là je viens de tomber sur un truc « rigolo » qui n’est ni plus ni moins qu’une implémentation de la technique d’exploitation de cette backdoor XZ, directement à l’intérieur d’un agent SSH.

Pour rappel, un agent SSH (comme ssh-agent) est un programme qui tourne en arrière-plan et qui garde en mémoire les clés privées déchiffrées durant votre session. Son rôle est donc de fournir ces clés aux clients SSH quand ils en ont besoin pour s’authentifier, sans que vous ayez à retaper votre phrase de passe à chaque fois.

Cet agent démoniaque s’appelle donc JiaTansSSHAgent, en hommage au cybercriminel qui a vérolé XZ, et ça implémente certaines fonctionnalités de la fameuse backdoor sshd XZ. En clair, ça vous permet de passer par cette backdoor en utilisant votre client SSH préféré.

Ce truc va donc d’abord générer sa propre clé privée ed448 avec OpenSSL puis, il faudra patcher la liblzma.so avec la clé publique ed448 correspondante. Là encore, rien de bien méchant, c’est juste un petit script Python et enfin, dernière étape, faudra patcher votre client SSH pour qu’il ignore la vérification du certificat.

Et voilà !

Une fois que vous avez fait tout ça, vous pouvez vous connecter à cœur joie avec n’importe quel mot de passe sur n’importe quel serveur qui dispose de cette faille. Bon après, faut quand même faire gaffe hein, c’est pas un truc à utiliser n’importe comment non plus. Vous devez respecter la loi, et expérimenter cela uniquement sur votre propre matériel ou avec l’autorisation de votre client si vous êtes par exemple dans le cadre d’une mission d’audit de sécurité. Tout autre utilisation vous enverra illico en prison, alors déconnez pas !

Voilà les amis, vous savez tout sur JiaTansSSHAgent maintenant. Pour en savoir plus, rendez-vous sur le repo GitHub de JiaTanSSHAgent.

@  — 

Je pense que cette news va faire mal aux fesses de beaucoup d’entre vous (désolé ^^) ! Figurez-vous que très bientôt, pour mater votre petite vidéo X sur vos sites de cul préférés, va falloir sortir la carte bleue. Et ouais, c’est la nouvelle lubie de nos chers dirigeants qui veulent à tout prix nous protéger, enfin surtout protéger les enfants de toutes ces cochonneries qui pullulent sur la toile.

Certes, on est tous d’accord sur le principe, mais est-ce qu’on a vraiment besoin de fliquer tout le monde comme ça ? Et surtout, est-ce que c’est vraiment efficace comme méthode ?

Parce que bon, soyons honnêtes deux minutes, un ado un peu dégourdi qui veut à tout prix mater un film de boules, va forcement trouver un moyen de contourner la censure hein. Quitte à piquer la carte de papa et maman pendant qu’ils ont le dos tourné. Ou alors il ira sur des sites plus underground, pas forcément très recommandables, et là bonjour les dégâts…

Mais bon, c’est comme ça, c’est la loi, et va falloir faire avec. L’Arcom, le gendarme de l’audiovisuel, vient donc de pondre son fameux référentiel (docx) qui détaille toutes les mesures que les sites pornos devront mettre en place pour vérifier que leurs utilisateurs ont bien la majorité sexuelle. Et autant vous dire que ça rigole pas !

Déjà, va falloir prouver son âge avec sa carte bancaire. Alors ok, c’est pas forcément l’idéal niveau vie privée, mais au moins c’est efficace. Enfin, en théorie, parce qu’en pratique, rien n’empêche un ado de 16-17 ans d’avoir une carte bleue. Ensuite, les sites devront mettre en place un contrôle d’âge dès la page d’accueil, avant même d’afficher le moindre contenu olé olé. Et ça, ça va en faire râler les plus pressés d’entre vous ^^.

Et attention, c’est pas fini ! Les sites devront aussi s’assurer que leur système de vérification d’âge est fiable à 100%. Alors là, bon courage… Parce qu’entre ceux qui vont essayer de gruger avec de fausses cartes, ou je ne sais quoi encore, ça va pas être de la tarte. Mais les éditeurs n’auront pas le choix, car si jamais l’un de leurs sites se fait gauler par l’Arcom en train de diffuser du contenu pornographique à un mineur, c’est pas juste une petite tape sur les doigts qu’ils vont se prendre. Non non, ce sera carrément une amende qui peut aller jusqu’à 250 000 euros, ou 4% du chiffre d’affaires mondial. Autant dire que ça calme direct !

Et si jamais le site fait le mariole et refuse d’obtempérer malgré les mises en demeure, et bien ce sera le blocage pur et simple qui l’attendra. Son nom de domaine sera bloqué par les FAI grâce à la toute POUISSANCE DU BLOCAGE PAR DNS (ah-ah), et basta. Pas de pitié pour les contrevenants !

Bon, et sinon, ça va se passer comment concrètement tout ce bordel ?

Eh bien figurez-vous que l’Arcom, dans son immense bonté, a prévu une période de transition de 6 mois. Pendant ce temps-là, les sites porno pourront se contenter d’une simple vérification de la carte bancaire, sans forcément aller jusqu’à l’authentification forte avec le fameux 3D Secure. Mais, ils devront tous avoir mis en place des solutions qui respecteront le cahier des charges strict de l’Arcom, avec notamment une sécurisation sans faille des données personnelles des utilisateurs. Je sais d’avance comment ça va se terminer… loool.

Enfin, dernière petite subtilité, et non des moindres : ce contrôle d’âge ne s’appliquera pas seulement aux sites basés en France, mais aussi à tous ceux installés à l’étranger et accessibles depuis la France. Alors ok, pour les gros sites genre Jacquie et Michel ou Dorcel, ça devrait pas poser trop de problèmes, mais pour les petits sites plus modestes, ça risque d’être une autre paire de manches…

Au moins vous savez maintenant ce qui vous attend.

Source

@  — 

Ça y est les rétro-gamers, c’est le moment de boucler vos combinaisons et de prendre vos meilleures armes, car le code source du jeu culte Area 51 vient d’être rendu public ! Ce FPS de science-fiction sorti en 2005 nous plongeait dans les entrailles de la fameuse base militaire du Nevada, qui selon la légende est le théâtre d’expériences ultra-secrètes sur des extraterrestres. Développé par Midway Studios Austin, le jeu était sorti à l’époque sur PS2, Xbox et PC. Il s’agissait en fait d’un remake du jeu de tir au pistolet optique Area 51 des salles d’arcade, sorti dix ans plus tôt.

Dans cet épisode, on incarnait Ethan Cole, un agent en combinaison HAZMAT envoyé dans la zone 51 pour nettoyer la base d’un virus mutant qui a transformé le personnel en monstres sanguinaires. Un casting trois étoiles avait été réuni pour le doublage, avec David Duchovny (X-Files) dans le rôle principal, Marilyn Manson qui jouait Edgar un extraterrestre gris retenu prisonnier, et des acteurs comme Powers Boothe (Deadwood) ou Nolan North (Uncharted).

Malgré des critiques mitigées et des ventes décevantes, Area 51 est devenu un petit jeu culte pour son ambiance SF bien fichue, son gameplay nerveux et ses fusillades en vue subjective bien foutues pour l’époque. Mais alors qu’il était tombé dans un relatif oubli, voilà que ce bon vieux jeu refait surface de manière totalement inattendue en 2023 !

Le code source du jeu, datant du 31 mars 2005 c’est à dire juste avant la sortie officielle, a été retrouvé par hasard lors d’un vide-grenier chez un ancien développeur de THQ. Il a été mis en ligne sur GitHub par un groupe de fans dans l’espoir de faire revivre ce titre oublié. On y trouve tout le code du moteur Entropy Engine, la logique du jeu, ainsi que des versions Xbox, PS2 et même une ébauche de portage GameCube qui avait été annulé à l’époque. C’est une véritable mine d’or pour les archéologues du jeu vidéo et une occasion unique d’étudier les entrailles d’un titre commercial des années 2000.

Si vous êtes développeur, voilà une belle occasion de mettre la main à la pâte pour essayer de faire tourner Area 51 sur les machines actuelles. Pas mal de boulot en perspective pour arriver à compiler ce vieux code, retrouver les bons outils et débugger le bouzin, mais ça peut être un sacré défi intéressant. Et si vous voulez rejoindre la communauté de dingues qui s’est montée autour du projet, un Discord est même disponible pour échanger. De quoi raviver la flamme des vieux geeks nostalgiques de ce bon FPS à l’ancienne.

Rien que pour le plaisir de retrouver cette ambiance de thriller SF à la X-Files et de défourailler du mutant au fusil à pompe dans les couloirs glauques de la zone 51, ça vaudrait presque le coup d’essayer de le faire remarcher sur nos bécanes modernes. Imaginez le kiff d’ajouter en plus des mods, du online, ou de mixer ça avec un casque VR pour une expérience encore plus immersive ! Bon allez j’arrête de m’emballer, faudrait déjà réussir à recompiler ce bin’s et c’est pas gagné…

Mais quand même, on ne peut que saluer cette initiative de fans passionnés qui s’unissent pour sauver de l’oubli numérique ce petit morceau d’histoire du jeu vidéo. En espérant que ça inspirera d’autres projets de résurrection de vieux jeux abandonnés ! Comme disait l’autre, « le code source est éternel, seul le compilateur est volatile ». Ou un truc comme ça.

@  — 

Vous vous souvenez de Suno qui permet de créer de la musique sans aucun talent ? Et bien il y a un petit nouveau dans la place et ce qu’il propose est encore plus dingue.

Cela s’appelle Udio, et c’est un site qui exploite la puissance de l’intelligence artificielle pour générer des morceaux musicaux à partir de simples descriptions textuelles. Avec Udio, vous avez accès à un univers musical d’une richesse inouïe, que vous soyez fan de jazz groovy, de métal extrême, de pop sucrée ou de classique grandiose, cette app en ligne a de quoi satisfaire tous les goûts. Vous pouvez même explorer des genres plus confidentiels comme la dream pop russe ou le reggaeton bollywoodien. Les possibilités sont infinies !

Voici un essai que j’ai fait, un peu à l’arrache.

Le fonctionnement est d’une simplicité enfantine puisqu’il vous suffit de taper une description de ce que vous voulez dans la boîte de prompt, par exemple « un morceau de piano jazz mélancolique sur une pluie d’été« . Et là, magie de l’IA, Udio vous pond un titre sur-mesure qui correspond exactement à votre demande.

Udio utilise en fait un grand modèle de langage (LLM), similaire à ChatGPT, pour d’abord générer les paroles à partir de votre prompt si besoin. Ensuite, il synthétise la musique en utilisant un modèle de diffusion, comme Stable Audio de Stability AI. A partir de votre prompt, Udio génère alors deux extraits de chanson distincts parmi lesquels vous pouvez choisir.

Vous pouvez ensuite customiser votre morceau en ajoutant vos propres paroles et Udio les chantera avec des voix d’un réalisme saisissant, dans une multitude de styles : soul suave, métal guttural, pop angélique… Vos textes prennent vie de manière incroyable. Vous pouvez même choisir la langue : japonais, russe, français, espagnol…etc.

Voici un autre extrait fait avec du français… C’est impressionnant.

Une fois votre chef d’œuvre terminé, libre à vous de le partager avec la communauté Udio. Ce qui est génial, c’est que ça permet également de découvrir les créations des autres utilisateurs, et même de recevoir des retours sur « vos » propres compositions. D’autres utilisateurs peuvent également remixer ou construire sur vos morceaux existants.

Udio permet aussi d’étirer vos morceaux pour créer des titres plus longs. Vous pouvez ajouter des intros, des outros, bref donner une vraie structure à vos songs. De quoi bluffer vos potes en leur faisant croire que vous avez composé un tube pendant le weekend ! Et si jamais vous tombez sur un titre qui vous botte mais que vous avez envie de le modifier, pas de soucis. Avec la fonction Remix, vous pouvez bidouiller les morceaux des autres pour en faire des versions à votre sauce. Ajoutez une ligne de basse funky sur une valse viennoise, mettez des paroles Olé Olé sur des mélodies de comptines… Tout est permis !

L’équipe derrière le projet considère son service comme un outil puissant au service des créatifs en mal d’inspiration. Les réalisateurs peuvent générer des bandes-son sur-mesure pour leurs films, les développeurs de jeux vidéo peuvent créer des thèmes épiques pour leurs productions, les publicitaires peuvent ponctuer leurs spots avec des jingles accrocheurs. Les applications professionnelles sont multiples.

Néanmoins, certains musiciens s’inquiètent de l’impact que pourrait avoir un tel outil comme l’indiquait la lettre de protestation signée la semaine dernière par plus de 200 artistes

Bref, vous l’aurez compris, Udio c’est le top pour tous ceux qui aiment expérimenter la musique par IA. En plus, pour le moment, c’est gratuit ! Mais l’équipe d’Udio a mis en place des mesures pour éviter que les morceaux générés ressemblent trop à des créations d’artistes existants. De quoi rassurer un peu la profession…

Pour en savoir plus, c’est par ici que ça se passe.