Une nouvelle version du CMS open source Dotclear 2.21.3 vient d’être publiée début mars. Elle corrige deux bugs concernant la gestion des utilisateur. Retour sur ses développements récents.

5c6e9679-c748-4c3f-ad00-5ba3a7b150b7-image.png

La version 2.21.3 de Dotclear a été livrée le 7 mars 2022. Il s’agit d’une mise à jour sécuritaire du CMS open source.

Dotclear est un logiciel libre de publication web open source, publié en 2003 par Olivier Meunier. L’objectif du projet est de fournir un “outil simple d’emploi permettant à tout un chacun de publier sur le web et ce, quel que soit son niveau de connaissances techniques”.

Dotclear est un logiciel libre permettant de créer un blog ou un site web. Il conçu avant tout pour ses utilisateurs et recevant des contributions régulières de ceux-ci.

La version 2.21.3 est une nouvelle version qui corrige deux bugs concernant la gestion des utilisateurs autres qu’administrateurs (ou super-administrateurs). C’est la 3e révision de la version 2.21 sortie début février, qui introduisait plusieurs changements visuels dans l’administration (passage de PNG à SVG principalement). Il faut désormais utiliser PHP 7.4 ou 8.0.

Depuis la version 2.19, le système de suivi FLoC de Google est désactivé automatiquement. Cette édition, sortie en août 2021, symbolisait tout de même le 18e anniversaire du gestionnaire de contenu en ligne.

L’installation automatique est la manière la plus simple et la plus fiable d’installer Dotclear pour son blog ou son site web. Téléchargez le fichier, transférez-le directement sur votre espace web puis rendez-vous à l’adresse de son emplacement avec votre navigateur. Une abondante documentation est disponible en ligne.

Source : toolinux.com

Une vulnérabilité dans le noyau Linux a été découverte et relativement facile à exploiter. Elle touche plusieurs distributions Linux, ainsi qu’Android de Google.

A l’occasion d’une analyse d’un problème soulevé par un client de l’hébergeur Ionos, un expert a découvert une faille dans le kernel Linux. Classée comme CVE-2022-0847 et un score de sévérité CVSS : 7.8. Max Kellermann, développeur au sein de Ionos a baptisé cette faille Dirty Pipe en écho à une brèche similaire nommée Dirty Cow (CVE-2016-5195), qui a été révélée en octobre 2016.

Dans son analyse, le spécialiste a constaté « un cas surprenant de corruption » affectant les journaux d’accès au serveur web. Concrètement, la faille se situe dans le noyau Linux et donne la possibilité aux attaquants la capacité d’écraser des données dans n’importe quel fichier en lecture seule et prendre le contrôle complet des systèmes affectés.

Selon Max Kellermann, la vulnérabilité existe depuis la version 5.8 du kernel Linux et conduit à « une élévation de privilèges, car les processus non privilégiés peuvent injecter du code dans les processus racines ».

Dans le détail, la faiblesse se situe dans la façon de gérer les pipe. Diminutif de pipeline, un pipe est un mécanisme de communication inter-processus unidirectionnel dans lequel un ensemble de processus s’enchaîne. Pour se servir de la faille, il faut selon le spécialiste : créer et remplir un pipe avec des données, vider le pipe, couper les données du fichier en lecture seule cible et écrire des données arbitraires dans le pipe.

Il a démontré ses travaux avec un PoC de l’exploit. Les attaquants peuvent mener un certain nombre d’actions malveillantes sur un système, y compris l’altération de fichiers sensibles tels que /etc/passwd pour supprimer le mot de passe d’un utilisateur root l’ajout de clés SSH pour un accès à distance et même l’exécution de code arbitraire avec les privilèges les plus élevés.

**Pour rendre cette vulnérabilité plus intéressante, elle ne fonctionne pas seulement sans droits d’écriture, mais aussi avec des fichiers immuables, sur des snapshots btrfs en lecture seule et sur des montages en lecture seule (y compris les montages de CD-ROM) **
Max Kellermann.

Le problème a été corrigé dans les versions 5.16.11, 5.15.25 et 5.10.102 de Linux à partir du 23 février 2022, trois jours après avoir été signalé à l’équipe de sécurité du noyau Linux. Google, pour sa part, a intégré les correctifs dans le noyau Android le 24 février 2022.

Étant donné la facilité avec laquelle la faille peut être exploitée et la publication de l’exploit PoC, il est recommandé aux utilisateurs de mettre à jour les serveurs Linux immédiatement et d’appliquer les correctifs pour les autres distributions dès qu’ils sont disponibles.

SOURCE: Le monde informatique

J’ai eu besoin de trouver la définition de ce qu’est “la démarche agile” pour comprendre l’article, je la colle ici, elle pourra peut-être servir à d’autres :cool:

Les méthodes agiles caractérisent un mode de gestion des projets informatiques privilégiant le dialogue entre toutes les parties prenantes, clients, utilisateurs, développeurs et autres professionnels du projet, la souplesse en cours de réalisation, la capacité à modifier les plans et la rapidité de livraison. Il s’agit de rompre avec les pratiques plus traditionnelles bien trop rigides et trop exigeantes en matière de spécifications (contractuelles). Pour cela il est important d’accorder la priorité au relationnel et à la communication étendue sur les processus de développement.

https://www.piloter.org/projet/methode/methode-agile.htm

C’est con le FBI aurait du directement demander a la NSA qui est directement branchée sur les serveurs des gafams, quelle perte de temps text alternatif

Article ultra intéressant et tres bien expliqué.

Merci 🙂

Les chercheurs en cybersécurité de Proofpoint viennent de publier de nouveaux renseignements montrant une activité cyber importante, soutenue par l’état Biélorusse, qui vise des membres de gouvernements Européens impliqués dans la gestion des flux de réfugiés fuyant les zones de conflits Russo-Ukrainien.

Cette campagne de phishing ciblée, qui infecte les systèmes d’exploitation par le biais d’un logiciel malveillant appelé ‘SunSeed’, provient de la compromission du compte email d’un membre des forces armées Ukrainiennes.

Proofpoint suppose que l’activité provient du groupe TA445 (Ghostwriter / UNC1151) qui semble opérer depuis la Biélorussie, et a longtemps été impliqué dans de larges campagnes de désinformation visant à manipuler le sentiment Européen face aux mouvements de réfugiés au sein de l’OTAN.

Ces attaques par mail ont visé les individus impliqués dans la logistique du transport, l’allocation budgétaire et financière, l’administration, et les mouvements de population à travers l’Europe, avec l’intention de collecter des renseignements quant aux mouvements de fonds monétaires, d’équipement, d’aide alimentaire, et de population à travers les pays membres de l’OTAN.

Dans ce contexte de guerre Russo-Ukrainienne, il faut s’attendre à ce que les menaces d’acteurs comme TA445, indirectement soutenus par certains états, continuent de proliférer et de s’attaquer aux gouvernements européens pour tenter d’obtenir des renseignements sur les mouvements de réfugiés en Ukraine ainsi que sur d’autres éléments du conflit qui auraient de l’importance pour la Russie.

Cette activité démontre que les migrants et réfugiés de guerre peuvent devenir des armes de destruction massive dans un conflit hybride ou l’information et les attaques cybernétiques font partis du panel de tactiques martiales auxquelles les gouvernements peuvent désormais faire appel.

Les chercheurs Proofpoint commentent :

Cette campagne représente un effort déterminé de s’attaquer particulièrement aux entités de l’OTAN, par le biais du compte mail corrompu de membres des forces armées Ukrainiennes, en plein cœur d’un conflit armé entre la Russie, ses sympathisants, et l’Ukraine. Bien que les tactiques utilisées dans cette campagne ne soient pas totalement nouvelles en elles-mêmes, elles peuvent s’avérer dévastatrices lorsqu’elles sont utilisées ensembles, et pendant un conflit de cette envergure.

Il faut s’attendre à de nouvelles attaques similaires visant les entités de l’OTAN. Par ailleurs, l’exploitation des renseignements autour des mouvements de réfugiés en Europe, à des fins de propagande et de campagnes de désinformation, sont des techniques bien connues de la part des services Russes et Biélorusses.

Être conscient de cette menace, et en parler ouvertement sont d’une importance capitale pour une meilleure connaissance et appréhension de ces menaces. »

Vous pourrez trouver de plus amples informations sur ces activités :

https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails

SOURCE: Undernews.fr

Donc en gros n’importe qui peut faire de la merde avec notre IP si on participe et inversement ?

On leur a dit qu’ils partaient en manoeuvres puis qu’ils seraient accueillis les bras ouverts en ukraine… on leur aurait menti ?
Mais ils ont raison,il vaut mieux faire l’amour que la guerre !

@raccoon a dit dans L'Arcom saisit la justice pour bloquer cinq sites X :

Et puis avec la pléthore de sites X qui existent sur la toile n’importe qui trouvera facilement de quoi se rassasier palucher ailleurs.

Les sites visés sont-ils des sites gratuits ? Et si oui en existent ils d’autres ?

Parce que si l’idée c’est de protéger les enfants, elle n’est peut-être pas si mauvaise, dans le sens ou il sera plus difficile à un mineur d’accéder à un site payant.

On va bien confier nos données médicale a microsoft on est plus a ca près

Ce qui est sur votre iphone reste a la NSA text alternatif

Dans sa décision de ce matin, le Conseil constitutionnel vient de censurer, comme Franciliens.net et La Quadrature le lui demandaient, une partie de l’obligation de conservation généralisée et indifférenciée des données de connexion, c’est-à-dire la surveillance de masse des télécommunications. Cette censure est une bonne nouvelle, mais ne va pas, en pratique, mettre tout de suite fin à cette surveillance illégale.

Depuis sept ans, La Quadrature du Net et d’autres associations se battent contre cette surveillance des réseaux de télécommunications. Celle-ci permet aux services de police, de renseignement et à la Hadopi/Arcom d’accéder, pendant une année, à toutes les traces numériques que nous laissons en utilisant un téléphone ou un ordinateur. Pourtant, l’obligation imposée aux opérateurs et hébergeurs de conserver toutes ces données pour les besoins de la police était jugée illégale et disproportionnée depuis 2014 par la Cour de justice de l’Union européenne.

En sept ans de procédure, nous avons essuyé mépris et échec devant les juridictions françaises. Mépris de l’État de droit, d’abord, mis à mal par le gouvernement. Celui-ci ne veut pas respecter cette jurisprudence européenne confirmée par la victoire obtenue difficilement par La Quadrature, FDN, FFDN et igwan.net devant la Cour de Justice de l’Union européenne en 2020. En invoquant des inepties juridiques, la France demandait au Conseil d’État de ne pas appliquer une décision de justice qui, pourtant, s’impose sans discussion à elle.

Échec, ensuite, parce qu’en 2021, prétextant un état d’urgence permanent qui justifierait les pires mesures de surveillance, le Conseil d’État préféra finalement donner raison aux velléités sécuritaires du gouvernement.

Aujourd’hui, le Conseil constitutionnel vient toutefois de prendre un autre chemin. Il avait à se prononcer sur la question de la constitutionnalité d’une précédente version de la loi encadrant cette obligation de conservation généralisée et indifférenciée. En considérant que celle-ci est disproportionnée, le Conseil constitutionnel s’aligne donc avec la ligne jurisprudentielle européenne que nous défendons depuis le début de cette bataille. Après toute cette résistance de la part du gouvernement et du Conseil d’État, ce sursaut est une bonne nouvelle.

Cette censure arrive toute fois un peu tard. Déjà, le Conseil constitutionnel n’était saisi que de l’ancienne version de l’article L. 34-1 du code des postes et des communications électroniques. Celle-ci constituait la base juridique de l’affaire pénale à l’occasion de laquelle la question avait été posée. Mais, entre-temps, cet article a été réécrit à l’été 2021 par l’adoption de la loi renseignement. Si la conservation des données est toujours prévue par les nouvelles dispositions, la manière dont elle est encadrée est plus complexe et suit l’interprétation opportuniste du Conseil d’État. Nous ne pouvons donc pas affirmer que la décision d’aujourd’hui amène forcément à une inconstitutionnalité de la nouvelle version de cet article.

Ensuite, le Conseil constitutionnel a décidé de se limiter au champ pénal seulement, ce qui veut dire que ni la surveillance à des fins de lutte contre le piratage, ni celle à des fins de renseignement ne sont concernées par la décision d’aujourd’hui. Or, comme on le voit depuis 2015, et plus récemment avec la question du partage de renseignements, le Conseil constitutionnel n’a jamais voulu entraver le travail de ces services de renseignement, quitte à nier les droits fondamentaux.

Nous accueillons donc positivement la décision du Conseil constitutionnel qui permet de poser une nouvelle pierre à l’édifice de protection de la vie privée mais nous devons garder à l’esprit ses limites pratiques. L’effet et le coût politique sont à relativiser : il est facile pour le Conseil constitutionnel de censurer des dispositions qui ne sont plus en vigueur. De fait, cette victoire juridique arrive trop tard puisque les pratiques de surveillance ont été validées par les initiatives du Conseil d’État, du gouvernement et de sa majorité au Parlement. Nous allons suivre de près les suites qui pourraient être données à cette décision, ce travail n’étant possible que grâce à votre aide.

Source : www.laquadrature.net

Linutop OS est une distribution conçue pour simplifier l’usage en entreprise du Raspberry Pi permettant de configurer rapidement un affichage dynamique, un kiosque Internet ou une application dédiée.
Elle s’appuie sur la version Raspberry Pi OS Buster avec l’environnement graphique Xfce.
Linutop Logo

La famille Raspberry Pi continue de s’agrandir avec différentes versions mémoire pour les 4 et 400 avec clavier intégré. Linutop OS est mis à jour en passant au Kernel 5.10, indispensable pour rester compatible avec toute la gamme des Raspberry Pi : Zéro, 1, 2, 3, 4, 400, B, B+, A et A+.

Télécharger gratuitement Linutop OS
Documentation Linutop OS
Documentation Linutop Kiosk

Linutop OS

Dernière version des principaux logiciels :

Le lecteur Linutop Kiosk est compatible avec tous les écrans et panneaux LED.
Formats d’affichage pris en charge : photos, vidéos, PDF, HTML et texte.

Linutop OS free pour Raspberry Pi est disponible aux formats NOOBS ou IMG pour carte SD.
Le format NOOBS permet une installation directe par copie des fichiers sur une micro SD formatée en FAT.

Le format IMG demande un logiciel Imageur (ou dd sous Linux) sur une micro SD.

Source : linux.org

C’est bien ce que je disait Mozilla part en couille et c’est pas pour rien qu’une partie des équipes se cassent ailleurs

euro numérique pour septembre 2022 ???

dommage mon tel est pas compatible, j’aurais bien tester

@raccoon a dit dans L’expérimentation sur les puces cérébrales d’Elon Musk tourne au fiasco :

@indigostar dans ce cas pourquoi ils ne testent pas leur puce directement sur eux ?

C’est juste de la com histoire d’amortir l’enquête pour cruauté envers les animaux qui leur tombe dessus. Je n’y crois pas une seconde…

7b9cf3b9-a2ad-4d74-bce2-a24c611055ae-image.png
Une publicité réalisée pour l’entreprise Hacking Team. HACKING TEAM

C’est un développement rare dans l’industrie de la vente de logiciels espions. Mardi 15 février, le département de la justice des Etats-Unis a annoncé qu’un homme d’affaires mexicain avait plaidé coupable dans un dossier impliquant la commercialisation d’outils de surveillance. Carlos Guerrero était notamment soupçonné de contrôler un réseau d’entreprises au Mexique et aux Etats-Unis, lui permettant de servir d’intermédiaire entre des vendeurs de logiciels espions et leurs clients, le plus souvent étatiques.

Selon le communiqué de la justice américaine, l’homme d’affaires a notamment, en 2014 et 2015, vendu à des autorités locales mexicaines des outils de surveillance pour le compte de l’entreprise de sécurité informatique italienne Hacking Team. Carlos Guerrero savait, selon un document judiciaire, que le logiciel espion qu’il vendait ne servait pas uniquement à assister les forces de l’ordre dans des procédures judiciaires – ce que les entreprises de ce secteur promettent depuis des années – mais pouvait être détourné à des fins d’espionnage illégal.

L’homme d’affaire a notamment « aidé le maire d’une ville de l’Etat mexicain de Morelos à accéder sans autorisation aux comptes Twitter, Hotmail et iCloud d’un rival politique », selon l’accord de reconnaissance de culpabilité. Carlos Guerrero est également accusé d’avoir utilisé lui-même, avec un de ses partenaires, des outils de Hacking Team pour écouter les conversations téléphoniques d’un de ses concurrents opérant au Mexique et aux Etats-Unis. Ses sociétés commerciales ont également servi d’intermédiaire pour vendre des outils de surveillance commercialisés par d’autres entreprises privées, dont une société israélienne non identifiée publiquement. Le suspect, dont la peine doit encore être déterminée par un juge, encourt jusqu’à cinq ans de prison et 250 000 dollars d’amende (environ 220 000 euros).

L’entreprise Hacking Team, qui a depuis cessé ses activités, a été en 2015 au cœur d’un scandale levant le voile sur l’industrie de la surveillance privée. A la suite d’un piratage, une vaste quantité de données confidentielles et d’e-mails internes à l’entreprise avait été publiée sur Internet. Ces documents montraient que l’entreprise italienne, qui développe des logiciels espions à destination des Etats, avait vendu ses outils à des gouvernements régulièrement accusés de violations des droits de l’homme. A l’époque, plusieurs ONG avaient appelé à renforcer le cadre légal entourant le commerce international de ces outils, soulignant qu’ils étaient régulièrement détournés pour espionner des opposants politiques, journalistes et militants humanitaires.

Les autorités mexicaines ont régulièrement été épinglées pour l’usage abusif qu’elles faisaient de tels logiciels. En juillet 2021, l’enquête des médias participant au « Projet Pegasus » a, par exemple, révélé qu’en 2016 et 2017 les numéros de téléphone d’au moins cinquante personnes de l’entourage de l’opposant et futur président Andres Manuel Lopez Obrador avaient été ciblés par un autre logiciel, Pegasus, en vue d’une potentielle tentative d’infection.

Pour certains experts, le dossier Carlos Guerrero est une étape dans la lutte contre les utilisations abusives des logiciels de surveillance. « Je parie que quelques distributeurs de logiciels espions vont très mal dormir cette nuit, et réfléchiront à deux fois avant de prendre un vol pour les Etats-Unis dans les prochains temps », s’est félicité auprès du magazine Vice John Scott-Railton, chercheur auprès du laboratoire canadien Citizen Lab, qui observe cette industrie depuis plusieurs années.

« Ce plaider-coupable va aider à endiguer la prolifération des outils numériques utilisés pour la répression. C’est une avancée pour la sécurité numérique des citoyens nord-américains et mexicains », a déclaré, mardi 15 février, le procureur californien Randy Grossman. Ce développement judiciaire intervient par ailleurs alors que les autorités américaines ont récemment infligé un camouflet à NSO Group, l’entreprise israélienne qui commercialise le logiciel Pegasus. Le 3 novembre, le département du commerce a placé la société sur une liste noire d’entreprises soumises à d’importantes restrictions en matière d’exportations et d’importations.

Source : lemonde.fr

C’est chaud.
Mais c’est normal que ça évolue vite. Aussi vite que les mesures de défense…

franchement des fois je suis bien content d’avoir 63 ans, plus que trois ou quatre mercredi et assuré de ne pas voir ce que l’avenir réserve !!!

ou ça fait vraiment chier de laisser ça à mes gamins !