Saviez-vous qu’une faille de sécurité plus vicieuse qu’un boss de fin de niveau est tapie dans les entrailles de notre cher Linux depuis plus d’une décennie ? Et attention, on ne parle pas d’un vulgaire bug qui fait planter votre distrib’ préférée, non non. Cette saleté, baptisée « WallEscape » par Skyler Ferrante, un chercheur en sécurité un peu barré (on y reviendra), permet ni plus ni moins à un petit malin de vous subtiliser votre précieux mot de passe Admin !
Tout commence avec une commande anodine appelée « wall« , présente dans le package util-linux. Son petit boulot à elle, c’est d’envoyer des messages à tous les utilisateurs connectés sur une même machine. Jusque-là, rien de bien méchant, vous me direz.
Sauf que voilà, un beau jour, ou plutôt un sale jour de 2013, un commit un peu foireux est venu s’immiscer dans le code de wall tel un cheveu sur la soupe. Depuis, cette brebis galeuse s’est gentiment propagée dans toutes les versions de util-linux, tel un virus informatique qui s’ignore.
Mais qu’est-ce qu’il y avait de si terrible dans ce ce commit ? Eh bien, pour faire simple, le dev qui l’a poussé, a tout bonnement oublié de filtrer correctement les fameuses « escape sequences » dans les arguments de la ligne de commande. Résultat des courses : un petit malin un peu bricoleur peut maintenant s’amuser à injecter tout un tas de caractères de contrôle pour faire des trucs pas très catholiques sur votre terminal.
Et c’est là que notre ami chercheur en sécurité dont je vous parlais au début de l’article, entre en scène. Armé de sa curiosité légendaire et de son sens de l’humour douteux, il a flairé le potentiel de la faille et s’est amusé à monter un scénario d’attaque digne d’un film de ma saga préférée : « Die Hard ». L’idée, diaboliquement géniale, est d’utiliser ces fameuses « escape sequences » non filtrées pour créer de fausses invites sudo sur le terminal de la victime. Ainsi, tel un loup déguisé en agneau, l’attaquant peut vous inciter à gentiment taper votre mot de passe administrateur, pensant avoir affaire à une véritable demande d’authentification système.
Bon, je vous rassure tout de suite, il y a quand même quelques conditions à remplir pour que l’attaque fonctionne. Déjà, il faut que l’option « mesg » soit activée sur votre machine et que la commande wall ait les permissions setgid.
Bien sûr, en tant que vrai geek qui se respecte, vous avez probablement déjà mis à jour votre système avec la dernière version de util-linux qui colmate la brèche. Sinon, vous pouvez toujours vérifier que les permissions setgid ne sont pas activées sur wall ou carrément désactiver cette fonctionnalité de messages avec « mesg« .
En attendant, je ne peux que vous encourager à jeter un coup d’œil au PoC de notre ami chercheur, histoire de voir à quoi peut ressembler une fausse invite sudo des familles. C’est toujours ça de pris pour briller en société.
Allez, amusez-vous bien et n’oubliez pas : sudo rm -rf /*, c’est le mal !
Tiens, tiens, ce cher Elon Musk nous réserve encore des surprises de taille avec X, anciennement connue sous le nom de Twitter ! Le milliardaire vient d’annoncer que certains comptes auront désormais accès gratuitement à des fonctionnalités premium. Il se prend pour Xavier Niel, le gars 🙂
Concrètement, si votre compte X a plus de 2500 abonnés vérifiés, vous allez pouvoir profiter des fonctionnalités Premium sans débourser un centime. Et si vous avez la chance d’avoir plus de 5000 fidèles followers, c’est carrément Premium+ qui vous tend les bras !
Avant cette annonce fracassante, il fallait casquer 8$ par mois pour avoir accès à Premium et tous ses avantages : des posts plus longs, des uploads vidéos plus conséquents, une priorité dans les réponses et moins de pubs dans votre timeline. Quant aux utilisateurs Premium+, en plus de dire adieu à la publicité, ils ont même droit à Grok, le chatbot d’IA générative de X.
Depuis qu’Elon Musk a racheté Twitter pour la modique somme de 44 milliards de dollars en avril 2022, le réseau social a beaucoup fait parler de lui. Entre les polémiques sur la liberté d’expression, les changements de nom, et les fonctionnalités qui changent ou disparaissent, on ne s’ennuie pas une seconde.
Mais tout n’est pas rose dans le monde merveilleux de X. Un juge américain vient de rejeter une plainte déposée par la plateforme contre un groupe accusant X de laisser proliférer les discours haineux depuis l’arrivée de Musk aux manettes. Le juge a estimé que X ne supportait pas la critique et punissait les défendeurs pour leur liberté d’expression. Un revers cinglant pour le réseau social qui compte bien faire appel.
Et comme si cela ne suffisait pas, le nombre d’utilisateurs quotidiens de X serait en chute libre par rapport à ses concurrents comme Instagram et TikTok. Selon des chiffres rapportés par NBC News, l’utilisation quotidienne de X aux États-Unis aurait chuté de 23% depuis novembre 2022, juste après la finalisation du rachat par Musk. Une baisse bien plus importante que pour les autres géants des réseaux sociaux sur la même période.
Au niveau mondial, c’est pas la joie non plus. Les utilisateurs actifs quotidiens sur X sont descendu à 174 millions, soit une baisse de 15% par rapport à l’année précédente. Pendant ce temps-là, Snapchat, Instagram, Facebook et TikTok continuent de voir leur nombre d’utilisateurs grimper. Aïe aïe aïe…
Alors certes, Elon Musk et son équipe peuvent se vanter d’accueillir encore 250 millions d’utilisateurs quotidiens dans le monde, comme l’a fièrement annoncé X Data en mars dernier. Mais n’oublions pas que c’est quand même moins que les 258 millions revendiqués par le patron en personne fin 2022.
Malgré ces quelques zones de turbulences, X continue d’avancer et d’innover pour séduire les utilisateurs. Les nouvelles fonctionnalités premium gratuites pourraient bien doper l’attractivité de la plateforme et convaincre les indécis de sauter le pas. Après tout, qui n’a pas envie de pouvoir poster des messages plus longs et des vidéos de meilleure qualité sans payer un centime ?
In December 2020, astronomers spotted an unusual burst of light in a galaxy roughly 848 million light-years away—a region with a supermassive black hole at the center that had been largely quiet until then. The energy of the burst mysteriously dipped about every 8.5 days before the black hole settled back down, akin to having a case of celestial hiccups.
Now scientists think they've figured out the reason for this unusual behavior. The supermassive black hole is orbited by a smaller black hole that periodically punches through the larger object's accretion disk during its travels, releasing a plume of gas. This suggests that black hole accretion disks might not be as uniform as astronomers thought, according to a new paper published in the journal Science Advances.
Co-author Dheeraj "DJ" Pasham of MIT's Kavli Institute for Astrophysics and Space research noticed the community alert that went out after the All Sky Automated Survey for SuperNovae (ASAS-SN) detected the flare, dubbed ASASSN-20qc. He was intrigued and still had some allotted time on the X-ray telescope, called NICER (the Neutron star Interior Composition Explorer) on board the International Space Station. He directed the telescope to the galaxy of interest and gathered about four months of data, after which the flare faded.
Samsung fait revenir le suivi de la batterie “depuis la dernière charge” pour ses smartphones Galaxy. Cette fonctionnalité avait été remplacée par le suivi sur 24 heures qui est beaucoup moins pratique.
L’article Samsung Galaxy : cette fonction de la batterie est de retour pour améliorer l’autonomie est apparu en premier sur Toms Guide.
Samsung Galaxy S24
full
Samsung Galaxy S24
thumbnail
PyPI, a vital repository for open source developers, temporarily halted new project creation and new user registration following an onslaught of package uploads that executed malicious code on any device that installed them. Ten hours later, it lifted the suspension.
Short for the Python Package Index, PyPI is the go-to source for apps and code libraries written in the Python programming language. Fortune 500 corporations and independent developers alike rely on the repository to obtain the latest versions of code needed to make their projects run. At a little after 7 pm PT on Wednesday, the site started displaying a banner message informing visitors that the site was temporarily suspending new project creation and new user registration. The message didn’t explain why or provide an estimate of when the suspension would be lifted.
Screenshot showing temporary suspension notification. (credit: Checkmarx)
About 10 hours later, PyPI restored new project creation and new user registration. Once again, the site provided no reason for the 10-hour halt.
Health officials have long warned that gonorrhea is becoming more and more resistant to all the antibiotic drugs we have to fight it. Last year, the US reached a grim landmark: For the first time, two unrelated people in Massachusetts were found to have gonorrhea infections with complete or reduced susceptibility to every drug in our arsenal, including the frontline drug ceftriaxone. Luckily, they were still able to be cured with high-dose injections of ceftriaxone. But, as the US Centers for Disease Control and Prevention bluntly notes: "Little now stands between us and untreatable gonorrhea."
If public health alarm bells could somehow hit a higher pitch, a study published Thursday from researchers in China would certainly accomplish it. The study surveyed gonorrhea bacterial isolates—Neisseria gonorrhoeae—from around the country and found that the prevalence of ceftriaxone-resistant isolates nearly tripled between 2017 and 2021. Ceftriaxone-resistant strains made up roughly 8 percent of the nearly 3,000 bacterial isolates collected from gonorrhea infections in 2022. That's up from just under 3 percent in 2017. The study appears in the CDC's Morbidity and Mortality Weekly Report.
While those single-digit percentages may seem low, compared to other countries they're extremely high. In the US, for instance, the prevalence of ceftriaxone-resistant strains never went above 0.2 percent between 2017 and 2021, according to the CDC. In Canada, ceftriaxone-resistance was stable at 0.6 percent between 2017 and 2021. The United Kingdom had a prevalence of 0.21 percent in 2022.
Vous avez le sentiment que Star Wars a pris l'habitude de recycler un peu trop souvent ses personnages, en ramenant à la vie ceux qui étaient censés être morts ? Cette impression n'est pas infondée : la série d'animation The Bad Batch vient de la confirmer.
Broadcom has made sweeping changes to VMware's business since acquiring the company in November 2023, killing off the perpetually licensed versions of VMware's software and instituting large-scale layoffs. Broadcom executives have acknowledged the "unease" that all of these changes have created among VMware's customers and partners but so far haven't been interested in backtracking.
Among the casualties of the acquisition is the free version of VMware's vSphere Hypervisor, also known as ESXi. ESXi is "bare-metal hypervisor" software, meaning that it allows users to run multiple operating systems on a single piece of hardware while still allowing those operating systems direct access to disks, GPUs, and other system resources.
One alternative to ESXi for home users and small organizations is Proxmox Virtual Environment, a Debian-based Linux operating system that provides broadly similar functionality and has the benefit of still being an actively developed product. To help jilted ESXi users, the Proxmox team has just added a new "integrated import wizard" to Proxmox that supports importing of ESXi VMs, easing the pain of migrating between platforms.
[Deal du Jour] Sony n’en finit pas de baisser le prix de son casque WH-CH720N. Déjà à 119 € en juin 2023, il passe aujourd’hui sous les 100 €. Ce casque Bluetooth au rapport qualité-prix imbattable offre des performances haut de gamme pour un prix bien moins important.
Une réunion Zoom avec Phil Spencer et Gabe Newell aurait eu lieu. Il a été question d’importer Steam sur la Xbox en tant que boutique alternative mais aussi du Game Pass en natif sur le Steam Deck.
L’article Xbox : tous les jeux Steam bientôt disponibles pour sauver la console ? est apparu en premier sur Toms Guide.
Steam Valve Microsoft Xbox Series X Series S console de jeu jeux vidéo
full
Steam Valve Microsoft Xbox Series X Series S console de jeu jeux vidéo
thumbnail
Dans la masse des cyberattaques, les établissements de santé ont une place de choix. Les raisons sont multiples et forcent les centres de soin à s’adapter et à sécuriser leur système informatique du mieux qu’ils peuvent.
Elgato annonce ce jour la Facecam MK.2, apportant encore plus de possibilités à la webcam 1080p60 privilégiée par les créateurs. Le dernier modèle offre tout ce que les utilisateurs apprécient chez la Facecam, ainsi que de nouvelles fonctionnalités telles que le HDR, un obturateur de confidentialité intégré et des effets de panoramique, inclinaison et zoom. Grâce à une qualité d'image améliorée, la Facecam MK.2 permet aux streamers et aux professionnels de bénéficier d'un rendu plus vrai que nature, même sous faible éclairage. Son design épuré s'intègre naturellement dans les espaces de travail modernes, tandis que son profil plus bas favorise le contact visuel. […]
Lire la suiteXiaomi va frapper fort en lançant sa première voiture électrique, la SU7. Cette berline bardée de technologies et aux performances affolantes se veut accessible, avec un prix de départ plutôt bas. De quoi faire trembler Tesla ?
L’article Xiaomi SU7 : son prix enfin dévoilé, Tesla a de quoi s’en faire est apparu en premier sur Toms Guide.
Xiaomi SU7
full
Xiaomi SU7
thumbnail
Les sophons jouent un rôle déterminant dans l'intrigue du Problème à 3 corps. Appelés intellectrons dans les romans, ils challengent les connaissances physiques.
[Deal du jour] Si la trottinette Xiaomi Electric Scooter 4 Pro avait déjà vu son prix baisser depuis plusieurs mois, sa réduction n’avait jamais atteint ce niveau-là. Ce sont, en effet, plus de 270 € que vous allez pouvoir économiser sur cet appareil haut de gamme aux bonnes performances.
À une époque où la culture samouraï se retrouve aussi bien dans les adaptations Netflix de qualité variable que dans des succès vidéoludiques comme Ghost of Tsushima, Rise of the Rōnin se positionne avec ambition. Mais derrière l'éclat de son armure, le dernier de Team Ninja cache-t-il des failles ?
L’article Test Rise of the Rōnin : une épopée de samouraï à double tranchant est apparu en premier sur Toms Guide.
Test Rise of Ronin
full
Test Rise of Ronin
thumbnail
Selon la certification chinoise des Galaxy Z Fold 6 et Galaxy Z Flip 6, la charge rapide filaire est d’à peine 25W soit la même puissance que l’actuelle génération. Déception à ce niveau, donc.
L’article Les Galaxy Z Fold 6 et Z Flip 6 ont une charge rapide décevante, Samsung n’innove pas est apparu en premier sur Toms Guide.
Galaxy Z FE Flip Fold Samsung smartphone pliable
full
Galaxy Z FE Flip Fold Samsung smartphone pliable
thumbnail
Le store d'Epic Games vous offre le jeu Islets. Ce jeu, au style graphique travaillé, vous promet une épopée entre diverses îles flottantes, à bord d'un vaisseau branlant, afin de réactiver le noyau magnétique de chacune d'entre elles, cela serra également l'occasion de rencontrer divers des personnages attachants. […]
Lire la suiteERAZER, la marque gaming de MEDION, annonce aujourd'hui son partenariat avec l'association Project Conquerors (PCS) en tant que principal sponsor matériel. L'équipe League of Legends de PCS, engagée sur la deuxième étape du circuit Nexus Tour qui se tiendra du 30 mars au 1er avril dans le cadre de la Gamers Assembly 2024 à Poitiers, inaugurera à cette occasion un nouveau maillot floqué du logo de la marque. […]
Lire la suiteLes récentes cyberattaques contre la FFF, France Travail ou les mutuelles offrent une base de données « fraiches » que les cybercriminels pourraient exploiter en vue des Jeux Olympiques à Paris cet été.
Alphazomega propose un mod qui permet le Lock On dans Dragon's Dogma 2. Volus pourrez ainsi verrouiller un ennemi lors des affrontements, ce qui sera particulièrement utile en cas de combattants multiples et si on prend en compte la gestion hasardeuse de la caméra et de la souris, proposée par le jeu. Le mod est téléchargeable ici. […]
Lire la suiteTypical CPU coolers do the job for standard heat management but often fall short when it comes to quiet operation and peak cooling effectiveness. This gap pushes enthusiasts and PC builders towards specialized aftermarket solutions designed for their unique demands. The premium aftermarket cooling niche is fiercely competitive, with brands vying to offer top-notch thermal management solutions.
Today we're shining a light on DeepCool's AK620 Digital cooler, a notable entry in the high-end CPU cooler arena. At first blush, the AK620 Digital stands out from the crowd mostly for its integrated LCD screen. Yet aesthetics aside, underneath the snappy screen is a tower cooler that was first and foremost engineered to exceed the cooling needs of the most powerful mainstream CPUs. And it's a big cooler at that: with a weight of 1.5Kg and 162mm tall, this is no lightweight heatsink and fan assembly. All of which helps to set it apart in a competitive marketplace.
Nouvelle match en série REMATCH GLOW chez PDP avec une déclinaison Android Dreams qui propose un détail sympathique : une fois la manette dans le noir, le design phosphorescent est légèrement moins glamour que celui de base. Original et bien pensé, mais s'il ne s'agit que d'un détail sur le design qui changera rien à l'expérience en jeu. Vendue 37.99 U+20AC, la manette est filaire et certifiée Xbox avec tout ce qu'il faut pour une prise en main et une configuration rapides, même si une application est disponible pour des réglages plus poussés. […]
Lire la suiteComment ça, pas très clair ce titre ? Il faut dire que le concept de Screenbound est assez original : pendant qu'on se promène dans un environnement en 3D de type plateforme, ce même environnement s'affiche sur la console portable du protagoniste, mais en 2D ! Une autre façon de voir le jeu, et nous avons hâte d'avoir plus de détails. Car pour l'instant, le mystère est complet... Développé par Crescent Moon Games, Screenbound n'a aucune date de sortie, mais une fiche Steam est désormais en ligne. […]
Lire la suiteVotre caméra fait des prises de vue jusqu'à 60 images par seconde. L'appareil scientifique SCARF, conçu par une équipe canadienne, va jusqu'à 156,3 trillions d’images par seconde. Objectif : capter des évènements jusqu'ici insaisissables.
Ok, super, on appelle ça le Jersey Swap, le fait d'échanger son maillot, mais là c'est vraiment trop, Jensen Huang avec ce truc qui ressemble à une peau de mouton retournée, ce n'est pas possible. Comme dirait Cristina Cordula, on loin, mais alors très loin du magnifaïk et du subliiiime ma chérie. Jensen, c'est l'homme au blouson noir, c'est l'Homme à la moto du Hardware, qui cuisine des cartes graphiques dans son four. […]
Lire la suiteGrosse autre gros changement dans le cercle fermé des développeurs et éditeurs, le renommé studio Relic Entertainment quitte SEGA prend son indépendance grâce à un investisseur externe. Pour l'instant, les plans de studio concerne Company of Heroes 3 avec du contenu qui sera apporté au fil du temps, mais rien n'est actuellement connu à propos des autres jeux développés par la marque, notamment Dawn of War dont les droits appartiennent toujours à Games Workshop. […]
Lire la suite