Lateo.net - Flux RSS en pagaille (pour en ajouter : @ moi)

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 27 mars 2024Korben

VLC dévoile les sombres dessous de la signature d’apps Android

Par : Korben

Astuces VLC

La sécurité sur Android et plus particulièrement la signature des applications c’est loin d’être tout beau tout rose. Vous le savez peut-être, notre bon vieux VLC, a quelques soucis pour mettre à jour son app Android sur le Play Store ces derniers temps.

Alors pourquoi ce blocage ? Eh bien tout simplement parce que Google a décidé de rendre obligatoire l’utilisation des App Bundles pour toutes les applications proposant des fonctionnalités TV. Jusque-là, pas de problème me direz-vous. Sauf que ce nouveau format nécessite de fournir sa clé de signature privée à Google. Et ça, c’est juste im-po-ssible pour l’équipe de VLC !

Fournir sa clé privée à un tiers, c’est comme donner les clés de son appartement à son voisin. C’est la base de la sécurité : ce qui est privé doit le rester. Sinon autant laisser sa porte grande ouverte avec un panneau « Servez-vous » ! 😅

Depuis les débuts d’Android, chaque app doit être installée via un fichier APK. Ce fichier contient tout le nécessaire : le code, les ressources, les données… Et pour vérifier qu’un APK est authentique, il doit être signé avec une clé privée générée par le développeur. N’importe qui peut alors vérifier la clé publique utilisée pour signer le fichier.

L’avantage de ce système est de garantir l’intégrité de l’app. Si le développeur perd sa clé privée ou son mot de passe, impossible de publier des mises à jour car la nouvelle signature ne correspondra pas. Et s’il file sa clé à quelqu’un d’autre, cette personne pourra signer ses propres versions qui seront considérées comme légitimes. Vous voyez le problème maintenant ?

Avec les App Bundles, on passe à un système de double signature où une clé de téléchargement (upload key) permet au Play Store de vérifier que celui qui envoie le fichier est légitime. Jusque-là, ça va. Mais où clé de signature (release key), doit être détenue par Google ! Autrement dit, le Play Store signe l’app à la place du développeur. C’est donc cette clé privée que Google réclame aujourd’hui à VLC.

Google a bien tenté de mettre en place des mesures pour atténuer le problème, comme le dual release qui permet sur les appareils récents (Android 11+) d’installer une mise à jour signée différemment si une preuve de rotation de clé est fournie. Mais pour les apps comme VLC qui supportent aussi les vieux appareils et la TV, ça ne fonctionne pas.

Du coup, l’équipe de VLC se retrouve face à un choix cornélien :

  1. Donner sa clé privée à Google et continuer à publier normalement. Bénéfice : aucun. Risque : Google a le contrôle total sur les mises à jour et la sécurité de l’app. Autant dire que pour eux c’est non.
  2. Virer le support TV des APK publiés sur le Play Store. Avantage : pas besoin de donner sa clé privée pour les appareils récents. Inconvénient : plus de support TV pour les vieux appareils sous Android 10 et moins. Pas top.
  3. Passer full App Bundles. Avantage : aucun. Inconvénient : ça rendrait l’app incompatible avec 30% des utilisateurs actuels. Même pas en rêve !

Bref, vous l’aurez compris, l’équipe de VLC est dans une impasse et c’est pour ça qu’aucune mise à jour n’a été publiée ces derniers mois sur le Play Store.

Et ce n’est pas qu’une question de principe. Le Play Store n’est pas le seul store sur Android. VLC est aussi disponible sur le site officiel, l’Amazon AppStore, le Huawei AppGallery… Donc donner sa clé à Google compromettrait toute la chaîne de publication.

Malheureusement, sans modification de la part de Google sur ces nouvelles exigences, il n’y a pas de solution miracle pour continuer à proposer le support TV sur les vieux appareils Android via le Play Store.

C’est rageant pour les développeurs qui se retrouvent pieds et poings liés, mais c’est aussi inquiétant pour nous utilisateurs. Quand le plus gros store d’apps au monde se met à réclamer les clés privées des développeurs, on peut légitimement se poser des questions sur sa conception de la sécurité et de la vie privée.

Espérons que Google entendra les critiques et fera machine arrière sur ce point. En attendant, la seule chose à faire est de soutenir les développeurs comme VLC qui résistent encore et toujours à l’envahisseur et continuent à privilégier la sécurité de leurs utilisateurs avant tout.

Si ça vous interesse, vous pouvez suivre toute l’affaire en détail sur cet article passionnant (si si, je vous jure) : VLC for Android updates on the Play Store

À partir d’avant-hierKorben

Cached View – Google Cache c’est fini, oui mais non, pas tout à fait !

Par : Korben

Si vous aviez l’habitude d’utiliser la commande cache: de Google ou le petit lien qui allait bien pour consulter la copie d’une page web lorsque celle-ci a été supprimée, vous allez être triste puisque Google a retiré cette fonctionnalité aussi rapidement que Macron l’a fait pour les droits chômage.

Alors plutôt que de chialer comme un référenceur spécialisé en Lycos, je vous propose plutôt de vous rendre sur le site CachedView (jeu de mots cashew – noix de cajou) qui à partir de l’URL de votre choix, ira vérifier si des versions en cache existent sur Archive today, la bibliothèque du congrès, la Wayback Machine…etc et même Google Cache tant que ça fonctionne encore un peu.

Ensuite y’a plus qu’à cliquer sur les liens en vert, et vous pourrez consulter les copies en cache des sites probablement censurés par le nouvel ordre mondial comme d’habitude ^^.

Voilà, c’est aussi simple que ça !

2FAS – L’app 2FA open source pour sécuriser vos comptes en ligne

Par : Korben

Si vous cherchez une application pour gérer tous vos codes de double authentification, je vous propose aujourd’hui qu’on se penche sur le cas de 2FAS.

Il s’agit d’une application disponible en français sous iOS et Android qui est totalement libre et qui supporte les codes TOTP (time-based one-time passwords) et HOTP.

Pour rappel, le 2FA (Two-Factor Authentication) est une méthode d’authentification qui fournit une couche supplémentaire de sécurité pour les comptes en ligne. Ainsi en plus du nom d’utilisateur et du mot de passe, le 2FA utilise un deuxième facteur, qui n’est ni plus ni moins qu’un mot de passe à usage unique (OTP) affiché sur le téléphone de l’utilisateur, pour vérifier l’identité de ce dernier. Cela permet d’empêcher l’accès non autorisé aux comptes, même si le mot de passe est compromis.

Le fonctionnement de 2FAS est assez similaire à celui d’Authy ou de Google Authenticator. Sauf que 2FAS propose de la synchronisation sur votre compte iCloud / Google si vous le désirez et la possibilité d’importer des codes existants depuis d’autres outils comme Aegis, Raivo OTP, Lastpass, Google Authenticator, andOTP ou encore Authenticator Pro. Pour ceux qui sont coincés avec Authy, vu que ça ferme, surveillez le blog dans les jours qui viennent, je vous prépare un tuto pour vous sauver.

Pour sécuriser l’app, vous pouvez lui ajouter un code pin ansi sur le faceID, et cerise sur le gateau, vous avez la possibilité d’installer une extension sur votre navigateur desktop qui ira communiquer directement avec votre smartphone pour saisir à votre place les codes de double authentification via une simple alerte.

Bref, c’est un outil moderne, avec une interface très sympa et en plus c’est libre ! Que demande le peuple ?

À découvrir ici.

ShortGPT – Pour automatiser la création de vidéos pour TikTok et Instagram

Par : Korben

Si vous trainez sur TikTok (pour les jeunes d’esprit) ou encore Instagram (pour les boomers d’esprit), vous êtes sans doute déjà tombé sur des vidéos avec des « facts », c’est à dire des faits historiques, scientifiques ou encore des trucs tirés tout droit de Reddit, qui vous ont captivé avec une petite musique de merde et un gameplay de jeu vidéo quelconque en fond.

Ce genre de format est calibré pour endormir ce qui vous reste de matière grise fondue et vous faire rester sur la vidéo. Là où ça devient drôle, c’est que vous allez pouvoir générer ce genre de format vidéo grâce à ShortGPT. Cet outil open source (décliné également en site payant) supporte de nombreuses langues et peu aller chercher automatiquement des « faits » random ou sur le sujet de votre choix, ainsi que des sujets sur Reddit et compiler tout ça dans une vidéo avec une voix OFF.

Vous pouvez lui demander autant de shorts que vous voulez. Il vous faudra juste une clé API OpenAI, Pexels (pour les images) et pour avoir une voix de qualité, vous pouvez aussi ajouter votre clé ElevenLabs (mais pas obligatoire puisque c’est payant).

Voici techniquement comment c’est gaulé :

Vous avez deux choix pour installer ShortGPT. Si vous êtes du genre à aimer avoir tout sur votre ordinateur, vous pouvez installer les pré-requis localement en suivant la doc du Github. Cependant, si vous êtes comme moi et que vous préférez ne pas vous embêter avec des installations interminables, vous pouvez utiliser Google Colab. C’est gratuit et sans installation.

Evidemment, y’a assez de contenu merdique sur Internet pour pas en rajouter, mais ça peut-être une bonne base de départ, de reprendre ce code, pour le modifier et en faire un outil de génération de vidéos un peu plus sympa et mieux adapté à votre public.

A découvrir ici.

Enfin une surveillance vidéo efficace à base d’intelligence artificielle grâce au combo Frigate + Home Assistant

Par : Korben

Nous sommes nombreux à avoir des caméras à la maison. L’idée étant bien sûr de pouvoir surveiller notre domicile en cas d’absence ou pourquoi pas, regarder la faune sauvage qui passe dans le jardin.

Mais tout ceci reste quand même plutôt basic. Alors que diriez-vous d’y intégrer un peu d’intelligence artificielle notamment avec OpenCV et Tensorflow pour détecter en temps réel tout ce qui passe dans le flux de vos caméras IP ?

L’outil s’appelle Frigate et c’est un enregistreur vidéo réseau (NVR) local, spécialement conçu pour Home Assistant. Concrètement, cela signifie que si quelque chose bouge devant votre caméra – que ce soit votre chat ou un voleur – Frigate le sait, le reconnait, et vous le savez aussi, instantanément.

L’intégration avec Home Assistant est tellement fluide qu’elle vous donnera l’impression que Frigate fait partie intégrante de votre install. Vous pouvez ainsi contrôler et consulter votre système de sécurité sans jamais quitter votre interface Home Assistant familière. Bien sûr, si vous êtes sur Raspberry Pi, soyez rassurés puisque Frigate est conçu pour être économe. Il sait quand être « attentif » mais aussi quand rester en veille, assurant ainsi une surveillance efficace sans gaspiller de ressources. Et si vous voulez passer à la vitesse supérieure, ajoutez un accélérateur Google Coral et vous verrez Frigate traiter les images encore plus vite !!

Ainsi, Frigate vous permettra de réduire les fausses alertes. Il est capable de faire la distinction entre les mouvements pertinents (personnes, voitures) et non pertinents (ombres, vent). L’utilisation de l’IA permet comme ça de filtrer uniquement les détections importantes et éviter de manquer les trucs importants.

La clé de la performance de Frigate réside dans sa capacité à faire plusieurs choses à la fois. Il divise les tâches tout en s’assurant que la détection d’objets ne ralentisse jamais le flux de vos vidéos. De plus, l’enregistrement est aussi intelligent que la détection puisque Frigate ne garde que ce qui compte, en se basant sur les objets qu’il identifie. Vous pourrez donc dire enfin adieu aux heures de vidéo enregistrées inutiles.

Frigate offre ainsi du suivi en temps réel des objets et des notifications précises lorsqu’une personne s’approche de votre porte ou qu’une voiture entre dans votre allée.

Et pour ceux qui veulent garder un œil sur leur maison sans compliquer les choses, Frigate offre une retransmission du flux vidéo via RTSP pour limiter le nombre de connexions directes à toutes vos caméras IP. De plus, la faible latence et la visualisation en direct signifient que vous pouvez voir ce qui se passe chez vous grâce au WebRTC & MSE, où que vous soyez, et tout cela en temps réel.

Frigate n’est pas seulement un outil qui fonctionne de manière isolée puisqu’il est également capable de communiquer via MQTT, ce qui signifie qu’il peut s’intégrer facilement dans un écosystème de maison intelligente plus large.

En bref, Frigate ne se contente pas de regarder ce qui se passe chez vous. Il comprend ce qui se passe chez vous et ça, ça vous permettra de faire toute la différence au niveau des scénarios de votre installation domotique.

À découvrir ici.

Boostez la confidentialité et la vitesse de votre site avec OMGF

Par : Korben

OMFG en anglais, ça veut dire « Oh My Fucking God » (C’est à dire « Bordel de dieu » comme disent les Belges) mais connaissez-vous : OMGF ?

OMGF c’est « Optimize My Google Fonts » et il s’agit d’un plugin pour WordPress qui va vous aider à récupérer et héberger sur votre serveur toutes les polices de caractère Google Fonts que vous utilisez sur votre site web. Cela a plein d’avantages. En effet, vous pourrez ainsi profiter des polices de Google en limitant les requêtes externes vers leurs serveurs. Votre site se chargera plus rapidement, le cache sera mieux géré et surtout, niveau RGPD, vous serez au top et vous n’irez pas croupir dans les geôles sombres et humides situées sous-sol des bureaux de la CNIL.

Globalement, une fois installé, y’a rien à faire. L’extension détecte automatiquement les Google Fonts de votre thème et de vos plugins et les met ensuite en cache. A vous d’affiner si besoin le chargement en amont ou pas (pré-chargement) de certaines polices situées dans vos CSS. Et si certaines polices ne sont pas utilisées, il les décharge également automatiquement.

Mais OMGF ne s’arrête pas là, il a plein d’autres fonctionnalités sous le capot : Support des polices variables, suppression automatique des sous-ensembles inutilisés pour alléger vos CSS de près de 90%, effacement des appels pointant vers fonts.googleapis.com ou fonts.gstatic.com, et bien plus encore, surtout avec la version OMGF Pro qui ajoute des choses comme la prise en charge multisite ou une fonctionnalité « Dig Deeper » pour une optimisation encore plus fine.

Si ça vous dit d’essayer, c’est sur le store des extensions WordPress en cliquant ici.

Google Chromium – Le diable est dans les détails et ce projet les élimine

Par : Korben

Chrome, j’ai jamais vraiment aimé. Pas parce que ça ne fonctionne pas bien, mais parce que ça a toujours été le meilleur cheval de Troie de Google pour faire adopter ses technos et tracker les habitudes des gens afin de mieux cibler leur pub.

Alors bien sûr, quand je dis ça, les libristes les moins avertis me sortent la carte du « Oui, mais y’a Chromium, c’est pareil, mais c’est libre« .

Sauf que Chromium, même si c’est libre, intègre encore bon nombre de dépendances aux services web de Google. Et l’idée de cet article aujourd’hui, c’est de vous faire découvrir une 3e alternative qui est une version de Chromium débarrassé pour de vrai de tous ses liens avec Google.

Ça s’appelle Ungoogled Chromium et ce browser conserve ainsi l’expérience utilisateur par défaut de Chromium, sans dépendances aux services web de Google (Google Host Detector, Google URL Tracker, Google Cloud Messaging, Google Hotwording, etc.), tout en offrant des tas d’options pour améliorer la confidentialité et le contrôle de vos données.

Dispo sous macOS, Windows et Linux, ce navigateur désactive également le service de Safe Browsing (donc attention), bloque les requêtes internes adressées à Google et ajoute même de nouvelles fonctionnalités visibles ici chrome://flags ou encore la possibilité de modifier l’URL appelée pour les suggestions liées au moteur de recherche utilisé (chrome://settings/searchEngines). Toutes les popups sont également ouvertes dans des onglets et j’en passe.

D’ailleurs, Ungoogled Chromium emprunte aussi de nombreuses modifications de portage de Chromium tels que Bromite, Iridium, Inox patchset et même la version intégrée à Debian.

C’est vraiment très complet et tous ces petits changements sont détaillés sur la page Github du projet.

GooFuzz – l’outil ultime pour explorer les trésors cachés du web

Par : Korben

Je suis tombé sur un outil absolument incroyable appelé GooFuzz qui est un script écrit en Bash et qui utilise des techniques avancées de recherche sur Google pour obtenir les informations sensibles contenues dans des fichiers ou des répertoires sans en faire de demandes au serveur web, donc sans laisser de traces (sauf chez Google). Dans les exemples donnés sur la page du projet, GooFuzz a permis de découvrir un trésor de documents et de pages web de la NASA, couvrant une variété de sujets allant de la mission Apollo 11 à des projets de recherche plus récents tels que ATTREX et POSIDON. Et tout ça grâce à GooFuzz !

Pour commencer, voici comment vous pouvez télécharger et installer GooFuzz en utilisant la commande suivante :

git clone https://github.com/m3n0sd0n4ld/GooFuzz.git

cd GooFuzz

chmod +x GooFuzz

./GooFuzz -h

Une fois installé, le script peut être utilisé pour lister les fichiers par extension, afficher les sous-domaines d’un domaine spécifié, spécifier un contenu pertinent dans des fichiers séparés par des virgules, exporter les résultats vers un fichier, etc.

L’utilisation de GooFuzz est incroyablement simple et accessible. Par exemple, pour lister les fichiers du site nasa.gov par extension, il suffit d’utiliser la commande suivante :

./GooFuzz -t nasa.gov -e wordlists/extensions.txt -d 30

GooFuzz parcourt alors le Web en utilisant la puissance de Google Dorks pour trouver les fichiers avec les extensions spécifiées et les présente sous forme de liens vers des fichiers pdf, xls, et doc.

Voici quelques exemples :

GooFuzz -t site.com -e pdf,doc,bak
GooFuzz -t site.com -e pdf -p 2
GooFuzz -t www.site.com -e extensionslist.txt
GooFuzz -t www.site.com -w config.php,admin,/images/
GooFuzz -t site.com -w wp-admin -p 1
GooFuzz -t site.com -w wordlist.txt
GooFuzz -t site.com -w login.html -x dev.site.com
GooFuzz -t site.com -w admin.html -x exclusion_list.txt
GooFuzz -t site.com -s -p 10 -d 5 -o GooFuzz-subdomains.txt
GooFuzz -t site.com -c P@ssw0rd!

Petit conseil : N’hésitez pas à utiliser une petite liste de mots pour mieux cibler les fichiers, les répertoires ou même utiliser certains paramètres spécifiques. Cela fera travailler GooFuzz plus efficacement et vous permettra de trouver des pépites absolument incroyables. Comme je vous le disais, vous pouvez également utiliser GooFuzz pour rechercher les sous-domaines d’un domaine spécifié. En créant un fichier « exclusion_list.txt » contenant les sous-domaines à exclure, il est possible de lancer la recherche en passant cette liste en paramètre. Les résultats de la recherche incluent des liens vers des pages, des guides d’utilisation, des manuels de référence, et des fichiers PDF.

Mais attention, ne tombez pas dans le côté obscur en utilisant GooFuzz pour des fins malveillantes. Souvenez-vous toujours de l’adage : « Avec de grands pouvoirs viennent de grandes responsabilités« . Soyez éthique et utilisez GooFuzz pour explorer et vous enrichir de connaissances, pas pour semer le chaos et la désolation ^^.

Enfin, si vous trouvez GooFuzz utile – et j’en suis sûr – vous pouvez aider l’auteur.

À découvrir ici !

ResearchGPT – Comment discuter avec un PDF grâce à l’IA ?

Par : Korben

Aujourd’hui, je vais vous parler d’une application vraiment cool qui va changer la façon dont vous interagissez avec les articles de recherche : ResearchGPT. Imaginez pouvoir poser une question à un article de recherche et obtenir une réponse pertinente en quelques secondes ! C’est exactement ce que fait cette application codée avec Flask.

Alors, comment ça marche ?

Et bien, vous pouvez tout simplement entrer un lien vers un PDF dispo en ligne ou uploader votre propre PDF. L’application va ensuite extraire le texte du PDF, créer des « embeddings » à partir du texte et les utiliser via l’API d’OpenAI pour générer une réponse cohérente à votre question. Et ce n’est pas tout : elle renvoie également la source de texte qu’elle a utilisée pour générer la réponse et le numéro de page.

Pour essayer la démo, rendez-vous ici.

Et si vous voulez l’installer vous-même, pas de problème ! Il vous suffit de cloner le dépôt GitHub, d’installer les dépendances et de définir votre clé API OpenAI en tant que variable d’environnement.

Voici un tutoriel pas à pas :

Clonez le dépôt GitHub et installez les dépendances :

git clone https://github.com/mukulpatnaik/researchgpt.git
pip install -r requirements.txt

Pensez ensuite à exporter votre clés API OpenAI comme ceci :

export OPENAI_API_KEY=votre-clé-API

Ensuite, y’a plus qu’à lancer le script comme ceci :

python main-local.py

Pour l’avoir testé, ça fonctionne plutôt bien et on peut comme ça, poser des questions ou récupérer l’info qui nous intéresse directement sans devoir se taper tout le document à lire. Et comme ça donne les accès rapide vers les endroits où se trouve l’info d’origine, c’est top.

Je suis également tombé sur ce script Python qui permet de faire à peu près la même chose mais je n’ai pas encore eu le temps de le tester. Je vous le partage quand même.

En tout cas, je pense que ce genre d’outil peut grandement aider les scientifiques, les journalistes ou les étudiants qui manipulent des tonnes de données planquées dans des PDFs (quelle idée !)

Plus d’infos ici.

Google pense que l’open source a déjà gagné la bataille de l’IA

Par : Korben

Pendant que vous étiez en train de roupiller cette nuit, un document interne de Google a fuité sur la toile, dévoilant les inquiétudes de l’entreprise quant à sa position dans la bataille de l’intelligence artificielle.

Ce document, intitulé « We Have No Moat, And Neither Does OpenAI » que je traduirais par « On n’a pas beaucoup d’avance et OpenAI non plus« , soulève des questions intéressantes sur la concurrence entre Google, OpenAI et surtout tout ce pan de l’IA open source.

Dans ce document, on y apprend que révèle que Google et OpenAI ne sont pas très bien positionnés pour remporter la course à l’IA. La véritable menace vient évidemment de l’IA open source, qui est en train de résoudre des problèmes majeurs sur lesquels Google et OpenAI se cassent encore les dents.

Je vous donne un exemple. En avril de cette année, Berkeley a lancé Koala, un modèle de dialogue entièrement entraîné avec des données librement disponibles, qui rivalise sérieusement avec ChatGPT puisque les gens qui l’ont testé préfèrent discuter avec Koala qu’avec ChatGPT. Ces modèles open source sont plus rapides, plus personnalisables, plus respectueux de la vie privée et, dans l’ensemble, plus performants. La plupart peuvent tourner sur n’importe quel PC un peu puissant. De plus, ces modèles open source sont développés pour 3 fois rien en terme de budget, ce qui réduit d’autant plus l’avantage compétitif de Google et OpenAI.

Du coup, Google craint que les modèles open source ne rendent leurs propres modèles obsolètes. Les modèles open source sont déjà comparables en termes de qualité aux leurs, et l’écart technologique se réduit comme peau de chagrin. En mars dernier, un modèle de 13 milliards de paramètres (Vicuna) a atteint le même niveau que Bard, l’IA proprio de Google.

Google admet donc dans ce document, qu’ils n’ont pas de « secret sauce » et que leur meilleure option est d’apprendre rapidement à collaborer avec des acteurs extérieurs et à faire de l’open source. Ils craignent également que les restrictions imposées par leurs propres modèles ne dissuadent les clients de les utiliser, surtout si des alternatives gratuites et sans restrictions sont disponibles. Je vous confirme que si j’ai le choix entre 2 modèles équivalent et que l’un peut dire tous les gros mots qu’il veut, c’est lui que je choisis ^^.

Google envisage donc plusieurs actions pour se positionner correctement dans cette course à l’IA:

  1. Tout d’abord faire passer en priorité les intégrations tierces. C’est à dire se concentrer sur l’apprentissage et la collaboration avec les acteurs de l’IA open source, tels que LLaMA, lancé par Meta et en faciliter l’intégration avec leurs propres produits.
  2. Repenser la valeur ajoutée de leur IA. Google doit réfléchir à ce qui les différencie réellement de la concurrence et de tous ces projets open source et trouver un moyen d’offrir une vraie valeur ajoutée à leurs clients.
  3. Réduire la taille des modèles. Google reconnaît que les modèles gigantesques qu’eux ou OpenAI proposent, les ralentissent et qu’ils et devraient sérieusement envisager de bosser avec des modèles plus petits et plus faciles à itérer, comme ceux développés dans le cadre du projet llama.cpp qui utilise une quantification 4 bits pour exécuter LLaMA sur un CPU de MacBook
  4. Enfin, collaborer avec la communauté open source. Google devrait se positionner en tant que leader dans la communauté open source et coopérer avec les autres acteurs pour favoriser à la fois l’innovation et la croissance. Par exemple, ils pourraient rejoindre des initiatives telles que GPT4All qui rassemble différents modèles au sein d’un même projet.

Alors, évidemment, ce document interne qui a fuite révèle un changement potentiel dans la stratégie de Google face à la montée en puissance de l’IA open source.

La stratégie d’utiliser l’open source pour forcer l’adoption de leurs projet a souvent fonctionné (je pense à Chrome ou à Visual Studio), donc pourquoi pas. Si Google considère que l’open source a gagné, alors tant mieux pour nous (collectivement) mais attention à ce que le monde de l’open source ne se repose pas sur ses lauriers en confiant le bébé à Google comme ils l’ont fait par exemple avec le moteur de navigateur de Chrome… Ce n’est qu’un exemple parmi tant d’autres.

Si vous voulez consulter ce document, la source est ici.

Google Authenticator – Attention à la synchronisation des données 2FA !!

Par : Korben

Cette semaine, tout le monde était super jouasse puisque Google Authenticator s’est vu ajouter une fonction permettant de sauvegarder les données 2FA dans le cloud Google et ainsi, en faciliter la restauration qu’on soit sous Android ou iOS.

Alors oui, ça semble super cool surtout pour ceux qui ont peur de perdre leurs données ou qui ont déjà perdu un smartphone. Mais ATTENTION !

Cette nouvelle option soulève pas mal de préoccupations en matière de confidentialité. D’après les chercheurs en sécurité de Mysk, il semblerait que les données ne soient pas chiffrées de bout en bout. Ainsi, Google pourrait voir et stocker les « secrets » (seed 2FA) sur ses serveurs, sans rien pour sécuriser ces informations.

C’est hyper inquiétant, car chaque code QR 2FA contient un secret qui est utilisé pour générer ces codes 2FA à usage unique. Si quelqu’un de mal intentionné obtient ce secret, il peut très facilement contourner la protection 2FA.

Le drame illustré en 3 actes :

Et même si je ne doute pas de la sécurité des serveurs chez Google, on sait tous que même les entreprises les plus préparées subissent parfois des fuites de données.

D’ailleurs, dans ce backup en route vers le cloud Google, on trouve également d’autres informations, telles que le nom du compte et le nom du service. Comme Google peut y accéder en clair, ils savent donc exactement quels services en ligne vous utilisez. Go la pub personnalisée !!

Et si vous demandez à Google un export de vos données personnelles, vous ne trouverez pas de trace de ces fameux secrets 2FA. Bref, j’ai l’impression qu’il sont tombés derrière l’armoire.

Les chercheurs conseillent donc de désactiver cette fonctionnalité de synchronisation jusqu’à ce que le chiffrement de bout en bout soit effectif (avec phrase de passe donc…)

Bref, maintenant vous savez. Une personne azerty en vaut deux… (roh roh roh)

Source.

Jarg – Une interface graphique pour Restic

Par : Korben

Vous vous souvenez de Restic que je vous ai présenté en 2020 ?

Ce logiciel permet de faire des backup sous forme de snapshot (object storage) localement ou sur des services distants type AWS S3, OpenStack Swift, BackBlaze B2, Microsoft Azure Blob Storage ou encore Google Cloud Storage sans oublier via SFTP.

Sauf que Restic, et bien c’est de la ligne de commande et je sais que certains d’entre vous sont allergiques à ça. Heureusement, il existe une interface graphique (moche) nommée Jarg qui devrait vous aider à prendre ça en main.

Il vous faudra évidemment télécharger et installer Restic avant de pouvoir utiliser cette application.

Capture d'écran de l'interface graphique Jarg pour Restic

Lors de votre première utilisation de Jarg, un profil « par défaut » sera alors créé, ainsi qu’un « répertoire restic » dans votre dossier utilisateur et c’est votre dossier courant qui sera utilisé comme source pour la sauvegarde.

Jarg exécutera alors les commandes Restic correspondantes à ce que vous voulez et affichera les résultats affichés sur la droite de l’interface.

Notez que niveau sécurité, Jarg ne chiffre pas pour le moment les mots de passe et les secrets S3 donc soyez prudent avec la sécurité de votre ordinateur.

Jarg est dispo sous macOS, Windows et Linux (soit vous compilez, soit vous utilisez l’AppImage) en cliquant ici.

aCropalypse – Pour retrouver les secrets de vos photos recadrées sur Google Pixel

Par : Korben

Allez, ce matin, on va se faire plaisir. Je vais vous parler de la faille sécurité CVE-2023-21036 connue également sous le nom aCropalypse. Cela touche principalement les gens qui ont des smartphones Google Pixel et qui s’amusent recadrer leurs photos.

Alors en quoi ça consiste ? Et bien cela permet de récupérer des données dans des fichiers PNG qui ont été tronqués. Ainsi, un attaquant pourrait, en exploitant cette faille, restaurer des informations personnelles qui auraient été retirées d’une image comme des adresses postales ou des données bancaires, le tout à partir d’images mises en ligne. Flippant (ou trop cool… lol) !!

Acropalypse
https://twitter.com/ItsSimonTime/status/1636857478263750656

Pour mieux comprendre, imaginez que vous preniez une capture d’écran d’un mail contenant votre adresse personnelle, puis que vous la recadriez pour ne montrer que le produit que vous avez acheté et masquer vos données personnelles. Grâce à cette faille, il est tout à fait possible de récupérer la partie supprimée de l’image, y compris votre adresse.

Alors comment fonctionne cette vulnérabilité ?

Et bien cela repose sur la compression zlib utilisée dans les fichiers PNG. Normalement, il est très difficile de décompresser des données compressées sans connaître l’arbre de Huffman utilisé pour effectuer cette compression. Toutefois, dans le cas spécifique de cette exploitation de faille, en trouvant le début d’un bloc de codage Huffman, il devient possible de le décompresser à partir de celui-ci.

L’algorithme utilisé est assez simple : il parcoure chaque décalage binaire et, lorsqu’un décalage correspondant au début d’un bloc de Huffman est trouvé, il tente de décompresser les données en le prenant comme point de départ. Ainsi, si les données se décompressent, c’est OK. Sinon, il passe au décalage suivant.

for each bit-offset:
    if it doesn't look like the start of a dynamic huffman block:
        skip this offset

    try decompressing from that offset:
        if the decompressed data looks plausible:
            return decompressed data!
    catch decompression errors:
        continue

Et voilà comment on récupère des données effacées sur des PNG.

Cette vulnérabilité est due à un problème d’API chez Google, où c’est l’option « w » (écriture) qui a été utilisée à la place de « wt » (écriture avec troncage). Par conséquent, l’image d’origine n’est pas tronquée lorsqu’elle est recadrée.

Et si vous voulez jouer avec, il y a un petit Proof of concept ici ou encore ce site qui permet de récupérer une image complète qui aurait été recadrée sur un Google Pixel. Ça promet :).

Bref, si la fonction « recadrage » que vous utilisez dans votre logiciel préféré passe par l’API de Google, soyez vigilant, le temps que ce problème soit corrigé.

Source

Pour ne plus tomber dans le piège des fake news

Par : Korben

C’est l’ami Rémouk qui me l’a fait remarqué lors du dernier Webosaures : Google News a intégré une section sur son site pour mettre en avant uniquement les « Fact Check« .

Ces articles, rédigés par des médias considérés comme sérieux, reprennent les fausses affirmations qui trainent sur le net, et tentent d’en démêler le vrai du faux.

Si je vous en parle aujourd’hui, c’est que je trouve ça cool pour plusieurs raisons. Tout d’abord, j’en peux plus de ces fake news, de ces ramassis de conneries et de tout ce que les assombris du bocal relaient toute la journée sur leurs réseaux sociaux ou sur des médias douteux.

Je pense vraiment qu’on devrait faire fermer tous ces sites qui font la promotion de ces fausses informations tant cela fait des dégâts dans notre société. Et également, dans le respect et avec beaucoup de tendresse, écarteler les gens qui relaient ces fake news.

Si je trouve ça bien que Google mette ce genre de chose en avant, c’est parce qu’il faut se rendre à l’évidence : La plupart des gens sont de grosses feignasses quand il s’agit de vérifier une information.

Par manque de temps bien sûr, et parce qu’à l’école, on ne leur a jamais vraiment appris à faire preuve d’esprit critique ou à aller au-delà de ce qu’on peut lire. Et même si je me souviens avoir appris à décomposer un article de presse, je n’ai jamais dans le cadre scolaire, appris à comprendre et analyser une information ou à déterminer la fiabilité d’un relai d’information.

Ainsi, dans la tête de la plupart d’entre nous, un article sur FranceTV Info, sur JeanMarcMorandini, sur FranceSoir, ou encore sur une page Facebook quelconque, a la même valeur, la même crédibilité car : « Vue sur Internet ».

Donc comme les gens sont ce qu’ils sont, et qu’on ne va pas se transformer en debunkeur du jour au lendemain, encore moins en croisant des sources, c’est plutôt cool qu’on mette ce genre d’information directement sous le nez de tout le monde.

Je tiens d’ailleurs à saluer les journalistes qui font, contre vents et marées, ce travail abominable de fact checking qui consiste dans la plupart des cas, à rappeler des évidences scientifiques en le sourçant pour se faire ensuite insulter sur Twitter par des centaines d’abrutis.

Alors même si je sais que les esprits les plus stupides proclament à longueur de journée que « EUX, font leurs propres recherches » et que l’ouverture de leur bouche est inversement proportionnelle à leur ouverture d’esprit, la vérité, c’est qu’ils cherchent que dalle et se contentent de répéter bêtement les âneries de leurs influenceurs hyper-stars (je vous laisse deviner lesquels).

Alors pour ceux qui peuvent encore être un peu sauvés, car pas dans la croyance, et qui se posent effectivement des questions, j’ai ce qu’il vous faut.

Grâce à Google, vous allez pouvoir vérifier si toutes les « informations » que Tata Corinne ou votre collègue Thierry relaient sur Facebook / Twitter / TikTok sont fondées. Ou si c’est juste un énorme étron mental qu’ils tentent d’insérer dans votre cerveau sans même en avoir conscience. Cela se passe sur ce site qui est tout simplement un moteur de recherche de fact checking.

Vous tapez le sujet qui vous tracasse et vous aurez des informations vérifiées et contre-vérifiées par des professionnels afin de pouvoir vraiment comprendre de quoi il en retourne.

Bref, vous n’aurez plus d’excuse pour lutter contre la bêtise qui vous entoure !

Et au nom de tous, merci d’avance pour vos efforts.

Pour augmenter ou basculer entre différents services de cartographie

Par : Korben

Quand vous devez consulter une carte d’un territoire ou d’une ville, sur quel site allez-vous ? Probablement Google Maps ? Si vous êtes libristes, plutôt OpenStreetMap.

Et si vous êtes en Chine, il y a des chances pour que ce soit Baidu Maps.

Bref, chacun a son service de cartographie préférée. Mais si je vous disais que maintenant vous n’avez plus besoin de choisir grâce à ce bookmarklet ?

Alors petit rappel pour les plus jeunes, un bookmarklet est un petit bout de JavaScript qui se place dans les favoris de votre navigateur et vous permet d’activer une fonctionnalité sur un site en cours.

Ainsi, vous pouvez aller sur Google Maps, OpenStreetMaps…etc, vous positionner sur l’endroit de votre choix, puis cliquer sur le bookmarklet pour avoir un accès rapide à des tas de services de cartographie qui vous renverront vers l’endroit que vous avez ciblé.

Mais ce n’est pas tout, puisque OpenSwitchMaps vous propose également d’activer différents outils sur votre carte. Ainsi, vous pourrez récupérer une image PNG de la zone, convertir des coordonnées GPS, lancer une recherche Flickr ou Twitter sur la zone ciblée, ouvrir un éditeur GPX, calculer des distances entre deux points…et ainsi de suite.

Alors comment ça s’utilise ? Et bien tout d’abord, ajoutez un signet (bookmarklet) à votre navigateur en faisant glisser le lien suivant vers votre barre de signets : OpenSwitchMaps Web.

Ou en ajoutant la fonction suivant dans un bookmark :

JavaScript:(function(){ window.location.href='https://tankaru.github.io/OpenSwitchMapsWeb/index.html#'+location.href;})();

Ensuite, ouvrez Google Maps ou un équivalent puis cliquez sur le bookmark. Et voilà, vous n’avez plus qu’à choisir le service qui vous intéresse.

C’est super intéressant et pratique si vous interagissez souvent avec des services de cartographie et je suis certain que vous allez découvrir plein de services cools.

Exporter les codes de Google Authenticator pour migrer vers un autre gestionnaire 2FA

Par : Korben

L’authentification double facteur ou 2FA est vraiment une mesure de sécurité que tout le monde doit mettre en place sur ses comptes pour éviter le pire en cas de fuite de mots de passe.

Cela consiste à obtenir sur son smartphone, un numéro unique qui change toutes les 30 secondes. Les applications 2FA sont nombreuses mais parmi les plus connues, il y a bien sur Authy de Twilio et Google Authenticator.

Authy dispose d’un module de sauvegarde mais Google Authenticator non. A la place, il y a une possibilité d’export qu’il faut penser à faire et qui vous affiche un unique QR Code contenant l’ensemble de vos comptes. Et il vous faudra bien évidemment le scanner à nouveau avec Google Authenticator pour tout récupérer d’un coup.

Mais que faire pour obtenir les liens otpauth uniques à chacun des sites importés pour pouvoir les importer dans un autre client 2FA ?

Et bien il y a un script qui s’appelle Gauth-Export qui permet à partir du QR Code d’export de Google Authenticator ou de son lien otpauth-migration, de récupérer toutes les URI otpauth de chacun de vos sites. C’est super pratique pour faire une migration en douceur vers un autre gestionnaire double facteur comme Authy, Lastpass Authenticator ou d’autres.

Vous pouvez récupérer ce script directement sur Github ou utiliser cette page statique.

Comment disparaître de Google ?

Par : Korben

Je ne vais rien vous apprendre si je vous dis que Google collecte vos données personnelles pour les utiliser et les revendre. Mais savez-vous comment vous protéger de Google ?

Il y a des centaines de petites techniques, mais aujourd’hui, j’ai choisi de vous en présenter 3 dans cette vidéo que mes soutiens Patreon ont eu le plaisir de voir avant tout le monde.

Je vais d’abord vous montrer comment bloquer facilement la collecte de données que Google nous impose sans rien installer sur votre ordinateur. Ensuite, comment faire retirer des résultats de recherche contenant vos infos personnelles. Et pour finir, mon astuce préférée qui consiste simplement à faire flouter votre domicile sur Google Street View.

Bref, des bons petits tips pour augmenter votre niveau de vie privée rapport à Google.

Écrire des scripts shell en Node.js avec Google ZX

Par : Korben

Si vous faites des scripts en bash, déjà ça veut dire que vous êtes une belle personne. Mais ça veut également dire que Google pense à vous.

En effet, cette petite entreprise qui un jour sera connue dans le monde entier, j’en suis sûr, a mis en ligne sur son Github un outil qui s’appelle ZX et qui permet d’écrire des scripts beaucoup plus simplement et beaucoup plus rapidement.

Reposant sur NodeJS, ZX ne perdra pas tous ceux qui sont déjà familiers avec JavaScript et Node.js. ZX a la particularité de faciliter la création de child_process et la gestion des messages sortants (stdout et stderr).

Prenons un exemple type hello world qui va utiliser la commande « ls » pour lister les fichiers d’un répertoire et récupérer la sortie de cette commande.

On va d’abord créer un répertoire :

mkdir hello
cd hello

Puis on va initialiser un nouveau projet dans le dossier :

npm init --yes

Ensuite, pour installer zx, il faudra passer par npm comme ceci :

npm install --save-dev zx

On va ensuite créer un script avec l’extension .mjs

nano hello.mjs

Dont voici le code… En gros, on initialise le shebang et y’a plus qu’à utiliser les fonctions de récupération des commandes comme elles sont décrites dans la documentation.

Ainsi, on importe la fonction $ (shell) et on lui passe la commande ls. On récupère la sortie (stdout) de ls dans la variable output et on affiche cette variable.

#! /usr/bin/env node

import { $ } from "zx";

const output = (await $`ls`).stdout;

console.log(output);

ZX est une façon agréable de faire des scripts bash avec NodeJS sans trop se prendre la tête. Vous pouvez même mixer ça avec de la doc en markdown pour exécuter le contenu « code » contenu dans un fichier .md.

Évidemment, je vous recommande lire la doc pour aller au-delà de mon petit exemple.

Ah et en bonus, pour les Patreons, je vous ai même fait un tuto en vidéo.

Merci de votre soutien !

❌