An anonymous reader quotes a report from MacRumors: iOS 18, iPadOS 18, and macOS Sequoia feature a new, dedicated Passwords app for faster access to important credentials. The Passwords app replaces iCloud Keychain, which is currently only accessible via a menu in Settings. Now, passwords are available directly via a standalone app for markedly quicker access, bringing it more in line with rival services. The Passwords app consolidates various credentials, including passwords, passkeys, and Wi-Fi passwords, into a single, easily accessible location. Users can filter and sort their accounts based on various criteria, such as recently created accounts, credential type, or membership in shared groups. Passwords is also compatible with Windows via the iCloud for Windows app, extending its utility to users who operate across different platforms. The developer beta versions of iOS 18, iPadOS 18, and macOS Sequoia are available today with official release to the public scheduled for the fall, providing an early look at the Passwords app.

Read more of this story at Slashdot.

Copycats are stepping up their attacks on small businesses. Sellers of products including merino socks and hummingbird feeders say they have lost customers to online scammers who use the legitimate business owners' videos, logos and social-media posts to assume their identities and steer customers to cheap knockoffs or simply take their money. WSJ: "We used to think you'd be targeted because you have a brand everywhere," said Alastair Gray, director of anticounterfeiting for the International Trademark Association, a nonprofit that represents brand owners. "It now seems with the ease at which these criminals can replicate websites, they can cut and paste everything." Technology has expanded the reach of even the smallest businesses, making it easy to court customers across the globe. But evolving technology has also boosted opportunities for copycats; ChatGPT and other advances in artificial intelligence make it easier to avoid language or spelling errors, often a signal of fraud. Imitators also have fine-tuned their tactics, including by outbidding legitimate brands for top position in search results. "These counterfeiters will market themselves just like brands market themselves," said Rachel Aronson, co-founder of CounterFind, a Dallas-based brand-protection company. Policing copycats is particularly challenging for small businesses with limited financial resources and not many employees. Online giants such as Amazon.com and Meta Platforms say they use technology to identify and remove misleading ads, fake accounts or counterfeit products.

Read more of this story at Slashdot.

Apple has announced visionOS 2 for its Vision Pro spatial computing headset, bringing mouse support, an ultrawide virtual Mac display option, and new Photo features. The company says it's expected to launch "later this year." The Verge reports: The most significant update, for all the productivity heads out there, is a new ultrawide virtual display feature. Apple says that in visionOS 2, you'll be able to connect a Vision Pro to a Mac to generate a dual 4K-equivalent curved ultrawide display. Right now, the virtual display feature only does a single up to 5K one. Also, the company will finally add mouse support to the Vision Pro -- at launch, the headset could work with trackpads like the one on a MacBook Air or the standalone Magic Trackpad 2, but oddly left out mouse support. You can still use one inside a mirrored display in the Vision Pro, but not outside of that screen in, say, an iPad or Vision Pro app. Apple says that in the new update, users will be able to convert any image in the Photos app to a spatial one. Also, visionOS 2 will have train support, so the Vision Pro's travel mode will no longer be limited to just airplanes. The company also says it's adding SharePlay to the visionOS Photos app, which means that you can share the app with another Vision Pro owner using Spatial Personas [...]. The company says Red Bull is making a new immersive sports series, while Apple is making its first scripted immersive feature. Apple also said that Canon is releasing a new spatial lens for the EOS R7, one designed specifically for creating content for the Vision Pro. Finally, the company is rolling out the Vision Pro abroad. Apple is going to start taking preorders in China, Hong Kong, Japan, and Singapore on June 13th at 6PM PT, and it'll be available in those countries on June 28th. Australia, Canada, France, Germany, and the UK will get preorders later, on June 28th at 5AM PT, with the headset officially available on July 12th.

Read more of this story at Slashdot.

Michael Larabel reports via Phoronix: Covered last week on Phoronix was a new patch from Intel that with tuning to the P-State CPU frequency scaling driver was showing big wins for Intel Core Ultra "Meteor Lake" performance and power efficiency. I was curious with the Intel claims posted for a couple benchmarks and thus over the weekend set out to run many Intel Meteor Lake benchmarks on this one-line kernel patch... The results are great for boosting the Linux performance of Intel Core ultra laptops with as much as 72% better performance. [...] When looking at the CPU power consumption overall, for the wide variety of workloads tested it was just a slight uptick in power use and thus overall leading to slightly better power efficiency too. See all the data here. So this is quite a nice one-line Linux kernel patch for Meteor Lake and will hopefully be mainlined to the Linux kernel for Linux 6.11 if not squeezing it in as a "fix" for the current Linux 6.10 cycle. It's just too bad though that it took six months after launch for this tuned EPP value to be determined. Fresh benchmarks between Intel Core Ultra and AMD Ryzen on the latest Linux software will be coming up soon on Phoronix.

Read more of this story at Slashdot.

Dimanche, allez voter !

Hier, la soirée était chargée avec le résultat des élections européennes – dominées par le Rassemblement national (RN) avec 31,37 % des voix (les résultats au niveau européen se trouvent par ici) – et l’annonce dans la foulée de la dissolution de l’Assemblée nationale. Un pouvoir dont dispose le président de la République.

Il n’avait pas été utilisé depuis 1997, lorsque Jacques Chirac avait dissous l’Assemblée nationale. Cela avait abouti à une cohabitation, avec Lionel Jospin comme Premier ministre. C’est maintenant l’enjeu de ces élections législatives : élire les députés, puis par ricochet désigner le Premier ministre. Il est nommé par le président, mais doit appartenir au groupe majoritaire.

Tout d’abord, un rappel sur les délais. L’article 12 de la Constitution stipule que, après une dissolution, « les élections générales ont lieu vingt jours au moins et quarante jours au plus après la dissolution ». On est donc dans la fourchette basse, mais dans la fourchette quand même.

Code électoral vs Constitution

Sur X, Jean-Jacques Urvoas (ex-garde des Sceaux et professeur de droit public) expliquait dimanche soir que les dates choisies étaient « curieuses ». Il citait le Code électoral qui explique que les déclarations de candidatures doivent être déposées « à la préfecture au plus tard à 18 heures le quatrième vendredi précédant le jour du scrutin ».

Un délai qui repousserait le premier tour au 7 juillet, alors qu’il est programmé pour le 30 juin. Très tôt lundi matin, il ajoutait que, « après recherche l’art. 12 de la Constitution écrase l’art L157 comme l’a jugé le Conseil Constitutionnel décision no 88-5 ELEC du 4 juin 1988 ».

« C’est donc le décret de convocation des électeurs qui règlera la question du délai de dépôt des candidatures pour les prochaines législatives », décret qui est désormais en ligne (n° 2024-527 du 9 juin) et apporte quelques précisions sur le déroulement des faits.

Le décret fixe les détails

On commence par un rappel du calendrier : « Les électeurs sont convoqués le dimanche 30 juin 2024 » et, « par dérogation aux dispositions de l’alinéa précédent, les électeurs sont convoqués le samedi 29 juin 2024 à Saint-Pierre-et-Miquelon, à Saint-Barthélemy, à Saint-Martin, en Guadeloupe, en Martinique, en Guyane, en Polynésie française et dans les bureaux de vote ouverts par les ambassades et postes consulaires situés sur le continent américain ». Le second tour se déroulera le 7 juillet, ou le 6 juillet pour les dérogations.

Il est précisé que « les déclarations de candidatures seront reçues par le représentant de l’État à partir du mercredi 12 et jusqu’au dimanche 16 juin 2024 à 18 heures (heure légale locale) ». Pour le second tour, les déclarations seront à déposer à partir de la publication des résultats et jusqu’au mardi 2 juillet 2024 à 18h. La campagne électorale débutera dans la foulée, soit à partir du « lundi 17 juin 2024 à zéro heure ».

Pas d’inscription sur les listes, vote électronique

Le décret ne permet par contre pas de s’inscrire sur les listes électorales : « L’élection aura lieu à partir des listes électorales et des listes électorales consulaires extraites du répertoire électoral unique et à jour des tableaux prévus aux articles R. 13 et R.14 du Code électoral telles qu’arrêtées à la date du présent décret ». Une exception : « Toutefois, en Nouvelle-Calédonie, l’élection aura lieu à partir des listes électorales arrêtées le 29 février 2024 ».

Vous pouvez vérifier votre situation électorale sur cette page. Pour une procuration, c’est par là que ça se passe.

L’Article 10 précise que « le vote par voie électronique pour l’élection des députés des Français établis hors de France est ouvert le mardi précédant la date du scrutin, à 12 heures, et clos le jeudi précédant le scrutin, à 12 heures ».

L’Arcom commence son décompte demain matin

De son côté, l’Arcom explique que, « compte tenu de la brièveté de cette campagne, [l’autorité] appelle les éditeurs à une particulière vigilance quant au respect des règles en vigueur ». Elle leur demande de commencer les décomptes liés à l’élection à compter de ce mardi 11 juin 2024, dès 6h.

« Le principe de l’équité s’applique pendant toute la période précédant le scrutin. Afin de corriger d’éventuels déséquilibres des temps de parole dans les délais impartis, les médias audiovisuels devront transmettre les relevés à l’Arcom deux fois par semaine à compter du 17 juin 2024 pour ce qui concerne le premier tour », précise enfin l’Autorité.

Dimanche, allez voter !

Hier, la soirée était chargée avec le résultat des élections européennes – dominées par le Rassemblement national (RN) avec 31,37 % des voix (les résultats au niveau européen se trouvent par ici) – et l’annonce dans la foulée de la dissolution de l’Assemblée nationale. Un pouvoir dont dispose le président de la République.

Il n’avait pas été utilisé depuis 1997, lorsque Jacques Chirac avait dissous l’Assemblée nationale. Cela avait abouti à une cohabitation, avec Lionel Jospin comme Premier ministre. C’est maintenant l’enjeu de ces élections législatives : élire les députés, puis par ricochet désigner le Premier ministre. Il est nommé par le président, mais doit appartenir au groupe majoritaire.

Tout d’abord, un rappel sur les délais. L’article 12 de la Constitution stipule que, après une dissolution, « les élections générales ont lieu vingt jours au moins et quarante jours au plus après la dissolution ». On est donc dans la fourchette basse, mais dans la fourchette quand même.

Code électoral vs Constitution

Sur X, Jean-Jacques Urvoas (ex-garde des Sceaux et professeur de droit public) expliquait dimanche soir que les dates choisies étaient « curieuses ». Il citait le Code électoral qui explique que les déclarations de candidatures doivent être déposées « à la préfecture au plus tard à 18 heures le quatrième vendredi précédant le jour du scrutin ».

Un délai qui repousserait le premier tour au 7 juillet, alors qu’il est programmé pour le 30 juin. Très tôt lundi matin, il ajoutait que, « après recherche l’art. 12 de la Constitution écrase l’art L157 comme l’a jugé le Conseil Constitutionnel décision no 88-5 ELEC du 4 juin 1988 ».

« C’est donc le décret de convocation des électeurs qui règlera la question du délai de dépôt des candidatures pour les prochaines législatives », décret qui est désormais en ligne (n° 2024-527 du 9 juin) et apporte quelques précisions sur le déroulement des faits.

Le décret fixe les détails

On commence par un rappel du calendrier : « Les électeurs sont convoqués le dimanche 30 juin 2024 » et, « par dérogation aux dispositions de l’alinéa précédent, les électeurs sont convoqués le samedi 29 juin 2024 à Saint-Pierre-et-Miquelon, à Saint-Barthélemy, à Saint-Martin, en Guadeloupe, en Martinique, en Guyane, en Polynésie française et dans les bureaux de vote ouverts par les ambassades et postes consulaires situés sur le continent américain ». Le second tour se déroulera le 7 juillet, ou le 6 juillet pour les dérogations.

Il est précisé que « les déclarations de candidatures seront reçues par le représentant de l’État à partir du mercredi 12 et jusqu’au dimanche 16 juin 2024 à 18 heures (heure légale locale) ». Pour le second tour, les déclarations seront à déposer à partir de la publication des résultats et jusqu’au mardi 2 juillet 2024 à 18h. La campagne électorale débutera dans la foulée, soit à partir du « lundi 17 juin 2024 à zéro heure ».

Pas d’inscription sur les listes, vote électronique

Le décret ne permet par contre pas de s’inscrire sur les listes électorales : « L’élection aura lieu à partir des listes électorales et des listes électorales consulaires extraites du répertoire électoral unique et à jour des tableaux prévus aux articles R. 13 et R.14 du Code électoral telles qu’arrêtées à la date du présent décret ». Une exception : « Toutefois, en Nouvelle-Calédonie, l’élection aura lieu à partir des listes électorales arrêtées le 29 février 2024 ».

Vous pouvez vérifier votre situation électorale sur cette page. Pour une procuration, c’est par là que ça se passe.

L’Article 10 précise que « le vote par voie électronique pour l’élection des députés des Français établis hors de France est ouvert le mardi précédant la date du scrutin, à 12 heures, et clos le jeudi précédant le scrutin, à 12 heures ».

L’Arcom commence son décompte demain matin

De son côté, l’Arcom explique que, « compte tenu de la brièveté de cette campagne, [l’autorité] appelle les éditeurs à une particulière vigilance quant au respect des règles en vigueur ». Elle leur demande de commencer les décomptes liés à l’élection à compter de ce mardi 11 juin 2024, dès 6h.

« Le principe de l’équité s’applique pendant toute la période précédant le scrutin. Afin de corriger d’éventuels déséquilibres des temps de parole dans les délais impartis, les médias audiovisuels devront transmettre les relevés à l’Arcom deux fois par semaine à compter du 17 juin 2024 pour ce qui concerne le premier tour », précise enfin l’Autorité.

Apple is bringing ChatGPT, OpenAI's AI-powered chatbot experience, to Siri and other first-party apps and capabilities across its operating systems. From a report: "We're excited to partner with Apple to bring ChatGPT to their users in a new way," OpenAI CEO Sam Altman said in a statement. "Apple shares our commitment to safety and innovation, and this partnership aligns with OpenAI's mission to make advanced AI accessible to everyone." Soon, Siri will be able to tap ChatGPT for "expertise" where it might be helpful, Apple says. For example, if you need menu ideas for a meal to make for friends using some ingredients from your garden, you can ask Siri, and Siri will automatically feed that info to ChatGPT for an answer after you give it permission to do so. You can include photos with the questions you ask ChatGPT via Siri, or ask questions related to your docs or PDFs. Apple's also integrated ChatGPT into system-wide writing tools like Writing Tools, which lets you create content with ChatGPT -- including images -- or ask an initial idea and send it to ChatGPT to get a revision or variation back. Apple said ChatGPT within Apple's apps is free and data isn't being shared with the Microsoft-backed firm. ChatGPT subscribers can connect their accounts and access paid features right from these experiences, the company said. Apple Intelligence -- Apple's efforts to combine the power of generative models with personal context -- is free to Apple device owners but works with "iOS 18" on iPhone 15 Pro, macOS 15 and iPadOS 17.

Read more of this story at Slashdot.

An anonymous reader quotes a report from Ars Technica: Internet service providers are again urging the Federal Communications Commission to impose new fees on Big Tech firms and use the money to subsidize broadband network deployment and affordability programs. If approved, the request would force Big Tech firms to pay into the FCC's Universal Service Fund (USF), which in turn distributes money to broadband providers. The request was made on June 6 by USTelecom, a lobby group for AT&T, Verizon, CenturyLink/Lumen, and smaller telcos. USTelecom has made similar arguments before, but its latest request to the FCC argues that the recent death of a broadband discount program should spur the FCC to start extracting money from Big Tech. "Through focusing on the Big Tech companies who benefit most from broadband connectivity, the Commission will fairly allocate the burden of sustaining USF," USTelecom wrote in the FCC filing last week. The USF spends about $8 billion a year. Phone companies must pay a percentage of their revenue into the fund, and telcos generally pass those fees on to consumers with a "Universal Service" line item on telephone bills. The money is directed back to the telco industry with programs like the Connect America Fund and Rural Digital Opportunity Fund, which subsidize network construction in unserved and underserved areas. The USF also funds Lifeline program discounts for people with low incomes. FCC Chairwoman Jessica Rosenworcel hasn't stated any intention to expand USF contributions to Big Tech. Separately, she rejected calls to impose Universal Service fees on broadband, leaving phone service as the only source of USF revenue. The USTelecom filing came in response to the FCC asking for input on its latest analysis of competition in the communications marketplace. USTelecom says the USF is relevant to the proceeding because "the Universal Service Fund is critical for maintaining a competitive marketplace and an expanded contributions base is necessary to sustain the fund." No changes to the USF would be made in this proceeding, though USTelecom's comments could be addressed in the FCC's final report.

Read more of this story at Slashdot.

Apple has announced that its Messages app will support RCS in iOS 18. From a report: The new standard will replace SMS as the default communication protocol between Android and iOS devices. The move comes after years of taunting, cajoling, and finally, some regulatory scrutiny from the EU. Right now, when people on iOS and Android message each other, the service falls back to SMS -- photos and videos are sent at a lower quality, messages are shortened, and importantly, conversations are not end-to-end encrypted like they are in iMessage. Messages from Android phones show up as green bubbles in iMessage chats and chaos ensues.

Read more of this story at Slashdot.

As rumored, Apple today unveiled Apple Intelligence, its long-awaited push into generative artificial intelligence (AI), promising highly personalized experiences built with safety and privacy at its core. The feature, referred to as "A.I.", will be integrated into Apple's various operating systems, including iOS, macOS, and the latest, VisionOS. CEO Tim Cook said that Apple Intelligence goes beyond artificial intelligence, calling it "personal intelligence" and "the next big step for Apple." Apple Intelligence is built on large language and intelligence models, with much of the processing done locally on the latest Apple silicon. Private Cloud Compute is being added to handle more intensive tasks while maintaining user privacy. The update also includes significant changes to Siri, Apple's virtual assistant, which will now support typed queries and deeper integration into various apps, including third-party applications. This integration will enable users to perform complex tasks without switching between multiple apps. Apple Intelligence will roll out to the latest versions of Apple's operating systems, including iOS and iPadOS 18, macOS Sequoia, and visionOS 2.

Read more of this story at Slashdot.

At its Worldwide Developers Conference, Apple formally introduced macOS 15, codenamed "Sequoia." The new release combines features from iOS 18 with Mac-specific improvements. One notable addition is automated window tiling, allowing users to arrange windows on their screen without manual resizing or switching to full-screen mode. Another feature, iPhone Mirroring, streams the iPhone's screen to the Mac, enabling app use with the Mac's keyboard and trackpad while keeping the phone locked for privacy. Gamers will appreciate the second version of Apple's Game Porting Toolkit, simplifying the process of bringing Windows games to macOS and vice versa. Sequoia also incorporates changes from iOS and iPadOS, such as RCS support and expanded Tapback reactions in Messages, a redesigned Calculator app, and the Math Notes feature for typed equations in Notes. Additionally, all Apple platforms and Windows will receive a new Passwords app, potentially replacing standalone password managers. A developer beta of macOS Sequoia is available today, with refined public betas coming in July and a full release planned for the fall.

Read more of this story at Slashdot.

A group of Israeli researchers explored the security of the Visual Studio Code marketplace and managed to "infect" over 100 organizations by trojanizing a copy of the popular 'Dracula Official theme to include risky code. Further research into the VSCode Marketplace found thousands of extensions with millions of installs. From a report: Visual Studio Code (VSCode) is a source code editor published by Microsoft and used by many professional software developers worldwide. Microsoft also operates an extensions market for the IDE, called the Visual Studio Code Marketplace, which offers add-ons that extend the application's functionality and provide more customization options. Previous reports have highlighted gaps in VSCode's security, allowing extension and publisher impersonation and extensions that steal developer authentication tokens. There have also been in-the-wild findings that were confirmed to be malicious.

Read more of this story at Slashdot.

Sierra Forest, voilà un nom qui vous est peut-être familier. En effet, Intel nous avait présenté le bousin en fin mars 2023 avec un objectif de taille : toper les 288 cœurs par socket. Pour cela, le fondeur de Santa Clara est allé chercher dans ses tiroirs la meilleure architecture en sa possession...

Security researchers say they believe financially motivated cybercriminals have stolen a "significant volume of data" from hundreds of customers hosting their vast banks of data with cloud storage giant Snowflake. TechCrunch: Incident response firm Mandiant, which is working with Snowflake to investigate the recent spate of data thefts, said in a blog post Monday that the two firms have notified around 165 customers that their data may have been stolen. It's the first time that the number of affected Snowflake customers has been disclosed since the account hacks began in April. Snowflake has said little to date about the attacks, only that a "limited number" of its customers are affected. The cloud data giant has more than 9,800 corporate customers, like healthcare organizations, retail giants and some of the world's largest tech companies, which use Snowflake for data analytics.

Read more of this story at Slashdot.

Computex 2024 — L’édition 2024 du Computex s’est clôturée il y a quelques jours. Comme chaque année, de nombreuses marques ont profité du salon pour exposer leurs nouveautés : boîtiers, claviers, écrans, etc... [Tout lire]

Ia pas d'entrainement

L’éditeur de Photoshop et de Lightroom a changé ses conditions d’utilisation en février dernier. Mais des utilisateurs anglophones ont repéré dans ce texte qu’Adobe leur demandait d’accepter l’utilisation de « méthodes automatiques » pour « accéder, voir et écouter » leurs contenus. Après plusieurs messages massivement diffusés sur les réseaux sociaux, l’entreprise dément utiliser les données de ses utilisateurs pour entrainer ses modèles d’IA.

Adobe a changé ses conditions d’utilisation en février dernier en modifiant notamment la sous-section « Notre accès à votre Contenu » de la partie concernant la « Confidentialité ». Comme souvent maintenant, l’entreprise conditionne l’utilisation de ses services à l’acceptation des nouvelles conditions.

Si, jusque-là, celles-ci n’avaient pas fait réagir, la semaine dernière, des internautes anglophones et hispanophones ont tiqué sur plusieurs phrases. Ils interprétaient ces modifications comme le fait qu’Adobe se donner la possibilité d’entrainer ses IA sur leurs contenus, et notamment ceux stockés dans « Creative Cloud » et « Document Cloud ».

So am I reading this, right? @Adobe @Photoshop

I can't use Photoshop unless I'm okay with you having full access to anything I create with it, INCLUDING NDA work? pic.twitter.com/ZYbnFCMlkE

— Sam Santala (@SamSantala) June 5, 2024

I just got an update on @Adobe terms of service saying they'll have irestric acess to eveything I use, upload or download with their services for Machine Learning;

This means every copywrighted material I have in my possession is being used by Adobe AI Model pic.twitter.com/DHk4wk755Q

— thiagocrocha.bsky.social (@Thiagocrocha_) June 4, 2024

Il faut dire qu’Adobe a injecté beaucoup d’IA dans ces outils ces derniers temps en lançant officiellement Firefly.

Comme de nombreux outils actuellement, Firefly utilise l’IA générative. Elle permet, par exemple, d’ajouter des objets dans une image rien qu’avec un prompt ou d’étendre une image en générant une continuité hors cadre original.

Méfiance et tournure confuse

Pas d’échappement, pas de pot

Une importante faille de sécurité a été découverte dans plusieurs versions de PHP sous Windows, où l’exploitation est jugée triviale. Les personnes ayant installé un serveur avec XAMPP sont encouragées à modifier leur configuration, aucune nouvelle version n’étant pour l’instant disponible.

La vulnérabilité, estampillée CVE-2024-4577, affecte toutes les versions de PHP fonctionnant sur Windows. Elle concerne les versions 8.3 avant 8.3.8, 8.2 avant 8.2.20 et 8.1 avant 8.1.29. Toutes les moutures du langage sont touchées, y compris les plus anciennes. Les branches 8.0, 7 et 5 sont ainsi impactées, mais ne sont plus entretenues.

La faille a été découverte par Orange Tsai, chercheur en sécurité chez DevCore. Elle réside dans la conjonction d’un problème de vérification dans PHP et du fonctionnement d’un mécanisme de Windows, nommé best-fit. Ce dernier est responsable de la conversion du codage des caractères.

Pour un simple trait d’union invisible

Pour comprendre le fonctionnement de la faille, expliquons d’abord le concept d’échappement. Ce processus permet de convertir une partie des entrées utilisateur pour en retirer tout ce qui pourrait être interprété de travers. Cas classique, les symboles < et >, convertis dans leur équivalent en hexadécimal, afin de ne pas créer par inadvertance des balises web, selon l’utilisation.

Dans le cas de Best Fit, certains caractères ne sont pas échappés. Le trait d’union conditionnel (ou virtuel) est ainsi cité. Il s’agit d’un caractère invisible servant à indiquer où un mot a le droit d’être coupé pour créer un trait d’union. C’est ce type de caractère que l’on trouve parfois dans des noms de domaines pour afficher un nom paraissant légitime, mais renvoyant vers un faux site. Best Fit modifie notamment la valeur du trait d’union conditionnel (0xAD) en trait d’union classique (0x2D).

Pour le mode CGI uniquement

PHP peut fonctionner dans plusieurs modes. Seul le mode CGI est concerné par la faille, alors même qu’il a été conçu pour la sécurité, l’interprétation du code se faisant dans un processus distinct.

« Il s’avère que, dans le cadre du traitement d’Unicode, PHP applique ce que l’on appelle une correspondance « best fit », et suppose que, lorsque l’utilisateur a saisi un trait d’union virtuel, il avait en fait l’intention de saisir un véritable trait d’union, et l’interprète en tant que tel. C’est là que réside notre vulnérabilité. Si nous fournissons à un gestionnaire CGI un trait d’union virtuel (0xAD), le gestionnaire CGI ne ressentira pas le besoin de l’échapper, et le transmettra à PHP », pointent les chercheurs de WatchTowr.

Vous devinez la suite : PHP va l’interpréter comme un vrai trait d’union. Un changement simple en apparence, mais déterminant, le trait d’union servant à introduire des arguments dans les commandes.

Les chercheurs soulignent que le mécanisme est « remarquablement similaire » à une vieille faille de PHP en 2012. L’équipe de développement ne semble pas avoir pensé à Best Fit sous Windows, permettant de reprendre les codes d’exploitation d’il y a 12 ans et d’y apporter quelques modifications pour les faire fonctionner. Il s’agit d’une attaque par injection d’arguments, comme en 2012.

Une faille critique, avec quelques conditions

La faille est critique, dans le sens où une installation vulnérable peut être utilisée pour déclencher une exécution de code arbitraire à distance, sans intervention de l’utilisateur. En pratique, il faut quand même que quelques conditions soient réunies.

Par défaut, PHP n’est pas installé sur Windows. Pour qu’il le soit, il faut avoir installé un serveur, comme XAMPP, cité par les chercheurs. Il faut en outre que PHP fonctionne en mode CGI, un usage devenu minoritaire (largement remplacé par FastCGI). Mais attention, exposer le binaire PHP (php.exe ou php-cgi.exe) dans un dossier accessible au serveur web permet aussi l’exploitation de la faille. C’est malheureusement la configuration par défaut de XAMPP, qui n’est plus mis à jour depuis plus d’un an.

Les chercheurs ont par ailleurs attesté l’exploitation de la faille – tout en donnant la méthode – sur les versions chinoises (traditionnel et simplifié) et japonaise de Windows. Ils disent ne pas savoir si l’exploitation peut se faire sur d’autres variantes linguistiques. Ils ajoutent avoir été confrontés à une trop grande variation des configurations, d’autant qu’il n’est pas simple, depuis l’extérieur, de savoir dans quelle langue un système est configuré.

Toutes les personnes ayant un serveur PHP sont invitées à vérifier sa configuration et à installer la version plus récente de PHP.

Les pirates sont vite partis à l’assaut

Révélée vendredi avec de nombreuses précisions par DevCore, la faille a rapidement fait l’objet d’une recherche active de victimes. C’est ce qu’a indiqué la Shadowserver Foundation dès vendredi après-midi.

L’exploitation est simple à réaliser et les pirates peuvent tabler sur l’installation par défaut de XAMPP (qui n’est pas censé être utilisé en production, s’agissant avant tout d’un environnement de test) pour exposer les binaires PHP. La situation pour les systèmes Windows dans d’autres langues que celles testées par DevCore n’est pas claire, mais rien ne s’oppose – en théorie – à une exploitation sur tout type de configuration.

Ia pas d'entrainement

L’éditeur de Photoshop et de Lightroom a changé ses conditions d’utilisation en février dernier. Mais des utilisateurs anglophones ont repéré dans ce texte qu’Adobe leur demandait d’accepter l’utilisation de « méthodes automatiques » pour « accéder, voir et écouter » leurs contenus. Après plusieurs messages massivement diffusés sur les réseaux sociaux, l’entreprise dément utiliser les données de ses utilisateurs pour entrainer ses modèles d’IA.

Adobe a changé ses conditions d’utilisation en février dernier en modifiant notamment la sous-section « Notre accès à votre Contenu » de la partie concernant la « Confidentialité ». Comme souvent maintenant, l’entreprise conditionne l’utilisation de ses services à l’acceptation des nouvelles conditions.

Si, jusque-là, celles-ci n’avaient pas fait réagir, la semaine dernière, des internautes anglophones et hispanophones ont tiqué sur plusieurs phrases. Ils interprétaient ces modifications comme le fait qu’Adobe se donner la possibilité d’entrainer ses IA sur leurs contenus, et notamment ceux stockés dans « Creative Cloud » et « Document Cloud ».

So am I reading this, right? @Adobe @Photoshop

I can't use Photoshop unless I'm okay with you having full access to anything I create with it, INCLUDING NDA work? pic.twitter.com/ZYbnFCMlkE

— Sam Santala (@SamSantala) June 5, 2024

I just got an update on @Adobe terms of service saying they'll have irestric acess to eveything I use, upload or download with their services for Machine Learning;

This means every copywrighted material I have in my possession is being used by Adobe AI Model pic.twitter.com/DHk4wk755Q

— thiagocrocha.bsky.social (@Thiagocrocha_) June 4, 2024

Il faut dire qu’Adobe a injecté beaucoup d’IA dans ces outils ces derniers temps en lançant officiellement Firefly.

Comme de nombreux outils actuellement, Firefly utilise l’IA générative. Elle permet, par exemple, d’ajouter des objets dans une image rien qu’avec un prompt ou d’étendre une image en générant une continuité hors cadre original.

Méfiance et tournure confuse

Pas d’échappement, pas de pot

Une importante faille de sécurité a été découverte dans plusieurs versions de PHP sous Windows, où l’exploitation est jugée triviale. Les personnes ayant installé un serveur avec XAMPP sont encouragées à modifier leur configuration, aucune nouvelle version n’étant pour l’instant disponible.

La vulnérabilité, estampillée CVE-2024-4577, affecte toutes les versions de PHP fonctionnant sur Windows. Elle concerne les versions 8.3 avant 8.3.8, 8.2 avant 8.2.20 et 8.1 avant 8.1.29. Toutes les moutures du langage sont touchées, y compris les plus anciennes. Les branches 8.0, 7 et 5 sont ainsi impactées, mais ne sont plus entretenues.

La faille a été découverte par Orange Tsai, chercheur en sécurité chez DevCore. Elle réside dans la conjonction d’un problème de vérification dans PHP et du fonctionnement d’un mécanisme de Windows, nommé best-fit. Ce dernier est responsable de la conversion du codage des caractères.

Pour un simple trait d’union invisible

Pour comprendre le fonctionnement de la faille, expliquons d’abord le concept d’échappement. Ce processus permet de convertir une partie des entrées utilisateur pour en retirer tout ce qui pourrait être interprété de travers. Cas classique, les symboles < et >, convertis dans leur équivalent en hexadécimal, afin de ne pas créer par inadvertance des balises web, selon l’utilisation.

Dans le cas de Best Fit, certains caractères ne sont pas échappés. Le trait d’union conditionnel (ou virtuel) est ainsi cité. Il s’agit d’un caractère invisible servant à indiquer où un mot a le droit d’être coupé pour créer un trait d’union. C’est ce type de caractère que l’on trouve parfois dans des noms de domaines pour afficher un nom paraissant légitime, mais renvoyant vers un faux site. Best Fit modifie notamment la valeur du trait d’union conditionnel (0xAD) en trait d’union classique (0x2D).

Pour le mode CGI uniquement

PHP peut fonctionner dans plusieurs modes. Seul le mode CGI est concerné par la faille, alors même qu’il a été conçu pour la sécurité, l’interprétation du code se faisant dans un processus distinct.

« Il s’avère que, dans le cadre du traitement d’Unicode, PHP applique ce que l’on appelle une correspondance « best fit », et suppose que, lorsque l’utilisateur a saisi un trait d’union virtuel, il avait en fait l’intention de saisir un véritable trait d’union, et l’interprète en tant que tel. C’est là que réside notre vulnérabilité. Si nous fournissons à un gestionnaire CGI un trait d’union virtuel (0xAD), le gestionnaire CGI ne ressentira pas le besoin de l’échapper, et le transmettra à PHP », pointent les chercheurs de WatchTowr.

Vous devinez la suite : PHP va l’interpréter comme un vrai trait d’union. Un changement simple en apparence, mais déterminant, le trait d’union servant à introduire des arguments dans les commandes.

Les chercheurs soulignent que le mécanisme est « remarquablement similaire » à une vieille faille de PHP en 2012. L’équipe de développement ne semble pas avoir pensé à Best Fit sous Windows, permettant de reprendre les codes d’exploitation d’il y a 12 ans et d’y apporter quelques modifications pour les faire fonctionner. Il s’agit d’une attaque par injection d’arguments, comme en 2012.

Une faille critique, avec quelques conditions

La faille est critique, dans le sens où une installation vulnérable peut être utilisée pour déclencher une exécution de code arbitraire à distance, sans intervention de l’utilisateur. En pratique, il faut quand même que quelques conditions soient réunies.

Par défaut, PHP n’est pas installé sur Windows. Pour qu’il le soit, il faut avoir installé un serveur, comme XAMPP, cité par les chercheurs. Il faut en outre que PHP fonctionne en mode CGI, un usage devenu minoritaire (largement remplacé par FastCGI). Mais attention, exposer le binaire PHP (php.exe ou php-cgi.exe) dans un dossier accessible au serveur web permet aussi l’exploitation de la faille. C’est malheureusement la configuration par défaut de XAMPP, qui n’est plus mis à jour depuis plus d’un an.

Les chercheurs ont par ailleurs attesté l’exploitation de la faille – tout en donnant la méthode – sur les versions chinoises (traditionnel et simplifié) et japonaise de Windows. Ils disent ne pas savoir si l’exploitation peut se faire sur d’autres variantes linguistiques. Ils ajoutent avoir été confrontés à une trop grande variation des configurations, d’autant qu’il n’est pas simple, depuis l’extérieur, de savoir dans quelle langue un système est configuré.

Toutes les personnes ayant un serveur PHP sont invitées à vérifier sa configuration et à installer la version plus récente de PHP.

Les pirates sont vite partis à l’assaut

Révélée vendredi avec de nombreuses précisions par DevCore, la faille a rapidement fait l’objet d’une recherche active de victimes. C’est ce qu’a indiqué la Shadowserver Foundation dès vendredi après-midi.

L’exploitation est simple à réaliser et les pirates peuvent tabler sur l’installation par défaut de XAMPP (qui n’est pas censé être utilisé en production, s’agissant avant tout d’un environnement de test) pour exposer les binaires PHP. La situation pour les systèmes Windows dans d’autres langues que celles testées par DevCore n’est pas claire, mais rien ne s’oppose – en théorie – à une exploitation sur tout type de configuration.