Vue lecture

↗️

Here's a statement from Valve on the reported Steam data breach

✇Liens en vrac de sebsauvage
On entend que Steam s'est fait pirater, avec 89 millions de mots de passe dans la nature. Steam dément et annonce que ce qui a été piraté, ce sont des SMS de second facteur pour la connexion à Steam, un code qui n'est valable que 15 minutes et ne peut pas être réutilisé. Il n'y avait que le code et le numéro de téléphone, non associé au compte Steam correspondant. C'est le prestataire SMS de Steam, Twilio, qui aurait eu une fuite. Valve estime qu'il n'est pas nécessaire de changer son mot de passe Steam.
(Permalink)
  •  
  • ↗️
↗️

La version 2.2 de LDAP Synchronization Connector est là !

✇LinuxFr.org : les dépêches
Par :KPTN · Xavier Teyssier · palm123

LDAP Synchronization Connector (LSC) est un outil de synchronisation de données entre référentiels d'identités (annuaires LDAP, bases de données, API REST, …) disponible sous licence BSD.

Logo LSC

Ce logiciel a été créé il y a plus de 20 ans et est déployé dans de très nombreuses organisations qui l'utilisent le plus souvent pour alimenter les comptes et groupes dans leur annuaire d'entreprise depuis leur outil RH, ou bien pour synchroniser les données entre OpenLDAP et Active Directory.

La version 2.2, en préparation depuis plusieurs années, a enfin vu le jour en ce mois d'avril 2025, grâce au travail de la société Worteks et à l'aide du programme NGI Commons de NLnet.

Configuration par variables d'environnement

La configuration de LSC se fait dans un fichier XML. Il est désormais possible d'y mettre des variables d'environnement pour par exemple passer facilement d'un environnement à un autre ou récupérer des secrets à la volée.

Voir la documentation

Hooks

Il existait déjà un plugin LSC nommé Executable qui lançait des scripts pour les ajouts/suppressions/modifications/renommages, rendant le logiciel compatible avec tous les référentiels si tant est qu'on puisse exécuter une commande pour s'y connecter.

Mais le nouveau système de hook est différent : cette fois-ci les opérations sont bien réalisées avec le connecteur natif (mais aussi pourquoi pas avec le plugin Executable) et en cas de succès, pour chaque opération et entrée, une commande est lancée.

Un cas d'usage bien connu est l'envoi d'un mail lors de la création d'un compte.

Voir la documentation

Transformation de pivot

Le pivot est la valeur qui relie une entrée en source avec une entrée en destination. Si ces deux entrées ont la même valeur de pivot, alors LSC considère que c'est la même et applique les modifications. Sinon les entrées sont créées ou supprimées.

Cependant il arrive que la valeur soit un peu différente entre la source et la destination (majuscules, minuscules, préfixe, suffixe, …), il faut donc transformer cette valeur dans un sens, puis dans l'autre.

Voir la documentation

Version de Java

LSC 2.1 était bloqué à la version 8 de Java, ce qui devenait problématique. LSC 2.2 est désormais compatible avec Java 21.

GraalVM

Les JavaScripts utilisés pour transformer les valeurs peuvent désormais être exécuté dans GraalVM, en utilisant le préfixe "gjs:"

Voir la documentation

Commentaires : voir le flux Atom ouvrir dans le navigateur

  •  
  • ↗️
↗️

Airbag Takata défectueux : la liste complète des marques et modèles de voitures rappelés | 60 Millions de Consommateurs

✇Liens en vrac de sebsauvage
« La liste ne cesse de s’allonger. Ce 16 avril 2025, c’est déjà plus de 2 millions de voitures qui ont été rappelés par les constructeurs au cours de ces derniers mois, en raison du danger qu’ils représentent. Ford, Honda, Skoda... 30 marques sont désormais visées.
Leurs modèles, construits entre 1998 et 2019, sont équipés d’airbags de la marque Takata pouvant occasionner des blessures graves, voire mortelles, au conducteur et au passager avant. Plusieurs accidents fatals ont déjà eu lieu. »
(Permalink)
  •  
  • ↗️
↗️

L'IA dégrade la sécurité du code et divulgue trop de secrets d'identification

✇Liens en vrac de sebsauvage
Je ne m'attendais pas à autre chose.
Et encore : l'article parle surtout de la gestion des secrets (clés d'API par exemple), mais ce n'est pas le seul problème, loin de là. Il n'y a pas un mot sur les autres mauvaises pratiques de développement très problématiques concernant la sécurité : mauvais échappement ou absence d'échappement, réutilisation/dépassements de buffers, non-contrôle des valeurs/nulls, mauvaise gestion des exceptions, fuite de données sensibles dans les logs...  tout un tas de bonnes pratiques à connaître pour la sécurité pour lesquelles on a aucune garantie que les IA respectent.
(Permalink)
  •  
  • ↗️
↗️

AI code suggestions sabotage software supply chain • The Register

✇Liens en vrac de sebsauvage
1) Les développeurs utilisent des IA pour générer du code.
2) Les IA, dans leur code, inventent des imports de packages qui n'existent pas.
3) Les malveillants comprennent que les IA hallucinent des packages qui n'existent pas et les créent pour de vrai, avec du code malveillant dedans (GitHub, nmp, PyPi...)
4) Les développeurs importent donc ces packages malveillants sans le savoir.

Ne faite pas comme ces développeurs.

EDIT: Article en Français : https://next.ink/180687/des-malwares-squattent-les-noms-de-paquets-hallucines-par-les-modeles-de-langage/
(Permalink)
  •  
  • ↗️
↗️

Les abonnés Livebox recevront une mise à jour importante à la rentrée 2025

✇Numerama.com - Magazine
Par :Nicolas Lellouche

Orange profite de l'annonce de ses nouvelles Livebox S et Livebox 7, qui supportent la technologie Wi-Fi 7, pour officialiser son implication dans le développement de la nouvelle norme WPA2/3 Compatibilité, aussi appelée RSNO. Elle n'est pas encore prête, mais sera déployée sur toutes les box par défaut prochainement.

  •  
  • ↗️