Read 7 remaining paragraphs | Comments

Figurez-vous qu’ Elektrobit , le géant allemand de l’électronique automobile, vient de nous pondre un truc qui va faire plaisir aux fans de libre : EB corbos Linux , le premier système d’exploitation open source qui respecte les normes de sécurité les plus pointues du monde de la bagnole.

En gros, les constructeurs en ont marre de se trimballer des kilomètres de câbles et des centaines de boîtiers noirs dans leurs caisses-. L’idée, c’est de tout centraliser sur quelques « super ordinateurs » qu’ils appellent des « plateformes de calcul haute performance ». Et chacun gère son domaine : la conduite, l’info-divertissement, les aides à la conduite… Bref, ça simplifie le bordel et ça permet de faire évoluer les fonctionnalités sans toucher au hardware.

Le hic, c’est que tout ce bazar logiciel doit être hyper sécurisé. Parce que si votre autoradio plante, c’est pas bien grave, mais si c’est votre direction assistée qui décide de partir en vacances, bonjour les dégâts ! C’est là qu’ EB corbos Linux entre en scène.

Grâce à son architecture unique, ce système d’exploitation prend Linux et le rend compatible avec les exigences les plus draconiennes en matière de sécurité automobile, genre les normes ISO 26262 et IEC 61508 en utilisant un hyperviseur et un système de monitoring externe qui valide les actions du noyau. En gros, Linux peut continuer à évoluer tranquillou sans compromettre la sécurité.

Comme cette distrib est basé sur du bon vieux Linux, il profite de toute la puissance de l’open source. Genre les milliers de développeurs qui bossent dessus, les mises à jour de sécurité en pagaille, la flexibilité, la rapidité d’innovation… Tout ça dans une distrib’ véhicule-compatible, c’est quand même cool. En plus, Elektrobit a développé ce petit miracle main dans la main avec l’équipe d’ingénieurs d’Ubuntu Core chez Canonical. Autant dire que c’est du lourd !

Elektrobit a pensé à tout puisqu’ils proposent même une version spéciale pour les applications critiques, genre les trucs qui peuvent tuer des gens s’ils plantent. Ça s’appelle EB corbos Linux for Safety Applications , et c’est le premier OS Linux à décrocher la certification de sécurité automobile auprès du TÜV Nord.

Mais le plus cool, c’est qu’avec cet OS , vous pouvez laisser libre cours à votre créativité de développeur automobile. Vous voulez intégrer les dernières technos de conduite autonome, d’intelligence artificielle, de reconnaissance vocale… Pas de problème, Linux a tout ce qu’il faut sous le capot.

Imaginez que vous bossiez sur un système de reconnaissance de panneaux pour aider à la conduite. Avec ça, vous pouvez piocher dans les bibliothèques open source de traitement d’image, de machine learning, etc. Vous adaptez tout ça à votre sauce, en respectant les contraintes de sécurité, et voilà ! En quelques sprints, vous avez un truc qui déchire, testé et approuvé pour la route. Et si un autre constructeur veut l’utiliser, il peut, c’est ça la beauté de l’open source !

Autre exemple, vous voulez développer un système de monitoring de l’état de santé du conducteur, pour éviter les accidents dus à la fatigue ou aux malaises. Là encore, EB corbos Linux est votre allié. Vous pouvez utiliser des capteurs biométriques, de l’analyse vidéo, des algorithmes de détection… Tout en étant sûr que votre code ne mettra pas en danger la vie des utilisateurs.

Bref, vous l’aurez compris, c’est le meilleur des deux mondes avec d’un côté, la puissance et la flexibilité de Linux, de l’open source, de la collaboration à grande échelle et de l’autre, la rigueur et la sécurité indispensables au monde automobile, où la moindre erreur peut coûter des vies.

Source

Read 8 remaining paragraphs | Comments

Interesting social-engineering attack vector :

McAfee released a report on a new LUA malware loader distributed through what appeared to be a legitimate Microsoft GitHub repository for the “C++ Library Manager for Windows, Linux, and MacOS,” known as vcpkg .

The attacker is exploiting a property of GitHub: comments to a particular repo can contain files, and those files will be associated with the project in the URL.

What this means is that someone can upload malware and “attach” it to a legitimate and trusted project.

As the file’s URL contains the name of the repository the comment was created in, and as almost every software company uses GitHub, this flaw can allow threat actors to develop extraordinarily crafty and trustworthy lures.

For example, a threat actor could upload a malware executable in NVIDIA’s driver installer repo that pretends to be a new driver fixing issues in a popular game. Or a threat actor could upload a file in a comment to the Google Chromium source code and pretend it’s a new test version of the web browser.

These URLs would also appear to belong to the company’s repositories, making them far more trustworthy.

Vous en avez ras le bol de chercher pendant des heures le bouquin que vous voulez lire sans le trouver dans le commerce ? Pourquoi ne pas le télécharger en ligne alors ? Mais oùùùù ?

Et bien, j’ai peut-être une solution pour vous les amis et ça s’appelle sans chichi ebook-demo , un nouveau projet de moteur de recherche décentralisé pour les livres électroniques, inspiré de Liber3 (qui est un projet aux sources fermées).

Imaginez un peu le truc : vous tapez le titre du livre que vous cherchez dans la barre de recherche, vous cliquez sur « Search » et BAM, les résultats s’affichent juste en dessous avec le titre et l’auteur de chaque bouquin correspondant. C’est simple, efficace et ça marche du tonnerre !

Mais attendez, c’est pas tout. Ce qui rend ce projet encore plus cool, c’est qu’il est basé sur des technologies comme React et le SDK Glitter (pour la blockchain du même nom qui sert de base de données décentralisée).

Bon, je vois déjà les petits malins qui se disent « Ok, c’est bien beau tout ça, mais comment ça s’installe concrètement ? « . Pas de panique, c’est là que ça devient un peu technique mais je vais essayer de vous expliquer ça simplement. Déjà, pour faire tourner ce projet sur votre machine, il vous faudra avoir installé Node.js en version 16.x minimum et npm en version 6.x minimum. Ensuite, vous devrez cloner le dépôt du projet depuis GitHub avec la commande

git clone https://github.com/j2qk3b/ebook-demo

puis vous placer dans le dossier du projet avec

cd ebook-demo

Là, vous lancez un petit

npm install

pour installer toutes les dépendances nécessaires et vous êtes prêt à démarrer le serveur de développement avec

npm run dev

Et voilà, si tout se passe bien, vous devriez pouvoir accéder à l’application sur http://localhost:5173 .

Fastoche, non ? Ensuite, votre instance ira se connecter aux autres instances, et vous pourrez faire toutes les recherches qui vous passent par la tête. Imaginez un peu les possibilités offertes par un tel outil. Vous êtes étudiant et vous devez faire des recherches pour un mémoire sur la littérature française du 19ème siècle ? Pas de souci, en quelques clics vous pouvez retrouver les œuvres de Victor Hugo, Balzac ou Zola. Ou alors vous êtes un fan absolu de science-fiction et vous voulez découvrir de nouveaux auteurs ? Là encore, ce moteur de recherche sera votre meilleur ami pour dénicher les pépites du genre.

Mais le plus beau dans tout ça, c’est que ce projet est open source et que tout le monde peut y contribuer. Si vous avez des idées pour améliorer l’outil, des suggestions de nouvelles fonctionnalités ou même si vous voulez corriger des bugs. Puis comme c’est décentralisé, c’est le genre de truc incensurable.

Évidemment, comme tout projet en développement, il y a encore du boulot pour faire de ebook-demo l’outil ultime de recherche de livres électroniques. Mais avec une communauté motivée et des contributeurs talentueux, je suis sûr qu’il peuvent y arriver.

Read 8 remaining paragraphs | Comments

After the XZ Utils discovery, people have been examining other open-source projects. Surprising no one, the incident is not unique:

The OpenJS Foundation Cross Project Council received a suspicious series of emails with similar messages, bearing different names and overlapping GitHub-associated emails. These emails implored OpenJS to take action to update one of its popular JavaScript projects to “address any critical vulnerabilities,” yet cited no specifics. The email author(s) wanted OpenJS to designate them as a new maintainer of the project despite having little prior involvement. This approach bears strong resemblance to the manner in which “Jia Tan” positioned themselves in the XZ/liblzma backdoor.

[…]

The OpenJS team also recognized a similar suspicious pattern in two other popular JavaScript projects not hosted by its Foundation, and immediately flagged the potential security concerns to respective OpenJS leaders, and the Cybersecurity and Infrastructure Security Agency (CISA) within the United States Department of Homeland Security (DHS).

The article includes a list of suspicious patterns, and another list of security best practices.

Accrochez-vous bien à vos slips, parce que je vais vous parler d’un truc de ouf qui risque bien de révolutionner le monde de l’IA portable : Whomane ! Ouais, vous avez bien lu, c’est un projet open source de wearable avec une caméra intégrée.

Whomane, c’est un peu le rêve de tout maker qui se respecte : un appareil portatif bourré d’IA et de capteurs, le tout en mode open source pour pouvoir bidouiller et créer ses propres applications. La vision derrière ce projet, c’est de rendre l’IA embarquée accessible à tous, que ce soit pour l’utiliser ou pour développer dessus.

Concrètement, Whomane se présente sous la forme d’un petit boîtier à clipser sur soi, un peu comme une broche hi-tech. Mais attention, pas n’importe quelle broche ! Celle-là embarque une caméra, un micro et du logiciel capable d’analyser votre environnement en temps réel. Et le tout est propulsé par un raspberry pi Zero capable de faire tourner des modèles de deep learning directement sur l’appareil.

Maintenant, vous vous demandez sûrement ce qu’on peut bien faire avec un truc pareil ? Eh bien, les possibilités sont quasi infinies ! Imaginez par exemple une application qui reconnaît les visages et affiche des infos sur les gens que vous croisez. Ou encore un assistant personnel qui analyse vos conversations et vous souffle des réponses. Vous voyez le genre ?

Mais Whomane, c’est aussi et surtout une plateforme ouverte et collaborative. Le code source est dispo sur GitHub , avec une licence GPL pour les projets open source et une licence commerciale pour ceux qui veulent l’intégrer dans des produits fermés.

Alors okay, je vous vois venir avec vos grands chevaux : « Oui mais la vie privée dans tout ça ? C’est Big Brother ton truc ! » Alors oui, évidemment, dès qu’on parle de caméra et d’IA, ça soulève des questions. Mais justement, l’avantage d’un projet open source comme Whomane, c’est la transparence. Tout est là, à disposition de la communauté pour auditer le code et s’assurer qu’il n’y a pas de dérive. Et puis bien sûr, il faudra toujours veiller à respecter les lois et réglementations en vigueur.

Bref, vous l’aurez compris, Whomane c’est le genre de projet geek et utopiste qui fait vibrer la corde du bidouilleur qui sommeille en nous. Après, on ne va pas se mentir, c’est encore un prototype avec sûrement plein de bugs et de limitations. Mais quand bien même, qu’est-ce que c’est excitant de voir émerger ce genre d’initiatives !

Chers passionnés de bidouille, ce soir je vais vous parler d’un truc qui devrait vous faire saliver d’excitation : le Storage Pod 6.0 de Backblaze !

En gros, vous prenez un châssis 4U, vous y fourrez 60 disques durs de 8 To et paf, ça vous fait un joli bébé de 480 To pour stocker tous vos fichiers, films, photos de vacances et autres données. Ce monstre mesure seulement 19 cm de haut pour une configuration 3×20 disques. Les disques sont montés sur une hauteur de 1U et espacés uniformément dans le châssis pour assurer un flux d’air optimal et un refroidissement au top.

Un seul ventilateur situé en haut du châssis aspire l’air à travers le serveur, tandis que deux ventilateurs supplémentaires en bas évacuent l’air chaud. C’est ce qu’on appelle une ventilation bien pensée !

Mais le Storage Pod c’est pas qu’une grosse boîte à disques, c’est avant tout une philosophie : celle du stockage à prix cassé ! Parce que là où ça devient vraiment intéressant, c’est quand on regarde le coût au Go. Tenez-vous bien, le Storage Pod 6.0 permet d’atteindre un tarif complètement dingue de moins de 5 centimes par Go !

Mais comment c’est possible un prix pareil ? Eh bien c’est là que le côté bidouille intervient. Chez Backblaze, ils ont décidé de concevoir eux-mêmes leur serveur de stockage en utilisant des composants standard, et surtout en optimisant chaque détail pour tirer les coûts vers le bas.

Par exemple, le boîtier a été légèrement allongé par rapport à la version précédente pour pouvoir caser 60 disques au lieu de 45. Un gain de place qui permet d’atteindre une densité de stockage de ouf : 120 To par unité de rack, soit 2,4 Po dans une baie 42U. De quoi voir venir côté capacité !

Les disques sont connectés via des ports SATA à une unique carte mère PCIe 3.0 x16 qui possède aussi un port USB 3.0 pour se connecter à un PC ou un autre appareil pour la gestion et le transfert des données. La carte mère embarque également un slot M.2 2280 NVMe pour un SSD servant à stocker le firmware de boot. Niveau alimentation, ça rigole pas : 6 blocs d’alim 12V 50A sont utilisés, avec 3 branchés de chaque côté du châssis. Chaque bloc alimente un circuit imprimé dédié situé à proximité des disques. Et sur ces circuits, on retrouve des ports USB pour se connecter à la carte mère ainsi que des LED pour le monitoring. Le tout est alimenté par un gros bloc externe 12V 300W qui envoie le jus via des connecteurs SATA 6 broches et Molex 3 broches pour les ventillos. Autant vous dire que ça envoie du lourd niveau watts !

Côté réseau, un port Ethernet Gigabit unique situé en haut du serveur, à côté du ventilo, se charge de la connectivité. Il est relié à la carte mère via un slot PCIe x1. Un petit câble le relie ensuite au switch réseau du datacenter. L’OS et le logiciel de gestion tournent sur une clé USB bootable 3.0 insérée dans le slot M.2. Ce soft permet de monitorer, alerter et mettre à jour le firmware des disques et autres composants.

Et le plus cool dans tout ça, c’est que les gars ont décidé de partager les plans du Storage Pod en open source . Comme ça, vous pouvez télécharger les schémas, les fichiers 3D et toute la doc pour construire votre propre Pod . Bon, faudra quand même mettre les mains dans le cambouis et avoir quelques notions en bricolage, mais rien d’insurmontable pour le vrai geek que vous êtes !

Par contre, je vous préviens tout de suite, si vous voulez atteindre les 5 centimes du Go, va falloir acheter les composants en gros et négocier les prix comme un chef, parce qu’en tarif public, vous serez plus proche des 10 centimes. Mais bon, ça reste quand même une sacrée affaire comparé aux serveurs de stockage traditionnels !

En tout cas, moi je dis chapeau bas à Backblaze pour cette nouvelle version du Storage Pod. Ça fait avancer le schmilblick et qui permettent de démocratiser le stockage de masse, parce qu’à l’heure des vidéos 4K, des bibliothèques photos qui débordent et des sauvegardes dans le cloud, on n’a jamais autant eu besoin de place pour stocker nos précieux octets.

Alors si vous avez un peu de temps devant vous et que vous voulez vous lancer dans l’aventure du stockage DIY, je vous invite à jeter un œil au projet Storage Pod . Vous y trouverez tout ce qu’il faut pour construire votre propre serveur à prix mini. Et qui sait, peut-être que vous aussi vous arriverez à stocker vos téra pour quelques centimes du Go ?