Actualités

Avengers Endgame : Pourquoi Ronan et Korath n’étaient-ils pas dans la bataille finale contre Thanos ?

Avengers : Endgame a réuni tous les Avengers contre le grand ennemi Thanos. Mais deux alliés fidèles du Titan fou étaient absents de la bataille finale.

Publié il y a 1 semaine 1 jour Lire la suite...

Tchernobyl : un drone confirme que le réacteur numéro 5 ne contient pas d’uranium

Un drone a filmé le réacteur 5 de la centrale nucléaire tristement célèbre de Tchernobyl en Ukraine.

Publié il y a 1 semaine 1 jour Lire la suite...

PS5 : comment personnaliser votre console next-gen ?

La PS5 n’est vendue qu’en un seul coloris, le blanc. De nombreux joueurs ont donc décidé de personnaliser eux-mêmes leur console next-gen afin de créer des designs originaux. Certains ont même partagé quelques conseils de personnalisation.

Publié il y a 1 semaine 1 jour Lire la suite...

Iron Man : Robert Downey Jr. ne pensait pas faire une carrière de super-héros

À la sortie du premier Iron Man, Robert Downey Jr. était loin d’imaginer se retrouver à l’affiche de blockbusters de super-héros. L’acteur trouvait même cette idée pathétique.

Publié il y a 1 semaine 1 jour Lire la suite...

Star Wars : Leia est le véritable maître Jedi de la lignée des Skywalker

Contrairement à ce que beaucoup pensent, ni Luke ou Anakin Skywalker n'ont le rang de maître Jedi. C'est Leia Organa/Skywalker qui peut prétendre à tel titre.

Publié il y a 1 semaine 2 jours Lire la suite...

DevTerm : un portable Linux open source

Le design rappelle certains portables des années 80 ! DevTerm propose un écran 6,8 pouces, 1280x480 ultrawide, clavier qwerty avec gamepad et trackpad, batterie, imprimante thermique ! Il utilise un OS Linux, au choix : Clockwork OS, Debian, Ubuntu, Raspberry Pi OS. Le portable utilise une carte ClockworkPi. Elle supporte le module de type Raspberry Pi CM3 qui permet de choisir le type de processeur ARM (chaque module CM3 définit le SoC et la RAM). La Clockwork Pi embarque l’alimentation, le port MIPI (écran), un connecteur antenne, un port d’extension pour une carte supplémentaire, un connecteur pour supporter les GPIO, USB/USB-C, micro-HDMI (argh !), etc. 

La carte supplémentaire est le module externe. Elle possède un ventilateur, l’interface pour l’imprimante, le port caméra, 2 ports USB (classique), un port UART. La batterie est une carte séparée. Il s’agit de deux batteries 18650 qui ne seront pas incluses par défaut. L’autonomie n’est pas indiquée, mais il ne faut pas s’attendre à des miracles. 

Le concept est amusant et il est open hardware. Mais au-delà du concept, est-ce véritablement une machine exploitable au quotidien ? La réponse en avril 2021, date de disponibilité annoncée. Le prix est fixé à 219 $ par la version de base, sans le Raspberry Pi CM3. Avec cette carte, on monte à 249 $.

Nous sommes impatients de le tester !

Site : https://www.clockworkpi.com/devterm

Catégorie actualité: 
Image actualité AMP: 

Publié il y a 1 semaine 2 jours Lire la suite...

Aspirateurs robots : comment choisir, lequel acheter ?

Le marché des aspirateurs robots est plus que florissant. Mais alors que les modèles se multiplient, il est compliqué de faire un choix. Afin de vous aider, la rédaction a sélectionné les modèles d’aspirateurs robots les plus performants en fonction de leur gamme de prix.

Publié il y a 1 semaine 2 jours Lire la suite...

Comparatif albums photo 2020 : quel service en ligne choisir ?

Les services d'albums photo en ligne se multiplie. Difficile de choisir l'un plus que l'autre à moins de les détailler tous. Une étape que l'on vous économie ici avec nos 11 services testés par la rédaction ainsi que des conseils pour réussir la création de votre album.

Publié il y a 1 semaine 2 jours Lire la suite...

IPTV illégale : les ayants droit s'organisent pour renforcer la lutte en Europe

L’Audiovisual Anti-Piracy Alliance souhaite renforcer les mesures en vigueur pour améliorer la lutte contre l'IPTV illégale.

Publié il y a 1 semaine 2 jours Lire la suite...

Panne géante pour AWS

Le fait qu'AWS utilise langage Rust pour mettre en place des services cloud fiables, ainsi que nous vous le rapportions aujourd'hui, ne l'empêche malgré tout pas totalement de rencontrer des problèmes. En l'occurrence AWS a connu une panne majeure ce même jour...

La quasi-totalité des principales applications logicielles basées sur le cloud qui dépendent d'AWS pour leur backend ont été touchées, et la panne s'est répercutée sur des milliers d'autres services en ligne : Ring, Prime Music, Pokemon Go, Roku, MeetUp.com, League of Legends, Anchestry.com, Chime, etc... Même la page d'état d'Amazon ne pouvait plus être mise à jour correctement, hormis un petit message en haut de la page.

Le coeur du problème se situait dans AWS Kinesis, un produit AWS pour agréger et analyser de grandes quantités de données en temps réel. Ce problème dans Kinesis a engendré des problèmes internes à l'entreprise qui se sont répercutés en cascade sur 27 autres produits AWS.

Le problème a été résolu en début d'après-midi ce jeudi. Sur sa page d'état, AWS déclare avoir identifié les causes de la panne et avoir pris des mesures afin qu'elle ne se reproduise pas.

Catégorie actualité: 
Image actualité AMP: 

Publié il y a 1 semaine 2 jours Lire la suite...

Amazon apprécie le langage Rust et recherche des développeurs compétents dans ce domaine.

Apple n'est pas le seul géant de l'informatique à s'intéresser au langage Rust créé par Mozilla. AWS l'apprécie également beaucoup et l'utilise abondamment sur ses infrastructures cloud. Un très intéressant billet de Matt Asay d'AWS explique pourquoi Amazon apprécie Rust.

"L'un des aspects les plus intéressants du langage de programmation Rust est qu'il rend l'infrastructure incroyablement ennuyeuse. Ce n'est pas une mauvaise chose, dans ce cas. Personne ne veut qu'un câblage électrique soit passionnant; la plupart d'entre nous préfèrent la sécurité qui vient avec la possibilité de basculer un interrupteur et d'avoir de la lumière pour voir." écrit Matt.

Au delà de la boutade, Amazon apprécie Rust car il aide AWS à écrire des logiciels de mise en réseau et d'autres systèmes de niveau infrastructure hautement performants et sûrs. Étant donné que Rust ne nécessite pas d'exécution ou de ramasse-miettes, il est en mesure d'obtenir des performances d'exécution similaires à C et C ++. Dans le même temps, Rust utilise un système de type et un modèle de propriété stricts pour effectuer une vérification à la compilation de la sécurité de la mémoire et de la concurrence, ce qui rend le coût des tests et de la validation des implémentations de Rust nettement inférieur à C / C ++. Carl Lerche, ingénieur principal d'AWS, déclare que Rust et Tokio donnent à AWS la possibilité de créer des services qui répondent rapidement et de manière fiable et qui nous aident à offrir une meilleure expérience client.

Pour mémoire, Tokio est une plate-forme dédiée à l'écriture d'application asynchrones. Tokio est un logiciel libre sous licence MIT disponible sur GitHub.

Amazon utilise Rust également dans Amazon S3, Amazon EC2, Amazon CloudFront, Amazon Route 53. Récemment, Amazon a lancé lancé Bottlerocket OS, un système d'exploitation de conteneurs basé sur Linux écrit en Rust.

Amazon est engagé auprès de la communauté Rust et fait partie des contributeurs importants. Amazon recherche également des compétences en Rust pour renforcer ses équipes.

Nous n'embauchons pas seulement quelques personnes pour Tokio et le compilateur Rust explique Amazon. Rust est un élément essentiel de notre stratégie à long terme, et nous investissons pour fournir l'ingénierie Rust à l'échelle d'Amazon. Cela inclut les outils de développement, les composants d'infrastructure, l'interopérabilité et la vérification.

Dans le billet susmentionné, Amazon invite les développeurs à consulter les postes vacants dans son équipe Rust/Tokio .

Catégorie actualité: 
Image actualité AMP: 

Publié il y a 1 semaine 2 jours Lire la suite...

Canonical publie un catalogue d'images Docker sécurisées

Canonical annonce la publication du LTS Docker Image Portfolio, un ensemble d’images de conteneurs applicatifs sécurisées, sur Docker Hub. Le LTS Docker Image Portfolio inclut jusqu’à dix ans de maintenance de sécurité étendue par Canonical. 

Canonical et Docker collaboreront sur les images officielles de Docker et le catalogue d’images LTS Docker afin d’apporter le meilleur des deux acteurs à la communauté et à l’écosystème. L’ensemble du portfolio d’images de Docker LTS sera exempté des limites de tarifs par utilisateur.

« Les images LTS sont construites sur une infrastructure de confiance, dans un environnement sécurisé, avec des garanties de mises à jour de sécurité stables », a déclaré Mark Lewis, vice-président des services d’application chez Canonical. « Ils offrent un nouveau niveau de provenance des conteneurs et de garantie aux organisations qui passent à des opérations basées sur les conteneurs ».

« Nous traitons les CVE élevés et critiques dans les offres LTS ainsi que les problèmes critiques dans un délai de 24 heures » ajoute Valentin Viennot, chef de produit chez Canonical.

Plusieurs images du Docker LTS Portfolio seront gratuitement disponibles en tant que versions d’images officielles Docker pendant la période de maintenance de sécurité standard de cinq ans. L’ensemble du portefeuille d’images LTS, y compris le contenu réservé aux clients de Canonical, sera disponible via le Docker Hub. Les clients d’Ubuntu Pro de Canonical ont accès à une maintenance étendue sur dix ans grâce à Docker Hub.

Catégorie actualité: 
Image actualité AMP: 

Publié il y a 1 semaine 2 jours Lire la suite...

Les meilleurs promo logiciels pour le Black Friday

Ca ne vous a sûrement pas échappé, c’est le Black Friday ! Et qui dit Black Friday, dit promotions et réductions à gogo sur tous types de produits. Dans cet article, nous avons réuni pour vous les meilleures offres Black Friday sur des logiciels.

Publié il y a 1 semaine 2 jours Lire la suite...

Samsung Galaxy S21 : vous pourrez déverrouiller le téléphone avec votre voix grâce à Bixby

Samsung vous permettra d'utiliser votre voix pour déverrouiller le Galaxy S21 selon les sources de SamMobile. Ce système sera apparemment rendu possible grâce à l'assistant vocal Bixby de Samsung, mais il n'y a aucun détail sur son fonctionnement.

Publié il y a 1 semaine 2 jours Lire la suite...

Le CNRS apporte son soutien à Software Heritage

Le CNRS a rejoint Software Heritage en tant que sponsor de platine en apportant un soutien de 100 000 euros par an à cette bibliothèque universelle de codes sources de logiciels. Initié par Inria et soutenu par l’Unesco, Software Heritage collecte, préserve et rend accessible à tous cette part du patrimoine de l’humanité.

Deux ans après leur ouverture au public, les archives de Software Heritage contiennent plus de 9 milliards de fichiers de code source issus de plus de 140 millions de projets logiciels, consultables par tous. Parmi les plus célèbres, on peut citer le code source du système de navigation d’Apollo 11, qui permit le premier pas sur la Lune, ou celui du navigateur NCSA Mosaic, qui popularisa l’utilisation du web. Elles accueillent aussi les codes utilisés par les scientifiques pour leurs recherches, dans un souci de science ouverte, afin qu’ils puissent être consultés et réutilisés. Chaque fichier est doté d’un identifiant intrinsèque,  unique et pérenne, appelé SWHID.

« Le soutien du CNRS à Software Heritage, archive universelle, ouverte et pérenne du logiciel, s’inscrit naturellement dans notre démarche volontariste en faveur de la science ouverte, cette révolution nécessaire dont chacun doit être acteur », explique Antoine Petit. Le CNRS entend ainsi promouvoir son utilisation par la communauté scientifique, en phase avec sa « feuille de route pour la science ouverte » et son plan « données de la recherche ». « Le code source des logiciels contient un trésor de connaissance, et nous sommes ravis du soutien du CNRS pour notre mission, qui est de le préserver et le rendre facilement accessible à tous, dit Roberto Di Cosmo, directeur de Software Heritage, Il s’agit d’un pas important sur le chemin qui mène à la construction, avec toutes les disciplines de la recherche, du pilier logiciel de la science ouverte. »

Catégorie actualité: 
Image actualité AMP: 

Publié il y a 1 semaine 2 jours Lire la suite...

Tesla rappelle 9500 Model X et Y à cause d’un défaut de fabrication au niveau du toit

Certaines Tesla Model X et Model Y semblent avoir des problèmes de finitions au niveau du toit. Tesla vient de rappeler 9537 véhicules, dont 9136 Model X de 2016 et 401 Model Y de 2020.

Publié il y a 1 semaine 2 jours Lire la suite...

L’iPhone 12 Pro coûterait seulement 33 dollars de plus à fabriquer que l’iPhone 12

Le coût de fabrication de l'iPhone 12 Pro d'Apple est estimé à 406 dollars, selon une récente analyse du démontage réalisé par Nikkei et Fomalhaut Techno Solutions, un spécialiste basé à Tokyo.

Publié il y a 1 semaine 2 jours Lire la suite...

Une Tesla Model S Performance affronte une Lamborghini Huracán Performante

Lorsqu'une Tesla Model S Performance affronte une Lamborghini Huracán Performante sur 400 mètres, la course n'est jamais jouée d'avance. On a déjà vu par le passé les voitures italiennes gagner contre les voitures américaines de Tesla, mais l'inverse s'est également déjà produit.

Publié il y a 1 semaine 2 jours Lire la suite...

Tesla dévoile ses batteries avec des cellules 4680 qui équiperont bientôt ses véhicules

De nouvelles images des batteries avec des cellules 4680 sont apparues sur le site "join the Cell Team", où Tesla recrute ses futurs collaborateurs. Sur la page principale, on peut voir une vidéo de son nouveau pack comprenant les nouvelles batteries, qui promettent une autonomie accrue de 30%.

Publié il y a 1 semaine 2 jours Lire la suite...

Cyberpunk 2077 : CD Projekt confirme que le jeu sortira vraiment le 10 décembre

Cyberpunk 2077 arrivera bel et bien le 10 décembre prochain et il n’y aura pas de retard, à en croire CD Projekt. Le développeur a confirmé la sortie du jeu tant attendu dans ses résultats financiers du troisième trimestre qui viennent d’être publiés.

Publié il y a 1 semaine 2 jours Lire la suite...

Droit à la réparation : le Parlement européen en faveur du droit des consommateurs à réparer leurs appareils

Le Parlement européen a voté en faveur du droit à la réparation des appareils électroniques. L’objectif est de rendre la réparation des smartphones, des tablettes et autres plus abordable et plus facilement accessible pour les consommateurs.

Publié il y a 1 semaine 2 jours Lire la suite...

Godzilla vs King Kong : le film pourrait directement sortir en streaming

Des discussions sont actuellement en cours pour que Godzilla vs King Kong sorte directement en streaming à cause de la crise sanitaire.

Publié il y a 1 semaine 2 jours Lire la suite...

Tesla pourrait proposer un modèle plus petit pour l’Europe, d’après Elon Musk

Elon Musk a laissé entendre que Tesla pourrait proposer un véhicule plus petit que la Model 3, afin de s’adapter au marché Européen.

Publié il y a 1 semaine 2 jours Lire la suite...

PS5 vs Xbox Series X : quelle console est la plus performante dans les faits ?

La PS5 et la Xbox Series X ont été testées par Digital Foundry sur différents jeux, et les résultats sont parfois surprenants.

Publié il y a 1 semaine 2 jours Lire la suite...

PS5 : rupture de stock mondiale, Sony promet un réapprovisionnement avant la fin de l’année

La PS5 est en rupture de stock mondiale, selon Jim Ryan. Face à cette « demande sans précédent », Sony a tout de même confirmé qu’il y aura un réapprovisionnement avant la fin de l’année. Il faut surveiller de près les revendeurs.

Publié il y a 1 semaine 2 jours Lire la suite...

Game Of Thrones : Emilia Clarke a créé elle-même le monologue en valyrien de Daenerys

La star de Game Of Thrones Emilia Clarke a inventé elle-même tout un monologue en valyrien de son personnage Daenerys.

Publié il y a 1 semaine 2 jours Lire la suite...

Assassin’s Creed Valhalla : un mode Performance arrive sur la PS5 et la Xbox Series X / S

Assassin’s Creed Valhalla se dote d’un mode Performance pour assurer les 60 FPS sur la PlayStation 5 et la Xbox Series X / S. Vous pourrez l’activer dès aujourd’hui lorsque la mise à jour 1.0.4 sera déployée sur les consoles next-gen.

Publié il y a 1 semaine 2 jours Lire la suite...

The Mandalorian : Qui les sont les Aqualish, espèce alien de Ponda Baba ?

The Mandalorian a fait revenir une espèce alien que l’on avait découverte pour la première fois dans Star Wars Épisode IV. Mais qui sont vraiment ces hommes-morses ?

Publié il y a 1 semaine 2 jours Lire la suite...

PlayStation 5 : Voici où trouver la référence à Final Fantasy 7 dans Astro’s Playroom

Vous êtes fans de Final Fantasy 7 et cherchez son easter egg dans Astro's Playroom, exclusivité PlayStation 5 ? Voici la marche à suivre.

Publié il y a 1 semaine 2 jours Lire la suite...

Disney préparerait un reboot d’Alien avec une jeune Ellen Ripley

Ellen Ripley est la grande figure d'une franchise horrifique adulée dans le monde. Un personnage qui pourrait bien revenir dans Alien, plus jeune, dans un préquel concocté par Disney.

Publié il y a 1 semaine 3 jours Lire la suite...

Layr : un framework JavaScript/TypeScript pour simplifier le développement d'applications full-stack

En règle générale, une application full-stack est composée d'un frontend et d'un backend s'exécutant dans deux environnements différents qui sont connectés via une API web (REST, GraphQL, etc.).

Séparer le frontend et le backend est une bonne chose, mais le problème est que la création d'une API Web conduit généralement à beaucoup de dispersion du code, de duplication des connaissances, de passe-partout et de complexité accidentelle, remarque Manuel Vial, le concepteur de Layr, qui a créé ce framework pour supprimer le besoin de créer une API Web et réunir le frontend et le backend de manière à les expérimenter comme une seule entité.

Avec Layr, si le frontend et le backend sont bien sûr physiquement séparés, puisqu'ils fonctionnent dans des environnements différents, ils sont réunis logiquement.

Cela fonctionne ainsi :

  1. Le backend est composé d'une ou plusieurs classes dont certains de leurs attributs et méthodes sont explicitement exposés au frontend.
  2. Le frontend génère des proxies vers les classes backend et peut utiliser ces proxies comme s'il s'agissait de classes JavaScript régulières.

Layr est un framework orienté objet. Sous le capot Layr s'appuie sur un mécanisme RPC. On peut comprendre Layr comme quelque chose à la Corba, à la Java RMI ou à la .NET CWF.

Du côté frontend, Layr offre des capacités de routage et une observabilité des objets de sorte que dans la plupart des cas, il n'est pas nécessaire d'ajouter un routeur externe ou un gestionnaire d'état.

Voici un exemple de mise en oeuvre de Layr proposé par Manuel Vila. Cet exemple implémente un simple compteur. Voici tout d'abord le code côté backend :

// backend.js

import {
  Component,
  primaryIdentifier,
  attribute,
  method,
  expose
} from '@layr/component';

import {ComponentHTTPServer} from '@layr/component-http-server';

class Counter extends Component {
  // We need a primary identifier so a Counter instance
  // can be transported between the frontend and the backend
  // while keeping it's identity
  @expose({get: true, set: true}) @primaryIdentifier() id;

  // The counter value is exposed to the frontend
  @expose({get: true, set: true}) @attribute() value = 0;

  // And the "business logic" is exposed as well
  @expose({call: true}) @method() increment() {
    this.value++;
  }
}

// Lastly, we serve the Counter class through an HTTP server
const server = new ComponentHTTPServer(Counter, {port: 3210});
server.start();

Ce code instancie une classe 'Compteur' et l'expose sur le réseau.

Voici maintenant le code côté frontend :

// frontend.js

import {ComponentHTTPClient} from '@layr/component-http-client';

(async () => {
  // We create a client to connect to the backend server
  const client = new ComponentHTTPClient('http://localhost:3210');

  // We get a proxy to the Counter backend class
  const Counter = await client.getComponent();

  // Lastly, we consume the Counter
  const counter = new Counter();
  console.log(counter.value); // => 0
  await counter.increment();
  console.log(counter.value); // => 1
  await counter.increment();
  console.log(counter.value); // => 2
})();

On peut remarquer dans ce code que la méthode counter.increment() n'existe pas du côté frontend. La méthode n'existe que du côté backend.

Layr est un logiciel libre sous licence MIT disponible sur GitHub

Catégorie actualité: 
Image actualité AMP: 

Publié il y a 1 semaine 3 jours Lire la suite...

API, architecture et analyse de la situation

Les interfaces de programmation d’applications (API) sont l’exemple le plus frappant et le plus critique des risques avérés que peut entraîner un changement d’architecture. 

Il est important de souligner que les API ne sont par nature ni plus ni moins risquées, et qu’elles offrent une foule d’avantages dans l’environnement professionnel actuel. Toutefois, avec les API, le risque sort du cadre traditionnel de la sécurité et investit d’autres sphères. Tant que nous n’appréhenderons pas mieux ce transfert du risque, les API demeureront une source de failles de sécurité pour les entreprises. F5 Labs a récemment analysé des rapports Open Source sur les incidents liés aux API, englobant à la fois les violations de données confirmées commises par des pirates et les vulnérabilités identifiées par des chercheurs en sécurité. Neuf incidents ont ainsi été dénombrés en 2018. Ce chiffre est passé à 35 en 2019 et à 25 au premier semestre 2020. À ce rythme, environ 50 incidents liés aux API devraient être rapportés d’ici fin 2020. Lorsque nous classons ces incidents par catégorie, le problème le plus courant observé est l’absence totale d’authentification auprès des endpoints des API (31,34 % des incidents), suivie par un mauvais processus d’authentification (19,4 %) et un mauvais processus d’autorisation (17,9 %). Autrement dit, la cause la plus fréquente des incidents liés aux API au cours des deux dernières années tient vraisemblablement à un faible niveau de maturité de la sécurité. 

Cartographie de la nouvelle surface d’attaque

Le seul but d’une API est de faciliter le transfert d’informations vers et depuis un réseau selon des modalités nécessairement et délibérément invisibles pour l’utilisateur lambda. 

Les API REST occupant aujourd’hui une place prépondérante, ce transfert d’informations s’effectue via le Web, à l’aide de méthodes HTTP. Même en supposant que chaque partenaire ait complètement protégé ses arrières pour chacune de ses API privées, ce qui va à l’encontre du principe de « Zero Trust » et de l’inéluctabilité d’au moins une violation, chaque endpoint d’API représente une extension de la surface d’attaque et exige donc la mise en place de contrôles, à l’instar de tout autre endpoint. Le problème est encore plus délicat avec les API publiques. Il ne s’agit pas simplement de nouvelles brèches dans le périmètre, mais d’ouvertures rendues publiques à une communauté dotée des compétences requises pour trouver et exploiter des vulnérabilités ou mauvaises configurations.

À l’extrémité du spectre, bon nombre des applications Web les plus grandes et les plus populaires qui dépendent fortement de l’intégration de services tiers contiennent désormais des centaines d’API. Chaque API constitue une opportunité distincte pour les attaquants, un transfert du trafic (sinon une augmentation du trafic) vers un autre contexte, et une dépendance de l’activité et de la sécurité vis-à-vis d’une entité en dehors du contrôle du propriétaire du système. Ce type d’architecture représente un modèle de risque suffisamment différent sur le plan de la visibilité, de la complexité, de l’inventaire et des partenariats commerciaux pour que les anciens postulats de référence en termes de modélisation des risques et des menaces perdent tout leur sens. Quels que soient le secteur d’activité de l’entreprise et la valeur de ses données, son API lui permet d’atteindre quelque chose d’autre, qu’il s’agisse d’un partenaire, d’un client ou d’un élément d’infrastructure renforcé inaccessible par d’autres moyens. La nature conjonctive des API signifie que les attributs cibles importent moins que les contrôles de base.

Vus sous cet angle, les incidents liés aux API tels que ceux constatés (failles d’authentification, échecs d’authentification, échecs d’autorisation et données en entrée non nettoyées) résultent de la collision entre un ancien mode de pensée et une nouvelle réalité des risques résultant de l’évolution des pratiques métiers. 

Alors que faire ?

Bien entendu, toutes les entreprises qui publient des API ne s’exposent à un désastre sécuritaire. Nombre d’entre elles ont parfaitement réussi à mettre en œuvre ces technologies et principes de conception. Ci-dessous figurent quelques grandes lignes directrices pour gérer les risques liés aux API REST, quel que soit le contexte :

  • Inventaire : il est impossible de sécuriser ce que l’on ne connaît pas. Dans un contexte de standardisation vers le modèle DevOps (propice à l’informatique cachée), et d’intégrations de plus en plus granulaires limitées à certaines branches d’activité, maintenir une visibilité sur les endpoints des API n’est pas un exercice anodin.
  • Authentification :  toutes les API nécessitent une authentification. Le consensus émergeant est qu’OpenID Connect, qui repose sur le protocole d’autorisation OAuth 2.0, est la méthode privilégiée (et éprouvée) d’authentification des API.
  • Autorisation :  en raison de la nature obscure et décentralisée du trafic des API, le maintien d’un contrôle strict sur les autorisations des agents est essentiel pour prévenir les altérations, les attaques par énumération ou les déplacements latéraux. OAuth 2.0 est la norme recommandée pour gérer les autorisations des API. Dans le cadre de cette norme, le format JSON Web Token (JWT) devient la méthode privilégiée d’autorisation basée sur des jetons.
  • Chiffrement : il est judicieux de forcer l’utilisation du protocole HTTPS pour les connexions des API, mais comme OAuth 2.0 requiert TLS afin d’assurer la confidentialité des clés secrètes, HTTPS est de toute façon de plus en plus obligatoire pour les API.
  • Médiation/passerelles d’API : les passerelles d’API sont indispensables aux architectes d’entreprise qui doivent gérer un large éventail d’API et leur trafic. Elles conviennent tout particulièrement à la gestion du trafic d’API nord-sud (c’est-à-dire provenant de connexions externes). De nombreuses passerelles intègrent également des fonctions d’authentification et d’autorisation qui limitent l’impact d’une intrusion lorsqu’un endpoint d’API public est compromis par d’autres moyens.

Les API s’imposent déjà comme nouvelle norme de facto pour l’intégration des entreprises. La question n’est pas de savoir si « elles sont sûres », mais « comment les rendre suffisamment sûres ». Dans la pratique, les API constituent une avancée révolutionnaire qui exige un changement fondamental d’approche. Malheureusement, bon nombre d’entreprises utilisant des API n’ont pas saisi l’enjeu. Cette prise de conscience est d’autant plus importante si nous considérons les API comme l’exemple le plus évident d’une évolution plus profonde et vaste de la conception des systèmes.

Arnaud Lemaire
Directeur technique F5
API
Mots clés Google: 

Publié il y a 1 semaine 3 jours Lire la suite...

Grave vulnérabilité dans cPanel et WHM

Une grave vulnérabilité a été découverte dans les outils de gestion d'hébergements web cPanel et WHM par des chercheurs en sécurité de Digital Defense. Cette vulnérabilité permet potentiellement  à des attaquants de contourner l'authentification à deux facteurs (2FA) des comptes cPanel et WHM.

Digital Defense précise que l'exploitation de la faille de sécurité nécessite de disposer d'un identifiant valide pour un compte ciblé. Mais celui-ci pourrait être obtenu par phishing. Or l'authentification à deux facteurs a justement pour but principal de protéger contre les attaques réalisées via du phishing...

Cette vulnérabilité est estampillée SEC-575. L'équipe de sécurité de cPanel a d'ores et déjà corrigé le problème dans les versions 11.92.0.2, 11.90.0.17, et 11.86.0.32 de cPanel & WHM.

Si vous utilisez cPanel ou WHM sur un serveur dédié, vous devez immédiatement mettre ces outils à niveau. Si vous utilisez cPanel ou WHM via un fournisseur d'hébergement web, vous devez le solliciter afin qu'il effectue la mise à niveau dans les plus brefs délais.

Catégorie actualité: 
Image actualité AMP: 

Publié il y a 1 semaine 3 jours Lire la suite...

NVIDIA : Le ray tracing et le DLSS dans Call of Duty : Black Ops Cold War

NVIDIA dévoile de nouvelles vidéos de Call of Duty : Black Ops Cold War qui montrent certaines des technologies de nouvelle génération que le jeu supporte. La première vidéo montre l'activation/désactivation du ray tracing et la seconde le DLSS de NVIDIA.

La première vidéo on/off présente des ombres tracées par les rayons du soleil/des sources de lumière locales et l'occlusion ambiante.

L'occlusion ambiante crée un sentiment de profondeur dans l'environnement pour paraître plus proche de la réalité. Cette technique d'ombrage détermine la quantité de lumière qui doit tomber sur les objets de la scène.

La vidéo a été capturée en résolution 4K, Ultra Settings, avec DLSS sur une GeForce RTX 3090.

La deuxième vidéo est une vidéo en écran partagé avec le DLSS activé et désactivé. La partie intéressante se trouve dans le coin supérieur sous la forme d'un compteur d'images. Bien qu'il soit difficile de faire la distinction entre les deux pour la qualité de l'image, le compteur d'images avec "DLSS on" est généralement le double de celui avec "DLSS off".  Le DLSS de NVIDIA augmente le nombre d’images par seconde jusqu'à 85% en 4K sur les GPU GeForce RTX, pour une expérience Call of Duty : Black Ops Cold War plus rapide et la plus fidèle.

La vidéo a été capturée à une résolution de 4K, Ultra Settings, avec le mode de performance DLSS sur une GeForce RTX 3080.

Catégorie actualité: 
Image actualité AMP: 

Publié il y a 1 semaine 3 jours Lire la suite...

YouTube veut ajouter automatiquement des chapitres aux vidéos pour améliorer la navigation

Les chapitres sur les vidéos YouTube sont probablement une des fonctionnalités les plus utiles que Google met à disposition des créateurs. Vous avez probablement déjà vu certaines vidéos YouTube découpées en petites parties, appelées chapitres, qui délimitent différents sujets abordés au cours de celles-ci.

Publié il y a 1 semaine 3 jours Lire la suite...

SpaceX prépare le Starship SN8 pour un vol d’essai à haute altitude la semaine prochaine

SpaceX semble prêt à passer à la prochaine phase cruciale de son programme de développement de sa fusée Starship : un vol d'essai de 15 km d'altitude. Selon Elon Musk, SpaceX souhaiterait effectuer ce vol dès la semaine prochaine.

Publié il y a 1 semaine 3 jours Lire la suite...

Covid-19 : le vaccin d’AstraZeneca et d’Oxford est-il vraiment efficace à 90 % ?

L'efficacité du vaccin contre le coronavirus mis au point par AstraZeneca et l'Université d'Oxford pourrait varier suivant son mode d'administration, comme le montrent différents essais cliniques.

Publié il y a 1 semaine 3 jours Lire la suite...

L’Eximus IV est le véhicule électrique le plus économe en énergie au monde

Eximus IV est le véhicule le plus efficace au monde, avec une consommation d'énergie si faible qu'il peut parcourir de longues distances avec six passagers à bord. En ne consommant que 0,517 Wh par personne, le véhicule établit un nouveau record du monde, qui bat celui établi par la même équipe l'année dernière.

Publié il y a 1 semaine 3 jours Lire la suite...

PS5 : un influenceur critiqué après avoir revendu à plus de 1 000 € une console reçue gratuitement

Un influenceur britannique a été violemment critiqué après avoir revendu une PlayStation 5 à un prix exorbitant. James Taylor a effectivement revendu une PS5 à plus de 1 000 € alors que Sony la lui avait envoyée gratuitement.

Publié il y a 1 semaine 3 jours Lire la suite...

La Xbox Series S prend en charge l’émulation, les performances sont excellentes

La Xbox Series S s'avère déjà compatible avec des émulateurs tels que RetroArch. Alors qu'il faut généralement quelques mois ou quelques années aux utilisateurs pour trouver une faille de sécurité, il est étonnant de voir les consoles déjà compatibles.

Publié il y a 1 semaine 3 jours Lire la suite...

L’année 2020 se résume en 16 mots, selon le dictionnaire Oxford

Le dictionnaire Oxford a partagé comme à son accoutumée le mot de l’année. Le souci est qu’il n’a pas réussi à résumer l’année 2020 en un seul mot pour des raisons évidentes. Voici donc les 16 mots qui résument 2020.

Publié il y a 1 semaine 3 jours Lire la suite...

Covid-19 : presque tous les vaccins seront efficaces et utilisables d’ici février 2021, selon Bill Gates

La lutte contre la Covid-19 serait-elle bientôt terminée ? Bill Gates a effectivement des prédictions optimistes selon lesquelles presque tous les vaccins seront efficaces pour protéger la population mondiale d’ici février 2021.

Publié il y a 1 semaine 3 jours Lire la suite...

Le jouet Spider-Bot de Disneyland Resort se dévoile dans une nouvelle vidéo

Pour fêter la naissance de son campus Avengers, Disneyland Resort imagine un Spider-Bot télécommandé, disponible en achat anticipé au Downtown District.

Publié il y a 1 semaine 3 jours Lire la suite...

Red Dead Online : le mode multijoueur devient standalone à partir du 1er décembre

Red Dead Online sera vendu comme un jeu à part entière dès le 1er décembre prochain. Le développeur Rockstar Games a annoncé que le mode multijoueur de Red Dead Redemption 2 sera disponible en standalone sur consoles et PC.

Publié il y a 1 semaine 3 jours Lire la suite...

PS5 : La Fnac attaquée en justice par un client non servi le jour de la sortie

Un client PlayStation 5 de la Fnac a porté plainte contre l’enseigne après avoir été invité à aller chercher sa console… qu’il n’a finalement pas pu obtenir.

Publié il y a 1 semaine 3 jours Lire la suite...

Black Mirror Bandersnatch : fin du procès, Netflix a conclu un accord avec l’éditeur de livres Chooseco

Le procès de Black Mirror Bandersnatch est enfin terminé. Netflix est effectivement parvenu à conclure un accord avec l’éditeur de livres Choose Your Own Adventure pour enfants Chooseco. Celui-ci l’avait poursuivi en justice pour violation de marque déposée.

Publié il y a 1 semaine 3 jours Lire la suite...

Xbox : xCloud pourrait arriver sur nos TVs dès 2021

Le projet xCloud arriverait sur TV plus tôt que prévu, d'après le boss d’Xbox, Phil Spencer.

Publié il y a 1 semaine 3 jours Lire la suite...

The Batman : des photos dévoilent l’impressionnante Batcave de Bruce Wayne

The Batman de Matt Reeves proposera une toute nouvelle vision de Gotham City. Mais l’immense Batcave de l’homme chauve-souris devrait suivre la tradition de la franchise.

Publié il y a 1 semaine 3 jours Lire la suite...

The Walking Dead : La femme de Negan et le fils de Maggie et Glenn seront présents

Deux personnages importants pour le récit sont attendus dans les épisodes additionnels de la dixième saison du show.

Publié il y a 1 semaine 3 jours Lire la suite...

Black Friday : Windows 10 à seulement 7,27€ chez Keysoff !

Pour le Black Friday, le site Keysoff.com a décidé de proposer des prix encore plus bas que d’habitude sur une large sélection de produits Microsoft. Pendant ces quelques jours, vous pouvez par exemple vous procurer Windows 10 Pro pour seulement 7,27€ ou encore Office 2016 Professional Plus pour 18,27€.

Publié il y a 1 semaine 4 jours Lire la suite...

Pages