↩ Accueil

Vue normale

index.feed.received.yesterday — 6 mars 2025Programmez!

Visual Studio Code : Python release 2025

6 mars 2025 à 09:14

La version de mars 2025 de Python dans Visual Studio Code apporte assez peu de choses :

- amélioration de l'intégration du shell Python : "Auparavant, les modifications apportées à ce paramètre nécessitaient un rechargement de la fenêtre VS Code pour que les modifications prennent effet dans le terminal. Désormais, créez simplement un nouveau terminal pour voir les modifications souhaitées sur votre REPL Python dans le terminal !"

- nouveau paramètre pour l'auto test discovery : python.testing.autoTestDiscoverOnSavePattern

- inseration automatique dans Pylance en cas de casse d'un string long

Note de version : https://devblogs.microsoft.com/python/python-in-visual-studio-code-march-2025-release/

Catégorie actualité: 
Image actualité AMP: 

ParisJUG soirée Dagger et clavier le 11 mars

6 mars 2025 à 08:06

Le ParisJUG organise une nouvelle soirée le 11 mars sur Dagger Modules et créer son clavier.

Dagger Modules : un couteau suisse pour moderniser vos pipelines de CI/CD

Qui n’a jamais été démoralisé devant un pipeline de CI/CD bien complexe, dépendant de sa plateforme d’exécution, impossible à maintenir et compliqué à débuguer ? En partant de ce constat que nous avons tous fait, Dagger renouvelle l’approche DevOps en permettant d’écrire des pipelines sous forme de code, exécutables localement, testables et portables sur n’importe quelle plateforme.

Cette présentation s’adresse aux développeurs et DevOps qui souhaitent moderniser leurs pratiques CI/CD tout en gardant le contrôle total sur leur code. Vous repartirez avec les clés pour transformer vos pipelines en composants modulaires, testables localement et utilisables partout.

21h00 : DIY et ergonomie, fabriquer son clavier de A à Z(erty)

Autant prévenir tout de suite, nous ne parlerons ni d’esthétique, ni des différentes sonorités que les claviers mécaniques peuvent faire pour irriter vos collègues de bureau. Non, nous parlerons ergonomie, électronique et DIY.

Agenda et inscription : https://www.parisjug.org

Catégorie actualité: 
Image actualité AMP: 
index.feed.received.before_yesterdayProgrammez!

Venez rencontrer Programmez! au MDF et à Devoxx 2025

5 mars 2025 à 16:04

Venez rencontrer la rédaction de Programmez!. Nous serons présents à :

- MDF 2025 : avec un stand spécial rétro-gaming ! Le 12 mars à Montreui. Site : https://www.masterdevfrance.com/

- Devoxx 2025 : sur notre stand Technosaures. Du 16 au 18 avril à Paris. Site : https://www.devoxx.fr/

Nous sommes impatients de vous voir. 

Catégorie actualité: 
Image actualité AMP: 

GitHub : Secret Protection et Code Security bientôt disponibles en services indépendants

5 mars 2025 à 15:59

GitHub annonce deux nouvelles fonctions pour les développeurs : Secret Protection et Code Security. Il s'agit d'une modification de GitHub Advanced Security. Jusqu'à présent, ces outils étaient liés à Advanced Security. A partir du 1er avril, ils seront disponibles en dehors de cette offre. 

En résumé :

  • GitHub Secret Protection : les fuites de secrets constituent un défi de grande ampleur ; rien qu'en 2024, plus de 39 millions de secrets ont été détectés dans les référentiels GitHub. Secret Protection détecte et empêche les fuites de secrets avant qu'elles ne se produisent grâce à une protection push, une analyse des secrets, une détection basée sur l'IA avec un faible taux de faux positifs, des informations sur la sécurité, etc. 19 $ / mois / par committer

  • GitHub Code Security : cette solution aide à identifier et à corriger plus rapidement les vulnérabilités grâce à l'analyse de code, à Copilot Autofix, aux campagnes de sécurité, à Dependency Review Action, etc. 30 $ / mois / par comitter

  • disponibilité d'un outil d'évaluation des risques liés aux secrets, Security tab : outil gratuit

 

Catégorie actualité: 
Image actualité AMP: 

Construire une CLI Tools avec Node.js

5 mars 2025 à 11:15

Java Code Geeks publie un intéressant article sur comment constuire une CLI avec Node. "Les outils d’interface de ligne de commande (CLI) sont essentiels pour les développeurs, car ils permettent l’automatisation, l’exécution des tâches et la gestion du système. Avec Node.js, la création d’outils CLI n’a jamais été aussi simple. Des bibliothèques comme Commander.js simplifient le processus de création d’applications CLI, tandis que npm facilite la publication et la distribution de ces outils. Dans cet article, nous allons découvrir comment créer des outils CLI avec Node.js, en utilisant Commander.js pour l’analyse des commandes et npm pour la distribution. Nous fournirons également des exemples pratiques et des bonnes pratiques." dixt Eleftheria Drosopoulou

Pourquoi créer un CLI avec Node ? On profite de l'écossytème JS et Node, c'est multiplateform, c'est simple d'utilisation et léger.

Etape 1 : on utilise Commander.js. Il s'agit d'une lib populaire pour créer des CLI en Node. Il simplifie le parsing des commandes. L'installation est simple : npm install commander

Etape 2 : on initialise un nouveau projet Node par exemple :

mkdir my-cli-tool

cd my-ci-tool

npm init -y

puis npm install commander

Etape 3 : là on peut commencer à créer une nouvelle CLI

Etape 4 : on crée l'exécution en ajoutant bin dans le package json. 

Etape 5 : après ce 1er test réussi, on peut rajouter des options et flags à notre CLI via le flag --formal

L'intérêt de la CLI est de pouvoir inclure vos propres commandes à vous de créer la commande. Vous pouvez spécialiser vos CLI selon un contexte ou un usage précis par exemple pour valider des entrées. 

Simple et pratique.

Le tuto complet est ici : https://www.javacodegeeks.com/2025/03/building-cli-tools-with-node-js.html

Catégorie actualité: 
Image actualité AMP: 

Paris JUG Day revient le 5 juin

5 mars 2025 à 10:05

Le Paris JUG propose sa nouvelle journée Java le 5 juin prochain.

Les thèmes de cette édition sont :

  • Les nouveautés du langage Java
  • Le projet Lilliput diminue la consommation mémoire de votre application
  • Quarkus, Micronaut
  • La sécurité face à la menace quantique
  • Paradigmes de programmation et Intelligence Artificielle

Date et lieu : 
Jeudi 05 Juin 2025 à 09h00
Au centre des congrès du Jardin d’Acclimatation à Paris

Information et inscription : https://javaday.parisjug.org/index.html

Catégorie actualité: 
Image actualité AMP: 

Godot 4.4 : physique des objets, animations, .Net 8

5 mars 2025 à 09:35

Le moteur Godot est un concurrent de Unity et il est utilisé par de nombreux jeux. La version 4.4 est disponible depuis quelques heures. Les évolutions concernent l'ensemble des éléments du moteur.

La première nouveauté mise en avant est Jolt Physics. Il s'agit d'une extension pour intégrer un moteur physique. Cela permet de créer des objets ayant les contraintes physiques de la matière ou de l'environnement dudit objet. Cela permet de créer des comportements plus réalistes. Les développeurs disposeront maintenant d'une fenêtre embarquée pour pouvoir coder et voir le jeu en prévisualisation en temps réel ! Cette fonction est disponible dans le Game Workspace. Pratique pour voir si le comportement est bien celui attendu ou voir les bugs sans devoir faire un build/run séparé.

Sur la composition des scènes, Godot 4.4 se veut plus interactif : par exemple, on peut cliquer sur un objet dans une scène et modifier la caméra, son emplacement, sa direction, etc. Toujours pour améliorer les performances et le rendu, la 4.4 introduit les Ubershaders pour réduire les saccades dans les mouvements. L’Ubershader permet de charger chaque shader précompilé pour avoir une fluidité dans les mouvements et l'enchaînement des shaders. Le résultat est assez incroyable !

Quelques autres nouveautés : 

- développement de projets XR pour Meta Quest

- remplacement de la lib CSG par Manifold

- .Net 8 est désormais la version minimale pour Godot

- fichiers et dossiers temporaires pour éviter de compromettre les données utilisateur

- support partiel d'UID : UID doit permettre d'éviter de casser les liens des fichiers / assets dans les projets. On peut déplacer sans risque les fichiers. Attention : le support est encore partiel.

- prévisualisation de Camera3D

- chargement des projets volumineux plus rapide

- les caméras, côté matériel, sont supportées sur la partie Linux

- modification plus stable et plus rapide des nodes dans les scènes complexes

- diverses améliations sur l'animation, la fluidité des gestes, la gestion des ombres

Note de version complète : https://godotengine.org/releases/4.4/

Catégorie actualité: 
Image actualité AMP: 

AlloyDB : Google continue à enrichir son SGBD compatible PostgreSQL

4 mars 2025 à 11:56

AlloyDB est une base de données disponible sur Google Cloud Platform depuis 2022. Elle est compatible avec PostgreSQL, une des références du marché. L'ambition n'est pas forcément de concurrencer la base open source mais plutôt de répondre aux services équivalents côté AWS et Azure. Il y a quelques jours, de nouvelles fonctionnalités ont été annoncées : filtrage pour la recherche vectorielle et observabilité. 

Selon Google, une base vectorielle répond aux flux de données complexes et aux défis de performances. AlloyDB a l'ambition d'être l'état de l'art de la recherche vectorielle et de l'optimisation. La première nouveauté est le inline filtering. Ce mécanisme doit améliorer les performances de la recherche vectorielle par filtres. Ces filtres se font directement dans la base et non en post-traitement côté application, ce qui nuit aux performances. L'inline filtering doit assurer la rapidité de la recherche et de la pertinence de celle-ci. 

L'autre nouveauté est l'outillage et l'observabilité des index vectoriels, là encore pour s'assurer d'une performance linéraire et de la qualité des résultats de la recherche. Google introduit un outil dédié à la qualité de la recherche vectorielle : recall evaluator. 

Annonce : https://cloud.google.com/blog/products/databases/enhancing-alloydb-vector-search-with-inline-filtering-and-enterprise-observability?hl=en

Catégorie actualité: 
Image actualité AMP: 

C++ : Stroustrup appelle à défendre le langage et à accélérer le safe memory

4 mars 2025 à 11:21

Stroustrup appelle la communauté C++ à défendre le langage depuis les polémiques des agences de sécurité et de la maison blanche. C++ est devenu une cible de choix de nombreux experts en sécurité et d'éditeurs : C++ n'est pas assez sécurisé, utiliser Rust ! En cause, la difficulté à bien utiliser la gestion mémoire et la notion de safe / unsafe et de la memory safe. 

Depuis, plusieurs propositions ont été lancées pour faciliter la sécurité par design dans le langage : TrapC, FilC, MiniC, Safe C++, etc. Mais le travail avancerait trop lentement pour le créateur du langage. Dans une note pour le comité de standarisation du 7 février, Bjarne appelle à agir rapidement et à mieux défendre C++. Le WG21 doit agir de manière significative. Il rappelle que le memory safe est un sujet crucial. 

Quelques jours plus tard, il évoque la réelle menace sur C++ des dernières directives des agences américaines sur l'obligation des constructeurs de proposer une approche memory safe dans les roadmaps produits. En arrière-plan, il y a aussi l'appel de Mark Russinovich (Microsoft Azure) à utiliser uniquement Rust pour les nouveaux projets. Au-delà, il y a une réelle question : une dépréciation C et C++ dès 2026 dans agences américaines. 

Bjarne supporte les safety profiles dans le langage. Ce framework devrait intégrer le standard C, C++ mais le processus d'intégration est long. Pourquoi pas assurer une intéropérabilité avec Rust le temps de simplifier le memory safe ? 

Catégorie actualité: 
Image actualité AMP: 

GTC : la grand' messe technologique de NVIDIA du 17 au 21 mars

4 mars 2025 à 11:02

NVIDIA organise sa conférence annuelle, la GTC, du 17 au 21 mars. Jensen Huang assurera l'ouverture. En tout plus de 500 sessions seront proposées. L'IA tiendra une place importante. De nombreuses thématiques seront proposées : XR, IA, sécurité, data science, SDK & API, MLOps, robotique, datacenter, GPU, Cuda, etc. 

Vous pouvez vous inscrire dès maintenant pour suivre la conférence : https://www.nvidia.com/fr-fr/gtc/

Catégorie actualité: 
Image actualité AMP: 

Ubuntu Touch OTA-8 : WPA3 et bug fix

3 mars 2025 à 14:36

Ubuntu Touch est une distribution basée sur Ubuntu qui vise la confidentialité et la protection des données. Il s'agit d'un OS pour les terminaux mobiles. La version OTA-8 est annoncée sur tous les matériels supportant Ubuntu Touch. Elle devrait être disponible le 10 mars. Cette version doit apporter une meilleure stabilité. Une des nouveautés est le support de Voice over LTE (VoLTE) sur les smartphones Volla. Cette version apporte aussi la protection WPA3 pour les réseaux WiFi. 

OTA-8 apporte surtout des corrections de bugs et des mises à jour de sécurité. 

Annonce : https://ubports.com/en/blog/ubports-news-1/post/ubuntu-touch-ota-8-focal-release-3953

Catégorie actualité: 
Image actualité AMP: 

TypeScript 5.8 est disponible en version finale

3 mars 2025 à 14:28

TypeScript 5.8 est disponible ! Cette version propose plusieurs nouveautés et améliorations :

- amélioration sur le Type safety et sur le retour quand on fait une vérification de type

- le flag --module node18 améliore la compatibilité avec les anciennes versions de Node, typiquement Node 18

- avdc le flag --erasableSyntaxOnly, le compilateur va effacer ce qui est peut être effectivement effacé de la syntaxe. Cela évitera les erreurs à la compilation quand il voulait effacer des élément de syntaxes non effacables. Cette approche devrait faciliter le déploiement d'un projet TS vers Node.

- mise à jour de l'import JSON : on utilisera un attribut import à la place import assert (déprécié) 

- attention à la non compatibilité avec les fichiers .d et .ts. TypeScript 5.8 introduit ici une incompatibilité avec les anciennes versions du langage

Au final, cette version doit apporter une meilleure sécurité dans le code, un build plus efficace. 

Note de version : https://devblogs.microsoft.com/typescript/announcing-typescript-5-8/

Catégorie actualité: 
Image actualité AMP: 

Amazon aime l'IA mais pas pour les recrutements

3 mars 2025 à 11:23

Amazon ne veut pas que les candidat(e)s aux offres d'emploi puissent utiliser l'IA / GenIA pour rédiger un CV, une lettre de motivation ou lire des réponses générées durant le recrutement. Le géant sensibilise les recruteurs. Un des arguments : un avantage inuste par rapport aux autres candidat(e)s et qui peut aussi fournir de faux éléments sur les compétences d'une personne. Les candidats seront invités à ne pas utiliser un outil d'IA sauf s'il est autorisé explicitement. Toute utilisation constatée peut conduire à l'exclusion du recrutement en cours. 

Reste à voir comment les responsables du recrutement pourront mettre en place les consignes envoyées aux équipes. 

Catégorie actualité: 
Image actualité AMP: 

Next.js 15.2 : des erreurs plus claires, une compilation plus rapide

3 mars 2025 à 10:43

Next.js est disponible en version 15.2. Cette version annonce des améliorations sur le debug, les messages d'erreurs, les performances :

- des messages d'erreurs plus clairs : structure de l'erreur plus compréhensible pour aider les développeurs à corriger plus rapidement

- les erreurs indiquent les sous-composants concernés 

- les développeurs peuvent ajuster l'affichage des erreurs

- feedback spécifique à la gestion des erreurs est disponible

- Dev Indicator : améliorer les éléments / informations liés à un développement, tout est rassemblé dans une unique interface. Elle inclut : détection du mode de rendu, état de la compilation et le build est prêt, accès plus rapide aux bugs

Le projet annonce aussi une amélioration de performances sur la partie chargement des pages et Turbopack. La compilation serait 57 % plus rapide et -30 % de mémoire utilisée. 

La 15.2 introduit aussi une fonction expérimentale : React View Transition pour proposer des transitions avec animations entre les états de l'UI :

module.exports = {
 experimental: {
  viewTransition: true,
 },
};

Note de version : https://nextjs.org/blog/next-15-2

Catégorie actualité: 
Image actualité AMP: 

Marché emploi start-up France : légère croissance mais plutôt atone

3 mars 2025 à 09:41

Numeum a publié, avec Motherbase, un baromètre de l'emploi des startups françaises. Il apparait une progression de 5,8 %. Le dernier trimestre 2024 a permis de rattraper un été plutôt faible. Cependant, 2024 reste atone avec un faible progression de l'emploi dans les startups. L'emploi progresse maximum de 0,9 % selon les mois. Cela représenterait 18 000 emplois sur un an. 

Il est cependant frappant de voir que 2024 est une mauvaise année et qui suit la chute de l'emploi dans les startups depuis 2023 :

2021 + 13,3 %

2022 + 14,4 %

2023 +9,1 %

Numeum évoque l'IA et la greentech comme domaines générant des emplois. "Le domaine de l’IA compte près de 1 900 startups qui emploient plus de 50 000 salariés. Ces entreprises ont bénéficié de près de 90 levées de fonds, représentant 1,7 milliard d’euros, essentiellement en région parisienne (97 % des montants levés dans ce domaine)." indique Numeum. La région parisienne concentre la quasi-totalité des investissements et des emplois dans les startups IA. Au niveau global, 56 % des créations d'emplois 2024 se font à Paris et dans sa région. "En matière de secteurs couverts par la French Tech, la greentech reste le plus dynamique avec plus de 4 000 emplois créés, suivi du manufacturing et des services IT - à noter que les emplois des startups de la greentech, comme celles du manufacturing, se situent majoritairement en régions. En revanche, la fintech et la martech marquent le pas en matière de créations d’emplois." analyse Numeum.

Catégorie actualité: 
Image actualité AMP: 

MPS : nouvelle version et bug fix

3 mars 2025 à 09:22

JetBrains distribue MPS 2024.3.1. MPS est un environnement pour créer les Domain Specific Languages (DSL). La 2024.3.1 corrige plus de 20 bugs de la 2024.3. La 2024.3 est sortie fin janvier. Elle introduit des évolutions sur le ProjectView, les options enable / disable de l'onglet preview, introduction d'une nouvelle interface. 

Note de version de la 2024.3 : https://blog.jetbrains.com/mps/2025/01/mps-2024-3-is-out/

Catégorie actualité: 
Image actualité AMP: 

Skype : Microsoft ferme les portes le 5 mai !

28 février 2025 à 16:45

Microsoft annonce que Skype fermera définitivement le 5 mai prochain. L'éditeur avait racheté la solution de communication en 2011 pour la modique somme de 8,5 milliards $ ! Skype remplaça Windows Live Messenger. Skype rejoint le cimetière des apps historiques. 

Skype subissait une concurrence très forte depuis plusieurs années et une forte baisse d'usage. Microsoft met en avant Teams et Skype était de moins en moins évoqué.

Catégorie actualité: 
Image actualité AMP: 

Google Cloud Developers Summit : Build with Gemini - 11 mars à Paris

28 février 2025 à 16:36

Google Cloud organise Build with Gemini, une journée immersive dédiée aux développeurs, pour explorer les dernières avancées en matière d’IA et de Cloud.

L'événement mettra en lumière les nouvelles fonctionnalités de Gemini, ainsi que des présentations et nouveautés clés sur, entre autres, GKE, Firebase, Cloud Run, Gemma.

Au programme :

  • Découverte des nouvelles fonctionnalités de Gemini en matière de développement applicatif
  • Workshops, démonstrations et ateliers techniques pour tester les outils en direct
  • Rencontres avec des experts et networking entre pairs

Quand : 

11 mars 2025 de 8h30 à 20h30

Le Grand Rex | 1 Bd Poissonnière - 75002 Paris

Agenda et inscription : https://cloudonair.withgoogle.com/events/build-with-gemini

Catégorie actualité: 
Image actualité AMP: 

Mode telex : Hashicorp, LLM, bugs, Angular

27 février 2025 à 18:48

Les actus en mode Telex :

- LibreOffice 25.2.1 corrige 77 bugs

- Microsoft veut contrôler des robots avec une GenAI spécifique, Magma

- Hashicorp sera bien racheté par IBM pour 6 milliards $

- Oups : AutoCAD peut bloquer le démarrage de Windows 11 24H2

- des raccourcis clavier pour économiser des heures de travail par semaine sur Android Studio ? A vous de voir : https://artemasoyan.medium.com/the-lazy-android-devs-guide-to-android-studio-shortcuts-save-10-hours-a-month-fb0117805005

- Angular 19.2.0 est disponible 

- Prestashop 8.2.1 corrige des bugs et améliore quelques fonctions : https://build.prestashop-project.org/news/2025/prestashop-8-2-1-maintenance-release/

Catégorie actualité: 
Image actualité AMP: 

PyPy 7.3.19 : bugs et nouvelles versions de Python

27 février 2025 à 17:45

PyPy a vocation à remplacer CPython. Il s'appuie sur RPython. L'intérêt de PyPy est la performance par rapport à CPython. Il supporte x86, Arm, AArch64, RISC-V, PowerPC et il est fonctionne sur une multiple d'OS. L'exécutable vient avec un compilateur JIT. La version 7.3.19 est une mise à jour mineure. Elle corrige des bugs, fixe des problèmes sur la partie JIT. Cette version intègre un interpréteur Python 3.11. 

PyPy 7.3.19 supporte Python 2.7, 3.10 et 3.11. A noter que PyPy embarque différents interpréteurs pour assurer le support des différentes versions du langage. 

Note de version : https://pypy.org/posts/2025/02/pypy-v7319-release.html

Catégorie actualité: 
Image actualité AMP: 

Armbian 25.2 : une distributionLinux pour les cartes Arm

27 février 2025 à 16:40

Armbian est une distribution très légère et optimisée pour les cartes Arm, Risc-V, Intel et AMD. Elle propose les environnements XFCE, Gnome et Cinnamon. La version 25.2 est disponible sur de nouveaux cartes dont Rock, NanoPi, Retroid, GenBook, etc. Le support Rockchip 3588 a été amélioré avec un kernel plus récent, un nouveau pilote HDMI. Globalement, cette version met à jour des dizaines de librairies et modules, mise à jour du noyau, etc. 

Certaines versions ne dépassent pas 800 Mo. 

Site : https://www.armbian.com/

Catégorie actualité: 
Image actualité AMP: 

Framework Laptop 13 : nouveaux CPU, nouvelles options, nouveau clavier

27 février 2025 à 11:03

Framework est spécialisé dans les ordinateurs modulaires que l'on peut faire évoluer et réparer simplement. Le nouveau Laptop 13 arrivera en avril (attention : certaines configurations sont épuisées) dans une nouvelleversion :

- nouveaux processeurs AMD : Ryzen AI 5 340, AI 7 350 et AI 9 HX 370. Ils intègrent jusqu'à 12 coeurs et 16 coeurs GPU

- nouveau clavier ressemblant à ceux des MacBook d'Apple

- nouveau modèle réseau : WiFi 7 ! Nous disons oui, oui et oui !

- le système de refroidissement a été revu pour améliorer la gestion du ventilateur

- plus de personnalisation : on peut maintenant installer n'importe quelle carte d'extension dans n'importe quelle slot !

Framework propose toujours deux choix : monter soi-même le coeur de la machine ou acheter une configuration complète. La configuration construire coûte environ 200 € plus chère. La version de base (à monter, Ryzen AI 5 340, écran mat, 8 Go de RAM, stockage 500 Go, 2x USB-C, HDMI, USB A, alimentation) revient à 1 282 €.  

Framework prépare pour l'été ou l'automne son Desktop modulaire.

Site : https://frame.work/fr/fr

Catégorie actualité: 
Image actualité AMP: 

DeceptiveDevelopment : attention aux faux recrutements

27 février 2025 à 09:45

Depuis quelques jours, des experts en sécurité évoquent une attaque provenant de Corée du Nord : DeceptiveDevelopment. Cette campagne de phishing cible les sites de recrutements et de freelances pour attirer les développeurs intéressantés par une mission, un nouveau psote. L'opération repose sur deux familles de logiciels malveillants qui se complètent : BeaverTail qui agit comme voleur de données et téléchargeur, puis InvisibleFerret qui combine vol d'informations et accès à distance non autorisé, selon ESET Research. 

« La stratégie du groupe consiste à faire passer de faux entretiens d'embauche avec des tests de programmation. Les victimes doivent travailler sur des projets hébergés sur GitHub ou des plateformes similaires. Ces fichiers contiennent en réalité des chevaux de Troie qui compromettent l'ordinateur une fois exécutés. », explique Matěj Havránek, chercheur chez ESET, qui a fait la découverte et analysé DeceptiveDevelopment.

Les candidats reçoivent des fichiers malveillants par mail ou via un dépôt GitHub par exemple. "On leur demande de modifier le code et de tester le projet, ce qui déclenche l'infection. Les attaquants cachent habilement leur code malveillant dans le backend, souvent sur une seule ligne après un long commentaire, le rendant difficile à repérer." précise ESET Research. 

Analyse complète de l'attaque (plutôt haut de gamme) : https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-targets-freelance-developers/

 

Catégorie actualité: 
Image actualité AMP: 

Warner Bros annule le jeu Wonder Women et ferme 3 studios

26 février 2025 à 15:57

Warner ferme 3 studios de jeux : Monolith Productions, Player First Games et Warner Bros Games San Diego ! Warner cherche à réduire les coûts. Parallélement, le jeu Wonder Woman en développement est annulé. Le studio avait dépensé plus de 100 millions $ pour ce jeu AAA. C'est la conséquence d'un marché au ralenti, une baisse des ventes, des coûts toujours plus élevés pour les titres AAA. Warner se concentrera sur les grandes franchises dont Mortal Kombat. Malgré les fermetures, Warner continuera à développer des jeux. 

Le jeu Wonder Woman avait été évoqué dès 2021 mais les difficultés se sont multipliées. Le projet était même quasi à l'arrêt quand le projet redémarre réellement début 2024. Des rumeurs évoquaient un reboot du jeu. 

Catégorie actualité: 
Image actualité AMP: 

Recrutements IT : incertitudes ou forte demande ?

26 février 2025 à 15:38

Quel recrutement dans l'IT pour cette année ? Difficile de déterminer une tendance. Les uns disent : croissance. Les autres disent plutôt : incertitudes ou baisses. En décembre dernier, Numeum voyait une faible croissance. Et France Travail avait observé une baisse des intentions de recrutement de 8,5 %. Les ESN avaient une demande identique à celle de 2023. Nous avons constaté une baisse des missions de freelances ces derniers mois et début 2025. 

"Le secteur connaît un net ralentissement des recrutements au second semestre 2024 comparé à la même période de l'année précédente. Près de 30 % (chiffre multiplié par 3 par rapport à 2023) des entreprises déclarent avoir réduit leurs recrutements ou ne pas en avoir effectué du tout. Ce recul impacte tout particulièrement les profils en reconversion ainsi que les jeunes diplômés, qui rencontrent davantage de difficultés à s’intégrer sur le marché de l’emploi." indique Numeum. 

Quels sont les secteurs porteurs dans l'IT : le cloud, la sécurité sont deux piliers du marché et dans une moindre mesure, l'IA. Si l'IA pèse encore peu dans les emplois et les revenus générés, elle connaît une forte croissance. 

Sur la partie freelance, le cabinet Hays estime que le taux journalier moyen (TJM) est plutôt stable mais considère que la demande de freelances reste bonne. Sur le TJM, un développeur fullstack sur la région Paris serait entre 450 et 650 € selon l'expérience. Pour les régions, il existe toujours un écart, Hays évoque une différence de 10 %. 

Catégorie actualité: 
Image actualité AMP: 

Sniffnet : un outil open source pour surveiller le trafic internet

26 février 2025 à 13:43

Sniffnet est un outil permettant de surveiller l'activité du trafic internet mais avant tout c'est un outil de monitoring de réseau pour comprendre et surveiller ce qu'il se passe. On peut appliquer des filtres, voir les statistiques, les logs, avoir le trafic en temps réel, exportation les données, identifier les connexions à son réseau local, etc. 

L'outil est open source, écrit en Rust et disponible sur Linux, macOS et Linux. On peut l'installer directement dans le Terminal ou pour l'installeur. L'interface est plutôt simple à prendre en main et les métriques sont bien visibles et compréhensibles. 

Site : https://sniffnet.net/

Catégorie actualité: 
Image actualité AMP: 

exo : exécuter un cluster IA sur vos machines locales

26 février 2025 à 11:42

exo est un projet open source développé par exo labs. L'objectif est de faire fonctionner votre cluster IA chez vous sur vos terminaux disponibles. exo veut exploiter la puissance GPU de vos iPhone, Android, Mac, cartes NVIDIA, Raspberry Pi, etc. Bref, tout ce qui peut faire tourner les modèles et les couches applicatives. Il faut pouvoir installer exo sur chaque machine.

Actuellement, exo est expérimental, incomplet et instable. Il supporte LLaMA, Mistal, DeepSeek. Il permet de découper un LLM sur plusieurs machines pour pouvoir l'exécuter. exo crée un cluster entre vos différents terminaux. Il s'appuie sur une connexion p2p à travers le réseau local. L'idée est très intéressante car en effet, on dispose de terminaux à la puissance mal exploitée. Un LLM est parfois trop lourd pour une seule machine et au lieu d'utiliser des ressources cloud, on utilise ce que l'on a sous la main. 

exo nécessite Python 3.12. Sur Linux, il faut les pilotes NVIDA, le toolkit CUDA et cuDNN. exo découvre automatiquement les autres instances exo. Attention à bien être sur le même réseau. Il fonctionne sur Pi et macOS. 

Il est recommandé d'installer exo via les sources en attendant des binaires stabilités. 

site : https://github.com/exo-explore/exo

Catégorie actualité: 
Image actualité AMP: 

.Net 10 preview 1 est disponible

26 février 2025 à 10:54

.Net 10 Preview 1 est disponible depuis quelques heures. Il s'agit de la 1ere préversion publique. .Net 10 doit inclure de nombreuses améliorations sur le runtime, les SDK, Blazor, ASP.net Core, MAUI, etc. 

Sur la partie .Net SDK, NuGet Audit supporte PrunePackageReference. Il s'agit de retirer les packages qui ne sont pas utilisés en exécution. "Cette modification permettra de réduire le nombre de packages durant le build. Cela permettra d'accélérer le temps de buid et de réduire la place nécessaire sur le disque de stockage. Cette approche pourra aider à réduire les faux-positifs provenant de NuGet Audit et des autres outils d'analyse des dépendances".

C# 14 arrivera avec .Net 10. Parmi les nouveautés attendues, nous trouvons : le mot clé field, support du System.Span <T>, apparition de nameof comme un type générique non lié, nouveaux paramètres modifiers. Attention : Roslyn va introduire des changements pouvant casser certains codes. Voir la note : https://learn.microsoft.com/en-us/dotnet/csharp/whats-new/breaking-changes/compiler%20breaking%20changes%20-%20dotnet%2010

Visual Basic est toujours présent. VB pourra exploiter les nouveautés de C# et de .Net 10. C# avait ajouté le générique unmanaged. Il apparait dans VB. La partie ASP.Net Core contient de nombreuses évolutions : support d'OpenAPI 3.1, documents OpenAPI générés au format YAML, détection si l'URL est local, amélioration des tests d'intégration. Realase note : https://github.com/dotnet/core/blob/main/release-notes/10.0/preview/preview1/aspnetcore.md

Sur la partie .Net MAUI, on notera le support d'Android 16, de la JDK 21. Sur la partie Apple, la principale nouveauté est l'amélioration de CollectionView sur iOS et Catalyst. Sur Windows Forms, les équipes continuent à travailler sur les Clipboards. Sur WPF, pas d'évolutions importantes, il s'agit surtout de corrections de bugs et d'ajustements mineurs. 

Annonce de .Net 10 Preview 1 : https://devblogs.microsoft.com/dotnet/dotnet-10-preview-1/

Catégorie actualité: 
Image actualité AMP: 

Conférence IA : le 6 mars à l'école 42

25 février 2025 à 23:05

Le magazine Programmez! organise sa conférence IA le 6 mars à l'école 42 à Paris. 

Nous parlerons bonnes pratiques, programmation avec des IA, usages de l'IA.

Agenda

- génération d'images avec Stabe Diffusion

- délivrez les LLM en serverless

- comment je me suis remplacé(e) par des agents IA

- coder avec des agents

- les nouveautés de Surface et les Copilot+PC

- pizza party

Où : 
campus 42 Paris
96 bd Bessières - Paris
Station Porte de Clichy : RER C, lignes 13 et 14


Accueil à partir de 13h30, début des conférences à 14h

Agenda complet sur : https://www.programmez.com/page-devcon/devcon-24-100-ia

Inscription : https://www.programmez.com/content/programmez-devcon-24-inscriptions

Catégorie actualité: 
Image actualité AMP: 

GasPi : un outil en Rust pour mesurer la consommation énergétique d'un hardware

25 février 2025 à 18:46

Même s'il existe quelques commandes pour mesurer l'activité matérielle de la Raspberry Pi, rien ne vaut un outil dédié. C'est l'objectif de GasPi, un outil écrit en Rust pour estimer et analyser la consommation énergétique des matériels de type Raspberry Pi 5 pour comprendre son impact. "Les outils fournissent une surveillance en temps réel et calculent plusieurs mesures environnementales clés pour quantifier l’empreinte écologique de l’exécution de logiciels ou de charges de travail spécifiques." précise la page GitHub. 

Les fonctionnalités principales sont :

- monitoring de la consommation énergétique : en temps réel, il fournit une estimation, support Pi 5

- calcul d'impact : consommation en Wh, émission de CO2, etc.

- métriques du système : utilisation CPU, utilisation de la mémoire, température CPU

Certaines fonctionnalités sont spécifiques aux matériels supportés :

- Pi 5 : ajustement sur le SoC Arm, focus sur la température du CPU

- MacBook Pro M2 (à venir) : considération de l'architecture, calibration pour supporter la configuration mémoire, etc.

L'outil s'appuie notamment sur la librarie sysinfo. 

Nous attendons avec impatience de pouvoir tester l'outil.

GitHub : https://github.com/neuroshield/gaspi

Catégorie actualité: 
Image actualité AMP: 

MongoDB rachète Voyage AI pour améliorer la qualité de la GenIA

25 février 2025 à 17:21

MongoDB annonce le rachat de Voyage AI. Pour MongoDB, cet achat doit permettre de réduire les hallucinations IA. De facto, cela ne pourra qu'améliorer les résultats de la GenIA utilisée. 

MongoDB résume ainsi ce rachat :

  • Intégration des technologies de Voyage AI pour une récupération d’informations plus précise et pertinente.
  • Réduction des hallucinations et amélioration de la fiabilité des applications d’IA.
  • Une alliance stratégique pour permettre aux entreprises d’exploiter l’IA en toute confiance.

« Pour que les applications d'IA atteignent leur plein potentiel, les entreprises doivent faire confiance à leurs résultats, donc la récupération doit être profondément intégrée aux données opérationnelles pour être précise et pertinente », commente Tengyu Ma, Fondateur de Voyage AI. « Rejoindre MongoDB nous permet d'apporter notre technologie de récupération d'IA de pointe à un public plus large et de l'intégrer de manière transparente au sein d’applications critiques. En combinant notre expertise en embeddings et en reranking avec la base de données de premier ordre de MongoDB, nous pouvons aider les organisations à construire des applications d'IA qui fournissent des résultats plus précis et fiables à grande échelle, leur permettant d'appliquer l'IA avec confiance à des cas d'utilisation aux enjeux élevés. ». 

Catégorie actualité: 
Image actualité AMP: 

OpenShift 4.18 : le plein de nouveautés pour les développeurs

25 février 2025 à 16:48

Red Hat annonce la version 4.18 de sa plateforme OpenShift. Pour coder et utiliser OpenShift, on dispose de 3 extensions :

- OpenShift Toolkit disponible sur VS Code et IntelliJ 1.17.0

- Quarkus Tools pour VS Code et IntelliJ 1.20.0

- Language Server Protocol Plugin 0.9.0 pour IntelliJ

Cette nouvelle version apporte quelques nouveautés dans la console et sur d'autres modules : colorisation dans les logs Tekton Pipelines, mode sombre dans l'éditeur YAML, création d'un chatbot IA dans l'environnement avec le nouveau AI Sample, disponibilité d'OpenShift Dev Spaces 3.17 basé sur Eclipse Che 7.92, Release 3.18 aussi basé Che 7.95. NPodman Desktop, l'outil pour les builds et déployer les conteneurs n'importe où, passe en version 1.15 avec BootC extension 16. Sur cet outil, la release note : https://podman-desktop.io/blog/podman-desktop-release-1.15

Parmi les autres nouveautés :

- Pipelines 1.17 utilise Tekton 0.65

- GitOps 1.15 utilise Argo CD 2.13 et Argo Rollouts 1.7.2

- Serverless 1.35 s'appuie sur Knative 1.15

Pour une liste complète de toutes les nouveautés côté développeur : https://developers.redhat.com/blog/2025/02/25/whats-new-developers-red-hat-openshift-418

OpenShift 4.18 peut s'installer sur AWS, Azure, IBM Cloud, bare metal, Google Cloud, VMware vSphere, Nutanix, Oracle Cloud, Alibaba Cloud. 

Catégorie actualité: 
Image actualité AMP: 

be quiet! nouveaux Pure Rock 3 et Pure Base 501

25 février 2025 à 15:57

Le fabricant be quiet! est une des références du marché pour le matériel et les modules PC. Il annonce 5 nouveaux Pure Rock. Pure Rock est une gamme de dissipateurs. Les nouveaux modèles sont :  Pure Rock 3 Black, Pure Rock 3 LX, Pure Rock Pro 3 Silver, Pure Rock Pro 3 Black et Pure Rock Pro 3 LX. Les modèles Pro sont à double tour, une première pour be quiet!. Les performances annoncées sont à la hauteur des ambitions du constructeur : un TDP de 250 W. Cette capacité de refroidissement est obtenue grâce à six caloducs avec une base nickelée.

La gamme Pure Rock 3 est vendue à partir de 34,90 €.

Le fabricant annonce aussi de nouveaux boîtiers : les Pure Base 501 LX et DX. Le Pure Base 501 LX embarque 4 ventilateurs Light Wings LX dont 3 pour aspirer l'air frais. Il comprend également un hub pour 6 périphériques ARGB et ventilateurs, afin de permettre la gestion d'un système ARGB complet. Le Pure Base 501 DX se destine aux utilisateurs qui veulent un design moderne avec des fonctions ARGB à l'extérieur et à l'intérieur du boîtier. La façade avant au flux d’air élevé a été repensée pour y intégrer un éclairage ARGB, et 3 ventilateurs Pure Wings 3 PWM offrent au boîtier un excellent refroidissement des composants et un important débit d'air. L'éclairage RGB de la façade avant se prolonge à l'intérieur du boîtier.

A partir de 124,90 €

Catégorie actualité: 
Image actualité AMP: 

Gemini Code Assistant en version gratuite

25 février 2025 à 14:48

Google annonce une version gratuite de Gemini Code Assist, un équivalent à Copilot disponible dans Visual Studio / VS Code.

Google met en avant :

  • Prise en charge de 20 langages de programmation.
  • Disponible mondialement et alimenté par une version spécifique de Gemini 2.0 optimisée pour le codage, Gemini Code Assist offre aux particuliers un nombre de suggestions de code par mois nettement supérieur à celui des autres assistants de codage gratuits. Désormais, toute personne qui code — qu’il s’agisse d’un amateur ou d’un professionnel — peut améliorer sa productivité sans se soucier des limites d’utilisation ou des coûts.
  • Google Cloud annonce également Gemini Code Assist pour GitHub. Cet outil propose des revues de code gratuites et automatisées grâce à l’IA, pour les dépôts publics et privés, afin d’améliorer la qualité du code et de réduire le temps nécessaire aux revues de code.
  • L’inscription est simple et rapide, elle ne nécessite qu’un compte Gmail personnel, sans carte bancaire.
  • disponibilité en preview technique dans sa version Github

Comme pour Copilot Free, cette offre Gemini est limitée :180 000 complétions de code par mois. Ce qui est largement suffisant et bien plus que Copilot Free. La preview est accessible sur GitHub. Des extensions pour VS Code et les IDE JetBrains sont disponibles. Dans les IDE, Gemini Code Assistant autorise jusqu'à 128 000 requêtes dans le chat. Cette offre concerne les développeurs individuels et non les équipes et entreprises. 

Annonce : https://blog.google/technology/developers/gemini-code-assist-free/

Catégorie actualité: 
Image actualité AMP: 

Spy : un langage à la Python pour les navigateurs

25 février 2025 à 11:19

Il y a Python et les langages à la Python. SPy est un nouveau langage qui est toujours en développement. Il est difficile de savoir s'il sera terminé et s'il connaîtra un intérêt. SPy se veut familier aux développeurs Python même s'il n'est pas prévu qu'il soit compatible avec notre serpent. SPy peut-être compilé nativement ou créer un bytecode WebAssembly que l'on exécute sur un navigateur. 

Le fichier source ressemble à du Python. Le compilateur est encore rudimentaire et il manque beaucoup de choses. SPy est un langage fortement typé. "SPY s'inspire de Python et la syntaxe est aussi proche que possible de la syntaxe Python. SPY est sûr en termes de types, mais les types seront déduits par le compilateur, de sorte que le langage n'aura pas besoin de mots-clés spéciaux pour spécifier les types. En fait, comme Python, il n'y aura aucun moyen explicite de spécifier les types, cependant la sécurité des types sera assurée par le compilateur une fois les types déduits." (SPY language reference manual)

Pour fonctionner, SPy nécessite Python 3.12, wasi-sdk, unbuffer (apt install expect). Actuellement, il est possible d'exécuter le code Spy en interprété via l'interpréteur et la commande interp et générer du code C pour le binaire natif ou compiler en WASM.

Session à la dernière EuroPython Conference :

Pour en savoir un peu plus : https://www.cs.columbia.edu/~sedwards/classes/2016/4115-summer-cvn/lrms/SPY.pdf

Catégorie actualité: 
Image actualité AMP: 

Claude 3.7 disponible sur Copilot dans Visual Studio 2022

25 février 2025 à 10:56

Microsoft annonce la disponibilité du LLM Claude 3.7 sur Copilot intégré à Visual Studio. Attention : il s'agit d'une preview. Ce support est disponible uniquement dans Visual Studio 17.3. Pour ce faire, il faut sélectionner le LLM dans les actions du Chat.

Ce LLM n'est pas disponible dans Copilot Free.

Catégorie actualité: 
Image actualité AMP: 

Mozilla : Mitchell Baker part, nouveau comité de direction, un nouvel espoir ?

24 février 2025 à 16:03

Mitchell Baker, figure historique de Mozilla, annonce son départ et quitte l’ensemble de ses fonctions. Présente dès l’époque de Netscape, elle a ensuite cofondé la fondation Mozilla en 2005. Une transition était déjà en cours avec Laura Chambers, qui prend désormais de nouvelles responsabilités. De son côté, Mark Surman dirigera l’ensemble du groupe, englobant à la fois la société et la fondation.

Dans un long post, Mark Surman détaille la nouvelle direction et explique comment Mozilla compte articuler son avenir entre mission philanthropique et développement commercial.

Mark Surman évoque :

- un investissement dans la publicité (mais pas n'importe laquelle)

- développer une IA open source

Mozilla cherche à diversifier ses marchés pour accroître ses revenus. Mark Surman est clair : "L’impact et la survie de Mozilla dépendent de notre capacité à renforcer Firefox, à trouver de nouvelles sources de revenus et à concrétiser notre mission de manière innovante. C’est pourquoi nous travaillons dur sur tous ces fronts."

Un autre défi majeur est d'attirer de nouveaux talents, aussi bien pour enrichir ses logiciels que pour développer de nouveaux services. Cela concerne également le renouvellement de la direction.

Dans la continuité du départ de Mitchell Baker, Mark Surman annonce un changement dans la gouvernance avec la création du Mozilla Leadership Council. Ce conseil, composé des responsables des différentes entités de Mozilla, aura pour mission d’améliorer la coordination interne et de garantir une meilleure cohérence stratégique. Trois nouvelles figures rejoignent l’aventure : Nicole Wong, Kerry Cooper et Raffi Krikorian.

L’objectif de Mozilla est ambitieux : trouver la bonne alchimie entre activité commerciale, innovation technologique et défense des intérêts du grand public.

Le départ de Mitchell Baker est présenté comme une conséquence de ces évolutions, et non l'inverse.

Avec ces changements, Mozilla entend ouvrir un nouveau chapitre et tourner la page des difficultés de l’automne dernier, marquées par deux vagues de licenciements en 2024 et la fermeture de la branche légale.

Catégorie actualité: 
Image actualité AMP: 

Asahi Linux perd son project lead mais continue son voyage

24 février 2025 à 12:03

Asahi Linux perd sa tête pensante : Hector Martin. Asahi est une distribution Linux utilisable sur les Apple Silicon. Ce départ n'est pas une bonne nouvelle pour le développement du projet. Hector part en pointant du doigt Linus Torvalds pour son manque de soutien au projet et Rust dans le noyau.

"Lorsque Apple a sorti le M1, Linus Torvalds souhaitait qu’il puisse exécuter Linux, mais il n’avait pas beaucoup d’espoir que cela se produise un jour. Nous avons fait en sorte que cela se produise, et Linux 5.19 a été publié à partir d’un MacBook Air M2 exécutant Asahi Linux. J’avais espéré que son enthousiasme se traduirait par un soutien à notre communauté et nous aiderait dans nos difficultés de mise en œuvre. Malheureusement, cela ne s’est jamais produit. En novembre 2023, je lui ai envoyé une invitation pour discuter des défis liés aux contributions et à la maintenance du noyau et voir comment nous pouvions aider. Il n’a jamais répondu." indique Hector.

Sur l'intégration de Rust dans le noyau, Hector a un position très claire : "Les problèmes rencontrés par Rust pour Linux, dans le upstream, sont bien documentés, je ne les répéterai donc pas en détail ici. Il suffit de dire que je considère la gestion de l’intégration de Rust dans Linux par Linus comme un échec majeur de leadership. Un projet d’une telle envergure a besoin d’un soutien important des principales parties prenantes pour survivre, alors que son approche semble avoir consisté à simplement attendre et voir. Pendant ce temps, plusieurs responsables de sous-systèmes en aval de lui ont fait de leur mieux pour bloquer ou entraver le projet, émettre des insultes verbales inacceptables et nuire au moral de manière générale, sans aucune conséquence. Un responsable majeur de Rust pour Linux a déjà démissionné il y a quelques mois." poursuit le développeur. 

Décidement, Rust dans Linux n'en finit pas de diviser la communauté et les mainteneurs. 

Le projet n'en est pas mort pour autant. Asashi Linux a tenu à rassurer de la continuation et de la poursuite des développements avec d'importantes évolutions en 2025 sur les derniers Apple Silicon. 

Le long post d'Hector : https://marcan.st/2025/02/resigning-as-asahi-linux-project-lead/

Suite au retrait d'Hector : https://asahilinux.org/2025/02/passing-the-torch/

Catégorie actualité: 
Image actualité AMP: 

Wayland : le compositeur Labwc passe en version 0.8.3

24 février 2025 à 11:50

Wayland, qui remplace X11, a besoin d'un compositeur pour les interfaces. C'est le rôle de Labwc. Le projet est disponible en version 0.8.3. Il supporte le protocole ext-workspace et des améliorations sur les gestions des menus. Cette version inclut quelques nouveautés (icônes de menu, nouvelles options sur le resize), des corrections de bugs. 

Pour rappel, Wayland est un serveur d'affichage avec un serveur et un client. Sur Pi, Wayland est utilisé par défaut. Labwc est le compositeur de l'OS à la place de wayfire. 

Labwc se veut léger et performant. Il s'appuie sur wlroots et s'inspire d'openbox. "Il est léger et indépendant, et se concentre sur les fenêtres et le rendu de certaines décorations de fenêtres. Il adopte une approche sans fioritures et dit non à des fonctionnalités telles que les animations. Il s'appuie sur des clients pour les panneaux, les captures d'écran, les fonds d'écran, etc. pour créer un environnement de bureau complet." dixit le projet. Il ne dépend de toolkits tels que Qt ou GTK. 

Site : https://github.com/labwc/labwc

Catégorie actualité: 
Image actualité AMP: 

ANSII publie un rapport sur l'état des menaces sur les services cloud

24 février 2025 à 11:09

L'ANSSI publie un état de la menace sur le cloud computing. Plusieurs enjeux sont évoqués et particulièrement : la protection face aux lois-extraterritoriales. Ces lois permettent à des pays d'agir même si l'utilisateur n'est pas dans le pays mais utilisent des services / des entreprises du pays. Les Etats-Unis utilisent régulièrement de ce type de lois. 

Les menaces concernent aussi bien les fournisseurs / opérateurs de services cloud, les utilisateurs que les infrastructures cloud. Les attaques à but lucratif sont courantes : le ransomware reste le plus utilisé. Autre attaque souvent rencontrée : le vol de informations d'authentification, de connexion. Ce qui peut entrainer une corruption du compte, du nom de domaine voire de l'infrastructure. Exemple : en 2022, le groupe Lapsus$ avait réussi à s'introduire sur la machine d'un employé d'OKTA pour récupérer et modifier les mots de passe et les tokens de centaines de clients. 

"En 2024, l’ANSSI a traité la compromission et le chiffrement du SI d’un opérateur de communications électroniques proposant différents services dont une solution PaaS. La compromission d’un équipement de sécurité de bordure PaloAlto vulnérable à la CVE- 2024-3400, connu publiquement depuis le mois d’avril 2024, puis la latéralisation et les actions malveillantes qui s’en sont suivies ont entraîné l’indisponibilité des ressources du bénéficiaire et de ses clients durant plusieurs semaines." mentionne le rapport.

L'ANSSI pointe aussi du doigt les attaques pour espionnage. C'est une tendance en progression. Dans cette même approche, il y a les campagnes de déstabilisations d'entreprises ou d'Etat en utiisant l'attaque par déni de service pour saturer les réseaux et serveurs. "A titre d’exemple au niveau réseau (couche 3-4 du modèle OSI), OVH a mis en avant le rôle joué par certains équipements de cœur de réseau détournés à des fins de saturation [30]. De son côté, Cloudflare a décrit une attaque impliquant plus d’une dizaine de millier d’équipements de type internet des objets (IoT) compromis [31]. Ces deux CSP rappellent ainsi que ces attaques peuvent être volumétriques tant par leur taille de trafic que par leur nombre très important de paquets réseau à traiter." (exemple du rapport).

Les utilisateurs sont concernés par la sécurité des services cloud : connexion non autorisée, compromission des données, vols de données, utilisation illicite de ressources (ex. : minage), etc. Les entreprises et les salariés doivent respecter les bonnes pratiques de sécurité. 

Sur la partie purement virtualisation / conteneur et infrastructure, le rapport indique :ces technologies sont donc des cibles de choix du fait de la cohabitation des activités, données et clients.

Les scénarii les plus courants sont :

- qu’une ressource virtualisée malveillante puisse nuire à d’autres ressources virtualisées mitoyennes ;

- que le système assurant la virtualisation soit compromis, mettant à mal les ressources virtualisées hébergées ;

- ue le système d’orchestration puisse être compromis, mettant à mal un ensemble de sys- tèmes assurant la virtualisation.

Que préconise l'ANSSI ?

Plusieurs pratiques / recommandations sont données :

- utiliser le guide d'hygiène de l'ANSSI : 42 pratiques pour protéger les données de l'entreprise

- avoir un contact support technique actif et réactif

- cloisonner les infrastructures, les différentes parties de son SI. "Si le besoin d’interconnexion de ces SI s’avère nécessaire, il est alors indispensable de mettre en œuvre des moyens de cloisonnement adaptés entre ces systèmes. "

- auditer l'exposition des services cloud : cet audit permet de savoir comment se comporte les services cloud, les risques éventuels, la surface d'attaque, etc.

- utiliser un fournisseur certifié SecNumCloud pour les activités critiques ou réglementées

- définir et mettre en place un PCA et un PRA : toujours prévoir un plan de reprise d'activité après un incident, permettre de remonter son infrastructure. "Il est fortement recommandé qu’un client de service cloud mette en œuvre les moyens techniques et humains lui permettant, suite à un incident de sécurité, de maintenir ses activités ou ses services dans un mode dégradé et de faciliter le retour à un fonctionnement nominal."

- détecter et isoler les attaques par déni de services

- avoir une véritable gestion des identifiés et des accès aux comptes cloud

En tout cas, 36 recommandations sont incluses dans le rapport : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-001.pdf

Catégorie actualité: 
Image actualité AMP: 
❌