Habu

Un A321 de la compagnie charter Titan airways avaient dû faire demi-tour alors que certaines des vitres étaient tombées, fondues par l’éclairage à haute intensité d’une équipe de tournage, selon un rapport de l’AAIB, l’organisme britannique chargé des enquêtes sur les accidents aériens au Royaume-Uni.

L’incident s’est produit le 6 octobre sur un vol charter Airbus A321 reliant l’aéroport de Londres Stansted à l’aéroport international d’Orlando. Onze membres d’équipage et neuf passagers étaient à bord. Après le décollage, plusieurs passagers ont remarqué que la cabine semblait « plus bruyante et plus froide » qu’à laquelle ils étaient habitués. Un membre de l’équipage a également remarqué l’augmentation du bruit dans la cabine et a remarqué qu’un « joint de fenêtre claquait dans le flux d’air et que la vitre semblait avoir glissé ». La Direction des enquêtes sur les accidents aériens (AAIB) a déclaré que les vitres en acrylique étaient tombées après avoir atteint des températures allant jusqu’à 110°C (230°F) la veille. L’AAIB a déclaré que les dangers étaient désormais partagés dans l’ensemble de l’industrie.

L’avion de Titan Airways avait déjà été utilisé par le gouvernement et le Premier ministre Rishi Sunak avait volé à bord, mais il était affrété à titre privé par une autre organisation lorsqu’il a décollé d’Essex le 4 octobre avec 11 membres d’équipage et neuf passagers. À 10 000 pieds (3 050 m), l’équipage a signalé un joint de fenêtre « battant » et un bruit de cabine « assez fort pour endommager votre audition ».

L’avion a fait demi-tour à 14 000 pieds (4 270 m) et a atterri en toute sécurité 36 minutes plus tard. La veille, une publicité avait été tournée au sol à Stansted, pour laquelle six jeux de lampes halogènes étaient utilisés pour imiter un lever de soleil. Le rapport indique que leur puissance combinée était de 72 000 watts et qu’ils ont été projetés dans l’avion à une distance de six à neuf mètres pendant plusieurs heures, provoquant la contraction des vitres et la fonte des joints et des anneaux de mousse.

Les enquêteurs ont découvert que quatre fenêtres de la cabine étaient touchées et que trois vitres extérieures et deux vitres intérieures manquaient. Cependant, les vitres de protection (une troisième vitre à l’intérieur de chaque fenêtre) n’ont pas été endommagées, la pression dans la cabine a donc été maintenue, selon le rapport. Une vitre a ensuite été retrouvée sur une piste à Stansted, suggérant qu’elle était tombée avant le décollage, mais les quatre autres n’ont pas été retrouvé

L’AAIB a déclaré que son « enquête avait révélé quatre cas antérieurs [de vitres fondues] sur d’autres cellules, mais que la communauté aéronautique n’en avait pas connaissance ». Dans ces cas-là, les fenêtres avaient été réparées avant que d’autres vols aient lieu. Il a noté qu’il y avait une supervision technique pendant le tournage, mais que « personne y étant impliquée n’avait prévu que les lumières pourraient endommager les fenêtres en acrylique ».

En réponse à cet accident, l’avionneur européen compte publier deux notes pour souligner les dégâts que peuvent provoquer les lumières à haute intensité. L’exploitant de l’avion, Titan Airways, a souligné la nécessité d’une évaluation appropriée des risques axés sur l’aviation lors de la réalisation de ce type d’activité avec un avion : « L’industrie aéronautique dans son ensemble bénéficiera des leçons tirées de cet événement. Nous sommes également heureux d’apprendre que nos collègues d’Airbus diffuseront davantage d’informations à sa clientèle mondiale, soulignant les dommages potentiels pouvant être causés par un éclairage à haute intensité. »

Le rapport complet de l’AAIB est disponible ici.

©AAIB

©AAIB

Rogntudjuuu !

Microsoft déploie actuellement des « suggestions » dans le menu Démarrer de Windows 11. Ces suggestions sont en fait des publicités pour des applications à récupérer dans le Store. Elles sont faciles à désactiver, mais reflètent un problème croissant.

Depuis le 23 avril, Microsoft déploie la mise à jour KB5036980, portant la version de Windows 11 au numéro de build 22621.3527 ou 22631.3527. Elle n’est pas encore déployée automatiquement : seules les personnes allant cliquer manuellement sur le bouton « Rechercher » dans Windows Update pourront la trouver, si elles ont activé l’option « Recevez les dernières mises à jour dès qu’elles sont disponibles », juste en dessous.

Comme indiqué par Microsoft dans le bulletin lié, on y trouve plusieurs nouveautés, comme l’apparition automatique des applications les plus utilisées dans la zone « Nos recommandations » du menu Démarrer, si elles n’y sont pas déjà épinglées. On trouve également plusieurs améliorations pour les widgets, avec une icône plus nette et un fonctionnement plus fiable sur écran verrouillé.

Mais « l’apport » qui nous intéresse, c’est l’arrivée d’applications « recommandées » dans le menu Démarrer.

Des publications faciles à supprimer

Ces applications apparaitront aussi dans la section « Nos recommandations ». Au contraire cependant de ce qu’on y trouvait déjà – des applications et documents – ces nouvelles venues ne sont pas basées sur le contexte ou la fréquence d’utilisation.

Comme l’explique Microsoft, ces recommandations sont issues « d’un petit groupe de développeurs sélectionnés ». L’éditeur ne dit rien de plus et on ne sait pas comment cette sélection se fait. On imagine qu’il s’agit de récompenser les entreprises et développeurs proposant des applications soignées et « faisant honneur » à la plateforme. C’est aussi une manière de promouvoir le Store de Windows, dont la liste d’applications grandit sans cesse. Dans le même paragraphe de présentation, Microsoft donne cependant le moyen de désactiver cet ajout. Il faut ouvrir les Paramètres et se rendre dans Personnalisation > Démarrer, pour décocher l’option « Afficher des recommandations pour les conseils, les raccourcis, les nouvelles applications, etc. ».

À noter que nous ne savons pas à quelle fréquence ces recommandations sont censées se faire. Nous avons réactivé l’option pendant 24 heures, sans voir de différence dans le menu Démarrer, uniquement les applications lancées ou installées récemment.

La guerre publicité, toujours la publicité

On aurait pu ne même pas évoquer ce changement. Après tout, c’est un ajout mineur et facilement désactivable. Mais pour quelques personnes informées qui sauront se débarrasser de ces recommandations intempestives, combien d’autres ne touchent jamais aux paramètres et seront gênées par ces « informations » ? Car en fait de recommandations, il s’agit bien de publicités. Si encore le mécanisme avait puisé dans les habitudes des utilisateurs pour proposer des applications potentiellement intéressantes. Mais non, Microsoft pousse des produits du Store en se basant sur des critères inconnus. Soit parce que la firme les trouve intéressantes et bien faites, soit parce que c’est le résultat d’un contrat en bonne et due forme. On retombe là dans les mêmes travers que depuis bien longtemps dans Windows, avec la présence d’applications ou de recommandations comme autant de publicités. Nous avons souvent abordé ce point dans nos articles. Récemment, nous avons d’ailleurs fait l’inventaire des actions à mener pour « nettoyer » Windows.

• • [Tuto] Comment nettoyer Windows 11

La situation serait différente si Windows était un produit gratuit et fonctionnait sur le même modèle que bien des services de Google : rien à payer directement, mais des publicités. Or, Windows n’est pas gratuit, il est même assez cher. Renforcer la présence des publicités dégrade l’expérience utilisateur, mais cela ne semble pas une priorité chez Microsoft. On retrouve depuis peu la même chose chez Amazon avec l'apparition de publicités dans le service Prime Video. Une augmentation de tarif déguisée, puisque pour revenir au service que l'on connaissait, il faut s'acquitter de 1,99 euro supplémentaire par mois.

FAED y verse

Un décret vient de modifier les dispositions réglementaires relatives au fichier automatisé des empreintes digitales (FAED) afin de permettre des interconnexions avec huit autres fichiers français et européens. Il porte également à 40 ans la durée maximale de conservation des données, pour tenir compte de la prescription de 20 ans.

Le ministère de l’Intérieur explique que le décret modifie les dispositions réglementaires relatives au traitement FAED, précise les finalités du FAED et les catégories de données pouvant être enregistrées, actualise les catégories de personnes pouvant accéder au traitement ou être destinataires des données, ainsi que les durées de conservation des données relatives aux infractions les plus graves, et modifie les droits des personnes concernées pour les mettre en conformité avec le RGPD.

Dans son avis, la CNIL relève que le fichier contenait, fin décembre 2022, plus de 6,5 millions d’empreintes de personnes identifiées en tant que mises en cause (contre 4,8 millions en 2014, et 2,25 en 2004), ainsi que 293 831 empreintes d’origine inconnue et non identifiées.

Elle note que le décret met fin à l’ « interdiction de principe » des mises en relation qui prévalait jusqu’alors, dans la perspective d’une interconnexion des fichiers de police aux niveaux national et international.

Sont en particulier concernées les mises en œuvre du système d’information Schengen (SIS) et du système ECRIS-TCN (pour European Criminal Records Information System – Third Country Nationals, un système centralisé de concordance/non-concordance destiné à compléter la base de données existante des casiers judiciaires de l’UE – ECRIS – sur les ressortissants de pays tiers condamnés dans l’Union européenne).

• Vers des contrôles biométriques « en bord de route »
• Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (1/3)

Comme nous l’avions déjà rapporté, il est prévu que le FAED fasse l’objet d’interconnexions, de rapprochements ou de mises en relation avec plusieurs autres fichiers français et paneuropéens :

• le traitement d’antécédents judiciaires (TAJ), qui comportait en 2018 les données de près de 19 millions de personnes « mises en cause » ;
• les logiciels de rédaction des procédures de la police nationale (LRPPN) et son équivalent de la gendarmerie nationale (LRPGN) ;
• le dossier pénal numérique (DPN), qui vise à rassembler les données et informations collectées tout au long du processus judiciaire pénal ;
• le système national d’information Schengen (N-SIS) qui, en 2019, répertoriait 91 millions de « signalements » et avait fait l’objet de 6,6 milliards de recherches par les États membres ;
• le fichier des personnes recherchées (FPR), qui répertoriait en 2019 « environ 642 000 fiches actives pour 580 000 personnes », une même personne pouvant faire l’objet de plusieurs fiches ;
• le casier judiciaire national (CJN), qui dénombrait 5 119 654 personnes condamnées en 2017 ;
• le système d’entrée et de sortie (EES, pour Entry/Exit System), qui vise à remplacer la pratique actuelle de tamponnage manuel des passeports par l’enregistrement électronique dans une base de données centrale des informations biographiques et biométriques.

La CNIL relève cela dit que, depuis 2015, des exceptions étaient déjà prévues par le décret en vigueur :

• concernant le traitement CASSIOPEE (pour Chaine Applicative Supportant le Système d’Information Oriente Procédure pénale Et Enfants, qui contient des informations relatives aux plaintes enregistrées dans le cadre de procédures judiciaires), pour permettre la mise à jour du FAED lorsque l’autorité judiciaire demande l’effacement des données ;
• dans le cadre de la coopération internationale en matière de police judiciaire.

Le ministère de l’Intérieur précise qu’à ce jour, l’interconnexion avec le N-SIS ne permet qu’une alimentation manuelle des fiches de signalisation, mais que ce processus sera à l’avenir automatisé. De même, la transmission d’informations dans le TAJ sera réalisée ultérieurement au moyen d’une interconnexion pour automatiser les fusions de dossiers.

• Plus d’un tiers des Français sont fichés dans le FNAEG
• L’Intérieur muscle le fichier des personnes recherchées

Plus d’interconnexions de fichiers = plus d’erreurs

Hardware maker Thrustmaster has revealed a new joystick base system that takes their well known Warthog series and pushes it to the next level with features intended to ensure that they are competing with the latest from other makers out there. Let’s have a look!

AVA base

Thrustmaster’s Warthog series of joysticks and throttle systems have been around for a very long time. It first came out in 2010 and it’s been one of the more popular systems in combat flight simming. If you were a DCS: A-10C pilot when this came out, this was the system of choice. But its 14-years later and it is definitely time for something new.

Thrustmaster are matching their competition by offering a new joystick base that then lets you pick the grip that you want to use. One of the key marketing pieces here is custom configurations with the ability to set the stick up to your liking with the axis curve, cams, springs, deflection masks and with a damper. You can also set your own center point with their Accurate X&Y sensors. The system also uses their proprietary H.E.A.R.T magnetic technology in the sensors.

Thrustmaster also imply future configuration options for the stick with additional grips, extensions, cams, springs, dampers and a cyclical brake all planned. Shown in the marketing is their Viper HOTAS add-on grip. Presumably their Hornet HOTAS add-on grip is also compatible.

For all of this, they are offering the base up for $299.99 USD. You can learn more about the product on their website.

Ça y est, la vénérable sonde spatiale Voyager 1 de la NASA refait parler d’elle ! Après des mois de silence radio qui ont fait transpirer les ingénieurs, notre exploratrice de l’espace lointain a enfin daigné donner de ses nouvelles puisque pour la première fois depuis le 14 novembre 2023, elle renvoie des données utilisables sur l’état de santé de ses systèmes embarqués. Ils respirent mieux à la NASA.

Il faut dire que la mission nous a offert quelques sueurs froides ces derniers temps car depuis cette date, elle continuait bien à recevoir et exécuter les commandes envoyées depuis la Terre, mais impossible d’obtenir en retour des infos cohérentes sur son fonctionnement. Alors les enquêteurs du Jet Propulsion Laboratory de la NASA ont mené l’enquête et ont fini par identifier le coupable : un des trois ordinateurs de bord, le fameux « flight data subsystem » (FDS) responsable de la transmission des données, était en cause. Un seul circuit défectueux qui stocke une partie de la mémoire du FDS avec une portion cruciale du logiciel… et bim, panne générale avec perte des trames de données !

Pas évident de réparer ça à des milliards de kilomètres de distance et comme souvent, quand on ne peut pas changer le hardware, il faut ruser avec le software. L’équipe a alors élaboré un plan génial : découper le code incriminé et le stocker à des endroits différents de la mémoire du FDS. Un vrai casse-tête type jeu de « Mémory » pour recoller les morceaux correctement sans faire sauter la banque mémoire !

Puis banco ! Premier essai le 18 avril, ils transfèrent le nouveau code maison spécial « télémétrie de l’état des systèmes » dans la mémoire du FDS et environ 45 heures plus tard, en comptant les 22h30 de trajet aller-retour du signal radio, les ingénieurs reçoivent les précieuses données tant attendues.

Yes !!! Voyager 1 est de retour aux affaires et recommence à parler de sa santé !

Regardez comme ils sont contents à la NASA :

Outre le soulagement de voir la communication rétablie, c’est une belle prouesse technique et un formidable pied-de-nez à l’obsolescence programmée. Pas mal pour une sonde lancée en 1977 et qui fête ses 46 ans ! Quand on vous dit que le matériel était bien meilleur à l’époque. 😉😜

Maintenant l’équipe du JPL va pouvoir se consacrer aux prochaines étapes à savoir relocaliser petit à petit les autres bouts de code du FDS pour retrouver une configuration nominale, puis renouer avec la transmission des données scientifiques et le but premier de la mission, à savoir explorer les confins de l’espace interstellaire !

Pendant ce temps, sa petite sœur Voyager 2, lancée 16 jours plus tard en 1977, poursuit tranquillement sa route aux frontières du système solaire sans faire de vagues. Une fiabilité à toute épreuve pour ces deux merveilles technologiques qui auront marqué l’histoire de l’exploration spatiale qui avant même de s’aventurer dans le « grand vide » interstellaire, nous ont offert des clichés époustouflants de Jupiter, Saturne, Uranus et Neptune.

Et qui sait, peut-être qu’un jour, elle captera peut-être un signal extraterrestre ou tombera nez-à-nez avec une civilisation alien super évoluée technologiquement…

Vers l’infini et au delà, les amigos !

Source

Attention, ça va faire mal surtout si vous pensiez que vos conversations sur Discord étaient à l’abri des regards indiscrets. Désolé de casser l’ambiance, mais c’est loin d’être le cas.

Un petit malin a eu la bonne idée de créer un service en ligne baptisé « Spy Pet » qui s’amuse à aspirer en masse les données des serveurs Discord dont vos messages publics, les canaux vocaux que vous rejoignez, et les données liées à votre activité sur les différents serveurs. Et le pire, c’est que ces données sont ensuite revendues à bon prix (5$) à qui veut bien les acheter. De quoi être un brin parano !

Normalement, avec Discord, notre activité est éparpillée façon puzzle sur tout un tas de serveurs, et personne à part Discord lui-même ne peut voir ce qu’ont fait sur la plateforme dans son ensemble. Mais avec Spy Pet, n’importe qui peut potentiellement mater une partie de vos faits et gestes numériques pour une poignée de dollars. Le site se targue de pister plus de 14 000 serveurs et d’avoir en stock pas moins de 3 milliards de messages, de plus de 600 millions de comptes, mais difficile de vérifier ces chiffres.

Finalement, Discord n’est pas aussi privé qu’on pourrait le croire puisque les messages postés publiquement sur les serveurs sont à la merci du premier scraper venu. Heureusement, tout n’est pas perdu. Pour limiter les dégâts, voici quelques conseils :

• Ouvrez l’œil sur les bots qui essaient de rejoindre vos serveurs. C’est souvent comme ça que les scrapers s’infiltrent mine de rien. Méfiez-vous des nouveaux venus sans photo de profil ni historique.
• Pensez à passer vos serveurs en mode privé et à renforcer les paramètres de vérification pour tenir les indésirables à distance.
• Si vous êtes admin, virez sans pitié les comptes louches qui traînent dans le coin.

Et surtout, partez du principe que tout ce que vous postez publiquement sur Discord peut potentiellement être vu par n’importe qui. Ça vaut pour tous les services en ligne d’ailleurs.

Bref, restez vigilants, sécurisez vos serveurs et réfléchissez avant de poster des trucs trop perso sur Discord ! Et si vous tenez vraiment à ce que vos échanges restent privés, passez plutôt par des apps de messagerie sécurisées de bout en bout, genre Signal ou Telegram. Ça évitera les mauvaises surprises !

Source

Bad news, la firme de Redmond vient tout juste de lancer une nouvelle mise à jour pour les Insiders sous Windows 10, la build 19045.4353 qui à première vue n’a rien de bien folichon… Mais si on y regarde de plus près, y’a quand même un truc qui risque de vous faire tiquer : Une bannière dans les Paramètres pour vous pousser à abandonner votre bon vieux compte local et passer à un compte Microsoft.

On se demande bien pourquoi Microsoft tient tant à ce qu’on ait tous un compte chez eux sur nos machines. Bon ok, je suppose que c’est lié à toutes leurs fonctionnalités en ligne, genre la synchro des paramètres, les sauvegardes dans le cloud, la gestion simplifiée des abonnements, tout ça mais bon, ça devient un peu pushy je trouve. On dirait presque une incitation à passer sous Linux ^^.

Cette guéguerre de Microsoft contre les comptes locaux sous Windows, ça gave tout le monde, même Elon Musk qui a pété un câble en découvrant qu’il pouvait pas installer Windows 11 sans compte Microsoft. La chance qu’on a sous Windows 10, c’est qu’on peut encore contourner ce forcing sans trop se prendre la tête lors de l’installation initiale mais sous Windows 11 par contre, c’est une autre paire de manches… Impossible d’utiliser un profil local, sauf si vous connaissez l’astuce à base de oobe\bypassnro.

Pour l’instant, ce changement se déploie progressivement, donc vous n’aurez peut-être pas tous droit à ce joli cadeau. Mais si vous voulez voir cette bannière par vous-même, pas de souci… il vous suffit de télécharger l’outil ViVeTool, ouvrez une invite de commande en mode administrateur, et hop, un petit

vivetool /enable /id:42563876

et le tour est joué. (et c’est /disable pour le désactiver)

Par contre, une fois que ce sera en place, pour mettre hors de vue ces satanées bannières, faudra aller dans Paramètres > Confidentialité > Général et décocher l’option « Afficher le contenu suggéré dans l’application Paramètres« . Ou alors, un bon vieux clic sur la croix à côté du bouton « Se connecter maintenant« , et basta.

Alors on migre ou pas ?

D’un côté, ça facilite pas mal de trucs d’avoir un compte Microsoft, surtout avec tous leurs machins à base d’IA qui vont arriver, mais de l’autre, j’aime bien garder un minimum de contrôle sur mes données et ma vie privée. Certains d’entre vous préfèrent d’ailleurs surement garder leurs infos perso pour eux, et ne pas se créer de compte Microsoft ce qui est bien légitime comme préoccupation.

J’ai juste peur qu’à un moment, cette incitation risque à un moment de se transformer en obligation… On verra bien.

Source

Orbx has officially released the second installment of its PNG Highland Bush Strips series for Microsoft Flight Simulator. This new pack follows up on the first entry released last year and adds seven new bespoke airstrips to the rugged terrains of Papua New Guinea’s highlands.

Pack 2 of the Highland Bush Strips takes the adventure to new heights, quite literally, with airstrips ranging from the lofty TEP TEP airstrip sitting over 7,000 feet above sea level, to the coastal strip at GUHU, which lies at an elevation of approximately 3,000 feet. The selection of airstrips in this release includes AYSP Sapmanga, AYIS Isan, AYTP Tep Tep, AYBC Bambu, AYNA Nankina, AYNH Nahu, and AYGH Guhu.

For bush pilots looking for a challenge, Orbx’s PNG Highland Bush Strips Pack 2 offers a perfect blend of difficulty and beauty. With an appropriate aircraft like the Pilatus Porter or the Kodiak 100, simmers can undertake a breathtaking journey from Sapmanga to Guhu, touching down at all seven new airstrips. This route requires skillful navigation over peaks surpassing 11,000 feet and managing steep descents into picturesque valleys – a true test of short takeoff and landing skills!

Orbx has committed to a high level of detail and realism in this expansion. The pack features over 100 unique models, all with PBR textures that incorporate advanced weathering techniques to reflect the natural, rugged environment of Papua New Guinea. Each model is also optimized with LOD techniques to ensure smooth performance without sacrificing visual quality.

Orbx has modeled the airstrips to mirror their real-world counterparts as closely as possible, including accurate terrain profiles and runway elevations. Approaches and departures have been designed to account for vegetation, eliminating the need for pilots to dodge large trees on final approaches. Additionally, for simulation purists who enjoy starting their flights “cold and dark,” parking positions have been added to each airstrip.

Further enhancing the authenticity of this scenery, the surrounding villages have been revamped with more realistic building models, replacing the default autogen structures to better represent the local architecture. The pack also addresses areas where default scenery might appear sparse by adding patches of vegetation.

Orbx’s PNG Highland Bush Strips Pack 2 is another invitation to experience some of the most challenging and scenic flying in the world. It’s available now from Orbx and is priced at around $12.00 USD.

After months of anticipation, the day has finally arrived! AzurPoly’s OV-10 Bronco, a storied aircraft known for its robust versatility and military history, is now available for Microsoft Flight Simulator. This release is particularly promising from AzurPoly, following up on their previous C-160 Transall with another military aircraft. Despite their differences, it continues to cement the developer’s reputation as one of the most respected in the community.

AzurPoly’s OV-10 Bronco was developed in collaboration with real OV-10 pilots and is based on detailed studies of a still-active Bronco. It’s arguably the most comprehensive and accurate rendition of the OV-10 Bronco ever made for flight simulation enthusiasts, who can now experience another detailed and feature-packed aircraft from AzurPoly.

In fact, this virtual model of the OV-10 Bronco couldn’t be more feature-rich. From the highly detailed external and internal model with high-resolution textures to the advanced flight model developed with input from former OV-10 pilots, to comprehensive simulations of the fuel and electrical systems, among many other engaging features, there’s a lot here to keep you entertained.

Features:

• Highly optimized 3D model (interior & exterior).
• Interior model based on a 3D scan.
• Fully modeled fuselage and cabin.
• Ultra-high-resolution textures based on photoscans.
• Distinct exterior models for OV-10A and OV-10B variants (sponson, glass dome).
• 12 liveries including the most famous ones (Cal Fire, USAF, US Marines, Luftwaffe, etc.).
• Custom sound package based on real Bronco recordings.
• Flight model developed with the help of former OV-10 pilots.
• Fully animated cockpit, including all switches and buttons.
• Accurate representation of Garrett TPE331 engines with custom condition lever/power lever implementation.
• Fully functional avionics based on custom code.
• Replicated fuel system with external tank implementation.
• Faithful electrical circuits with functional breakers.
• Sophisticated interior and exterior lighting.
• Operational gunsight with a dimmable reticle.
• Several extra animations (movable mirrors, air vents, etc.).
• Jettisonable external fuel tank.
• Working machine guns with firing effects.
• Various weapons can be displayed below the fuselage and wings.
• Dynamic tire deformation depending on pressure and aircraft weight.
• Animated covers and antennas depending on relative wind.
• Several visual effects including a smoke system.
• Dynamic vibration of loose objects (canopy, gauge needles, etc.).
• Canopy can be jettisoned when opened at high speeds.
• GNS 430 and GTN 650 (TDS Sim & PMS50) units for GPS navigation.
• Custom EFB (Electronic Flight Bag) to manage numerous aircraft settings.
• Autopilot implemented in the EFB.
• Interactive checklists with copilot actions.
• Comprehensive flight manual available.

The OV-10 Bronco also introduces sophisticated weaponry options for users, featuring operational guns that can be enabled via the Weapons Manager, available for installations from the MSFS Marketplace due to store policy restrictions on depicting armaments. Versions available outside the Marketplace (not yet available but coming soon), such as on Orbx and simMarket, will have weapons available from the start.

As part of this ambitious project, AzurPoly collaborated with PMS50 and TDS Sim Software to integrate their respective GPS navigation units.

The AzurPoly OV-10 Bronco is available now in the MSFS Marketplace for $28.99 USD.

Intel fait Top 1, mais s’en passerait bien

Cela fait des mois que des témoignages font état de plantages sur les processeurs Intel haut de gamme : les Core-i9 13900K et 14900K, respectivement de 13e et 14e génération. On trouve des témoignages sur Reddit et dans les forums du fabricant, avec des solutions de contournement proposés par la communauté et les développeurs. Les choses s’emballent ces derniers jours.

Epic Games est récemment sorti du bois : « Nous avons connaissance du fait que Fortnite plante fréquemment sur les processeurs i9-13900K/KF/KS et i9-14900K/KF/KS ».

Intel Fail Safe : augmenter la tension pour réduire les bugs

Une solution de contournement est, selon Epic, de changer le paramètre SVID Behavior sur « Intel Fail Safe » dans le BIOS… ce qui n’est pas sans conséquences, comme le précise Ars Technica suite à un retour d’un de ses lecteurs : « le paramètre Intel Fail Safe augmentait la tension de son processeur jusqu’à 1,625 V », au lieu des 1,3 à 1,4 V dans son fonctionnement de base.

Si cela reste dans la plage admise par le processeur, c'est une tension élevée, « qui pourrait raccourcir la durée de vie du processeur au fil du temps », ajoutent nos confrères. Il y a quelques semaines, un technicien d’assistance d’Intel affirmait le contraire sur le forum du fabricant.

Intel se veut rassurant… mais change quand même un CPU

« Je peux vous assurer que l’exécution avec "Intel Fail Safe" exécute soit le comportement par défaut ou reste dans les spécifications » du processeur. « Cela n’augmente pas la tension ; cela rétablit le comportement préconisé par les spécifications d’Intel. Cela ne provoquera pas de "burn out" du processeur et n’aura pas d’impact sur sa durée de vie ». L’utilisateur à l’origine du message sur les forums s’inquiète par contre de la hausse de 20 °C de la température de son processeur avec l'Intel Fail Safe activé, ce qui est logique puisque la tension est plus élevée que lorsque le paramètre n’est pas activé. Là encore, le technicien affirme qu’il ne faut pas s’inquiéter : « bien que la température soit plus élevée, tant qu’elle ne dépasse pas la température maximale du I9-13900K, il ne devrait pas y avoir de problèmes avec votre système ». L’histoire se termine finalement par un remplacement du processeur du client, qui avait fait une demande de prise en charge auprès d’Intel, clôturant ainsi la conversation. Quoi qu’il en soit, ce n’est pas le seul cas, d’autres témoignages indiquent qu’Intel a procédé à des changements de processeurs (que l’on peut donc considérer comme défectueux). Selon Wccftech, qui a interrogé plusieurs revendeurs coréens, l’un d’entre eux aurait « signalé que plus de dix joueurs retournaient chaque jour un processeur ou un PC Intel de 13e et 14e génération, citant à chaque fois des préoccupations similaires sur la stabilité dans les jeux ».

Steam : même problème, autre recommandation

Le studio Team Ranger en fait part aussi dans les notes de versions de Outpost Inifinity Siege sur Steam et recommande à ceux qui ont une GeForce RTX 4090 avec un Core i9 13900K ou 14900K d’utiliser l’application XTU (Extreme Tuning Utility) d’Intel « pour réduire la fréquence du processeur (par exemple, de 5,5 à 5) ». Il y a plusieurs mois déjà, RAD Game Tools, racheté par Epic Games en janvier 2021, parlait de « l’instabilité des processeurs Intel provoquant des erreurs de décompression avec Oodle », l’outil de compression utilisé dans de nombreux jeux. Web Archive dispose d’une copie de cette page datée du 26 décembre 2023.

« Nous pensons qu’il s’agit d’un problème matériel qui affecte principalement les processeurs Intel 13900K et 14900K. Les processeurs 13700, 14700 et d’autres processeurs proches sont probablement moins impactés. Seule une petite fraction de ces processeurs présente ce comportement. Le problème semble être causé par une combinaison de paramètres du BIOS, de fréquences d’horloge élevées et de consommation de ces processeurs, ce qui entraîne une instabilité du système et un comportement imprévisible sous une charge de travail lourde ».

Plantages dans CineBench, Prime95, Handbrake, Visual Studio…

RAD Game Tools ajoutait qu’« aucun bug logiciel dans Oodle ou Unreal » ne semble en être la cause. La filiale d’Epic Games ajoutait que « tous les programmes qui utilisent fortement le processeur sur de nombreux threads peuvent provoquer des plantages ou un comportement imprévisible. Des erreurs ont été observées dans RealBench, CineBench, Prime95, Handbrake, Visual Studio, etc. Ce problème peut également apparaître sous la forme d’une erreur GPU, avec une fausse indication de « mémoire vidéo insuffisante », même si elles sont causées par le processeur ». Les solutions proposées reprennent celles déjà évoquées précédemment : réduire la vitesse (en baissant le coefficient multiplicateur), désactiver l’overclocking (manuel, automatique, via « IA »…), passer le paramètre SVID behavior du BIOS à « Intel fail safe », etc. RAD Game Tools propose aussi de réduire le TDP maximum du processeur. Des étapes détaillées pour les cartes mères ASUS, Gigabyte et MSI sont indiquées en bas du bulletin d’alerte.

Les témoignages se multiplient, Intel enquête enfin

Au cours des derniers mois, le nombre de témoignages augmente (ici et là par exemple), comme les retours des développeurs proposant tous plus ou moins les mêmes solutions de contournement pour éviter les plantages avec les processeurs Intel. Il y a quelques jours, PCWorld relatait une histoire de plantage sur Fortnite et le changement d’un Core i9 13900K a permis de résoudre les soucis. Si tous les chemins mènent à Rome, toutes les erreurs dont il est question aujourd’hui semblent mener aux CPU Intel. Comme le rapporte The Verge (via ZDNet Korea), le fabricant est enfin sorti officiellement de son silence : « Intel est conscient des problèmes qui surviennent lors de l'exécution de certaines tâches sur les processeurs Core de 13e et 14e générations pour ordinateurs de bureau et les analyse avec ses principales filiales ».

Amazon avait prévenu que la publicité arriverait le 9 avril. C’est donc le cas depuis hier dans de nombreux pays, dont la France. Au premier lancement, un message devrait vous accueillir, vous précisant que la publicité est là et qu’il est possible de payer 1,99 euro de plus par mois pour ne pas la voir.

Concrètement, cette publicité peine à se faire oublier. Sans atteindre les longues, très longues plages publicitaires de YouTube, les contenus sont présents et peuvent intervenir aussi bien entre deux épisodes d’une série que pendant un film. Sur la barre de progression, les zones prévues sont identifiées, mais il n’est bien sûr pas possible de les passer.

Les publicités peuvent concerner aussi bien des produits internes que tiers, ainsi que des bandes-annonces pour d’autres séries et films sur la plateforme.

Microsoft Flight Simulator is an incredibly capable platform that allows virtual pilots to mimic the complexities and joys of real-world flying. From simulating commercial airliner flights across the world to testing your skills as a bush pilot in the backcountry, the flying possibilities are endless in MSFS!

Today we’re introducing you to a recently released tool that expands these possibilities even further. AirshowAssistant, developed by Touching Cloud, enables simmers to conduct their own airshows using any aircraft in their virtual hangar.

This tool provides a sophisticated means to add smoke and flares that trail your aircraft, fundamentally changing the visual dynamics of a flight. Crucially, it’s also capable of adding wingmen near you, sort of like ghost planes, that realistically maintain a formation and follow you around!

AirshowAssistant is engineered to inject an additional layer of realism and visual flair into your flights. It achieves this through a series of key functionalities:

• Aerobatic Smokes and Flares: Enables pilots to generate visually striking displays.
• Customizable Smoke Sources: Offers pilots precise control over the placement of smoke and flare dispensers.
• Adjustable Smoke Trails Properties: Allows for the customization of smoke color, density, width, and trail length.
• Universal Aircraft Compatibility: Ensures that the tool can be used with any aircraft model within MSFS.
• User-Friendly Interface: Simplifies the process of creating and executing airshows.
• Environmentally Reactive Visual Effects: Visual effects adapt to changes in weather conditions, adding to the realism of the simulated environment.

The final impact is undeniably impressive. More than just enabling airshow stunts, the option to have a companion plane fly alongside you brings a comforting sense that you’re not alone in the vast skies.

At the heart of AirshowAssistant is its emphasis on customization and control. The tool allows users to manually adjust the position of smoke generators and flare dispensers on their aircraft, offering a granular level of creative freedom. For the wingmen feature, you can select up to three companions and choose from several possible formations. There are also a few options to customize the behavior of the wingmen, adjusting the realism of their reaction to your movements, for example.

Despite its advanced capabilities, AirshowAssistant maintains a user-friendly interface. The ability to save and load presets enhances convenience, enabling users to easily reuse or share their setups.

However, it has limitations, such as not supporting multiplayer activities, meaning that the smokes and flares generated by a user are not visible to other players in a shared virtual environment. This is, therefore, uniquely a single-user add-on.

In the end, Touching Cloud’s AirshowAssistant is a fantastic little utility that enables simmers to perform some very cool tricks in the simulator! It’s available via the MSFS Marketplace, typically priced at just $4.99, but these days even cheaper for only $1.99 due to a running Spring Sale. A demo version is also available on the website. Highly recommended!

Seaplane pilots in Microsoft Flight Simulator are in for a treat with the latest scenery release from Pyramid8 Studios. YRAY Sydney Seaplanes is now available, vividly capturing the essence of the iconic Sydney Seaplane base in Rosebay. This release is a tribute to the rich history and vibrant present of seaplane aviation in one of Sydney’s most prestigious suburbs!

The Rosebay seaplane base, located in Lyne Park, is a part of Australia’s aviation history. Dating back to the 1930s, it played an important role at the beginning of the country’s Golden Age of aviation. This era continues to be revisited to this day as the rich and famous enjoy scenic flights from Rosebay to other nearby locations. Pyramid8 Studios’ 3D modeling and animation techniques aim to offer MSFS simmers a chance to experience this!

YRAY Sydney Seaplanes promises to be an immersive scenery that captivates the essence of seaplane flying. Users can embark on scenic flights from Rosebay to breathtaking locations like Shark Island and Cottage Point Inn. This area is a famed destination for both local and international celebrities seeking the unique experience of flying to lunch or dinner with scenic views.

Pyramid8 Studios has left no stone unturned in recreating the Sydney Seaplanes base and its surroundings. From the Empire Lounge to the picturesque Shark Island and Cottage Point Inn, there are a lot of scenery features to discover here!

The package includes over 1500 hand-placed objects and more than 100 custom buildings, all brought to life with realistic PBR texturing. Custom animations, night lighting, boats, yachts, and vegetation round off the package, ensuring an authentic and engaging environment that simmers can explore using their favorite seaplane.

YRAY Sydney Seaplanes is designed to integrate seamlessly with Orbx’s stunning Sydney Cityscape, making for a fantastic scenery to fly in Microsoft Flight Simulator, not only enjoying the typical destinations served by the Sydney Seaplanes base but also venturing beyond into the city and its iconic skyline.

YRAY Sydney Seaplanes is available now from Orbx, priced at just $14.99 AUD plus tax.

We’ve got a great new update from Jason Williams and the Combat Pilot team thanks to developer diary number seven! April 1, as it turns out, is the first official day that Combat Pilot began development and Jason’s update talks a little about the journey from then until now. There’s also talk about assets, the engine, and even the possibility that we may be playing an early prototype. There’s so much to talk about so let’s have a look!

Flying Combat Pilot sooner than later?

One of the big reveals in this latest diary is that the team are working on packaging up a version of Combat Pilot that they are calling Combat Pilot: Experimental Prototype. It is what it says on the tin as this is an early version of the sim that they intend to be playable with the basics. That include a flyable airplane, some floating aircraft carriers, sky, ocean, Midway Atoll, a GUI and controller support. This early version may end up being something that they sell access as a kind of preview for dedicated flight simmers – I’d sign up for that in a heartbeat!

The branding very plainly distinguishes this as an early offering and separates it from a fuller featured offering later.

Jason talks about their future plans too:

We plan to make Combat Pilot a long series of titles, not just one. Remember, this is just the beginning of our journey and we won’t get there in one big jump. Nor will we tease you for years and years while we develop it, we will continue to be as upfront and transparent as we can without giving trade secrets away.

Jason Williams

The update indicates that they intend to have a playable prototype by the summer with the basics working.

There may also be opportunities for crowdfunding. While the product already has investors, crowdfunding might help the product along and so Jason reports that they are investigating the possibility of doing crowdfunding with a Patreon model or t-shirts, posters, calendars and other items through a storefront. He also says that they expect this might help offset costs but aren’t expecting to see Star Citizen-like investments.

It’s Unreal!

One of the things that Jason and team haven’t talked about very much yet is the underlying technology. But now that development is underway and they have explored their options, they are going to start talking a little bit about what underpins the sim and its quite interesting.

The engine they are using is Unreal 5.3. A few years ago, using Unreal Engine for a flight sim might have seemed silly, but Unreal 5 and beyond have pushed the limits of what old Unreal engine technology could do to the kinds of scales that a sim like Combat Pilot demand.

From the sounds of things, you can’t just drop a few assets in and make a flight sim. That said, Jason talked about some interesting information around Epic and the Unreal Engine being used for commercial sector aerospace and defense companies. I’ve written about that in the past.

Akagi videos, Wildcats, guns and more!

We’ve got the official launch of the Combat Pilot YouTube channel and our first two videos from the project. The first video is an early preview of the Akagi showing off the model in-engine with tons of modeled detail already on display. It of course has no textures yet as that work is still to come but its a great first demonstration of what they are currently building.

The second video is also really interesting as Jason talks a bit about the underlying engine technology and shows off how fabric and wind interact in the engine. Because they are utilizing something that has already been developed, there’s tons of capability already built-in.

We also got a ton of development images showing off various models. And that starts again with Akagi which is LOD0 complete (the highest detail level). Enterprise is also finished at the mesh level and both carriers are heading over to the texture artists to start receiving the details that takes this to the next level.

A bunch of guns are on display in this update too ranging from this Japanese 25mm Type 96 AA gun to the 12cm Type 3 Gun, Water-Cooled .50 Cal. and 7 in. / 44 Cal. Artillery.

Next up, we have the very latest on the F4F Wildcat showing off gobs of detail. The gun access panels are open and the engine cowling is off. The details are incredible!

Another item on display are buildings and we have several examples, including this building which comprises the mix of civilian and military buildings present on Midway in 1942.

Skin artists wanted

One of the last pieces of the update includes a call for a skin artist. The position appears to be aimed as a volunteer artist for now to create some liveries for the Wildcat. Experience with Substance Painter, Photoshop, and knowledge of PBR and materials texturing techniques suggested.

FSExpo

The last thing to take away from the update is that Combat Pilot will be at FSExpo this year in Las Vegas. The expo event has been mentioned several times throughout this update as Jason indicates that the team are working hard to show something off by the show.

I am pleased to report that I will be there on the show floor to check it out. If you are thinking of going, be sure to use the Stormbirds FSExpo 2024 link right here.

Summing it up

That was an impressive developer diary! While Combat Pilot remains a combat flight sim in its infancy, you can see the clear progress from the early days to now. The massive amount of content that is required to make this happen goes well beyond just the airplanes and also includes key items that range from anti-aircraft artillery gun models to aircraft carriers and buildings.

Getting from here to a releasable product is going to take time although their Experimental Prototype release would give us a fantastic little preview and let us, the community, experience a piece of the puzzle while the rest of it is built. For those less enthusiastic, the wait will of course be longer while a full product is built but things are definitely looking really good here. I can’t wait to see more!

Those were just some of the key takeaways but I encourage you to visit the developer diary for more images (including several artillery and AA gun models). Read the full update right over here!

Disney va rejoindre Netflix dans la chasse aux comptes partagés. Les tarifs accessibles et la complaisance face à cette pratique courante sont désormais loin.

Dans une interview accordée à CNBC, Bob Iger, le puissant CEO du groupe, a confirmé que la détection commencera en juin dans plusieurs pays, sans que l’on sache encore lesquels. Il a évoqué une « première véritable incursion » de l’entreprise dans la mise au pas des abonnés récalcitrants.

La société n’avait pas fait mystère de ses intentions. En août de l’année dernière, la nouvelle grille tarifaire montrait comment Disney+ marchait dans les pas de Netflix sur de nombreux points, jusque dans le découpage fonctionnel puisque la 4K, le HDR et le Dolby Atmos par exemple devenaient réservés à l’offre la plus onéreuse. Elle avait également prévenu que les comptes partagés seraient une priorité en 2024.

Disney s’est probablement donnée un peu de temps, pour observer comment le public allait réagir aux hausses de prix, y compris chez son concurrent, tout comme sa chasse aux comptes partagés. Chez Netflix, les résultats ont été très bons, loin des prédictions catastrophistes que l’on pouvait lire lors du durcissement des conditions. Il n’y avait plus de raisons d’attendre.

Des enseignants utilisent l’IA pour corriger les dissertations, relève CNN, qui note que cela soulève cela dit plusieurs questions éthiques.

Un rapport du cabinet de conseil en stratégie Tyton Partners, parrainé par la plateforme de détection de plagiat Turnitin censée aider les enseignants à identifier quand les devoirs sont rédigés par ChatGPT et d’autres IA, a en effet révélé que la moitié des étudiants utilisaient des outils d’IA à l’automne 2023. De plus, le pourcentage de professeurs utilisant, eux aussi, des IA était passé à 22 % dans le même temps, contre 9 % au printemps 2023.

Les enseignants se tourneraient vers des outils et plateformes tels que ChatGPT, Writable, Grammarly et EssayGrader, pour les aider à noter les devoirs, rédiger des commentaires, élaborer des plans de cours et créer des devoirs, quiz, sondages, vidéos et contenus interactifs afin d’améliorer ce qu’ils proposent en classe.

Or, si certaines écoles ont élaboré des politiques sur la manière dont les élèves peuvent ou non utiliser l’IA pour leurs travaux scolaires, beaucoup n’ont pas de lignes directrices à l’intention des enseignants.

Et ce, alors que l’IA permettrait aux enseignants de « noter les devoirs plus rapidement et de manière plus cohérente et d’éviter la fatigue ou l’ennui », relève Dorothy Leidner, professeur d’éthique des affaires à l’Université de Virginie.

Or, souligne Leidner, « un enseignant devrait être responsable de la notation, mais peut confier une certaine responsabilité à l’IA », alors que la notation devrait être « personnalisée » afin que les enseignants puissent fournir des commentaires plus spécifiques et témoigner du travail des élèves et, par conséquent, leur permettre de progresser au fil du temps.

panicattack.gif

Une faille de sécurité critique dans la suite d’outils XZ a déclenché une vague de peur et de recherche pendant le week-end. Elle témoigne d’une activité malveillante intense et d’une planification exemplaire. Sa découverte, presque par hasard, entraine une vaste réflexion sur les processus de validation.

Un coup de chance. C’est ainsi que la découverte de la faille est qualifiée depuis vendredi. La vulnérabilité réside dans XZ Utils, une suite d’outils largement utilisée pour effectuer de la compression sans perte et incluant notamment les programmes lzma et xz, ainsi que quelques bibliothèques.

Le composant est présent dans toutes les distributions Linux qui, elles-mêmes, sont à la base d’un très grand nombre de serveurs. Les conséquences potentielles étaient gigantesques, d’autant que cette brèche n’était pas le résultat d’une erreur de programmation. Ce n’était pas un classique dépassement de mémoire tampon ou un bug de corruption mémoire. C’était le résultat d’une activité malveillante ayant pris place sur plus de deux ans.

Une découverte accidentelle

Andres Freund est un ingénieur travaillant comme développeur chez Microsoft, dont la spécialité est PostGreSQL. À la suite de plusieurs semaines de tests divers, en particulier de micro-benchmarks, il remarque plusieurs comportements troublants sur une connexion sécurisée SSH : elle nécessite 500 ms de plus pour s’établir et des pics d’utilisation CPU apparaissent. Curieux, il se penche sur la question et remarque vite que ces changements se manifestent depuis des mises à jour récentes. Il tombe rapidement sur la dernière version déployée de XZ Utils et découvre le pot-aux-roses : il existe une porte dérobée pour OpenSSH. L’ingénieur a publié sa découverte sur le forum Openwall ainsi que sur Mastodon le 29 mars, pour que l’information soit relayée. Les versions 5.6.0 et 5.6.1 du paquet sont concernées. Sur les dernières 48 heures, nombre de mises à jour ont été déployées dans les distributions pour revenir à l’ancienne mouture 5.4.6. De nombreux éditeurs, comme Red Hat, ont publié des bulletins de sécurité pendant le week-end. La faille a été identifiée comme CVE-2024-3094, avec la note maximale de sévérité : 10. Toutefois, ce sont essentiellement des versions de test et des systèmes en rolling release qui ont été touchés. La plupart des distributions « classiques » étaient encore sur des versions plus anciennes, notamment Debian et Ubuntu dans leurs révisions stables. Vous pouvez connaître votre version de XZ Utils à tout moment via la commande suivante dans un terminal :

xz --version

Le fonctionnement de la porte dérobée

Extrêmement bien conçue et cachée, la backdoor ne réside pas dans le code source de XZ Utils, mais dans le processus de packaging des nouvelles versions, via notamment des fichiers de test. Il existe même des instructions pour masquer un peu plus la présence de la porte dérobée quand un outil de débogage est détecté. Plus précisément, cette dernière consiste en une succession d’étapes, dont les dernières ne se déclenchent que si la bibliothèque principale de XZ Utils est compilée pour amd64 vers un paquet Debian ou RPM. Le processus culmine avec la création d’un fichier tarball. Il ne reste alors qu’à convaincre les équipes chargées des différentes distributions de répercuter la mise à jour. La complexité de la porte dérobée est confirmée entre autres par la société Akamai, qui relève plusieurs techniques d’obfuscation. Le développeur Thomas Roccia, chercheur chez Microsoft, a publié une infographie pour résumer le fonctionnement de la backdoor, dans lequel on s’aperçoit vite du degré de complexité, qui témoigne à lui seul du soin apporté à cette attaque. Car ses composants n’ont pas été ajoutés d’une traite avant la compilation des dernières versions de XZ Utils. Ils ont été intégrés petit à petit, au fil des mois. C’est un cas d’école de la compromission progressive d’une chaine d’approvisionnement, peut-être la mieux préparée jamais observée, selon l'ingénieur en cryptographie Philippo Valsorda.

Avalanche de questions

Comment cela a-t-il pu se produire ? Qui est à l’origine de cette porte dérobée ? Dans quel but ? C’est une véritable enquête qui s’est ouverte dans le sillage de la découverte d’Andres Freund. De nombreux éléments troublants ont été collectés depuis. Mais avant de plonger dans les détails, il faut préciser certains points concernant XZ Utils lui-même. Il s’agissait initialement d’un petit projet de loisir, créé et entretenu sur temps libre par Lasse Collin, dans le cadre du développement de la distribution finlandaise Tukaani (dérivée de Slackware). Mais ce petit projet est devenu une brique essentielle des distributions Linux et, de là, de l’infrastructure mondiale d’Internet. En juin 2022, un changement crucial intervient : Lasse Collin annonce qu’à cause de « problèmes durables de santé mentale », il ne peut plus s’occuper du projet. Il cherche une personne pour le reprendre et en assurer la maintenance. La situation pourrait être à nouveau illustrée par le fameux dessin de xkcd. Rapidement, une personne apparaît : Jia Tan, que l’on suppose être un homme. Il n’a pas d’historique de développements sur d’autres projets, mais propose rapidement plusieurs modifications. Jugées pertinentes et sans danger par Lasse Collin, elles sont intégrées. La situation évolue très vite, puisque le 7 janvier 2023, Jia Tan merge lui-même son code dans le dépôt GitHub (fermé par Microsoft pendant le week-end), sans plus aucune vérification tierce. Le changement à la tête du projet devient « officiel » le 20 mars suivant, quand il remplace l’adresse email de Lasse Collin par la sienne comme moyen de contact.

Qui est Jia Tan ?

Personne ne sait actuellement qui est Jia Tan. Comme on peut le voir sur le fil créé par rusty@piaille.fr sur Mastodon, cette question fait l’objet de nombreuses spéculations. Comme indiqué, cette personne n’a pas d’historique de développement sur d’autres projets, et le nom ne fait ressortir aucune information probante. Il pourrait s’agir d’une véritable personne, d’une identité fabriquée de toute pièce, ou même de quelqu’un dont le compte a été piraté. Dans les archives du projet, certains ont retrouvé un nom plus complet, Jia Cheong Tan, sans que cela mène plus loin. Selon d’autres, le nom choisi est un leurre pour laisser penser que l’auteur est asiatique. En fonction des heures de travail relevées et de la correspondance d’autres éléments comme les jours fériés, il semblerait plutôt que le développeur réside dans un pays d’Europe de l’Est.

La finalité de la porte dérobée

En quoi la porte dérobée est-elle dangereuse ? Son potentiel était immense. Elle aurait permis à toute personne possédant la bonne clé de nombreuses actions partout où était présent OpenSSH, de l’espionnage de ce qui transitait par la connexion à l’installation de code arbitraire, donc de charges virales, de logiciels espions et ainsi de suite. Andres Freund, qui a découvert la porte dérobée, résume ainsi la situation : « Nous avons été incroyablement chanceux sur ce coup-là, et on ne peut pas compter là-dessus pour la suite ». En clair, il ne faut pas attendre qu’un tel coup de chance se répète à l’avenir. Car sa trouvaille, qu’il décrit comme accidentelle, s’est faite au dernier moment : son signal d’alarme a permis l’intervention des équipes de sécurité et le retrait des deux dernières versions alors qu’elles commençaient tout juste à être distribuée. On trouve de nombreux commentaires dans les médias et discussions sur le sujet allant tous dans le même sens : internet est passé à côté d’une catastrophe. Et le constat amène systématiquement la question suivante : comment en est-on arrivés là, alors qu’il s’agit d’un développement open source d’une brique aujourd’hui essentielle ? Parce que les moyens mis en œuvre relèvent d’un plan minutieusement préparé et d’une action progressive sur plus de deux ans. Un développeur originel fatigué, l’arrivée d’un repreneur providentiel, des preuves de ses compétences et de sa fiabilité et finalement l’implantation d’une portée dérobée non plus dans le code source du projet, mais dans la création des paquets à destination des distributions. Aujourd’hui, le sentiment général qui se dégage des analyses est que Jia Tan n’existe pas et qu’il s’agit du travail d’un groupe soutenu par un État.

Techspot nous propose ce jour un bon gros match de CPU en Gaming. Au programme, les processeurs X3D d'AMD avec le Ryzen 7 7800X3D, mais aussi le Ryzen 9 7900X3D et enfin le Ryzen 9 7950X3D. Des processeurs qui sont en 8 Cores/16 Threads, 12 Cores/24 Threads, 16 Cores/32 Threads et qui ont le droit à une grosse bardée de cache L3. Il est intéressant de noter que Techspot a également simulé un 7600X3D en désactivant un CCD du 7900X3D. […]

Les emails HTML, c’est vraiment la plaie. Les clients mails ne les gèrent pas forcement bien et en plus, ils peuvent carrément être dangereux pour votre sécurité.

Histoire de vous expliquer ça plus clairement, on va prendre un exemple assez courant en entreprise. Votre chef reçoit un email tout a fait anodin, du style qu’il n’y a plus d’encre dans l’imprimante et vous le transfère pour que vous vous en occupiez. Vous recevez son mail, il est bien envoyé depuis la boite mail de ce dernier, et il est même signé cryptographiquement… Tout va bien. Sauf qu’une fois qu’il arrive dans votre boite mail, le contenu inoffensif disparait pour laisser place à un bon vieux mail de phishing, genre demande de changement de mot de passe sur un serveur, un certificat à installer, voire une demande de virement… On peut tout imaginer.

Cette mauvais surprise est possible grâce au CSS contenu dans les emails HTML. Ainsi, quand un mail est transféré, sa position dans le DOM change, ce qui permet d’appliquer des règles CSS spécifiques. Un petit malin peut alors planquer dedans des éléments qui n’apparaitrons que dans certaines conditions. C’est ce qu’on appelle des « kobold letters« , en référence à ces bestioles mythologiques fourbes et insaisissables.

Malheureusement, quasiment tous les clients mails qui supportent le HTML sont vulnérables à ce genre de coup fourré. Par exemple, Thunderbird se fait avoir en beauté. Il suffit de jouer avec les sélecteurs CSS en fonction de la position de l’email dans le DOM après transfert. Hop, l’attaquant planque le kobold letter avec un display: none, et quand le mail est transféré, il le fait apparaître à nouveau avec un display: block !important.

Et voilà, le piège est tendu !

<!DOCTYPE html>
<html>

<head>
    <style>
        .kobold-letter {
            display: none;
        }

        .moz-text-html>div>.kobold-letter {
            display: block !important;
        }
    </style>
</head>

<body>
    <p>This text is always visible.</p>
    <p class="kobold-letter">This text will only appear after forwarding.</p>
</body>

</html>

Côté Outlook en version web app (OWA), c’est un poil plus tordu vu que c’est un webmail. Mais en bricolant un peu les sélecteurs CSS en fonction des classes ajoutées par OWA, on arrive à nos fins de la même manière. Comme pour Thunderbird, le kobold letter ne se pointera alors qu’après un transfert d’email, ni vu ni connu je t’embrouille !

Gmail, quand à lui, a une parade intéressante : il vire tout le CSS quand on transfère un mail. Donc techniquement, pas de kobold letters possibles. Enfin presque… on peut quand même planquer un kobold letter en CSS, et il apparaîtra directement après transfert vu que le style sera dégagé. Par contre, impossible de faire l’inverse, càd afficher un truc dans le mail original et le planquer après transfert. C’est déjà ça de pris !

Voilà… ce genre de failles n’est pas nouveau puisque des trucs similaires ont déjà été signalés mais l’idée des kobold letters, c’est de se concentrer sur un scénario d’attaque spécifique en observant plusieurs clients mails qui pourraient laisser passer ce type de phishing.

Alors, que faire ? Bah déjà, si vous pouvez vous passer complètement des emails HTML ou les afficher dans un mode restreint, foncez ! Sinon, les clients mails pourraient faire des compromis à la Gmail comme virer le CSS au transfert. Ça casserait pas mal de trucs niveau mise en page mais ça limiterait bien les risques.

Voilà, y’a pas vraiment de remède miracle tant que les clients mail n’auront pas évolué. Donc soyez extrêmement vigilant car ce genre d’attaque de phishing ciblée n’arrive pas qu’aux autres.

Source

Tremblez, chers lecteurs, Big Brother arrive et il n’a pas le sens de l’humour !

Figurez-vous que nos honorables députés s’apprêtent, le 10 avril prochain, à adopter définitivement une loi qui risque de transformer le web français en cimetière de la liberté d’expression. Le projet de loi « visant à sécuriser et réguler l’espace numérique« , aussi rassurant que le sourire d’un crocodile, nous promet en effet une toute nouvelle terreur juridique : le délit de, je cite, « outrage en ligne« .

Ainsi, si jamais vous osez publier un contenu créant une « situation intimidante, hostile ou offensante » envers un quidam (mais surtout envers une personne de pouvoir, j’imagine), vous voilà bon pour un an de vacances à l’ombre et 3750 euros d’amende ! Et quand on vous dit « en ligne« , c’est large : réseaux sociaux, forums, et même les groupes WhatsApp privés, tout y passe ! À ce tarif, autant fermer Twitter.

Par contre, pas de panique si vos propos relèvent déjà d’infractions comme le harcèlement, les menaces ou les injures raciales. Ce nouveau délit exclut bizarrement ces cas-là… Cherchez l’erreur.

À l’origine de ce chef-d’œuvre, on retrouve donc notre champion Loïc Hervé, sénateur centriste autoproclamé grand pourfendeur du cyberharcèlement.

Et son idée géniale c’est de s’inspirer de l’outrage sexiste, déjà en vigueur, mais en retirant allègrement le côté sexuel. Résultat, un propos isolé un peu taquin ou un trait d’humour acide pourra vous valoir de goûter au régime des prisons françaises. Vive la proportionnalité et la bouffe de merde !

Mais le pire, c’est que la notion d’outrage en ligne est tellement vague et subjective qu’elle pourrait s’appliquer à peu près à tout et n’importe quoi. Et « Situation intimidante, hostile ou offensante« , ça vous parle ? Non ?

Normal, c’est du grand n’importe quoi juridique, comme le soulignent les avocats Tewfik Bouzenoune et Arié Alimi. Ce dernier qualifie d’ailleurs cette loi de « nouvel outil extrêmement lourd de restriction de la liberté d’expression« .

Et pour couronner le tout, sachez que les flics pourront vous mettre direct une prune de 300 euros, façon amende forfaitaire, sans passer par la case tribunal. La team Police / Politique de Twitter va kiffer. Plus besoin d’aller chouiner dans les jupes d’Elon dès qu’ils sont vexés. Un petit signalement et hop !

Super pratique pour embastiller les emmerdeurs sans s’embarrasser de la présomption d’innocence. La Défenseure des droits elle-même, Claire Hédon, s’alarme de ce « pouvoir considérable » confié aux forces de l’ordre et des risques « d’arbitraire » et « d’erreurs ». Mais bon, comme dit Robert, « pas vu, pas pris » !

Le plus savoureux dans tout ça ?

C’est que les députés avaient déjà courageusement supprimé ce délit liberticide lors de l’examen du texte. Mais c’était sans compter sur les sénateurs qui l’ont réintroduit en force en Commission mixte paritaire tel un zombie législatif. Internet, ça leur fait tellement peur ^^, faut les comprendre.

Alors oui, certains diront qu’il faut bien lutter contre les trolls et autres harceleurs du web. C’est certain, mais fallait-il vraiment pour cela pondre un texte aussi mal fichu et potentiellement ravageur pour la liberté d’expression ? Fallait-il sacrifier notre liberté de ton, notre droit à l’humour même acide ? J’ai comme un doute.

Toutefois, une petite lueur d’espoir subsiste : le Conseil constitutionnel pourrait bien censurer cet article 5 bis mal embouché, et ce pour deux raisons. D’abord parce qu’il porte une atteinte disproportionnée à notre droit fondamental de dire ce qu’on pense. Ensuite parce que ces fameuses « amendes forfaitaires » sont normalement réservées aux délits « aisément constatables ». Autant dire qu’avec une infraction aussi nébuleuse et piégeuse, ça risque de coincer sévère.

En attendant, si ce texte indigne devait entrer en vigueur en l’état, je vous parie que l’autocensure deviendra la règle sur les réseaux sociaux français. Plus personne n’osera égratigner le moindre puissant de peur de finir au trou. Formidable victoire de la liberté sur l’obscurantisme, n’est-ce pas ?

Merci en tout cas à Mediapart pour son article et espérons que cela contribuera à faire reculer nos élus avant qu’il ne soit trop tard. La démocratie s’accommode toujours très mal de ce genre de lois scélérates même quand elles sont maquillées en croisade vertueuse.

2024 sera l'année des nouvelles microarchitectures CPU du côté rouge comme bleu. Pour autant, Intel n'en a pas encore fini avec sa 14ème génération. Après avoir élargi la gamme via des puces plus abordables, le géant du microprocesseur propose aujourd'hui le vaisseau amiral avec le Core i9-14900KS....

Accrochez-vous bien à vos chaises (ou à vos hamacs, je ne juge pas 😉) car des chercheurs en sécurité nous ont encore pondu une nouvelle attaque qui devrait bien faire stresser sur la sécurité de vos CPU !

Oui je sais, on en a déjà vu des vertes et des pas mûres avec Spectre, Meltdown et toute la clique… Mais là, c’est tout aussi lourd. Ça s’appelle GhostRace et ça va vous hanter jusque dans vos cauchemars !

En gros, c’est une variante de Spectre qui arrive à contourner toutes les protections logicielles contre les race conditions. Les mecs de chez IBM et de l’université d’Amsterdam ont donc trouvé un moyen d’exploiter l’exécution spéculative des processeurs (le truc qui leur permet de deviner et d’exécuter les instructions à l’avance) pour court-circuiter les fameux mutex et autres spinlocks qui sont censés empêcher que plusieurs processus accèdent en même temps à une ressource partagée.

Résultat des courses: les attaquants peuvent provoquer des race conditions de manière spéculative et en profiter pour fouiner dans la mémoire et chopper des données sensibles ! C’est vicieux… En plus de ça, l’attaque fonctionne sur tous les processeurs connus (Intel, AMD, ARM, IBM) et sur n’importe quel OS ou hyperviseur qui utilise ce genre de primitives de synchronisation. Donc en gros, personne n’est à l’abri !

Les chercheurs ont même créé un scanner qui leur a permis de trouver plus de 1200 failles potentielles rien que dans le noyau Linux. Et leur PoC arrive à siphonner la mémoire utilisée par le kernel à la vitesse de 12 Ko/s. Bon après, faut quand même un accès local pour exploiter tout ça, mais quand même, ça la fout mal…

Bref, c’est la grosse panique chez les fabricants de CPU et les éditeurs de systèmes qui sont tous en train de se renvoyer la balle façon ping-pong. 🏓 Les premiers disent « mettez à jour vos OS« , les seconds répondent « patchez d’abord vos CPU !« . En attendant, c’est nous qui trinquons hein…

Mais y’a quand même une lueur d’espoir: les chercheurs ont aussi proposé une solution pour « mitiger » le problème. Ça consiste à ajouter des instructions de sérialisation dans toutes les primitives de synchronisation vulnérables. Bon ok, ça a un coût en perfs (5% sur LMBench quand même) mais au moins ça colmate les brèches. Reste plus qu’à convaincre Linus Torvalds et sa bande de l’implémenter maintenant… 😒

En attendant, je vous conseille de garder l’œil sur les mises à jour de sécurité de votre OS et de votre microcode, on sait jamais ! Et si vous voulez en savoir plus sur les dessous techniques de l’attaque, jetez un œil au white paper et au blog des chercheurs, c’est passionnant.

A la prochaine pour de nouvelles (més)aventures !

Les régulateurs américains de la sécurité aérienne ont découvert « des dizaines de problèmes » dans les installations appartenant à Boeing et l’un de ses principaux fournisseurs, Spirit AeroSystems après un audit de six semaines de la production du 737 MAX, selon le New York Times (NYT).

La Federal Aviation Administration (FAA) a lancé une enquête après qu’un panneau de porte se soit détaché du fuselage sur un vol 737 MAX 9 d’Alaska Airlines le 5 janvier dernier, un incident considéré comme un accident et qui a suscité un examen minutieux des pratiques de contrôle qualité de Boeing. Le rapport du NYT, publié mardi, était basé sur l’examen d’une présentation interne de la FAA et offrait un aperçu des nombreux problèmes détectés par les auditeurs.

De nombreux problèmes entraient dans la catégorie du non-respect des « processus de fabrication approuvés » et du non-respect des documents de contrôle qualité appropriés, selon le Times. Les auditeurs de la FAA ont constaté que sur 89 audits de produits effectués, Boeing a réussi 56 tests et en a échoué 33, selon le rapport.

Au cours de l’audit de six semaines, la FAA a également mené 13 audits de produits axés sur Spirit AeroSystems, qui fabrique des fuselages pour le Boeing 737 MAX. Seuls six audits ont passé le contrôle de passage et 7 ont échoué, a indiqué le New York Times. Un document examiné par le Times a révélé qu’un mécanicien de Spirit avait utilisé une carte-clé d’hôtel pour vérifier le joint d’une porte. Dans un autre cas, la FAA aurait vu des mécaniciens de Spirit appliquer du savon liquide Dawn sur un joint de porte pour l’utiliser comme lubrifiant dans le « processus d’aménagement ». Parmi les audits qui ont échoué, on trouve aussi une porte de chargement et l’installation des fenêtres du cockpit, selon le rapport. Le rapport a soulevé des inquiétudes concernant les techniciens qui ont effectué le travail et a révélé que la société « n’a pas réussi à déterminer les connaissances nécessaires au fonctionnement de ses processus ». Un porte-parole de Spirit aurait déclaré que la société « examinait toutes les non-conformités identifiées en vue de mesures correctives ».

Fin février, la FAA a donné à Boeing 90 jours pour élaborer un plan d’amélioration du contrôle qualité. À peu près au même moment, le rapport d’un groupe d’experts sur Boeing a révélé un « décalage » entre la haute direction et les employés en ce qui concerne la culture de sécurité. Le rapport du groupe avait été exigé par le Congrès américain après que deux accidents en 2018 et 2019 impliquant des Boeing 737 MAX ont tué tous les passagers et membres d’équipage à bord, soit un total de 346 personnes. Enfin, le ministère de la Justice (DoJ) aux Etats-Unis ouvre une enquête criminelle sur le 737 MAX-9 d’Alaska Airlines.

En réponse au rapport du New York Times et au récent rapport d’un groupe d’experts, Boeing a déclaré qu’il continue « de mettre en œuvre des changements immédiats et d’élaborer un plan d’action complet pour renforcer la sécurité et la qualité ».

@Boeing

Un audit de six semaines, réalisé par la Federal Aviation Administration (FAA), de Boeing et son sous-traitant Spirit AeroSystems, a révélé un certain nombre de problèmes de sécurité.

La Federal Aviation Administration a déclaré que son audit de production du 737 MAX de Boeing et du fournisseur Spirit AeroSystems a révélé plusieurs cas où les entreprises n’auraient pas respecté les exigences de contrôle de qualité de fabrication. La FAA a également déclaré avoir constaté « des problèmes de non-conformité dans le contrôle des processus de fabrication, la manipulation et le stockage des pièces ainsi que le contrôle des produits » de Boeing. La FAA n’a pas détaillé les mesures correctives spécifiques que Boeing et Spirit doivent prendre, mais a envoyé un résumé de ses conclusions aux sociétés lors de son audit terminé.

Boeing doit répondre dans les 90 jours aux conclusions de l’audit de la FAA, ainsi qu’au rapport d’un comité d’examen d’experts publié le 26 février 2024, qui citait également des défaillances dans les processus du constructeur aéronautique.

Spirit AeroSystems, qui fabrique le fuselage du MAX, a déclaré être « en communication avec Boeing et la FAA sur les mesures correctives appropriées ». Boeing a répondu de son côté que « grâce aux conclusions de l’audit de la FAA et au récent rapport du comité d’experts, nous avons une idée claire de ce qui doit être fait ». Boeing a confirmé vendredi être en pourparlers pour racheter Spirit AeroSystems (une ancienne filiale qu’il a scindée en 2005), pour mieux contrôler la fabrication de ses fuselages à l’avenir.

« Pour tenir Boeing responsable de ses problèmes de qualité de production, la FAA a interrompu l’expansion de la production du Boeing 737 MAX, étudie le recours à un tiers pour mener des examens indépendants des systèmes de qualité et poursuivra sa présence accrue sur site dans les installations de Boeing à Renton, Washington, et les installations de Spirit AeroSystems à Wichita, Kansas », a indiqué la FAA, qui ajoute qu’elle « examinera minutieusement toutes les mesures correctives de Boeing pour déterminer si elles répondent pleinement à ses conclusions. »

Le constructeur aéronautique américain est en étroite surveillance depuis l’arrachage d’un bouchon de porte, un panneau cachant une sortie de secours dans une configuration spécifique du MAX 9, le 5 janvier dernier, lors du vol AS-1282 d’Alaska Airlines.

©Boeing