cedricAbonnel/varlog
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
b0716911b35446f8b633931a2c062a97b3f21a2a
varlog/_cache/similar/bbbce859-3011-4d0f-927c-b8594450ff1b.json
T
Cédrix b0716911b3 init : articles varlog (migration depuis rsync)
2026-05-15 10:37:48 +02:00

1 line
29 KiB
JSON
Raw Blame History

This file contains invisible Unicode characters
This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
[{"uuid":"3e7ef528-6bd0-4fd1-83cb-a0d03ba35949","slug":"npm-le-ver-dans-le-fruit-comprendre-la-faille-systemique-et-repenser-les-pratiques-devops","title":"NPM, le ver dans le fruit : comprendre la faille systémique et repenser les pratiques DevOps","category":"informatique","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2026-05-12 13:08","created_at":"2026-05-12 13:08:44","updated_at":"2026-05-12 13:12:42","tags":[],"plain":"À propos de l'article du MagIT « NPM : une nouvelle campagne malveillante souligne une vulnérabilité systémique ».\r\n\r\nNPM expliqué simplement\r\n\r\nQuand on développe une application web moderne en JavaScript ou TypeScript, on ne réécrit jamais tout depuis zéro. On assemble des briques logicielles déjà écrites par d'autres : un module pour parser des dates, un autre pour valider des emails, un troisième pour discuter avec une base de données. Ces briques s'appellent des paquets, et la place de marché centrale qui les distribue s'appelle npm (Node Package Manager).\r\n\r\nConcrètement, dans un projet, on déclare la liste des paquets nécessaires dans un fichier . On lance la commande , et l'outil télécharge automatiquement les paquets demandés… ainsi que tous les paquets dont ces paquets ont eux-mêmes besoin. Un projet « simple » se retrouve souvent à dépendre de plusieurs centaines, voire plusieurs milliers, de paquets en cascade. C'est ce qu'on appelle l'arbre des dépendances.\r\n\r\nLe registre npm héberge aujourd'hui plus de 2,5 millions de paquets. C'est à la fois sa force — un écosystème colossal, une productivité décuplée — et sa faiblesse : la confiance accordée à chaque maillon de la chaîne est implicite, et chaque maillon devient une porte d'entrée potentielle.\r\n\r\nLa faille : ce qui s'est passé\r\n\r\nL'épisode décrit par LeMagIT n'est pas un bug logiciel classique. C'est ce qu'on appelle une attaque sur la chaîne d'approvisionnement logicielle (supply chain attack) : au lieu d'attaquer directement la cible finale, l'attaquant compromet un fournisseur en amont, et laisse la mise à jour légitime faire son travail de propagation.\r\n\r\nLe scénario reconstitué se déroule en plusieurs temps.\r\n\r\n1. Compromission d'un paquet de confiance. Les attaquants sont parvenus à pousser du code malveillant dans des paquets npm largement utilisés, notamment via le détournement du pipeline d'intégration continue de projets connus comme et l'écosystème Checkmarx. L'astuce n'est pas de publier un faux paquet : c'est de modifier un vrai paquet en exploitant les GitHub Actions — les robots qui construisent et publient automatiquement les nouvelles versions.\r\n\r\n2. Vol de secrets à l'installation. Une fois installé sur la machine d'un développeur ou dans un environnement de build, le code malveillant scanne l'environnement à la recherche de variables sensibles : , , , . Tout ce qui traîne dans les variables d'environnement, les fichiers , les configurations cloud.\r\n\r\n3. Auto-propagation. C'est là que l'attaque devient virale. Avec les jetons npm volés, le maliciel se reconnecte au registre npm, récupère la liste des paquets publiés par la victime, et publie automatiquement des versions piégées de ces paquets. Chaque développeur compromis devient un super-propagateur. Socket a identifié une quarantaine de paquets infectés en cascade lors d'une seule vague.\r\n\r\n4. Persistance. Sur les postes touchés, le malware installe un script pour survivre aux redémarrages, et, si nécessaire, exfiltre les données volées dans un dépôt GitHub public créé pour l'occasion.\r\n\r\nLe résultat : un binaire signé, publié sous un nom officiel, à jour, qui passe tous les contrôles de surface — et qui contamine simultanément le poste du développeur et les serveurs de production.\r\n\r\nPourquoi c'est « systémique »\r\n\r\nLe terme employé par LeMagIT est juste. Ce n'est pas un bug isolé, c'est une propriété structurelle de l'écosystème.\r\n\r\nLa confiance est transitive. On fait confiance à , qui fait confiance à , qui fait confiance à , etc. Compromettre un nœud profond et populaire suffit à toucher des millions de projets.\r\n\r\nLa publication est ouverte. N'importe qui peut publier un paquet. Les contrôles existent (provenance, 2FA pour les mainteneurs populaires) mais restent surtout a posteriori.\r\n\r\nLes scripts d'installation s'exécutent automatiquement. Un paquet npm peut déclarer un qui lance du code arbitraire au moment de . C'est pratique, mais c'est aussi un cheval de Troie idéal.\r\n\r\nLes jetons d'API sont partout. Le poste du développeur, les runners CI/CD, les serveurs : tous manipulent des secrets en clair dans des variables d'environnement. Un malware qui s'exécute dans le build n'a même pas besoin d'escalader ses privilèges.\r\n\r\nLes versions sont mutables sur fenêtre courte. Un paquet peut être republié dans les 72 heures suivant sa publication, et un peut retirer une version d'un jour à l'autre.\r\n\r\nAucun de ces points n'est un défaut technique réparable par un patch. Ce sont des choix d'architecture, vieux de plus de dix ans, qui ont accompagné l'explosion de l'écosystème.\r\n\r\nY a-t-il des alternatives ?\r\n\r\nLa question est légitime, mais la réponse honnête est : pas vraiment, et pour de bonnes raisons.\r\n\r\nLes gestionnaires de paquets alternatifs\r\n\r\n, et sont des gestionnaires différents, mais ils tirent leurs paquets du même registre npm. Migrer de à ne change rien à la surface d'attaque : ce sont les mêmes paquets, le même registre, les mêmes mainteneurs.\r\n\r\nCela dit, certains apportent des garde-fous utiles :\r\na introduit l'option , qui refuse d'installer un paquet publié il y a moins de N jours. Une vague d'attaque dure typiquement quelques heures avant détection : attendre 72 heures avant d'installer une nouvelle version élimine la fenêtre dangereuse.\r\nimpose un consentement explicite pour les scripts , là où npm les exécute par défaut.\r\net proposent des lockfiles stricts () qui garantissent que ce qui est installé en CI correspond exactement à ce qui a été testé.\r\n\r\nLes registres alternatifs\r\n\r\nJSR (JavaScript Registry), lancé par les créateurs de Deno, est le seul vrai nouveau registre crédible. Il a été conçu en tirant les leçons des problèmes de npm : TypeScript natif, modules ECMAScript par défaut, pas de scripts d'install, scoring qualité automatique, compatible avec tous les runtimes (Node, Deno, Bun). Mais JSR est complémentaire, pas un remplaçant : il héberge des milliers de paquets, pas des millions. Pour la majorité des dépendances, on continuera de passer par npm.\r\n\r\nLes registres privés — Verdaccio, GitHub Packages, JFrog Artifactory, Sonatype Nexus — ne remplacent pas npm non plus. Ils servent de proxy filtrant : on continue de récupérer les paquets publics, mais à travers un cache d'entreprise où l'on peut bloquer une version, exiger une signature, refuser un mainteneur, ou interdire les paquets publiés depuis moins de X jours. C'est probablement le meilleur compromis disponible aujourd'hui pour une organisation.\r\n\r\nLe verdict\r\n\r\nAbandonner npm en 2026 reviendrait à abandonner JavaScript. La valeur de l'écosystème (2,5 millions de paquets) est trop importante pour qu'on en sorte. Le problème ne se résoudra pas par un changement d'outil ; il se résoudra par un changement de pratiques.\r\n\r\nChanger les pratiques : ce qui doit devenir réflexe\r\n\r\nL'enseignement de cette campagne, et des précédentes (Shai-Hulud, TeamPCP, l'attaque Trivy/KICS), tient en une phrase : la confiance par défaut est morte. Il faut traiter chaque dépendance comme du code hostile par défaut, et le pipeline CI/CD comme une zone de production.\r\n\r\nAu niveau du poste de développement\r\nActiver l'option (ou équivalent) pour différer l'installation des paquets fraîchement publiés.\r\nDésactiver les scripts par défaut, et n'autoriser que ceux explicitement validés.\r\nNe jamais stocker de jetons en clair dans ou les variables d'environnement persistantes. Préférer un gestionnaire de secrets (1Password CLI, , ).\r\nUtiliser des comptes npm séparés pour la publication, avec 2FA matérielle obligatoire.\r\n\r\nAu niveau du dépôt\r\nVerrouiller systématiquement les dépendances (, , ) et installer en mode strict (, ).\r\nMettre en place un audit automatique des dépendances à chaque PR (Socket, Snyk, GitHub Dependabot, ).\r\nPublier ses propres paquets avec provenance npm (signature liée au pipeline GitHub Actions), pour que les consommateurs puissent vérifier l'origine.\r\nTenir à jour un SBOM (Software Bill of Materials) pour savoir exactement ce qui tourne en production.\r\n\r\nAu niveau du CI/CD\r\n\r\nC'est probablement le chantier le plus important.\r\nCloisonner les jetons. Un jeton de publication npm ne doit jamais coexister avec un jeton AWS dans la même étape de pipeline. Un secret par étape, durée de vie minimale, scope minimal.\r\nPréférer les jetons à courte durée de vie (OIDC entre GitHub Actions et le cloud) plutôt que des clés statiques.\r\nAuditer les GitHub Actions tierces. Une action est l'équivalent d'un . Épingler par hash SHA (), pas par tag mutable.\r\nRestreindre les permissions du au strict minimum ( par défaut, ponctuel et justifié).\r\nSurveiller le comportement réseau des runners : un build qui contacte un domaine inconnu doit lever une alerte.\r\n\r\nAu niveau de l'organisation\r\nMettre en place un registre proxy (Verdaccio, Nexus, Artifactory) avec liste blanche/noire de paquets, et l'imposer comme unique source pour tous les projets.\r\nDéfinir une politique de dependency governance : qui peut introduire une nouvelle dépendance, sous quelles conditions, avec quel niveau d'audit.\r\nPrévoir un playbook de révocation : que faire dans l'heure qui suit la détection d'un paquet compromis (rotation de tous les jetons npm/GitHub/cloud, audit des artefacts publiés, communication).\r\n\r\nEn résumé\r\n\r\nNPM n'est pas cassé, il est tel qu'il a été conçu : ouvert, automatique, transitif. Ce qui a changé, c'est la valeur que les attaquants peuvent en extraire — secrets cloud, jetons CI/CD, accès aux pipelines — et la sophistication des campagnes, qui exploitent désormais l'auto-propagation pour atteindre une échelle virale.\r\n\r\nAucune alternative ne supprime le problème, parce que le problème n'est pas npm : c'est l'idée qu'on puisse exécuter en production du code écrit par des inconnus sans jamais le regarder. Le rôle du DevOps en 2026, c'est de bâtir l'infrastructure qui rend cette inspection systématique, économique et inévitable — registres proxy, lockfiles stricts, jetons éphémères, audits continus, isolation des étapes de build.\r\n\r\nOn ne fera pas confiance à moins de gens. On exigera juste que chaque maillon prouve, à chaque exécution, qu'il est bien celui qu'il prétend être."},{"uuid":"b0b3ac59-87c5-4598-a549-f3168abb4429","slug":"quand-les-conversations-sont-devenues-une-matiere-premiere","title":"Quand les conversations sont devenues une matière première","category":"loisirs","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-05 07:17","created_at":"2025-11-05 07:17:02","updated_at":"2026-05-12 01:49:27","tags":{"logiciels":["Audacity"]},"plain":"Entre 2023 et 2024, quelque chose s'est rompu sur le web social. Pas un effondrement, pas une crise visible — plutôt un basculement discret, presque administratif, dans la manière dont les grandes plateformes ont commencé à regarder ce que produisaient leurs utilisateurs. Les messages, les fils de discussion, les commentaires sarcastiques sous une photo de chat, les longues confidences nocturnes sur Tumblr : tout cela, jusque-là considéré comme l'humus naturel des réseaux sociaux, est soudainement devenu autre chose. Une ressource. Un actif. Une matière brute.\r\n\r\nLe déclencheur s'appelle Reddit. Le 22 février 2024, le jour même où l'entreprise dépose son dossier d'introduction en Bourse, elle annonce un accord à 60 millions de dollars par an avec Google : le géant de la recherche pourra puiser dans les archives du forum, via son API, pour entraîner ses modèles d'intelligence artificielle. Quelques mois plus tard, OpenAI signe à son tour un accord similaire, estimé autour de 70 millions de dollars annuels par les analystes. Le message envoyé au marché est limpide : ces décennies de conversations humaines, agrégées par une communauté qui croyait simplement bavarder, valent désormais des centaines de millions de dollars. Steve Huffman, PDG de Reddit, vante un modèle économique enfin durable. Les analystes financiers, eux, parlent de mine d'or.\r\n\r\nTumblr rejoint la danse une semaine plus tard, mais par effraction. Le 27 février 2024, le site spécialisé 404 Media révèle qu'Automattic — la maison mère de Tumblr et WordPress.com — finalise des accords avec OpenAI et Midjourney pour leur fournir l'accès aux contenus publiés sur ses plateformes. La fuite est embarrassante : des documents internes montrent qu'une première extraction de données a même ratissé trop large, embarquant par erreur des posts privés, des blogs supprimés et des contenus normalement exclus. Automattic publie en urgence un communiqué annonçant un système d'opt-out — la possibilité pour les utilisateurs de refuser, à condition de cocher la bonne case dans les bons paramètres. Mais la communauté Tumblr, refuge historique d'artistes, d'écrivains amateurs, de communautés queer et de fanfic, n'a pas attendu la procédure officielle pour réagir : la nouvelle déclenche une vague de fermetures de comptes et d'effacements rétroactifs.\r\n\r\nX, sous la direction d'Elon Musk, emprunte un chemin parallèle mais plus solitaire. Plutôt que de vendre l'accès à ses données à des concurrents, Musk a verrouillé son robinet dès 2023 — au point d'introduire des plafonds de consultation tellement absurdes que la plateforme en est devenue inutilisable pendant quelques jours — et a réservé sa matière première à xAI, sa propre société d'intelligence artificielle, pour alimenter le chatbot Grok. En octobre 2024, X annonce une refonte de ses conditions d'utilisation, effective le 15 novembre. Le nouveau texte est explicite : tout contenu publié sur la plateforme peut être utilisé pour entraîner ses modèles d'apprentissage automatique, ainsi que ceux de « partenaires tiers » non nommés. L'option qui permettait jusque-là aux utilisateurs européens de refuser que leurs posts servent à entraîner Grok est, dans la foulée, devenue inaccessible pour beaucoup. Le principe reste le même que chez Reddit — les mots des utilisateurs deviennent du carburant — mais sans le détour d'un contrat externe.\r\n\r\nCar ce qui frappe, ce n'est pas tant chaque accord pris isolément que la rapidité avec laquelle l'idée s'est imposée. En quelques mois, exploiter les mots de ses utilisateurs pour entraîner de l'IA est devenu non plus une stratégie audacieuse, mais une évidence de marché. LinkedIn, propriété de Microsoft — qui se trouve aussi être le principal investisseur d'OpenAI —, suit le mouvement avec une discrétion remarquable. Le 18 septembre 2024, une mise à jour silencieuse de sa politique de confidentialité révèle que la plateforme entraîne déjà ses propres modèles d'IA générative à partir des posts, articles et données de profil de ses membres, partout dans le monde — y compris au Royaume-Uni. Personne n'a été prévenu en bonne et due forme ; le paramètre permettant de refuser ne se déclenche pas par défaut.\r\n\r\nL'épisode tourne court. En 48 heures, l'Information Commissioner's Office britannique, le régulateur des données, exige un arrêt immédiat de la pratique sur le territoire. Stephen Almond, son directeur exécutif chargé des risques réglementaires, déclare publiquement que la confiance du public dans l'IA générative dépend précisément du respect des droits à la vie privée dès le départ. LinkedIn suspend le traitement au Royaume-Uni, dans l'Espace économique européen et en Suisse. Pour le reste du monde — les États-Unis, l'Asie, le Canada, l'Amérique latine —, la collecte continue, opt-out par défaut.\r\n\r\nMais quelque chose, du côté des utilisateurs, n'a pas suivi.\r\n\r\nSur Reddit, des modérateurs ferment leurs subreddits en protestation. D'autres remplacent leurs anciens posts par des chaînes de caractères absurdes — du sabotage de données, en somme, pour rendre leurs contributions inutilisables. Sur Tumblr, on voit ressurgir un vieux geste internet : des comptes entiers passent en privé, des années d'écriture s'effacent en quelques clics. Des forums spécialisés évoquent une « grève des données ». Une phrase circule, amère, sur plusieurs plateformes à la fois : « Nos mots valent de l'or, mais pas pour nous. »\r\n\r\nC'est sans doute le paradoxe le plus profond de cette séquence. Pendant deux décennies, les grandes plateformes avaient bâti leur valeur sur un contrat tacite : vous nous donnez votre temps et votre attention, nous vous offrons un espace pour exister et nous monétisons votre regard auprès des annonceurs. Le deal était imparfait, mais lisible. À partir de 2024, un second contrat se superpose au premier sans avoir été négocié : votre langage, vos conversations, vos archives intimes deviennent aussi une matière première vendable, à votre insu le plus souvent, pour entraîner des intelligences qui à terme produiront le même langage que vous — mais en série, à coût marginal nul, et au bénéfice d'autres.\r\n\r\nLe web social était entré dans une nouvelle ère. Celle où les conversations des uns sont devenues l'apprentissage des autres.\r\n--\r\n\r\nSources\r\nVoici la liste des sources utilisées pour la vérification, organisée par thème pour que tu puisses les citer ou les ajouter en fin d'article.\r\n\r\nReddit Google et OpenAI\r\nCBS News (23 février 2024) — Annonce de l'accord à 60 M$ entre Google et Reddit\r\nhttps://www.cbsnews.com/news/google-reddit-60-million-deal-ai-training/\r\nLutzker & Lutzker (18 mars 2024) — Analyse détaillée de l'accord et de l'usage de l'API Reddit\r\nhttps://www.lutzker.com/ipbitpieces/reddits-licensing-agreement-with-google/\r\nColumbia Journalism Review — Analyse de la stratégie globale de Reddit (mention de l'accord OpenAI à 70 M$/an)\r\nhttps://www.cjr.org/analysis/reddit-winning-ai-licensing-deals-openai-google-gemini-answers-rsl.php\r\n\r\nTumblr / Automattic OpenAI et Midjourney\r\n404 Media (27 février 2024) — Article source qui a révélé l'affaire\r\nhttps://www.404media.co/tumblr-and-wordpress-to-sell-users-data-to-train-ai-tools/\r\nEngadget (27 février 2024) — Reprise détaillée avec la réponse officielle d'Automattic\r\nhttps://www.engadget.com/tumblr-and-wordpress-posts-will-reportedly-be-used-for-openai-and-midjourney-training-204425798.html\r\nWP Tavern (28 février 2024) — Angle communauté WordPress et critique de la politique d'opt-out\r\nhttps://wptavern.com/automattic-faces-scrutiny-over-ai-access-policy\r\nPopular Science (29 février 2024) — Mise en perspective sur l'inefficacité de l'opt-out\r\nhttps://www.popsci.com/technology/openai-wordpress-tumblr/\r\n\r\nX (Twitter) Conditions d'utilisation et entraînement de Grok\r\nSocial Media Today (17 octobre 2024) — Analyse des nouvelles conditions effectives le 15 novembre 2024\r\nhttps://www.socialmediatoday.com/news/x-formerly-twitter-updates-terms-service/730223/\r\nCNN Business (21 octobre 2024) — Réaction des utilisateurs et flou sur l'opt-out\r\nhttps://www.cnn.com/2024/10/21/tech/x-twitter-terms-of-service\r\nCybernews (18 octobre 2024) — Sur la disparition de l'option d'opt-out\r\nhttps://cybernews.com/ai-news/updated-x-terms/\r\nGigazine — Déta#il des clauses ajoutées concernant les « partenaires tiers »\r\nhttps://gigazine.net/gscnews/en/20241018-x-privacy-policy-ai-training/\r\n\r\nLinkedIn Intervention de l'ICO britannique\r\nTechCrunch (20 septembre 2024) — LinkedIn suspend l'entraînement IA au Royaume-Uni\r\nhttps://techcrunch.com/2024/09/20/linkedin-has-stopped-grabbing-u-k-users-data-for-ai/\r\nThe Record (Recorded Future News) (20 septembre 2024) — Le rôle de l'ICO dans l'arrêt\r\nhttps://therecord.media/uk-regulator-stops-linkedin-ai-models\r\nThe Hacker News (22 septembre 2024) — Synthèse incluant la mention de Meta en parallèle\r\nhttps://thehackernews.com/2024/09/linkedin-halts-ai-data-processing-in-uk.html\r\nLegal IT Insider (20 septembre 2024) — Citation complète de Stephen Almond (ICO)\r\nhttps://legaltechnology.com/2024/09/20/linkedin-suspends-opt-out-ai-model-training-for-uk-following-ico-concerns/"},{"uuid":"bf425713-28cc-41b3-ab9c-807651174b98","slug":"debut-des-travaux-au-dernier-etage-relfexion-sur-l-isolation-sous-toiture","title":"Début des travaux au dernier étage - rélfexion sur l'isolation sous-toiture","category":"travaux","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-04-05 22:40:00","created_at":"2025-04-05 22:40:00","updated_at":"2025-04-06 07:23:27","tags":[],"plain":"Avec la participation de Sonia, Anne-Marie, François, Jean-Michel et Jean-Philippe, nous avons entamé le retrait du placo et de la laine de verre au dernier étage. À ma grande surprise, la laine de verre était omniprésente, mais l’étanchéité à lair n’était pas assurée — ce qui pourrait expliquer la sensation de froid ressentie dans cet espace.\r\n\r\nAvec Jean-Philippe, nous avons commencé à réfléchir à la future isolation. \r\nLordre de pose des matériaux est déterminant pour garantir la performance thermique et hygrothermique de lensemble. Voici les principes clés ainsi quun exemple concret de montage de toiture sous rampant, associant fibre de bois et isolant mince multicouche.\r\n--\r\n\r\n🧱 Ordre de pose recommandé (de lextérieur vers lintérieur)\r\n\r\n1. Couverture \r\nTuile.\r\n\r\n2. Écran sous-toiture HPV (hautement perméable à la vapeur) \r\nProtège lisolant des infiltrations (pluie, neige poudreuse) tout en permettant à la vapeur deau intérieure de s’échapper.\r\n\r\n3. Isolation principale : fibre de bois \r\n👉 À insérer entre les chevrons (format semi-rigide) ou à poser en continu sous les chevrons (panneaux rigides). Dans notre cas, l’épaisseur visée est de 10 à 20 cm.\r\n🟢 Recommandé : compléter par une seconde couche croisée sous chevrons (10 à 20 cm supplémentaires) pour supprimer les ponts thermiques.\r\n\r\n👉 L’épaisseur totale de lisolant doit atteindre 23 à 30 cm.\r\n\r\n4. Isolant mince multicouche \r\n👉 Fixé sous la fibre de bois, côté intérieur. \r\nIl doit être posé de manière continue, étanche à lair, avec des lames dair ventilées de 2 cm de chaque côté pour une efficacité optimale.\r\n\r\n5. Parement intérieur (placo, lambris, OSB, etc.) \r\nMonté sur une ossature (bois ou métal), en respectant la lame dair intérieure de 2 cm entre le multicouche et le parement.\r\n\r\nBonne configuration : Parement intérieur / Lame d'air / Isolant Mince / Lame d'air / Isolant classique (sans pare-vapeur, ou pare-vapeur lacéré) / Pare-Pluie + Ossature du toit\r\n--\r\n\r\n🎯 Bonnes pratiques à respecter\r\n⚠️ Ne jamais enfermer un isolant mince sans lames dair : il perd alors toute efficacité.\r\n⚠️ Ne pas poser de pare-vapeur côté extérieur : la fibre de bois gère naturellement la régulation de la vapeur. Si un frein vapeur est nécessaire, il doit être installé côté intérieur, avant le multicouche.\r\n✅ Toujours consulter les DTU et les fiches techniques des matériaux pour une mise en œuvre conforme.\r\n✅ Accorder une attention particulière à la gestion des ponts thermiques et à l’étanchéité à lair.\r\n\r\nQuelques références\r\n\r\nhttps://www.bricodepot.fr/lyon-st-priest/isolant-mince-thermo-reflecteur-23-composants-rouleau-150-x-10-m-ep-32-mm/prod76433/\r\n\r\nhttps://www.entrepot-du-bricolage.fr/p/pr-fibre-de-bois-pavaflex-confort-epaisseur-10cm-122-x-57-5-cm-soprema-1404894\r\n\r\nhttps://www.entrepot-du-bricolage.fr/p/pr-panneau-de-fibre-de-bois-pavaflex-epaisseur-200-mm-l-0-575-x-l-1-22-m-soprema-1160700\r\n\r\nhttps://www.entrepot-du-bricolage.fr/p/pr-panneau-de-fibre-de-bois-pavaflex-epaisseur-145-mm-l-0-575-x-l-1-22-m-soprema-1160699\r\n\r\nhttps://www.entrepot-du-bricolage.fr/p/pr-adhesif-vario-multitape-l-60-mm-x-l-35-m-isover-892772\r\n\r\nhttps://www.entrepot-du-bricolage.fr/p/pr-mastic-d-etancheite-vario-doublefit-310-ml-isover-1032068"},{"uuid":"d4365f13-b4b7-4e70-b5d8-c37953ac1b6c","slug":"dongle-usb-sans-fil","title":"Dongle USB sans fil","category":"Électronique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-03-19 21:09:20","created_at":"2025-03-19 21:09:20","updated_at":"2025-03-19 21:09:20","tags":[],"plain":"Il existe plusieurs catégories de sans fil. Wifi\n| ID 7392:7811\\\\ Edimax Technology Co., Ltd\\\\ EW-7811Un 802.11n Wireless Adapter [Realtek RTL8188CUS] | Clé USB Wifi 2,4 GHz\\\\ Plug-and-play Linux, Windows, Mac OS\\\\ 150 Mbps max\\\\ | Sans fil propriétaire\n| ID 046d:c52e\\\\ Logitech, Inc.\\\\ MK260 Wireless Combo Receiver | Pack Clavier et souris Logitech MK260\\\\ |\n--- | --- | --- |\n\\\\ | ID 046d:c52b\\\\ Logitech, Inc.\\\\ Unifying Receiver | Récepteur USB à utiliser avec une souris ou un clavier Unifying. |\n| ID 1997:2433\\\\ Shenzhen Riitek Technology Co., Ltd\\\\ wireless mini keyboard with touchpad | Récepteur à utiliser avec un mini clavier et son touchpad\\\\ \\\\ voir la liste des produits Rii |\n| ID 062a:5918\\\\ MosArt Semiconductor Corp.\\\\ 2.4G Keyboard Mouse | Clé USB sans fil pour clavier et souris de marque ET \\\\ \\\\ Ne fonctionne pas sur port USB 3.0 |\nID 1a86:5453\\\\ QinHeng Electronics HIDKB | Clé USB sans fil pour douchette code barre 2D et QR code |\nID 062a:5918\\\\ MosArt Semiconductor Corp.\\\\ 2.4G Keyboard Mouse | Clé USB sans fil pour clavier et souris de marque ET \\\\ \\\\ Ne fonctionne pas sur port USB 3.0 | Bluetooth\n| ID 050d:016a\\\\ Belkin\\\\ Components Bluetooth Mini Dongle\\\\ \\\\ ID 0a5c:4503\\\\ Broadcom Corp.\\\\ Mouse (Boot Interface Subclass)\\\\ \\\\ ID 0a5c:4502\\\\ Broadcom Corp.\\\\ Keyboard (Boot Interface Subclass)\\\\ \\\\ ID 0a5c:4500\\\\ Broadcom Corp.\\\\ BCM2046B1 USB 2.0 Hub (part of BCM2046 Bluetooth) | Clé USB Bluetooth 1.1, 1.2, 2.0, and 2.1 standards\\\\ AD2P compatible |\n--- | --- | --- |\n| ID 0b05:17cb\\\\ ASUSTek Computer, Inc.\\\\ Broadcom BCM20702A0 Bluetooth | Clé USB Bluetooth 4+LE\\\\ Bluetooth Low Energy\\\\ 24 Mbp/s\\\\ Portée entre 10 et 60 mètres\\\\ Liaison radio 802.11\\\\ Appelée égalment Asus BT400 |\n| ID 1131:1001\\\\ Integrated System Solution Corp.\\\\ KY-BT100 Bluetooth Adapter | Clé USB Bluetooth 1.1\\\\ Ne fonctionne pas sur port USB 3.0 | 04f2:0976 Chicony Electronics Co., Ltd Wireless Device\nChicony Electronics Co., Ltd est un fabricant OEM de claviers, webcams, périphériques sans fil. Désigne un produit spécifique (Wireless Device). 1ea7:0064 SHARKOON Technologies GmbH 2.4GHz Wireless rechargeable vertical mouse [More&Better]\nSHENZHEN AIPOOLER TECHNOLOGY CO., LTD, fabricant chinois d'accessoires et périphériques informatiques. Associé fréquemment à des dongles USB 2.4 GHz vendus avec des claviers, des souris sans fil et des packs clavier/souris entrée de gamme. Récepteur non-Bluetooth (uniquement 2.4 GHz). 4037:2804 2.4G Composite Devic\nDelcom Engineering. Il s'agit typiquement d'un périphérique d'entrée sans fil fonctionnant sur la bande 2,4 GHz, comme un clavier ou une souris sans fil. 1d57:130f Xenta 2.4Ghz wireless optical mouse receiver\nLe périphérique USB avec l'identifiant 1d57:130f est un récepteur de souris optique sans fil fonctionnant à 2,4 GHz, fabriqué par Xenta. 0bda:8176 Realtek Semiconductor Corp. RTL8188CUS 802.11n WLAN Adapter\nAdaptateur réseau sans fil RTL8188CUS 802.11n, fabriqué par Realtek Semiconductor Corp. 3151:3020 YICHIP Wireless Device\nFabriqué par Yichip Microelectronics (Hangzhou) Co., Ltd Ce périphérique est généralement une souris sans fil fonctionnant sur la bande 2,4 GHz.\nOu trouver l'info ?\nPCI IDS repository and USB IDS repository"},{"uuid":"3e2073eb-5d90-4916-8bea-79a02b9f566d","slug":"1227","title":"Éphéméride du 27/12","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-12-27 16:43:31","created_at":"2023-12-27 16:43:31","updated_at":"2023-12-27 16:43:31","tags":[],"plain":"Aujourd'hui le 27 décembre a été marqué par plusieurs événements notables dans l'histoire de l'informatique :\n1571: Naissance de Johannes Kepler, figure clé de la révolution scientifique.\n1924: Naissance de Jean Bartik, l'une des premières programmeuses informatiques.\n1985: Naissance d'Aaron Levie, entrepreneur américain et co-fondateur de la société de cloud Box.\n1996: Blizzard a lancé le jeu original Diablo).\n1999: Jeff Bezos, fondateur d'Amazon.com, a été nommé Personne de l'Année par le magazine TIME.\n2007: The Interactive Game Group a acquis la marque MicroProse d'Atari Interactive Inc"}]
Reference in New Issue View Git Blame Copy Permalink