cedricAbonnel/varlog
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f34f2c58f25a0187c7b488ee86b7084236599d57
varlog/_cache/similar/2818cc61-6a56-46ed-b808-13f56b6ea4d3.json
T
Cédrix b0716911b3 init : articles varlog (migration depuis rsync)
2026-05-15 10:37:48 +02:00

1 line
23 KiB
JSON
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
[{"uuid":"dd50ded5-4184-4948-8dc8-33273cbcdae1","slug":"microsoft-edge-full-mode-entreprise","title":"Mode Entreprise et liste des sites en mode Entreprise","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-03-12 07:33:27","created_at":"2023-03-12 07:33:27","updated_at":"2023-03-12 07:33:27","tags":[],"plain":"Informations concernant Microsoft Edge Entreprise\nLe mode Entreprise, mode de compatibilité qui sexécute sur Internet Explorer 11 sur les appareils Windows 10, Windows 8.1 et Windows 7, permet dafficher des sites web à laide dune configuration de navigateur modifiée conçue pour émuler Windows Internet Explorer 7 ou Windows Internet Explorer 8. Lexécution dans ce mode permet d’éviter la plupart des problèmes de compatibilité courants associés aux applications web écrites et testées sur des versions antérieures dInternet Explorer. De nombreux clients identifient la compatibilité des applications web comme un coût élevé de mise à niveau, car les applications web doivent être testées et mises à niveau avant dadopter un nouveau navigateur. La compatibilité améliorée fournie par le mode Entreprise contribue à donner aux clients la confiance nécessaire pour passer à Internet Explorer 11, leur permettant ainsi de bénéficier de normes Web modernes, de performances accrues, dune sécurité améliorée et dune fiabilité supérieure.\n \nhttps:docs.microsoft.com/fr-fr/internet-explorer/ie11-deploy-guide/what-is-enterprise-mode Page de téléchargement de Microsoft Edge Entreprise\nhttps:www.microsoft.com/fr-fr/edge/business/download Mode Entreprise et liste des sites en mode IE11 Internet Explorer 11\nLe mode Entreprise est une fonctionnalité d'Internet Explorer 11 qui permet aux entreprises de configurer et de gérer les paramètres de navigation de leurs employés sur Internet Explorer. Cette fonctionnalité permet aux entreprises de s'assurer que tous leurs employés utilisent les mêmes paramètres de navigation et les mêmes versions de navigateur, ce qui peut aider à réduire les problèmes de compatibilité. En ce qui concerne la liste des sites en mode IE11, cela dépend de la configuration spécifique de l'entreprise. Les entreprises peuvent choisir de configurer leurs ordinateurs pour que tous les sites Web soient automatiquement ouverts en mode IE11, ou elles peuvent choisir de configurer des sites Web spécifiques pour qu'ils soient ouverts en mode IE11. Si vous êtes un employé et que vous rencontrez des problèmes avec un site Web en utilisant Internet Explorer 11, il est possible que ce site Web ne soit pas configuré pour fonctionner correctement en mode IE11. Dans ce cas, vous pouvez essayer d'utiliser un autre navigateur, tel que Google Chrome ou Mozilla Firefox, qui peuvent être plus compatibles avec le site Web en question. Si vous êtes un administrateur système ou informatique, vous pouvez configurer les paramètres de mode Entreprise pour Internet Explorer 11 en utilisant l'outil de stratégie de groupe ou en modifiant les paramètres de registre sur les ordinateurs de votre entreprise. Vous pouvez également consulter la documentation officielle de Microsoft pour obtenir des instructions détaillées sur la configuration du mode Entreprise et la gestion des sites en mode IE11. Fichier XML de la liste des sites"},{"uuid":"c147764a-044f-4af9-ae6e-6ff3c046e0d9","slug":"choisir-entre-apt-et-apt-get","title":"600 · Choisir entre apt et apt-get","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-19 09:34:57","created_at":"2023-02-19 09:34:57","updated_at":"2023-02-19 09:34:57","tags":[],"plain":"De nos jours, il est généralement recommandé d'utiliser la commande pour installer des paquets sur un système Debian ou Ubuntu, car elle offre une interface utilisateur plus conviviale et plus simple que la commande . En effet, est une interface utilisateur plus moderne pour le système de gestion des paquets \"Advanced Packaging Tool\" (APT), qui permet une gestion plus facile des dépendances, des mises à jour et des options de recherche. Cependant, la commande est toujours disponible et fonctionnelle, et est encore utilisée par certains utilisateurs pour sa flexibilité et ses options plus avancées. En somme, si vous débutez dans l'utilisation de Linux, il est recommandé d'utiliser pour sa simplicité d'utilisation. Si vous êtes un utilisateur plus avancé et que vous avez besoin de fonctionnalités plus avancées, peut être un meilleur choix. Ressources\nLa documentation officielle d'APT : https:manpages.debian.org/stretch/apt/apt.8.fr.html\nUn article sur howtogeek : https:www.howtogeek.com/791055/apt-vs.-apt-get-whats-the-difference-on-linux/\nUne discussion sur Ask Ubuntu : https://askubuntu.com/questions/445384/what-is-the-difference-between-apt-and-apt-get"},{"uuid":"3e7ef528-6bd0-4fd1-83cb-a0d03ba35949","slug":"npm-le-ver-dans-le-fruit-comprendre-la-faille-systemique-et-repenser-les-pratiques-devops","title":"NPM, le ver dans le fruit : comprendre la faille systémique et repenser les pratiques DevOps","category":"informatique","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2026-05-12 13:08","created_at":"2026-05-12 13:08:44","updated_at":"2026-05-12 13:12:42","tags":[],"plain":"À propos de l'article du MagIT « NPM : une nouvelle campagne malveillante souligne une vulnérabilité systémique ».\r\n\r\nNPM expliqué simplement\r\n\r\nQuand on développe une application web moderne en JavaScript ou TypeScript, on ne réécrit jamais tout depuis zéro. On assemble des briques logicielles déjà écrites par d'autres : un module pour parser des dates, un autre pour valider des emails, un troisième pour discuter avec une base de données. Ces briques s'appellent des paquets, et la place de marché centrale qui les distribue s'appelle npm (Node Package Manager).\r\n\r\nConcrètement, dans un projet, on déclare la liste des paquets nécessaires dans un fichier . On lance la commande , et l'outil télécharge automatiquement les paquets demandés… ainsi que tous les paquets dont ces paquets ont eux-mêmes besoin. Un projet « simple » se retrouve souvent à dépendre de plusieurs centaines, voire plusieurs milliers, de paquets en cascade. C'est ce qu'on appelle l'arbre des dépendances.\r\n\r\nLe registre npm héberge aujourd'hui plus de 2,5 millions de paquets. C'est à la fois sa force — un écosystème colossal, une productivité décuplée — et sa faiblesse : la confiance accordée à chaque maillon de la chaîne est implicite, et chaque maillon devient une porte d'entrée potentielle.\r\n\r\nLa faille : ce qui s'est passé\r\n\r\nL'épisode décrit par LeMagIT n'est pas un bug logiciel classique. C'est ce qu'on appelle une attaque sur la chaîne d'approvisionnement logicielle (supply chain attack) : au lieu d'attaquer directement la cible finale, l'attaquant compromet un fournisseur en amont, et laisse la mise à jour légitime faire son travail de propagation.\r\n\r\nLe scénario reconstitué se déroule en plusieurs temps.\r\n\r\n1. Compromission d'un paquet de confiance. Les attaquants sont parvenus à pousser du code malveillant dans des paquets npm largement utilisés, notamment via le détournement du pipeline d'intégration continue de projets connus comme et l'écosystème Checkmarx. L'astuce n'est pas de publier un faux paquet : c'est de modifier un vrai paquet en exploitant les GitHub Actions — les robots qui construisent et publient automatiquement les nouvelles versions.\r\n\r\n2. Vol de secrets à l'installation. Une fois installé sur la machine d'un développeur ou dans un environnement de build, le code malveillant scanne l'environnement à la recherche de variables sensibles : , , , . Tout ce qui traîne dans les variables d'environnement, les fichiers , les configurations cloud.\r\n\r\n3. Auto-propagation. C'est là que l'attaque devient virale. Avec les jetons npm volés, le maliciel se reconnecte au registre npm, récupère la liste des paquets publiés par la victime, et publie automatiquement des versions piégées de ces paquets. Chaque développeur compromis devient un super-propagateur. Socket a identifié une quarantaine de paquets infectés en cascade lors d'une seule vague.\r\n\r\n4. Persistance. Sur les postes touchés, le malware installe un script pour survivre aux redémarrages, et, si nécessaire, exfiltre les données volées dans un dépôt GitHub public créé pour l'occasion.\r\n\r\nLe résultat : un binaire signé, publié sous un nom officiel, à jour, qui passe tous les contrôles de surface — et qui contamine simultanément le poste du développeur et les serveurs de production.\r\n\r\nPourquoi c'est « systémique »\r\n\r\nLe terme employé par LeMagIT est juste. Ce n'est pas un bug isolé, c'est une propriété structurelle de l'écosystème.\r\n\r\nLa confiance est transitive. On fait confiance à , qui fait confiance à , qui fait confiance à , etc. Compromettre un nœud profond et populaire suffit à toucher des millions de projets.\r\n\r\nLa publication est ouverte. N'importe qui peut publier un paquet. Les contrôles existent (provenance, 2FA pour les mainteneurs populaires) mais restent surtout a posteriori.\r\n\r\nLes scripts d'installation s'exécutent automatiquement. Un paquet npm peut déclarer un qui lance du code arbitraire au moment de . C'est pratique, mais c'est aussi un cheval de Troie idéal.\r\n\r\nLes jetons d'API sont partout. Le poste du développeur, les runners CI/CD, les serveurs : tous manipulent des secrets en clair dans des variables d'environnement. Un malware qui s'exécute dans le build n'a même pas besoin d'escalader ses privilèges.\r\n\r\nLes versions sont mutables sur fenêtre courte. Un paquet peut être republié dans les 72 heures suivant sa publication, et un peut retirer une version d'un jour à l'autre.\r\n\r\nAucun de ces points n'est un défaut technique réparable par un patch. Ce sont des choix d'architecture, vieux de plus de dix ans, qui ont accompagné l'explosion de l'écosystème.\r\n\r\nY a-t-il des alternatives ?\r\n\r\nLa question est légitime, mais la réponse honnête est : pas vraiment, et pour de bonnes raisons.\r\n\r\nLes gestionnaires de paquets alternatifs\r\n\r\n, et sont des gestionnaires différents, mais ils tirent leurs paquets du même registre npm. Migrer de à ne change rien à la surface d'attaque : ce sont les mêmes paquets, le même registre, les mêmes mainteneurs.\r\n\r\nCela dit, certains apportent des garde-fous utiles :\r\na introduit l'option , qui refuse d'installer un paquet publié il y a moins de N jours. Une vague d'attaque dure typiquement quelques heures avant détection : attendre 72 heures avant d'installer une nouvelle version élimine la fenêtre dangereuse.\r\nimpose un consentement explicite pour les scripts , là où npm les exécute par défaut.\r\net proposent des lockfiles stricts () qui garantissent que ce qui est installé en CI correspond exactement à ce qui a été testé.\r\n\r\nLes registres alternatifs\r\n\r\nJSR (JavaScript Registry), lancé par les créateurs de Deno, est le seul vrai nouveau registre crédible. Il a été conçu en tirant les leçons des problèmes de npm : TypeScript natif, modules ECMAScript par défaut, pas de scripts d'install, scoring qualité automatique, compatible avec tous les runtimes (Node, Deno, Bun). Mais JSR est complémentaire, pas un remplaçant : il héberge des milliers de paquets, pas des millions. Pour la majorité des dépendances, on continuera de passer par npm.\r\n\r\nLes registres privés — Verdaccio, GitHub Packages, JFrog Artifactory, Sonatype Nexus — ne remplacent pas npm non plus. Ils servent de proxy filtrant : on continue de récupérer les paquets publics, mais à travers un cache d'entreprise où l'on peut bloquer une version, exiger une signature, refuser un mainteneur, ou interdire les paquets publiés depuis moins de X jours. C'est probablement le meilleur compromis disponible aujourd'hui pour une organisation.\r\n\r\nLe verdict\r\n\r\nAbandonner npm en 2026 reviendrait à abandonner JavaScript. La valeur de l'écosystème (2,5 millions de paquets) est trop importante pour qu'on en sorte. Le problème ne se résoudra pas par un changement d'outil ; il se résoudra par un changement de pratiques.\r\n\r\nChanger les pratiques : ce qui doit devenir réflexe\r\n\r\nL'enseignement de cette campagne, et des précédentes (Shai-Hulud, TeamPCP, l'attaque Trivy/KICS), tient en une phrase : la confiance par défaut est morte. Il faut traiter chaque dépendance comme du code hostile par défaut, et le pipeline CI/CD comme une zone de production.\r\n\r\nAu niveau du poste de développement\r\nActiver l'option (ou équivalent) pour différer l'installation des paquets fraîchement publiés.\r\nDésactiver les scripts par défaut, et n'autoriser que ceux explicitement validés.\r\nNe jamais stocker de jetons en clair dans ou les variables d'environnement persistantes. Préférer un gestionnaire de secrets (1Password CLI, , ).\r\nUtiliser des comptes npm séparés pour la publication, avec 2FA matérielle obligatoire.\r\n\r\nAu niveau du dépôt\r\nVerrouiller systématiquement les dépendances (, , ) et installer en mode strict (, ).\r\nMettre en place un audit automatique des dépendances à chaque PR (Socket, Snyk, GitHub Dependabot, ).\r\nPublier ses propres paquets avec provenance npm (signature liée au pipeline GitHub Actions), pour que les consommateurs puissent vérifier l'origine.\r\nTenir à jour un SBOM (Software Bill of Materials) pour savoir exactement ce qui tourne en production.\r\n\r\nAu niveau du CI/CD\r\n\r\nC'est probablement le chantier le plus important.\r\nCloisonner les jetons. Un jeton de publication npm ne doit jamais coexister avec un jeton AWS dans la même étape de pipeline. Un secret par étape, durée de vie minimale, scope minimal.\r\nPréférer les jetons à courte durée de vie (OIDC entre GitHub Actions et le cloud) plutôt que des clés statiques.\r\nAuditer les GitHub Actions tierces. Une action est l'équivalent d'un . Épingler par hash SHA (), pas par tag mutable.\r\nRestreindre les permissions du au strict minimum ( par défaut, ponctuel et justifié).\r\nSurveiller le comportement réseau des runners : un build qui contacte un domaine inconnu doit lever une alerte.\r\n\r\nAu niveau de l'organisation\r\nMettre en place un registre proxy (Verdaccio, Nexus, Artifactory) avec liste blanche/noire de paquets, et l'imposer comme unique source pour tous les projets.\r\nDéfinir une politique de dependency governance : qui peut introduire une nouvelle dépendance, sous quelles conditions, avec quel niveau d'audit.\r\nPrévoir un playbook de révocation : que faire dans l'heure qui suit la détection d'un paquet compromis (rotation de tous les jetons npm/GitHub/cloud, audit des artefacts publiés, communication).\r\n\r\nEn résumé\r\n\r\nNPM n'est pas cassé, il est tel qu'il a été conçu : ouvert, automatique, transitif. Ce qui a changé, c'est la valeur que les attaquants peuvent en extraire — secrets cloud, jetons CI/CD, accès aux pipelines — et la sophistication des campagnes, qui exploitent désormais l'auto-propagation pour atteindre une échelle virale.\r\n\r\nAucune alternative ne supprime le problème, parce que le problème n'est pas npm : c'est l'idée qu'on puisse exécuter en production du code écrit par des inconnus sans jamais le regarder. Le rôle du DevOps en 2026, c'est de bâtir l'infrastructure qui rend cette inspection systématique, économique et inévitable — registres proxy, lockfiles stricts, jetons éphémères, audits continus, isolation des étapes de build.\r\n\r\nOn ne fera pas confiance à moins de gens. On exigera juste que chaque maillon prouve, à chaque exécution, qu'il est bien celui qu'il prétend être."},{"uuid":"1363f454-ca59-4264-a8f0-a2446d645ebc","slug":"installation-et-mise-en-service-d-une-borne-de-recharge-murale-goneo-7-4-kw","title":"Installation et mise en service d'une borne de recharge murale GONEO 7,4 kW","category":"","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2026-05-13 11:04","created_at":"2026-05-13 11:23:38","updated_at":"2026-05-13 15:17:04","tags":{"logiciels":["Home Assistant"]},"plain":"Une borne de recharge murale GONEO a été récemment acquise (référence Amazon B0FP288GM7). Il s'agit d'une wallbox monophasée 7,4 kW (32 A, 230 V), équipée d'un connecteur Type 2, d'un lecteur RFID, et pilotable via Wi-Fi, Bluetooth. La gamme constructeur est documentée sur le site officiel GONEO Global et son catalogue EV Charger sur it.goneoglobal.com.\r\n\r\nCaractéristiques techniques\r\n\r\nD'après les fiches constructeur et revendeurs, le modèle présente les caractéristiques suivantes :\r\nPuissance : jusqu'à 7 kW en monophasé (annoncée 7,4 kW selon le réglage de courant)\r\nCourant réglable : 8 A à 32 A\r\nTension : 230 V monophasé\r\nConnecteur : Type 2 (IEC 62196-2)\r\nProtection : IP65, IK10, ignifuge UL94 V-0, plage -30 °C à +55 °C\r\nDétection de défaut intégrée : protection de fuite Type A 30 mA + DC 6 mA\r\nConnectivité : Wi-Fi, Bluetooth, compatible OCPP et Home Assistant\r\nApplication : Goneo EV Charger (Android / iOS)\r\n\r\nCâblage et raccordement\r\n\r\nLe câble d'alimentation a été tiré soi-même, en s'appuyant sur les règles de dimensionnement détaillées dans cet article. La section retenue est conforme aux préconisations constructeur : câble 3G6 mm² pour un courant maximum de 32 A, avec en amont un disjoncteur 40 A et un interrupteur différentiel type A 40 A.\r\n\r\nUn soin particulier a été apporté au serrage des borniers : un serrage insuffisant entraîne une résistance de contact accrue, source d'échauffement et de chute de tension sous charge — risque non négligeable compte tenu des intensités mises en jeu (jusqu'à 32 A en continu pendant plusieurs heures).\r\n\r\nVérifications avant mise sous tension\r\n\r\nUne fois le raccordement effectué, les mesures suivantes ont été réalisées au multimètre :\r\nPhase Neutre : 230 V (tension nominale du réseau)\r\nPhase Terre : 230 V (confirme la continuité de la phase et de la terre)\r\nNeutre Terre : 0 V (idéalement quelques volts maximum ; une valeur significative trahirait un défaut de neutre ou de mise à la terre)\r\n\r\nÀ noter : la protection différentielle intégrée à la borne couvre la composante DC (6 mA), ce qui permet en théorie de se contenter d'un différentiel type A en amont — là où une borne sans détection DC interne exigerait un type B beaucoup plus onéreux. La vérification de la valeur de la prise de terre au telluromètre et le test du déclenchement du différentiel restent recommandés.\r\n\r\nMise en service\r\n\r\nLa mise en service s'effectue via le Wi-Fi de l'appareil et l'application propriétaire Goneo EV Charger. Points à anticiper :\r\nTélécharger l'application avant de commencer la procédure.\r\nCréer un compte utilisateur.\r\nS'assurer que le téléphone est connecté à un réseau Wi-Fi 2,4 GHz et que le Bluetooth est activé ; la borne doit être à portée du signal Wi-Fi.\r\nAssocier la borne au compte (un appui court sur le bouton règle l'alimentation, un double appui lance la configuration Wi-Fi).\r\n\r\nLa borne ayant été achetée d'occasion, elle n'avait pas été dissociée du compte du précédent propriétaire — situation fréquente sur ce type d'achat. Un message au SAV par mail (info@goneoglobal.com) a suffi : la réponse a été rapide et la dissociation effectuée sans difficulté. Réflexe à prendre lors d'un achat d'occasion : demander au vendeur de procéder à la dissociation avant l'expédition.\r\n\r\nUsage au quotidien\r\n\r\nDeux modes d'utilisation cohabitent :\r\nProfil horaire programmé via l'application : pratique pour caler les sessions sur les heures creuses.\r\nBadge RFID** fourni avec la borne : démarrer ou arrêter une session par simple présentation du badge, sans passer par l'application.\r\n--\r\n\r\nÀ noter sur le plan réglementaire : depuis 2017, l'installation d'une borne de recharge d'une puissance supérieure à 3,7 kW à domicile relève en principe d'un électricien qualifié IRVE. Le fait de procéder soi-même au tirage du câble et au raccordement reste possible techniquement, mais sort du cadre permettant de prétendre aux aides publiques (crédit d'impôt, prime ADVENIR) et peut avoir des conséquences en matière d'assurance."},{"uuid":"5d680f76-475c-4be0-9847-f4230f4f83ca","slug":"20231125-markdown-pdf-pandoc-fedora","title":"Fichier Markdown en PDF avec Pandoc et LaTeX sous Fedora","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-11-25 08:26:30","created_at":"2023-11-25 08:26:30","updated_at":"2023-11-25 08:26:30","tags":[],"plain":"La création de documents PDF à partir de fichiers Markdown est une tâche courante dans le domaine de la rédaction technique et de la publication. Dans cet article, nous allons explorer les commandes nécessaires pour accomplir cette tâche en utilisant les outils Pandoc, LaTeX et Texlive. Commande 1 : Installation de Pandoc et texlive-xetex Installons le package sur votre système Fedora. Le package est un composant essentiel de LaTeX, un système de composition de documents largement utilisé. XeTeX est un moteur de composition de texte TeX qui prend en charge la gestion des polices de caractères TrueType et OpenType, ce qui est utile pour la création de documents contenant des caractères spéciaux et des langues non latines. Commande 2 : Mise à jour du cache TeX Mettre à jour le cache TeX après l'installation de nouveaux packages ou de modifications apportées aux fichiers de configuration. Le cache TeX est essentiel pour que TeX et ses moteurs associés, comme XeTeX, puissent trouver rapidement les fichiers nécessaires lors de la compilation de documents : Commande 4 : Installation de texlive-unicode-math Installer le package . Ce package est utile lorsque vous avez besoin de prendre en charge des caractères mathématiques Unicode dans vos documents LaTeX. Il fournit des fonctionnalités avancées pour la typographie mathématique. Commande 5 : Conversion du fichier Markdown en PDF avec Pandoc et LaTeX On utilise Pandoc pour convertir un fichier Markdown nommé en un fichier PDF nommé . Voici une explication détaillée des options utilisées :\n: Indique que le fichier source est écrit en Markdown GitHub Flavored Markdown (GFM), une variante de Markdown couramment utilisée sur GitHub.\n: Spécifie que nous souhaitons convertir le fichier en PDF.\n: Indique l'utilisation de XeLaTeX comme moteur de composition LaTeX. XeLaTeX est un moteur de composition de texte TeX qui prend en charge la gestion des polices de caractères TrueType et OpenType, ce qui est utile pour la création de documents contenant des caractères spéciaux et des langues non latines, tout comme LuaLaTeX.\n: Le nom du fichier source Markdown que nous souhaitons convertir.\n: Le nom du fichier PDF de sortie que nous souhaitons créer. Conclusion L'installation des packages TeX appropriés et la configuration de l'environnement sont des étapes cruciales pour garantir que la conversion se déroule sans problème et que le résultat final soit de haute qualité. Crédit image : ////"}]
Reference in New Issue View Git Blame Copy Permalink