En complément : la photolithographie, c’est utiliser de la lumière pour graver une surface. La gravure se fait grâce la méthode du pochoir : un masque est placé sur la surface et seules les parties non masquées sont illuminés.

En matière de gravures de puces, il faut déjà avoir une plaque, généralement un disque, en semi-conducteur (du silicium). Ce disque est lui-même déjà une œuvre d’ingénierie car c’est un mono-cristal : il est produit par synthèse en phase vapeur à partir d’une amorce (un petit cristal). Le monocristal pousse en longueur jusqu’à faire une centaine de kilos typiquement. On fait ensuite des tranches, que l’on coupe selon les plans cristallins, et on grave ensuite ça par photolithographie.

Le disque est recouvert d’une couche d’oxyde métallique (le « O » dans « CMOS ») et de résine photosensible, et via un masque (imprimé sur un des miroir dont parle Korben), le rayonnement vient impacter le disque en silicium. La résine s’en retrouve modifiée, et un bain d’acide fluorhydrique permet ensuite de retirer la résine qui a été altérée et d’attaquer l’oxyde en dessous. Les zones non impactés conservent leur oxyde, et c’est comme ça qu’on forme les transistors : deux zones avec oxyde, et une zone centrale sans)

Le disque, d’une vingtaine de centimètres, est gravé successivement de façon à contenir plein de circuits intégrés côte à côte. Une fois les gravures effectuées, le disque est découpé en petits carrés d’environ 1 cm² : c’est la puce finale.

Si les miroirs doivent être parfaits, c’est pour ne pas déformer le masque du circuit. Une façon d’obtenir des miroirs aussi réguliers, c’est sur un bain de mercure : le mercure est liquide, donc sa surface extrêmement lisse, et on y verse un métal dessus (ou on le vaporise). La surface du métal en sera très lisse aussi. Parfois (en astronomie, pour les téléscopes), le mercure est lui-même utilisé comme miroir. Le bain de mercure, s’il est mis en rotation, par l’effet centrifuge, va produire une surface en forme de parabole, produisant un miroir parabolique parfait.

Si l’on utilise aujourd’hui des technos en UV, et même UV lointain, c’est pour avoir des longueurs d’ondes de plus plus fines et donc pouvant être focalisées plus finement aussi, et donc graver le silicium plus finement également.

Ces UV sont produit en échauffant des ions d’étain à des températures de 200 000 K. Notons que ce sont les atomes qui ont une excitation telle que ça correspond à une température élevée. Si l’on y plaçait sa main, ça ne serait probablement pas chaud. Un peu comme quand on dit que la thermosphère est à 300-1000 °C : les atomes sont super rapides, mais comme il y en a très peu, ils ne peuvent pas nous brûler.

Bref, une puce électronique, c’est une merveille scientifique et technologie du début à la fin.
Tout ça n’a pas été inventé du jour au lendemain par contre : ça s’est évidemment fait petit à petit, jusqu’à produire des machines extrêmement complexes aujourd’hui (mais moins que demain : je me demande s’ils vont un jour réussir à manipuler des X).

Ah et chez Intel par exemple, quand on parle des puces i3, i5, i7 ou i9 : ce sont les mêmes puces. C’est juste que les i3 ont davantage de défauts dans le réseau cristallin que les autres (et les i9 en ont le moins).
Le réseau cristallin n’est pas parfait, et parfois un défaut peut empêcher une partie du circuit de fonctionner. Selon la partie impactée, la puce peut toujours fonctionner, juste avec moins de mémoire cache, ou avec une unité de calcul en moins (donc moins vite). Le fabriquant classe chacune des puces selon la moins endommagée à la plus endommagée, et ils sont alors vendues plus ou moins chères.

Enfin, quand on parle de gravure en 10 nm, 5 nm voire 2 nm, c’est essentiellement du bullshit commercial. Les gravures ne vont aujourd’hui pas aussi bas. Ce n’est pas possible : un transistor si petit ne fonctionnerait pas car il le courant passerait entre ses bornes quelque soit son état (par effet tunnel quantique notamment).

D’autres liens sur ce sujet :
https://couleur-science.eu/?d=10d2d2--cest-quoi-un-semi-conducteur (une série d’articles)
https://www.flickr.com/photos/timovn/37784633016/ (un wafer en silicium vu à la loupe — on peut en trouver sur eBay, pas cher et anciens)
https://next.ink/208887/nextquick-la-finesse-gravure-en-nm-ne-veut-plus-rien-dire-cest-juste-du-marketing/

— (permalink)

Vous avez un serveur dans un placard, un NAS chez vos parents, ou une machine headless qui fait des siennes et qui refuse de booter correctement ? Alors vous connaissez forcement cette galère quand c'est impossible d'y accéder à distance parce que l'OS a crashé, que le réseau ne répond plus, ou que vous avez besoin de tripatouiller le BIOS pour changer un réglage.

Ah mais c'est terminé ces galères de cro-magnons, car il existe maintenant un petit boîtier open source qui règle tout ça et qui s'appelle LeafKVM. C'est un KVM over IP sans fil, avec un écran tactile intégré, qui vous permet de prendre le contrôle total d'une machine depuis votre navigateur web, sans avoir besoin d'installer quoi que ce soit sur la machine cible.

Si vous utilisez des conteneurs Docker au quotidien, vous allez sauter de joie car Docker vient d'annoncer que ses Docker Hardened Images (DHI), ces fameuses images ultra-sécurisées qui étaient réservées aux entreprises prêtes à cracher le pognon, sont maintenant gratuites pour tout le monde. Et c'est pas encore un truc limité avec des restrictions à la noix, non non... C'est du vrai open source sous licence Apache 2.0.

Ils proposent donc plus de 1 000 images conteneur prêtes à l'emploi, construites sur Debian et Alpine et ces images sont "durcies", c'est-à-dire qu'elles ont été débarrassées de tous les composants inutiles qui traînent habituellement dans les images de base et qui ne servent qu'à augmenter la surface d'attaque. Du coup, ça leur permet d'annoncer une réduction des vulnérabilités de plus de 95% par rapport aux images classiques. C'est pas maaaal, hein ?

Doom tournant sur un dongle HDMI Apple. Parce que en fait le dongle HDMI Apple contient un CPU ARM.

Et puis en parallèle, je suis tombé sur une discussion sur les réseaux sociaux qui se résumait à "Savez-vous combien il y a d'ordinateurs dans votre ordinateur ?"
Parce que désormais, une carte Ethernet n'est plus juste une carte Ethernet. C'est un CPU ARM qui choisit de passer les paquets à l'OS (via PCI ou autre). Et notre matériel est littéralement *rempli* de mini-ordinateurs en charge de gérer tout un tas de choses : audio, vidéo, réseau, bluetooth, wifi, USB, stockage, connectique...

Et chacun de ces mini-ordinateurs a son propre OS... et donc aussi ses failles de sécurité. Ces "OS embarqués" peuvent très bien être infecté sans la moindre trace, sans même que le système d'exploitation principal de la machine (Windows, Linux...) le voit, puisque ce sont des mémoires auxquelles l'OS n'a pas d'accès.
Les implications sont absolument énormes.

Ce qui m'amène à cet article : https://currentindia.com/channels/timesofindia/toi-world/yes-they-can-former-cia-spy-warns-agencys-tools-can-takeover-your-phone-tv-and-even-your-car/
Oui les possibilités de piratage de nos appareils sont colossales, et probablement déjà exploitées.
(Permalink)

Pendant que Burp Suite avale 500 Mo de RAM au démarrage, HTTP Breakout Proxy lui, tient dans un binaire de quelques Mo qui disparaît dès que vous fermez le terminal.

Alors HTTP Breakout Proxy c’est quoi ?

Hé bien les amis, c’est un proxy HTTP/HTTPS écrit en Go qui intercepte le trafic réseau en temps réel et vous propose une interface web pour analyser tout ce qui passe. Requêtes, réponses, headers, body, timing… Tout est capturé et affiché proprement dans votre navigateur.

Si vous voulez monter votre propre service IPTV pour vos besoins personnels et arrêter de payer des services mafieux ou décodeurs pirates pour regarder de la TV en streaming, j’ai ce qu’il vous faut en accès gratuit.

Il existe plusieurs dépôts Github qui compilent des playlists au format .m3u regroupant de nombreux streams en IPTV. Attention, comme la radio en streaming , rien d’illégal pour l’utilisateur ici, c’est tout simplement des chaînes dont les flux sont accessibles gratuitement et légalement sur le web sans décodeur.

À savoir : Si vous devez fournir un justificatif d'identité, vous pouvez utiliser ce site officiel du gouvernement français.
Il vous génère un justificatif d'identité à usage unique, en précisant le destinataire et la durée de validité. Cela évite de donner une copie de sa carte d'identité et en conséquence de moins risquer d'usurpations d'identité.
(Permalink)

Tiens c'est pas mal comme site. Simple, pratique.
(Permalink)

Petit rappel sur l'application wormhole : Elle permet de transférer un fichier ou un répertoire d'une machine à une autre. Si les deux machines sont sur le même réseau local, le transfer est direct, sinon ça passe par un relai. Et c'est chiffré de bout en bout.
Il suffit d'installer le paquet "magic-wormhole" (sudo apt install magic-wormhole)

J'ai eu la bonne surprise constater que pour Debian et ses dérivées (Ubuntu, Linux Mint...) ça utilise par défaut un relai chez Debian. Et j'ai eu du 20 Mo/seconde, ce qui n'est vraiment pas trop mal.

⬆️ Pour envoyer: wormhole send <nomdufichier>
Cela va afficher un code du genre "61-applicant-aztec".

⬇️ Pour réceptionner : wormhole receive <code>
(Exemple: wormhole receive 61-applicant-aztec)

et c'est tout.
Le code n'est valide que tant que l'expéditeur est actif. Ce code devient invalide dès la fin du transfer (ou si vous pressez CTRL+C pour interrompre l'expéditeur).

🟡 Notez que sous Android, vous pouvez prendre l'application : https://apt.izzysoft.de/fdroid/index/apk/eu.heili.wormhole
Dans la configuration :
- RendezVous : laissez la valeur par défaut.
- Transit : Entrez tcp://magic-wormhole-transit.debian.net:4001

🟡 Sous le gestionnaire de fichiers Nemo (dans Linux Mint Cinnamon), on peut se faire un raccourci dans le menu contextuel.
Créez le fichier ~/.local/share/nemo/actions/wormhole-send.nemo_action contenant:

[Nemo Action]
Name=📦 Envoyer via wormhole
Exec=wormhole send %F
Selection=s
Extensions=any
Quote=double
Dependencies=wormhole
Terminal=true

puis relancez Nemo (nemo --quit && nemo &)
Vous pouvez alors faire un clic-droit sur un fichier ou un répertoire pour l'envoyer avec Wormhole.
(Permalink)

Quelques bricoles minimale à mettre dans vos pages html pour que les navigateurs ne passent pas dans l'horrible mode "quirks".
(via https://shaarli.zoemp.be/shaare/6sLpVA)
(Permalink)

Vous venez de claquer plusieurs milliers d’euros dans une solution antivirus dernier cri pour votre boîte car le commercial vous a convaincu avec du machine learning, de l’IA comportementale, du threat hunting prédictif et j’en passe…

Cool story ! Mais si je vous disais qu’un petit exécutable open source gratuit peut potentiellement passer à travers ? Ce programme s’appelle al-khaser et je vous assure qu’il va vous faire déchanter, car ce truc, c’est le détecteur de mensonges des solutions de cybersécurité.

Vous vous souvenez quand ChatGPT est sorti fin 2022 ? La panique dans les open spaces, les titres clickbait sur la fin du travail tel qu’on le connaît, votre vieux cousin qui vous expliquait pépouse que dans 6 mois tous les devs seraient au chômage ?

Bon ben voilà, Yale vient de publier une étude qui remet les pendules à l’heure . Et je vous spoile un peu : 33 mois après le lancement de ChatGPT, le marché du travail n’a toujours pas implosé.

"So, you're saying a third of the stock market is tied up in seven AI companies that have no way to become profitable and that this is a bubble that's going to burst and take the whole economy with it?"

L'économie US ne tient que grâce à la bulle IA. Quand elle va s'effondrer (et elle VA s'effondrer), ça va être moche.
Et à cause de ces imbéciles et leur technologie foireuse, on va tous morfler.

Autre extrait de cet article: "I firmly believe the (economic) AI apocalypse is coming. These companies are not profitable. They can't be profitable. They keep the lights on by soaking up hundreds of billions of dollars in other people's money and then lighting it on fire. Eventually those other people are going to want to see a return on their investment, and when they don't get it, they will halt the flow of billions of dollars. Anything that can't go on forever eventually stops."
(Permalink)

Un jeu où ils donnent deux photos, et il faut trouver celle produite par IA.

J’ai 70 % sur 20 questions. C’est parfois pas si facile que ça.

— (permalink)

Où on voit que laisser actif d'anciens algos de hashage (ou chiffrement) c'est une mauvaise idée.
(Permalink)

Comment les développeurs du logiciel Obsidian réduisent les risques malgré les dépendances du logiciel. Et ce sont de très bonnes pratiques.
- petite fonctions : incluses directement dans le code de l'appli.
- modules moyens : inclus dans la base de code d'Obsidian si la licence le permet.
- gros modules : mis à jour moins souvent, uniquement lors des mises à jour de sécurité, et les changeslogs sont examinés en détail.

Les versions sont verrouillées (pas de montée automatique de versions des dépendances), ce qui leur permet d'avoir des compilation reproductibles. Les montées en version des dépendances se font après examen détaillé des changelog et des changements de sous-dépendances.
(Permalink)

Site d'utilité publique pour connaître ses droits (exemple: Oui vous avez le droit de filmer les policiers, Non vous n'avez pas à donner le code PIN de votre téléphone, etc.)
(Permalink)

Je vous avait déjà parlé du développeur de libxml2 qui avait déjà pété un câble au mois de juin : https://sebsauvage.net/links/?58FWPQ
Cette fois c'est fini, il lâche le projet, qui n'a donc plus de mainteneur à l'heure actuelle.
(Permalink)

La fatigue...

(Copie ici: about:config
browser.ml.chat.enabled -> false
browser.tabs.groups.smart.enabled -> false
browser.ml.enable -> false )
(Permalink)

Vous aussi, vous en avez marre de cliquer sur “Continuer vers ce site (non sécurisé)” dans votre navigateur à chaque fois que vous testez votre app en local ? Puis surtout, ça fait peur à tout le monde pendant les démos client…

Alors ça tombe bien car j’ai la solution parfaite pour vous.

Ça s’appelle mkcert et c’est un outil transforme la galère des certificats HTTPS locaux en une simple commande. 2 minutes chrono et vous avez des certificats valides, reconnus par votre navigateur, sans avoir à fouiller dans les tréfonds d’OpenSSL.

Dans la série « l'IA nous rend con » : "L'intelligence artificielle, vantée pour son potentiel à transformer la médecine, a conduit certains médecins à perdre leurs compétences après seulement quelques mois d’utilisation, selon une nouvelle étude."
Les professionnels vont avoir tendance à prendre l'avis de l'IA et diminuer leur esprit critique. Sauf que là on parle de votre vie.
(via https://shaarli.zoemp.be/shaare/fznhsg)
(Permalink)

Je viens de découvrir un truc qui pourrait bien changer votre façon de jouer sur PC. Ça s’appelle Bazzite et c’est un genre de SteamOS boosté aux stéroïdes compatible avec absolument tout. Oui, même votre vieille tour qui prend la poussière dans un coin.

L’idée de base est chouette puisqu’il s’agit de prendre Fedora Silverblue, cette distribution Linux “immutable” (en gros, impossible à casser même en faisant n’importe quoi), et la transformer en machine de guerre gaming. On obtient alors un OS qui démarre direct en mode Steam Big Picture si vous voulez, qui supporte le HDR sur AMD, et qui fait tourner vos jeux Windows sans que vous ayez à toucher une seule ligne de commande.

Très long article sur l'état économique du marché de l'IA.
Je ne le résumerai pas mieux que cette internaute : https://eldritch.cafe/@UnePorte/114986962031526715

TL;DR :  300 milliards d'investissement des boîtes d'IA dans des datacenters et des GPU.
Bénéfices (en étant très généreux) : 15 milliards seulement.
Ce n'est pas signe d'un marché en bonne santé : Toutes ces sociétés perdent de l'argent. Massivement.
Habituellement pour une startup la porte de sortie c'est soit un rachat soit l'entrée en bourse. Aucun de ces deux scénarios ne semble se produire.
(Permalink)

Sous le coude : un script pour télécharger toute votre bibliothèque GOG.
(via https://shaarli.zoemp.be/shaare/ficSXw)
(Permalink)

On le sait tous, utiliser des services de cloud comme OneDrive ou Google Drive nous expose à une violation de notre vie privée par des organismes gouvernementaux mais aussi à de simples piratages, ransomwares et fuites de données qui pourraient rendre publics nos fichiers.

Alors, si vous voulez vraiment utiliser ce genre de services, il n’y a qu’un seul moyen de protéger efficacement ses données : Les chiffrer.

Et pour chiffrer ses données avant de les envoyer là-bas loin, dans les data centers, il existe un soft gratuit et open source baptisé Duplicati pour vous aider.