Aller au contenu
Cryptolab
Cryptolab

Weekly #18 : Homebrew 6.0.0, Zcash Orchard, Let's Encrypt et l'actu sécurité

·1166 mots·6 mins
Weekly Homebrew Zcash Letsencrypt Sécurité Crypto Linux MacOS Self-Hosting
Cryptolab.re
Auteur
Cryptolab.re
Cryptolab est un blog personnel où je documente mes expérimentations techniques : infra, self-hosting, réseau, crypto et projets parfois inutiles, souvent instructifs.
Sommaire

Cette semaine : Homebrew 6.0.0 tape fort avec tap trust et Linux sandbox, une vulnérabilité Zcash vieille de 4 ans découverte par Claude Opus qui soulève des questions gênantes, et un retour sur la dépendance mondiale à Let’s Encrypt en pleine poussée de souveraineté numérique.

Homebrew 6.0.0 : tap trust, sandbox Linux et brew vulns
#

Homebrew a livré sa version 6.0.0 le 11 juin, et c’est une release qui compte. Le changelog est massif, mais trois choses méritent qu’on s’y attarde.

Tap trust. Jusqu’ici, un brew tap exécutait du code Ruby arbitraire sur votre machine sans poser de question. Homebrew 6.0.0 introduit un mécanisme de confiance explicite : les taps tiers sont bloqués par défaut tant que vous ne les avez pas marqués comme fiables. Seuls les taps officiels Homebrew sont automatiquement approuvés. En pratique, ça signifie que brew install user/tool vous demandera une confirmation avant d’exécuter quoi que ce soit. Un bon rappel que installer via brew n’est pas fondamentalement plus sûr qu’un curl | bash si vous ne vérifiez pas ce que vous tapez.

Linux sandbox. Le sandboxing Bubblewrap (bwrap) arrive sur Linux, alignant le comportement avec macOS. Les phases de build, test et postinstall tournent désormais en sandbox. C’est activé par défaut pour les développeurs. Si vous compilez des formules sur votre serveur Linux, ça limite les risques de fuite ou de mauvaise surprise pendant les builds.

brew vulns. Homebrew lance une nouvelle commande brew vulns (dans un tap dédié) qui vérifie les paquets installés contre des bases de vulnérabilités. Pratique pour les admins qui veulent savoir si une formule installée a un CVE connu, sans sortir de leur terminal.

Côté perf, l’internal JSON API devient le mode par défaut : brew télécharge un seul fichier de métadonnées au lieu de cloner des repos git. Gain de temps notable sur les machines avec peu de bande passante. macOS 27 (Golden Gate) est supporté. brew bundle profite aussi d’un lifting : meilleure gestion des dépendances, lecture fiable des fichiers .Brewfile, et détection des formules inutiles qui traînent depuis des années.

Notes de version Homebrew 6.0.0 : Documentation Tap-Trust : brew vulns

Zcash Orchard : le bug que même la blockchain ne peut pas détecter
#

Le chercheur Taylor Hornby a été embauché par l’équipe Zcash spécifiquement pour chercher des vulnérabilités. Il a utilisé Claude Opus 4.8 (sorti la veille) pour passer en revue le circuit du pool Orchard, le plus récent système de transactions protégées de Zcash. Moins de 24 heures plus tard, il avait trouvé une faille critique permettant de créer des ZEC contrefaits, validés par le système de preuve à divulgation nulle de connaissance.

Le bug était présent depuis l’activation d’Orchard en mai 2022. Soit 4 ans.

La partie inconfortable : à cause des propriétés même de confidentialité d’Orchard, il est impossible de savoir si la faille a déjà été exploitée. Les transactions contrefaites seraient impossibles à distinguer des transactions légitimes. Le ZEC a chuté de 43% à l’annonce.

Shielded Labs propose un correctif via un upgrade réseau dit “turnstile accounting” : déployer un nouveau shielded pool et forcer chaque pièce Orchard existante à passer par un checkpoint vérifiable. Toute contre-façon apparaîtrait comme une divergence. Mais ça demande une gouvernance communautaire et un processus standard d’upgrade.

Ce qui est plus large, c’est la question que ça soulève : un modèle public (Opus 4.8) a trouvé cette faille en 24h. Qu’est-ce qu’un modèle privé plus avancé (Anthropic Mythos) pourrait trouver ? Et depuis combien de temps d’autres équipes ont-elles accès à des outils équivalents ? Beaucoup de protocoles cryptographiques n’ont jamais été testés contre ce niveau de capacité d’IA.

Security Affairs - Zcash Orchard vulnerability

Let’s Encrypt : trop seul au monde ?
#

Seboss666 a publié un article qui tombe à pic. Let’s Encrypt est un succès phénoménal : gratuit, automatisé via ACME, plus de 60% des certificats mondiaux. Mais une seule organisation (l’ISRG, californienne) contrôle l’infrastructure critique du chiffrement HTTPS mondial.

Dans le contexte géopolitique actuel, avec les sanctions US qui tombent sur qui ne plaît pas à l’administration Trump, la question de la souveraineté n’est plus théorique. Des juges de la CPI se sont retrouvés privés d’accès à des services US du jour au lendemain. Let’s Encrypt lui-même a mis à jour ses conditions d’utilisation pour rappeler qu’il doit se conformer aux sanctions US.

Les alternatives européennes existent (Actalis, ZeroSSL, Gandi, Buypass), mais aucune n’offre l’équivalent complet :

  • ACME avec challenges http-01, dns-01 et tls-alpn-01 ? Rare
  • Certificats wildcard gratuits ? Presque jamais
  • Simple, gratuit, sans limite de quantité et sans donner son identité ? Personne

Le plus inquiétant n’est pas que Let’s Encrypt soit américain : c’est qu’il n’y ait pas d’équivalent crédible ailleurs, sur un service devenu aussi critique que la délivrance de certificats TLS.

Let’s Encrypt c’est cool, mais il est seul au monde : Seboss666

Les pépites de la semaine
#

Strava paywalle son API : L’API fitness n’est plus gratuite. Impact direct sur les projets self-hosted de synchronisation d’activités. Si vous utilisez des outils tiers pour récupérer vos données Strava, vérifiez qu’ils ne sont pas morts du jour au lendemain. Alternatives : fitpub.social (ActivityPub) ou Endurain (self-hosted).

Euro-Office disponible : La suite bureautique souveraine européenne est sortie le 9 juin, intégrée à Nextcloud Hub 26 (Spring). Une alternative à OnlyOffice/Collabora avec une gouvernance européenne, le timing est parfait vu le contexte géopolitique.

Un projet open source a permis de phisher 14 000 personnes : Andrej Acevski raconte comment un botnet a abusé de la version hébergée de son projet open source. La leçon : si vous proposez un SaaS basé sur votre projet open source, le risque de abuse est réel et la modération n’est pas un luxe. Son article détaille le nettoyage et ce que ça lui a appris sur l’exploitation de la confiance.

FUTO, 2 ans après : Immich publie un bilan de son partenariat avec FUTO. L’alternative open source à Google Photos continue de progresser, avec un modèle économique qui semble tenir. Intéressant pour ceux qui s’interrogent sur la viabilité des financements par fondation.

Commande du jour
#

certbot certificates --no-self-upgrade

Si Let’s Encrypt est votre seule CA, la semaine passée devrait vous inviter à auditer ce que ça représente. Cette commande liste les certificats gérés par Certbot sur vos serveurs : noms de domaine, dates d’expiration, chemins des fichiers. Si la liste est longue et qu’aucun autre ACME n’apparaît, vous sentez où on va.

Pour vérifier si un certificat utilise bien l’ACME sans passer par Certbot :

openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -issuer

Si chaque résultat affiche “Let’s Encrypt”, vous savez sur quoi reposez.

Sources
#

Articles connexes

Nginx RIFT (CVE-2026-42945) : comprendre la faille vieille de 18 ans

·966 mots·5 mins
Sécurité Nginx Sécurité Linux Cybersécurité Reverse-Proxy
La CVE-2026-42945, surnommée Nginx RIFT, touche le module ngx_http_rewrite_module de Nginx, un composant historique introduit en 2008. Selon les chercheurs à l’origine de la découverte, la vulnérabilité peut mener, dans certaines conditions, à une corruption mémoire exploitable pouvant aller jusqu’à une exécution de code arbitraire (RCE). Un PoC public est déjà disponible, ce qui réduit rapidement le coût d’entrée pour tester l’exploitation.

Pangolin : exposer CrowdSec Manager derrière le SSO

··2643 mots·13 mins
Infrastructure Infra Sécurité Self-Hosting Pangolin Crowdsec Docker Ansible
Dans le premier article sur Pangolin, j’avais volontairement laissé CrowdSec de côté. Pas parce que CrowdSec n’est pas utile. Au contraire. Mais parce qu’une pile Pangolin doit d’abord être comprise avant d’ajouter des briques de sécurité, des bouncers, des dashboards et des automatisations. Une fois Pangolin stable, la question revient naturellement : Comment visualiser proprement ce que CrowdSec voit et bloque, sans exposer une interface d’administration sensible sur Internet ? C’est là que CrowdSec Manager devient intéressant. L’objectif de ce test est simple : installer CrowdSec Manager à côté de la stack CrowdSec ; ne pas publier son port 8080 sur Internet ; le rendre accessible uniquement via Pangolin ; protéger l’accès avec le SSO Pangolin ; garder les secrets Newt dans Gitea Actions, pas dans Git.