Aller au contenu
Cryptolab
Cryptolab

Weekly #19 : Synology DSM 7.4, AUR sous pression, Fedora et le risque des agents IA

·1399 mots·7 mins
Weekly Synology Dsm Arch Aur Fedora Sécurité Linux Malware Self-Hosting Immich Proxmox Kde Kernel
Cryptolab.re
Auteur
Cryptolab.re
Cryptolab est un blog personnel où je documente mes expérimentations techniques : infra, self-hosting, réseau, crypto et projets parfois inutiles, souvent instructifs.
Sommaire

Semaine chargée : Synology publie DSM 7.4 avec des fonctions intéressantes pour les admins NAS, l’AUR d’Arch encaisse une vague de paquets malveillants, et Fedora rappelle ce qui peut arriver quand un agent IA non supervisé obtient un accès à un bug tracker.

Synology DSM 7.4 : déduplication HDD, agent IA, recherche sémantique
#

Synology a annoncé DSM 7.4, avec un déploiement annoncé entre le 16 juin et le 18 août selon les régions. C’est une release assez large, qui touche au stockage, à la recherche, à la collaboration et à l’administration.

Storage Efficiency : la déduplication arrive sur HDD. Jusqu’ici réservée aux SSD, la déduplication et la compression s’appliquent désormais aux disques mécaniques. Ça se configure par shared folder dans Storage Manager. Les prérequis annoncés : kernel >= 4.4, CPU >= 4 threads, RAM >= 2 Go. Si vous stockez des sauvegardes redondantes ou des images de VM, le gain en place peut être significatif.

AI Console / DSM Agent : Synology intègre un agent IA natif pour des tâches d’administration simples : génération de rapports de stockage mensuels, vérification que la 2FA est active sur les comptes, détection de configurations aberrantes. L’agent peut utiliser un LLM local ou un backend compatible OpenAI. Pas de révolution, mais une direction claire : l’IA comme couche d’assistance dans l’admin système.

Drive 4.1 : recherche sémantique. Le client de synchronisation Synology Drive intègre une recherche vectorielle locale via des modèles d’embedding. L’idée : chercher “le contrat signé en mars avec le logo bleu” plutôt qu’un nom de fichier exact. La base vectorielle tourne sur le NAS.

ChatPlus et Meet : Messagerie et visioconférence on-prem, jusqu’à 10 000 utilisateurs et des webinaires à 7 000 participants. Pour les organisations qui veulent rester dans l’écosystème Synology, l’offre se complète.

HCL update (Hardware Compatibility List) : Les SSD tiers ne peuvent plus être utilisés en cache sur les modèles 2026+. Synology justifie ce choix par le risque d’usure non détectée. Ils restent utilisables en pool de stockage, mais le cache NVMe est verrouillé aux références Synology. C’est cohérent avec la stratégie récente du constructeur, mais ça réduit la marge de manoeuvre côté admin.

Annonce Synology DSM 7.4

Arch AUR : vague de paquets malveillants, inscriptions bloquées
#

L’Arch User Repository traverse une mauvaise séquence. Une campagne de logiciels malveillants aurait injecté plus de 1 500 paquets compromis dans l’AUR, avec des vagues persistantes malgré les tentatives de nettoyage.

Le mode opératoire décrit est assez classique : des comptes créés automatiquement poussaient des PKGBUILD contenant des scripts malveillants exécutés à l’installation. Certains paquets imitaient des logiciels légitimes avec du typosquatting. D’autres auraient ajouté du code malveillant à des paquets existants maintenus par des comptes compromis.

Arch Linux aurait réagi en bloquant temporairement les nouvelles inscriptions sur l’AUR, le temps de déployer des contre-mesures.

yay v13, l’un des helpers AUR les plus utilisés, répond avec plusieurs garde-fous :

  • Des hooks de sécurité en Lua qui analysent les PKGBUILD avant exécution
  • Des timestamps sur les PKGBUILD pour détecter les modifications post-review
  • Un mode de vérification renforcé pour les paquets provenant de nouveaux mainteneurs

Si vous utilisez Arch avec un helper AUR (yay, paru, etc.), c’est le moment de vérifier que vous êtes bien sur la dernière version et de relire ce que vous installez. L’AUR reste un dépôt communautaire sans curation centralisée, et cette campagne rappelle les limites du modèle.

Reddit r/archlinux - AUR malware wave discussion

Fedora : un agent IA compromet le bug tracker
#

L’incident Fedora mérite l’attention parce qu’il sort du scénario habituel “compte compromis, données exfiltrées”.

Un compte de contributeur aurait été compromis via des identifiants volés. L’attaquant aurait utilisé ces accès pour brancher un agent IA sur le bug tracker Fedora. L’agent aurait alors :

  • Fermé des bugs avec des commentaires générés automatiquement
  • Proposé des correctifs plausibles mais incorrects
  • Touché des tickets liés à Anaconda, le programme d’installation de Fedora

Le signal faible, dans ce type d’incident, c’est le comportement : résolutions trop rapides, commentaires trop homogènes, activité hors rythme normal du contributeur. C’est beaucoup plus difficile à détecter qu’une simple tentative de connexion depuis une IP exotique.

La leçon est double :

  1. Les comptes contributeurs avec accès à l’infrastructure doivent avoir une 2FA obligatoire et une rotation régulière des tokens.
  2. Les agents IA non supervisés sur des systèmes critiques (bug tracker, CI, review) posent un risque différent d’un bot classique : ils peuvent produire des actions crédibles, pas seulement automatisées.

Le bon réflexe côté infra : journaliser finement les actions sur les trackers, surveiller les changements de rythme par compte, et éviter de donner à un agent IA des droits d’écriture sans revue humaine.

Fedora mailing list - Security incident report

Immich v3.0.0-rc.0 : le cap des release candidates
#

Immich, l’alternative open source à Google Photos, passe en release candidate pour sa version 3.0.0. Le projet cherche visiblement à lisser son rythme de publication, qui pouvait jusque-là enchaîner une majeure puis plusieurs correctifs en quelques jours.

Les fonctionnalités attendues de v3 :

  • Édition non destructive sur mobile : recadrage, réglages, filtres sans altérer l’original
  • Workflow automation : règles déclenchées à l’import (tagging automatique, redimensionnement, envoi vers des services externes)
  • Galerie Android native : Immich devient un vrai client galerie Android, capable de remplacer l’application Google Photos officielle

Si vous utilisez Immich en self-hosted, la RC est disponible sur GitHub. Les utilisateurs Docker peuvent passer sur le tag v3.0.0-rc.0. Comme toujours avec une RC, testez en préprod avant de déployer sur votre instance principale.

Immich v3.0.0-rc.0 release

Les pépites de la semaine
#

Linux 7.1 : Sorti le 14 juin, ce noyau est la nouvelle branche mainline. La 7.1.1 est déjà disponible en stable au 19 juin. kernel.org

Proxmox Datacenter Manager 1.1 : La mise à jour du gestionnaire multi-datacenter de Proxmox apporte des améliorations utiles si vous gérez plusieurs clusters. La vidéo de VirtualizationHowTo détaille les nouveautés côté interface et workflows. Forum Proxmox

Lore VCS (Epic Games) : Epic a publié Lore en open source, un système de contrôle de version écrit en Rust et optimisé pour les gros fichiers binaires. C’est une alternative potentielle à Git pour les projets qui manipulent beaucoup d’assets lourds : jeux vidéo, médias, datasets. Licence MIT, projet encore pré-1.0. GitHub - EpicGames/lore

Kuvasz : Monitoring uptime et SSL self-hosted avec alertes multi-canaux, SSO, API REST et intégration Home Assistant. Déploiement Docker + PostgreSQL. Une alternative légère à Uptime Kuma. kuvasz-uptime.dev

Bambuddy : Alternative open source qui redonne le contrôle matériel sur les imprimantes 3D Bambu Lab, face au lock-in progressif du firmware officiel. GitHub - bambuddy

Open Home Foundation : 2 millions d’installations Home Assistant : Le rapport annuel confirme la prise en main officielle de HACS, Music Assistant et Z-Wave JS par la fondation. L’écosystème home automation open source continue de se structurer. openhomefoundation.org

KDE Plasma 6.7 (18 juin) : bureaux virtuels par écran, et Union, un nouveau système de theming CSS. Les thèmes legacy KDE 4 peuvent être réactivés. kde.org

Oracle free tier réduit : Les ressources gratuites passeraient de 4 à 2 OCPU et de 24 à 12 GB RAM pour les instances AMD, avec une réduction similaire en ARM selon les retours communautaires. Si vous hébergez des projets sur le free tier Oracle, vérifiez votre consommation et les limites affichées dans votre console. Reddit

Hetzner : Les hausses de prix annoncées en mai sont effectives depuis lundi.

LeafWiki : wiki basé sur Markdown, stockage file-based + SQLite pour les métadonnées. Zéro dépendance externe, déploiement Docker. Une alternative légère à Outline.

Commande du jour
#

pamac checkupdates --aur

Pour les utilisateurs Arch qui veulent vérifier manuellement les mises à jour disponibles depuis l’AUR avant de les installer. Avec la vague de malwares en cours, pamac checkupdates --aur ou yay -Pu permet de voir ce qui va être mis à jour sans lancer l’installation.

Pour aller plus loin avec yay v13 et ses nouveaux hooks de sécurité :

yay -Y --save --sudoloop
yay -Ps                 # statistiques des paquets installés

Vérifiez surtout les paquets installés depuis l’AUR qui viennent de mainteneurs récents ou dont le PKGBUILD a changé de façon inattendue.

Sources
#

Articles connexes

Campagne Atomic Arch : 1 500 paquets AUR détournés avec un infostealer et un rootkit eBPF

·1650 mots·8 mins
Sécurité Archlinux Sécurité Supply-Chain Linux Aur
Le 11 juin 2026, les équipes de sécurité de Sonatype ont révélé une campagne massive de détournement de paquets dans l’Arch User Repository (AUR). Baptisée Atomic Arch, l’attaque a rapidement dépassé les premières estimations : de 400 paquets compromis le premier jour, le nombre est monté à plus de 1 500 en 48 heures. Des chercheurs identifient désormais jusqu’à 1 900 paquets orphelins adoptés et modifiés. L’attaque automatisée injecte un credential stealer en Rust avec capacités rootkit via eBPF, ciblant SSH keys, tokens cloud, sessions navigateur et identifiants de messagerie. Pour l’écosystème open source, cet incident dépasse largement Arch Linux. C’est le premier cas documenté d’une campagne industrialisée exploitant le mécanisme d’adoption des paquets orphelins à grande échelle.

Dirty Frag : la nouvelle faille Linux qui donne root en local

··2410 mots·12 mins
Sécurité Linux Sécurité Kernel Cve Dirty-Frag Lpe Sysadmin
Dirty Frag est une nouvelle faille Linux publiee le 7 mai 2026 par le chercheur Hyunwoo Kim, aussi connu sous le pseudo @v4bel. Petite correction avant de commencer : le nom est Dirty Frag, pas Dirty Flag. Le “frag” fait reference aux fragments de paquets reseau dans le noyau Linux, plus precisement au champ frag de struct sk_buff. Sur le papier, Dirty Frag est une elevation locale de privileges. En clair : il faut deja pouvoir executer du code sur la machine. Mais une fois ce premier acces obtenu, la faille peut permettre de devenir root. C’est exactement le genre de bug qui compte beaucoup sur des serveurs multi-utilisateurs, des environnements CI/CD, des machines de developpement, des VPS, des clusters Kubernetes ou des plateformes qui lancent du code tiers.