leo

laissez moi résumer mdr l'État collecte de force vos données d'identité via l'ANTS, laisse traîner le tout sur un système tellement mal sécurisé que 18 millions de comptes français finissent en vente libre sur le dark web & maintenant la CNIL va infliger une amende à l'ANTS qui sera payée avec quoi??? avec les impôts des français mdrrr donc récapitulons, on vous pirate avec votre argent puis on vous taxe pour punir ceux qui ont laissé faire avec votre argent in fine le serpent qui se mord la queue fiscalement mdrrrr et le plus dingue dans l'affaire c'est que ça arrive 2 mois après le piratage du FICOBA qui a exposé 1,2 million de comptes bancaires, une semaine après la fuite educonnect sur les élèves et pendant ce temps on exige de vous une double authentification pour commander une pizza sur ubereats mdrrrrr la vérité brutale c'est que l'etat français exige de ses citoyens un niveau de sécurité numérique qu'il est lui même structurellement incapable d'assurer sur ses propres plateformes…passeport, CI, permis…tout votre dossier civil circule en ce moment entre des mains que personne ne connaît pendant que Bercy prépare la facture de sa propre incompétence mdr j’en rigole mais ce niveau de médiocrité est juste STRATOSPHÉRIQUE

Software horror: litellm PyPI supply chain attack. Simple `pip install litellm` was enough to exfiltrate SSH keys, AWS/GCP/Azure creds, Kubernetes configs, git credentials, env vars (all your API keys), shell history, crypto wallets, SSL private keys, CI/CD secrets, database passwords. LiteLLM itself has 97 million downloads per month which is already terrible, but much worse, the contagion spreads to any project that depends on litellm. For example, if you did `pip install dspy` (which depended on litellm>=1.64.0), you'd also be pwnd. Same for any other large project that depended on litellm. Afaict the poisoned version was up for only less than ~1 hour. The attack had a bug which led to its discovery - Callum McMahon was using an MCP plugin inside Cursor that pulled in litellm as a transitive dependency. When litellm 1.82.8 installed, their machine ran out of RAM and crashed. So if the attacker didn't vibe code this attack it could have been undetected for many days or weeks. Supply chain attacks like this are basically the scariest thing imaginable in modern software. Every time you install any depedency you could be pulling in a poisoned package anywhere deep inside its entire depedency tree. This is especially risky with large projects that might have lots and lots of dependencies. The credentials that do get stolen in each attack can then be used to take over more accounts and compromise more packages. Classical software engineering would have you believe that dependencies are good (we're building pyramids from bricks), but imo this has to be re-evaluated, and it's why I've been so growingly averse to them, preferring to use LLMs to "yoink" functionality when it's simple enough and possible.