Un an après le lancement du RP2350, son deuxième microcontrôleur maison, la Fondation Raspberry Pi annonce une mise à jour importante du silicium avec l’arrivée du stepping A4, plus sécurisé et plus stable. L’occasion également d’introduire une nouvelle variante, le […]
Teradata fait un pas important vers une intelligence artificielle plus contextuelle et transparente en lançant son MCP Server – Community Edition, désormais disponible en open source sur GitHub. Conçu pour offrir aux agents IA un accès sémantique riche aux données […]
Mark Zuckerberg a dévoilé le 30 juillet sa vision stratégique pour l’IA de demain : une superintelligence personnelle accessible à chacun, capable d’accompagner les individus dans leurs objectifs, leurs créations, leur quotidien. Une annonce qui marque une nouvelle étape dans […]
Que vaut le vidéoprojecteur Capsule 3 de Nebula by Anker ?
Chez Vonguru, nous avons la chance de pouvoir tester de beaux produits, notamment des projecteurs. Récemment, nous vous avons présenté les modèles Elfin Flip et MoGo 3 Pro de chez XGIMI. Début décembre, Nebula a présenté son nouveau modèle, le Capsule Air. C’est celui-ci que nous allons tester pour vous aujourd’hui. En 2019, nous testions déjà le Nebula Mars II Pro et plus récemment, le Capsule Air.
Au programme : mise au point et correction du trapèze automatique, 2h30 d’autonomie sur batterie, 1080p et 200 Lumens. Côté prix, vous le retrouverez hors promotion au prix de 499,99 € mais il a également été aperçu à 379,99 € !
Place au test !
Unboxing
La face avant met en valeur le projecteur avec ses principales caractéristiques (Full HD, Dolby Audio, Google TV), tandis qu’un côté montre l’appareil en main pour illustrer sa compacité. L’autre côté liste quant à lui les spécificités techniques (autonomie, connectique, dimensions).
Au dos, une scène d’usage évoque la portabilité du produit, accompagnée du contenu de la boîte : projecteur, télécommande, piles, câble USB‑C et chargeur. L’intérieur s’ouvre via un rabat magnétique, révélant un agencement propre : accessoires d’un côté, projecteur bien calé dans une mousse protectrice. Simple, élégant et efficace.
Caractéristiques techniques
Marque
NEBULA
Usages recommandés pour le produit
Home cinéma, divertissement mobile, éducation, affaires
Caractéristique spéciale
Mise au point automatique, portable, connectivité USB :
Technologie de connectivité
HDMI, USB, AUX
Résolution d’affichage
1920 x 1080
Résolution d’affichage maximale
1080p Full HD
Type d’affichage
DLP
Dimensions du produit
16L x 7,8l centimètres
Facteur de forme
Portable
Type de fixation
Support portable
Fonctionnalités
Grand écran, design portable : le Capsule 3 est un nouveau mini projecteur ultra portable de Google TV sous licence Netflix.
Emportez le grand écran partout : avec une taille d’écran maximale de 120 pouces, le mini projecteur Capsule 3 offre une expérience de niveau cinématographique que vous pouvez emporter avec vous n’importe où.
Qualité d’image de niveau supérieur : l’écran 1080p avec 200 ANSI lumens de luminosité fait briller les films pour une expérience de visionnement immersive.
Longue durée de lecture : terminez un film complet de 2,5 heures ou écoutez 8 heures de musique sur une seule charge.
Configuration en quelques secondes : technologie d’adaptation intelligente à l’environnement effectue le réglage de l’écran, la correction trapézoïdale automatique, la mise au point automatique et l’évitement des obstacles en seulement 3 secondes.
Contenu
Capsule 3
Télécommande
Piles x2
Câble USB
Deux adaptateurs secteur
Guide de démarrage
Test
Le Nebula Capsule 3 réussit une nouvelle fois à réinventer la mobilité du vidéoprojecteur, en offrant ici une résolution native Full HD (1920 × 1080) au sein d’un cylindre mince de 83 mm de diamètre et 170 mm de hauteur (environ 950 g), il se glisse facilement dans un sac ou même une poche ample en route est quasi instantanée : dès que vous le posez, les systèmes d’autofocus, de correction trapézoïdale automatique, et la détection d’obstacles (IEA 3.0) s’activent pour une image optimisée en quelques secondes. On regrettera d’ailleurs le manque d’une petite pochette de transport pour ne pas l’abîmer.
Grâce à l’OS Google TV intégré, on navigue directement dans Netflix, Disney+, Prime Video et Apple TV+, en bénéficiant du support natif HDR et du Chromecast intégré. L’assistant Google est également présent via la télécommande à micro intégré et rétro-éclairage, et ça on adore toujours autant. De plus, la mémoire interne de 16 Go (2 Go RAM / environ 11 Go disponibles) accepte quelques applications.
Il dispose d’un port HDMI 2.1 compatible eARC, ce qui permet de brancher une console, un lecteur Blu‑ray ou un boîtier TV tout en profitant du retour audio vers une barre de son compatible. Ce n’est pas courant sur un pico‑projecteur, et c’est un vrai plus pour une configuration un peu plus régulière.
À côté, on trouve un port USB-C qui sert à la fois pour l’alimentation et pour le transfert de données (comme une clé USB ou un disque dur avec certains formats compatibles), ce qui évite de multiplier les câbles. Il y a aussi un port USB-A, pratique pour lire directement des fichiers stockés ou pour alimenter un petit accessoire. Enfin, une prise jack 3,5 mm est présente pour brancher un casque ou une enceinte externe, ce qui peut s’avérer utile si on veut un son plus puissant que celui du haut-parleur intégré, ou si on désire qu’il provienne d’ailleurs. En plus de tout ça, le projecteur est compatible Wi‑Fi et Bluetooth 5.1, ce qui permet de le connecter sans fil à un smartphone, un clavier, une manette ou une enceinte.
Le rendu Full HD 1080p permet une image nette jusqu’à 120 pouces dans de bonnes conditions. Mais la luminosité plafonne à 200 ANSI lumens, un niveau très contenu : il suffit d’un peu de lumière ambiante pour que l’image perde son contraste et son impact visuel. C’est pour cela que son utilisation s’est cantonnée à la chambre parentale afin d’éviter toute frustration car en extérieur et sur une toile, les limites se sont vite fait ressentir.
Le projecteur embarque un haut‑parleur mono de 8 W avec Dolby Audio. Bien qu’on ne soit pas dans l’expérience hi‑fi, le son est étonnamment riche pour un équipement si compact, grâce à la diffusion presque à 360 degrés du son. Rien d’immersif, mais pour une petite pièce ou une utilisation en chambre, c’est suffisant.En mode enceinte Bluetooth, l’autonomie peut atteindre 10 h ; en vidéo, comptez sur 2 h 30 maximum.
Cependant, cet appareil reste trop dépendant d’un environnement sombre : seuls 200 lumens limitent tout de même son usage en extérieur. Je n’ai pu l’utiliser correctement que dans le noir en intérieur afin d’avoir une image nette et claire, à l’image des précédents projecteurs nomades que j’ai eu en tests au cours de l’année passée.
Pour comparer avec le Capsule Air que nous avions eu il y a quelques mois, notre modèle du jour surpasse nettement ce dernier, bien qu’ils partagent le même format compact et nomade. Là où le Capsule Air se limite à une image en 720p peu lumineuse (environ 150 lumens), le Capsule 3 propose une vraie résolution Full HD avec une luminosité doublée (200 lumens), ce qui change radicalement l’expérience, surtout en grand format et dans le noir. L’interface est également plus fluide et moins de laggs se sont fait sentir. Encore un bon point.
Conclusion
Le Nebula Capsule 3 parvient à combiner élégance, compacité et fonctionnalités avancées dans un format proche d’une canette de soda. Avec Google TV intégré, son autofocus intelligent, et son HP 8 W permettent une expérience de visionnage nomade simple et fluide. En revanche, ses performances restent strictement réservées aux environnements très sombres, et le rapport qualité/prix n’est pas forcément au rendez-vous face à une concurrence plus lumineuse à un prix assez similaire.
Ce projecteur est parfait si vous cherchez un compagnon léger et autonome pour des usages réguliers en soirée ou en intérieur tamisé. Si vous espérez un peu (ou beaucoup) en journée ou pour de grandes projections, des modèles lasers ou plus lumineux comme les XGIMI MoGo 3 Pro ou Mars 3 Air méritent d’être considérés.
Côté prix, vous le retrouverez hors promotion au prix de 499,99 € mais il a également été aperçu à 379,99 € ! Un support pliable est également disponible au prix de 39,99 €.
GitHub vient de lancer Spark, un nouvel outil en préversion publique qui promet de révolutionner la création d’applications web. Disponible dès maintenant pour les abonnés Copilot Pro+, Spark permet de transformer de simples idées exprimées en langage naturel en applications […]
A l'occasion de la sortie des drivers GeForce Game Ready 580.88, NVIDIA a confirmé ce qui avait déjà été publié début juillet 2025 sur son forum dédié aux développeurs à savoir que cette branche R580 du pilote serait la dernière à supporter les GPU basés sur les microarchitectures Maxwell, Pascal et...
Ah, les années 90 ! Qu’est-ce que c’était cool quand même ! Chaque nouveau jeu qui sortait, c’était une révolution et c’est d’ailleurs cette époque a donné naissance à de nombreux classiques, dont l’un des plus célèbres jeux de course futuristes : wipEout, sorti en 1995 sur PlayStation 1.
La bonne nouvelle, c’est qu’il existe plusieurs réimplémentations de ce jeu génial. La première, nommée wipEout Rewrite, a été créée grâce au code source d’origine divulgué en 2022. Le développeur a réussi à adapter le jeu pour qu’il fonctionne sur les plateformes SDL2 et Sokol, avec une prise en charge des contrôleurs de jeu.
Mais attendez, ce n’est pas tout ! Une nouvelle version encore plus améliorée vient de sortir : wipEout Rewrite Enhanced Fantômas Edition, créée par HunoPPC et l’équipe française Amiga. Initialement exclusive à AmigaOS4 (sortie en octobre 2024), cette version est maintenant disponible pour Windows 32/64 bits suite aux nombreuses demandes des fans.
Cette version pousse le jeu original vers de nouveaux sommets avec des améliorations graphiques impressionnantes : framerate décuplé, rendu haute résolution, support widescreen et FullHD natif, distance de vue augmentée, ombres HD, effets de particules pour les collisions, et toutes les textures retravaillées. Les polices ont même été refaites en HD pour une meilleure lisibilité !
Mais ce n’est pas qu’une simple amélioration visuelle. La Fantômas Edition ajoute du contenu supplémentaire conséquent :
8 vaisseaux supplémentaires issus de WipeOut 2097
Les niveaux de WipeOut 2097 avec corrections
3 nouvelles vidéos d’intro en HD (remastered, remake et HD)
Les musiques des versions Sega Saturn, PSX1 et WipeOut 2097
Une vue cockpit pour piloter depuis l’intérieur du vaisseau
Un compteur de vitesse en KPH
Support complet des manettes avec vibrations
Le moteur a été entièrement optimisé et threadé pour de meilleures performances, avec un rendu OpenGL/DirectX et de l’audio 3D pour les effets sonores. Configuration requise : Windows 10 minimum, 8 Go de RAM et une carte graphique avec support OpenGL/DirectX.
Pour jouer rapidement, vous pouvez toujours tester la version de base directement en ligne ici. Les touches sont X pour accélérer, Z pour tirer, C/V pour freiner et A pour changer de vue.
La Fantômas Edition est en donationware : la version de base est gratuite, mais pour accéder à toutes les données améliorées (textures HD, contenu additionnel), un don est demandé. Les donateurs reçoivent un lien vers l’archive complète. Le développeur HunoPPC dédie cette version à la mémoire de Jacques “Creols” Vanhove, décédé en juillet 2024.
Au-delà des améliorations techniques, ces projets nous offrent un aperçu fascinant du développement de jeux vidéo dans les années 90. Les développeurs originaux ont dû surmonter de nombreux défis liés au matériel et à la 3D. Par exemple, la gestion du rendu dans wipEout était basée sur une bibliothèque appelée LIBGPU, qui gérait les calculs de perspective sur un coprocesseur de la PSX.
Bref, que vous choisissiez la version wipEout Rewrite originale, WipeOut Phantom Edition, ou cette nouvelle Fantômas Edition, vous avez maintenant l’embarras du choix pour redécouvrir ce classique du jeu vidéo avec des améliorations modernes tout en respectant l’esprit original !
Bon, on est le 31 juillet 2025 et dans deux jours, c’est le grand chamboulement. L’AI Act entre en application et j’ai vu passer tellement de conneries sur le sujet que j’ai décidé de vous faire un guide clair et net. Parce que non, vous n’allez pas devoir mettre “CONTENU GÉNÉRÉ PAR IA” en gros sur chaque article de votre blog.
Alors respirez un coup, prenez un café, et on va démêler tout ça ensemble. Je vous promets qu’à la fin de cet article, vous saurez exactement ce que vous devez faire sur votre site. Et surtout, ce que vous n’êtes PAS obligé de faire.
L’AI Act, c’est donc le nouveau règlement européen sur l’intelligence artificielle. Un peu comme le RGPD mais pour l’IA. Et comme le RGPD, ça s’applique à tous ceux qui proposent des services dans l’Union européenne, même si vous êtes basé aux États-Unis ou sur Mars.
Le truc important à comprendre, c’est que l’AI Act fonctionne par niveaux de risque. Plus votre système d’IA présente de risques, plus vous avez d’obligations. Pour nous, éditeurs web et créateurs de contenu, on est généralement dans la catégorie “risque limité”, ce qui veut dire qu’on a principalement des obligations de transparence.
Et c’est là que ça devient intéressant car c’est l’article 50 du règlement qui définit ces obligations de transparence, mais il y a plein d’exemptions que personne ne vous raconte.
Concrètement, si vous utilisez l’IA pour générer du contenu sur votre site, vous devez en informer vos utilisateurs. Mais attention, ce n’est pas aussi simple que “mettez une mention partout”.
Voici ce que dit précisément le texte :
Pour les contenus type deepfake (images, audio, vidéo) : Vous devez indiquer que le contenu a été artificiellement généré ou manipulé.
Pour les textes d’information publique : Si vous utilisez l’IA pour générer des textes “dans le but d’informer le public sur des questions d’intérêt public”, vous devez le signaler.
Pour les chatbots et assistants : Vous devez informer les utilisateurs qu’ils interagissent avec un système d’IA.
Mais voilà le twist, ces obligations ne s’appliquent pas dans tous les cas car l’AI Act prévoit plusieurs cas où vous n’avez pas besoin de signaler l’utilisation de l’IA :
L’exemption MAJEURE - La relecture humaine
C’est probablement l’exemption la plus importante pour vous ! D’après l’article 50 paragraphe 4 de l’AI Act, vous n’avez PAS besoin de mentionner l’utilisation de l’IA si :
Le contenu généré par IA a subi un processus de relecture humaine ou de contrôle éditorial
ET qu’une personne physique ou morale assume la responsabilité éditoriale de la publication
Concrètement, ça veut dire que si vous utilisez ChatGPT / Claude pour générer un brouillon d’article, qu’ensuite, vous le relisez, le modifiez, l’éditez, le corrigez et quie vous en assumez la responsabilité en tant qu’éditeur/blogueur, vous n’avez PAS besoin de mentionner que l’IA a été utilisée !
C’est énorme car cette exemption reconnaît que la relecture humaine et la responsabilité éditoriale réduisent considérablement les risques. Le texte officiel précise ainsi que cette exemption est conçue pour les cas où les textes générés par IA sont “examinés, classés et dont la responsabilité est assumée par du personnel éditorial” (source Lexology). Je trouve ça très bien car dans ce cas précis, l’IA est utilisé comme un outil sous contrôle humain, et pas un moyen automatisé capable de faire n’importe quoi.
Par contre, pour les images générées par IA, la mention reste nécessaire.
L’exemption “c’est évident”
L’article 50 précise aussi que vous n’avez pas à informer les utilisateurs si c’est “évident du point de vue d’une personne raisonnablement bien informée, observatrice et circonspecte”.
En clair, si c’est évident que c’est de l’IA, pas besoin de le dire. Par exemple, si vous avez un chatbot qui s’appelle “Assistant IA” avec une icône de robot, pas besoin d’ajouter “Ceci est une IA”. C’est du bon sens.
L’exemption créative
Si votre contenu fait partie d’une œuvre “manifestement artistique, créative, satirique, fictionnelle ou analogue”, vous n’avez qu’une obligation minimale, celle de signaler l’existence du contenu généré “d’une manière appropriée qui n’entrave pas l’affichage ou la jouissance de l’œuvre”.
Traduction, si vous faites de l’art, de la fiction ou de la satire avec l’IA, vous pouvez mettre une petite mention discrète quelque part, pas besoin de gâcher votre création avec un gros bandeau rouge.
L’exemption édition standard
Si l’IA n’a qu’une “fonction d’assistance pour l’édition standard” et ne modifie pas substantiellement le contenu, pas non plus d’obligation de transparence.
Donc si vous utilisez l’IA pour :
Corriger vos fautes d’orthographe
Reformuler légèrement vos phrases
Ajuster le ton
Optimiser le SEO sans changer le fond
Vous n’avez PAS besoin de le signaler. C’est considéré comme de l’édition standard, au même titre qu’utiliser un correcteur orthographique.
L’exemption usage personnel
Si vous utilisez l’IA dans un contexte personnel et non professionnel, l’AI Act ne s’applique pas. Donc votre blog perso où vous racontez vos vacances n’est pas concerné sauf si vous le monétisez ou si vous avez une audience professionnelle.
Bon, parlons maintenant du nerf de la guerre. Si vous ne respectez pas ces obligations, vous risquez :
Jusqu’à 15 millions d’euros d’amende
OU 3% de votre chiffre d’affaires mondial annuel ( c’est le montant le plus élevé des deux qui sera conservé)
Mais avant de paniquer, sachez que ces amendes maximales sont pour les cas graves et répétés. Les autorités vont d’abord vous demander de vous mettre en conformité. C’est un peu comme le RGPD… on commence par la prévention avant la répression.
Maintenant qu’on a vu la théorie, passons à la pratique. Voici exactement ce que vous devez faire selon votre situation :
Vous utilisez ChatGPT ou Claude pour écrire vos articles
Cas 1 : Vous générez un brouillon avec l’IA puis vous le relisez/éditez
→ PAS d’obligation de mention grâce à l’exemption de relecture humaine (article 50.4)
→ Condition : vous devez vraiment relire et assumer la responsabilité éditoriale
Cas 2 : Vous publiez directement le texte généré par l’IA sans relecture
→ Si c’est pour informer le public : mention obligatoire
→ Si c’est créatif/satirique/fiction : mention discrète suffisante
Cas 3 : Vous utilisez l’IA juste pour améliorer votre texte (grammaire, style)
→ Pas d’obligation car c’est de l’édition standard
Vous utilisez Midjourney ou DALL-E pour vos images
Pour toute image générée par IA, vous devez le signaler, SAUF si :
C’est dans un contexte artistique évident
C’est pour un usage personnel non-commercial
Comment le signaler ? Une mention dans la balise alt, dans la légende ou en bas de page suffit. Pas besoin d’un watermark géant.
Vous avez un chatbot sur votre site
Vous devez informer les utilisateurs qu’ils parlent à une IA, SAUF si c’est évident (le chatbot s’appelle “Bot IA”, a une tête de robot, etc.).
Voici donc mes recommandations pour dormir sur vos deux oreilles :
Créez une page “Notre utilisation de l’IA”
Expliquez comment vous utilisez l’IA sur votre site. C’est transparent et ça couvre vos arrières.
Soyez raisonnable avec les mentions
Pas besoin de mettre “GÉNÉRÉ PAR IA” en Comic Sans rouge sur chaque paragraphe. Une mention sobre, claire, nette et précise suffit.
Documentez votre process
Gardez une trace de comment vous utilisez l’IA comme ça si on vous demande, vous pourrez justifier pourquoi vous n’avez pas mis de mention.
Privilégiez l’IA comme assistant
Utilisez l’IA pour améliorer votre contenu, pas pour le remplacer. C’est mieux pour votre audience ET ça vous évite des obligations.
Voilà, si vous voulez creuser le sujet (et je vous le conseille), voici les liens officiels :
Voilà, vous savez tout ! L’AI Act, c’est pas la fin du monde, c’est juste un nouveau cadre pour utiliser l’IA de manière responsable et, la plupart d’entre vous n’auront que peu de changements à faire.
L’important, c’est de rester transparent avec votre audience quand c’est nécessaire mais pas besoin d’en faire des tonnes. Je trouve que l’AI Act est plus intelligent qu’on ne le pense car il fait la différence entre publier directement du contenu généré par IA et utiliser l’IA comme assistant de rédaction. Par contre, les gens mal informés sur le sujet ou bien cons risquent de vous prendre le chou donc restez zen et envoyez leur le lien de mon article.
Ah, et un dernier conseil : si vous avez un doute sur votre cas particulier, demandez à un juriste spécialisé car cet article vous donne les grandes lignes basées sur les textes officiels, mais chaque situation est unique et je ne suis pas juriste, alors mieux vaut prévenir que guérir, surtout avec des amendes à 15 millions d’euros !
Outil permettant d'effectuer près d'une cinquantaine d'opérations sur les fichiers PDF : division, fusion, conversion, réorganisation, ajout d'images, rotation, compression...
NVIDIA a mis en ligne ses premiers drivers graphiques GeForce basés sur la branche R580 qui remplace la précédente R575. Le fichier PDF des notes de version de ce pilote 580.88 n'est pas encore disponible à l'heure où nous écrivons ces lignes mais NVIDIA a tout de même donné quelques informations co...
Nous vous avions déjà parlé du processeur LGA1700 Core 5 120F d'Intel suite à une fuite décelée le mois dernier par @momomo_us. Intel vient de mettre en ligne la fiche produit du processeur ainsi que celle de son jumeau avec GPU intégré, le Core 5 120. L'occasion d'avoir leurs caractéristiques compl...
Il n'y a pas que le GPU qui progresse en Chine, le CPU "local" aussi continuer sa marche en avant. Zhaoxin est l'un des principaux acteurs chinois à la tête de cet effort. Jusqu'à présent, le constructeur fabless avait largement basé son travail sur une licence x86-64 et des IP de Centaur obtenues a...
Ceci est histoire qui me fascine depuis que j’ai commencé à m’intéresser au hacking car c’est l’histoire incroyable du premier vrai braquage bancaire en ligne. Pas de cagoules, pas d’armes, pas de voitures qui démarrent en trombe mais juste un mec, un ordinateur, et 10,7 millions de dollars qui changent de compte en quelques clics. Cette histoire, c’est celle de Vladimir Levin et du casse de Citibank en 1994.
Un IBM PC typique des années 90, similaire à celui utilisé pour le hack
Imaginez, on est en 1994, Internet balbutie, la plupart des gens n’ont jamais vu un email, et Windows 95 n’existe même pas encore. À cette époque, quand on parlait de vol bancaire, on pensait encore à des mecs avec des bas sur la tête qui braquaient des agences. Et à ce moment précis, personne n’imaginait encore qu’un type en pyjama, depuis son appart’ de Saint-Pétersbourg, pourrait piquer des millions à une des plus grosses banques du monde.
Vladimir Leonidovitch Levin, un nom qui aujourd’hui figure dans tous les bouquins sur la cybercriminalité. Mais qui était vraiment ce mec ? Et bien si vous lisez les articles de l’époque, on vous dira que c’était un mathématicien brillant, un biochimiste diplômé de l’Institut de Technologie de Saint-Pétersbourg, un génie de l’informatique. Mais la réalité est beaucoup moins glamour et bien plus intéressante.
Saint-Pétersbourg en pleine transition post-soviétique - image IA
Et franchement, Saint-Pétersbourg en 1994, c’était pas la joie. L’URSS s’était effondrée trois ans plus tôt, et la Russie traversait une crise économique sans précédent. L’inflation annuelle atteignait 224% cette année-là et le 11 octobre 1994, “Mardi Noir”, le rouble perdait 27% de sa valeur en une seule journée. Les gens allaient au boulot sans être payés pendant des mois, obligés de trouver deux ou trois jobs pour survivre et la ville était surnommée “le Saint-Pétersbourg des bandits” (banditsky Peterburg), et c’était pas pour rien.
Dans ce bordel ambiant, Vladimir Levin travaillait comme admin système pour une boîte qui s’appelle AO Saturn. Rien de bien folichon. Il configurait des serveurs, gérait des réseaux, faisait tourner la boutique informatique. Un job tranquille dans une époque qui ne l’était pas.
Mais voilà, Vladimir a entendu parler d’un truc qui allait changer sa vie. Un groupe de hackers de Saint-Pétersbourg avait découvert quelque chose d’énorme. Ces mecs, qui se faisaient appeler ArkanoiD, Hacker 3 et Buckazoid (oui, comme le personnage de Space Quest… les nerds quoi…), avaient trouvé une faille monumentale dans les systèmes de Citibank.
Citibank, une des plus grandes banques américaines
C’est véridique… l’histoire vraie, celle qu’on ne raconte jamais, c’est que Levin n’a JAMAIS hacké Citibank lui-même. Je le sais car en 2005, un des hackers originaux, ArkanoiD, a balancé toute l’histoire sur Provider.net.ru, un forum russe. Lui et ses potes avaient passé plus d’un an à explorer les réseaux de Citibank et pas par Internet, non, non… Ils utilisaient le réseau X.25, un vieux protocole de communication que plus personne n’utilise aujourd’hui.
X.25, pour ceux qui ne connaissent pas, c’était un peu l’ancêtre d’Internet pour les entreprises. Créé en 1976, c’était un réseau de communication par paquets qui permettait aux banques et aux grandes entreprises d’échanger des données. Super lent selon nos standards actuels (on parle de latences d’une demi-seconde !), mais ultra-fiable pour les transactions financières avec zéro erreur de transmission, ce qui était crucial pour bouger des millions.
Le truc, c’est que Citibank avait son propre réseau X.25 qui reliait toutes ses agences dans le monde. Ce réseau était censé être sécurisé, mais… comment dire… les hackers russes ont découvert qu’ils pouvaient se balader tranquillement dessus. Phrack Magazine avait même publié une liste de 363 ordinateurs Citibank accessibles via Sprintnet !
La liste dans Phrack
Pendant six mois, ArkanoiD et sa bande ont joué les touristes sur les serveurs de Citibank. Ils installaient des jeux, lançaient des programmes, jouaient même à Star Trek sur les machines de la banque et personne ne remarquait rien. Selon ArkanoiD, c’était “très low tech”… pas d’exploit sophistiqué, pas d’analyse de buffer overflow, juste “une approche systématique et un peu de chance”.
C’est là qu’ils ont trouvé le Saint Graal : le système Cash Manager de Citibank. Le service qui permettait aux gros clients corporate de faire des virements internationaux. Ils se connectaient avec un modem (vous savez, ces trucs qui faisaient ce bruit insupportable “KRRRRR BEEP BEEP”), ils rentraient leurs identifiants, et ils pouvaient bouger des millions d’un compte à l’autre. Citibank traitait 500 milliards de dollars par jour avec ce système !
Le problème c’est que la sécurité était… disons… minimaliste. Pas d’authentification à deux facteurs, pas de token physique, juste un login et un mot de passe. En 1994, c’était la norme, mais quand même…
Un coupleur acoustique, ancêtre du modem
Buckazoid découvre alors exactement où et comment transférer l’argent, mais il remarque aussi que tout est loggé et ces logs sont probablement imprimés sur papier chaque jour. Les hackers comprennent vite que “ce serait impossible de voler de l’argent sans se faire remarquer”. Ils n’ont pas les ressources pour gérer la partie logistique du crime car en Russie en 1994, ça voulait dire contacter des gens “désagréables”, comme le dit ArkanoiD.
C’est là que Vladimir Levin entre en scène. Buckazoid lui raconte ce qu’ils ont trouvé et Levin est TRÈS intéressé. Tellement intéressé qu’il sort 100 dollars de sa poche, une fortune en Russie à l’époque où le salaire moyen tournait autour de 50 dollars par mois et et achète toutes les infos : comment se connecter, les identifiants, les mots de passe, quels systèmes cibler, comment faire les virements.
Les hackers originaux ? Ils se barrent direct. La vente de ces infos les a fait flipper et ils disparaissent du réseau Citibank. Mais Levin, lui, il voit l’opportunité de sa vie. Depuis son appartement de Saint-Pétersbourg, avec un simple PC et une ligne téléphonique, il va monter le casse du siècle.
Alors entre fin juin et octobre 1994, Levin se met au boulot. Il se connecte au système Cash Manager de Citibank et commence à transférer de l’argent. Et pas n’importe comment, hein. Il a monté tout un réseau de complices : des comptes en Finlande, aux États-Unis, aux Pays-Bas, en Allemagne, en Israël et des mules qui vont récupérer le cash et le lui renvoyer.
Au total, il va effectuer environ 40 virements frauduleux. Des comptes de grosses entreprises américaines voient leur solde diminuer mystérieusement, l’argent part vers des comptes à l’étranger, disparaît dans la nature, et Citibank ne s’aperçoit de rien. Les clients non plus… en tout cas, au début.
Vladimir Levin au moment de son arrestation - Photo nettoyée par IA
Mais Levin devient gourmand. Trop gourmand. Au total, il va transférer 10,7 millions de dollars. Au prix du dollars aujourd’hui, ça fait plus de 22,7 millions avec l’inflation. Pas mal pour un admin système dans un pays où l’inflation galopait à 224% par an !
Le problème, c’est que bouger autant d’argent, ça finit par se voir et en juillet 1994, plusieurs clients corporate de Citibank remarquent que 400 000 dollars ont disparu de leurs comptes. Ils appellent la banque. Panique à bord !! Citibank lance alors une enquête interne et découvre l’ampleur du désastre.
Le FBI entre alors dans la danse et Steve Garfinkel est désigné comme agent responsable du dossier. Ils remontent la piste des virements, arrêtent les complices qui essaient de retirer l’argent. Une femme et son mari à San Francisco, un autre à Tel Aviv, un à Rotterdam. Et bien sûr, sous la pression, ils craquent et balancent tout. Tous les chemins mènent à Saint-Pétersbourg, à un certain Vladimir Levin d’AO Saturn.
Steve N. Garfinkel - L’agent du FBI en charge de retrouver Levin
Mais attraper Levin, c’est une autre paire de manches. Il est en Russie, pays qui n’a pas de traité d’extradition avec les États-Unis pour ce genre de crime informatique. Le FBI ne peut rien faire. Levin pourra couler des jours heureux à Saint-Pétersbourg avec ses millions (enfin, les 400 000 dollars jamais récupérés). Sauf que…
Mars 1995. Pour des raisons qui restent mystérieuses (certains disent qu’il avait une copine en Angleterre, d’autres qu’il voulait investir son argent à l’étranger), Levin décide de voyager. Il prend un vol Moscou-Londres avec une correspondance. Grosse, GROSSE erreur.
L’aéroport de Stansted où Levin fut arrêté
Le 3 mars 1995, quand son avion atterrit à l’aéroport de Stansted, Scotland Yard l’attend sur le tarmac. Les Américains avaient prévenu les Britanniques via Interpol et Levin est arrêté dans la zone de transit, menottes aux poignets. Game over.
S’ensuit une bataille juridique épique de 30 mois durant laquelle les avocats de Levin se battent bec et ongles contre son extradition. Ils plaident que les preuves sont insuffisantes, que leur client est victime d’une erreur judiciaire, que la juridiction américaine ne s’applique pas. Mais en juin 1997, la Chambre des Lords britannique rejette leur appel final. Direction les États-Unis.
Septembre 1997, Levin est alors extradé. Devant le tribunal fédéral de Manhattan à New York, il change alors de stratégie. Nous sommes en janvier 1998, et il plaide coupable pour un seul chef d’accusation : conspiration en vue de commettre des transferts de fonds frauduleux. Il admet avoir volé 3,7 millions de dollars (pas les 10,7 millions, notez bien).
Et en février 1998, la sentence tombe : 3 ans de prison fédérale et 240 015 dollars de dédommagement. Le juge a pris en compte le temps déjà passé en détention au Royaume-Uni.
Le tribunal fédéral Thurgood Marshall où Levin fut jugé
Trois ans pour ce qui est considéré comme le premier braquage bancaire en ligne de l’histoire. Aujourd’hui, ça paraît dérisoire, mais à l’époque, personne ne savait trop comment gérer ce nouveau type de criminalité. Pas de violence, pas d’arme, pas même d’entrée par effraction. Juste des électrons qui bougent d’un compte à l’autre via des lignes téléphoniques.
Ce qui est fascinant dans cette histoire, c’est à quel point elle était en avance sur son temps car en 1994, la plupart des gens ne savaient même pas ce qu’était un modem. Les modems 14.4k venaient juste d’arriver en 1991, les 28.8k en 1994 et l’idée qu’on puisse voler des millions depuis son salon paraissait être de la science-fiction. Pourtant, c’est exactement ce que Levin a fait.
L’impact du casse de Citibank a été énorme car pour la première fois, les banques ont réalisé qu’elles étaient vulnérables à un nouveau type de menace. Citibank a donc immédiatement mis à jour ses systèmes, introduisant les Dynamic Encryption Cards, des jetons physiques qui génèrent des codes aléatoires pour l’authentification. Un vrai mouvement pionnier dans la cybersécurité bancaire que d’autres banques ont suivi.
Un jeton de sécurité descendant direct des mesures prises après l’affaire Levin
Ce qui me fascine le plus dans cette histoire, c’est le contraste entre l’image publique et la réalité car les médias ont présenté Levin comme un génie maléfique, un super-hacker capable de pénétrer n’importe quel système mais la réalité c’est qu’il était juste un admin système opportuniste qui a acheté des infos à de vrais hackers pour 100 balles.
Les vrais héros techniques (ou anti-héros, selon votre point de vue) de cette histoire, ce sont ArkanoiD et sa bande car ces mecs ont passé plus d’un an à explorer les systèmes de Citibank, pas pour l’argent, mais par pure curiosité. Ils y ont découvert une faille monumentale, ont joué avec pendant six mois, puis ont tout lâché quand c’est devenu trop dangereux.
Comme je vous le disais au début de l’article, en 2005 ArkanoiD a publié son témoignage amer sur Provider.net.ru : “J’ai déjà essayé plusieurs fois de raconter cette histoire d’une manière ou d’une autre, et à chaque fois elle a été monstrueusement déformée.” puisque tous les articles parlaient de Levin le génie, personne ne mentionnait le vrai travail technique fait par son groupe.
C’est ça, la vraie histoire du casse de Citibank. Pas celle d’un génie solitaire, mais celle d’un écosystème : des hackers curieux qui trouvent une faille, un opportuniste qui l’exploite, un système bancaire pas préparé, et des autorités qui découvrent un nouveau monde.
Mais alors qu’est devenu Vladimir Levin aujourd’hui ? Et bien après sa sortie de prison en 2001, il a disparu. Certains disent qu’il vit en Lituanie sous une fausse identité. D’autres qu’il est retourné en Russie et travaille maintenant dans la cybersécurité. Personne ne sait vraiment. Et les 400 000 dollars jamais récupérés ?
Toujours dans la nature. Peut-être planqués dans un compte en Suisse, ou peut-être dépensés depuis longtemps…
Connexion
Nous vous avions déjà parlé du processeur LGA1700 Core 5 120F d'Intel suite à une fuite décelée le mois dernier par @momomo_us. Intel vient de mettre en ligne la fiche produit du processeur ainsi que celle de son jumeau avec GPU intégré, le Core 5 120. L'occasion d'avoir leurs caractéristiques compl...
Il n'y a pas que le GPU qui progresse en Chine, le CPU "local" aussi continuer sa marche en avant. Zhaoxin est l'un des principaux acteurs chinois à la tête de cet effort. Jusqu'à présent, le constructeur fabless avait largement basé son travail sur une licence x86-64 et des IP de Centaur obtenues a...
