Vous utilisez probablement le GPS tous les jours sans y penser, que ce soit sur votre smartphone, dans votre voiture ou même dans un avion. Cette technologie de positionnement par satellites, et ses cousines comme GLONASS, Galileo et Beidou, sont devenues tellement courantes qu’on en oublierait presque qu’elles sont vulnérables. Et quand je dis vulnérables, je ne parle pas d’un bug ou d’un plantage logiciel, non. Je parle de menaces bien réelles qui peuvent rendre votre GPS complètement dingue !

Vous voyez, le GPS repose sur des signaux radio ultra faibles émis par des satellites à des milliers de kilomètres. Pour vous donner une idée, c’est un peu comme si vous essayiez d’entendre quelqu’un vous chuchoter quelque chose depuis l’autre bout d’un stade pendant un concert de rock ! Autant dire que c’est le bordel pour entendre quoi que ce soit.

Du coup, pas besoin d’être un génie pour comprendre qu’il est facile de noyer le signal GPS dans un gros brouhaha radio. C’est ce qu’on appelle le brouillage. Avec quelques watts seulement, on peut rendre le GPS inutilisable dans un rayon de plusieurs kilomètres ! Pas besoin d’un doctorat en électronique, un petit bricolage fait maison peut suffire. Évidemment, c’est complètement illégal, mais ça n’empêche pas certains de s’amuser à le faire.

Mais pourquoi brouiller le GPS ? Eh bien, en cas de conflit par exemple, c’est bien pratique pour empêcher l’ennemi de savoir où il est et où tirer ses missiles et ses drones. C’est d’ailleurs ce qui se passe en ce moment autour de l’Ukraine. Des zones de brouillage apparaissent régulièrement, rendant la navigation aérienne hasardeuse.

Mais le brouillage peut aussi servir à des fins moins guerrières. Tenez, en Chine, il paraît que des boîtes de pub brouillent le GPS des drones de leurs concurrents pendant des shows aériens pour leur faire perdre le contrôle et ruiner le spectacle ! De la concurrence de haut vol, sans mauvais jeu de mots.

Et les dégâts collatéraux dans tout ça ?

Parce que mine de rien, on ne dépend pas du GPS uniquement pour savoir si on doit tourner à gauche ou à droite au prochain croisement. Les réseaux de téléphonie mobile s’en servent également pour synchroniser leurs antennes relais. Ainsi, quand le GPS déconne, c’est toute la 4G/5G qui peut partir en vrille !

Mais si vous trouvez que le brouillage c’est déjà costaud, attendez de découvrir le leurrage ! Là, on passe au niveau supérieur. Le leurrage, c’est carrément une technique qui permet d’envoyer de faux signaux GPS pour faire croire à votre récepteur qu’il est ailleurs. Un peu comme si un petit rigolo changeait les panneaux sur la route pour vous faire croire que vous allez vers le sud de la France, alors que vous roulez vers le Nord.

Alors bien sûr, générer un faux signal GPS crédible, c’est autrement plus coton que simplement brouiller la fréquence. Il faut recréer toute une constellation de satellites virtuels avec les bons timings, les bonnes orbites, cohérents entre eux. Un vrai boulot d’orfèvre ! Mais une fois que c’est au point, imaginez le potentiel de nuisance ! Vous pourriez faire atterrir un avion de ligne à côté de la piste. Téléguidez un drone militaire en territoire ennemi ou envoyer un navire s’échouer sur des récifs. Ça fait froid dans le dos…

Heureusement, il existe des parades pour durcir les récepteurs GPS contre ces attaques : Utiliser des antennes directionnelles qui filtrent les signaux ne venant pas du ciel. Analyser en détail les signaux pour repérer les incohérences et les satellites suspects. Recouper avec d’autres capteurs comme les centrales inertielles. La version militaire du GPS dispose déjà de pas mal de protections dont du chiffrement.

Mais pour le GPS grand public dans nos smartphones et nos bagnoles, on est encore loin du compte. À part quelques modèles haut de gamme, la plupart gobent à peu près tout et n’importe quoi tant que ça ressemble à un signal GPS et il va falloir que ça change, et vite !

Scott Manley, un expert en la matière que vous connaissez peut-être pour ses vidéos sur les fusées, aborde en profondeur ces questions dans une vidéo bien documentée sur le sujet. Non seulement il analyse les risques de brouillage et de leurrage, mais il examine aussi les contre-mesures possibles, comme l’utilisation d’antennes directionnelles et l’analyse détaillée des signaux pour repérer d’éventuelles incohérences. Je vous mets la vidéo ici, ça vaut le coup d’œil :

On a beau être fan des nouvelles technos qui nous rendent la vie plus facile, faut quand même garder à l’esprit qu’elles ont leurs failles et leurs limites. Ça ne veut pas dire qu’il faut revenir à la bonne vieille carte Michelin et à la boussole, mais un petit cours de rattrapage en navigation à l’ancienne, ça ne ferait pas de mal !

Perso, la prochaine fois que mon appli Waze me dira de tourner à gauche direct un lac, je me méfierai…

Source

On s’en doutait, mais là c’est prouvé scientifiquement : Les extensions Chrome peuvent sérieusement ralentir vos séances de surf !

C’est en tout cas ce que révèlent les tests menés par la bande de geeks de DebugBear qui ont passé au crible les 5000 extensions Chrome les plus populaires pour voir l’impact sur les performances. Et c’est décevant… Prenez par exemple Monica, un outil IA avec ses 2 millions d’utilisateurs. Et bien elle rajoute tranquillement 1,3 seconde de temps de traitement sur chaque page, même les plus basiques ! Pas glop…

Un autre exemple concerne Honey, un outil qui propose des coupons de réduction et qui compte 20 millions d’utilisateurs. Quand vous surfez sur un site de shopping comme Ikea, ce petit malin s’active et vous colle 1,5 seconde de CPU en plus. Bonjour l’addition !

Mais le pire du pire, c’est MaxAI et ses 800 000 utilisateurs. Cet outil infernal ajoute carrément 2,3 secondes de traitement à chaque page ! What the heck ? On n’est pas tous équipés d’un super GPU quantique de la mort pour compenser le laxisme des dev…

Notons aussi que « Superagent – Automatic cookie consent » cause plus de 4 secondes de traitement par page. Certains programmes de récompenses pour les compagnies aériennes présentent un impact similaire, ajoutant encore plus de délai lorsqu’ils sont actifs.

Heureusement, la plupart des extensions ne sont pas si terribles. 86% ont un impact négligeable, avec moins de 50 millisecondes de temps CPU supplémentaire. Ouf ! Par contre, il y en a quand même 1,7% qui dépassent allègrement la demi-seconde et ça c’est pas cool.

En creusant un peu, on voit que pas mal d’extensions VPN ou de gestionnaires de mots de passe ralentissent sévèrement le chargement des pages. Forcément, elles font transiter les données par des serveurs souvent lents à l’autre bout du monde, donc ça aide pas…

Mais il y a quand même une bonne nouvelle dans ce merdier ! Les bloqueurs de pubs, eux, accélèrent carrément la navigation. Normal, ils empêchent le chargement de tout un tas de contenus indésirables. uBlock Origin, l’un des plus populaires avec ses 37 millions d’utilisateurs, fait fondre le temps de traitement de 57 secondes à moins de 4 secondes sur les sites pleins de pubs ! Magique, mais pensez quand même à le débloquer sur mon site pour me soutenir ou à rejoindre mon Patreon si un jour l’un de mes articles vous a aidé et que vous appréciez mon boulot !

Et au niveau des données téléchargées, ça change la vie. Sans bloqueur, un site bourré de pubs pèse 41 Mo. Avec uBlock Origin, on tombe à moins de 3 Mo. Impressionnant ! Bon après, AdBlock et AdBlock Plus, je vous les déconseille car ils sont moins efficaces. Peut-être à cause du programme des « publicités acceptables » qui peut être désactivée pour améliorer les performances ? Va savoir…

Bref, avis aux développeurs d’extensions : optimisez votre code s’il vous plait ! Chargez le strict minimum, faites tourner vos scripts après le chargement de la page, pas avant. Et laissez les gens tranquilles, n’activez pas vos outils sur tous les sites par défaut quand ça n’a pas lieu d’être !

Google devrait aussi mettre un peu la pression et promouvoir les extensions légères et bien foutues car les gros scripts bien lourds qui se lancent de partout, ça va bien 5 minutes !

Bref, c’est le printemps (même s’il pleut tout le temps), alors profitez en pour faire le tri dans vos extensions ! Virez celles qui ne vous servent à rien et qui bouffent de la ressource comme pas permis ou à minima, désactivez-les quand vous n’en avez pas besoin. Votre navigateur vous dira merci !

Source

Vous êtes-vous déjà retrouvé frustré par les limites de tokens lorsque vous demandiez à ChatGPT de résumer de longs textes ? Ou découragé par les coûts élevés de l’API GPT-3.5/4 malgré d’excellents résultats ? Si c’est le cas, LLMLingua est fait pour vous !

Développé par des chercheurs de Microsoft, LLMLingua-2 est un outil révolutionnaire de compression de prompts qui permet d’accélérer l’inférence des grands modèles de langage (LLM) comme GPT-3 et GPT-4. Grâce à des techniques avancées d’identification et de suppression des tokens non essentiels, il peut réduire jusqu’à 20 fois la taille des prompts, tout en préservant les performances des modèles.

Que vous soyez un développeur cherchant à optimiser ses coûts d’API ou un utilisateur souhaitant dépasser les limites de contexte, LLMLingua vous offre de nombreux avantages :

• 💰 Réduction des coûts : En compressant à la fois les prompts et les réponses générées, LLMLingua permet de réaliser des économies significatives sur votre facture d’API.
• 📝 Support de contextes étendus : Fini le casse-tête du « perdu au milieu » ! LLMLingua gère efficacement les longs contextes et booste les performances globales.
• ⚖️ Robustesse : Pas besoin d’entraînement supplémentaire pour les LLM. LLMLingua fonctionne de manière transparente.
• 🕵️ Préservation des connaissances : Toutes les informations clés des prompts originaux, comme l’apprentissage en contexte et le raisonnement, sont conservées.
• 📜 Compression du cache KV : Le processus d’inférence est accéléré grâce à l’optimisation du cache clé-valeur.
• 🪃 Récupération complète : GPT-4 est capable de reconstituer l’intégralité des informations à partir des prompts compressés. Bluffant !

Prenons un exemple simple et imaginons que vous vouliez compresser le prompt suivant avec LLMLingua :

python from llmlingua import PromptCompressor

llm_lingua = PromptCompressor()

prompt = "Sam a acheté une douzaine de boîtes contenant chacune 30 surligneurs, pour 10 $ chacune..."

compressed_prompt = llm_lingua.compress_prompt(prompt)

print(compressed_prompt)

Et voilà le travail ! En quelques lignes de code, vous obtenez un prompt compressé prêt à être envoyé à votre modèle favori :

Sam acheté boîtes contenant chacune 30 surligneurs, 10 $ chacune.

Avec un taux de compression de 11,2x, le nombre de tokens passe de 2365 à seulement 211 ! Et ce n’est qu’un début. Sur des exemples plus complexes comme les prompts Chain-of-Thought, LLMLingua maintient des performances similaires avec un taux de compression allant jusqu’à 20x.

Alors bien sûr, pour l’avoir bien testé, faut quand même comprendre que vous n’obtiendrez pas forcement un résultat identique entre le prompte compressé et celui non compressé mais pour un gain de 60 / 70 voire 80%, le résultat généré à partir du prompt compressé reste précis à hauteur de 70 / 80 %, ce qui est très bien.

Pour démarrer avec LLMLingua, rien de plus simple. Installez le package avec pip :

pip install llmlingua

Puis laissez libre cours à votre créativité ! Que vous soyez un adepte du Retrieval Augmented Generation (RAG), des réunions en ligne, du Chain-of-Thought ou même du code, LLMLingua saura répondre à vos besoins. De nombreux exemples et une documentation complète sont à votre disposition pour vous guider.

Perso, je l’ai testé sur de longs prompts que j’avais dans mes scripts, avec Claude3 d’ailleurs et pas ChatGPT et le résultat est top !

A tester ici !

Oyez, oyez braves gens, je me reveille et j’apprends que des développeurs de choc ont créé un hack de Super Mario 64 qui permet de créer ses propres niveaux ! Oui, vous allez pouvoir réaliser vos propres niveaux dans ce jeu mythique de la Nintendo 64. Enfin !

Alors, parlons un peu de Mario Builder 64. Déjà c’est un outil plutôt intuitif et bien conçu. Pas besoin d’être développeur pour s’en servir et avec un peu de prise en main, vous allez pouvoir façonner les niveaux de vos rêves en un rien de temps. Placez des plateformes par-ci, des ennemis par-là, ajoutez des pièces à collectionner, des power-ups, des passages secrets… Bref, laissez libre cours à votre créativité pour créer des niveaux fun, challengeants ou complètement WTF, un peu comme vous le feriez dans un Minecraft en mode créatif !

Techniquement, Mario Builder 64 est un hack de la ROM de Super Mario 64. Ça signifie qu’il faut bidouiller un peu pour le faire fonctionner mais c’est à la portée de tous. Il vous faudra une ROM de Super Mario 64, un émulateur Nintendo 64 et le patch Mario Builder 64 dispo ici, idéalement en ayant une copie légale du jeu original évidemment.

Pour installer Mario Builder 64, suivez ces étapes :

1. Téléchargez un émulateur Nintendo 64 comme Parallel Launcher qui supporte l’émulation de carte SD virtuelle, nécessaire pour Mario Builder 64.
2. Procurez-vous une ROM de Super Mario 64 au format .z64 (version US de préférence). Décompressez-la si besoin.
3. Téléchargez le patch BPS de Mario Builder 64 sur Romhacking.com ou gamebanana.com.
4. Patchez la ROM SM64 avec le fichier BPS, soit directement dans Parallel Launcher (menu Options > Manage ROM Sources > onglet BPS Patches) soit avec un outil comme Romhacking.net’s patcher. La ROM de Mario Builder 64 est alors créée !

Une fois tout installé, c’est parti pour des heures de level design intense ! L’interface de Mario Builder 64 est claire et bien pensée. Vous avez accès à une bibliothèque de plus de 100 éléments à disposer dans votre niveau : des blocs, des tuyaux, des ennemis, des obstacles, etc. Vous pouvez aussi régler des paramètres comme la musique, le temps imparti, la position de départ de Mario, et même personnaliser le thème visuel de votre niveau. Que vous souhaitiez créer un niveau speedrun, un parcours à 8 étoiles ou même une calculatrice 8-bit, vous aurez tous les outils nécessaires. Bref, c’est hyper complet !

Vos créations sont stockées sur une carte SD virtuelle créée automatiquement par l’émulateur au premier lancement. Dans Parallel Launcher, cliquez sur le bouton à côté du menu déroulant de la carte SD puis « Browse Files » pour accéder au dossier « Mario Builder 64 Levels » contenant tous vos niveaux au format .mb64.

Mais le plus cool, c’est qu’il est ultra simple d’accéder aux niveaux créés par la communauté. Il suffit de placer les fichiers .mb64 téléchargés dans ce même dossier sur votre carte SD. Que vous soyez fan de niveaux rétro ou de plateformes kaizo hardcore, vous trouverez forcément votre bonheur sur des sites comme Level Share Square ou le serveur Discord Roundtable de Rovertronic. Et si vous ne trouvez pas ce que vous voulez, vous pouvez toujours le créer vous-même !

En plus de tout ça, Mario Builder 64 propose même un thème spécial ‘Beyond the Cursed Mirror‘ qui intègre des éléments issus du hack du même nom, comme le système de ‘Badges’ donnant des power-ups permanents déblocables au joueur, ou encore un boss inédit appelé Showrunner. De quoi pousser encore plus loin les possibilités de création !

Et une fois que votre chef-d’œuvre est terminé, vous pourrez le partager avec le monde entier ! C’est génial de pouvoir jouer aux niveaux créés par d’autres, de voir leur ingéniosité et parfois de s’arracher les cheveux sur des niveaux bien hardcores et inversement, c’est super cool de voir sa création appréciée et commentée par d’autres joueurs.

Bref, j’espère que ce petit article vous aura donné envie de tester Mario Builder 64. A vous de créer maintenant !

Source

Les livres électroniques ont vraiment modifié mon rapport à la lecture… Je peux emporter toute une bibliothèque dans ma poche, acheter des livres directement depuis le kindle, prendre des notes, lire dans le noir…etc. Mais est ce que vous saviez qu’il est également possible d’optimiser encore plus votre expérience de lecture numérique grâce à la bionification ? Oui terme chelou mais je crois que c’est comme ça qu’on dit.

Je vous en ai déjà parlé y’a quelques années mais cette technique nouvelle, inspirée de recherches en sciences cognitives, consiste à mettre en gras les premières lettres des mots pour faciliter leur reconnaissance visuelle et accélérer la vitesse de lecture. Des études ont ainsi montré que notre cerveau ne lit pas lettre par lettre mais plutôt mot par mot, en se basant sur sa forme globale. Ainsi, en accentuant le début des mots, la bionification guide l’œil pour une lecture plus fluide et efficace.

Évidemment, bionifier manuellement chaque livre de votre bibliothèque serait un travail titanesque. C’est là qu’intervient Zippy, un outil en ligne de commande développé en Python qui automatise le processus pour les ebooks au format ePub. Avec juste quelques lignes de code, vous pouvez transformer n’importe quel livre en version bionique, prête à être transférée sur votre liseuse Kindle ou autre.

Pour en profiter, la première étape est de cloner le dépôt de Zippy sur GitHub :

git clone https://github.com/nimish-ks/zippy.git cd zippy

Pour éviter tout conflit intergalactique entre les dépendances Python, on va ensuite créer un environnement virtuel et y installer les bibliothèques requises via pip :

python -m venv venv source venv/bin/activate # Sous Windows, utilisez plutôt `venv\Scripts\activate` pip install -r requirements.txt

Voilà, votre laboratoire secret est fin prêt pour lancer la bionification à grande échelle ! La formule magique est la suivante :

python zippy.py <fichier_entrée> <fichier_sortie> [--algorithm <algorithme>]

Remplacez <fichier_entrée> par le chemin vers le livre ePub original et <fichier_sortie> par le nom du fichier bionifié à générer. Par exemple :

python zippy.py "Hypérion.epub" "Hypérion_Bionique.epub"

Et hop, quelques nanosecondes plus tard, vous obtenez une version dopée aux hormones de croissance de votre bouquin préféré de science-fiction ! L’algorithme de bionification par défaut, noté "- 0 1 1 2 0.4", détermine le nombre de lettres à mettre en gras en fonction de la longueur des mots et d’autres critères. Mais tel un savant fou, vous pouvez concocter votre propre formule en passant le paramètre --algorithm.

Maintenant que vous maîtrisez le pouvoir de la bionification, vous allez pouvoir dévorer « Hypérion » et tous les autres tomes du cycle d’Endymion à une vitesse supraluminique ! Fini les voyages interstellaires qui durent des plombes, les bouquins bioniques vous téléporteront en un éclair dans des univers extraordinaires.

Comme Zippy s’intègre dans votre flux de travail, vous pouvez adapter les ebooks à vos préférences avant de les transférer sur votre liseuse. Vos yeux vous diront merci !

Évidemment, en bon cyberrebelle, vous pouvez bionifier tous les ebooks qui vous passent sous la main, même ceux protégés par des DRM abusifs. Un petit coup de Calibre et de DeDRM pour les libérer, et hop, à vous la lecture augmentée !

En bidouillant un peu le code de Zippy, vous pourriez même imaginer plein d’autres optimisations à appliquer à vos bouquins voire en faire un plugin pour Calibre. Si c’est le cas, dites le moi, ça m’intéresse.

A vous de jouer !

Source

Les chasseurs de bugs et les experts en sécurité web sont toujours à la recherche d’outils pour optimiser leur boulot et dénicher des vulnérabilités et justement, il y a un nouveau venu qui risque bien de faire parler de lui : WebCopilot !

Open source, cet outil d’automatisation combine les fonctionnalités de dizaines d’autres outils réputés comme Subfinder, Nuclei, Amass ou encore SQLMap histoire de vous faire gagner un temps précieux en prenant en charge de A à Z les tâches répétitives et chronophages de l’énumération des sous-domaines, du filtrage des paramètres à risque et du scan des vulnérabilités les plus critiques.

Pour cela, il suffit de lancer WebCopilot sur un domaine cible et il s’occupe de tout :

• Énumération des sous-domaines via une batterie d’outils (Assetfinder, Sublist3r, Amass, Findomain…)
• Crawl de tous les endpoints des sous-domaines identifiés
• Filtrage des paramètres potentiellement vulnérables aux failles XSS, SQLi, LFI, SSRF, Open Redirect… grâce aux patterns de l’outil gf
• Et enfin, scan des vulnérabilités via des outils comme Nuclei, Dalfox, kxss, SQLMap ou crlfuzz

Vous obtiendrez ensuite un rapport complet qui répertoriera tous les points d’entrée intéressants.

             
                                ──────▄▀▄─────▄▀▄
                                ─────▄█░░▀▀▀▀▀░░█▄
                                ─▄▄──█░░░░░░░░░░░█──▄▄
                                █▄▄█─█░░▀░░┬░░▀░░█─█▄▄█
 ██╗░░░░░░░██╗███████╗██████╗░░█████╗░░█████╗░██████╗░██╗██╗░░░░░░█████╗░████████╗
░██║░░██╗░░██║██╔════╝██╔══██╗██╔══██╗██╔══██╗██╔══██╗██║██║░░░░░██╔══██╗╚══██╔══╝
░╚██╗████╗██╔╝█████╗░░██████╦╝██║░░╚═╝██║░░██║██████╔╝██║██║░░░░░██║░░██║░░░██║░░░
░░████╔═████║░██╔══╝░░██╔══██╗██║░░██╗██║░░██║██╔═══╝░██║██║░░░░░██║░░██║░░░██║░░░
░░╚██╔╝░╚██╔╝░███████╗██████╦╝╚█████╔╝╚█████╔╝██║░░░░░██║███████╗╚█████╔╝░░░██║░░░
░░░╚═╝░░░╚═╝░░╚══════╝╚═════╝░░╚════╝░░╚════╝░╚═╝░░░░░╚═╝╚══════╝░╚════╝░░░░╚═╝░░░
                                                      [●] @h4r5h1t.hrs | G!2m0

Usage:
webcopilot -d <target>
webcopilot -d <target> -s
webcopilot [-d target] [-o output destination] [-t threads] [-b blind server URL] [-x exclude domains]

Flags:  
  -d        Add your target [Requried]
  -o        To save outputs in folder [Default: domain.com]
  -t        Number of threads [Default: 100]
  -b        Add your server for BXSS [Default: False]
  -x        Exclude out of scope domains [Default: False]
  -s        Run only Subdomain Enumeration [Default: False]
  -h        Show this help message

Example: webcopilot  -d domain.com -o domain -t 333 -x exclude.txt -b testServer.xss
Use https://xsshunter.com/ or https://interact.projectdiscovery.io/ to get your server

Fini les heures passées à lancer des dizaines de commandes et à corréler les résultats comme ça, vous pourrez vous concentrer sur l’analyse des vulnérabilités.

Côté utilisation, c’est ultra simple. Il suffit de cloner le repo Github, d’installer les dépendances…

git clone https://github.com/h4r5h1t/webcopilot && cd webcopilot/ && chmod +x webcopilot install.sh && mv webcopilot /usr/bin/ && ./install.sh

…et vous pouvez lancer des scans en une seule commande :

webcopilot -d domain.com -o rapport

Et si vous voulez pousser la configuration plus loin, pas de problème ! WebCopilot propose tout un tas d’options bien pratiques comme :

• -s pour ne faire que de l’énumération de sous-domaines
• -x pour exclure certains domaines du scan
• -b pour spécifier un serveur « blind XSS » externe
• -t pour régler le nombre de threads et accélérer les scans

Bref, c’est l’outil pratique pour industrialiser encore un peu plus votre processus de bug bounty.

A découvrir ici !

Vous pensiez que les vieux Windows étaient devenus inoffensifs avec le temps ? Détrompez-vous ! Le bidouilleur Eric Parker s’est récemment amusé à exposer directement sur Internet des machines tournant sous Windows XP, 2000 et 98, sans aucune protection… et le résultat est franchement flippant.

Parce que oui, même en 2024, quand on branche en direct un vieux Windows sur le net, sans pare-feu matériel pour filtrer les connexions non désirées, c’est le scénario catastrophe assuré. Votre antiquité numérique se retrouve à poil sur les réseaux, à la merci du premier script kiddie venu. Et ça ne fera pas long feu avant que votre bécane ne soit infestée de malwares !

Commençons par Windows 98. Lors de son test, Eric a eu beau patienter, rien ne s’est passé. Pas l’ombre d’un ver, backdoor ou cheval de Troie à l’horizon. Il semblerait que la vieille bécane bénéficie d’une forme de « sécurité par l’obscurité ». Avec si peu de Windows 98 encore connectés, les hackers ne prennent plus la peine d’écrire des exploits dédiés. Ouf !

Passons à Windows 2000. Là, c’est une tout autre histoire ! À peine connecté, les scans de ports ont révélé la présence de SMB, le protocole d’échange de fichiers, réputé pour ses failles béantes. Et quelques minutes plus tard, patatra ! Un bel écran bleu, suivi d’un redémarrage en boucle. En inspectant le système, Eric a découvert une backdoor signée « Shang Xen Smartphone Technology », des modifications de fichiers systèmes et même un mystérieux exécutable caché dans un dossier Temp. De quoi transformer la machine en parfait zombie à la solde des pirates !

Et Windows XP dans tout ça ? Pareil, 10 minutes chrono pour chopper un premier trojan « conhost.exe ». S’en sont suivis la création d’un compte administrateur, l’apparition d’un serveur FTP ouvert aux quatre vents, et tout un tas de saletés en provenance de Russie, le tout bien planqué dans le système. En bonus, un malware s’est même amusé à éjecter Malwarebytes, l’anti-virus qu’Eric avait installé. Bref, un joyeux bazar et une prise de contrôle totale de la machine, malgré un semblant de résistance du pare-feu intégré de XP.

Alors oui, ces expériences peuvent paraître un peu artificielles. Après tout, qui serait assez fou pour connecter directement un Windows préhistorique sur le net aujourd’hui ? Mais elles illustrent bien les progrès en matière de sécurité, et l’importance cruciale des protections réseau modernes (merci le NAT et les pare-feu !).

Et la morale de l’histoire ?

Primo, ne jamais sous-estimer les vieux Windows, ils sont toujours aussi vulnérables qu’à l’époque. Deuxio, faites tourner vos antiquités dans une VM ou un réseau isolé si vous y tenez. Tertio, soyez vigilants même sur les OS récents, les hackers affinent toujours leurs techniques pour exploiter la moindre faille.

Prenez soin de vos ordi, et à demain 🙂

Source

Ça chauffe du côté des distributions UNIX open source, mes amis. Gentoo et NetBSD viennent de dégainer leur arme anti-IA en bannissant purement et simplement le code généré par de l’intelligence artificielle. Bye bye Copilot, au revoir ChatGPT, votre code IA devient persona non grata chez les irréductibles du libre !

Mais pourquoi tant de haine ? Eh bien nos amis de Gentoo et NetBSD ont plus d’un arguments dans leur sac banane. Premier grief : le copyright. Avec ces IA qui pompent allègrement du code à droite à gauche, on ne sait plus trop à qui appartient quoi. Pas question donc de se retrouver avec du code « contaminé » qui violerait les sacrosaintes licences open source.

Deuxième point noir : la qualité. Vous avez déjà essayé de faire générer du code par ChatGPT ? C’est joli, ça a l’air de marcher… mais y’a quand même souvent des bugs ! Hors de question donc pour Gentoo et NetBSD de laisser entrer du code foireux dans leur précieux dépôts. Ils tiennent à leur réputation de stabilité et de fiabilité, nom d’un kernel en mousse !

Ah et puis il y a aussi la question de l’éthique. Leur point de vue, c’est qu’entre la consommation gargantuesque d’énergie, les violations de copyright pour les entraîner et leur utilisation pour spammer et arnaquer à tout-va, y a de quoi refuser tout ça en bloc. Ils ne veulent pas tremper là-dedans. Et d’un côté, je peux les comprendre.

Alors bien sûr, cette décision va à contre-courant de la hype actuelle mais Gentoo et NetBSD ne sont pas du genre à suivre la mode aveuglément et croient dur comme fer à l’importance du travail humain. Cela ne veut pas dire qu’ils rejettent complètement l’IA évidemment… Ils restent ouverts mais pour l’instant, c’est trop hasardeux. D’autres distrib comme Debian hésitent encore à rejoindre ce mouvement…

Perso, je pense que la question éthique et celle du copyright sont des vraies problématiques pour tous les projets libres car cela pourrait ruiner leurs efforts quand à la licence qu’ils s’attribuent ou leurs objectifs écolo… exactement comme Microsoft qui, en ce moment, est en train de ruiner tous ses efforts de développement durable de ces dernières années en poussant l’IA à fond…

Par contre, je ne suis pas vraiment d’accord avec eux sur la qualité du code produit. Certes, il y a des bugs mais exactement comme avec un humain. Donc, à mon sens, c’est pas pire ou pas mieux, surtout que le dev qui utilise l’IA est quand même censé repasser dessus et corriger les bugs éventuels.

On verra bien quelles distributions suivront ce mouvement éthique. Perso, je suis plutôt très chaud sur l’IA, comme vous le savez, mais en ce qui concerne ce cas spécifique du logiciel libre, je pense que Gentoo et NetBSD prennent la bonne décision en jouant la prudence. Pour le moment, ce n’est pas encore pour eux et ce serait prendre trop de risques.

Mais un jour, ça changera peut-être… On verra bien.

Source

Vous êtes fan de Discord et vous aimez bidouiller des trucs ?? Alors préparez-vous à découvrir Discord LLMCord. C’est un petit bout de code qui va vous permettre de causer avec des IA directement dans vos canaux, comme si c’étaient vos potes. Et ça marche avec à peu près tous les modèles de langage, qu’ils soient hébergés à distance ou en local sur votre bécane.

Pour lancer une conversation, il suffit de tagger le bot et hop, c’est parti mon kiki. Vous pouvez continuer la discussion en répondant aux messages et ainsi construire des fils de discussion complets. Vous pouvez par exemple :

• Poursuivre votre propre conversation ou celle de quelqu’un d’autre.
• « Rembobiner » une discussion en répondant à un vieux message.
• Poser une question sur n’importe quel message de votre serveur en taguant le bot.

En plus, si vous envoyez plusieurs messages à la suite, ils seront automatiquement mis bout à bout et si vous répondez juste au dernier, le bot verra tous les précédents. Vous pouvez aussi déplacer une conversation dans un fil sans perdre le fil (lol). Il vous suffit de créer un thread à partir d’un message et de tagger le bot dedans pour continuer à papoter.

Côté compatibilité, ça supporte les modèles distants d’OpenAI, Mistral, Anthropic et plein d’autres grâce à LiteLLM. Si vous voulez faire tourner un modèle en local, pas de souci non plus puisque ça marche avec OLLaMa, OobaBooga, Jan, LM Studio ou n’importe quel serveur d’API compatible OpenAI.

Le bot gère même les images si vous utilisez un modèle de vision comme GPT-4, Claude-3 ou LLaVA. Il a un prompt système personnalisable et vous pouvez lui parler en DM pour plus d’intimité (pas besoin de le tagger).

Si vous utilisez l’API OpenAI, LLMCord est également capable de reconnaître l’identité des utilisateurs. De plus, les réponses s’affichent en temps réel, avec un joli dégradé de vert quand c’est fini et s’il cause trop, il coupe automatiquement ses messages en plusieurs morceaux. Pratique pour éviter de se faire ban par Discord ! Il affiche aussi des avertissements utiles si besoin, genre « J’utilise seulement les 20 derniers messages » quand vous dépassez la limite. Bref, c’est un bot bien élevé.

Sous le capot, il utilise un dico global avec des mutex pour mettre en cache les données des messages de manière efficace et thread-safe, comma ça, ça réduit les appels à l’API Discord et ça évite les fuites de mémoire. Le tout totalement en asynchrone.

Pour l’installer, c’est fastoche. Vous clonez le repo GitHub, vous installez les dépendances Python avec pip et vous créez un fichier .env avec vos clés d’API et les paramètres du bot. Lancez le script et tada, l’URL d’invitation de votre bot s’affiche dans la console. Pour plus de détails, suivez ce guide :

1. Installer Python : Téléchargez et installez Python à partir de python.org.
2. Cloner le dépôt git : Ouvrez un terminal et clonez le dépôt : bash git clone https://github.com/jakobdylanc/discord-llm-chatbot.git cd discord-llm-chatbot
3. Installer les packages nécessaires : bash pip install -r requirements.txt
4. Créer un fichier .env : bash cp .env.example .env
5. Configurer les variables d’environnement : Ouvrez .env et remplissez les champs nécessaires : plaintext DISCORD_BOT_TOKEN=YOUR_DISCORD_BOT_TOKEN OPENAI_API_KEY=your-openai-api-key MODEL_NAME=local/openai/YOUR_MODEL_NAME
6. Exécuter le script : Dans le terminal, lancez : bash python llmcord.py

Ah et j’oubliais, LLMCord est open source (vive le libre !), donc si vous voulez contribuer ou l’adapter à vos besoins, forkez et PR sans modération.

Avec ça, votre Discord ne sera plus jamais pareil et je sens que vous allez bien vous marrer ! Alors merci à Lorenper pour l’info car c’est une chouette découverte !

Source

Salut les rebelles, aujourd’hui je voudrais vous parler d’Adrien de Linuxtricks qui vient de faire les frais d’une censure injuste de la part de YouTube.

Le pauvre a vu sa dernière vidéo au sujet de VMware Workstation qui passe en gratuit (j’en ai parlé ici), supprimée et sa chaîne sanctionnée. Cette vidéo, mise en ligne ce vendredi 17 mai, avait pourtant été analysée et jugée conforme par les algo de YouTube…

La raison invoquée par Youtube, c’est comme d’habitude. Soi-disant qu’il enfreindrait les règles de la communauté. En réalité, Adrien n’a fait que relayer une bonne nouvelle pour tous les Linuxiens qui voudraient tester la virtualisation tranquillou. Il a même cité les sources officielles comme le blog de VMware. Sauf que YouTube n’a pas aimé… Leurs robots ont bégayé et vu ça comme du piratage. Bref, une fois encore, ces boîtes de conserve américaines ne comprennent rien à rien.

Pour Adrien, c’est vraiment injuste car même si YouTube a des règlements assez stricts, le gros problème, c’est que tout est automatisé. Il a dont tenté de faire appel, mais sans succès et sa demande a été rejetée ce samedi. Sa chaîne écope maintenant d’un avertissement impactant sûrement son référencement, d’une suspension des publications et d’une interdiction de diffuser en direct. Imaginez l’impact sur une chaîne comme la sienne qui compte plus de 54 760 abonnés et sur son moral ! Surtout que les revenus générés par sa chaîne lui permettent de payer l’hébergement de son site, de soutenir des associations comme la Ligue contre le Cancer et de faire des dons à des projets libres. Bref, c’est moche.

Perso, je ne peux pas faire grand chose car je ne connais personne chez Youtube mais je fais tourner. On sait jamais, peut-être qu’en en parlant, ça arrivera aux oreilles d’un humain de chez Google (s’il en reste…) qui prendra enfin le temps d’évaluer la situation de manière juste pour Adrien. L’équipe YouTube France peut d’ailleurs le contacter via l’adresse mail associée à son compte YouTube ou sous son tweet relayant sa lettre ouverte.

Bon courage Adrien, on est avec toi !

Merci à Christophe d’avoir attiré mon attention là dessus.

Développé par une équipe de chez ByteDance (mais si, TikTok, votre réseau social préféré), ce modèle baptisé PuLID va vous permettre de créer des images sur-mesure à partir de photos existantes et tout ça en un clin d’œil.

Basé sur le principe d’alignement contrastif, PuLID vous offre une customisation d’identité ultra rapide et de haute qualité. Pour cela, il utilise une architecture qui apprend à la volée les caractéristiques clés d’une identité source (des photos de vous) pour les transposer efficacement sur de nouvelles images cibles (images générées par IA). On obtient alors des visuels uniques générés en quelques secondes à peine, tout en préservant la cohérence des photos d’origine.

Bon, ok, ça peut paraître un peu barbare dit comme ça mais c’est super simple à utiliser. Si vous êtes flemmard, vous pouvez aller directement sur Huggingface ou pour les plus courageux, l’installer sur votre machine. Tout ce dont vous avez besoin, c’est d’un bon vieux Pytorch (version 2.0 minimum svp) et de quelques lignes de code pour démarrer l’entraînement.

PuLID (Pure and Lightning ID Customization via Contrastive Alignment) fonctionne en utilisant des techniques de machine learning pour aligner des représentations latentes en comparant des paires d’images ou d’identités. L’objectif est de maximiser la similarité pour des identités similaires et de minimiser la similarité pour des identités différentes. En ajustant ces représentations grâce à l’alignement contrastif, PuLID permet de créer des images uniques avec une grande précision et rapidité.

Si vous bossez dans la comm et que ous avez déjà quelques concepts arts sympas d’un personnage, mais vous aimeriez voir à quoi il ressemblerait dans différents environnements ou avec des styles graphiques variés, pas de souci ! Vous balancez vos images dans PuLID avec les bonnes instructions et le tour est joué. Vous obtiendrez alors tout un tas de variations stylées de votre personnage, tout en gardant son visage reconnaissable.

L’équipe de ByteDance a pensé à tout : PuLID est 100% open-source et disponible sur GitHub. Vous pouvez donc bidouiller le code comme bon vous semble pour l’adapter à vos besoins. Y’a même des tutoriels et des exemples pour vous aider à prendre en main le bouzin rapidement.

Et pour les plus impatients d’entre vous, voici un petit tuto d’installation pour commencer à jouer avec PuLID :

Pré-requis :

• Python >= 3.7
• PyTorch >= 2.0 (télécharger ici)
• Anaconda (télécharger ici) ou Miniconda (télécharger ici)

Étapes d’installation :

1. Cloner le dépôt PuLID :

git clone https://github.com/ToTheBeginning/PuLID.git
cd PuLID

Créer et activer l’environnement conda :

conda create --name pulid python=3.10
conda activate pulid

Installer les dépendances :

pip install -r requirements.txt

Installer PyTorch : Suivez les instructions sur le site de PyTorch pour installer la version compatible avec votre système. Par exemple, pour CUDA 11.7 :

conda install pytorch torchvision torchaudio cudatoolkit=11.7 -c pytorch

Lancer l’application :

python app.py

Pour en savoir plus sur PuLID et récupérer le code source, rendez-vous sur le repo GitHub.

Allez, je vous laisse vous amuser avec votre nouveau jouet. Un grand merci à Lorenper pour l’info. Grâce à toi, on va pouvoir personnaliser nos avatars comme jamais.

Source

Les memes c’est cool à faire mais c’est souvent gâché par des watermarks moches. Heureusement qu’il existe Editdit !

Ce site est une vraie mine d’or pour créer vos propres memes sans aucun marquage ou copyright et avec tous les templates légendaires qu’on adore. Que vous soyez fan de Distracted Boyfriend, de Drake Hotline Bling, de One Does Not Simply ou de Hide the Pain Harold, vous allez pouvoir laisser libre court à votre créativité et votre sens de l’humour.

Vous n’avez qu’à choisir votre template, ajouter votre texte personnalisé et le tour est joué !

L’interface est ultra simple et intuitive. En quelques clics vous pouvez créer un meme sur mesure, en ajustant la police, la taille, la couleur et la position du texte. Vous pouvez même importer vos propres images si vous voulez créer un meme 100% unique. Et le meilleur dans tout ça ? C’est totalement gratuit !

Une fois que votre œuvre humoristique est terminée, vous pourrez alors la télécharger en haute définition ou la partager directement sur vos réseaux sociaux préférés. Attention, ça peut vite devenir addictif…

A découvrir ici.

Les scientifiques du MIT boostent les capacités de raisonnement de l’IA avec une architecture hybride révolutionnaire ! Hé oui, les petits génies du MIT ont développé 3 frameworks qui vont donner aux IA le pouvoir de raisonner comme des humains.

Imaginez que vous ayez un pote un peu limité niveau jugeote (on a tous un [insère ici le prénom de ton collègue le plus proche] dans notre entourage 😅). Il comprend ce que vous lui dites, il peut même vous répondre, mais dès qu’il faut réfléchir un peu, ça rame et parfois ça plante. Eh bien, les IA actuelles, c’est un peu pareil !

Elles sont super balèzes pour ingurgiter des tonnes de données et cracher du texte, mais niveau compréhension du contexte et raisonnement complexe, ce n’est pas encore tout à fait ça. Et c’est là que nos amis du MIT entrent en scène avec leur trésor d’abstractions en langage naturel. En gros, ils ont créé des lib qui vont aider les IA à mieux piger leur environnement et résoudre des problèmes de manière plus humaine. On parle donc de 3 frameworks aux petits noms mignons : LILO, Ada et LGA.

LILO, c’est l’atout du développeur. Il va aider les IA à synthétiser, compresser et documenter du code comme un pro. Fini les IA qui créent des pavés de code illisibles, place à des programmes bien structurés et commentés !

Ada, c’est la stratège du groupe. Elle va permettre aux IA de planifier des actions de manière flexible. Au lieu de suivre bêtement une recette, l’IA va pouvoir s’adapter et improviser en fonction de ce qu’elle trouve dans son frigo. Ada a même montré une amélioration de 59% pour des tâches de simulation de cuisine et de 89% pour des tâches de construction de lit.

Enfin, LGA, c’est l’as de la perception. Elle va filer un gros coup de pouce aux robots pour qu’ils comprennent mieux leur environnement, un peu comme si on leur refilait une bonne paire de lunettes. Terminé les robots qui se prennent les pieds dans le tapis, ils vont pouvoir naviguer dans votre appart’ comme un poisson dans l’eau (ou presque 😅).

Avec ces 3 frameworks qui mixent réseaux de neurones et approches logiques classiques, les chercheurs espèrent bien faire passer les IA au niveau supérieur. Ainsi, on aura enfin des chatbots qui comprennent vos blagues pourries, des robots qui vous apportent une bière sans renverser la moitié au passage, et pourquoi pas des IA qui vous aident à coder votre prochain jeu vidéo pendant que vous glandouillez sur le canapé !

Pour ceux qui veulent aller plus loin, voici les publications sur arXiv des avancées réalisées :
– Library Induction from Language Observations
– Action Domain Acquisition
– Language-Guided Abstraction

J’ai hâte de voir tout ça fonctionner pour en vrai !

Source

Votre repaire préféré Ygg (anciennement YggTorrent) vient de tirer le rideau et de passer en mode privé ! Fini le téléchargement à tout-va pour les passants, désormais il faudra montrer patte blanche et s’identifier pour accéder à la caverne d’Ali Baba du torrent made in France qui attire des millions de visites chaque mois.

Pourquoi ce revirement soudain ?

La pression des ayants droit et de la justice française devenait insoutenable pour ce site qui a pris la relève de l’iconique T411 en 2017. Entre les blocages DNS et IP, les injonctions judiciaires et les menaces de poursuites, les admins de Ygg ont préféré la jouer profil bas et verrouiller la boutique. La plateforme a même été récemment listée par la puissante Motion Picture Association (MPA) de Hollywood dans son bilan annuel des sites pirates les plus « notoires ». Désormais, seuls les 6 millions de membres enregistrés pourront profiter des torrents bien garnis, à l’abri des regards indiscrets.

Cette décision radicale témoigne de l’acharnement des autorités contre le partage non-autorisé. Mais est-ce vraiment efficace de traquer sans relâche les sites de P2P ? Pas sûr, car comme le soulignent avec malice les responsables de Ygg, les internautes ont plus d’un tour dans leur sac pour contourner la censure :

• VPN : ces réseaux privés virtuels masquent votre adresse IP et chiffrent votre trafic, vous permettant de surfer incognito et d’accéder aux sites bloqués. Selon certaines statistiques, près d’un tiers des Français utiliseraient déjà un VPN !
• Changement de DNS : en modifiant vos paramètres DNS, vous pouvez court-circuiter les blocages mis en place par votre fournisseur d’accès. Les serveurs alternatifs comme ceux de Google ou OpenDNS sont très prisés.
• Sites miroirs et proxys : tel un château de cartes, à chaque domaine bloqué, dix autres réapparaissent pour prendre le relais. YggTorrent en a fait les frais, contraint de changer plusieurs fois d’adresse ces derniers mois.

Alors, blocage ou pas blocage, les aficionados du téléchargement trouveront toujours un moyen de gruger le système. Un éternel jeu du chat et de la souris qui ne semble pas prêt de s’arrêter, au grand dam des majors et des artistes. Mais au fond, est-ce si étonnant dans un pays champion du monde du piratage ? À bon entendeur…

Source

Vous débarquez dans votre laverie automatique préférée, les bras chargés de linge sale, et là, magie magie, grâce à une petite bidouille bien sentie, vous pouvez lancer une lessive gratuite, sans débourser un centime. C’est le rêve, non ? Eh bien, figurez-vous que c’est exactement ce qu’ont réussi à faire des étudiants un peu hackers sur les bords.

Alexander Sherbrooke et Iakov Taranenko, 2 petits génies de l’université de Santa Cruz, ont découvert une faille de sécurité dans le système des laveries connectées de CSC ServiceWorks. Je vous parle quand même d’un réseau de plus d’un million de machines à laver installées un peu partout dans le monde, des campus universitaires aux hôtels en passant par les résidences. Bref, un sacré parc de machines qui tournent à plein régime.

Pour y arriver, ils ont bidouillél’API utilisée par l’appli mobile CSC Go. Pour ceux qui ne sont pas familiers avec le jargon technique, une API c’est un truc qui permet à des applis et des appareils de communiquer entre eux au travers du réseau. Dans le cas présent, l’appli CSC Go permet aux utilisateurs de recharger leur compte, de payer et de lancer un cycle de lavage sur une machine proche. Cependant, les serveurs de CSC ne vérifiaient pas correctement qui avait le droit de faire quoi. N’importe qui peut entrer et faire ce qu’il veut. Et c’est exactement ce qu’ont fait nos deux compères.

En analysant le trafic réseau pendant qu’ils utilisaient l’appli CSC Go, Alexander et Iakov ont réussi à court-circuiter les contrôles de sécurité pour envoyer des commandes directement aux serveurs de CSC. Résultat des courses : ils ont pu modifier leur solde, ajouter des millions de dollars virtuels pour le budget lessive, et même localiser et interagir avec toutes les machines du réseau CSC ServiceWorks.

Bien sûr, avoir la lessive gratuite, c’est cool. Mais Alexander et Iakov ont surtout voulu montrer les dangers d’avoir des appareils connectés à Internet sans une sécurité au top. Le pire dans l’histoire, c’est qu’ils ont prévenu CSC ServiceWorks de la faille à plusieurs reprises depuis janvier, mais la société n’a jamais répondu. Pourtant, un simple petit formulaire de contact pour signaler les problèmes de sécurité, ça ne coûte pas bien cher et ça peut éviter de gros dégâts… J’espère juste que ces derniers ne préparent pas une action en justice…

Évidemment, bidouiller des machines à laver pour avoir des lessives gratuites, ce n’est pas l’attaque du siècle mais cela montre qu’il y a encore du boulot côté sécurité pour tous ces objets connectés. Alors pour se protéger de telles vulnérabilités, il est crucial de sécuriser les API en effectuant la vérification des commandes côté serveur plutôt que côté client et en utilisant des tokens d’authentification sécurisés.

En attendant, si vous croisez Alexander et Iakov sur leur campus, vous pouvez leur donner vos slips sales, ils savent y faire pour vous les rendre plus blanc que blanc. ^^

Source

Ça vous dirait de partir à la chasse aux sphères de Dyson extraterrestres depuis votre gros canapé ? Allez, on enfile son plus beau pyjama, oui celui avec les petites têtes de Thomas Pesquet et c’est parti pour une aventure intragalactique !

Alors oui, je sais ce que vous allez me dire : « Mais Manu, c’est quoi encore cette histoire de sphère de Dyson ? On n’est pas dans Stargate là ! ». Eh bien détrompez-vous car les sphères de Dyson, c’est un vrai concept d’astro-ingénierie théorisé par le physicien Freeman Dyson en 1960. Rien à voir avec les aspirateurs donc…

En gros, l’idée c’est qu’une civilisation alien hyper avancée pourrait construire une mégastructure tout autour de son étoile pour capter un maximum d’énergie. Ça pourrait ressembler à une cage géante, un anneau ou même un essaim de miroirs. De quoi alimenter des serveurs extraterrestres pour miner du Bitcoin.

Bon ok, pour le moment on n’a toujours pas découvert de petits gris, alors une civilisation capable de ce genre de prouesses technologiques, n’en parlons pas… Mais des astronomes ont récemment déniché sept étoiles dans notre galaxie qui pourraient potentiellement abriter des sphères de Dyson aliens ! Pour les identifier, ils ont cherché des sources d’infrarouge anormalement élevé. Eh oui, si une mégastructure entoure une étoile, ça va forcément la faire chauffer et générer plein d’émissions bizarres dans l’infrarouge.

Les sept étoiles repérées sont toutes des naines rouges, plus petites et moins brillantes que notre cher Soleil. Maintenant, est-ce que ce sont vraiment des sphères de Dyson ou juste des phénomènes naturels étranges ? Mystère et boule de gomme ! Pour en avoir le cœur net, il va falloir déployer l’artillerie lourde et pointer le télescope spatial James-Webb dans leur direction. Qui sait, peut-être que E.T. téléphone maison en ce moment même…

En attendant de pouvoir leur piquer du Wi-Fi alien, on peut toujours s’amuser à imaginer à quoi ressembleraient ces fameuses sphères de Dyson. En tout cas, une chose est sûre : si on détecte un jour une mégastructure alien autour d’une étoile lointaine, il va falloir leur envoyer un message d’ami immédiatement. Un petit « Salut les voisins, ça vous dirait un apéro saucisse-merguez avec vue sur la Voie lactée ? », ça pourrait être sympa comme premier contact !

Mais trêve de plaisanterie, si ces sphères de Dyson existent vraiment, ça serait sans doute la découverte scientifique du siècle ! La preuve ultime qu’on n’est pas seuls dans l’Univers. De quoi nous faire relativiser sur nos problèmes de boîte mail saturée ou de batterie de smartphone à plat. Alors en attendant le jour J, on continue de scanner le ciel, on croise les doigts… et on n’oublie pas son guide du voyageur galactique, juste au cas où !

Bon allez, je vous laisse, il faut que j’aille bidouiller mon télescope pour essayer de capter des signaux aliens. Et n’oubliez pas, un ciel sans sphère de Dyson, c’est comme un kebab sans sauce samouraï : ça manque cruellement de piment !

Source

La police américaine teste actuellement une nouvelle technologie de surveillance de véhicules plutôt intrusive. Le système Elsag EOC Plus, développé par la société Leonardo, peut scanner les voitures en mouvement pour détecter tous les appareils émettant un signal, des smartphones aux livres de bibliothèque équipés de puces RFID.

Ça permet en quelques secondes d’identifier les modèles exacts de téléphones et d’accessoires présents dans une voiture, suivre les animaux de compagnie grâce à leur puce, et même de savoir si le conducteur a emprunté le dernier Stephen King ! Les possibilités sont infinies, et un peu flippantes. Chaque appareil émet une signature électronique unique et en combinant ces signatures avec le numéro de plaque d’immatriculation, on obtient une véritable empreinte digitale du véhicule et de ses occupants. Un peu comme si on mettait une caméra dans votre bagnole pour savoir tout ce que vous trimballez.

ELSAG EOC Plus est donc un système de surveillance électronique qui combine donc les caméras de lecture de plaques d’immatriculation (LPR) avec une nouvelle technologie de capteurs pour aider la police à trouver des suspects grâce aux appareils qu’ils utilisent. Il corrèle les identités électroniques des appareils grand public, comme les téléphones mobiles et les trackers de fitness, avec les données LPR, via des horodatages communs, créant ainsi une empreinte électronique pour cet ensemble de données.

Bien que 30 voitures sur 100 puissent contenir des iPhones, une seule aura un iPhone 13rev2, une radio Audi, un casque Bose, une montre de sport Garmin, un localisateur de clés et la plaque d’immatriculation ABC-1234. l’appareil capture les fréquences des appareils émises dans l’air. Faible consolation, il ne capture pas le contenu des appareils ou leurs communications.

Il peut donc détecter les étiquettes RFID comme les cartes d’accès, les livres de bibliothèque, les étiquettes sur les produits, les émetteurs sur les palettes et les puces des animaux domestiques. Il capte aussi le Bluetooth des téléphones, des appareils électroniques portables et des casques. Enfin, il identifie les composants des véhicules comme les capteurs de pression des pneus, les capteurs de sécurité, ainsi que les systèmes d’info-divertissement et les points d’accès Wi-Fi des véhicules, des smartphones, des tablettes et des ordinateurs portables.

Évidemment, les défenseurs de la vie privée sont en mode panique car ils craignent, à juste titre, que cette technologie ne soit utilisée pour pister les gens sans mandat, en apprenant tout sur eux à partir de leurs objets connectés ou des livres qu’ils lisent. Mais Leonardo se veut rassurant (tu m’étonnes). Ils promettent de collaborer avec les forces de l’ordre pour respecter la loi et ne pas collecter trop de données sans autorisation. Mouais, j’ai déjà entendu ça quelque part…

C’est un peu comme si on mettait un IMSI-Catcher sous stéroïdes dans les voitures de patrouille sauf qu’au lieu d’aspirer les données des téléphones alentours, ça récupère toutes les infos des gadgets connectés (Wifi, Bluetooth, composants radio de la voiture) et tout ce qui contient une puce RFID. Allez, je vous mets une petite liste non exhaustive d’objets du quotidien qui peuvent contenir des puces RFID, histoire que vous réalisiez le délire de ce truc :

• Cartes bancaires : Utilisées pour les paiements sans contact.
• Passeports : Les passeports modernes contiennent souvent des puces RFID pour stocker des informations biométriques.
• Badges d’accès : Utilisés pour entrer dans des bâtiments sécurisés.
• Étiquettes de vêtements : Pour la gestion des stocks et la prévention du vol dans les magasins de détail.
• Livres de bibliothèque : Pour le suivi et la gestion des emprunts.
• Cartes de transport : Comme les cartes de métro ou de bus.
• Étiquettes de bagages : Pour suivre les bagages dans les aéroports.
• Étiquettes d’inventaire : Utilisées dans les entrepôts pour le suivi des produits.
• Bracelets de festival ou de concert : Pour contrôler l’accès aux événements.
• Étiquettes d’animaux de compagnie : Implantés pour identifier les animaux perdus.
• Ordinateurs portables et autres équipements électroniques : Pour la gestion des actifs dans les entreprises.
• Pneus de voiture : Certains pneus contiennent des puces RFID pour le suivi et la gestion des stocks.
• Clés électroniques de voitures : Utilisées pour l’ouverture et le démarrage sans clé.
• Produits pharmaceutiques : Pour lutter contre la contrefaçon et assurer la traçabilité.
• Instruments médicaux : Pour suivre l’utilisation et la stérilisation.
• Cartes de fidélité : Utilisées dans les magasins pour suivre les points de fidélité des clients.
• Cartes d’identité d’étudiant : Pour l’accès aux bâtiments universitaires et autres services.
• Tickets de ski : Pour le contrôle d’accès aux remontées mécaniques.
• Objets de collection : Pour authentifier et suivre des objets de valeur.
• Montres intelligentes et bracelets de fitness : Pour le suivi des activités et des paiements.

Bien sûr, l’entreprise nous explique que ce sera super car ça permettra de retrouver une voiture volée, par exemple, ou de localiser un suspect en cavale mais comme d’hab, c’est une question d’équilibre entre sécurité et liberté, et là, je pense qu’on n’y est pas. D’autant que les flics ne seraient pas les seuls à pouvoir utiliser ce système puisque son fabricant Leonardo voit encore plus loin, avec des clients potentiels dans les gares ou les centres commerciaux, ce qui permettrait d’augmenter la densité des capteurs à moindre coût car le lecteur de plaques d’immatriculation ne serait pas utile dans ce cas là.

Le système stocke ensuite toutes les données sur des serveurs où elles peuvent ensuite être interrogées et analysées pour aider les enquêteurs ou les marketeux… Comme ça on pourra savoir qui a le dernier iPhone ou qui a une carte de fidélité de Castorama rien qu’en scannant le parking !

Leonardo affirme également avoir plus de 4 000 clients pour ses lecteurs de plaques d’immatriculation Elsag à travers les États-Unis donc je vous laisse imaginer l’ampleur du système existant et la potentielle intégration de cette nouvelle technologie. D’autres technologies concurrentes, comme celles de Flock Safety, sont également déjà utilisées dans les centres commerciaux et alimentent directement les données aux agences de police.

Perso, je pense qu’il faut rester vigilants et pourquoi pas investir dans une bonne vieille cage de Faraday pour votre voiture…^^ Bah quoi, c’est toujours mieux que de retourner aux Nokia 3310 et aux K7 audio.

Source

Windows XP sur un processeur i486, sérieux ? Hé oui, un programmeur allemand totalement barré a réussi à faire tourner ce bon vieux Windows XP SP3 sur un processeur Intel i486 pourtant aussi vieux que Mathusalem. On parle d’un ancêtre qui date quand même de la fin des années 80, une époque où j’étais encore frais 🙂

Ce modder de génie est donc parvenu à triturer les entrailles de XP directement en assembleur pour le rendre compatible avec ce CPU préhistorique. Mais attention, avant de vous lancer, sachez que le bidule ne parle que la langue de Goethe pour l’instant, et n’est pas sans bugs, ce qui risque de vous donner des sueurs froides…

Pour info, cette prouesse technique repose sur la modification de l’opcode cmpxchg8b, une instruction qui n’est pas supportée par le CPU 486. Le secret réside dans le remplacement de cet opcode par une série d’instructions compatibles avec ce processeur. Cela nécessite des compétences avancées en assembleur et en architecture CPU. Par exemple, réécrire des fonctions comme ExInterlockedFlushSList dans les fichiers système (ntoskrnl.exe et ntdll.dll) pour omettre cet opcode problématique et éviter les fameux BSOD (Blue Screen of Death) est une tâche titanesque, mais c’est ça la beauté du bidouillage !

Maintenant si l’allemand et le masochisme ne vous font pas peur, vous pouvez tenter l’expérience en allant choper l’ISO de ce XP frankensteinisé sur Archive.org. Ça peut être fun de ressusciter un vieux PC et de lui insuffler une nouvelle jeunesse, mais je vous aurais prévenus : gaffe aux backdoors et autres saloperies qui traînent sur ce genre d’OS préhistorique qui n’est plus mis à jour.

En bref, cette histoire de revival de Windows XP sur i486, c’est à la fois fascinant techniquement, et complètement perché. En tout cas, c’est rigolo 🙂

Source

La Quadrature du Net a dégainé sa plus belle plume pour attaquer en justice le récent blocage de TikTok en Nouvelle-Calédonie. Comme vous le savez, notre cher gouvernement a décidé, dans sa grande sagesse, d’interdire purement et simplement l’accès à TikTok sur le Caillou. Et tout ça comme un grand, sans passer par la case « justice » ! Le motif invoqué est assez flou car sans preuve, mais selon leurs dires, la plateforme serait utilisée pour diffuser de la désinformation, alimentée par des pays étrangers et relayée par les émeutiers.

Sauf que voilà, pour nos preux défenseurs des libertés numériques, cette décision a autant de finesse qu’un troupeau de Panzer dans un champ de pâquerettes. La Quadrature du Net y voit en effet une atteinte grave et manifestement illégale à la sacro-sainte liberté d’expression. D’ailleurs, des réactions que j’ai pu voir, ceux qui connaissent bien Internet sont de cet avis. Bref, LQDN n’a pas l’intention de laisser passer ça !

Dans leur recours en référé-liberté, ils expliquent que le blocage total d’une plateforme aussi populaire que TikTok, c’est quasiment la même chose que si on interdisait d’un coup tous les kiosques à journaux. Une mesure radicale et disproportionnée, qui priverait les Calédoniens de leur droit fondamental de recevoir et de communiquer des informations. Même si ces infos consistent principalement en des ados qui se trémoussent sur la dernière chanson à la mode…

Au-delà de l’aspect « gros marteau pour écraser une mouche », l’association pointe aussi du doigt le caractère pour le moins opaque de la décision gouvernementale. Pas de décret publié au Journal officiel, pas de communiqué de presse, nada ! Juste une annonce en mode « sous le manteau » du Premier ministre aux médias. Une approche qui fleure bon l’arbitraire et qui se contrefout des garde-fous démocratiques élémentaires.

Face à cette censure d’un nouveau genre, La Quadrature du Net sort donc l’artillerie lourde et invoque pêle-mêle la Déclaration des droits de l’Homme, la Convention européenne des droits de l’Homme et le Pacte international relatif aux droits civils et politiques. L’objectif ? Faire reconnaître par le juge l’illégalité manifeste de ce blocage et obtenir son annulation en urgence.

Mais les Quadraturiens ne s’arrêtent pas là ! Ils en profitent également pour épingler les dangers d’une loi vieille de presque 70 ans, celle de l’état d’urgence de 1955, qui permet au gouvernement de prendre des mesures restrictives des libertés sans aucun contrôle préalable du juge. Un super pouvoir qui fait saliver nos dirigeants mais qui fait froid dans le dos des gens qui aiment leur liberté.

Derrière ce recours se cache donc en réalité un combat plus vaste contre la tentation récurrente du pouvoir de museler Internet au nom de la lutte contre le terrorisme ou les troubles à l’ordre public. Une tendance lourde qui s’est accélérée ces dernières années, avec la multiplication des lois sécuritaires et des mesures de censure administrative. Pour La Quadrature du Net et tous ceux qui les soutiennent, il y a donc urgence à endiguer cette dérive liberticide avant qu’il ne soit trop tard !

Bien sûr, l’association ne se fait guère d’illusions sur le modèle toxique de TikTok, avec ses algorithmes opaques et son appétit gargantuesque pour les données personnelles mais elle refuse de laisser le gouvernement se servir de ce prétexte pour imposer sa vision d’un Internet sous surveillance, où les plateformes seraient à la botte de l’exécutif et où les internautes seraient présumés coupables.

En attaquant le blocage de TikTok, La Quadrature du Net mène donc une bataille supplémentaire pour défendre la liberté d’expression en ligne. Une liberté fragile et sans cesse menacée, qu’il faut défendre bec et ongles face aux sirènes de la censure étatique parce qu’un Internet libre et ouvert, c’est la garantie d’une démocratie vivante, et ça, ça n’a pas de prix !

Bref, je croise les doigts pour que le juge entende la voix de la raison et remette l’État à sa place, histoire de rappeler que même en période troublée, les libertés fondamentales ne sont pas une variable d’ajustement. Et que si on commence à accepter la censure pour TikTok, demain ce sera au tour de Snapchat, d’Instagram ou de Twitter et ça continuera petit à petit jusqu’à ce qu’il ne reste plus que la voix officielle du gouvernement… Vous connaissez la chanson.

Bref, encore merci à La Quadrature du Net pour sa détermination. Et je vous invite une fois de plus à les soutenir dans leur combat, parce que c’est aussi le nôtre ! N’hésitez pas à consulter leur site web pour en savoir plus et faire un don si le cœur vous en dit. C’est par ici !

Des chercheurs viennent de pondre un nouvel algorithme révolutionnaire pour compter les éléments distincts dans un flux de données. Ça s’appelle le CVM et c’est super malin !

Imaginez un peu le truc, vous recevez des tonnes de données en continu, genre des milliards d’entrées, et vous voulez savoir combien y a d’éléments uniques là-dedans. Facile à dire mais pas évident à faire ! Parce que si vous essayez de tout stocker en mémoire pour comparer, bonjour la galère et l’explosion de RAM. C’est là que le CVM entre en scène !

Le principe est simple comme bonjour (enfin, quand on vous l’explique !). Au lieu de tout garder, on va échantillonner aléatoirement les données qui arrivent. Un peu comme quand vous piquez des frites dans l’assiette de votre pote pour goûter parce que vous, vous avez pris une salade. Sauf qu’ici, c’est un échantillon représentatif qu’on veut.

Concrètement, on conserve un petit sous-ensemble des éléments dans une mémoire limitée. Et quand ça déborde, on vire aléatoirement la moitié ! Hop, un petit coup de pile ou face et on libère de l’espace. Mais attention, c’est pas fini ! On repart pour un tour en ajustant la probabilité de garder un élément. Ainsi, à la fin, chaque rescapé a la même probabilité d’être là. Vous me suivez ? Non ? On s’en fiche, l’essentiel c’est que ça marche !

Les chercheurs qui ont inventé ça ont prouvé mathématiquement que leur bidule était précis et peu gourmand en mémoire. Genre vraiment précis, à quelques pourcents près. C’est dingue quand même, avec une poignée d’octets, on peut estimer des millions d’éléments distincts !

Et vous savez quoi ? L’algo est tellement simple qu’un étudiant pourrait l’implémenter. Pas besoin d’être un crack en maths ou en informatique, c’est à la portée de tous. Bon après, faut quand même en vouloir pour se fader les preuves théoriques. Mais ça ce n’est pas notre problème !

En gros, le CVM c’est une avancée notable, que ce soit pour analyser les logs, détecter des anomalies, mesurer une audience ou je ne sais quoi, il y a des tonnes d’applications. On nage en plein dans le Big Data !

Je peux déjà vous voir les data scientists qui me lisent, en train de vous frotter les mains et dégainer votre plus beau Python pour tester ce truc. Les entreprises vont pouvoir économiser des téraoctets de stockage et des heures de calcul, tout ça grâce à un petit algorithme simple mais efficace.

C’est quand même beau de voir comment avec une idée futée, on peut résoudre de grands problèmes. C’est encore une fois un bel exemple d’élégance algorithmique.

Bref, chapeau bas aux chercheurs de l’Institut Indien de Statistiques, de l’Université de Nebraska-Lincoln et de l’Université de Toronto qui ont pondu cette méthode de comptage. Les détails, c’est par ici que ça se passe : Computer Scientists Invent an Efficient New Way to Count

Vous l’avez peut-être remarqué, mais ces derniers temps, les vulnérabilités dans les routeurs et autres équipements réseau se multiplient comme des petits pains. Et quand je dis petits pains, je parle plutôt du genre rassis et moisi qui traîne depuis des années dans un placard. C’est le cas de deux failles qui touchent les routeurs D-Link DIR-600 et DIR-605, qui viennent d’être ajoutées par la CISA à son catalogue des vulnérabilités activement exploitées par les pirates malveillants.

La première, CVE-2014-100005, permet à un attaquant de changer la configuration du routeur DIR-600 à distance, sans avoir besoin de se connecter. Comment ? Et bien grâce à une bonne vieille faille CSRF (Cross-Site Request Forgery), cette faille bien connue des années 2000 qui fait toujours des ravages en 2024. Il suffit que l’admin du routeur visite une page web piégée, et hop, l’attaquant peut faire ce qu’il veut de la config !

La deuxième, CVE-2021-40655, est une fuite d’informations dans l’interface web du DIR-605. En forgeant une requête HTTP POST vers la page « /getcfg.php », un petit malin peut récupérer en clair le nom d’utilisateur et le mot de passe de l’administrateur. Ça fait rêver, n’est-ce pas ?

La CISA précise que ces failles sont activement exploitées, mais ne donne pas plus de détails.

Le plus rigolo, c’est que la première faille date de 2014 et concerne un modèle qui n’est plus supporté depuis belle lurette. Donc si vous avez encore un DIR-600 qui traîne, il est plus que temps de le mettre à la retraite et de passer à un modèle plus récent. Pour la deuxième, pas de patch connu à ce jour, donc restez vigilants.

Mais ce n’est pas fini puisque d’autres chercheurs de SSD Secure Disclosure ont aussi trouvé des failles 0-day dans le routeur D-Link DIR-X4860. En combinant un contournement d’authentification et une injection de commande, un attaquant pourrait prendre le contrôle total de l’appareil, avec les privilèges root s’il vous plaît. Bref, le routeur est complètement compromis.

D-Link a été prévenu il y a un mois, mais n’a toujours pas réagi. Les détails techniques sont disponibles sur le blog de SSD, avec même un PoC prêt à l’emploi. La faille touche la version de firmware 1.04b03. Donc, si vous avez ce modèle, vérifiez votre version et espérez que D-Link réagisse rapidement et publie un correctif.

En attendant, la meilleure chose à faire est de garder son routeur à jour, de changer les mots de passe par défaut et de désactiver les fonctions dont on n’a pas besoin, comme l’accès à distance. Et pourquoi pas flasher son vieux routeur avec un firmware alternatif comme OpenWrt ou DD-WRT, qui sont généralement plus sûrs et plus à jour que les firmwares constructeurs ?

Allez, au boulot !

Source