Ubisoft a failli achever une trilogie de jeux Assassin’s Creed, qu’elle ait été intentionnelle ou non. Le succès de la franchise repose en partie sur la possibilité de débuter à n’importe quel épisode sans être perdu. L’intrigue moderne peut certes s’avérer intrusive et confuse même pour les habitués, mais elle occupe une place de plus ... Lire plus
Des scientifiques ont identifié une signature distinctive du syndrome de fatigue chronique (également appelé encéphalomyélite myalgique ou SFC/EM) dans le sang de patients présentant des symptômes sévères. Utilisant pas moins de 200 biomarqueurs sanguins, des chercheurs de l’université d’East Anglia et de la société biotechnologique Oxford Biodynamics affirment avoir mis au point un test capable ... Lire plus
Plusieurs semaines se sont écoulées depuis que One Piece a lancé son flashback en cours dans l’arc d’Elbaf. Initialement, ce retour en arrière devait révéler l’identité du meurtrier du roi Harald au château Aurust il y a plus de quatorze ans. Personne ne s’attendait toutefois à ce que le parcours d’Harald pour devenir le plus ... Lire plus
Moins de deux semaines après le grand dévoilement de « Gemini for Home » par Google, l’intégration de l’intelligence artificielle génère déjà des hallucinations problématiques. Le géant technologique californien a récemment remplacé l’assistant Google classique par l’intelligence de Gemini. Dans le cadre de ce déploiement, les utilisateurs de Google Home ont gagné une façon plus ... Lire plus
Le soutien logiciel étendu rend rarement les téléphones plus performants avec le temps. Généralement, les mises à jour apportent de nouvelles fonctionnalités aux appareils récents tandis que les modèles anciens risquent de voir leurs performances se dégrader. Or, si les fabricants promettent sept années de support logiciel, cette promesse doit avoir une valeur concrète. Heureusement, ... Lire plus
L’avenir de Xbox semble de plus en plus incertain. Des enseignes majeures cessent progressivement de commercialiser les consoles et jeux de la plateforme. Xbox figurait jadis parmi les trois géants de l’industrie vidéoludique. La marque dominait même le marché durant l’ère Xbox 360. Toutefois, le lancement de la Xbox One s’est avéré chaotique en raison ... Lire plus
Elon Musk n’a jamais entretenu de relations harmonieuses avec les autorités réglementaires. Il contourne ou ignore fréquemment les lois locales et étatiques là où ses nombreuses entreprises opèrent. La semaine écoulée s’est révélée particulièrement agitée sur le front réglementaire. Les ennuis s’accumulent pour le milliardaire et ses différentes sociétés. Les violations s’empilent dans plusieurs États ... Lire plus
Le président Donald Trump a déclaré vendredi qu’il imposera un tarif douanier de 100 % sur toutes les importations en provenance de Chine. Parallèlement, des contrôles à l’exportation seront instaurés sur « tout logiciel critique » provenant des États-Unis. Cette annonce marque une nouvelle étape dans ce qui ressemble à un conflit commercial croissant entre ... Lire plus
Avez-vous vu le film KPop Demon Hunters ? Si oui, que se passe-t-il lorsque vous lisez le mot « golden » ? Prenez un instant pour y réfléchir. Les personnes non familières ne penseront à rien de particulier. En revanche, si vous connaissez la chanson du même nom, un fragment de la mélodie commence probablement ... Lire plus
L’univers d’Avatar: The Last Airbender accueille un nouveau jeu de combat actuellement en développement. Vingt ans après ses débuts télévisés, la série animée de Nickelodeon demeure une référence incontournable de son époque. Saluée pour son récit mature tout en restant accessible au jeune public, la production n’hésitait pas à explorer des thématiques plus sombres lorsque ... Lire plus
HP a récemment dévoilé un ordinateur portable Omen 16 en édition limitée, inspiré par le célèbre jeu League of Legends. Cet ajout enrichit la gamme Omen, déjà étoffée grâce à d’autres collaborations avec les titres de Riot Games. Des détails soignés, tant au niveau esthétique que fonctionnel, séduiront les fervents du jeu, allant des touches […]
Le support de Windows 10 prend fin ce 14 octobre 2025 ! Découvrez les conséquences, les risques et les solutions pour continuer à l’utiliser sans danger.
Quelques semaines après l’annonce par Ubisoft de sa nouvelle filiale, Vantage Studios, en partenariat avec Tencent, la société se voit déjà touchée par un départ notable. Marc-Alexis Côté, responsable du développement de la série Assassin’s Creed, a quitté Ubisoft, suscitant des interrogations sur l’avenir de la franchise. Un départ marquant Selon un communiqué d’IGN, les […]
NVIDIA a récemment choisi Samsung Foundry comme partenaire pour ses CPUs et XPUs personnalisés, permettant au géant coréen de mettre à profit son expertise en design et fabrication. Samsung Foundry et l’écosystème NVLink de NVIDIA Lors du OCP Global Summit, l’intégration de Samsung Foundry dans la liste des partenaires de NVIDIA pour ses ambitions liées […]
Plus de 200 000 machines Framework sous Linux ont été livrées avec un UEFI vulnérable qui met en péril le Secure Boot : les bootkits peuvent en profiter.
Veeam Backup & Replication est affecté par deux failles critiques (CVSS v3.1 de 9.9 sur 10) : CVE-2025-48983 et CVE-2025-48984. Un patch est disponible.
ClientFedID est un outil open source développé par la société Aduneo qui facilite l'analyse des flux d'authentification (OAuth2, OpenID Connect, etc.).
Microsoft va restreindre l'accès au mode IE de Microsoft Edge pour protéger les utilisateurs de certaines attaques basées sur des exploits du moteur Chakra.
La dernière version du Media Creation Tool pour Windows 11 ne fonctionne plus sur les ordinateurs Windows 10 22H2. En attendant un correctif, comment faire ?
Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.
Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!
Et devinez quoi ?
Y’a toujours pas de patch !
L’histoire commence donc en septembre 2023.
Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip
, une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !
Tous les fabricants de GPU sont donc prévenu dès mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n’a pointé le bout de son nez. La position officielle des fabricants de GPU étant que “C’est au software de gérer ça”.
Les navigateurs web colmatent alors la brèche en limitant les iframes cross-origin, mais la faille hardware elle-même n’est jamais corrigée. Trop coûteux. Trop compliqué. Pas leur problème…
Maintenant on fait avance rapide en octobre 2025.
Une équipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Université de Washington) sort Pixnapping
, une attaque qui ressuscite GPU.zip sur Android. Le papier sera d’ailleurs présenté à la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine à Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs collègues on réalisé une démo où on voit une application Android malveillante voler des codes 2FA, des messages privés, ou n’importe quelle donnée affichée à l’écran, sans demander la moindre permission système.
L’attaque fonctionne en trois étapes. D’abord, l’app malveillante invoque des APIs Android publiques (activities, intents, tasks) pour déclencher l’affichage de données sensibles dans l’app cible. Par exemple, forcer Google Authenticator à afficher un code 2FA. Ensuite, elle dessine des fenêtres transparentes par-dessus ces données et effectue des opérations graphiques sur des pixels individuels. Enfin, elle mesure le temps de rendu de chaque frame pour reconstruire les pixels un par un via le canal auxiliaire GPU.zip. C’est lent (entre 0,6 et 2,1 pixels par seconde) mais c’est suffisant.
Les chercheurs ont testé l’attaque sur plusieurs modèles Google Pixel et Samsung Galaxy S25
et sur 100 tentatives de vol de codes 2FA depuis Google Authenticator, le Pixel 6 se montre particulièrement vulnérable avec un taux de réussite des attaques de 73% en seulement 14,3 secondes en moyenne. Le Pixel 7 offre une meilleure résistance avec 53% de réussite en 25,8 secondes, tandis que le Pixel 8 fait encore mieux en limitant les attaques réussies à 29% en 24,9 secondes. Curieusement, le Pixel 9 régresse et remonte à 53% de vulnérabilité en 25,3 secondes. Par contre, le Galaxy S25 se distingue complètement en bloquant systématiquement toutes les tentatives d’attaque grâce au bruit présent dans les mesures qui empêche toute exploitation.
Les vieux appareils sont donc plus vulnérables que les nouveaux, ce qui est probablement lié aux premières générations de GPU Tensor de Google, moins optimisées, plus prévisibles.
Google attribue une CVE à cette attaque (CVE-2025-48561), classée “High Severity” et un patch partiel est publié dans le bulletin de sécurité Android de septembre. Mais les chercheurs ont rapidement trouvé un contournement, qui est actuellement sous embargo. Un second patch est donc prévu pour décembre. Entre-temps,
Google affirme qu’aucune exploitation “in-the-wild” n’a été détectée
pour l’instant.
Le modèle de sécurité Android repose sur l’idée qu’une app sans permissions ne peut rien faire de dangereux. Pixnapping utilise uniquement des APIs publiques légitimes donc y’a rien de suspect dans le manifest, qui déclencherait une alerte Play Protect… Et pourtant, elle peut voler des codes 2FA.
Les recommandations de sécurité sont donc les mêmes depuis 2023 à savoir scruter attentivement les apps installées, privilégier les clés de sécurité hardware pour la 2FA (YubiKey, Titan), surveiller les comportements anormaux.
Après, je pense pas que beaucoup d’utilisateurs d’Android vont investir dans une clé hardware à 50 balles parce que Nvidia a la flemme de patcher son GPU.
Bienvenue dans la réalité de la sécurité mobile les amis.
Cette année, avec Nano Banana, ChatGPT, Sora, Seedream et j’en passe, on est quand même passé de “Je cherche une image sur le net” à “Tiens, et si je demandais à Google (ou un autre) de créer l’image que je cherche…”. Comme ça, on ne perd plus de temps à en regarder plein pour trouver la meilleure, et surtout on ne se pose plus la question de est-ce que c’est une image sous copyright ? Ou une image mise en ligne sur un site Creative Commons dont la licence libre sera retirée dans quelques années par un cabinet d’avocat véreux spécialisé dans le copyright trolling…
et qui viendra ensuite vous réclamer du pognon
.
Et tout ce délire de génération d’images ne risque pas de s’arranger, notamment avec Nano Banana (c’est le petit nom de Gemini 2.5 Flash Image, le modèle de génération d’images de Google) que Google vient d’intégrer dans certains de ses services. En effet, très bientôt vous allez pouvoir modifier, remixer, transformer des images directement depuis la recherche Google (AI Mode), Lens, ou directement vos photos !
Vous prenez une photo avec Lens, ensuite, hop, vous ajoutez un petit prompt texte, et l’IA transformera l’image selon vos désirs. Vous pouvez aussi chercher un truc dans Google Search, puis modifier visuellement le résultat à la volée si ça vous amuse.
Vous allez par exemple chercher un canapé bleu marine sur Google Images, tomber sur la photo de vos rêves sauf que le canapé est rouge brique et hop, l’application le passera en bleu marine directement dans les résultats de recherche. Vous pouvez même mixer deux images pour créer quelque chose de nouveau…
C’est chouette techniquement mais philosophiquement, c’est un délire car la frontière entre le réel et le généré va devenir encore plus floue. On va très vite perdre la notion de ce qui existe vraiment car chaque image pourra être un remix à la demande et au final personne ne saura plus ce qui vient d’un vrai appareil photo ou d’un algo.
C’est une nouvelle réalité qui arrive, où le faux et le vrai se mélangent, faisant disparaitre nos repères.
Au niveau de Google Photos, c’est encore plus inquiétant car on va pouvoir fusionner des images perso, créer des collages, ajouter des éléments de certaines photos dans d’autres photos…etc. On va donc pouvoir se créer des souvenirs qui n’ont jamais existé. Votre gamin n’était pas là pour la photo de famille ? Hop, on le rajoute. Un coucher de soleil moyen-bof sur une photo de vacances ? Hop, on le rend épique.
Nos enfants vont donc grandir avec des albums photo mi-réels mi-générés par IA et au bout de quelques années, plus personne ne se souviendra de si c’était vrai ou pas.
Bref, comme je le disais, technologiquement, c’est impressionnant mais on se demande quand même où se trouve la limite entre retouche créative et falsification de notre mémoire ?
J’en sais quelque chose, la mémoire humaine est déjà très fragile. Elle se réécrit à chaque souvenir et même à chaque évocation d’un souvenir…. Alors si en plus on lui file des photos modifiées pour coller à une réalité qu’on fantasme, j’imagine qu’on va tous finir par croire à des événements qui n’ont jamais eu lieu, surtout si ce sont des modifications subtiles, crédibles.
Bref, ces nouveautés liées à Nano Banana sont déployées uniquement aux États-Unis et en Inde pour le moment, ce qui vous laisse un peu de temps pour réfléchir à tout ça et vous préparer à sauter ou pas dans ce délire de réécriture de vos propres souvenirs.
La commande sudo que tous les linuxiens connaissent a plus de 40 ans, tout autant d’années d’audits de sécurité, des millions de lignes de code scrutées par des milliers de développeurs au fil des ans et surtout des dizaines de CVE critiques corrigées.
Et pourtant on est jamais à l’abri d’une mauvaise surprise ! En effet, une fonctionnalité ajoutée récemment pour “améliorer” la sécurité a crée un trou béant. Baptisée CVE-2025-32463, cette une faille critique présente dans sudo est même déjà exploitée par des cybercriminels.
Alors qu’est ce qui se passe exactement ? Hé bien en 2023, les développeurs de sudo ajoutent une amélioration dans la version 1.9.14. L’option --chroot (qui permet d’isoler une commande dans une “prison” système) est améliorée pour mieux gérer le “command matching”. Ça part d’une bonne intention, comme toujours mais cela a débouché sur l’une des pires CVE de l’année.
Rich Mirch de Stratascale
découvre alors le problème en juin 2025. Ainsi, quand sudo fait un chroot dans un répertoire contrôlé par l’utilisateur, il demande ensuite “qui es-tu ?” via NSS (Name Service Switch, le système qui résout les infos utilisateurs). Sauf que NSS lit ses fichiers de config… dans le chroot. Votre chroot, celui que vous contrôlez. Gloups !
Il suffit alors de placer un faux /etc/nsswitch.conf et une bibliothèque partagée malveillante dans votre répertoire. Sudo fait son petit chroot dedans, charge votre lib pour vérifier qui vous êtes… et hop votre code s’exécute en root. Ainsi, n’importe quel utilisateur local, sans droits sudo préexistants, peut devenir root. C’est con hein ?
C’est tout con à exploiter ! Et le score de cette faille est critique puisqu’on est sur un CVSS de 9.3 / 10. Et comme les PoC (proof of concept) sont disponibles sur Github dans plein de versions différentes (genre
celle là
ou
celle là
), c’est la fête à l’exploitation sauvage !!
Le 29 septembre dernier,
la CISA a même ajouté la CVE-2025-32463 au catalogue KEV
(Known Exploited Vulnerabilities), ce qui confirme son exploitation dans la nature. Les agences fédérales américaines ont donc jusqu’au 20 octobre 2025 pour patcher.
Donc oui, c’est du sérieux.
Notez que le patch est disponible depuis le 30 juin 2025
. Sudo 1.9.17p1 corrige donc ce problème et la fonctionnalité --chroot est maintenant marquée comme “dépréciée”. Les développeurs ont compris que cette idée était bancale dès le départ.
Donc si vous êtes admin système et que vous n’avez pas encore mis à jour, c’est le moment, les amis !! Les versions vulnérables vont de sudo 1.9.14 à 1.9.17. Les versions antérieures (avant 1.9.14) ne sont pas touchées, car la fonctionnalité n’existait pas. Et les plus récentes (1.9.17p1+) sont patchées. Ouf !
Comme quoi, même le code le plus vénéré par les barbus peut se foirer sur une nouveauté. En tout cas, bien joué à Rich Mirch pour avoir trouvé ça ! Et sincèrement désolé pour les devs qui ont validé ce commit foireux en 2023, qui ont dû s’en vouloir un peu quand même ^^.
Connexion
