MacBook Neo starts at $599 with an A18 Pro chip, a bright 13-inch display, and clear trade-offs in ports, battery claims, and premium features.
The post MacBook Neo Cheat Sheet: Everything to Know About Apple’s Budget Mac appeared first on TechRepublic.
J'sais pas si vous vous en rendez compte mais les agents IA qui codent sur votre machine ont accès à vos clés SSH, vos credentials AWS, votre Keychain et compagnie. Ils ont accès à TOUT ! C'est comme filer les clés de votre appart à un gars que vous avez croisé sur le parking de Leclerc y'a pas 5 min.
Hazmat
prend le problème à l'envers : au lieu de demander poliment à l'agent de se tenir tranquille, il l'enferme dans un compte macOS séparé. Du coup, vos ~/.ssh, ~/.aws, votre Keychain deviennent structurellement inaccessibles. Pour en profiter, faut faire un
Connexionbrew install dredozubov/tap/hazmat
puis
cd /tmp
hazmat init --bootstrap-agent claude
Et hop, 10 minutes plus tard votre agent tourne dans sa cage. (le premier snapshot est ultra loooong mais après c'est de l'incrémental donc ça ira plus vite)
L'isolation repose sur 3 couches indépendantes, un peu comme les sas d'un sous-marin. Il y a d'abord un utilisateur agent dédié (vos fichiers perso deviennent alors hors de portée, point). Ensuite, une politique seatbelt générée dynamiquement à chaque session qui consiste à ce que le kernel de macOS vérifie chaque accès fichier et refuse tout ce qui n'est pas explicitement autorisé pour cette session précise.
Et par-dessus, des règles pf firewall qui empêchent l'agent d'envoyer du trafic SMTP, IRC, FTP, Tor ou VPN. Comme ça, un agent qui tentera d'exfiltrer vos données par mail se retrouvera bloqué net au niveau du noyau.
Côté supply chain, Hazmat force npm ignore-scripts=true par défaut. Comme ça, par exemple
le fameux hack axios
qui livrait un RAT via un hook postinstall en 2 secondes chrono n'est plus possible ici ! Y'a aussi une blocklist DNS qui redirige les services de tunnel connus (ngrok, pastebin, webhook.site) vers localhost. Contre un domaine perso fraîchement enregistré, ça passera mais les vecteurs d'exfiltration classiques, ça devrait résister.
Hazmat utilise TLA+, le même formalisme que les ingés d'Amazon utilisent pour vérifier les protocoles de DynamoDB. Genre, l'installation des règles sudoers AVANT le firewall (évidemment, ça crée une fenêtre de vulnérabilité), les restrictions qui bloquaient les lectures mais pas les écritures, ou encore une restauration cloud sans vérifier qu'un snapshot existait...etc, c'est le genre de truc qu'aucun test unitaire n'aurait chopé.
Ça supporte Claude Code (y compris le fameux --dangerously-skip-permissions), OpenCode et Codex. Attention par contre, si votre projet utilise Docker, y'a deux cas de figure : soit le daemon Docker est privé au projet et Hazmat le route automatiquement vers un mode Docker Sandbox, soit c'est un daemon partagé et là faudra passer --docker=none explicitement.
La commande hazmat explain montre aussi exactement ce que le sandbox autorise avant de lancer quoi que ce soit... et ça, c'est pas du luxe quand on sait pas trop ce qu'on va lâcher dans la nature. Le hazmat diff qui affiche les changements faits par l'agent depuis le dernier snapshot Kopia, c'est plutôt bien pensé. Et si l'agent casse un truc ? hazmat restore et c'est reparti, comme un Ctrl+Z géant pour tout votre projet.
Si vous avez déjà configuré votre Mac avec teaBASE pour sécuriser votre env de dev, c'est un complément logique.
Côté limites, faut être honnête, Seatbelt n'est pas documenté par Apple depuis macOS 10.5 et c'est du defense-in-depth, et pas une vraie frontière de VM. Quand à l'exfiltration HTTPS elle n'est pas bloquée car l'agent peut toujours curl n'importe quoi sur le port 443. C'est logique mais bon, c'est pas étanche à 100% quoi...
Et surtout c'est macOS only pour l'instant (le port Linux est en chantier), et bien sûr le /tmp partagé entre les comptes locaux reste un vecteur potentiel. J'aurais aimé aussi que le réseau soit coupé par défaut sauf whitelist, mais bon, faudra attendre. Après entre ça et laisser Claude Code en roue libre avec les pleins pouvoirs sur votre machine... y'a pas photo.
Bref, pour du vibe coding sur Mac, c'est le minimum vital.
OpenClaw is already running inside enterprises, often unnoticed. Learn why banning it fails and how CISOs must shift to data-centric AI governance.
The post OpenClaw, the Fastest-Adopted Software Ever, Is Also a Security Blind Spot appeared first on TechRepublic.
A fake fitness tracker fooled AI chatbots in China, exposing risks of AI poisoning and prompting calls for regulation.
The post China Probe: How a Fake Fitness Tracker Became an AI ‘Top Pick’ appeared first on TechRepublic.
Keonne Rodriguez, le développeur derrière Samourai Wallet, vient de se prendre 5 ans de taule pour avoir créé un portefeuille Bitcoin qui protégeait un peu trop bien l'anonymat de ses utilisateurs.
Samourai Wallet, c'était un portefeuille Bitcoin open source lancé en 2015 avec comme promesse de permettre aux gens d'utiliser leurs bitcoins sans que le monde entier puisse tracer chacune de leurs transactions. Le truc utilisait une technique appelée le "coin mixing" qui, pour faire simple, mélange les transactions de plusieurs personnes pour brouiller les pistes et rendre le traçage quasi impossible.
Grave erreur car ça les États n'aiment pas !
Et voilà pourquoi en avril 2024, le FBI a débarqué chez Rodriguez à 6h du matin, arme au poing, devant sa femme et ses enfants. L'accusation ? Blanchiment d'argent et exploitation d'une entreprise de transmission monétaire non autorisée. Le Département de la Justice américain affirme que plus de 237 millions de dollars de "produits criminels" seraient passés par Samourai, provenant selon eux du trafic de drogue, de marchés du darknet, de fraudes diverses et même d'un site pédopornographique.
Rodriguez maintient qu'il a juste créé un logiciel, point. Dans l'interview ci-dessous accordée à Reason Magazine juste avant son incarcération ce 19 décembre, il explique qu'il n'a jamais eu accès aux fonds des utilisateurs et qu'il ne savait pas qui utilisait son outil ni pourquoi.
Sauf que le gouvernement américain voit pas les choses comme ça et pour eux, proposer un service qui rend les transactions Bitcoin intraçables, c'est forcément faciliter le crime. Peu importe que la plupart des gens voulaient juste protéger leur vie financière des regards indiscrets. Comme le dit Rodriguez : "Si vous dites que la vie privée financière est un crime, alors vous dites que la liberté est un crime."
Aussi, le dossier d'accusation contient des éléments qui vont au-delà du simple "j'ai codé un logiciel". D'abord, Samourai n'était pas qu'un bout de code open source tournant en local puisque l'équipe opérait des serveurs centralisés indispensables au fonctionnement du mixing et collectait des frais sur chaque transaction (environ 4,5 millions de dollars au total). Ensuite, certaines communications publiques des fondateurs étaient... comment dire... pas très smart. Par exemple, en juin 2022, après l'invasion de l'Ukraine et les sanctions internationales, le compte Twitter de Samourai (géré par Rodriguez) postait un message accueillant explicitement les oligarques russes cherchant à contourner les sanctions. Et quand Europol a identifié Samourai comme une "top threat", Hill a répondu de manière provocante en mode "venez nous chercher". Des documents marketing internes destinés aux investisseurs ciblaient même explicitement les "Dark/Grey Market participants".
Bref, la défense "j'ai juste écrit du code innocent" est un peu plus compliquée à tenir quand on tweete qu'on accueille les fraudeurs fiscaux russes à bras ouverts.
Ce qui pose quand même question, c'est le précédent. Où trace-t-on la ligne entre un outil de privacy légitime et une infrastructure criminelle ? Rodriguez n'a pas volé d'argent directement, mais il a opéré un service qui facilitait sciemment le blanchiment, tout en étant rémunéré pour ça. C'est différent de Tor ou Signal, dont les créateurs ne collectent pas de frais sur chaque utilisation et ne font pas de com' pour attirer les criminels.
Son avocat a bien évidemment tenté de négocier une peine plus légère en invoquant l'absence d'antécédents criminels et le fait qu'il soit père de famille, mais le juge a choisi d'appliquer le maximum prévu. William Hill, le cofondateur et CTO de Samourai, a lui aussi écopé de 4 ans pour les mêmes charges.
Après y'a quand même une lueur d'espoir pour lui car Trump a récemment laissé entendre qu'il pourrait examiner le dossier pour une éventuelle grâce présidentielle. Rodriguez reste optimiste là-dessus, même s'il sait que ça peut prendre du temps...
Bref, l'affaire Samourai Wallet n'est probablement pas le meilleur étendard pour défendre la vie privée financière car même si les outils de privacy sont légitimes et nécessaires, quand on opère une infrastructure centralisée, qu'on collecte des millions en frais, et qu'on fait ouvertement de la pub pour attirer les criminels... faut pas s'étonner que ça finisse mal...
Article mis à jour le 21 décembre pour y intégrer le dossier d'accusation à côté duquel j'étais totalement passé. Toutes mes excuses pour ça et merci au gentil lecteur qui m'a averti par mail de son existence.
Si vous êtes du genre à râler contre les restrictions débiles de Windows 11 tout en bidouillant vous-même vos clés USB d’installation, Rufus 4.8 vient de sortir avec de quoi vous faire gagner un temps précieux. Pete Batard a encore frappé et cette fois, c’est la vitesse de traitement des ISO Windows qui prend un coup de boost grâce à l’intégration de wimlib.
Pour ceux qui vivent dans une grotte depuis 2011, Rufus c’est LE couteau suisse pour créer des clés USB bootables. C’est un outil gratuit et open-source qui sauve la mise quand vous devez installer Windows 11 sur un PC qui n’a pas de puce TPM 2.0 ou de Secure Boot activé. Et pendant que Microsoft impose de plus en plus de restrictions à la con, Pete Batard, lui continue tranquillement de développer son petit utilitaire.
