108 Go par heure. C'est ce que Windrose, le RPG de pirates en Early Access publié par Kraken Express le 14 avril dernier, écrivait silencieusement sur les SSD des joueurs, sans aucune mention dans les notes de mise à jour. Avec déjà 1,5 million de copies vendues et un pic à 69 000 joueurs simultanés, ça commence à faire un sacré paquet de SSD potentiellement bien fatigués.

Le bug a été repéré par Pixel Operative et confirmé par TechSpot puis Tom's Hardware. En jeu, des pics d'écriture grimpaient jusqu'à 30 Mo/s en continu, même quand le personnage se baladait tranquillement dans son camp de base sans rien faire de spécial.

Sur un SSD grand public type TLC avec une endurance affichée autour de 600 TBW, on parle de plusieurs jours de jeu intensif suffisant pour grignoter une bonne part de la durée de vie nominale.

Le problème vient en fait de la façon dont Kraken Express gère la sauvegarde des progressions. Le studio a choisi RocksDB, une base de données clé-valeur très utilisée côté serveur, et en a empilé trois instances en parallèle, chacune avec un cache mémoire ridiculement petit. Du coup, dès que le cache déborde, tout est balancé sur le disque en boucle permanente, sans aucune logique d'optimisation. Pas terrible.

Kraken Express a réagi vite avec le patch 0.10.0.4 déployé le 30 avril. Selon Pixel Operative qui a refait ses mesures après mise à jour, l'utilisation disque baisse de 60 à 75%. C'est nettement mieux, mais ça reste très loin des standards d'un jeu propre. Et surtout, ça ne change strictement rien pour les joueurs qui ont écrit plusieurs téraoctets de données pendant les deux semaines précédant le correctif.

Côté communication, le studio a reconnu le souci mais sans trop s'étendre sur les conséquences possibles pour le matériel. Pas un mot sur une éventuelle aide aux joueurs qui auraient des SSD très entamés. Et impossible de savoir combien de joueurs sont concernés, vu que l'usure d'un SSD ne se voit qu'au moment où il commence à lâcher.

Bref, un Early Access ça reste un Early Access, mais bousiller le hardware des joueurs sans même les prévenir sans les prévenir, c'est pas génial.

Source : Techspot

Un maker a transformé une réplique grandeur nature de C-3PO en assistant vocal interactif, et le résultat est franchement convaincant. Sa version du droïde papote, répond à vos questions, et tient même une conversation, le tout sans dépendre du moindre cloud une fois en local.

Le truc tient sur un Raspberry Pi 5 planqué dans la coque dorée du droïde. Un micro capte ce que vous racontez, un moteur de speech-to-text le transcrit, et un LLM local s'occupe de comprendre votre question pour formuler une réponse. Jusque là, rien de fou c'est même devenu même assez classique.

Japan Airlines va confier la manutention des bagages à des robots humanoïdes sur les pistes de l'aéroport Haneda. Le test démarre en mai 2026, dure deux ans, et implique pour commencer deux machines posées au milieu des bagagistes humains.

L'opération est pilotée par JAL Ground Service avec GMO AI & Robotics. Les robots viennent de Chine : un Unitree G1 d'environ 1m30 et un Walker E d'UBTECH.

Le programme est découpé en plusieurs étapes (cartographie du site, simulations en environnement reconstitué, puis tarmac réel), avec à terme l'idée de leur faire transporter les containers de fret, manipuler les leviers de verrouillage et même nettoyer les cabines une fois les avions vides. L'autonomie annoncée est de 2 à 3 heures, avant qu'il ne faille recharger la machine.

Fin de partie pour la riposte graduée. Le Conseil d'État a déclaré illégale, le 30 avril 2026, la phase la plus dure du dispositif anti-piratage Arcom, héritier de la Hadopi.

La décision s'applique immédiatement et décapite le système après 17 ans de chasse aux téléchargeurs sur les réseaux peer-to-peer. La Quadrature du Net, qui pilote le contentieux depuis 2019, a publié dans la foulée un bilan intitulé "Hadopi (2009-2026)".

Concrètement, deux failles ont été retenues. La juridiction a constaté que le décret de 2010 n'oblige nulle part les opérateurs à stocker les adresses IP dans "un compartiment totalement isolé", comme l'avait pourtant exigé la Cour de justice de l'Union européenne en avril 2024.

Et surtout, la troisième étape de la riposte graduée, celle qui transmet votre dossier au procureur après deux avertissements ignorés, ne prévoyait aucune autorisation judiciaire préalable. Du coup, les sanctions pénales, jusqu'à 1 500 euros d'amende et 3 000 euros en cas de récidive, ne peuvent plus être déclenchées.

Les deux premiers étages tiennent quand même encore debout. Si vous récupérez un torrent illégal demain, l'Arcom peut toujours vous envoyer un email d'avertissement, puis une lettre recommandée. Mais l'arme dissuasive, le passage devant le juge, exige désormais qu'un magistrat valide d'abord l'identification de l'abonné, et que les données aient été stockées dans le respect du droit européen.

Côté Arcom, l'institution prépare déjà une bascule sur le blocage de sites pirates et le déréférencement, c'est-à-dire la pression sur les intermédiaires plutôt que sur vous, particuliers.

Pour rappel, Hadopi a été lancée en 2009 sous le gouvernement Sarkozy, puis fusionnée avec le CSA en 2021 pour devenir l'Arcom. Le bilan ? Environ 13 millions d'avertissements envoyés et seulement 500 jugements rendus en 17 ans.

Soit un taux de conversion qui ferait glousser n'importe quel directeur commercial. La Quadrature, qui a mené le contentieux avec FDN et Franciliens.net, parle aujourd'hui d'une "victoire" pour les droits fondamentaux et appelle à ne pas ressusciter le dispositif sous une autre forme.

La Quadrature rappelle que le dispositif a surtout servi à criminaliser le partage culturel non-marchand entre internautes, sans jamais améliorer la rémunération des artistes ni endiguer le piratage à grande échelle.

Le streaming illégal, les plateformes IPTV, les sites de direct download : tout ça a continué à prospérer pendant que l'Autorité s'acharnait sur les utilisateurs de torrents. À côté, l'industrie culturelle a fini par s'adapter avec Spotify, Deezer ou Netflix, sans qu'on ait eu besoin de surveiller les abonnés de manière excessive.

Bref, on aura mis 17 ans à constater que ficher massivement les internautes sans contrôle judiciaire, c'est illégal, mais on s'en est toujours douté.

Source : La Quadrature du Net

45 ans après sa sortie, le code source du tout premier 86-DOS vient d'atterrir sur GitHub . Microsoft a profité de cet anniversaire pour publier les listings d'assembleur originaux, accompagnés de plusieurs versions de PC-DOS 1.00 et de MS-DOS 1.25, sous licence MIT. Tout ceci est dans le dépôt DOS-History/Paterson-Listings, et oui, le tout est compilable.

Ces listings, c'est Tim Paterson en personne qui les avait conservés dans ses tiroirs depuis 1980. À cette époque, il bossait chez Seattle Computer Products, une boîte de matos qui faisait des cartes pour processeurs Intel 8086.

Il avait écrit en quelques mois un OS rudimentaire baptisé 86-DOS pour faire tourner les machines de SCP. Microsoft a fini par racheter le code à SCP pour 75 000 dollars, l'a légèrement retravaillé, et l'a refilé à IBM sous le nom PC-DOS pour équiper le tout premier IBM PC. Ce code-là est le grand-père de Windows.

On parle ici de dix paquets de listings papier (le bon vieux papier à bandes vertes), dont huit ont déjà été transcrits par Yufeng Gao et Rich Cini, deux passionnés de préservation. À l'intérieur : le noyau de 86-DOS 1.00, plusieurs snapshots de développement de PC-DOS 1.00, et des utilitaires comme CHKDSK.

Plus intéressant encore, les listings contiennent les annotations manuscrites de Paterson lui-même, des notes en marge qui montrent les hésitations et les corrections d'un ingénieur en plein travail.

Le code est prêt à être compilé avec l'assembleur SCP d'origine, ce qui veut dire qu'on peut générer des binaires fonctionnels et les faire tourner dans un émulateur comme par exemple PCem ou 86Box. C'est rare en archéologie logicielle d'avoir des snapshots aussi complets, et c'est encore plus rare quand l'auteur original est toujours là pour répondre aux questions. Les originaux papier vont d'ailleurs rejoindre l'Interim Computer Museum, donnés par Paterson lui-même.

Ce n'est pas la première fois que Microsoft ouvre du code un peu ancien. En 2018, ils avaient déjà open-sourcé MS-DOS 1.25 et 2.11. En 2024, c'était MS-DOS 4.0. Mais cette fois on remonte carrément à la racine, à la version SCP avant rachat, avec les fragments de l'évolution vers PC-DOS. Du coup, pour les nostalgiques et les chercheurs en histoire de l'informatique, c'était la pièce manquante.

Petite cerise sur le gâteau : les scans bruts des listings papier sont aussi sur Archive.org, donc même la version "préhistorique" est consultable. Et si vous avez envie de contribuer à la transcription des deux paquets restants, ce projet est ouvert.

Bref, le grand-père de Windows est désormais lisible ligne par ligne, annotations comprises. Pour les fans d'archéologie informatique, c'est carrément chouette.

Source : Hackaday

Si vous avez plusieurs Raspberry Pi qui traînent chez vous, vous connaissez la galère du DHCP. Le routeur leur balance des IP différentes au gré des redémarrages, et impossible de savoir laquelle correspond à votre Pi-hole, votre Home Assistant ou votre média center sans aller fouiller dans l'interface admin du box.

Un développeur du nom de Philipp a sorti une appli Android qui résout ça en repérant automatiquement tous les Pi présents sur le LAN.

L'outil utilise deux méthodes de détection complémentaires. D'abord le MAC OUI, c'est-à-dire les premiers octets de l'adresse MAC qui identifient le constructeur du matériel. Tous les Raspberry Pi partagent une plage d'OUI réservée à la fondation, donc on peut les filtrer même au milieu d'une trentaine d'appareils connectés sur un même réseau.

Ensuite le mDNS, le protocole de découverte multicast qui permet à un Pi de répondre à raspberrypi.local même sans configuration serveur particulière.

L'appli n'est pas qu'un scanner. Elle embarque aussi les pinouts GPIO pour tous les modèles, du Pi 1 au Pi 5 en passant par le Zero et le Pico. Et quelques calculatrices électroniques pour les résistances, la loi d'Ohm et les diviseurs de tension. Du coup ça remplace les marque-pages que vous gardiez sur pinout.xyz et autres sites de référence quand vous bidouillez sur breadboard.

Le code est open source, dispo sur GitHub. Pas de pub. Suffisamment rare pour s'en réjouir, quand on voit les dizaines de scanners réseau sur le Play Store qui vous balancent une bannière toutes les trois secondes ou exigent une autorisation d'accès à votre carnet de contacts pour scanner un sous-réseau privé.

Philipp a clairement développé ça pour son usage personnel avant de le mettre à disposition, et ça se sent dans l'absence de fioritures.

À noter qu'il faut être sur le même sous-réseau Wi-Fi que les Pi pour que le scan fonctionne. Si vous avez segmenté votre réseau IoT, ce qui reste une bonne pratique côté sécurité, il faudra autoriser le multicast entre les VLAN ou faire le scan depuis un appareil branché côté domotique. Sinon le mDNS ne traverse pas et vous ne verrez que les Pi du segment courant.

L'intérêt va au-delà du simple gain de temps. Sur un parc Pi un peu costaud, savoir d'un coup d'oeil lesquels sont actifs permet de repérer rapidement un noeud qui a redémarré sans crier gare ou un conteneur tombé. Et pour ceux qui font du déploiement en série, c'est plus rapide que de scripter un nmap sur tout le /24.

Dans tous les cas c'est cool, un petit utilitaire qui résout un vrai problème quotidien et qui mérite sa place dans la boîte à outils de tout bidouilleur Pi. C'est par ici si ça vous branche .

Source : Hackaday

199 $ pour passer vos consoles rétro en HDMI 1080p sans bouillie de pixels et sans latence visible ? C'est ce que promet le Morph 2K, le nouveau scaler analogique-numérique de PixelFX. Pré-commandes le 1er juin, livraisons huit à dix semaines plus tard.

L'idée est de prendre n'importe quel signal analogique des consoles rétro (composite, S-Video, SCART, component) et de le balancer en 1080p sur HDMI moderne, avec une couleur 4:4:4 propre et une sortie pouvant grimper à 60 Hz en VRR.

L'appareil est même pensé pour scaler les sources les plus crades en 240p sans empâter les pixels, ce qui est le grand intérêt de ce genre de boîtier face aux convertisseurs cheap qu'on trouve à 30 € sur AliExpress.

Côté connectique, tout y est. Composite, S-Video, SCART européen, component (les fameux Y-Pb-Pr) : pas besoin de racheter trois adaptateurs séparés. Seul le VGA demande un adaptateur supplémentaire vendu à part, ce qui exclut certaines Dreamcast modées ou les vieux PC rétro. Sinon vous avez la quasi-totalité des sorties analogiques couvertes nativement.

Le Morph 2K embarque aussi un mode simulation CRT optionnel pour ceux qui veulent retrouver les scanlines, le grain et le flou caractéristique des télés à tubes. Le boîtier est WiFi, mais pas pour le streaming des parties, simplement pour les mises à jour firmware et la configuration via une interface web depuis un navigateur. Pratique quand on veut bidouiller les profils par console sans se taper un menu OSD à la télécommande.

Par rapport au Morph 4K vendu autour de 400 $, on perd la sortie 4K (donc pas de pixel-double sur écran UHD), mais 1080p sur un écran moderne, ça reste largement assez pour profiter d'une N64 ou d'une Saturn dans des conditions correctes. La cible est claire : les retrogamers qui veulent de la qualité d'image sans passer aux 400 ou 600 $ d'un OSSC Pro ou d'un RetroTink 4K.

Les pré-commandes ouvrent le 1er juin et les premiers exemplaires devraient partir 8 à 10 semaines plus tard, soit fin août si tout se passe bien côté production. Aucune disponibilité officielle confirmée pour l'Europe au moment où j'écris ces lignes, mais PixelFX livre généralement à l'international via leurs revendeurs habituels.

À ce tarif, le Morph 2K devient intéressant face aux solutions FPGA hardcore qui demandent à la fois plus de budget et plus de bidouille pour être configurées correctement. Plus d'infos par ici .

Source : Time Extension

Le BME280 et le DHT22, deux capteurs ultra-populaires en domotique, ont une faiblesse cachée dans leur spécifications : ils ne supportent pas la condensation. Les gens de Mellow Labs ont creusé la question sur Hackaday après avoir flingué plusieurs sondes dans une salle de bain, et le coupable est marqué noir sur blanc dans les caractéristiques du produit, « non-condensing humidity »…

Le souci tient en fait à la physique du truc. Quand l'humidité relative dépasse les 100%, l'air saturé en vapeur d'eau rencontre une surface plus froide, et l'eau se condense en gouttelettes.

Environ 180 tonnes d'objets fabriqués par l'homme sont déjà posés sur la Lune, dont une grosse partie datant des missions Apollo. 

e site Hackaday vient de publier un recensement assez complet, qui rappelle que l'exploration lunaire n'a pas laissé que des traces de pas dans le régolithe.

Côté matériel technique, il y a les étages de descente des modules lunaires, quelques rovers, des instruments scientifiques et surtout sept réflecteurs optiques encore utilisés aujourd'hui par les astronomes pour mesurer précisément la distance Terre-Lune au laser, avec une résolution de quelques millimètres.

C'est la partie noble de l'inventaire. À côté, il y a tout le reste : des gants, des surchaussures, des caméras abandonnées, des chariots à outils, des morceaux de mission laissés sur place après usage.

Et puis il y a les déchets organiques. Les missions Apollo ont laissé 96 sacs de déchets humains sur la surface, urine incluse, pour économiser du poids au retour.

Oui, une grosse partie de nos premiers voyages lunaires a consisté à déposer nos excréments sur un autre corps céleste, en même temps que le drapeau. Bienvenue dans l'histoire.

Plus touchant, on trouve aussi des objets personnels déposés par les astronautes. Un patch de la mission Apollo 1, en mémoire des trois astronautes morts dans l'incendie de la capsule pendant l'entraînement, a été laissé sur place.

Charles Duke, sur Apollo 16, a posé une photo encadrée de sa famille au sol lunaire. Et quelque part, les cendres du géologue Gene Shoemaker reposent dans un cratère, ce qui en fait le seul humain enterré sur la Lune à ce jour.

Il y a aussi des curiosités plus bizarres. Une plume de faucon apportée par David Scott sur Apollo 15 pour tester en direct la loi de la chute libre de Galilée devant les caméras. Un disque de silicium gravé avec des messages de bonne volonté venus de 73 pays, largué par Apollo 11.

Une tuile en céramique sur laquelle des artistes dont Andy Warhol auraient gravé leurs œuvres, glissée en douce sur un train d'atterrissage d'Apollo 12.

Avec Artemis et toutes les missions chinoises, indiennes, émiraties ou luxembourgeoises qui s'annoncent, le rythme de dépôt va grimper. Il y a de plus en plus de gens qui pensent qu'il faudrait un jour classer certains de ces sites comme patrimoine, avant qu'une autre mission ne roule dessus par inadvertance.

Bref, on raconte toujours l'exploration lunaire en images héroïques, et c'est quand même plus parlant de se rappeler que le premier héritage humain là-haut, c'est 96 sacs d'excréments.

Source : Hackaday

Un logiciel malveillant destiné à effacer définitivement les données de postes informatiques vient de faire surface dans le secteur énergétique vénézuélien.

La bête a été baptisée "Lotus" par les chercheurs de Kaspersky qui l'ont analysé en premier, il a été mise en route en décembre 2025 depuis un ordinateur vénézuélien, et sa cible principale semble être PDVSA, la compagnie pétrolière d'État.

Côté technique, Lotus ne fait pas dans la dentelle. Deux scripts batch préparatoires, OhSyncNow.bat et notesreg.bat, désactivent toutes les défenses, coupent les comptes utilisateurs et ferment les interfaces réseau, histoire de bien tout bloquer.

Ensuite, le binaire principal passe en mode destruction avec diskpart, robocopy et fsutil pour manipuler le système de fichiers, puis descend au niveau IOCTL pour écraser directement des secteurs physiques du disque. Les points de restauration sont supprimés, le journal USN est effacé. Aucune récupération possible.

LKaspersky ne pointe personne, et aucun élément technique ne désigne un État ou un groupe criminel en particulier. Le timing est quand même troublant : fin 2025 et début 2026, le Venezuela a traversé une crise politique majeure avec la capture de l'ancien président Nicolás Maduro le 3 janvier, et les tensions toujours fortes autour des infrastructures énergétiques. Coïncidence ou coordination, on ne saura probablement pas avant longtemps.

En pratique, un wiper qui cible PDVSA, ça rappelle immédiatement les attaques contre les infrastructures critiques qu'on a vues en Ukraine avec Stryker ou contre des clusters Kubernetes avec la variante TeamPCP.

L'objectif n'est pas le chantage ni le vol, c'est la destruction pure. Les opérateurs ne cherchent pas à exfiltrer quelque chose, ils veulent rendre l'infrastructure inutilisable le plus vite possible, pour déstabiliser ou punir.

Un réseau d'alimentation électrique ou de distribution de carburant paralysé quelques jours, ça a des conséquences directes sur la vie quotidienne et sur la stabilité politique d'un régime.

Ce qui inquiète, c'est aussi la qualité du code. Lotus n'est pas un script amateur collé à la va-vite : il enchaîne plusieurs étapes de sabotage méthodique, de la désactivation des défenses à la destruction bas niveau du disque.

Pour un pays qui n'a déjà pas la réputation d'avoir la cybersécurité la plus pointue du continent, encaisser ce genre d'outil, ça fait mal. Et la probabilité que d'autres échantillons du même auteur circulent déjà ailleurs est loin d'être nulle.

Bref, un wiper bien fichu sur une compagnie pétrolière d'État dans un pays en crise, c'est rarement l'œuvre d'un adolescent dans son garage. Affaire à suivre donc.

Source : Bleeping Computer

Apple a publié hier une mise à jour iOS qui ferme une faille utilisée par les forces de l'ordre américaines pour récupérer des messages supprimés dans des applications comme Signal.

La faille concernait la base de données des notifications : quand vous supprimiez un message dans l'appli, la version cachée dans le cache des notifications pouvait rester accessible jusqu'à un mois.

Concrètement, un message Signal effacé côté appli restait lisible par quiconque avait la main sur le téléphone et savait fouiller au bon endroit.

Le FBI, selon les documents repérés par 404 Media début avril, a utilisé cette faiblesse sur plusieurs affaires pour remonter des conversations pourtant explicitement effacées par les utilisateurs, y compris celles utilisant la fonction messages éphémères.

Apple a reconnu le problème, mais si ça a été fait avec les pincettes habituelle, avec une phrase du genre... "les notifications marquées pour suppression pouvaient être conservées sur l'appareil de manière inattendue", ce qui ne veut pas dire grand chose, ou au contraire, tout dire...

Dit plus simplement, il y avait un écart entre ce que l'utilisateur voyait disparaître et ce qui restait réellement sur le disque. Le patch a été rétroporté sur les anciennes versions d'iOS 18, ce qui suggère que la faille existait depuis un bon moment et a probablement été exploitée dans des affaires que l'on ne connaîtra jamais.

Meredith Whittaker, présidente de Signal a rappelé publiquement que les notifications pour des messages effacés ne devraient jamais rester dans la base de notifications d'un OS. C'est une évidence technique. Sauf que dans la pratique, la chaîne cache des notifications plus indexation iOS laisse des traces que les outils forensiques comme Cellebrite ou GrayKey savent exploiter depuis des années.

Le problème dépasse Signal. Toute application qui envoie une notification contenant le texte d'un message entier sur iOS pouvait voir ses contenus persistés dans le cache, même après un effacement explicite. Du coup, pour les journalistes, les avocats, les activistes ou simplement les gens qui tiennent à leur vie privée, mettre à jour le plus vite possible n'est pas une option mais une priorité.

Bref, quand on parle de messagerie chiffrée, la vraie surface d'attaque n'est plus le protocole mais tout ce que l'OS fait autour dans votre dos.

Source : The Hacker News

Depuis la version 2.91.0 du CLI GitHub publiée mardi, chaque commande que vous tapez dans gh envoie des données de télémétrie vers GitHub par défaut. L'activation est silencieuse, sans message au premier lancement, sans consentement explicite, et il faut fouiller dans la doc pour tomber sur la page dédiée au sujet.

GitHub décrit la collecte comme pseudonyme côté client. Concrètement, le payload embarque le nom de la commande lancée, un identifiant d'invocation, un identifiant d'appareil, l'OS, l'architecture, l'agent et quelques drapeaux.

L'entreprise précise que le contenu exact peut varier d'un appel à l'autre. La justification officielle : les équipes produit ont besoin de voir comment le CLI est utilisé, avec la montée en puissance des agents IA qui le pilotent de plus en plus souvent en arrière-plan.

Côté sortie, il y a trois moyens de couper la télémétrie. Vous pouvez définir la variable d'environnement GH_TELEMETRY à false, ou DO_NOT_TRACK à true, ou lancer gh config set telemetry disabled. Simple en apparence.

Sauf que rien de tout ça n'est signalé à l'installation, et qu'un utilisateur qui n'est pas tombé sur le billet de Brandon Vigliarolo dans The Register ne saura probablement pas que c'est activé sur sa machine.

Le terme pseudonyme mérite aussi qu'on le regarde de près. Pseudonyme ne veut pas dire anonyme : il y a un identifiant d'appareil stable, il y a un identifiant d'invocation, et GitHub connaît déjà votre compte si vous êtes authentifié avec gh auth login.

Du coup, le recoupement entre votre activité CLI et votre identité GitHub n'a rien de théorique, même si GitHub ne promet pas de le faire.

En pratique, la télémétrie des outils de dev n'est pas une nouveauté. VS Code le fait depuis des années, npm aussi, et la plupart des éditeurs jouent le même jeu. Ce qui coince ici, c'est le choix de l'opt-out plutôt que de l'opt-in, et l'absence d'annonce claire sur le changelog principal.

Les utilisateurs reprochent surtout à GitHub d'avoir glissé l'info dans une page de doc au lieu d'un billet de blog dédié. Pour un outil qu'utilisent des gens très à cheval sur leur vie privée, c'est un drôle de calcul.

Bref, un outil CLI qui s'active en mode collecte par défaut sans prévenir, ça pique. Heureusement une variable d'environnement suffit à couper. Mais il faut savoir qu'elle existe.

Source : The Register

360 Digital Security, la filiale cybersécurité du géant chinois Qihoo 360, revendique environ mille vulnérabilités inédites déterrées par un agent IA maison baptisé Vulnerability Discovery Agent. 

L'annonce, faite le 22 avril, cite nommément Microsoft Office et le framework open source OpenClaw parmi les logiciels touchés. Le chiffre est donné sur un seul cycle de campagne.

Mille failles non documentées en un seul cycle de recherche, ça fait un peu tourner la tête. Ce type d'agent fonctionne en boucle pour scanner massivement les bases de code, trier ce qui est potentiellement exploitable, et valider les candidats avant publication interne.

Plus tôt dans l'année, 360 avait déjà présenté un autre outil dédié à la construction automatisée de chaînes d'exploitation. L'un déterre les failles, l'autre fabrique le code qui les utilise.

Mis bout à bout, ça donne une ligne de production offensive entièrement pilotée par IA, que l'équipe 360 décrit comme une réponse directe au projet Mythos d'Anthropic, qui fait le même pari côté occidental mais en mode défense.

Le vrai souci, c'est le devenir de ces 1 000 failles. Si toutes ont été remontées aux éditeurs concernés, tant mieux. 360 affirme d'ailleurs avoir utilisé les canaux de divulgation responsables, mais sans publier de calendrier de patch.

Sauf que l'entreprise est connue pour ses liens étroits avec le ministère chinois de la Sécurité d'État, et plusieurs de ses chercheurs ont déjà été soupçonnés par le passé de garder pour l'État ce qu'ils trouvaient. Du coup, l'annonce met les équipes de sécurité occidentales quelque peu en alerte.

Microsoft, qui patche Office tous les mois pour des failles trouvées à la main, va probablement devoir accélérer le rythme si ce genre de scan industriel se généralise. En pratique, la chasse aux vulnérabilités est en train de changer d'échelle.

On passe de quelques failles trouvées par un chercheur humain sur plusieurs semaines à un agent qui en déniche des centaines en quelques jours. Et la logique économique derrière est folle : un seul opérateur bien outillé peut désormais couvrir ce qu'il fallait avant à une équipe complète.

Bref, le mur est tombé côté IA offensive. Et les éditeurs qui patchent à la main ont un vrai problème de cadence face à un scan automatisé à cette échelle.

Source : Bloomberg

Les salariés de Meta devront bientôt installer un logiciel qui enregistre leurs frappes clavier, les mouvements de souris et des captures d'écran régulières sur leur poste de travail.

Le programme s'appelle Model Capability Initiative, et il doit alimenter les futurs modèles d'IA maison capables de faire du travail de bureau en autonomie. L'info a été révélée par The Register cette semaine.

Concrètement, l'outil surveille l'activité sur une liste d'applications professionnelles, dont Gmail, GChat, VCode et l'outil interne Metamate. Meta a justifié le dispositif en expliquant que ses modèles d'IA ne comprennent pas bien comment les humains utilisent un ordinateur.

Les données serviront à entraîner des agents capables de reproduire les micro-gestes que les modèles actuels galèrent à faire, comme sélectionner une option dans un menu déroulant ou enchaîner deux raccourcis clavier. Le directeur technique Andrew Bosworth a expliqué que la vision, c'est d'avoir des agents qui font le boulot pendant que les humains dirigent, relisent et corrigent les sorties.

Côté salariés, l'accueil est glacial. Un ingénieur cité par The Register résume la chose : il y a une différence entre savoir que votre travail est évalué et savoir que chaque frappe clavier peut nourrir un modèle commercial vendu à des clients externes.

L'analyste Ed Zitron, très critique sur l'IA, décrit l'ambiance interne chez Meta comme horrible et parle d'une culture de la paranoïa qui ne va pas s'arranger avec cette nouvelle couche de surveillance.

Le programme cible d'abord les employés basés aux États-Unis. En Europe, les règles sur le pistage des salariés sont beaucoup plus strictes, donc Meta évite de tester ce genre de dispositif sous les yeux de la CNIL irlandaise ou de son équivalent allemand.

Il y a aussi l'ironie évidente de la situation : Meta surveille les utilisateurs depuis quinze ans pour son ciblage publicitaire, et a collectionné les amendes RGPD au passage. Maintenant ce sont ses propres salariés qui passent sous le scanner.

En pratique, ce qui est demandé ressemble à ce que font déjà plusieurs boîtes qui entraînent des agents : il faut des jeux de données de démonstrations humaines sur des tâches réelles pour que l'IA apprenne. Sauf que voilà, Meta franchit un cap en allant chercher ces données dans l'outil quotidien de ses salariés.

Bref, chez Meta le clavier devient un jeu de données d'entraînement. Difficile d'imaginer que des ingénieurs un peu pointus acceptent ça longtemps sans râler, et on les comprend.

Source : The Register