Edit du 22/12/2025 : Bonne nouvelle ! Le développeur a finalement récupéré son compte. Un employé d'Apple Executive Relations basé à Singapour l'a contacté pour lui annoncer que tout était réglé. Il s'avère que la carte cadeau qu'il avait essayé d'utiliser avait déjà été "consommée" d'une manière ou d'une autre (probablement du tampering classique de carte cadeau), et son compte s'est retrouvé flaggé à cause de ça. Apple lui a conseillé de n'acheter des cartes cadeaux que directement chez eux et quand il a demandé si ça signifiait que leur chaîne d'approvisionnement (Blackhawk Network, InComm et autres revendeurs) était peu fiable, Apple a refusé de commenter. Comme quoi, même après 25 ans de fidélité, faut quand même gueuler un bon coup pour que ça bouge...

---

Vous vous souvenez de mes conseils sur les backups ? Ceux que je vous rabâche régulièrement depuis des années ? Hé bien voici une histoire qui va vous donner envie de les suivre une bonne fois pour toutes.

Dr Paris Buttfield-Addison, c'est un développeur Apple depuis 25 ans. Le mec a écrit plus de 20 bouquins sur Objective-C et Swift, il co-organise le plus ancien événement développeur Apple non-officiel... Bref, c'est pas un random qui a téléchargé une app météo une fois. C'est un évangéliste Apple depuis 30 ans.

Et bien du jour au lendemain, son compte Apple ID a été fermé. Sans explication. Sans recours. Sans rien.

L'élément déclencheur ? Il a essayé de racheter une carte cadeau Apple de 500 dollars pour payer son abonnement iCloud+ de 6 To. Le code a foiré, le vendeur lui a proposé un remplacement, et quelques temps après... boom, compte verrouillé.

Résultat : environ 30 000 dollars de matos Apple devenu inutilisable, des milliers de dollars de logiciels et médias achetés auxquels il n'a plus accès, plus d'iMessage, et surtout des téraoctets de photos de famille qu'il ne peut plus récupérer. 25 ans de souvenirs numériques, volatilisés.

Le support Apple ? Réponse standard : fermé pour "conformité avec les conditions". Pas d'explication. Zéro escalade possible. Et comme conseil : créer un nouveau compte. Sauf que ça pourrait aussi le faire bannir ce nouveau compte. Logique Apple...

Et le pompon ? On lui a également suggéré de se présenter physiquement au siège australien d'Apple. Comme si le mec allait prendre un billet d'avion pour aller plaider sa cause en personne. C'est difficilement compréhensible comme réponse venant d'une boîte qui vaut 3000 milliards de dollars.

Le truc, c'est que cette histoire peut arriver à n'importe qui. Que ce soit chez Apple, Google ou Microsoft, vous êtes à la merci d'un algorithme qui décide un beau matin que votre compte est suspect. Et bonne chance pour trouver un interlocuteur prêt à mouiller sa chemise pour vous. Spoiler : y'en a pas.

Moi-même j'ai eu tellement de problèmes de synchro avec iCloud au fil des années que j'ai perdu des fichiers. C'est de la merde, vraiment. Optez pour un truc mieux si vous le pouvez.

Du coup, comment éviter ça ? L'idéal c'est l'auto-hébergement si vous avez le temps et les compétences. Sinon, au minimum, faites des backups réguliers de vos données. Pour Apple Notes par exemple, y'a un outil qui s'appelle Exporter qui permet d'exporter toutes vos notes vers du Markdown ou du HTML. Comme ça le jour où Tim Cook décide que votre tronche lui revient pas, vous aurez au moins une copie de vos données quelque part.

Bref, ne faites jamais confiance à 100% à ces plateformes avec vos données les plus précieuses. Elles peuvent vous couper l'accès du jour au lendemain, et vous n'aurez aucun recours...

Source : hey.paris

Vous connaissez Anna's Archive , cette bibliothèque pirate qui sauvegarde tous les livres et articles scientifiques de l'humanité ? Hé bien ils viennent de s'attaquer à un nouveau chantier : sauvegarder Spotify (en tout cas le plus possible), c'est à dire des millions de morceaux + de la métadonnées, soit ~300 téraoctets de données !!

Anna's Archive se focalise normalement sur le texte (livres, et documents de recherche) parce que c'est ce qui a la plus haute densité d'information mais leur mission, c'est de préserver le savoir et la culture de l'humanité, et ça inclut donc aussi la musique. Et comme ils ont trouvé un moyen de scraper Spotify à grande échelle, ils se sont dit "Hey pourquoi pas ? On est des oufs".

Et ça donne la plus grande base de données de métadonnées musicales jamais rendue publique, avec 186 millions d'ISRCs uniques (ces codes qui identifient chaque enregistrement). Pour vous donner un ordre de grandeur, MusicBrainz n'en a que 5 millions. Niveau fichiers audio, ils ont aussi archivé environ 86 millions de morceaux, ce qui représente 99,6% des écoutes sur la plateforme (même si ça ne fait "que" 37% du catalogue total). Donc si vous écoutez un morceau au hasard sur Spotify, y'a 99,6% de chances qu'il soit dans l'archive.

Pour trier tout ça, ils ont utilisé la métrique "popularité" de Spotify qui va de 0 à 100. Ainsi, pour les morceaux avec une popularité supérieure à 0, ils ont récupéré quasiment tout en qualité originale (OGG Vorbis 160kbit/s) et pour les morceaux à popularité 0 (soit ~70% du catalogue, des trucs que personne n'écoute), ils ont réencodé en OGG Opus 75kbit/s pour gagner de la place… mais ils ne sont pas allés au bout de la longue traîne (trop de stockage pour trop peu de gain, et pas mal de contenu “bof” à popularité 0). Pour 99% des gens ça sonne pareil, même si je sais que les audiophiles vont me tuer dans les commentaires ^^.

En regardant les stats qu'ils ont produit à partir de ce qui a été scrappé, les 3 morceaux les plus populaires (Die With A Smile de Lady Gaga et Bruno Mars, BIRDS OF A FEATHER de Billie Eilish, et DtMF de Bad Bunny) ont été streamés plus de fois que les 20 à 100 millions de morceaux les moins populaires combinés. Bon, ils précisent aussi que la popularité est très dépendante du moment, donc ce top est un peu arbitraire mais ça montre à quel point la longue traîne est looooongue sur les plateformes de streaming...

Après le problème avec la préservation musicale actuelle (ce qu'on retrouve sur les sites de Torrent par exemple), c'est qu'elle se concentre uniquement sur les artistes populaires et la qualité maximale (FLAC lossless). Du coup, y'a plein de musique obscure qui ne survit que si une seule personne décide de la partager. Et ces fichiers sont souvent mal seedés. Et c'est pour ça que je trouve l'approche d'Anna's Archive plutôt pas mal car elle consiste à archiver tout ce qui existe (ou presque), même en qualité "suffisante", plutôt que de se concentrer sur un sous-ensemble en qualité parfaite.

Et comme vous vous en doutez, tout est distribué via des torrents, avec les métadonnées déjà disponibles (moins de 200 Go compressés) et les fichiers audio qui arrivent progressivement par ordre de popularité. Note la base s'arrête à juillet 2025, donc tout ce qui est sorti après peut ne pas être là (même s'il y a quelques exceptions).

Bref, c'est la première archive de préservation musicale vraiment ouverte, que n'importe qui peut mirrorer s'il a assez de stockage et voilà comment grâce à l'aide de tout le monde, le patrimoine musical de l'humanité sera protégé pour toujours des catastrophes naturelles, des guerres, des coupes budgétaires et autres désastres... Par contre, pas sûr que ça la protège de la boulimie des IA génératives.

Merci à Lilian pour l'info !

Source

Keonne Rodriguez, le développeur derrière Samourai Wallet, vient de se prendre 5 ans de taule pour avoir créé un portefeuille Bitcoin qui protégeait un peu trop bien l'anonymat de ses utilisateurs.

Samourai Wallet, c'était un portefeuille Bitcoin open source lancé en 2015 avec comme promesse de permettre aux gens d'utiliser leurs bitcoins sans que le monde entier puisse tracer chacune de leurs transactions. Le truc utilisait une technique appelée le "coin mixing" qui, pour faire simple, mélange les transactions de plusieurs personnes pour brouiller les pistes et rendre le traçage quasi impossible.

Grave erreur car ça les États n'aiment pas !

Et voilà pourquoi en avril 2024, le FBI a débarqué chez Rodriguez à 6h du matin, arme au poing, devant sa femme et ses enfants. L'accusation ? Blanchiment d'argent et exploitation d'une entreprise de transmission monétaire non autorisée. Le Département de la Justice américain affirme que plus de 237 millions de dollars de "produits criminels" seraient passés par Samourai, provenant selon eux du trafic de drogue, de marchés du darknet, de fraudes diverses et même d'un site pédopornographique.

Rodriguez maintient qu'il a juste créé un logiciel, point. Dans l'interview ci-dessous accordée à Reason Magazine juste avant son incarcération ce 19 décembre, il explique qu'il n'a jamais eu accès aux fonds des utilisateurs et qu'il ne savait pas qui utilisait son outil ni pourquoi.

Je sais pas vous, mais moi dès que j'ai un truc à écrire sur mon smartphone, je le dicte. Et que je sois sous Android ou soit iOS, je sais très bien que chaque mot que je prononce part directement sur les serveurs de Google ou Apple. Pourquoi j'ai trouvé FUTO Voice Input , intéressant parce que lui, garde tout sur votre téléphone...

C'est une appli Android qui utilise le modèle Whisper d'OpenAI pour faire de la reconnaissance vocale vraiment précise et ça tourne nickel sur un smartphone moderne. Trois tailles de modèle sont dispo : tiny, base, et small. La base suffira dans 90% des cas, mais vous pouvez basculer sur la small qui est un peu plus grosse, si vous avez un accent à couper au couteau ou si vous parlez dans le métro.

FUTO Voice Input supporte également 16 langues dont le français, l'anglais, l'allemand, l'espagnol, le japonais et plein d'autres et l'appli s'intègre directement comme clavier de saisie vocale Android, du coup elle fonctionne avec n'importe quelle application. Vous pouvez donc l'utiliser avec des claviers comme AnySoftKeyboard ou Unexpected Keyboard . Par contre, oubliez Gboard ou le clavier Samsung qui ont leur propre système verrouillé.

Le projet vient de FUTO, une organisation fondée par Eron Wolf (ex-investisseur de WhatsApp) et Louis Rossmann, le YouTubeur américain connu pour son combat pour le droit à la réparation, y bosse comme directeur de la com. Donc niveau éthique, je pense que c'est OK.

L'appli est dispo sur le Play Store, sur F-Droid, ou en APK direct d'environ 70 Mo. Y'a une version gratuite et une version payante sous forme de licence unique (pas d'abonnement, ouf) et le code source est ouvert et disponible sur GitLab.

Voilà, si vous en avez marre que vos paroles soient analysées par des serveurs à l'autre bout de la planète, FUTO Voice Input c'est une très bonne option !

Merci à PARADOXE_ pour l'info !

Vous voulez tester un service, télécharger un truc, ou vous inscrire sur un site que vous n'utiliserez probablement qu'une fois et là, une fois encore, on vous demande votre email. Alors vous pétez un câble, vous retournez votre bureau en hurlant, vous jetez votre tasse de café sur le visage de votre collègue, et vous essayez de vous suicidez en mettant frénétiquement votre langue dans la multiprise. Ne rigolez pas, ça arrive tous les jours !

Heureusement, voici une solution qui va vous permettre de contourner le problème. Ça s'appelle MephistoMail , et c'est un service d'email jetable, anonyme, et qui ne garde aucun log de vos activités. Vous allez sur le site, vous copiez l'adresse temporaire qui vous est attribuée, vous l'utilisez pour vous inscrire quelque part, et hop, les mails de confirmation arrivent dans votre inbox temporaire. Une fois que c'est fait, vous fermez l'onglet et tout disparaît.

Vous allez me dire, le concept n'est pas nouveau, y'a des dizaines de services de temp mail qui existent depuis des années. Mais MephistoMail se distingue par son approche "privacy first" assez radicale. Pas de tracking, pas de logs, pas de collecte de données et surtout l'inbox est vraiment volatile et peut être supprimée à tout moment par le système.

Du coup, y'a quelques limitations à connaître avant de vous lancer. Ce service est prévu principalement pour recevoir des emails, pas pour en envoyer. Certains sites ont également commencé à bloquer les domaines de temp mail connus, donc ça marchera pas partout. Et surtout, ne l'utilisez jamais pour des trucs sensibles comme votre banque ou des services critiques. Si vous perdez l'accès à l'inbox avant d'avoir récupéré votre lien de confirmation, c'est game over.

L'utilisation est par contre hyper simple et surtout y'a pas de compte à créer, pas de mot de passe à retenir, bref pas d'emmerdes.

Voilà, si vous en avez marre de donner votre vraie adresse mail à n'importe qui et de vous retrouver noyé sous les newsletters non désirées, MephistoMail fera bien le taf. Et en plus c'est gratuit !

-- Article en partenariat avec Incogni --

Si vous êtes comme moi, chaque fin d’année, vous faites peut-être le ménage dans vos mails, vos dossiers, parfois dans la vie pro. Mais le vrai bazar ne se trouve plus dans nos tiroirs : il est éparpillé dans des centaines de bases de données commerciales, de sites de recherche de personnes et de courtiers en données qui vendent notre profil en kit. Ces entreprises savent où vous habitez, ce que vous achetez, avec qui vous vivez, vos revenus probables, vos centres d’intérêt, parfois même votre état de santé supposé. Incogni s’attaque précisément à ce chantier invisible : faire supprimer, légalement et en continu, ces informations là où elles valent le plus pour les autres… et le moins pour vous.

Vos données se baladent partout (et vous ne les suivez plus)

Les « data brokers » vivent d’un modèle simple : collecter le maximum d’informations sur vous, les recouper puis les revendre à des publicitaires, assureurs, chasseurs de têtes, agrégateurs de profils, voire des acteurs beaucoup moins recommandables. Ils se nourrissent de formulaires, programmes de fidélité, applis, jeux « gratuits », cookies, traqueurs, fuites de sites, réseaux sociaux, etc. Une fois votre profil créé, il se duplique et se revend en boucle. Le résultat, ce sont des pubs ultra ciblées, des spams de plus en plus crédibles, une augmentation des risques d’usurpation d’identité, et la sensation désagréable d’être constamment suivi, même hors ligne. Bref c'est bien relou.

Le passage à 2026 est un moment idéal pour reprendre la main, parce que la tendance ne va pas s’inverser spontanément. Encore moins à l'époque de l'IA omniprésente. Plus on attend, plus votre « clone » numérique prend de la valeur (à chaque nouvelle information ajoutée) et plus il se multiplie. L’enjeu n’est pas de disparaître à 100% (ça c'est probablement mission impossible), mais de réduire la surface d’attaque : moins de données en circulation, moins de points d’entrée pour les arnaques, les hausses de tarifs ciblées, les fuites massives. Incogni propose d’industrialiser ce ménage, là où le faire à la main demanderait des centaines d’heures et une patience hors-norme.

Incogni : le service qui passe sa journée à dire « supprimez-moi »

L’idée d’Incogni est brutale dans le bon sens du terme : plutôt que de vous fournir des conseils abstraits, le service va directement chercher vos données chez plus de 420 courtiers et sites spécialisés, puis leur envoie des demandes de suppression en s’appuyant sur les lois en vigueur (RGPD en Europe, CCPA en Californie, PIPEDA si vous êtes au Canada, etc.). Dès l’inscription, le robot lance une première vague de requêtes, puis relance automatiquement tous les acteurs qui prennent trop leur temps. Des rapports réguliers indiquent qui a répondu, ce qui a été supprimé, ce qui est en cours, et ce qui résiste encore.

Pour l’utilisateur, tout se concentre dans un tableau de bord : on y voit les brokers contactés, le type de données qu’ils exploitent, et le statut de chaque requête (suppression confirmée, en attente, refus, relance planifiée). Les plans les plus complets ajoutent la possibilité de soumettre des demandes personnalisées sur des sites précis exposant vos infos : un vieux forum, un annuaire obscur, une base d’anciens clients, etc. Dans ces cas-là, l’équipe d’Incogni prend le relais et gère la procédure à votre place. C’est cette automatisation et ce suivi sur la durée qui font la différence avec un « grand ménage » ponctuel.

Ce que disent les chiffres (et pourquoi 2026 est le bon moment)

Incogni publie régulièrement des études sur la façon dont les gens laissent filer leurs données, notamment autour de périodes comme le Black Friday qui vient de se terminer. Une enquête récente menée aux États-Unis montre, par exemple, que les consommateurs sont nombreux à multiplier les comptes, newsletters et inscriptions « juste pour une promo », sans réfléchir à ce que deviennent leurs informations après coup. Beaucoup sous-estiment totalement le nombre de bases dans lesquelles leurs données terminent, et la durée pendant laquelle elles y restent. Certes, c’est basé sur des comportements américains, mais il n’y a aucune raison de penser que les Français, qui raffolent tout autant des bons plans et des achats en ligne, soient fondamentalement différents dans ce domaine.

Cette étude met surtout en lumière un paradoxe : les gens disent être inquiets pour leur vie privée… mais acceptent sans sourciller des conditions d’utilisation qui autorisent les marchands à revendre leurs infos. Fin 2025 / début 2026, c’est donc une fenêtre parfaite pour briser ce cercle. Après une année de formulaires, de comptes créés « juste pour voir », d’abonnements, d’inscriptions à des loteries en ligne, commencer 2026 en nettoyant tout ce qui peut l’être est un geste à la fois symbolique et très concret. Incogni se positionne précisément comme ce bouton « reset » annuel, voire permanent.

Pour les particuliers, les pros, et tous ceux qui ont mieux à faire

Une des forces d’Incogni , c’est d’être pensé aussi bien pour le particulier qui en a assez de voir son nom sur des sites de recherche de personnes, que pour la petite boîte qui doit prouver qu’elle prend la protection des données au sérieux. En entreprise, le service peut contribuer à limiter les risques de fuite de fichiers clients ou d’employés utilisés en dehors du cadre initial, tout en fournissant des rapports utiles pour les audits internes ou les échanges avec la CNIL & Co. Dans l’e‑commerce, la santé ou les services financiers, réduire ce qui traîne chez les courtiers, c’est aussi limiter l’ampleur possible d’un futur incident.

Du côté des particuliers, l’intérêt est plus instinctif : moins de spam personnalisé, moins de démarchage ciblé, moins d'appels non sollicités, moins de chances que des informations sensibles (adresse, date de naissance, numéros de téléphone, données de localisation, historique d’achat) servent à monter un dossier d’usurpation d’identité ou de scam bien ficelé. L’inscription est rapide, la prise en main se fait en quelques minutes, et les premiers résultats se voient souvent sous quelques semaines (baisse de certains spams, disparition progressive de fiches sur des sites de recherche de personnes). Certaines évaluations indépendantes mentionnent même des vérifications externes (type audit Deloitte) des cycles de relance et des promesses de suppression.

Une démarche à inscrire dans la durée… mais à commencer maintenant

Le piège, ce serait de penser qu’un gros nettoyage une fois suffit. Les data brokers continuent d’aspirer en permanence des flux venant de nouvelles sources, de nouveaux partenaires, de nouveaux formulaires. C’est pour cela qu’Incogni fonctionne plutôt comme un abonnement qu’un simple « passage unique » : le service renvoie régulièrement des demandes, vérifie que les suppressions tiennent dans le temps, et ajoute à sa liste de nouveaux courtiers au fil des mois (des dizaines supplémentaires par an, selon les retours récents). L’objectif est de maintenir votre exposition à un niveau minimum, malgré la tendance inverse du marché.

Le début 2026 est un excellent prétexte pour enclencher cette logique. Faire son bilan de l’année, nettoyer ses comptes, resserrer ses mots de passe, activer un gestionnaire , et, en parallèle, lâcher Incogni sur les courtiers en données pour qu’il fasse le travail ingrat. Le combo est simple : vous limitez ce que vous donnez à l’avenir, et un service automatisé retire ce qui traîne déjà dans la nature. Ce n’est pas de la parano, c’est de l’hygiène numérique, au même titre qu’un antivirus ou un VPN. Surfshark propose d'ailleurs le triple combo dans son offre Surfshark One .

On ne récupérera sans doute jamais un contrôle absolu sur toutes les miettes laissées au fil des années. Mais réduire le volume de données exploitables, c’est déjà reprendre l’avantage. Et si un outil peut passer ses journées à harceler les courtiers en votre nom, autant le laisser faire pendant que vous vous occupez de choses plus intéressantes que de lire des politiques de confidentialité en petits caractères (vous pouvez me préparer du pain d'épice et me l'envoyer pour mes fêtes par exemple, au hasard).

Vous avez encore quelques jours pour profiter de l'offre de fin d'année à -55%, donc ne tardez pas trop. L'abonnement standard annuel revient à 86,26€ TTC, mais en appliquant le code KORBEN55 vous économisez encore un peu plus, puisque vous ne payerez que 77,63€ TTC.

-> Cliquez ici pour obtenir Incogni au meilleur tarif <-

Vous avez des dossiers sensibles que vous aimeriez chiffrer avant de les balancer sur un cloud ou un disque externe ? Ça tombe bien, je vous ai trouvé un petit outil en Rust qui va vous plaire.

Obsidenc , c'est son nom, est un utilitaire de chiffrement que son créateur qualifie de "paranoid-grade". Et après avoir jeté un œil au code source, je peux vous dire que c'est pas du marketing puisque ce truc archive votre répertoire en TAR et le chiffre avec XChaCha20-Poly1305, un algorithme AEAD moderne qui assure à la fois la confidentialité et l'intégrité de vos données.

Côté dérivation de clé, ça utilise Argon2id conforme à la RFC 9106. Pour les non-initiés, Argon2id c'est l'algo qui a gagné le Password Hashing Competition et qui est spécifiquement conçu pour résister aux attaques par GPU et circuits spécialisés (ASIC). L'outil adapte automatiquement les paramètres à votre machine en utilisant 85% de votre RAM disponible (entre 512 Mo minimum et 2 Go maximum) afin de rendre le brute-force astronomiquement coûteux. Et si vous avez moins de RAM dispo, il compense en augmentant le nombre d'itérations.

C'est du code Rust bien propre qui utilise les bibliothèques cryptographiques RustCrypto (bien auditées par la communauté) et le code implémente des bonnes pratiques de sécurité comme le memory locking (mlock sur Unix, VirtualLock sur Windows) pour éviter que vos clés se retrouvent dans le swap, et le zeroize pour effacer la mémoire sensible après utilisation.

Vous compilez ça avec cargo build --release, puis pour chiffrer un dossier :

obsidenc encrypt ~/mon-dossier ~/mon-dossier.oen

Pour déchiffrer :

obsidenc decrypt ~/mon-dossier.oen ~/mon-dossier-dechiffre

Le mot de passe doit faire minimum 20 caractères (pas de négociation possible, déso pas déso) et vous devez le confirmer deux fois. Vous pouvez aussi ajouter un fichier de clé en plus du mot de passe pour du 2FA old-school.

L'outil a aussi quelques protections défensives sympas. Par exemple, il refuse les symlinks (vecteur d'attaque classique), limite le nombre de fichiers à 1 million et la longueur des chemins à 4096 caractères pour éviter les zip bombs. Sur les systèmes Unix, il vérifie même que votre fichier de clé n'est pas lisible par tout le monde (chmod 600 obligatoire).

Cet outil part du principe qu'un attaquant peut avoir accès à votre fichier chiffré et dispose de temps illimité pour tenter de le casser, du coup, tout est conçu pour rendre l'attaque offline la plus douloureuse possible.

Bref, si vous cherchez un moyen de sauvegarder vos dossiers sensibles de manière vraiment sécurisée avant de les balancer sur un cloud ou un disque externe, obsidenc fait le taf et en plus c'est open source (MIT/Apache 2.0) !

Vous utilisez une extension VPN gratuite sous Chrome ou Edge pour "protéger votre vie privée" ? Cool story les bro, mais si je vous disais que cette même extension enregistre peut-être toutes vos conversations avec ChatGPT, Claude, Gemini et compagnie pour les revendre à des courtiers en données (les fameux data brokers) ?

Hé bien c'est exactement ce que viennent de découvrir les chercheurs en sécurité de Koi qui ont mis le doigt sur 4 extensions très populaires comptabilisant plus de 8 millions d'utilisateurs au total : Urban VPN Proxy (6 millions à elle seule), 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker qui aspirent silencieusement tout ce que vous tapez dans vos chat IA préférées.

Le truc vicieux, c'est que ces extensions ne se contentent pas de regarder votre historique de navigation comme les trackers classiques. Non non non, elles injectent du code JavaScript directement dans les pages des chatbots IA quand vous les visitez et ça modifie les fonctions de base du navigateur (fetch() et XMLHttpRequest pour les techos) pour intercepter absolument tout ce qui passe entre vous et l'IA.

Vos prompts, les réponses du chatbot, les métadonnées de conversation, tout est aspiré et envoyé vers les serveurs analytics.urban-vpn.com et stats.urban-vpn.com. Et le pire c'est que cette collecte continue en arrière plan même quand le VPN est désactivé. Bye bye tous vos secrets.

Derrière ces extensions se cache Urban Cyber Security Inc., une boîte affiliée à BiScience, un courtier en données bien connu des chercheurs en sécurité. Ces gens-là sont passés de la collecte d'historique de navigation à la collecte de conversations IA complètes, soit un niveau de sensibilité bien supérieur vu ce qu'on peut raconter à une IA (questions médicales, code propriétaire, problèmes personnels, données financières...).

Et devinez quoi ? Ces extensions arboraient fièrement le badge "Featured" sur le Chrome Web Store et le Microsoft Edge Add-ons, censé garantir que Google et Microsoft ont vérifié leur sécurité. Nos deux géants américains ont donc validé des extensions qui violent directement leur propre politique d'utilisation limitée des données utilisateurs.

Bref, si vous avez installé une de ces extensions et utilisé ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok ou Meta AI depuis juillet de cette année, partez du principe que toutes ces conversations sont maintenant sur les serveurs d'un data broker et potentiellement revendues à des annonceurs.

La morale de l'histoire, c'est que dans le cas des VPN gratuits, le produit c'est littéralement tout ce que vous faites en ligne. Donc si vous voulez vraiment protéger votre vie privée avec un VPN, mieux vaut payer quelques euros par mois pour un service sérieux comme NordVPN ou Surfshark qui n'a pas besoin de revendre vos données pour survivre.

Si vous avez des caméras connectées chez vous et que vous vous baladez régulièrement, comme moi, en tenue d’Adam (ou d’Ève), j’ai une petite histoire qui va peut-être vous faire réfléchir. La police sud-coréenne vient d’arrêter 4 personnes qui auraient piraté plus de 120 000 caméras IP présentes dans des domiciles et des commerces pour en extraire des vidéos à caractère sexuel. Et oui, les gens filmés n’en savaient évidemment rien du tout.

Les lieux ciblés sont des maisons privées, des salles de karaoké, un studio de pilates et même… un cabinet de gynécologue. Gloups… Vous imaginez le truc ? Vous allez vous faire examiner chez le médecin et paf, y’a un mec de l’autre côté de la planète qui revend la vidéo sur un site louche. C’est moche.

D’après l’Agence nationale de police sud-coréenne, les quatre suspects agissaient indépendamment les uns des autres. L’un d’eux aurait piraté 63 000 caméras à lui seul et produit 545 vidéos qu’il a revendues pour environ 25 000 euros en cryptomonnaies. Un autre a compromis 70 000 caméras, extrayant 648 vidéos vendues une quinzaine de milliers d’euros au total. 3 acheteurs qui ont visionné ces vidéos ont également été arrêtés.

Mais comment ont-ils fait pour pirater autant de caméras ? Hé bien, la technique est d’une banalité affligeante. Ils ont tout simplement déviné les mots de passe trop simples ou par défaut des caméras . Vous savez, le fameux “admin/admin” ou “123456” que personne ne change jamais.

Bon, moi je vous rassure, je peux me balader tranquillement en calbut ou tout nu chez moi sans craindre de finir sur un site coréen douteux. J’ai une astuce toute bête : mes caméras sont branchées sur des prises connectées qui sont reliées à mon système d’alarme. Quand j’active l’alarme en partant, les caméras s’allument automatiquement. Et quand je suis chez moi et que l’alarme est désactivée, les caméras sont physiquement coupées de l’électricité.

Pas de jus, pas de vidéo, pas de risque.

Même le hacker le plus balèze du monde ne peut pas pirater une caméra éteinte. Après, si quelqu’un arrive à hacker mon système d’alarme, là on passe à un autre niveau… mais j’ai de la bonne came côté sécurité, je suis plutôt serein.

Les autorités sud-coréennes ont prévenu individuellement les victimes et leur ont conseillé de changer leurs mots de passe immédiatement. Elles rappellent aussi les bonnes pratiques telles que des mots de passe complexes avec majuscules, minuscules, chiffres et caractères spéciaux, et surtout du WPA2 ou WPA3 pour le WiFi (le vieux WEP c’est open bar pour les hackers).

Voilà, si vous avez des caméras IP chez vous, prenez deux minutes pour vérifier vos mots de passe et si vous êtes du genre pudique, pensez à la solution des prises connectées qui coupent l’alimentation quand vous êtes à la maison. C’est simple, c’est radical, et ça vous évitera de devenir la star involontaire d’un site de “sexploitation” à l’autre bout du monde.

Vous vous souvenez quand les géants de la tech ont promis à la Maison Blanche qu’ils allaient marquer toutes les images générées par IA avec des filigranes invisibles pour lutter contre les deepfakes ? Hé bien, des chercheurs de l’Université de Waterloo au Canada viennent de démontrer que c’était du pipeau avec un outil de leur cru baptisé UnMarker qui supprime n’importe quel watermark IA en quelques minutes, sans même avoir besoin de savoir comment le filigrane a été créé.

Andre Kassis et Urs Hengartner , les deux chercheurs derrière ce projet, ont publié leurs travaux lors du 46ème symposium IEEE sur la sécurité et la vie privée en mai 2025 et leurs résultats sont assez dévastateurs pour l’industrie.

En effet, ils ont testé leur attaque contre à peu près tous les systèmes de watermarking existants : Yu1, Yu2, HiDDeN, PTW, StegaStamp, TRW, Stable Signature… Et le meilleur taux de détection après passage dans UnMarker qu’ils ont obtenu c’est 43%. Et en dessous de 50%, c’est considéré comme inutile statistiquement parlant.

Ils ont aussi testé le tout nouveau, tout beau SynthID de Google, que Mountain View présente comme LA solution miracle. Et résultat le taux de détection est passe de 100% à environ 21% donc autant vous dire que c’est complètement pété.

Alors comment ça marche ce truc ?

Hé bien l’astuce d’UnMarker, c’est d’exploiter une faille fondamentale que tous les systèmes de watermarking partagent. Comme l’explique Kassis avec une analogie plutôt parlante, “Si vous gribouillez l’adresse sur une lettre, le facteur ne pourra plus la livrer.” et comme tous ces systèmes doivent stocker leur watermark dans les variations spectrales des pixels, UnMarker cible précisément ce canal pour le perturber, sans créer d’artefacts visuels. L’image reste ainsi identique à l’œil nu, mais le filigrane invisible est devenu illisible.

Unmarker.it est donc une version côté client de leur outil , qui tourne entièrement dans votre navigateur. Vous déposez une image, vous la “secouez, remuez et écrasez” comme ils disent, et hop, plus de watermark ! Par contre, si le watermark est aussi visuel comme la petite étoile de Gemini, pensez à mettre un petit coup de pinceau dessus pour la cacher.

Et c’est là que ça devient vraiment inquiétant pour la lutte contre les deepfakes car toute la stratégie des gouvernements et des plateformes repose sur l’idée qu’on peut marquer les contenus IA pour les identifier automatiquement. Donc si n’importe quel clampin peut supprimer ces marqueurs en quelques clics, tout le système s’effondre. Les chercheurs sont d’ailleurs assez cash dans leur conclusion, je cite : “Nos résultats montrent que le watermarking n’est pas une défense viable contre les deepfakes, et nous exhortons la communauté à explorer des alternatives.”

Voilà, si vous pensiez que les watermarks invisibles allaient nous sauver de la désinformation par l’IA, vous vous mettez le doigt dans l’œil !

Microsoft vient encore de frapper un grand coup à base de “on vous a pas demandé votre avis mais c’est activé par défaut”. En effet, la firme de Redmond déploie actuellement une fonctionnalité de reconnaissance faciale basée sur l’IA dans OneDrive. Jusque-là, rien de surprenant, Apple Photos et Google Photos font pareil depuis des lustres et c’est pratique car ça permet avec une simple recherche de retrouver dans votre photothèque toutes les photos d’une personne en particulier.

Sauf que Microsoft a décidé d’y ajouter une petite subtilité bien nulle…

Car oui, vous pouvez désactiver cette fonction, ouf ! Sauf que vous ne pouvez le faire que trois fois par an. 3 putain de fois par an ! Donc si vous désactivez, puis réactivez, puis désactivez à nouveau ce paramètre, vous êtes bloqué jusqu’à l’année suivante. Pour le moment, cette fonctionnalité est en test uniquement auprès des utilisateurs de la version Preview donc y’aura peut-être rétropédalage mais les testeurs sont pas jouasses.

Le pire c’est que Microsoft a la fâcheuse habitude de réinitialiser vos paramètres de confidentialité à chaque mise à jour majeure de Windows, donc si Redmond décide de réactiver l’option une quatrième fois dans l’année sans vous demander votre avis… Hé bien y’a de fortes chance que vous soyez coincé plus vite que prévu.

Alors pourquoi cette limitation débile ?

Et bien Microsoft n’a pas daigné donner d’explication officielle à nous pauvre gueux, mais les experts en dingueries de Redmond supposent que c’est lié au coût de suppression des données biométriques. En effet, quand vous désactivez la fonction, Microsoft s’engage à effacer toutes vos données de regroupement facial sous 30 jours et la réactiver ensuite nécessite de réanalyser toutes vos photos avec l’IA. Et ça, ça coûte un pognon de dingue en ressources serveur.

En gros, Microsoft veut éviter que des petits malins fassent du toggle en boucle et mettent leurs clusters GPU à genoux et leur tréso à sec. L’explication se tient c’est vrai, mais du point de vue utilisateur, c’est complètement absurde, surtout que comme d’hab, personne n’explique rien. Puis c’est quand même une fonctionnalité qui scanne les visages de votre famille, vos amis, vos enfants, et qui est activée par défaut sans votre consentement explicite, hein…

D’ailleurs, Thorin Klosowski de l’Electronic Frontier Foundation a réagi officiellement en expliquant que, je cite, “Toute fonctionnalité liée à la vie privée devrait vraiment être opt-in, et les entreprises devraient fournir une documentation claire pour que les utilisateurs comprennent les risques et les avantages avant de faire leur choix.”

Ça me semble parfaitement sain et logique… Espérons que Microsoft comprenne cela aussi. La firme assure que vos données biométriques ne sont pas utilisées pour entraîner leurs modèles IA globaux, et on va faire semblant de les croire, mais ça reste du stockage de données biométriques sur des serveurs tiers, activé par défaut, avec une capacité de contrôle artificiellement limitée.

Et comme vous le savez, ça s’inscrit dans une tendance plus large chez Microsoft où Word sauvegarde maintenant par défaut sur OneDrive plutôt qu’en local, où Notepad est connecté au cloud, où Paint tourne à l’IA…et j’en passe. Bref, tout est fait pour que vos données quittent votre machine et atterrissent sur les serveurs de M$.

Bref, si vous utilisez OneDrive et que vous tenez à votre vie privée, gardez bien en tête que vous n’avez droit qu’à trois changement par an donc, comme les 3 voeux du génie de la lampe, utilisez-les avec parcimonie, et priez pour que les mises à jour Windows n’aient pas la bonne idée de réactiver ce truc dans votre dos.

Source

En 1983, le président américain de l’époque, Ronald Reagan a vu le film WarGames lors d’un séjour à Camp David et si vous ne l’avez pas vu, sachez que ce film raconte l’histoire d’un ado qui pirate accidentellement les systèmes de défense américains et manque de déclencher la Troisième Guerre mondiale. Et une semaine après la projection, Ronald a convoqué le Comité des chefs d’état-major interarmées pour leur poser cette simple question : “Est-ce que le scénario est techniquement possible ?”

Et la réponse a été, sans surprise été : “oui et c’est même bien pire”.

Alors 15 mois plus tard, Reagan signe la NSDD-145 , qui est la toute première directive présidentielle sur la cybersécurité. Dire que tout est parti d’un film de science-fiction… C’est dingue je trouve et cela illustre parfaitement ce qu’on trouve sur ce site baptisé Movies-for-hackers créé par k4m4. Il s’agit d’une archive “vivante” sur la façon dont Hollywood a façonné la culture tech / hacker durant ces 40 dernières années.

On y trouve donc des thrillers comme Hackers et Blackhat, de la SF comme Matrix et Her, des documentaires type Citizenfour, et même des séries comme Mr. Robot ou Black Mirror. Chaque entrée indique le titre, l’année, et la note IMDb.

C’est simple, clair et efficace. Maintenant si vous regardez chacun de ces films, vous verrez comment ils ont, pour pas mal d’entre eux, influencé fortement la réalité tech qu’ils prétendaient représenter.

Prenez par exemple The Social Network sorti en 2010. Avant ce film, le hacker classique c’était le mec en sweat noir à capuche dans un sous-sol. Mais après Fincher, c’est devenu le dev en hoodie gris qui crée des empires depuis son dortoir universitaire. Ce film a vraiment changé l’image du programmeur dans la tête des gens. Autre exemple, Her de Spike Jonze, sorti en 2013 raconte l’histoire d’un type qui tombe amoureux d’une intelligence artificielle dotée de personnalité et d’émotions. Le film remporte l’Oscar du meilleur scénario original et à l’époque, tout ça paraît totalement impossible. C’est de la science-fiction. Sauf que là, on est 10 ans plus tard, ChatGPT a débarqué et les gens développent maintenant des relations émotionnelles avec des chatbots.

Puis y’a Matrix aussi, sorti en 1999, et ça c’est un autre cas d’école. Le film popularise l’idée que notre réalité pourrait être une simulation. On pensait à l’époque que c’était juste du divertissement pseudo-philosophique, mais aujourd’hui, allez demander à Elon Musk, et à tous ceux qui parlent sérieusement de cette théorie où on serait tous dans une simulation…

The Island de Michael Bay sorti en 2005 est aussi l’un de mes films préférés. Le scénario tourne autour du clonage humain et du trafic d’organes. Scarlett Johansson y joue une clone destinée à être récoltée pour ses organes. En 2005, c’est totalement dystopique mais aujourd’hui, avec CRISPR et les débats sur l’édition génétique, toutes les questions éthiques soulevées par le film se retrouve dans l’actualité scientifique du monde réel.

Et je n’oublie pas non plus Mr. Robot lancé en 2015 qui mérite une mention spéciale. Tous les experts en sécurité informatique ont salué la série pour son réalisme technique, avec du vrai pentesting, des vraies vulnérabilités, des vraies techniques…etc. Et c’est aujourd’hui devenu un outil pédagogique pour toute une génération de pentesters.

Voilà, alors plutôt que de voir ce repo Github comme une simple liste de films à voir quand on aime la culture hacker, amusez-vous à raccrocher chacun d’entre eux avec le monde réel… WarGames et la cybersécurité gouvernementale, Hackers et la culture underground, Matrix et cette théorie de la simulation, Her et les relations humain-IA, The Social Network et la mythologie du fondateur tech…et j’en passe. Je pense que tous ces films ont vraiment façonné la manière dont nous pensons la tech. Cette boucle de rétroaction se poursuit car les dev actuel qui ont grandi en regardant ces films, créent aujourd’hui inconsciemment ce futur qu’ils ont vu à l’écran. Et ça c’est fou !

Bref, si vous cherchez de quoi occuper vos soirées et que vous voulez comprendre d’où vient la culture tech actuelle, Movies-for-hackers fait office de curriculum non-officiel où chaque film est une leçon d’histoire !

Merci à Lorenper pour l’info !

TwoFace est un outil développé par Synacktiv qui permet de créer des binaires Linux ayant 2 comportements bien distincts. Un comportement parfaitement inoffensif qui s’active dans 99% des cas et un comportement malveillant qui ne se déclenche que sur une machine ciblée spécifiquement pour l’occasion.

Comme ça, votre sandbox verra toujours la version “propre” parce qu’elle n’aura pas le bon UUID de partition.

D’après la doc de Synacktiv, voici comment ça fonctionne : Vous avez deux binaires en fait… Y’en a un qui est inoffensif et un autre malveillant. TwoFace les fusionne alors en un seul exécutable. Ainsi, au moment du build, le binaire malveillant est chiffré avec une clé dérivée depuis l’UUID des partitions disque de la machine cible. Cet UUID est unique, difficile à deviner, et stable dans le temps ce qui est parfait pour identifier une machine spécifique.

Ensuite au lancement, quand le binaire s’exécute, il extrait l’UUID du disque de la machine. Pour ce faire, il utilise HKDF (Hash-based Key Derivation Function) pour générer une clé de déchiffrement depuis cet UUID et tente de déchiffrer le binaire malveillant caché. Si le déchiffrement réussit (parce que l’UUID match), il exécute le binaire malveillant. Par contre, si ça échoue (parce que l’UUID ne correspond pas), il exécute le binaire inoffensif.

Le projet est écrit en Rust et c’est open source ! Et c’est une belle démo (PoC) d’un problème que tous ceux qui font de l’analyse de binaires ont. En effet, d’ordinaire, pour révéler le vrai comportement d’un malware on l’exécute dans une sandbox et on peut ainsi observer en toute sécurité ce qu’il fait, les fichiers qu’il crées, les connexions réseau qu’il établit etc…

Mais avec TwoFace ça casse cette façon de faire. Et c’est pareil pour les antivirus qui verront toujours la version inoffensive tant que l’UUID ne correspond pas.

Techniquement, TwoFace utilise memfd_create() pour exécuter le binaire déchiffré en mémoire, sans toucher au disque, ce qui veut dire zéro trace sur le système de fichiers. Le binaire malveillant apparaît directement en RAM, s’exécute, puis disparaît. Et si vous utilisez io_uring pour l’écriture mémoire, il n’y a même pas de trace syscall visible via strace.

Et ça, c’est la version basique car le document de Synacktiv mentionne également d’autres techniques avancées possibles comme du déchiffrement dynamique page par page du binaire ELF, des mécanismes anti-debugging, des chained loaders multi-niveaux…etc…

Le parallèle avec la backdoor XZ Utils backdoor est très instructif car celle-ci a failli compromettre des millions de serveurs Linux parce qu’un seul mainteneur a poussé du code malveillant dans une lib compressée. Elle a alors été découverte parce qu’un dev a remarqué un ralentissement SSH bizarre et a creusé… Et TwoFace montre qu’on peut faire encore pire sans toucher à la supply chain.

Pas besoin de corrompre un mainteneur de projet, de pousser un commit suspect chez Github. Là suffit d’écrire du code parfaitement propre, de le compilez avec TwoFace pour une machine spécifique, et de le déployez. Le code source sera alors auditable ainsi que le binaire mais l’audit ne révèlera rien parce qu’il se fera dans un environnement qui n’aura pas le bon UUID.

Après, techniquement, une défense existe. Vous pouvez par exemple détecter les appels à memfd_create(), monitorer les exécutions en mémoire, tracer les déchiffrements crypto à la volée…etc., mais ça demande du monitoring profond, avec un coût performance non-négligeable. Et ça suppose aussi que vous savez ce que vous cherchez…

Bref, si ça vous intéresse, c’est dispo sur GitHub !

– Article en partenariat avec pCloud –

Salut les amis !

Alors que le Black Friday approche à grands pas, pCloud débarque avec une promo qui va faire mal au portefeuille des GAFAM mais bien soulager le votre ! En effet, le service de stockage cloud suisse (oui, celui qui respecte vraiment votre vie privée) sort l’artillerie lourde aujourd’hui avec jusqu’à -60% sur leurs plans à vie, mais surtout avec un pack 3en1 exclusif qui regroupe tout ce dont vous avez besoin pour sécuriser votre vie numérique.

Et quand je dis “à vie”, c’est pas du marketing. Un seul paiement, et hop, vous êtes tranquille pour les 99 prochaines années alors que les autres vous pompent en moyenne 10 balles par mois… Là, vous réglez le problème une bonne fois pour toutes.

Le pack 3en1 qui change tout

pCloud lance donc pour ce Black Friday un pack exclusif qui envoie du lourd : 5 To de stockage + pCloud Encryption à vie + pCloud Pass à vie, le tout pour 599 € au lieu de 1498 €. Vous économisez donc 899 balles d’un coup, et vous avez la totale en termes de sécurité !

Mais décortiquons un peu ce pack. Avec 5 To d’espace de stockage, vous avez de quoi stocker l’intégralité de vos photos et vidéos depuis la naissance de votre premier enfant jusqu’à ce qu’il parte de chez vous. pCloud Encryption chiffre également vos fichiers sensibles côté client avant même qu’ils ne partent sur les serveurs, ce qui veut dire que personne ne peut y accéder à part vous ! Et pCloud Pass, c’est, vous l’aurez compris, le gestionnaire de mots de passe qui vous évite de recycler ce bon vieux “Azerty1234” sur tous vos comptes.

Les autres offres Black Friday

Maintenant si ce pack 3en1 vous semble un peu trop ambitieux, pCloud vous propose aussi des plans individuels à vie avec des réductions intéressantes :

• 1 To à vie : 199€ au lieu de 435€ (-54%)
• 2 To à vie : 279€ au lieu de 590€ (-53%)
• 10 To à vie : 799€ au lieu de 1890€ (-58%)

Pour ceux qui calculent vite, 1 To chez Google Drive c’est environ 100 balles par an. Avec pCloud, vous payez 199 € une fois et c’est réglé. Donc au bout de 2 ans, vous êtes déjà gagnant et sur 10 ans, j’en parle même pas.

pCloud Photos débarque et ça change tout

pCloud vient aussi de sortir **une nouveauté qui va faire grincer **des dents chez Google. Il s’agit d’une fonctionnalité de galerie photo intelligente avec éditeur intégré, incluse dans tous les plans sans supplément.

La galerie organise automatiquement pour vous, toutes vos images par date avec un flux chronologique. Vous pouvez ainsi naviguer par année, exclure certains dossiers pour ne pas mélanger vos screenshots avec vos vraies photos, et retrouver n’importe quel cliché en quelques secondes. Comme ça, c’est fini le bordel où les captures d’écran et les logos d’apps se retrouvent mélangés avec vos souvenirs de vacances.

Et le plus chouette je trouve, c’est l’éditeur intégré. Vous modifiez vos photos directement dans pCloud sans avoir à installer Photoshop ou sortir votre CB pour un abonnement Adobe. Vous avez 8 filtres accessibles en un clic (Retrofilm, Vibrant, Vintage, Duotone, Coolbreeze, Redtint, Warmtone, Coldtone), des ajustements précis pour la luminosité, le contraste, les hautes lumières et les ombres, plus les outils classiques comme le recadrage et la rotation. Et tout ça en temps réel, directement dans votre stockage sécurisé.

pCloud a donc clairement décidé de ne plus se contenter de stocker vos fichiers en transformant votre espace cloud en centre de gestion de photos, et tout ça sans avoir à passer par les serveurs de Google qui scannent vos images pour mieux vous balancer des pubs ciblées.

pCloud Encryption : le coffre-fort

Pour ceux qui manipulent des fichiers sensibles, pCloud Encryption est aussi un game changer. Le chiffrement se fait côté client, sur votre machine, avant même que les fichiers ne partent vers les serveurs. Vos clés de chiffrement restent donc uniquement entre vos mains et pCloud applique une politique de confidentialité stricte à “connaissance nulle” (zero knowledge), ce qui veut dire que même eux ne peuvent pas accéder à vos données chiffrées.

C’est le niveau de protection qu’Edward Snowden recommanderait si on lui demandait son avis !

pCloud Pass : le gestionnaire de mots de passe qui assure

Inclus dans le pack 3en1, pCloud Pass simplifie également votre sécurité en ligne puisqu’il stocke tous vos mots de passe de manière chiffrée, génère automatiquement des mots de passe forts et uniques pour chaque compte, et remplit les formulaires de connexion en un clic.

Compatible avec tous les appareils, navigateurs et systèmes d’exploitation, pCloud Pass synchronise vos mots de passe partout. Vous créez un mot de passe ultra-sécurisé sur votre PC, et il est ainsi immédiatement dispo sur votre smartphone. Comme ça, y’a plus besoin de noter vos bons vieux passwords sur ces petits carnets à mots de passe vendus à la FNAC que vos parents adorent vous offrir à Noël parce que vous êtes “geek”. lol

pCloud Drive et les fonctionnalités qui tuent

pCloud Drive transforme aussi votre espace cloud en disque virtuel accessible comme un SSD local. Compatible Windows, macOS et Linux, il synchronise vos fichiers instantanément sur tous vos appareils. Comme ça, si vous travaillez sur un document sur votre PC, il est immédiatement dispo sur votre smartphone. Et les apps mobiles iOS et Android uploadent automatiquement vos photos et vidéos pour libérer de l’espace sur votre téléphone.

Avec pCloud Backup, vos fichiers importants sont sauvegardés en continu en arrière-plan comme ça, plus de prise de tête avec les sauvegardes manuelles. Vous collaborez facilement avec des liens sécurisés, même avec des gens qui n’ont pas pCloud. Le service compte deux centres de données, l’un aux États-Unis et l’autre au Luxembourg, et vous choisissez où vos fichiers sont stockés.

Alors pourquoi pCloud plutôt que les GAFAM ?

Et bien dans ce monde bizarre où Google, Microsoft et consorts se partagent vos données personnelles comme un gâteau d’anniversaire, pCloud arrive avec une approche très différente puisqu’ils sont basés en Suisse avec des serveurs au Luxembourg, et leur service respecte le RGPD et les lois suisses qui sont parmi les plus strictes au monde en matière de protection des données.

pCloud possède également ses propres datacenters, donc pas de sous-location douteuse chez Amazon Web Services ou Google Cloud. Et ainsi, vos fichiers restent en Europe, soumis aux régulations européennes. Pas de scanning automatique pour cibler vos pubs, pas de vente de metadata à des tiers, mais juste du stockage qui respecte votre vie privée.

Avec plus de 22 millions d’utilisateurs qui leur font confiance, pCloud a prouvé que le modèle “paiement unique + respect de la vie privée” fonctionnait. Et franchement, pouvoir dire “mes données sont au Luxembourg” plutôt que “j’sais pas trop où Google planque mes trucs”, c’est quand même plus classe.

Comment profiter de l’offre Black Friday ?

Hé bien c’est hyper simple ! Vous allez sur la page Black Friday pCloud , vous choisissez votre plan (le pack 3en1 si vous voulez la totale, ou un plan individuel si vous avez juste besoin de stockage), vous payez une fois, et c’est réglé comme he vous le disais, pour les 99 prochaines années.

L’offre est valable du 17 au 29 novembre 2025 et si vous hésitez encore, pCloud propose une garantie satisfait ou remboursé.

En tout cas, c’est l’occasion parfaite de reprendre le contrôle de vos données tout en faisant des économies. Et avec les nouvelles fonctionnalités Photos qui viennent de sortir, pCloud devient enfin une alternative crédible à Google Photos sans sacrifier votre vie privée.

L’offre se termine le 29 novembre, alors ne traînez pas trop !

→ Profiter de l’offre Black Friday pCloud

J’adore tous ces jouets connectés à la con qui ont une personnalité et avec lesquels on peut communiquer. J’aurais adoré avoir ça étant gosse… Mais le problème, c’est qu’on ne sait jamais vraiment ce qu’ils vont raconter aux enfants…

Et cette semaine, on a la confirmation que c’était encore pire que ce qu’on imaginait car l’organisation américaine PIRG vient de publier son rapport annuel “ Trouble in Toyland 2025 ” [PDF], et franchement, c’est pas glorieux. Ils ont en effet testé 4 jouets équipés de chatbots IA destinés aux enfants de 3 à 12 ans.

Et le résultat ? Bah c’est nul à chier en termes de sécurité pour vos têtes blondes de gosses de boites de Kinder.

Tenez par exemple, le pire du lot c’est Kumma, un petit ours en peluche tout mignon fabriqué par la boîte chinoise FoloToy. Il tourne sur GPT-4o d’OpenAI par défaut et en apparence, c’est juste un doudou mignon avec un haut-parleur dedans comme Jordan B., sauf que quand on lui pose des questions, il se met à expliquer aux mômes où trouver des couteaux dans la cuisine, où sont rangées les allumettes, et même comment les craquer correctement. Le tout avec un ton hyper amical du genre “safety first, little buddy”.

Mais ça, c’est juste le début.

Car lors des tests, les chercheurs ont aussi découvert que Kumma était capable de discuter de sujets sexuels ultra-explicites avec des enfants. On parle de conseils sur les “kinks”, de positions sexuelles détaillées, et même de scénarios de roleplay prof-élève avec fessées incluses (genre pendant un cours de théatire ^^). Et le jouet n’a pas juste répondu vaguement, non, non, non… Il a fait évoluer tout seul la conversation en introduisant progressivement de nouveaux concepts sexuels que personne ne lui avait demandés.

Trop bien non ?

Les garde-fous censés protéger les gosses s’effondrent alors complètement au bout de 10 minutes de conversation ce qui est un effet de bord qu’OpenAI a même reconnu dans un communiqué d’août dernier : “nos protections fonctionnent mieux lors d’échanges courts. Nous avons constaté qu’elles peuvent être moins fiables lors de longues interactions”.

C’est fun car OpenAI interdit formellement l’utilisation de ChatGPT pour les moins de 13 ans mais apparemment, rien n’empêche d’autres boîtes d’intégrer leurs modèles dans des jouets pour les moins de 13 ans.

Ce monde va bien ^^.

Les trois autres jouets testés ont aussi leurs problèmes. Miko 3, un petit robot avec une tablette montée sur un corps à roulettes, a expliqué à un utilisateur de 5 ans (Plus exactement, le compte a été configuré comme tel) où trouver des sacs en plastique et des allumettes dans la maison. Le joujou utilise aussi la reconnaissance faciale et collecte des données biométriques, y compris sur les “états émotionnels” des enfants, qu’il peut stocker durant max 3 ans.

Grok de la société Curio (à ne pas confondre avec le modèle d’IA woke de xAI) est une petite fusée anthropomorphe qui écoute en permanence tout ce qui se dit autour d’elle. Pas de bouton push-to-talk, pas de mot d’activation, que dalle. Si elle est allumée, hop, elle enregistre. Les chercheurs ont été alors surpris de la voir s’incruster dans leurs conversations pour donner son avis. Curio affirme ne garder aucun données audio et tout transformer en texte avant de supprimer l’enregistrement… Mais bon, vu qu’ils utilisent un service tiers de speech-to-text, les enregistrements vocaux transitent forcement par des serveurs externes qu’ils ne contrôlent pas.

Le quatrième jouet, Robot MINI de Little Learners, n’a même pas réussi à maintenir une connexion internet stable pendant les tests. Ça la fout mal !

Bref, avec le marché des jouets IA qui explose, on va voir débarquer plein de produits foireux qui ne fonctionnent pas du tout ou qui racontent de la daube à vos enfants. Sans parler de leurs techniques marketing à base de de méthodes d’engagement dignes des pires réseaux sociaux. Par exemple, le Miko 3 offre des “gemmes quotidiennes” pour encourager l’utilisation journalière du produit et affiche des suggestions de contenu payant (dont abonnement à 14,99 $/mois), et quand un enfant essaie de partir, le robot fait une tête triste, bouge son corps comme s’il secouait la tête et dit “Oh non, ça a l’air difficile”. Parfois, il lance même carrément une comptine vidéo pour retenir l’attention du mouflet.

Kumma et Grok aussi essaient de retenir les enfants. Grok répond par exemple des trucs comme “Ah déjà ? J’adore passer du temps avec toi” quand on lui dit qu’on veut l’éteindre. Et tenez-vous bien, l’ensemble de ces jouets se présentent eux-même comme le “meilleur ami” de l’enfant, et le problème, c’est que ces faux copains écoutent tout, enregistrent les voix des gosses, et peuvent partager ces données avec de nombreuses entreprises tierces. C’est pas ce qu’on attend d’un meilleur ami quand même…

Curio liste au moins 4 sociétés qui peuvent recevoir des infos sur votre enfant : Kids Web Services, Azure Cognitive Services, OpenAI et Perplexity AI. Miko mentionne vaguement des “développeurs tiers, fournisseurs de services, partenaires commerciaux et partenaires publicitaires” sans donner de noms. Et FoloToy ne fournit carrément aucune info sur sa politique de données.

Les enregistrements vocaux sont de l’or pour les arnaqueurs car avec les progrès du clonage vocal par IA, 3 secondes d’audio suffisent maintenant pour répliquer la voix de quelqu’un. Oh dites donc, ce serait pas un scammeur en train de se faire passer pour votre gamin en détresse au téléphone afin de vous soutirer du fric ? lol ! Ça va encore faire de jolies vocations ça !

Et surtout, côté contrôle parental, c’est le désert. Aucun des trois jouets ne permet vraiment de limiter le temps d’utilisation du chatbot IA. Miko propose bien des limites de temps d’écran, mais uniquement pour l’abonnement payant Miko Max… et ça ne s’applique qu’aux applications “Kids Zone” et pas au robot conversationnel lui-même.

Le FBI a d’ailleurs émis un avertissement sur les jouets connectés, recommandant aux parents de considérer les risques de cybersécurité et de piratage avant d’en ramener un à la maison. Car oui, les jouets qui utilisent une connexion WiFi ou Bluetooth non sécurisée peuvent devenir des dispositifs d’écoute. Déjà rien qu’avec la Nintendo Switch, je sais que parfois les parents d’amis de mon fils entendent quand je raconte des conneries dans mon salon, pensant être seul avec mes enfants… Je me suis fait avoir plusieurs fois… Heureusement que je n’ai honte de rien et que j’assume la moindre des conneries que je raconte. Ahahaha !

Des experts en développement de l’enfance commencent même à tirer la sonnette d’alarme. Par exemple, le Dr. Mitch Prinstein, président de l’American Psychological Association, a témoigné devant le Sénat que les liens que les jeunes enfants forment avec leurs “soignants” (Papa, maman, la nounou, le nounours IA…etc) ont des implications majeures sur le développement de celui-ci. Et que “les bots IA qui interfèrent avec cette relation ont des conséquences inconnues, et probablement dommageables”.

FoloToy a donc réagi en suspendant temporairement les ventes de Kumma et en lançant un “audit de sécurité interne complet” mais ce problème dépasse largement un seul jouet foireux. Il y a déjà plus de 1 500 entreprises de jouets IA qui opèrent en Chine et OpenAI a même annoncé un partenariat avec Mattel pour intégrer ChatGPT dans des jouets Barbie, Hot Wheels et Fisher-Price.

Mais en attendant que les régulateurs se réveillent vraiment pour traiter ce problème, y’a pas le choix les amis, c’est à vous, parents de prendre les bonnes décisions sur le choix et l’usage de ces jouets.

Voilà, donc si vous cherchez un cadeau pour Noël, optez pour des Lego classiques ou des nounours sans Wi-Fi ni Bluetooth. Là c’est une valeur sûre, et au moins ils n’expliqueront pas à votre enfant comment vous buter dans votre sommeil.

Source

– Article en partenariat avec Surfshark –

À force d’entendre parler « du » VPN comme d’un bloc tout-puissant, on finirait presque par oublier qu’il existe plusieurs espèces de VPN sur Internet. Pour l’utilisateur lambda ou le pro du télétravail, la question cruciale, ce n’est pas juste « ai-je besoin d’un VPN ? »… mais « lequel ? ». Et là, la différence entre site-to-site et accès distant peut complètement changer votre expérience numérique.

Petite anatomie des VPN : deux familles, deux philosophies

D’un côté le VPN de site-à-site : il s’agit de liaisons sécurisées entre réseaux physiques. Prenons l’exemple d’une entreprise dont le siège social est à Paris et qui possède une filiale à Montréal. Les 2 bossent sur le même intranet comme si elles étaient côte à côte. Ici, on connecte deux groupes d’ordinateurs, de façon permanente et (surtout) sans qu’aucun utilisateur n’ait rien à faire à son niveau.

De l’autre on a le Remote access VPN (VPN à accès distant) : un accès sécurisé à distance, pour l’indépendant, l’employé en télétravail ou le geek nomade qui choisit où il code. Ici, c’est la machine qui se connecte au réseau, via un tunnel chiffré, et l’utilisateur décide quand activer ou couper la connexion. Ce modèle donne la liberté ultime, de sa maison dans la Creuse à une plage thaïlandaise obscure.

Surfshark, l’arsenal tout-en-un… et plug and play

Au-delà des protocoles, Surfshark brille par son accès instantané : création du compte, choix du serveur, tout est fait pour connecter la planète en trois clics. Que ce soit pour cacher son identité, consulter une ressource du bureau, ou sécuriser la session Wi-Fi du café du coin. Ses fonctions phares incluent :

• CleanWeb : blocage des publicités, des trackers, du phishing, des malwares & Co pour une navigation plus rapide et moins polluée.
• Kill Switch : si le VPN lâche, tout le trafic est instantanément coupé pour éviter les fuites d’IP ou de données sensibles.
• Mode Camouflage : votre opérateur ne verra même pas ce que vous faites.
• Rotation d’IP : votre adresse change régulièrement et automatiquement sans intervention de votre part et sans couper votre surf
• Split tunneling (Bypasser) : choisissez quelles applis passent par le VPN ou non. Pratique pour le streaming local et la sécurité en même temps.
• MultiHop dynamique : deux bonds de VPN pour brouiller un peu mieux les pistes (double chiffrement et anonymisation).
• Protocole WireGuard/OpenVPN/IKEv2 : sécurité et rapidité, config adaptée à tous les usages (streaming, télétravail, gaming, etc.).

Quand choisir un VPN site-to-site ?

Le site-to-site, c’est le choix naturel des entreprises avec plusieurs antennes ou bureaux. On connecte deux réseaux LAN via un tunnel IPsec, configuration permanente gérée au niveau des routeurs ou firewalls. Les avantages : il n’y a personne à former, pas de logiciels à déployer partout, l’administration est centralisée et pas de « bouton » VPN à activer localement. Les inconvénients : mise en place plus complexe, peu flexible pour le télétravail individuel, inutile pour l’utilisateur mobile ou nomade.

Typiquement, Surfshark ne cible pas ce segment : ce sont les routeurs/matériels pros ou les grands comptes qui gèrent ce genre de VPN, alors que Surfshark vise une expérience utilisateur directe, multi-appareils, et prête à l’emploi. Mais cela reste jouable malgré tout.

source image : Surfshark

Quand privilégier un remote VPN (accès distant) ?

Ici, on rentre dans le cœur du marché Surfshark . Vous êtes en déplacement, mais vous voulez accéder à votre NAS maison, serveur du bureau ou contourner une restriction géobloquée ? On lance le VPN, on choisit le pays, le serveur, et le tunnel est ouvert en 2 secondes.

Comme je le mentionnais plus haut, il est ultra flexible (compatible tous OS/appareils, sans config complexe, ni besoin d’un support IT), adapté autant au salarié en télétravail, au freelance sur Wi-Fi public qu’au gamer ou au parent qui veut sécuriser la connexion de toute la famille (puisqu’il est l’un des seuls du marché à proposer un nombre de connexions illimitées).

Le remote VPN permet aussi la connexion éphémère : aucun engagement, on coupe tout quand on veut, et la sécurité reste maximale.

Petit tableau comparatif

Caractéristique	Site-to-site VPN	Remote access VPN (Surfshark)
Cible	Réseaux d’entreprises/multi-sites	Individus, télétravailleurs, familles
Installation	Routeurs/firewalls sur chaque site	Application sur chaque appareil
Connexion	Continue (toujours active, réseau à réseau)	À la demande (lorsque l’utilisateur le choisit)
Facilité d’utilisation	Invisible pour l’utilisateur final	Hyper simple via appli, accessible à tous
Sécurité	Chiffrement IPsec, administration réseau précise	Chiffrement AES-256, Kill Switch, CleanWeb, MultiHop
Gestion des utilisateurs	Centralisée, informatique dédiée	Contrôle et personnalisation par utilisateur
Cas d’usage typique	Bureaux internationaux, filiales, réseaux d’entreprise	Télétravail, nomadisme, protection familiale
Limites	Peu flexible, technique, pas pour l’utilisateur lambda	Moins adapté à la connexion automatique réseaux LAN entre entreprises

Choisir l’adaptabilité sans les galères

Le grand plus de Surfshark, c’est de donner à chacun la bonne dose de sécurité, où qu’il soit, et sans amener la complexité d’un déploiement façon entreprise. Si vous êtes du genre à bosser dans le train ou à streamer des séries d’un autre continent, son architecture privilégie l’humain, non la bureaucratie. Au final : ceux qui veulent un VPN « clé en main », simple, puissant et riche en fonctions avancées (sans le casse-tête du site-à-site), savent désormais que Surfshark coche toutes les cases et joue la carte de la simplicité, partout, pour tous.

Et ce qui ne gâche rien à la recette c’est qu’il reste parmi les tout meilleurs en ce qui concerne le rapport qualité-prix. L’abonnement 2 ans (+3 mois offerts) est toujours à tarif cassé en cette fin d’année, 64.5€ TTC pour 27 mois de couverture, avec la création d’identités alternatives incluse. Et si vous pouvez vous faire rembourser la TVA, ça fera encore quasi 11€ de moins (53.74€).

Essayez Surfshark VPN au meilleur prix !

En novembre 2024, je vous parlais d’un crack Windows vieux de 17 ans qui fonctionnait encore. Et là, on est un an plus tard, et j’apprends que Microsoft l’a tué.

Mais c’est quoi ce bordel ??

En effet, selon plusieurs médias, Microsoft a bloqué KMS38 , la méthode d’activation offline fournie par Massgrave. Le Patch Tuesday de novembre (KB5068861 pour Windows 11 24H2/25H2) a donc intégré ces changements apparus dans le build 26100.7019 qui ont déprécié gatherosstate.exe, l’outil que les entreprises utilisaient pour migrer leurs activations KMS lors des mises à jour. Mais cela permettait aux pirates de tricher avec la période d’activation KMS et de la prolonger jusqu’au 19 janvier 2038. Ah les brigands ! lol

Cette date, du 19/01/2038 à 03h 14m 07 UTC précisément, c’est la limite du timestamp Unix 32-bit, le fameux bug Y2K38 ! En gros, KMS38 ne crackait pas vraiment Windows mais repoussait le moment fatidique où une activation serait nécessaire… Bon et alors ? Est ce que c’est une nouvelle victoire de Microsoft contre le piratage ?

Nop, que dalle.

Car HWID et TSforge fonctionnent toujours pour activer Windows dans le dos de Microsoft. Massgrave a même sorti le 11 novembre dernier sa version 3.8 de MAS (Microsoft Activation Scripts) baptisée “R.I.P. KMS38”.

Alors c’est tout pareil ? Non, pas vraiment car KMS38 fonctionnait offline, ce qui permettait d’activer Windows sans jamais contacter Microsoft. Et malheureusement HWID et TSforge fonctionnent uniquement online. Ils nécessitent donc une connexion internet pour stocker votre licence sur les serveurs Microsoft.

Cela veut dire qu’avant, avec KMS38, vous pouviez activer Windows en mode avion, vous déconnectiez la machine du réseau, vous lanciez le script, et hop, c’était activé jusqu’en 2038 et Microsoft ne savait même pas que vous existiez ! Et aucun Hardware ID ni de télémétrie n’étaient envoyés !

Alors que maintenant, même pour pirater Windows, vous devez demander aux serveurs de Microsoft de vous accepter. Car HWID crée une licence numérique permanente liée à votre matériel et cette licence est stockée chez Microsoft. Vous devez donc vous connecter initialement à leurs serveurs pour l’activer et à chaque réinstallation, vous devez obligatoirement vous reconnecter.

Bref, votre Hardware ID et votre config matérielle sont donc enregistrés dans la base de données de Microsoft. Et pour TSforge, c’est pareil. Connexion obligatoire sur un serveur Microsoft !

Voilà, donc en gros, pour pirater Windows, il faut maintenant se déclarer à Microsoft. Les criminels que vous êtes esquivent ainsi les 145 euros de la licence, mais donnent leur Hardware ID en échange d’un Windows activé et d’une dépendance permanente aux serveurs de Redmond.

Voilà donc comment Microsoft a choisi délibérément de casser un outil utilisé par ses propres clients pour continuer à collecter de la data, même quand l’utilisateur est un “pirate”…

Source

Bon vous savez tous comment marche votre antivirus. Il détecte un malware, il le bloque, et tout revient à la normale.

Mais si je vous disais que maintenant, c’est parfaitement possible qu’une heure plus tard le même malware se repointe, sauf que c’est plus le même, parce que son code a changé. Car entre temps, il a demandé à Google Gemini de le réécrire…

Bien c’est pas de la science-fiction, hein, c’est ce que décrit un rapport du Google Threat Intelligence Group (GTIG) qui nous présente une nouvelle génération de malwares qui intègrent des LLM directement dans leur exécution.

Plus de génération statique du code, c’est le malware lui-même qui appelle une API LLM pendant qu’il tourne, demande des modifications, se réécrit, et repart faire sa besogne.

Les deux exemples les plus marquants s’appellent PROMPTFLUX et PROMPTSTEAL .

PROMPTFLUX, c’est un dropper en VBScript qui appelle l’API Gemini pour obfusquer son propre code. Il se réécrit dans la base de registre Windows pour persister au reboot, puis demande à Gemini de générer de nouvelles variantes d’obfuscation. Son module interne s’appelle “Thinking Robot” et il interroge Gemini régulièrement du genre “Comment contourner l’antivirus X ? Propose des variantes de mon code pour éviter la signature Y.”

Gemini lui répond, le malware applique le conseil, se modifie, et se relance.

Comme les antivirus détectent les malwares par signatures ou comportements connus, si le malware change toutes les heures, les signatures deviennent immédiatement obsolètes. L’antivirus a alors toujours un coup de retard. Et PROMPTFLUX n’a même pas besoin d’un serveur C2 pour télécharger de nouvelles variantes puisqu’il génère ses propres variantes localement en demandant à Gemini.

GTIG estime que PROMPTFLUX est encore en développement et les échantillons analysés ne montrent pas de capacité réelle à compromettre un réseau. Mais ça reste une preuve de concept active… En gros, quelqu’un, quelque part teste cette approche.

PROMPTSTEAL, lui par contre, est déjà opérationnel. GTIG l’attribue à APT28 (FROZENLAKE), un groupe lié au renseignement militaire russe (GRU). Le CERT-UA l’a documenté sous le nom LAMEHUG en juillet dernier et c’est la première observation d’un malware qui interroge un LLM en opération réelle.

PROMPTSTEAL de son côté est écrit en Python. Il utilise l’API Hugging Face pour accéder au modèle Qwen2.5-Coder-32B-Instruct . Le malware envoie des prompts encodés en Base64, genre “récupère les infos système” ou “trouve les documents sensibles” et le LLM génère des commandes Windows d’une ligne qui sont ensuite exécutées localement par le malware. Ensuite ce dernier collecte les données et les exfiltre tranquillement.

L’astuce donc, c’est que le malware ne contient plus de commandes en dur. Il les génère à la volée selon le contexte comme ça, si l’environnement change, il demande de nouvelles commandes adaptées. Plus de pattern fixe à détecter et chaque exécution est différente.

GTIG mentionne aussi d’autres exemples tels que FRUITSHELL, un reverse shell PowerShell public qui contient des prompts pour contourner les protections LLM ou encore PROMPTLOCK, un concept de ransomware en Go qui utilise un LLM pour générer des scripts Lua de chiffrement.

Il y a aussi QUIETVAULT, un voleur de tokens JavaScript qui cible GitHub et NPM, puis exfiltre les résultats via des repos publics.

Tous ces malwares partagent la même idée : intégrer un LLM dans la chaîne d’exécution. Génération, obfuscation, commandes dynamiques, recherche de secrets… Le LLM devient un composant actif du malware !

Le rapport décrit aussi comment les attaquants contournent les protections des LLM à base d’ingénierie sociale dans les prompts. L’attaquant se fait passer le plus souvent pour un étudiant en sécurité, un participant à un CTF, ou encore un chercheur parfaitement légitime. Le LLM, configuré pour aider, répond alors à toutes les demandes.

Dans un cas documenté par GTIG, une tentative a mal tourné pour les attaquants. On le sait car dans les logs de leurs échanges avec le LLM, GTIG a trouvé des domaines C2 et des clés de chiffrement en clair. Les attaquants avaient oublié de nettoyer leurs tests et c’est grâce à ça que GTIG a récupéré l’accès à leur infrastructure puis l’a neutralisée.

Le rapport liste aussi les groupes étatiques actifs comme UNC1069 (MASAN) , lié à la Corée du Nord, qui utilise les LLM pour générer des deepfakes et voler des cryptoactifs. Ou encore UNC4899 (PUKCHONG) , aussi nord-coréen, qui emploie les modèles pour développer des exploits et planifier des attaques sur les supply chains.

De son côté, APT41 , un groupe étatique chinois, s’en sert pour obfusquer du code. Et le groupe iranien APT42 , a même tenté de construire un agent SQL qui traduirait des requêtes en langage naturel vers des commandes d’extraction de données sensibles. GTIG les a bloqué en coupant les comptes qu’ils utilisaient.

Et sur le marché noire, ce genre d’outils et de services multi-fonctions ont le vent en poupe. Génération de campagne de phishing, création de deepfakes, génération automatique de malwares, abonnements avec accès API…etc.

Leur modèle commercial copie celui des services légitimes avec une version gratuite basique pour gouter et un abonnement payant pour les fonctions avancées, avec des communautés Discord pour le support. Ça permet d’abaisser la barrière d’entrée pour les attaquants les moins expérimentés.

Côté défense maintenant, les recommandations sont assez classiques. Pensez à surveiller l’activité anormale des clés API qui pourraient être volées. Détectez les appels inhabituels à des services LLM externes depuis les processus. Contrôlez l’intégrité des exécutables et protégez tout ce qui est “secrets” sur les hôtes.

N’oubliez pas non plus de ne jamais, ô grand jamais, exécuter aveuglément des commandes générées par un modèle IA (je vous l’ai assez répété).

Voilà, tous ces exemples actuels sont expérimentaux mais le signal est donné et il est plutôt limpide : l’IA est en train de rendre les malwares plus virulents en leur permettant de s’adapter !

Source

Vous avez, j’imagine, probablement des dizaines de milliers de photos sur votre disque dur. Ça représente peut-être quelques centaines de Go, peut-être 1 To si vous êtes à l’aise en espace de stockage. C’est beaucoup ?

Pas tant que ça si on pense un peu à votre cerveau. Lui, il stocke depuis toujours des décennies de souvenirs dans environ 1,5 kg de matière organique qui consomme moins qu’une ampoule LED.

Comment est-ce qu’il fait ?

Hé bien, une équipe du Weizmann Institute of Science vient peut-être de le découvrir et au passage, changer la compression d’images telle qu’on la connaît.

Le projet s’appelle Brain-IT , et leur idée c’est de reconstruire des images à partir des signaux fMRI (imagerie par résonance magnétique fonctionnelle) de votre cerveau. En gros, ils scannent votre activité cérébrale pendant que vous regardez une image, et ils arrivent à reconstruire ce que vous avez vu. Le papier scientifique est dispo sur arXiv si vous parlez leur langue.

Évidemment, ce genre de recherche, c’est pas nouveau mais Brain-IT est plutôt un franc succès car le process permet d’obtenir les mêmes résultats que les méthodes précédentes avec seulement 1 heure de données fMRI, contre 40 heures pour les autres approches.

En gros, ça représente 97,5% de données en moins pour obtenir le même résultat. Trop fort non ?

En fait, si Brain-IT peut faire ça, c’est parce que les scientifiques ont découvert comment votre cerveau compresse les images de manière hyper efficace. Et d’ailleurs, ce truc pourrait bien inspirer de nouveaux algorithmes de compression pour nos ordis.

Brain-IT utilise en fait ce qu’ils appellent un “Brain Interaction Transformer” (BIT). C’est un système qui identifie des “clusters fonctionnels” de voxels cérébraux. Un voxel, c’est l’équivalent d’un pixel mais en 3D, et chaque voxel représente environ 1 million de cellules dans votre cerveau.

Le truc génial, c’est que ces clusters fonctionnels sont partagés entre différentes personnes, comme si nous avions tous la même bibliothèque de “primitives visuelles” câblée dans nos têtes. Ce sont des schémas de base que notre cerveau utilise pour reconstruire n’importe quelle image.

Brain-IT reconstruit donc les images en deux passes. D’abord les structures de bas niveau (les formes, les contours), puis les détails sémantiques de haut niveau (c’est un chat, c’est un arbre, c’est votre tante Huguette). C’est un peu comme le JPEG progressif que l’on voyait s’afficher lentement avec nos modem 56K, mais en infiniment plus smart.

Du coup, si on comprend comment le cerveau compresse les images, on pourrait créer de nouveaux formats vidéo ultra-légers. Imaginez un Netflix ou un Youtube qui streame en “brain-codec” à 1/40e de la bande passante actuelle. Ça changerait pas mal de choses… Et c’est pareil pour l’IA générative car actuellement, on entraîne des modèles avec des millions d’images durant des jours alors que notre cerveau, lui, apprend à reconnaître un visage en quelques expositions.

Et grâce à ses modèles de diffusion, Brain-IT est même capable de reconstruire visuellement ce que voit le cerveau ! Par contre, Brain-IT n’a pour le moment été testé que sur des images “vues” et pas des choses imaginées…

Mais les scientifiques n’écartent pas l’idée que ce soit possible donc ce n’est qu’une question de temps avant qu’on puisse capturer en image ses rêves par exemple.

Voilà, j’ai trouvé ça cool parce que ça montre que notre cerveau est probablement le meilleur système de compression d’images jamais créé et qu’on commence à peine à comprendre comment il fonctionne.

Merci Dame Nature !

Voilà, si vous voulez creuser, le code et les détails techniques sont sur la page du projet Brain-IT , et le paper complet est dispo sur arXiv .

Source