Comments

Pour précommander mon livre c’est par ici !

Et zou encore une petite famille de privilege escalation pour Linux.
(Permalink)

KimWolf : arrestation au Canada, botnet DDoS massif, objets connectés compromis et cible liée à la Défense US

… elle humidifie l’air et consomme de l’eau.

L’idée est de forcer l’évaporation d’eau (ce qui va absorber des calories, et donc refroidir de l’air), puis de rejeter l’air et l’eau ainsi refroidi.

En gros, c’est le principe d’une clim mais sans le principe du circuit fermé pour le liquide caloporteur, ni l’évacuation de la chaleur. L’énergie est toujours dans votre maison : sous forme de chaleur latente. Dès que l’humidité se liquéfie, elle rejette la chaleur. Donc effectivement, ça marche très bien dans un climat sec, mais pas dans une région humide.
Oh et puis si vous êtes dans un climat sec : tendez des serviettes humides sur un étendoir, mettez un ventilateur devant, et ça fera la même chose pour bien moins cher.

Dans la clim, on force le transfert thermique de l’air vers le fluide caloporteur (refroidit par évaporation et détente), puis ce fluide est envoyé dans l’unité extérieure où on force le transfert thermique du fluide vers l’air extérieur (fluide réchauffé par liquéfaction et compression).

Si c’est une clim réversible, il suffit de faire tourner le fluide en sens inverse : il est détendu dehors pour y capter les calories, et comprimé à l’intérieur pour lui faire rejeter la chaleur.

— (permalink)

OpenAI vient de sortir un modèle open source qui repère et masque les données perso dans un texte, et le plus marrant, c'est qu'il tourne chez vous, pas chez eux. Ça nous change ^^.

Ça s'appelle Privacy Filter , c'est sous licence Apache 2.0, et ce modèle chope les infos sensibles : noms, emails, téléphones, adresses, numéros de compte, dates perso, et même les secrets genre clés d'API ou tokens.

Il se compose de 1,5 milliard de paramètres au total, ce qui est tout petit, du coup ça tient sur un laptop et peut même tourner dans un navigateur via transformers.js. Et à chaque token, seulement 50 millions de paramètres bossent vraiment, puisque le modèle pioche dans ses "experts" au lieu de tout activer... donc c'est ultra rapide. Et vos données, elles, ne partent jamais en ligne, donc pour de la donnée sensible, c'est tip top !

Anthropic ajoute un nouveau levier de contrôle directement dans Claude pour arbitrer entre qualité des réponses et consommation de tokens. Une manière de rendre enfin visibles, ou du moins plus maîtrisables, les limites d’usage souvent subies.

Alors que l’acteur, réalisateur et producteur a affirmé avoir « mal lu » la tribune anti-Bolloré qu’il avait signée dans un premier temps avant de se rétracter, il n’a éprouvé aucune difficulté à lire sa fiche de paie.

L’article Jean-Pascal Zadi réussit parfaitement à lire sa fiche de paie est apparu en premier sur Le Gorafi.fr Gorafi News Network.

Agent secret, un métier comme un autre ? Dans l'enseignement supérieur, de coûteuses formations permettent désormais de se familiariser avec le monde du renseignement. Associant chercheurs et praticiens, elles procèdent d'un étrange mélange des genres. L'université et les « services » convolent (…) / France, Éducation, Sécurité, Police, État

À la frontière entre l'Inde et le Bangladesh, deux géants se jettent dans l'océan : le Gange et le Brahmapoutre. Alors que leurs bras se divisent, ces fleuves forment le plus grand delta du monde, qui s'étend sur plusieurs milliers de kilomètres carrés. Longtemps en conflit, grands félins et (…) / Inde, Bangladesh, Eau, Mer, Environnement, Tourisme, Animal

Le pari de Kyle McDonald, le site dont je vais vous parler aujourd'hui c'est que si une catastrophe se prépare, les milliardaires le sauront avant nous et fileront en jet privé. C'est pour cla que cet artiste-programmeur de Los Angeles a construit l' Apocalypse Early Warning System , un site qui surveille en temps réel l'activité des jets privés pour repérer le moment où les riches se barrent.

Son truc écoute un réseau de récepteurs radio répartis sur toute la planète, qui captent les signaux ADS-B des avions, à savoir leur position, leur altitude, leur direction et leur identifiant. McDonald filtre alors tout ça pour ne garder que les jets privés et d'affaires, soit plus de 35 000 appareils sur la carte, puis compare le nombre en vol à un instant donné avec ce qu'on devrait attendre normalement en cas de panique.

Dans un article de blog publié le 26 mai 2026, des chercheurs de Microsoft ont mis au jour une campagne malveillante d'un genre nouveau : des pirates détournent les résultats de recherche, et désormais les réponses des chatbots IA, pour infecter les PC puissants et exploiter leurs cartes graphiques à des fins de minage de cryptomonnaies.

Remplir un formulaire web, c'est sans doute l'activité la plus chiante qu'on puisse faire en ligne. C'est pourquoi Ben, un développeur qui me lit depuis 20 ans (merci !!!), a eu l'idée géniale d'en faire un jeu à part entière. Ça s'appelle Submit This Form, et c'est un puzzle game gratuit accessible via votre navigateur et dont le boss final est... le formulaire lui-même !

Votre objectif c'est donc de soumettre le formulaire. Facile non ? Bah pas tant que ça puisque ce formulaire fait absolument tout pour vous en empêcher. Chaque niveau ajoute une règle de validation plus absurde que la précédente, et c'est à vous de trouver la combine pour passer. J'vous jure, ça ma rappelé des vrais formulaires qui m'ont déjà rendu la vie dure.

Première série en live-action de l’Univers Spider-Man de Sony, Spider-Noir débarque le 27 mai sur Amazon Prime. Un Nicolas Cage inspiré se glisse dans le costume de l’Homme-araignée pour des aventures vintage dans le New-York des années 30. 

#Introduction
Bien que sensibilisé et éduqué au sujet, je ne pense pas me lancer dans toute une série d'articles sur les problématiques écologiques et le bilan carbone, par manque de temps et parce ce que d'autres le font bien mieux que moi. Étant flexitarien, me déplaçant en mobilité douce (à pied, vélo, transport en commun : bus ou RER), n'ayant pas pris l'avion depuis des années, ayant un logement chauffé à l'électricité (en France, donc majoritairement décarboné), mon bilan carbone (…)

- Blog

Alors que les entreprises se tournent vers l’IA agentique pour booster leur productivité, mais que les agents sont de plus en plus facturés en fonction du nombre de tokens utilisés, et non plus sous forme d’abonnement forfaitaire, il devient plus coûteux de payer l’IA que des employés, relève Fortune. Ce qui pourrait compliquer les projets […]

Voler un mot de passe ? C'est presque devenu accessoire. Le FBI a lancé une alerte sur Kali365, un kit de piratage qui s'introduit dans les comptes Microsoft 365 d'une entreprise sans jamais avoir besoin du mot de passe, ni du fameux code de la double authentification.

La protection que beaucoup imaginent solide ne sert plus à grand-chose ici. Hélas.

Kali365 n'est pas un virus classique. C'est ce qu'on appelle un kit de phishing en location : un service clé en main, vendu un peu comme un abonnement à un logiciel, sauf qu'il sert à pirater. Repéré depuis avril et distribué via la messagerie Telegram, il permet à n'importe quel apprenti pirate de lancer une campagne sans compétences techniques particulières. Le kit fournit les emails piégés rédigés par une IA, des modèles de campagne tout prêts, et même un tableau de bord pour suivre ses victimes en temps réel, la totale donc.

Anthropic, l'entreprise derrière l'IA Claude, a corrigé en douce deux failles dans le bac à sable réseau de Claude Code, son assistant de programmation. Un bac à sable, dans le jargon, c'est un enclos de sécurité : il est censé empêcher l'outil de se connecter à des serveurs non autorisés, pour éviter qu'il envoie vos données n'importe où. Sauf que pendant cinq mois et demi, cet enclos avait une porte dérobée.

anquée pendant 9 ans dans le noyau Linux, voilà ce que les chercheurs de Qualys viennent de déterrer. Son petit nom, c'est ssh-keysign-pwn ou DirtyDecrypt (CVE-2026-46333 pour les intimes), et elle permet à n'importe quel utilisateur local sans privilèges de passer root, de lire votre /etc/shadow et de piquer les clés SSH privées de votre serveur.

Et ce bug dormait là depuis novembre 2016, c'est à dire depuis la version 4.10 du kernel. Personne ne l'avait jamais vu et autant vous dire que 9 ans, en cybersécu, c'est une éternité !!

Votre vieux Galaxy S5 qui prend fort la poussière dans un tiroir, mérite mieux je crois !

Un dev, Capcom6 a mis en ligne SMS Gateway for Android , une app Kotlin sous licence Apache 2.0 qui transforme n'importe quel smartphone (Android 5.0+) en passerelle SMS programmable. Cela vous permet de récupérer une API REST pour ensuite envoyer et recevoir vos SMS avec votre propre téléphone et votre propre SIM et ainsi vous passer de services payants équivalents.

Le 23 juillet 2025, le Luxembourg entier s'est retrouvé sans réseau mobile, sans téléphone fixe et sans communications d'urgence pendant plus de trois heures.

Dix mois plus tard, on connaît enfin la cause grâce au média The Record : une faille jusque-là inconnue dans le logiciel d'un routeur Huawei.

Le mécanisme est presque bête. Du trafic réseau spécialement fabriqué a été envoyé vers des routeurs d'entreprise Huawei, et ce trafic les a fait redémarrer en boucle, sans jamais s'arrêter.

Meng Chen, doctorant à l'université Zhejiang, vient de prouver avec son équipe qu'on pouvait complétement détourner un assistant vocal IA avec un simple son que vous prendriez probablement pour un simple parasite. Avec sa bidouille, il a ainsi réussi à pousser les agents vocaux commerciaux de Microsoft et de Mistral à exécuter des actions que personne ne leur avait demandées.

Gloups !

L'attaque s'appelle AudioHijack, et ça consister à planque des ordres dans un fichier audio, une vidéo, un clip musical, une note vocale. Comme ça, le modèle qui l'écoutera vous obéira à VOUS, plutôt qu'à l'utilisateur. C'est comme une injection de prompt sauf que celle-ci s'entend à peine.

Si vous tournez sur un Windows 11 à jour, sachez qu'il existe une faille qui permet à un programme local spécialement conçu de grimper tranquillou jusqu'au compte SYSTEM. Pour rappel, c'est le compte tout-puissant de la machine, c'est à dire celui qui passe même au-dessus de l'administrateur ! Et cette faille elle s'appelle MiniPlasma, et elle vient d'être balancée en public sur GitHub par un chercheur planqué derrière le pseudo Nightmare-Eclipse.

Cult of the Dead Cow , un des plus vieux collectifs hacktivistes encore en activité, ne se contente pas que de balancer des manifestes politiques depuis 1984. Ils codent. Et leur dernier bébé en date s'appelle Veilid , et c'est un framework P2P qui veut faire à vos apps ce que Tor a fait à votre navigateur.

Histoire de vous expliquer, vous prenez Veilid, vous l'intégrez dans votre app mobile ou web, et d'un coup tout votre trafic passe par un réseau pair-à-pair (P2P) chiffré de bout en bout. Cela veut dire qu'il n'y a pas de serveur central qui stocke vos messages.

Parce qu'on parle justement beaucoup de sécurité ces derniers temps.

Extrait:
« – Une faille dans un module kernel n’attend pas qu’un comité valide une matrice de risque.
– Un attaquant ne s’arrête pas parce qu’un prestataire est certifié.
– Une fuite de données ne devient pas moins grave parce qu’une organisation peut produire un rapport de conformité.
– Une compromission ne disparaît pas parce qu’elle est correctement documentée après coup.

Les normes, les référentiels, les audits et les processus sont utiles : tant qu’ils sont utilisé comme des outils au service de l’objectif. Mais ils deviennent dangereux lorsqu’ils deviennent l’objectif et remplacent le jugement, l’ingénierie, la compétence, et qu’ils ne sont plus que des alibis qui produisent une sécurité administrative plutôt qu’effective.

C’est exactement ce qui m’a poussé à quitté cet univers. Une partie du secteur s’est mise à confondre la carte et le territoire. A remplacer la recherche d’efficacité par la recherche de conformité, la compréhension profonde par la validation externe, l’expérimentation par le respect des procédures et l’intelligence technique par la peur de sortir du cadre. »

Encore une fois, dès qu'une mesure devient un objectif, elle cesse d'être une bonne mesure.
(Permalink)