Bon, vous connaissez la théorie du travailleur nomade... vous vous posez dans un café avec votre laptop, vous chopez du WiFi gratuit, et vous vous dites que l'isolation client du routeur vous protègera des autres branquignols connectés au même réseau.

Hé ben non ! Car des chercheurs viennent de démontrer que cette protection, c'était du vent... Oui oui, tous les routeurs qu'ils ont testés se sont fait contourner en 2 secondes.

Les 404, c'est la plaie du web... J'en sais quelque chose, je fais la chasse à ça en permanence sur mon propre site. C'est vrai que c'est relou parce que vous bookmarkez un projet cool, vous y retournez trois mois après... et pouf, ça a disparu. Le dev n'a pas renouvelé son nom de domaine, l'hébergeur a fermé boutique, le contenu s'est évaporé ou que sais-je encore... En fait, sur le web, RIEN n'est permanent.

Standard Intelligence vient d'annoncer FDM-1, un modèle IA capable de contrôler n'importe quel ordinateur... en regardant l'écran et en cliquant. Comme nous !!

En gros le modèle regarde des pixels, comprend l'interface et exécute des actions. Clics, mouvements de souris, saisie clavier... et ça tourne à 30 FPS avec 11 ms de latence. Donc c'est beaucoup plus réactif que la plupart des français devant un formulaire administratif, quoi... ^^

Concrètement, vous pourriez lui demander de remplir vos tableurs Excel ou Google Sheets, de naviguer dans SAP, Salesforce ou n'importe quel logiciel métier sous Windows, macOS ou Linux, ou d'automatiser ces clics débiles que vous faites 200 fois par jour. Attention, c'est pas un bot Selenium ou un macro AutoHotkey hein. C'est vraiment un truc qui comprend ce qu'il voit à l'écran.

Claude Code tourne en local et c'est son gros avantage car ça permet par exemple d'agir sur votre machine, de lancer des scripts...etc. Mais c'est aussi sa grosse limite car à cause de ça, vous êtes cloué devant votre terminal. J'étais en quête depuis un moment d'une solution et je vous avais déjà parlé de Vibe Companion y'a pas longtemps mais tous ces outils vont disparaitre puisque Anthropic vient de sortir Remote Control, une feature qui transforme claude.ai ou l'app mobile en télécommande pour votre session locale. Comme ça, vos fichiers restent chez vous et seule l'interface voyage.

Les clés API Google que vous collez dans votre JavaScript pour afficher une carte Maps... hé bien elles ne sont plus si inoffensives. Car depuis que Gemini est entré dans la danse, ces mêmes clés donnent maintenant accès à vos fichiers privés et surtout à votre facture IA.

Et personne ne nous a prévenu...

En gros, Google utilise un format de clé unique, les fameuses AIza..., aussi bien pour Maps et Firebase (public, collé dans le HTML, tout le monde s'en fout) que pour Gemini (privé, accès aux fichiers, facturation). Le problème c'est que quand vous activez l'API Gemini sur un projet Google Cloud, TOUTES les clés existantes de ce projet héritent automatiquement de l'accès Gemini. Sans warning, sans notification, sans rien... Ouin !

C'est fou ce qu'on peut faire avec trois bouts de ficelle et un peu de jugeote. Ou plutôt, avec 140 caractères de JavaScript et un élément . Si vous ne connaissez pas encore Dwitter , c'est le moment de sortir de votre grotte les amis... surtout si vous aimez les challenges et le code !

Le concept c'est que vous avez une fonction u(t) où t est le temps qui passe, et vous devez pondre un truc visuellement bluffant sans dépasser la taille d'un tweet (époque pré-Elon, le fameux 140 caractères). Et là, c'est la claque car les mecs qui participent à ce défi arrivent à caser des univers entiers, des forêts en parallaxe ou des simulations de colonies de fourmis dans un mouchoir de poche.

Comments

Aujourd'hui j'aimerais vous parler un peu de bidouille et plus particulièrement de domotique. Hé oui, si comme moi, vous en avez marre que tous vos objets connectés passent par des serveurs chinois (souvent à la sécurité douteuse) ou américains (souvent directement connecté à la NSA) pour vous dire qu'il fait 22°C dans votre salon, on va voir comment ensemble créer ses propres capteurs 100% locaux avec ESPHome .

ESPHome, c'est un framework open source qui transforme n'importe quel ESP32 ou ESP8266 en appareil connecté intelligent sans vous prendre la tête. Vous écrivez un petit fichier YAML, vous flashez la puce, et hop, vous avez un capteur qui cause directement avec Home Assistant. Comme ça y'a pas de cloud et encore moins de données qui partent on ne sait où.

Un panneau stop, on se dit que c'est juste un bout de métal avec un peu de peinture rouge. On s'arrête, on repart, et puis voilà. Sauf que pour une IA qui pilote un gros engin à 4 roues, ce simple panneau peut devenir un véritable vecteur de tromperie visuelle !

Car oui je vous avais déjà parlé d'attaques de ce type par le passé, mais là, ça va encore plus loin. En effet, je suis tombé sur une étude des chercheurs de l'UCSC (University of California, Santa Cruz) qui en gros, ont trouvé un moyen d'induire en erreur des voitures autonomes et des drones en collant simplement des instructions sur des panneaux de signalisation customisés. Ils ont baptisé cette classe d'attaque CHAI pour Command Hijacking Against Embodied AI .

On nous parle d'agents IA à toutes les sauces depuis deeeees mois mais au final, on se retrouve la plupart du temps avec des outils "stateless" qui perdent le fil dès qu'une session se termine. Heureusement, le projet Personal AI Infrastructure (ou PAI pour les intimes) de Daniel Miessler propose justement de régler ce problème en classant les systèmes IA en 3 niveaux.

Le niveau 1, c'est le chatbot de base type ChatGPT... vous posez une question, il répond, il oublie tout. Le niveau 2, c'est l'agent (genre Claude Code ou Cursor) qui peut exécuter des trucs mais qui ne vous connait pas vraiment. Et le niveau 3, c'est PAI, une infrastructure complète qui observe, planifie, exécute et surtout... apprend de vous.

Rappel assez terrifiant que la plupart de nos normes, y compris les lois, sont là parce qu’elles sont nécessaires. En particulier pour ce qui est des normes de sécurité.

C’est bien parce qu’il y a eu des morts par le passé qu’il y en a beaucoup moins aujourd’hui, et ça c’est grâce aux règles de sécurité qu’on a mis en place.

Ces règles ne sont pas là juste pour emmerder le monde.

Je parle ici spécifiquement des règles de sécurité.
Tout ce qui est de règles sociales, économiques, esthétiques, fonctionnelles, culturelles… c’est autre chose. La société, les cultures, et les usages, par exemple, changent au fil du temps, et les règles devraient le faire avec (mais c’est rarement le cas). Le fait qu’il soit nécessaire de protéger les vies humaines, par contre, ça, ça ne devrait pas changer.

Dans certains cas, comme lors du Covid, il fut par exemple décidé de réduire les test sur les vaccins. En particulier pour une question d’urgence. Ce n’est pas forcément mal, du moment qu’on est sûr que le rapport bénéfice/risque reste sur-unitaire (ce qui a été très largement le cas).

Cela reste une exception : dans la vaste majorité des cas, il est largement préférable de suivre les règles de sécurité.

Salut les amis ! Aujourd'hui, je voulais vous partager une petite pépite qu'un lecteur, Stanislas, m'a envoyée. Si vous bossez dans la cyber ou que vous passez votre temps à analyser des trucs bizarres qui trainent sur vos serveurs, vous allez adorer Cyberbro.

Cyberbro c'est une plateforme d'analyse d'IoC (Indicators of Compromise) en open source. Grâce à ça, au lieu de vous paluchez 15 sites différents pour vérifier une IP ou un hash, vous balancez tout dans Cyberbro. L'outil va alors extraire automatiquement les infos de vos logs et interroger une vingtaine de services comme VirusTotal, MISP, Shodan, AbuseIPDB ou même Microsoft Defender pour vous dire si c'est dangereux.

GitHub vient peut-être de trouver une piste sérieuse pour sauver la santé mentale des mainteneurs de projets open source. Parce que je sais pas si vous le savez mais gérer un projet populaire sur GitHub, c'est un peu comme essayer de vider l'océan avec une petite cuillère, surtout avec la montée en puissance des contributions de faible qualité, dont une bonne partie est désormais générée par IA ...

Le problème, c'est que la quantité ne veut pas dire la qualité... Entre les Pull Requests (PR) qui ne respectent pas les guidelines du "README.md" et celles qui sont abandonnées en cours de route, les mecs derrière les gros dépôts commencent à fatiguer. Du coup, un représentant de GitHub explique dans une discussion avec la communauté explorer très sérieusement plusieurs options, dont la possibilité de désactiver purement et simplement les Pull Requests sur un dépôt.