AOOSTAR GEM10 SSD NAS Review – SUPER COMPACT FLASH!

With so, SO many Chinese players entering the OS-free NAS scene in the last couple of years, several names have bubbled to the top (natural selection in IT?) and one name that is making big waves is Aoostar! At a glance, you could easily lump them into the ever  growing pile of ‘mini PC’ companies that spam your Facebook pages, AliExpress and eBay. But what has set them apart is their specifically NAS-tailored development of their server releases. The mini PC crossover from SoC/Mobile scale processors of your favourite Intel Core or Ryzen processor is nothing new, but the growing market for NAS systems that need to spread the focus towards storage and network connectivity is all too often a leap that separates the men from the boys – and what has make Aoostar a player in this arena it would appear. Back in December ’23, I reviewed the Aoostar R1 and Aoostar R7, and I was massively impressed by what these affordable UnRAID/TrueNAS-ready boxes were achieving! Today is the turn of the Aoostar GEM10 – An m.2 NVMe Flash NAS System that features Gen4 SSD architecture, USB4, 32GB DDR5 Memory, 2.5G and oCulink. So, does the Aoostar GEM10 NAS deserve your hot data? Let’s find out in today’s review.

AOOSTAR GEM10 SSD NAS Review – Quick Conclusion

The Aoostar GEM10 is making some pretty bold hardware promises, given it’s scale! The ‘dazzle’ of how powerful mini PCs have been getting in the last few years has definitely become a little duller, as it grows more common. But given how Aoostar has merged this into a much more NAS-tailored system in a meaningful way that clearly cost some $ at the R&D level needs to be appalled. This is not a small SSD NAS with is covered in Mini-PC caveats – this IS a NAS and one that I think might well be the most powerful for it’s scale in the market right now (especially at $499+). That said, it certainly ain’t perfect! Network scalability is a mixed bag, the way memory has been approached (in architecture and ECC support) is debatable, the CPU choices in the range of 4 with the differing process and PCIe layouts is a big baffling and the full utility of oCuLink in this NAS context is still far from fleshed out. BUT, There are prosumer concerns for the more technically minded and IT sophisticated, which I think does not make up the bulk of this device’s target demographic. I struggle to call this system turn-key (due to it’s lack of an included NAS OS, even a 3rd party one, as seen in the UnRAID license-ready LincStation N1), but it’s certainly miles more user-friendly than full DiY. I have often spoken of the growing middle ground between full NAS DiY from the ground up and full ‘out the box’ turnkey from brands like Synology and QNAP. The Aoostar GEM10 is a FANTASTIC example of the kind of product that can evolve from this – well build, powerful, 3rd party OS ready and a step above the churned-out Chinese budget fodder found elsewhere in the ‘pre-built OS free NAS sector’. Recommended – IF you have the time to set it up right!

BUILD QUALITY - 10/10

HARDWARE - 9/10

PERFORMANCE - 7/10

PRICE - 8/10

VALUE - 8/10

8.4

PROS

Insanely Compact, especially for the hardware configuration
8 cores and 16 threads to play with on an SSD NAS - Yum Yum
Dual LAN Connectivity = failover
USB 4 Support and 4x 10G USB
oCuLink inclusion is unusual, but adds potential scalability
32GB LP Memory
TONNES of cooling and ventilation
No 3rd party NAS OS Locks or Limitations
Gen 4 Architecture on the SSD Bays
Scope to add a 4th M.2 SSD Bay (removing oCulink and WiFi6 Card)

CONS

Low Noise, but definitely not silent!
ECC Support and Memory overclocking is debatable
Confusion of CPU configurations

Where to Buy a Product
			VISIT RETAILER ➤
			VISIT RETAILER ➤

DEAL WATCH – Is It On Offer Right Now? These Offers are Checked Daily

AOOSTAR GEM10 SSD NAS Review – Design

The design of The GEM10 is a little beefier than most mini PCs (though, obviously much smaller than comparable desktop NAS devices running on MITX boards), and a lot of this space is needed for the chunky cooling system internally.

The GEM10 arrives at just 10.7cm x 10.7cm x 6cm in size and just a little under 1KG when fully populated with SSDs. The retail kit includes an external power adapter, instruction manual (which arrives in 2 languages and is a little space tbh), mini screwdriver and thermal pads. Depending on whether you purchase the version with SSD and 32GB DDR5 Media, this will change the # of thermal pads inc.

There is ventilation on practically every side of the device – which given the 8-core 4.7Ghz , 16 thread architecture of the device and it’s three Gen4 M.2 slots should NOT come as a big surprise! This tony little chassis has a lot crammed in and the potential for temperature-related system bottlenecks and throttling is MASSIVE!

Alongside the passive ventilation panels on all 4 sides and the top section (above where the CPU is located), the system also features who internal active cooling fans built into the top and base. Even a casual check through the vented panels reveals the internal heatsink of that CPU. This is a decent amount of cooling provisioning for the scale of the system, even for a Ryzen SoC like this one, for when SSD NAS operations truly kick off!

The base fan is not silent, but it manages to be pretty mild (in the grad scheme of things), as it is parallel with the desk when deployed. I will say that full control of this fan (and the CPU fan) is debatable, as the system does not arrive with NAS software (no Aoostor 1st party NAS OS, or an included UnRAID/TrueNAS/OMV license either). So, how much control you have over these cooling measures is going to be debatable.

For such a compact chassis, you can definitely feel the weight of the internals. The external casing is largely plastic, which I was a little surprised by. Nevertheless, you cannot fault that the brand has clearly factored cooling and ventilation in to their device, whilst still keeping an eye on keeping it fantastically compact. Let’s discuss the connectivity of the Aoostar GEM10.

AOOSTAR GEM10 SSD NAS Review – Ports and Connections

Credit where it is due – Aoostar has done a 10/10 job here to get as many ports featured on this device as they have, given the scale of the GEM10. The ports are located on the front and rear panel, and although there are the usual ‘mini PC’ telltale ones (audio in/out for example, that has practically no use in traditional NAS outside of a locally deployed VM), I will definitely give them credit for keeping pretty much everything else very NAS friendly – with a fun little twist at the end!

The ports are largely separated into network ports and storage ports (at least when you use NAS software) with the front featuring 2x USB 3.2 Gen 2 (10Gb/s), USB 4 (40Gbps) and an Oculink port (more on that later).

The rear on the other hand features two 2.5GbE ports (so, a little good news / bad news there), twin HDMI 4K/8K outputs and two more USB 3.2 Gen 2 10Gb ports. So, although this mini NAS is a little more on the expensive side compared to other Mini SSD NAS that have been launched from China in the last 18 months, I will say that this device features some of the very ports hardware ports out there I have been at this price point.

We are starting to see more and more USB4 NAS-ready devices arrive on the market from China, as the booming industry for NAS-ready Mini ITX and Micro ITX boards scene grows more and more. However, once again, the extent to which you can use this functionality is hugely NAS OS-dependent. So, although I am willing to bet that most NAS software you install on this will happily give you USB 4 speeds on a connected external SSD drive, I do not think we will see this for use as a direct PC/Mac-to-NAS connection anytime soon – QNAP still dominates the market on Thunderbolt NAS devices that allow such a feature.

The GEM10 arriving with two 2.5G ports is mixed news really. Obviously, these two (even if your NAS OS of choice supports LAG, Trunking, SMB MultiChannel or even Load Balancing) mean a total network connection potential of 550MB/s or so (half a gigabyte) network throughput, so these are going to be massively oversaturated with even a single SSD inside. That said, there are still a lot of users who will be happy with this (at least you have 2x ports for failover) as they prioritize internal performance, IOPS and throughput for complex databases, VMs, containers and more. Given the scale of the system, you won’t be surprised to learn that a PCIe slot is simply not available for any kind of NIC upgrade card. You CAN use 2.5G/5G-to-USB adapters (again, NAS OS dependant) as the system has several USB ports available, but the system also arrives with another trick up its sleeve – oCuLink.

OCuLink is a relatively new kind of technology that allows the benefits and scalability of PCIe to be available over an external connection. Hotswapping and plug-n-play is still not in anyway advised, but it does mean that the GEM10 has the potential to add PCIe-connected hardware upgrades (via supports Oculink-to-PCIe enclosures). oCuLink is predominantly associated with eGPU upgrades to allow the power of graphics cards to be added to systems with ease, but the potential to use this for improved network connectivity with 10G/25G/100G cards is MASSIVE!

Noise-wise, I cannot say that the GEM10 is silent by any means. Because of the two FANS inside (base and CPU fan) during peak periods, the ambient noise was noticeable. It was still very much on a small scale and the only really problematic at less than 1 metre distance, but they were definitely there! In idle, the fans were non-existent in noise and I had to check a couple of times to see that it was on! But when the SSDs were in heavy write (as well as during the initial 15 secs of boot), the fans were around 32-35 db.

The power use of the Aoostar GEM10 was pretty reasonable. Obviously, we have to factor in that this is an exclusively M.2 NVMe system and therefore this does seemingly scale the power use down, but this is still a pretty beefy CPU inside (comparative to the non SoC version of course). Idle power use was a conservative 10-12W (this was after the initial boot, running UnRAID and then the system was left to go into IDLE, with all drives in idle).

During heavy active use (UnRAID, accessing all drives and the CPU at 50-60% utilization) the power use was at 34-38W. Had this been a SATA HDD system, it would likely have hit the 50-60W scale easily. Pretty good for the size of the system.

Keep in mind that the CPU supports power adjustment at BIOS and, depending on your NAS OS choice, could result in even better power consumption numbers in your own bespoke setup. Overall, I am not going to say that the GEM10 gives you anything incredible in the connectivity department – but I will say that it is a complete gamechanger when compared to what is on offer from the bulk of Mini-PC NAS hybrid devices in the market. Aoostar have clearly spent serious time and R&D to finesse their NAS range (the GEM10, GEM12, R1 and R7 series are great examples) that are designed to be more than just a mini PC that is pretending to be a NAS. The GEM10 here has the kind of connectivity that I would love to see on more traditional turnkey NAS devices. But what good is all that connectivity, without the right H/W inside to fulfil it! Let’s discuss the internal hardware.

AOOSTAR GEM10 SSD NAS Review – Internal Hardware

The base of the system come away with the removal of four base screws. Doing so reveals the individual storage bays, the WiFi 6 wireless NIC structure and the base cooling and active fan provisioning.

The base fan is encased in its own panel and the intervening panel is a metal plate that sits directly connected to the M.2 SSDs. This is pretty smart (in a way) as it ensures that the heat being generated by the SSDs (Gen4 m.2 SSDs remember) will be passed (via the thermal pads) directly into the metal panel and dissipated into the airflow of the fan. Not an unusual method, but a smart tradeoff of the limited space and creative cooling.

The system arrives with three gen 4×4 SSD bays (according to the specifications tables, but there is room for debate, given the 4 different CPU configurations that are available in the Ryzen 7 7840HS, 7735H, 6800H and Ryzen 9 7940HS), so I will be digging into the BIOS and SSH later on to check. Plus, it becomes clear wh the included thermal pads that the GEM10 arrives with were so thin – there is very VERY little space between the individual M.2 bays and the metal fan-assisted panel. You can FORGET any kind of m.2 heatsinks in between, even particularly aggressive heatshields on SSDs are going to be a little tight.

If you purchase the pre-populated 1TB model, it arrives via a BIWIN 1TB Gen 3×4 SSD (available here for specs on Amazon). On the one hand, having an OS drive is always going to be handy, and in the case of some NAS OS such as TrueNAS, you need a clearly separate operating system OS drive target. But the drive being Gen3 means that you are already potentially underusing that Gen4 slot (you only have x3 total!). Additionally, if you plan on NAS software such as UnRAID (running from an USB) it means that you will need to replace this drive with something a little more uniform and higher performance soon-ish! Just a note to keep in mind when buying a pre-configured version of the GEM10.

Interestingly, another move by Aoostar here to manoeuver so much connectivity into this slim size (and be as efficient as possible with the 20 lanes afforded to that SoC Ryzen AMD chip) is that alongside those 3 Gen4 slots, they have added an adapter into a 4th slot that separates into a wireless NIC adapter slot and into that oCuLINK connector on a riser board. Obviously, this does bring up the question of removing the adapter card to remove wireless connectivity and the oCuLink, in favour of a 4th SSD. That’s one to ponder, for sure!

The WiFi 6 card is a fairly common $20-30 AX200NGW Intel adapter, that has 2×2 connectivity via two antennae that run from the card to two sides of the enclosure – so 2.4Ghz and 5Ghz, and 800Mb and 1.2Gb wireless bands afforded to you. Once again, the NAS OS you use makes all the difference and very few NAS OS’ actually support wireless connectivity in both connections (i.e to attach the NAS to your WiFi network AND connecting to the NAS over WiFi directly as it’s on AP.

Accessing the underside of this board, to access that CPU proved very difficult, as it would undermine the later tests in this article (so I will be coming back to this at a later date and/or in the review). The CPU in the model I reviewed was the AMD Ryzen 7 6800HS mobile SoC and 32GB of memory (pre-attached via individual flash cells – no upgrading). The R7 6800HS integrates all eight cores based on the Zen 3+ microarchitecture. They are clocked at 3.2 (guaranteed base clock) to 4.7 GHz (Turbo) and support SMT / Hyperthreading (16 threads). The chip is manufactured on the modern 6 nm TSMC process. The HS variant offers a 10 W reduced TDP and therefore a lower sustained performance than the H version.

AMD Ryzen 7 6800HS

Product Family

AMD Ryzen Processors

Product Line

AMD Ryzen 7 Mobile Processors with Radeon Graphics

# of CPU Cores

8

# of Threads

16

Max. Boost Clock

Up to 4.7GHz

Base Clock

3.2GHz

L1 Cache

512KB

L2 Cache

4MB

L3 Cache

16MB

Default TDP

35W

Processor Technology for CPU Cores

TSMC 6nm FinFET

Unlocked for Overclocking

No

CPU Socket

FP7

Max. Operating Temperature (Tjmax)

95°C

*OS Support

Windows 11 – 64-Bit Edition

Windows 10 – 64-Bit Edition

RHEL x86 64-Bit

Ubuntu x86 64-Bit

*Operating System (OS) support will vary by manufacturer

Graphics Model

AMD Radeon 680M

Graphics Core Count

12

Graphics Frequency

2200 MHz

The new Zen 3+ is a refresh of the Zen 3 architecture and should not offer a lot of changes. The chip itself however, offers a lot of new features, like support for USB 4 (40 Gbps), PCI-E Gen 4, DDR5-4800MT/s or LPDDR5-6400MT/s, WiFi 6E, Bluetooth LE 5.2, DisplayPort 2, and AV1 decode. A big novelty is the integrated GPU Radeon 680M, that is now based on the RDNA2 architecture and offers 12 CUs at up to 2.2 GHz. It should be the fastest iGPU at the time of announcement. This Ryzen 7 has a default TDP of 35 W (also known as the long-term power limit). Which is definitely too high to allow for passively cooled designs. The CPU is cooled by a pre-attached double copper pipe radiator that fans out into the edges of the case.

The scope of this processor is great and exactly the kind of processor you would want if you want to have fast and stable performance from a RAID’d group of SSDs in such a compact system. The fixed memory, although of a decent amount at 32GB (4x 8GB Cells, attached to PCB, not SODIMM), is annoying that it is fixed – additionally, there have been mixed reports online supporting the overclocked speed potential of the LPDDR5-6400 in this configuration.

Plus, there is a lot of ‘grey’ when it comes to ECC support here too – as the 6800HS DOES support ECC memory, but it is very much BIOS, physical config and OS dependant to a degree – so ECC is only really going to be a ‘thing’ here if Aoostar have included it! All that aside, if you are less interested in hardware tinkering and OC’ing the architecture and just looking for fast and stable performance in the default config 0 this has ALOT of the building blocks in hardware that you would want to see on a competent flash NAS.

AOOSTAR GEM10 SSD NAS Review – Software and Performance

The Aoostar GEM10 NAS unit I received arrived with Windows 11 on board and an included OS SSD (this drive is available included, alongside the 32GB pre-attached memory). This software will almost certainly be abandoned after purchase, in favour of the system having UnRAID, TrueNAS, OMV, etc installed by the end user, but whilst it was there, I took a moment to check the Geekbench scores for the CPU and GPU. The GEM10 scored a highly respectable 2039/9435 Single/multi core rating.

The GPU score (something that many plex/vm/container users are going to be concerned with) was pretty good for a smaller class system, at 29336.

Digging into the terminal/SSH we were able to learn a little more about the PCIe allocation across the system. That SSD that was included with the device in m.2 NVMe SSD Bay #1 was indeed a PCIe Gen 4×4 slot, without any kind of downgrade in place – nice to see!

Likewise, slots 2 and 3 were also both 4×4 and not downgrade – surprisingly rare in 2024, with so many flash systems in the market needing to lower the speeds of m.2 bays for reasons of resource use, bifurcation or just heat generation.

Performance testing on these bays was reasonable, with the Seagate Ironwolf 525 SSD (with a reported maximum performance of 5GB/5,000MB/s) hitting in excess of 4GB/s Read on sustained/repeated 1GB file tests.

Likewise, the maximum reported write performance of this drive of 4.4GB/s / 4,400MB/s by Seagate, was not too far off the 3.85GB/s average performance that the drive reached in the GEM10 in sustained 1GB write testing.

Then I tested the performance of copying data between 2 of the M.2 NVMe SSDs. This ended up hitting quite a low number at 1.155GB/s. This was not unusual (shared channel/lane etc vs system overhead etc). but I would have liked/hoped to have at least seen this hit closer to 2GB at least. Still not, terrible, just not great.

The top performance you should be expecting will be MASSIVELY influenced by the drives you chose to use and the NAS OS you choose to install. In the UnRAID and Seagate 525 Ironwolf setup I use, the power use, noise, performance and response times I observed were all pretty solid. But there’s plenty of room for improvement/error in other configurations compared with a standard turnkey solution, especially at this scale.

I reached out to Aoostar on some of the areas of this GEM10 Review that users frequently asked about with Mini PC styled NAS devices, and Aoostar was able to provide the answers to the most recurring questions below

Q – Why Does the Aoostar GEM10 not have ECC Memory?

A – On the subject of ECC, currently 95% of the mini computers on the market don’t support ECC memory, it’s not that we don’t want to get it that way, it’s restricted by some part of the authority, so it leads to most of the mini computers on the market don’t support ECC memory at the moment. However DDR5 does support on die ECC, which provide a similar level of data inconsistency protection.

Q – Why is the Aoostar GEM10 at a maximum 32GB of memory when the CPU supports more?

A – Unfortunately, there is no 64G of inlay RAM available at this scale and deployment, it’s not that we don’t want to do this configuration. If you want to use dual-channel DDR5 RAM like other models, then the size will be bigger, and it will not be able to meet the “mini size” we advertise. But the 32G RAM capacity is good enough for most uses

Q – With so many configurations of the GEM10 and GEM12 series, how does a buyer avoid confusion on what they need?

A – In view of your confusion about the configuration of the GEM10 series of CPUs, let me introduce you to the GEM10 series of CPUs: GEM10 AMD R7 6800H CPU (inlaid memory 32G); GEM10 AMD R7 7735H CPU (inlaid memory 16G, currently discontinued); GEM10 AMD R7 7840HS CPU (32G of inlay memory); GEM10 AMD R9 78940HS CPU (32G of inlay memory). The best price/performance ratio is the GEM10 6800H CPU, but as a company that puts a lot of money into R&D and seeks to produce cost-effective products, the GEM10 Intel N100 SKU (32G of inlaid memory) is already ready, but we are still testing it for the engineering machine, and it should be officially launched in a few months.

Q – Why does the GEM10 use USB4 and not Thunderbolt4?

A – About Thunderbolt and USB4 ports. As we all know, the Thunderbolt interface is Intel’s project, so they produce their own mini-computers are equipped with the Thunderbolt interface. USB4 interface is more open, AMD does not have a proprietary interface of the project, and they, as a competitor to INTEL, want to get the authorization of the Thunderbolt interface is in fact very difficult, which is why the market is equipped with the AMD mini-computer are USB4 interface! . Our company will also launch the INTEL series of minicomputers next month, but I still don’t know whether the project team will license these minicomputers with Thunderbolt interfaces or USB4 interfaces

AOOSTAR GEM10 SSD NAS Review – Conclusion and Verdict

The Aoostar GEM10 is making some pretty bold hardware promises, given it’s scale! The ‘dazzle’ of how powerful mini PCs have been getting in the last few years has definitely become a little duller, as it grows more common. But given how Aoostar has merged this into a much more NAS-tailored system in a meaningful way that clearly cost some $ at the R&D level needs to be appalled. This is not a small SSD NAS with is covered in Mini-PC caveats – this IS a NAS and one that I think might well be the most powerful for it’s scale in the market right now (especially at $499+). That said, it certainly ain’t perfect! Network scalability is a mixed bag, the way memory has been approached (in architecture and ECC support) is debatable, the CPU choices in the range of 4 with the differing process and PCIe layouts is a bit baffling and the full utility of oCuLink in this NAS context is still far from fleshed out. BUT, There are prosumer concerns for the more technically minded and IT sophisticated, which I think does not make up the bulk of this device’s target demographic. I struggle to call this system turn-key (due to it’s lack of an included NAS OS, even a 3rd party one, as seen in the UnRAID license-ready LincStation N1), but it’s certainly miles more user-friendly than full DiY. I have often spoken of the growing middle ground between full NAS DiY from the ground up and full ‘out the box’ turnkey from brands like Synology and QNAP. The Aoostar GEM10 is a FANTASTIC example of the kind of product that can evolve from this – well build, powerful, 3rd party OS ready and a step above the churned-out chinese budget fodder found elsewhere in the ‘pre-built OS free NAS sector’. Recommended – IF you have the time to set it up right!

SUBSCRIBE TO OUR NEWSLETTER
[contact-form-7]
Join Inner Circle

Want to follow specific category? Also Read...AOOSTAR GEM10 NAS ReviewAoostar R1 and R7 2-Bay NAS Re Subscribe You can also follow specific search terms:

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

TRY CHAT

If you like this service, please consider supporting us. We use affiliate links on the blog allowing NAScompares information and advice service to be free of charge to you.Anything you purchase on the day you click on our links will generate a small commission which isused to run the website. Here is a link for Amazon and B&H.You can also get me a Ko-fi or old school Paypal. Thanks!To find out more about how to support this advice service check HEREIf you need to fix or configure a NAS, check Fiver Have you thought about helping others with your knowledge? Find Instructions Here  

Or support us by using our affiliate links on Amazon UK and Amazon US

    

 

WE LOVE COFFEE

Microsoft est à l’origine d’une nouvelle construction de Windows 11 sur le canal Release Preview du programme Windows Insider. 

Cet article Windows 11 build 22621.3668 et 22631.3668 déploient plusieurs nouveautés a été publié en premier par GinjFo.

Asus Vietnam (via @rquandt) dévoile par erreur la fiche produit de son premier ordinateur portable Qualcomm Snapdragon X Elite.

Cet article Snapdragon X Elite, Asus dévoile par erreur son PC portable Vivobook S 15 OLED a été publié en premier par GinjFo.

Une nouvelle Preview de Windows 11, la build 22635.3640 débarque. Elle se déploie au travers de la mise à jour KB5037867.

Cet article Windows 11 build 22635.3640 se déploie avec deux nouveautés, les détails a été publié en premier par GinjFo.

Les chasseurs de bugs et les experts en sécurité web sont toujours à la recherche d’outils pour optimiser leur boulot et dénicher des vulnérabilités et justement, il y a un nouveau venu qui risque bien de faire parler de lui : WebCopilot !

Open source, cet outil d’automatisation combine les fonctionnalités de dizaines d’autres outils réputés comme Subfinder, Nuclei, Amass ou encore SQLMap histoire de vous faire gagner un temps précieux en prenant en charge de A à Z les tâches répétitives et chronophages de l’énumération des sous-domaines, du filtrage des paramètres à risque et du scan des vulnérabilités les plus critiques.

Pour cela, il suffit de lancer WebCopilot sur un domaine cible et il s’occupe de tout :

• Énumération des sous-domaines via une batterie d’outils (Assetfinder, Sublist3r, Amass, Findomain…)
• Crawl de tous les endpoints des sous-domaines identifiés
• Filtrage des paramètres potentiellement vulnérables aux failles XSS, SQLi, LFI, SSRF, Open Redirect… grâce aux patterns de l’outil gf
• Et enfin, scan des vulnérabilités via des outils comme Nuclei, Dalfox, kxss, SQLMap ou crlfuzz

Vous obtiendrez ensuite un rapport complet qui répertoriera tous les points d’entrée intéressants.

             
                                ──────▄▀▄─────▄▀▄
                                ─────▄█░░▀▀▀▀▀░░█▄
                                ─▄▄──█░░░░░░░░░░░█──▄▄
                                █▄▄█─█░░▀░░┬░░▀░░█─█▄▄█
 ██╗░░░░░░░██╗███████╗██████╗░░█████╗░░█████╗░██████╗░██╗██╗░░░░░░█████╗░████████╗
░██║░░██╗░░██║██╔════╝██╔══██╗██╔══██╗██╔══██╗██╔══██╗██║██║░░░░░██╔══██╗╚══██╔══╝
░╚██╗████╗██╔╝█████╗░░██████╦╝██║░░╚═╝██║░░██║██████╔╝██║██║░░░░░██║░░██║░░░██║░░░
░░████╔═████║░██╔══╝░░██╔══██╗██║░░██╗██║░░██║██╔═══╝░██║██║░░░░░██║░░██║░░░██║░░░
░░╚██╔╝░╚██╔╝░███████╗██████╦╝╚█████╔╝╚█████╔╝██║░░░░░██║███████╗╚█████╔╝░░░██║░░░
░░░╚═╝░░░╚═╝░░╚══════╝╚═════╝░░╚════╝░░╚════╝░╚═╝░░░░░╚═╝╚══════╝░╚════╝░░░░╚═╝░░░
                                                      [●] @h4r5h1t.hrs | G!2m0

Usage:
webcopilot -d <target>
webcopilot -d <target> -s
webcopilot [-d target] [-o output destination] [-t threads] [-b blind server URL] [-x exclude domains]

Flags:  
  -d        Add your target [Requried]
  -o        To save outputs in folder [Default: domain.com]
  -t        Number of threads [Default: 100]
  -b        Add your server for BXSS [Default: False]
  -x        Exclude out of scope domains [Default: False]
  -s        Run only Subdomain Enumeration [Default: False]
  -h        Show this help message

Example: webcopilot  -d domain.com -o domain -t 333 -x exclude.txt -b testServer.xss
Use https://xsshunter.com/ or https://interact.projectdiscovery.io/ to get your server

Fini les heures passées à lancer des dizaines de commandes et à corréler les résultats comme ça, vous pourrez vous concentrer sur l’analyse des vulnérabilités.

Côté utilisation, c’est ultra simple. Il suffit de cloner le repo Github, d’installer les dépendances…

git clone https://github.com/h4r5h1t/webcopilot && cd webcopilot/ && chmod +x webcopilot install.sh && mv webcopilot /usr/bin/ && ./install.sh

…et vous pouvez lancer des scans en une seule commande :

webcopilot -d domain.com -o rapport

Et si vous voulez pousser la configuration plus loin, pas de problème ! WebCopilot propose tout un tas d’options bien pratiques comme :

• -s pour ne faire que de l’énumération de sous-domaines
• -x pour exclure certains domaines du scan
• -b pour spécifier un serveur « blind XSS » externe
• -t pour régler le nombre de threads et accélérer les scans

Bref, c’est l’outil pratique pour industrialiser encore un peu plus votre processus de bug bounty.

A découvrir ici !

Vous pensiez que les vieux Windows étaient devenus inoffensifs avec le temps ? Détrompez-vous ! Le bidouilleur Eric Parker s’est récemment amusé à exposer directement sur Internet des machines tournant sous Windows XP, 2000 et 98, sans aucune protection… et le résultat est franchement flippant.

Parce que oui, même en 2024, quand on branche en direct un vieux Windows sur le net, sans pare-feu matériel pour filtrer les connexions non désirées, c’est le scénario catastrophe assuré. Votre antiquité numérique se retrouve à poil sur les réseaux, à la merci du premier script kiddie venu. Et ça ne fera pas long feu avant que votre bécane ne soit infestée de malwares !

Commençons par Windows 98. Lors de son test, Eric a eu beau patienter, rien ne s’est passé. Pas l’ombre d’un ver, backdoor ou cheval de Troie à l’horizon. Il semblerait que la vieille bécane bénéficie d’une forme de « sécurité par l’obscurité ». Avec si peu de Windows 98 encore connectés, les hackers ne prennent plus la peine d’écrire des exploits dédiés. Ouf !

Passons à Windows 2000. Là, c’est une tout autre histoire ! À peine connecté, les scans de ports ont révélé la présence de SMB, le protocole d’échange de fichiers, réputé pour ses failles béantes. Et quelques minutes plus tard, patatra ! Un bel écran bleu, suivi d’un redémarrage en boucle. En inspectant le système, Eric a découvert une backdoor signée « Shang Xen Smartphone Technology », des modifications de fichiers systèmes et même un mystérieux exécutable caché dans un dossier Temp. De quoi transformer la machine en parfait zombie à la solde des pirates !

Et Windows XP dans tout ça ? Pareil, 10 minutes chrono pour chopper un premier trojan « conhost.exe ». S’en sont suivis la création d’un compte administrateur, l’apparition d’un serveur FTP ouvert aux quatre vents, et tout un tas de saletés en provenance de Russie, le tout bien planqué dans le système. En bonus, un malware s’est même amusé à éjecter Malwarebytes, l’anti-virus qu’Eric avait installé. Bref, un joyeux bazar et une prise de contrôle totale de la machine, malgré un semblant de résistance du pare-feu intégré de XP.

Alors oui, ces expériences peuvent paraître un peu artificielles. Après tout, qui serait assez fou pour connecter directement un Windows préhistorique sur le net aujourd’hui ? Mais elles illustrent bien les progrès en matière de sécurité, et l’importance cruciale des protections réseau modernes (merci le NAT et les pare-feu !).

Et la morale de l’histoire ?

Primo, ne jamais sous-estimer les vieux Windows, ils sont toujours aussi vulnérables qu’à l’époque. Deuxio, faites tourner vos antiquités dans une VM ou un réseau isolé si vous y tenez. Tertio, soyez vigilants même sur les OS récents, les hackers affinent toujours leurs techniques pour exploiter la moindre faille.

Prenez soin de vos ordi, et à demain 🙂

Source

Ça chauffe du côté des distributions UNIX open source, mes amis. Gentoo et NetBSD viennent de dégainer leur arme anti-IA en bannissant purement et simplement le code généré par de l’intelligence artificielle. Bye bye Copilot, au revoir ChatGPT, votre code IA devient persona non grata chez les irréductibles du libre !

Mais pourquoi tant de haine ? Eh bien nos amis de Gentoo et NetBSD ont plus d’un arguments dans leur sac banane. Premier grief : le copyright. Avec ces IA qui pompent allègrement du code à droite à gauche, on ne sait plus trop à qui appartient quoi. Pas question donc de se retrouver avec du code « contaminé » qui violerait les sacrosaintes licences open source.

Deuxième point noir : la qualité. Vous avez déjà essayé de faire générer du code par ChatGPT ? C’est joli, ça a l’air de marcher… mais y’a quand même souvent des bugs ! Hors de question donc pour Gentoo et NetBSD de laisser entrer du code foireux dans leur précieux dépôts. Ils tiennent à leur réputation de stabilité et de fiabilité, nom d’un kernel en mousse !

Ah et puis il y a aussi la question de l’éthique. Leur point de vue, c’est qu’entre la consommation gargantuesque d’énergie, les violations de copyright pour les entraîner et leur utilisation pour spammer et arnaquer à tout-va, y a de quoi refuser tout ça en bloc. Ils ne veulent pas tremper là-dedans. Et d’un côté, je peux les comprendre.

Alors bien sûr, cette décision va à contre-courant de la hype actuelle mais Gentoo et NetBSD ne sont pas du genre à suivre la mode aveuglément et croient dur comme fer à l’importance du travail humain. Cela ne veut pas dire qu’ils rejettent complètement l’IA évidemment… Ils restent ouverts mais pour l’instant, c’est trop hasardeux. D’autres distrib comme Debian hésitent encore à rejoindre ce mouvement…

Perso, je pense que la question éthique et celle du copyright sont des vraies problématiques pour tous les projets libres car cela pourrait ruiner leurs efforts quand à la licence qu’ils s’attribuent ou leurs objectifs écolo… exactement comme Microsoft qui, en ce moment, est en train de ruiner tous ses efforts de développement durable de ces dernières années en poussant l’IA à fond…

Par contre, je ne suis pas vraiment d’accord avec eux sur la qualité du code produit. Certes, il y a des bugs mais exactement comme avec un humain. Donc, à mon sens, c’est pas pire ou pas mieux, surtout que le dev qui utilise l’IA est quand même censé repasser dessus et corriger les bugs éventuels.

On verra bien quelles distributions suivront ce mouvement éthique. Perso, je suis plutôt très chaud sur l’IA, comme vous le savez, mais en ce qui concerne ce cas spécifique du logiciel libre, je pense que Gentoo et NetBSD prennent la bonne décision en jouant la prudence. Pour le moment, ce n’est pas encore pour eux et ce serait prendre trop de risques.

Mais un jour, ça changera peut-être… On verra bien.

Source

Vous êtes fan de Discord et vous aimez bidouiller des trucs ?? Alors préparez-vous à découvrir Discord LLMCord. C’est un petit bout de code qui va vous permettre de causer avec des IA directement dans vos canaux, comme si c’étaient vos potes. Et ça marche avec à peu près tous les modèles de langage, qu’ils soient hébergés à distance ou en local sur votre bécane.

Pour lancer une conversation, il suffit de tagger le bot et hop, c’est parti mon kiki. Vous pouvez continuer la discussion en répondant aux messages et ainsi construire des fils de discussion complets. Vous pouvez par exemple :

• Poursuivre votre propre conversation ou celle de quelqu’un d’autre.
• « Rembobiner » une discussion en répondant à un vieux message.
• Poser une question sur n’importe quel message de votre serveur en taguant le bot.

En plus, si vous envoyez plusieurs messages à la suite, ils seront automatiquement mis bout à bout et si vous répondez juste au dernier, le bot verra tous les précédents. Vous pouvez aussi déplacer une conversation dans un fil sans perdre le fil (lol). Il vous suffit de créer un thread à partir d’un message et de tagger le bot dedans pour continuer à papoter.

Côté compatibilité, ça supporte les modèles distants d’OpenAI, Mistral, Anthropic et plein d’autres grâce à LiteLLM. Si vous voulez faire tourner un modèle en local, pas de souci non plus puisque ça marche avec OLLaMa, OobaBooga, Jan, LM Studio ou n’importe quel serveur d’API compatible OpenAI.

Le bot gère même les images si vous utilisez un modèle de vision comme GPT-4, Claude-3 ou LLaVA. Il a un prompt système personnalisable et vous pouvez lui parler en DM pour plus d’intimité (pas besoin de le tagger).

Si vous utilisez l’API OpenAI, LLMCord est également capable de reconnaître l’identité des utilisateurs. De plus, les réponses s’affichent en temps réel, avec un joli dégradé de vert quand c’est fini et s’il cause trop, il coupe automatiquement ses messages en plusieurs morceaux. Pratique pour éviter de se faire ban par Discord ! Il affiche aussi des avertissements utiles si besoin, genre « J’utilise seulement les 20 derniers messages » quand vous dépassez la limite. Bref, c’est un bot bien élevé.

Sous le capot, il utilise un dico global avec des mutex pour mettre en cache les données des messages de manière efficace et thread-safe, comma ça, ça réduit les appels à l’API Discord et ça évite les fuites de mémoire. Le tout totalement en asynchrone.

Pour l’installer, c’est fastoche. Vous clonez le repo GitHub, vous installez les dépendances Python avec pip et vous créez un fichier .env avec vos clés d’API et les paramètres du bot. Lancez le script et tada, l’URL d’invitation de votre bot s’affiche dans la console. Pour plus de détails, suivez ce guide :

1. Installer Python : Téléchargez et installez Python à partir de python.org.
2. Cloner le dépôt git : Ouvrez un terminal et clonez le dépôt : bash git clone https://github.com/jakobdylanc/discord-llm-chatbot.git cd discord-llm-chatbot
3. Installer les packages nécessaires : bash pip install -r requirements.txt
4. Créer un fichier .env : bash cp .env.example .env
5. Configurer les variables d’environnement : Ouvrez .env et remplissez les champs nécessaires : plaintext DISCORD_BOT_TOKEN=YOUR_DISCORD_BOT_TOKEN OPENAI_API_KEY=your-openai-api-key MODEL_NAME=local/openai/YOUR_MODEL_NAME
6. Exécuter le script : Dans le terminal, lancez : bash python llmcord.py

Ah et j’oubliais, LLMCord est open source (vive le libre !), donc si vous voulez contribuer ou l’adapter à vos besoins, forkez et PR sans modération.

Avec ça, votre Discord ne sera plus jamais pareil et je sens que vous allez bien vous marrer ! Alors merci à Lorenper pour l’info car c’est une chouette découverte !

Source

Salut les rebelles, aujourd’hui je voudrais vous parler d’Adrien de Linuxtricks qui vient de faire les frais d’une censure injuste de la part de YouTube.

Le pauvre a vu sa dernière vidéo au sujet de VMware Workstation qui passe en gratuit (j’en ai parlé ici), supprimée et sa chaîne sanctionnée. Cette vidéo, mise en ligne ce vendredi 17 mai, avait pourtant été analysée et jugée conforme par les algo de YouTube…

La raison invoquée par Youtube, c’est comme d’habitude. Soi-disant qu’il enfreindrait les règles de la communauté. En réalité, Adrien n’a fait que relayer une bonne nouvelle pour tous les Linuxiens qui voudraient tester la virtualisation tranquillou. Il a même cité les sources officielles comme le blog de VMware. Sauf que YouTube n’a pas aimé… Leurs robots ont bégayé et vu ça comme du piratage. Bref, une fois encore, ces boîtes de conserve américaines ne comprennent rien à rien.

Pour Adrien, c’est vraiment injuste car même si YouTube a des règlements assez stricts, le gros problème, c’est que tout est automatisé. Il a dont tenté de faire appel, mais sans succès et sa demande a été rejetée ce samedi. Sa chaîne écope maintenant d’un avertissement impactant sûrement son référencement, d’une suspension des publications et d’une interdiction de diffuser en direct. Imaginez l’impact sur une chaîne comme la sienne qui compte plus de 54 760 abonnés et sur son moral ! Surtout que les revenus générés par sa chaîne lui permettent de payer l’hébergement de son site, de soutenir des associations comme la Ligue contre le Cancer et de faire des dons à des projets libres. Bref, c’est moche.

Perso, je ne peux pas faire grand chose car je ne connais personne chez Youtube mais je fais tourner. On sait jamais, peut-être qu’en en parlant, ça arrivera aux oreilles d’un humain de chez Google (s’il en reste…) qui prendra enfin le temps d’évaluer la situation de manière juste pour Adrien. L’équipe YouTube France peut d’ailleurs le contacter via l’adresse mail associée à son compte YouTube ou sous son tweet relayant sa lettre ouverte.

Bon courage Adrien, on est avec toi !

Merci à Christophe d’avoir attiré mon attention là dessus.

Développé par une équipe de chez ByteDance (mais si, TikTok, votre réseau social préféré), ce modèle baptisé PuLID va vous permettre de créer des images sur-mesure à partir de photos existantes et tout ça en un clin d’œil.

Basé sur le principe d’alignement contrastif, PuLID vous offre une customisation d’identité ultra rapide et de haute qualité. Pour cela, il utilise une architecture qui apprend à la volée les caractéristiques clés d’une identité source (des photos de vous) pour les transposer efficacement sur de nouvelles images cibles (images générées par IA). On obtient alors des visuels uniques générés en quelques secondes à peine, tout en préservant la cohérence des photos d’origine.

Bon, ok, ça peut paraître un peu barbare dit comme ça mais c’est super simple à utiliser. Si vous êtes flemmard, vous pouvez aller directement sur Huggingface ou pour les plus courageux, l’installer sur votre machine. Tout ce dont vous avez besoin, c’est d’un bon vieux Pytorch (version 2.0 minimum svp) et de quelques lignes de code pour démarrer l’entraînement.

PuLID (Pure and Lightning ID Customization via Contrastive Alignment) fonctionne en utilisant des techniques de machine learning pour aligner des représentations latentes en comparant des paires d’images ou d’identités. L’objectif est de maximiser la similarité pour des identités similaires et de minimiser la similarité pour des identités différentes. En ajustant ces représentations grâce à l’alignement contrastif, PuLID permet de créer des images uniques avec une grande précision et rapidité.

Si vous bossez dans la comm et que ous avez déjà quelques concepts arts sympas d’un personnage, mais vous aimeriez voir à quoi il ressemblerait dans différents environnements ou avec des styles graphiques variés, pas de souci ! Vous balancez vos images dans PuLID avec les bonnes instructions et le tour est joué. Vous obtiendrez alors tout un tas de variations stylées de votre personnage, tout en gardant son visage reconnaissable.

L’équipe de ByteDance a pensé à tout : PuLID est 100% open-source et disponible sur GitHub. Vous pouvez donc bidouiller le code comme bon vous semble pour l’adapter à vos besoins. Y’a même des tutoriels et des exemples pour vous aider à prendre en main le bouzin rapidement.

Et pour les plus impatients d’entre vous, voici un petit tuto d’installation pour commencer à jouer avec PuLID :

Pré-requis :

• Python >= 3.7
• PyTorch >= 2.0 (télécharger ici)
• Anaconda (télécharger ici) ou Miniconda (télécharger ici)

Étapes d’installation :

1. Cloner le dépôt PuLID :

git clone https://github.com/ToTheBeginning/PuLID.git
cd PuLID

Créer et activer l’environnement conda :

conda create --name pulid python=3.10
conda activate pulid

Installer les dépendances :

pip install -r requirements.txt

Installer PyTorch : Suivez les instructions sur le site de PyTorch pour installer la version compatible avec votre système. Par exemple, pour CUDA 11.7 :

conda install pytorch torchvision torchaudio cudatoolkit=11.7 -c pytorch

Lancer l’application :

python app.py

Pour en savoir plus sur PuLID et récupérer le code source, rendez-vous sur le repo GitHub.

Allez, je vous laisse vous amuser avec votre nouveau jouet. Un grand merci à Lorenper pour l’info. Grâce à toi, on va pouvoir personnaliser nos avatars comme jamais.

Source

Les memes c’est cool à faire mais c’est souvent gâché par des watermarks moches. Heureusement qu’il existe Editdit !

Ce site est une vraie mine d’or pour créer vos propres memes sans aucun marquage ou copyright et avec tous les templates légendaires qu’on adore. Que vous soyez fan de Distracted Boyfriend, de Drake Hotline Bling, de One Does Not Simply ou de Hide the Pain Harold, vous allez pouvoir laisser libre court à votre créativité et votre sens de l’humour.

Vous n’avez qu’à choisir votre template, ajouter votre texte personnalisé et le tour est joué !

L’interface est ultra simple et intuitive. En quelques clics vous pouvez créer un meme sur mesure, en ajustant la police, la taille, la couleur et la position du texte. Vous pouvez même importer vos propres images si vous voulez créer un meme 100% unique. Et le meilleur dans tout ça ? C’est totalement gratuit !

Une fois que votre œuvre humoristique est terminée, vous pourrez alors la télécharger en haute définition ou la partager directement sur vos réseaux sociaux préférés. Attention, ça peut vite devenir addictif…

A découvrir ici.

Les scientifiques du MIT boostent les capacités de raisonnement de l’IA avec une architecture hybride révolutionnaire ! Hé oui, les petits génies du MIT ont développé 3 frameworks qui vont donner aux IA le pouvoir de raisonner comme des humains.

Imaginez que vous ayez un pote un peu limité niveau jugeote (on a tous un [insère ici le prénom de ton collègue le plus proche] dans notre entourage 😅). Il comprend ce que vous lui dites, il peut même vous répondre, mais dès qu’il faut réfléchir un peu, ça rame et parfois ça plante. Eh bien, les IA actuelles, c’est un peu pareil !

Elles sont super balèzes pour ingurgiter des tonnes de données et cracher du texte, mais niveau compréhension du contexte et raisonnement complexe, ce n’est pas encore tout à fait ça. Et c’est là que nos amis du MIT entrent en scène avec leur trésor d’abstractions en langage naturel. En gros, ils ont créé des lib qui vont aider les IA à mieux piger leur environnement et résoudre des problèmes de manière plus humaine. On parle donc de 3 frameworks aux petits noms mignons : LILO, Ada et LGA.

LILO, c’est l’atout du développeur. Il va aider les IA à synthétiser, compresser et documenter du code comme un pro. Fini les IA qui créent des pavés de code illisibles, place à des programmes bien structurés et commentés !

Ada, c’est la stratège du groupe. Elle va permettre aux IA de planifier des actions de manière flexible. Au lieu de suivre bêtement une recette, l’IA va pouvoir s’adapter et improviser en fonction de ce qu’elle trouve dans son frigo. Ada a même montré une amélioration de 59% pour des tâches de simulation de cuisine et de 89% pour des tâches de construction de lit.

Enfin, LGA, c’est l’as de la perception. Elle va filer un gros coup de pouce aux robots pour qu’ils comprennent mieux leur environnement, un peu comme si on leur refilait une bonne paire de lunettes. Terminé les robots qui se prennent les pieds dans le tapis, ils vont pouvoir naviguer dans votre appart’ comme un poisson dans l’eau (ou presque 😅).

Avec ces 3 frameworks qui mixent réseaux de neurones et approches logiques classiques, les chercheurs espèrent bien faire passer les IA au niveau supérieur. Ainsi, on aura enfin des chatbots qui comprennent vos blagues pourries, des robots qui vous apportent une bière sans renverser la moitié au passage, et pourquoi pas des IA qui vous aident à coder votre prochain jeu vidéo pendant que vous glandouillez sur le canapé !

Pour ceux qui veulent aller plus loin, voici les publications sur arXiv des avancées réalisées :
– Library Induction from Language Observations
– Action Domain Acquisition
– Language-Guided Abstraction

J’ai hâte de voir tout ça fonctionner pour en vrai !

Source

Votre repaire préféré Ygg (anciennement YggTorrent) vient de tirer le rideau et de passer en mode privé ! Fini le téléchargement à tout-va pour les passants, désormais il faudra montrer patte blanche et s’identifier pour accéder à la caverne d’Ali Baba du torrent made in France qui attire des millions de visites chaque mois.

Pourquoi ce revirement soudain ?

La pression des ayants droit et de la justice française devenait insoutenable pour ce site qui a pris la relève de l’iconique T411 en 2017. Entre les blocages DNS et IP, les injonctions judiciaires et les menaces de poursuites, les admins de Ygg ont préféré la jouer profil bas et verrouiller la boutique. La plateforme a même été récemment listée par la puissante Motion Picture Association (MPA) de Hollywood dans son bilan annuel des sites pirates les plus « notoires ». Désormais, seuls les 6 millions de membres enregistrés pourront profiter des torrents bien garnis, à l’abri des regards indiscrets.

Cette décision radicale témoigne de l’acharnement des autorités contre le partage non-autorisé. Mais est-ce vraiment efficace de traquer sans relâche les sites de P2P ? Pas sûr, car comme le soulignent avec malice les responsables de Ygg, les internautes ont plus d’un tour dans leur sac pour contourner la censure :

• VPN : ces réseaux privés virtuels masquent votre adresse IP et chiffrent votre trafic, vous permettant de surfer incognito et d’accéder aux sites bloqués. Selon certaines statistiques, près d’un tiers des Français utiliseraient déjà un VPN !
• Changement de DNS : en modifiant vos paramètres DNS, vous pouvez court-circuiter les blocages mis en place par votre fournisseur d’accès. Les serveurs alternatifs comme ceux de Google ou OpenDNS sont très prisés.
• Sites miroirs et proxys : tel un château de cartes, à chaque domaine bloqué, dix autres réapparaissent pour prendre le relais. YggTorrent en a fait les frais, contraint de changer plusieurs fois d’adresse ces derniers mois.

Alors, blocage ou pas blocage, les aficionados du téléchargement trouveront toujours un moyen de gruger le système. Un éternel jeu du chat et de la souris qui ne semble pas prêt de s’arrêter, au grand dam des majors et des artistes. Mais au fond, est-ce si étonnant dans un pays champion du monde du piratage ? À bon entendeur…

Source

Vous débarquez dans votre laverie automatique préférée, les bras chargés de linge sale, et là, magie magie, grâce à une petite bidouille bien sentie, vous pouvez lancer une lessive gratuite, sans débourser un centime. C’est le rêve, non ? Eh bien, figurez-vous que c’est exactement ce qu’ont réussi à faire des étudiants un peu hackers sur les bords.

Alexander Sherbrooke et Iakov Taranenko, 2 petits génies de l’université de Santa Cruz, ont découvert une faille de sécurité dans le système des laveries connectées de CSC ServiceWorks. Je vous parle quand même d’un réseau de plus d’un million de machines à laver installées un peu partout dans le monde, des campus universitaires aux hôtels en passant par les résidences. Bref, un sacré parc de machines qui tournent à plein régime.

Pour y arriver, ils ont bidouillél’API utilisée par l’appli mobile CSC Go. Pour ceux qui ne sont pas familiers avec le jargon technique, une API c’est un truc qui permet à des applis et des appareils de communiquer entre eux au travers du réseau. Dans le cas présent, l’appli CSC Go permet aux utilisateurs de recharger leur compte, de payer et de lancer un cycle de lavage sur une machine proche. Cependant, les serveurs de CSC ne vérifiaient pas correctement qui avait le droit de faire quoi. N’importe qui peut entrer et faire ce qu’il veut. Et c’est exactement ce qu’ont fait nos deux compères.

En analysant le trafic réseau pendant qu’ils utilisaient l’appli CSC Go, Alexander et Iakov ont réussi à court-circuiter les contrôles de sécurité pour envoyer des commandes directement aux serveurs de CSC. Résultat des courses : ils ont pu modifier leur solde, ajouter des millions de dollars virtuels pour le budget lessive, et même localiser et interagir avec toutes les machines du réseau CSC ServiceWorks.

Bien sûr, avoir la lessive gratuite, c’est cool. Mais Alexander et Iakov ont surtout voulu montrer les dangers d’avoir des appareils connectés à Internet sans une sécurité au top. Le pire dans l’histoire, c’est qu’ils ont prévenu CSC ServiceWorks de la faille à plusieurs reprises depuis janvier, mais la société n’a jamais répondu. Pourtant, un simple petit formulaire de contact pour signaler les problèmes de sécurité, ça ne coûte pas bien cher et ça peut éviter de gros dégâts… J’espère juste que ces derniers ne préparent pas une action en justice…

Évidemment, bidouiller des machines à laver pour avoir des lessives gratuites, ce n’est pas l’attaque du siècle mais cela montre qu’il y a encore du boulot côté sécurité pour tous ces objets connectés. Alors pour se protéger de telles vulnérabilités, il est crucial de sécuriser les API en effectuant la vérification des commandes côté serveur plutôt que côté client et en utilisant des tokens d’authentification sécurisés.

En attendant, si vous croisez Alexander et Iakov sur leur campus, vous pouvez leur donner vos slips sales, ils savent y faire pour vous les rendre plus blanc que blanc. ^^

Source

Trois ressortissants nord-coréens ont trompé de grands groupes américains pour se faire recruter comme développeurs en télétravail.

[Deal du jour] Le moniteur incurvé Alienware 34 de Dell est un moniteur pour PC idéal pour vos sessions de jeux. Un peu cher à son prix de base, il est en ce moment plus abordable grâce à une bonne réduction.

Vous n’avez ni PC ni de scanner sous la main pour numériser un papier important, une note de frais ou tout autre document ? Utilisez tout simplement votre smartphone… On vous explique comment faire avec ces 3 applications pour Android et iOS : Google Drive, CamScanner et Apple Notes.

Parasols spatiaux, propagation de dioxyde de soufre dans l'atmosphère, Pluies acides, impacts climatiques, ciel blanc. On a de sacrées idées pour modifier le climat, mais sont-elles bonnes ? C'est ce qu'explore cet article de The Conversation.

[Deal du jour] Cdiscount propose une importante réduction sur le MacBook Air M1, le laptop d’Apple de 2020. L’ultraportable reste encore aujourd'hui un modèle à la bonne autonomie. Il tombe en ce moment sous les 800 €.