Focus sur les modèles d’IA de la semaine, entre robotique, prédiction de mouvements et modèles plus légers. Quelques brèves aussi sur l’IA, le matériel et des usages concrets, de la dictée vocale locale à la robotique humanoïde.
Amazon Q, l'assistant de programmation dopé à l'IA que propose Amazon, pouvait se faire piéger d'une manière aussi simple qu'embarrassante.
Petit rappel pour situer. Amazon Q se greffe dans Visual Studio Code, l'éditeur de code de Microsoft que les développeurs utilisent au quotidien, et sert à écrire ou corriger du code à votre place.
Des chercheurs de Wiz, une société spécialisée dans la sécurité du cloud, ont découvert que cet assistant exécutait des commandes cachées à la simple ouverture d'un projet. La faille a reçu un identifiant officiel, CVE-2026-12957, et une note de gravité de 8,5 sur 10, ce qui est sérieux.
Le problème venait d'un fichier de configuration un peu particulier. Pour fonctionner, Amazon Q lit un fichier nommé .amazonq/mcp.json, qui s'appuie sur le MCP, pour Model Context Protocol, une sorte de prise standardisée qui permet de brancher une IA sur des outils extérieurs.
Sauf qu'il suffisait d'ouvrir un dépôt de code et d'activer Amazon Q pour que l'extension aille lire ce fichier et exécute son contenu. Sans fenêtre de confirmation, sans demander votre avis, et sans vérifier si vous faisiez confiance au dossier que vous veniez d'ouvrir.
Et c'est là que ça devient vraiment fourbe. Ces commandes héritaient de tout votre environnement de travail. Du coup, elles pouvaient récupérer au passage vos clés d'accès au cloud d'Amazon, vos jetons de connexion, vos secrets d'API et même l'accès à votre agent SSH, ce trousseau qui garde en mémoire vos connexions aux serveurs distants. En clair, tout ce qu'un développeur laisse ouvert pendant qu'il travaille.
Le plus gênant, c'est que Visual Studio Code possède justement une sécurité prévue pour ça, la confiance d'espace de travail, qui vous demande si vous validez un dossier avant de le laisser agir. L'extension d'Amazon passait tout bonnement par-dessus.
Pour un pirate, le piège était facile à tendre. Il suffisait de glisser ce fichier dans un projet open source d'apparence anodine, ou dans un bout de code partagé sur un forum, et d'attendre qu'un développeur qui récupère un projet l'ouvre pour voir comment il fonctionne.
Amazon a corrigé le tir dans la version 1.65.0 de son serveur de langage et a confirmé la correction. Wiz note d'ailleurs que des failles très proches ont déjà touché d'autres outils de code boostés à l'IA.
Donner autant de pouvoir à une IA sans le moindre garde-fou, et laisser filer les clés du cloud avec, ça reste une erreur de débutant pour un géant comme Amazon.
Pour s'installer durablement sur la Lune, il ne suffira pas de planter un drapeau : il faudra surtout sécuriser les meilleurs coins de l'immobilier spatial. Blue Origin l'a bien compris et dévoile sa « Power Tower », une immense structure verticale conçue pour braquer l'énergie des pics de lumière éternelle.
Premier week-end des soldes d’été 2026. Avec l’affluence attendue en magasin, autant commencer par regarder ce que proposent les e-commerçants. Depuis le 24 juin, les promotions se multiplient en ligne, y compris dans la tech. On fait le tri pour repérer les meilleures offres.
Les précommandes physiques de GTA 6 n’auront pas tardé à montrer leurs limites. Chez Amazon comme chez Cdiscount, certaines versions sont déjà indisponibles, alors même que ces boîtes ne contiennent qu’un code de téléchargement et aucun disque.
Hier soir, OpenAI a annoncé le lancement en accès limité de GPT-5.6, sa nouvelle génération de modèles. Au programme, trois nouvelles versions avec une stratégie totalement différente.
Entre l'ouverture historique des précommandes de GTA 6 en version 100 % numérique et les révélations de Shigeru Miyamoto sur la refonte des donjons du très attendu remake d'Ocarina of Time sur Switch 2, le monde du jeu vidéo est en pleine ébullition. Tour d'horizon des offres pour réserver le blockbuster de Rockstar au meilleur prix et des changements majeurs qui attendent le chef-d'œuvre de Nintendo. Et c'est sans compter notre critique du blockbuster Supergirl.
À la une sur Vroom cette semaine : l'ONU cadre les taxis autonomes, les prix aux bornes Ionity augmentent et notre avis sur la nouvelle Renault Megane électrique.
Enterprise interest is shifting from pure model performance on leaderboards towards the efficiency of 'intelligence per dollar'. Chinese open-source models like Z.AI’s GLM 5.2 are demonstrating frontier-level capabilities, particularly in agentic work, at a small fraction of the cost of closed American models. This economic shift allows organizations to prioritize cost-effective solutions for high-volume tasks while reserving expensive frontier models for critical decision-making or orchestration.
OpenAI has introduced a new safety architecture for the GPT-5.6 family to mitigate risks associated with its flagship Sol model. The system utilizes activation classifiers that monitor generations in real-time to intervene when sensitive domains are triggered. These safeguards are designed to block unsafe outputs across cybersecurity and biological workflows before they can cause harm.
Microsoft has introduced a new Windows 11 Insider Beta build that focuses on strengthening security for enterprise remote environments. Administrators can now configure Azure Virtual Desktop and Windows 365 sessions to disconnect automatically when a redirected smart card is removed. This update specifically applies to sessions using Microsoft Entra ID authentication to help organizations maintain strict compliance standards.
Microsoft is testing a new unified update process in Windows 11 build 29617 to streamline the maintenance experience. This initiative coordinates driver, .NET, and firmware updates to align with the monthly cumulative quality update. The primary goal of this synchronization is to reduce the frequency of system restarts to just one reboot per month.
Microsoft has released MAI-Code-1-Flash for general availability to GitHub Copilot Business and Enterprise customers. This first-party model is specifically designed for high-volume, iterative coding tasks that require low latency and high speed. It serves as a lightweight alternative to larger frontier models, prioritizing efficiency for repetitive agentic workflows.
Russian intelligence services are conducting a sophisticated phishing campaign to steal Signal Backup Recovery Keys from high-value targets. The FBI and CISA report that attackers impersonate official support accounts to trick users into enabling cloud backups and sharing their 30-digit recovery codes. This social engineering tactic bypasses end-to-end encryption by allowing hackers to restore a victim's entire message history onto an attacker-controlled device.
The U.S. Department of Commerce has reached an agreement with Anthropic to partially restore access to its powerful Mythos 5 artificial intelligence model. This decision follows a two-week suspension triggered by national security concerns regarding the model's advanced capabilities. The government initially invoked export control authorities to block the system because it could potentially help actors identify and exploit software vulnerabilities.
The U.S. government has begun aggressively mandating staggered releases for frontier AI models, a move critics argue represents a "negative turning point" fueled by Anthropic’s fear-based marketing. This shift was cemented when OpenAI was forced to delay GPT-5.6, restricting its most capable "Sol" version to a government-preapproved list of elite partners rather than the general public. This regulatory capture is blamed on Anthropic CEO Dario Amodei, whose warnings about cybersecurity flaws and foreign "distillation attacks" successfully pressured the White House into implementing restrictive oversight.
The FBI and CISA are warning that a phishing campaign targeting Signal users tied to Russian intelligence services has evolved to steal Signal Backup Recovery Keys, allowing attackers to access victims' historical messages. [...]
Chaque semaine, De Quoi J’Me Mail ouvre le débat sur l’actu high-tech ! En compagnie de journalistes et spécialistes du numérique, nous analysons, décortiquons et mettons en perspective les grandes tendances tech du moment. Ce vendredi, depuis le salon Vivatech, nous commentons l’actualité avec Olivier Frigara, fondateur du podcast "On refait le Mac", Damien Licata Caruso, journaliste au Parisien, et Alekseï Pajitnov, créateur de Tetris.
Connexion
