Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 7 juillet 2026Tech Généraliste

Anthropic a repéré la petite zone où Claude pense en douce

Par : Korben ✨
7 juillet 2026 à 16:04

Oulala, Anthropic vient de publier une jolie page de recherche qui fait beaucoup causer. En effet, son équipe d'interprétabilité a repéré, à l'intérieur de ses modèles Claude, une toute petite zone où le modèle rassemble ses pensées intermédiaires, c'est-à-dire celles qu'il est capable de nommer et de manipuler. Ils l'appellent le J-space, et c'est leur version du fameux espace de travail global qu'on décrit dans le cerveau humain.

Pour aller le fouiller, ils ont bricolé une technique baptisée Jacobian lens. En gros, elle mesure comment chaque bout d'activité interne du modèle pousse vers tel ou tel mot à venir, ce qui permet d'isoler les concepts que Claude sait verbaliser. Et ce qui remonte à la surface, ce ne sont ni les mots que vous tapez ni la réponse finale, mais des jugements en cours de route. Par exemple reconnaître un visage sur une photo, repérer un bug dans du code, deviner la fonction d'une protéine à partir de sa séquence.... tout ça se trame là, en silence, avant le moindre mot affiché.

Et ce qui est fou c'est que ce J-space encode parfois le fait que Claude a remarqué qu'on était en train de le tester. Et quand les chercheurs désactivent ces représentations-là, ils voient ressortir des penchants problématiques que le modèle gardait très bien planqués. Autrement dit, on tient un moyen de lire ce qu'une IA fabrique dans sa tête, et pas seulement ce qu'elle finit par nous répondre.

Maintenant, arrêtez de fantasmer car NON, ça ne prouve pas que Claude est conscient, et Anthropic prend soin de ne pas franchir cette ligne. Ils parlent d'un analogue purement fonctionnel de l'espace de travail global et refusent explicitement de se prononcer sur la question du ressenti. Le mot conscience fait de jolis titres sur vos médias préférés, mais leur document de recherche, lui, reste très prudent.

Le vrai intérêt est ailleurs, dans l'interprétabilité. Anthropic est déjà la boîte qui dissèque le cerveau de ses modèles et qui étudie les LLM comme des aliens et là elle se donne une vraie fenêtre pour lire, disséquer et même orienter la pensée de ses IA. On n'est plus sur des histoires de boites noires... Pour auditer un modèle, repérer une tromperie ou un biais avant même qu'il ouvre la bouche, c'est donc beaucoup plus utile qu'un débat sur l'âme des machines.

Le procédé a bien sûr des limites, puisque la Jacobian lens ne repère que les concepts que le modèle sait résumer en un mot, ce qui veut dire que tout un pan de raisonnement plus diffus lui échappe encore.

Mais bon, même si on n'a pas encore de Claude conscient à l'horizon, comme je vous le disais, cette histoire de boîte noire, c'est de l'histoire ancienne maintenant. On va enfin pouvoir détecter quand une IA nous cache des trucs et je trouve ça assez rassurant pour l'avenir.

Source

Wealthfolio - Suivez vos investissements sans les filer au cloud

Par : Korben ✨
7 juillet 2026 à 15:41

Si vous êtes une grosse feignasse et que votre seul plan pour gratter un peu de thunes, c'est pas juste de bosser, mais de vous faire adopter par un vieux en espérant qu'il y passe très vite, cet article ne va pas vous intéresser, désolé.

Par contre, si vous économisez, que vous avez mis un petit peu d'argent en bourse, si vous avez investi dans les cryptos ou que sais-je encore, je pense que cet outil va vous être utile.

Wealthfolio, imaginé par afadil, c'est une application de bureau open source qui range tout ça au même endroit : vos comptes d'investissement, votre patrimoine, vos dépenses, et même des simulations pour vos vieux jours. Le parti pris est radical puisque tout reste en local sur votre machine. C'est donc juste une base SQLite posée sur votre disque là où un Finary par exemple, agrège tout sur ses serveurs.

Une fois installé, vous balancez tout dedans. Compte courant, épargne, actions, ETF, crypto, le cash qui dort et l'application vous recrache votre patrimoine net ainsi que la vue d'ensemble que vous n'avez peut-être jamais eue (Surtout si votre banque c'est la Caisse d'Epargne... loool).

Même votre appartement / maison, la voiture, les métaux précieux, et compagnie ça rentre dedans aussi. Ah et vos dettes surtout, parce que le vrai chiffre inclut aussi ce qui fâche, et pas seulement la colonne qui fait plaisir.

Maintenant concernant les dépenses, ça fait à peu près ce qu'on peut retrouver sur des banques en ligne, c'est-à-dire que ça catégorise toutes vos transactions et ensuite ça vous monte des budgets un peu comme ce que propose ReSubs mais élargi à toute votre thune et pas seulement à vos abonnements.

À vous ensuite de définir une allocation cible comme ça quand votre portefeuille s'en écartera, et bien Wealthfolio vous pondra un joli plan de rebalancing qui vous aidera à rentrer dans le rang fissa et ainsi éviter de finir interdit bancaire.

Ajoutez à ça un chouette tableau de bord avec les performances de vos investissements et de vos comptes. Et si vous menez bien votre barque, vous verrez aussi vos dividendes au même endroit.

Ah et puis le truc qui va finir de vous convaincre, c'est le simulateur de retraite inclus. En gros, vous lui donnez tout votre portefeuille et lui il le projette année par année avec des simulations qu'on appelle Monte Carlo . Et là ensuite, eh bien ce sera soit la douche froide, soit la bouteille de champagne, car vous saurez immédiatement si votre plan FIRE tient debout ou si vous vous racontiez des histoires depuis le début.

C'est une capture d'écran que j'ai prise sur le site, donc venez pas me cambrioler, hein ^^

Et puis comme en 2026, un outil sans IA n'est pas un vrai outil (lol) sachez qu'il y a également un assistant IA à qui vous pourrez demander en langage naturel d'interroger votre portefeuille. Par exemple vous pourrez lui dire, "Hey assistant, combien est-ce que j'ai gagné avec mes ETF cette année ?". Et rassurez-vous, les accros à la vie privée, ça peut tourner avec un modèle local via Ollama.

Wealthfolio propose également un outil d'import CSV mais vous pouvez aussi tout saisir manuellement. Aaah l'époque a changé depuis Microsoft Budget surtout que là, vous avez même de la synchro automatique via l'offre payante, si vous voulez brancher ça avec les systèmes de vos courtiers.

Si le concept vous rappelle Maybe Finance , c'est logique, c'est la même famille open source. Sauf que Maybe est une appli web que vous devez auto-héberger vous-même avec Docker, là où Wealthfolio est une vraie application de bureau que vous installez comme n'importe quel logiciel. C'est dispo sous macOS, Windows et Linux, et il y a même une version iOS et Android qui devraient arriver très bientôt. Quant aux plus tordus qui tiennent absolument à leur version web, ça s'auto-héberge en Docker.

Un truc à savoir quand même avant de foncer, la partie fiscale vise les Américains et les Canadiens donc pas de PEA ni d'assurance-vie française là-dedans. Du coup pour coller au fisc hexagonal vous devrez ruser et faire vos trucs à la main ou développer vos propres plugins. Après en ce qui concerne le cœur du bazar, c'est-à-dire suivre son portefeuille et son patrimoine, ça fera bien le taf pour tout le monde.

Le tout sous licence AGPL, code ouvert et forkable, directement sur GitHub et l'app se télécharge sur wealthfolio.app .

Avec 200 Go en 5G et 40 Go dans le reste du monde, Sosh propose le forfait voyage parfait pour l’été

7 juillet 2026 à 16:47

[Deal du jour] L'été est synonyme de voyage. Pour pouvoir utiliser votre smartphone partout en vacances, et hors de la France, Sosh propose un forfait avec 40 Go en Europe et dans les DOM, et 40 Go depuis 76 destinations dans le monde.

Fin du support physique : PlayStation est enfin sorti de son silence, et vous allez rire

7 juillet 2026 à 16:04

Le compte X principal de PlayStation n'est pas mort. Six jours après avoir officialisé la mort du support physique, il est sorti d'une longue période de silence. Et le département de la firme asiatique fait comme si de rien n'était.

Quentin Tarantino : le clap de fin redouté se précise avec un ultime film à l’été 2027

7 juillet 2026 à 15:24

Alors que le mystère plane toujours après l'abandon brutal du projet The Movie Critic, Robert Richardson, le directeur de la photographie légendaire et collaborateur de longue date de Quentin Tarantino, vient de faire des révélations cruciales. À l'occasion de la promotion d'un documentaire qui lui est consacré, le triple oscarisé a dévoilé les coulisses de cet abandon et esquissé le calendrier potentiel du tant attendu 10e et ultime film du cinéaste.

J’ai joué à Orbitals sur Switch 2, et il est bien parti pour être le jeu coop de l’année

7 juillet 2026 à 15:00

Prenant vie avec une esthétique rétro qui ravivera de joyeux souvenirs aux fans d'Albator (ou du clip One More Time du groupe Daft Punk), Orbitals reprend à son compte le concept fort des jeux It Takes Two et Split Fiction. À savoir une emphase sur un gameplay exclusivement coopératif. Un pari convaincant après une session de 30 minutes

Windows 11, Cloud Rebuild propose une réinstallation complète sans clé USB

7 juillet 2026 à 16:48

Windows 11 de Microsoft (Full HD)Microsoft teste Cloud Rebuild dans Windows 11. Ce service de récupération permet de réinstaller entièrement le système depuis le cloud

Cet article Windows 11, Cloud Rebuild propose une réinstallation complète sans clé USB a été publié en premier par GinjFo.

GeForce RTX 5080 SUPER, Seasonic liste une nouveauté Nvidia

7 juillet 2026 à 15:40

AORUS GeForce RTX 5080 MASTER ICE 16GLa GeForce RTX 5080 SUPER refait parler d’elle. Cette fois, la belle fait son apparition dans un calculateur d’alimentation signé Seasonic. Le fabricant liste cette référence dans son outil destiné à estimer la puissance nécessaire pour alimenter sa configuration. Elle vient compléter un duo déjà évoqué depuis plusieurs mois. En effet les GeForce RTX 5070 …

Cet article GeForce RTX 5080 SUPER, Seasonic liste une nouveauté Nvidia a été publié en premier par GinjFo.

Nova Lake-S : deux Core Ultra 5 22 cœurs avec 108 Mo de cache seraient en préparation

7 juillet 2026 à 14:57

IntelUne nouvelle fuite précise la configuration de deux futurs Intel Nova Lake-S 22 cœurs. Ces Core Ultra 5 400S viseraient le gaming avec 108 Mo de bLLC.

Cet article Nova Lake-S : deux Core Ultra 5 22 cœurs avec 108 Mo de cache seraient en préparation a été publié en premier par GinjFo.

TrojPix - Et votre câble vidéo devient une radio qui balance vos secrets

Par : Korben ✨
7 juillet 2026 à 14:50

En matière de sécurité, quand on parle de air gap, en général, on ne peut pas faire mieux. Si vous ne connaissez pas le concept, l'idée c'est d'empêcher un ordinateur d'avoir accès à tout type de réseau, que ce soit du wi-fi, de l'Ethernet, etc. etc. C'est un peu le Graal en matière de sécurité.

Et pourtant, des chercheurs de l'université de Shandong viennent de trouver un moyen de transmettre quand même des datas, même si la machine n'a pas accès au réseau. Leur technique s'appelle TrojPix et elle consiste à transformer un câble vidéo en antenne radio. Je vous explique la technique !

Comme vous le savez, mes petits ingénieurs, sur un écran, chaque pixel est codé en rouge, vert et bleu. TrojPix vient donc tripoter les bits (Ah Ah) les plus faibles de ces couleurs, des variations tellement infimes que votre œil n'y voit que du feu. Sauf que ces micro-changements modulent le signal qui circule dans le câble HDMI ou DisplayPort, et surprise-surprise, un câble en cuivre qui transporte un signal ça rayonne des ondes électromagnétiques. C'est d'ailleurs pour ça que les anti-ondes s'évanouissent tous dès qu'ils appuient sur un interrupteur, lol.

Bref, en façonnant les pixels, le malware pilote ces ondes, et une simple antenne radio posée à proximité les capte et reconstitue les données.

Et le débit quand je l'ai lu, m'a fait tousser. Jusqu'à 8,1 mégabits par seconde, de quoi faire sortir 100 Mo de plans ou de clés en moins de deux minutes et la portée, elle, grimpe jusqu'à 208 mètres. Mais attention, ces deux records ont été mesurés séparément et pas ensemble, donc plus l'espion s'éloigne, plus ça ralentit. Reste que les précédents canaux du genre pataugeaient à quelques kilobits par seconde, alors là on change carrément d'échelle.

Notez que le malware peut même simuler un écran éteint pendant qu'il émet, ni vu ni connu, j'embrouille.

Mais avant de scotcher de l'alu sur votre tour ou d'aller installer votre bureau dans le micro onde, respirez un grand coup ! En réalité, TrojPix ne pête pas la sécurité air gap à lui tout seul... Faut déjà installer le malware et ça c'est pas si simple sur un système isolé (surtout si les ports USB ont été rebouchés au ciment).

Ensuite, l'espion et son antenne doivent camper dans les deux cents mètres environ puisque les murs et le bruit ambiant rognent la portée, et surtout ça ne marche que sur du câble en cuivre. Et étonnamment, une cage de Faraday n'y fait pas grand-chose, les chercheurs gardaient plus de 90 % de réussite même avec un blindage. La seule vraie parade en réalité, c'est de remplacer le câble en cuivre par de la bonne vieille fibre optique, qui elle ne rayonne aucune onde.

C'est donc de la très belle recherche, mais une menace qui vise surtout une clientèle précise, les systèmes ultra-sensibles des gouvernements, des militaires ou des infrastructures critiques, ceux qui misent justement tout sur l'isolement. Oui, désolé de vous le redire, mais personne ne s'intéresse à vous ^^. Mais en tout cas, on sait que débrancher le réseau ne suffit plus pour être invisible et en sécurité. On avait d'ailleurs déjà vu exfiltrer des données par ondes radio ou même faire du Wi-Fi sans carte Wi-Fi avec AIR-FI , mais pour le coup, TrojPix pousse le curseur du débit beaucoup plus loin.

Source

Tromper les caméras de surveillance avec une veste

7 juillet 2026 à 14:25

Nicole Scheller a passé toutes ses études de mode à bosser sur un sujet qui compte pour elle : la contre-surveillance. Tout ceci a fini par devenir un vrai métier : depuis septembre 2023, sa marque Urban Privacy, montée à Leipzig avec le designer Daniel PreuB, habille ceux qui n'ont pas envie d'être reconnus par la première caméra intelligente venue.

Leur veste phare ne paie pas de mine telle qu'elle, sauf que son imprimé cache un piège : des formes qui évoquent vaguement des visages humains, disséminées sur tout le tissu. Les algorithmes de détection, dressés à trouver deux yeux et une bouche dans n'importe quelle bouillie de pixels, mordent à l'hameçon, verrouillent sur ces faux visages et perdent le vôtre en route.

La coupe fait le reste. Ample, asymétrique, elle embrouille aussi les logiciels qui prétendent deviner votre genre au premier coup d'œil, une manie dont ces systèmes ont du mal à se défaire.

Alors bien sûr, personne ne devient invisible là-dedans, et la marque ne le promet même pas : le vêtement rend simplement l'identification plus complexe, pas impossible, et son côté voyant fait partie du plan, puisqu'il s'agit autant de protester que de se protéger.

La collection FACEPTION Reloaded, lancée au printemps, va du t-shirt à 35 euros au hoodie à 65 euros, avec un sweatshirt à 59 euros, le tout cousu dans des ateliers européens. Mais le produit qui se vend le mieux n'a rien à voir avec les motifs : c'est OFLAIN, une pochette de smartphone (facturée quand même 115 euros dans sa version 2 (l'ancienne coûtait 80 euros)), qui fait office de cage de Faraday. En gros, c'est une enveloppe métallique qui coupe tout, GPS, Wi-Fi, Bluetooth, jusqu'à la puce sans contact de votre carte bleue.

Il y a aussi un foulard à 65 euros, imprimé d'un QR code qui balance l'adresse  no-photos-pls.com  sur l'écran de quiconque vous photographie.

Les Italiens de Cap_able font la même chose depuis Turin avec des pulls tricotés dont les motifs, générés par IA, font prendre le porteur pour une girafe ou un zèbre, entre 60 et 90% du temps selon la marque. Sauf que voilà, les logiciels de détection se mettent à jour plus vite que votre garde-robe, et le motif qui marche aujourd'hui sera grillé l'an prochain. C'est une course sans fin.

Le sujet pose en fait beaucoup de questions outre-Rhin : Alexander Dobrindt, le ministre de l'Intérieur, veut désormais des caméras biométriques dans les gares, et l'ONG AlgorithmWatch alerte sur le pistage de masse. Bref, un simple vêtement, mais un vrai sujet.

Source : Euronews

Ce fichier fantôme de Windows 11 gonfle tout seul et avale tout votre disque

Par : Korben ✨
7 juillet 2026 à 14:09

Bon, j'avoue que j'ai un petit peu lâché l'affaire pour mon summer body. Avec cette canicule, je suis à deux doigts de me faire une raclette. Par contre, s'il y a un truc dont je ne supporte pas qu'il grossisse, c'est bien mon système d'exploitation.

Et pourtant, si vous êtes sous Windows 11, eh bien c'est le cas ! Celui-ci se remplit tout seul sans explication, en tout cas jusqu'à maintenant, parce qu'on tient enfin le coupable !! C'est un fichier caché qui grossit dans son coin depuis des mois et des mois et Microsoft vient enfin de reconnaître le bug et de le corriger. Donc je vous explique tout...

Le fautif s'appelle CapabilityAccessManager.db-wal, planqué dans le dossier C:\ProgramData\Microsoft\Windows\CapabilityAccessManager et derrière ce nom barbare se cache en réalité le log d'une petite base de données SQLite, celle qui note chaque fois qu'une application réclame l'accès à votre webcam, votre micro ou votre position. Normalement ce fichier pèse quelques dizaines de kilo-octets et se vide tout seul, sauf que pas de bol, une mise à jour de Windows a cassé ce petit ménage automatique et donc notre journal enfle chaque jour un peu plus sans jamais se compacter. Alors vous pourriez vous dire que c'est pas très grave, mais il grossit quand même de deux giga par jour ce sagouin.

Résultat, des utilisateurs ont vu ce fichier grimper à 70 Go, 110 Go, 200 Go, et le record documenté monte à 513 Go. Le "500 Go" des gros titres, c'est donc le cas extrême, pas la moyenne mais même à 50 ou 100 Go engloutis en douce, ça suffit à saturer un SSD et à ralentir toute la machine. Plusieurs personnes ont aussi remarqué un Wi-Fi qui traîne, un effet de bord du même souci.

La bonne nouvelle maintenant, c'est que Microsoft a fini par corriger le tir avec la mise à jour optionnelle KB5095093 du 23 juin dernier, qui nettoie même le fichier gonflé au redémarrage et vous rend l'espace perdu d'un coup. Et le correctif deviendra obligatoire pour tout le monde lors du Patch Tuesday de juillet. Si vous ne l'avez pas encore, direction Windows Update, options avancées, puis les mises à jour facultatives.

Et si c'est trop tard, et que votre disque est déjà plein à ras bord et que vous voulez récupérer la place immédiatement, vous pouvez supprimer le fichier à la main. Attention quand même, il faut d'abord arrêter le service concerné, sinon le fichier reste verrouillé et la suppression échoue.

Dans un PowerShell en administrateur :

net stop camsvc
del "C:\ProgramData\Microsoft\Windows\CapabilityAccessManager\CapabilityAccessManager.db-wal"

Supprimez uniquement le fichier terminant par .db-wal, surtout pas le .db juste à côté. Un redémarrage plus tard, le service repart proprement et le fichier repart de zéro. Si vous croisez du Dell SmartByte ou d'autres bloatwares du genre sur un portable, virez-les aussi, ils font partie des déclencheurs connus.

Pour le reste, si vous avez la manie du disque bien rangé, c'est le bon moment pour un grand ménage de printemps avec BleachBit , jeter un œil à ces astuces quand Windows rame , ou carrément partir sur un Windows 11 allégé façon tiny11 .

Bref, voilà, si votre espace disque a fondu ces derniers mois sans raison, vous savez maintenant où regarder.

Source

On a parlé à l’importateur du Midea PortaSplit en France : voici où en sont vraiment les stocks

7 juillet 2026 à 15:00

Le Midea PortaSplit reste introuvable dans une grande partie de la France, malgré des livraisons qui continuent d’arriver. Numerama a interrogé Optimea, qui importe les produits de la marque en France, pour comprendre où partent les stocks et à quel moment la situation pourrait enfin se détendre.

Ils ont transformé une simple vidéo YouTube en jeu Mario Kart jouable au clavier

7 juillet 2026 à 14:08

Voilà typiquement le genre de bidouille qui rappelle pourquoi internet est génial. Deux chaînes YouTube, Atlas Arcade et Animated Subtitles, ont mis en ligne une vidéo baptisée "Mario Kart but it's PLAYABLE in YouTube!". Et le titre ne ment pas : on y joue vraiment, directement dans le lecteur, sans rien installer.

Le tour de force tient à un détournement malin. YouTube sait afficher des vidéos sphériques à 360 degrés, celles qu'on fait pivoter à la souris pour regarder autour de soi. Les créateurs ont dessiné leur circuit tout autour de cette sphère. Résultat, quand vous tournez la caméra avec les touches A et D, vous déplacez en réalité votre kart vers la gauche ou la droite de la piste.

Techniquement, tout est assemblé en HTML, avec un peu de Python pour les animations, et un pixel art volontairement rétro qui fait parfaitement le job. Comme ça se pilote au clavier, il vous faut un ordinateur : sur mobile, vous pourrez seulement regarder.

Le niveau reprend un segment de la Route Arc-en-ciel, sans doute le circuit le plus culte de la série. La partie dure une minute environ, le temps de rester sur la piste et d'éviter les trous jusqu'à la ligne d'arrivée. Pas de carapaces, pas d'adversaires, juste vous et vos réflexes.

Les meilleures trouvailles sont ailleurs. Le choix du personnage se fait par le menu des sous-titres, là où d'habitude on sélectionne sa langue : Mario, Luigi, Peach, Toad, Yoshi, Wario et Bowser y remplacent le français et l'anglais.

Et la difficulté ? Elle se règle avec la vitesse de lecture. Poussez la vidéo en x1,5 ou en x2, et le kart file beaucoup trop vite pour vos réflexes. Détourner les réglages d'un lecteur vidéo pour en faire un menu d'options, il fallait quand même y penser.

Le public a suivi, avec plus de 700 000 vues en quelques jours. Sauf qu'il y a un hic, et il porte un costume d'avocat. Nintendo reste sans doute l'entreprise la plus procédurière du jeu vidéo, et les fan games de ce genre finissent presque toujours retirés du jour au lendemain. Autant en profiter tant que la vidéo tient encore en ligne.

Reste l'essentiel. Détourner un lecteur vidéo, ses sous-titres et sa vitesse de lecture pour les transformer en manette, c'est plus créatif que la moitié des jeux mobiles qui sortent chaque semaine. Ça ne remplacera jamais un vrai Mario Kart, mais pour un projet gratuit monté par deux passionnés, le résultat est bien rigolo.

Source : Android Authority

Fuites de données : comment savoir si vos données sont déjà sur le dark web [Sponso]

Par : humanoid xp
7 juillet 2026 à 14:52

Cet article a été réalisé en collaboration avec Bitdefender

La sécurité de vos données personnelles ne dépend pas que de vous. Découvrez comment Bitdefender Ultimate Security vous protège au-delà de votre navigation web.

Cet article a été réalisé en collaboration avec Bitdefender

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Pénurie de cargos, la Chine joue au Tetris pour exporter ses voitures électriques

7 juillet 2026 à 13:25

La Chine est confrontée à une pénurie logistique : elle manque de cargos Ro-Ro (roll-on/roll-off) qui servent à transporter les véhicules dans le monde entier. Pour éviter le blocage, les constructeurs se montrent créatifs pour transporter leurs véhicules.

Januscape - La faille KVM qui dormait depuis 16 ans dans le cloud

Par : Korben ✨
7 juillet 2026 à 11:55

Depuis 16 ans, il y a une énorme faille qui fait dodo dans le coeur de tout ce qui gère la virtualisation sous Linux et personne ne l'avait remarqué, jusqu'à ce que Hyunwoo Kim, un chercheur en sécurité connu sous le pseudo @v4bel débarque. Ce dernier vient de dénicher un use-after-free dans le shadow MMU de KVM, ce bout de code que KVM partage entre les processeurs Intel et AMD. Il a baptisé sa trouvaille Januscape (CVE-2026-53359), et croyez-moi, le scénario a de quoi filer des sueurs froides à n'importe quel hébergeur...

En pratique, quand vous louez une VM dans le cloud, vous y êtes root (normal, c'est votre instance). Mais si l'hôte autorise la virtualisation imbriquée, hé bien la faille vous ouvre en grand la porte vers la machine physique. Le code de démonstration que Kim a publié se contente de faire planter l'hôte, et il garde sous le coude un second exploit, non divulgué publiquement celui-là, qui transforme le même bug en exécution de code root sur l'hôte. Et il n'a pas trouvé tout ça par hasard, puisqu'il participait au kvmCTF de Google, un programme qui paie jusqu'à 250 000 dollars pour une évasion complète d'une VM vers son hôte...

À ce stade, l'isolation censée séparer les locataires d'un même serveur vole en éclats, les VM de vos voisins de palier comprises.

Le code fautif traîne depuis août 2010, du temps du noyau 2.6.36 et Kim présente d'ailleurs Januscape comme la première évasion d'une VM vers son hôte qui fonctionne aussi bien sur Intel que sur AMD, à sa connaissance en tout cas.

Maintenant, avant de couper le wifi et de partir élever des chèvres dans le Larzac, deux petites nuances quand même car l'attaque réclame deux conditions réunies : être root dans la VM invitée, et que l'hôte expose la virtualisation imbriquée. Pas mal d'hébergeurs ne l'activent pas, donc c'est pas non plus une apocalypse universelle. Par contre, pour ceux qui l'activent, c'est game over.

Mais bonne nouvelle, le correctif est déjà là donc si vous administrez des serveurs KVM, mettez à jour maintenant. Et si vous ne pouvez pas patcher tout de suite, la parade consiste à désactiver la virtualisation imbriquée en attendant, avec kvm_intel.nested=0 sur de l'Intel ou kvm_amd.nested=0 sur de l'AMD.

VENOM s'échappait déjà d'une VM en 2015 via un vieux driver de disquette, et plus récemment une faille kernel planquée neuf ans offrait un accès root sur une machine Linux. Ces "fantômes" dorment longtemps dans le noyau, et ils choisissent toujours le pire moment pour se réveiller. Voilà, comme d'autres failles Linux à patcher d'urgence , celle-ci mérite tout de suite votre attention.

Source

❌
❌