Une enquête menée par 404 Media révèle les dessous d'un marché peu scrupuleux qui ne cesse d'évoluer. Celui des Flipper Zero, ou plus précisément celui des logiciels que cet outil peut embarquer. Les dernières versions, disponibles à l'achat sous le manteau, permettent de déverrouiller une très large gamme de modèles de voitures, sans qu’il existe de correctif de la part des constructeurs.
Après le flamboyant remake de Silent Hill 2 confié à Bloober Team, Konami revient aux affaires avec Silent Hill f. Cette nouvelle plongée horrifique a pour elle son ambiance et son héroïne atypique. On y a joué près de quatre heures à l'occasion de la gamescom.
Un lecteur de Numerama, en voulant déclarer un problème avec son smartphone, s'est rendu compte que RED by SFR référençait déjà les iPhone 17, iPhone 17 Air, iPhone 17 Pro et iPhone 17 Pro Max. L'opérateur pourrait avoir fait une erreur en affichant publiquement des produits pas encore annoncés.
Et, si la nature avait un coup d'avance sur nous, les êtres humains ? Certains vous diront que c'est impossible, d'autres penseront que c'est évident. Pourtant, notre espèce, aussi puissante qu'elle pense être, s'inspire bel et bien de notre Terre pour résoudre certains de ses problèmes. Ce concept s'appelle le biomimétisme et depuis plusieurs années, les scientifiques et ingénieurs de nombreux secteurs le mettent en application pour solutionner des difficultés en tous genres de notre quotidien.
Alors que Dexter est de retour en 2025 avec plusieurs spin-offs, comme Original Sin et Resurrection, il peut être difficile de s'y retrouver face aux nombreuses séries dérivées disponibles en streaming. Pour tout comprendre à l'univers du célèbre tueur en série, voici donc notre guide consacré à Dexter.
Souvent qualifié d’inventeur ou de cocréateur de Siri dans les médias, l’ingénieur français Luc Julia a vu son récit fortement compromis par la publication d’une vidéo YouTube remettant en cause son parcours. Les véritables créateurs de Siri ont depuis commenté la situation, pour clarifier le rôle de Luc Julia.
[Deal du jour] Le Mac mini M4, déjà considéré comme le meilleur rapport puissance/prix d’Apple, tombe à son meilleur avec une réduction de 120 € sur ce site.
Une étude récente de l’UCLA a tout pour débloquer une nouvelle peur autour de la voiture électrique. Les stations de recharge diffuseraient des taux de particules polluantes supérieures aux recommandations de l’OMS. Mais que disent vraiment les données de cette étude ? Pas tout à fait la même chose.
Je me souviens de la première fois où j’ai entendu parler de The Grugq.
C’était en 2006, via un PDF qui expliquait aux hackers comment ne pas se faire choper par les flic. Puis un peu plus tard, en 2012, je l’ai redécouvert vie un article de Forbes qui racontait comment un mystérieux Sud-Africain basé à Bangkok gagnait plus d’un million de dollars par an en vendant des failles zero-day aux agences de renseignement.
Pas en exploitant lui-même les failles, non. Juste en servant d’intermédiaire entre les hackers qui les découvraient et les gouvernements prêts à payer des fortunes pour les acquérir. Il prenait à l’époque 15% de commission sur des ventes qui pouvaient atteindre 250 000 dollars pour un seul exploit iOS. Le calcul était vite fait.
The Grugq expert en sécurité informatique et OPSEC
Puis j’ai découvert que ce type était bien plus qu’un simple marchand d’armes numériques. C’était LE gourou de l’OPSEC, celui qui avait littéralement créé le domaine de l’anti-forensics. Celui qui répétait sans cesse “shut the fuck up” comme mantra ultime de survie. Voici donc aujourd’hui, l’histoire de Thaddeus Grugq, l’homme qui a appris au monde entier l’art de disparaître.
Thaddeus Grugq est né en Afrique du Sud, quelque part dans les années 70. Les détails exacts ? Mystère complet. Et c’est totalement voulu car The Grugq pratique ce qu’il prêche. La première règle de l’OPSEC, c’est de contrôler l’information sur soi-même. Pas d’année de naissance précise dans les bios officielles. Pas de ville natale. Pas de vrais noms de famille. Juste “The Grugq”, un pseudonyme qui est devenu une marque dans le monde de la sécurité.
Ce qu’on sait, c’est qu’il a grandi dans l’Afrique du Sud de l’apartheid. Un pays où la surveillance était omniprésente, où les communications étaient espionnées, et où la paranoïa était justifiée. Du coup, c’est dans ce contexte qu’il développe très jeune une fascination pour les systèmes, pour comprendre comment ils fonctionnent, et surtout, comment contourner leur sécurité. L’environnement idéal pour forger un futur expert en contre-surveillance !
En 1998, à peine sorti de l’adolescence, il débarque dans le monde de la sécurité informatique. L’industrie en est encore à ses balbutiements. Les grandes entreprises commencent tout juste à comprendre qu’Internet n’est pas qu’un gadget et que la sécurité, ce n’est pas optionnel. The Grugq trouve alors un job dans une Fortune 100. Laquelle ? Il ne le dira jamais. OPSEC, toujours.
Mais rapidement, la vie en entreprise l’ennuie. Les réunions interminables, les politiques internes, les limitations imposées par la hiérarchie… C’est pas pour lui. Il veut explorer, casser des choses, comprendre les limites des systèmes. Alors quand l’opportunité se présente de rejoindre @stake, l’une des boîtes de sécurité les plus prestigieuses de l’époque, il saute dessus. Et on peut dire que c’était le bon moment !
@stake, c’était le graal pour tout hacker qui se respectait. Fondée par des légendes issues de L0pht Heavy Industries (ces mecs qui avaient fait trembler le Congrès américain en 1998 en déclarant pouvoir “éteindre Internet en 30 minutes”), la boîte attirait les meilleurs talents. Ils faisaient du pentest pour les plus grandes entreprises, découvraient des vulnérabilités critiques, conseillaient les gouvernements. C’était l’élite de l’élite !
The Grugq s’y épanouit totalement. Il reverse tout ce qui lui tombe sous la main. Il développe des exploits. Il apprend des meilleurs du milieu. Mais surtout, il commence à s’intéresser à un domaine encore vierge : l’anti-forensics. Comment effacer ses traces numériques ? Comment rendre l’analyse post-mortem impossible ? Comment disparaître sans laisser de preuves ?
Son mentor chez @stake lui donne alors un conseil qui va changer sa vie : “If you know how to do anti-forensics, you probably don’t need anti-forensics.” En d’autres termes, si tu maîtrises l’art d’effacer tes traces, c’est que tu es déjà assez bon pour ne pas en laisser. C’est le début de sa philosophie de l’OPSEC préventive.
En 2002, The Grugq décide de partager ses connaissances avec la communauté. Il écrit un article pour Phrack, la bible underground du hacking. Le titre : “Defeating Forensic Analysis on Unix”. Dans cet article, il détaille méthodiquement comment compromettre les outils d’analyse forensique. Et c’est pas de la blague !
L’article présente une panoplie d’outils révolutionnaires : RuneFS pour cacher des données dans les bad blocks, The Defiler’s Toolkit avec ses composants Necrofile et Klismafile pour modifier directement le système de fichiers, KY FS pour stocker des données dans les répertoires, et Data Mule FS pour utiliser l’espace réservé des inodes. C’est de la technique de haut vol !
L’article fait l’effet d’une bombe atomique car pour la première fois, quelqu’un expose publiquement des techniques qui étaient jusqu’alors réservées aux agences de renseignement et aux criminels les plus pointus. The Grugq justifie sa démarche en expliquant que c’est pour “pousser l’industrie de la sécurité à développer des outils efficaces”. Il espère que “la prochaine génération d’outils d’investigation numérique donnera ainsi aux défenseurs quelque chose de fiable pour combattre efficacement les attaquants”.
Noble intention… Mais @stake ne voit pas les choses du même œil car pour eux, publier ces techniques dans Phrack, c’est donner des armes aux méchants. C’est irresponsable et surtout contraire à l’éthique de l’entreprise. The Grugq est viré. Forcé de démissionner, comme ils disent poliment. Bref, l’histoire classique du lanceur d’alerte qui se fait blacklister !
Le licenciement est un coup dur pour lui, mais également une libération totale. The Grugq devient alors consultant indépendant, et là, il découvre un marché en pleine explosion. Celui des vulnérabilités zero-day. Le timing est parfait !
En effet, début des années 2000, les gouvernements commencent à comprendre que les cyberarmes sont l’avenir de l’espionnage et du sabotage. Pas besoin d’envoyer des agents sur le terrain quand on peut compromettre un système à distance. Pas la peine de risquer des vies humaines quand un exploit bien placé peut faire le job. Le problème, c’est que les agences de renseignement ne sont pas forcément les meilleures pour trouver ces vulnérabilités. Elles ont des analystes brillants, mais pas forcément la créativité et la liberté des hackers indépendants. D’où l’idée d’acheter les exploits à ceux qui savent les trouver.
The Grugq voit alors l’opportunité et la saisit. Il a des contacts dans le milieu du hacking, il connaît les meilleurs chercheurs, ceux qui trouvent les bugs que personne d’autre ne voit. Et de l’autre côté, grâce à son passage chez @stake et ses activités de consultant, il a des contacts dans les agences gouvernementales. NSA, CIA, et leurs équivalents européens. C’est le middleman parfait !
Il devient alors broker. On dit aussi intermédiaire. Il est l’homme entre deux mondes qui ne peuvent pas se parler directement.
Comme ça, si un chercheur trouve une faille dans iOS, The Grugq sait à qui la vendre pour 250 000 dollars. Une agence cherche un exploit pour Android ? The Grugq sait qui peut le fournir pour 80 000 à 120 000 dollars. C’est du business !
Sa commission standard est de 15% donc par exemple sur une vente à 250 000 dollars, ça fait 37 500 dollars. Sans écrire une ligne de code. Sans prendre le risque de l’exploitation. Juste en mettant en relation les bonnes personnes. C’est rentable !
Mais The Grugq n’est pas qu’un simple intermédiaire. Il apporte aussi une vraie valeur ajoutée professionnelle. D’abord, il vérifie la qualité des exploits car pas question de vendre de la camelote à des clients qui paient des fortunes. Et ensuite, il garantit l’anonymat des deux parties. Le chercheur ne sait pas à qui il vend et l’acheteur ne sait pas d’où vient l’exploit. The Grugq est donc le seul à connaître les deux bouts de la chaîne.
C’est là que son expertise en OPSEC devient absolument cruciale car comment transférer des exploits qui valent des centaines de milliers de dollars sans laisser de traces ? Et comment recevoir des paiements sans que le fisc ou d’autres acteurs s’en mêlent ? Comment, même, communiquer avec des agences de renseignement sans se faire repérer par d’autres agences de renseignement ?
Une vraie prise de tête. Alors The Grugq développe tout un système sophistiqué. Communications chiffrées, bien sûr. Mais pas que. Il utilise des chains de proxies, des VPNs en cascade, des systèmes de dead drops numériques. Il change régulièrement d’identité, de méthodes de communication, de patterns de comportement. Un vrai fantôme numérique !
“Il est judicieux de migrer régulièrement l’infrastructure de communication et de changer régulièrement d’identité », expliquera-t-il plus tard. « Cela crée des silos d’informations compartimentés chronologiquement qui limitent l’impact d’une compromission.”
Et en quelques années, le business explose littéralement. 2010, 2011, 2012… Les prix des zero-days s’envolent. Ce qui se vendait 10 000 dollars en 2005 vaut maintenant 100 000. Un exploit iOS complet peut atteindre 250 000 dollars. Pour Windows, c’est 60 000 à 120 000. Et pour les navigateurs populaires (Chrome, Firefox, Safari), on parle de 80 000 dollars pour un RCE + sandbox escape. Le business est en feu et The Grugq est au milieu de tout ça. Il connaît les prix, les acheteurs, les vendeurs. Il sait quelle agence cherche quoi, quel chercheur a trouvé quoi. C’est une position de pouvoir incroyable. Et lucrative. Très, très lucrative.
En mars 2012, Forbes publie un article au sujet du marché des zero-days. Écrit par Andy Greenberg et intitulé “Shopping for Zero-Days: A Price List for Hacker’s Secret Software Exploits”, cet article expose pour la première fois publiquement ce marché secret. The Grugq y est cité, sous pseudonyme bien sûr. Et il révèle qu’il a pour projet de gagner plus d’un million de dollars cette année-là. Rien qu’en commissions. Le journaliste n’en croit pas ses oreilles. Un million de dollars pour mettre des gens en relation ?
Mais The Grugq hausse les épaules. C’est le marché, simple loi de l’offre et la demande. Surtout que les gouvernements ont des budgets illimités pour l’espionnage numérique. Par exemple, la NSA dépense 25,1 millions de dollars par an juste pour acheter des vulnérabilités selon les documents de Snowden. Ça représente entre 100 et 625 exploits par an, selon les prix du marché. Et c’est rien que la NSA !
Ajoutez à ça la CIA, le FBI, le Pentagone. Puis les Britanniques, les Français, les Allemands, les Israéliens. Tous veulent leur part du gâteau. Tous ont besoin d’exploits pour espionner, saboter, et protéger. Toutefois, The Grugq limite ses ventes aux agences américaines et européennes “pas uniquement pour des raisons éthiques, mais aussi parce qu’ils paient plus”. Pragmatique le garçon !
The Grugq estime le marché total à moins de 5 millions de dollars par an. D’autres parlent de 50 millions. Personne ne sait vraiment car c’est un marché opaque par nature, mais une chose est sûre…c’est hyper lucratif pour ceux qui savent naviguer dans ces eaux troubles.
Et surtout, même pendant cette période dorée de l’achat/revente, The Grugq ne se contente pas de faire du business. Il continue ses recherches, ses expérimentations et s’intéresse particulièrement à l’intersection entre le tradecraft traditionnel (les techniques d’espionnage classiques) et les compétences des hackers. Il dévore les manuels de la CIA déclassifiés, les mémoires d’anciens espions, les techniques du KGB et de la SOE (Special Operations Executive britannique). Il étudie comment les organisations clandestines opèrent depuis des siècles et surtout comment adapter toutes ces méthodes au monde numérique.
C’est de là que naît sa philosophie de l’OPSEC moderne. Pour lui, la sécurité opérationnelle n’est pas qu’une affaire technique. C’est avant tout une discipline mentale. Une façon de penser, de vivre, d’interagir avec le monde. Une philosophie de vie !
Sa règle numéro un, qu’il répétera ad nauseam dans toutes ses conférences : “Shut the fuck up.” Fermez-la. Ne parlez pas. Ne vous vantez pas. Ne partagez pas. C’est brutal, c’est direct, mais c’est efficace.
Car c’est là que 90% des gens échouent. Ils ne peuvent pas s’empêcher de parler. De tweeter. De se vanter. De laisser des indices. The Grugq a vu des dizaines de hackers brillants se faire prendre parce qu’ils n’ont pas su se taire.
Hé oui, l’ego, ça tue !
En parallèle de ses activités de broker, The Grugq commence aussi à enseigner. D’abord dans des conférences underground, puis dans les grands événements de sécurité. Black Hat, DefCon, CanSecWest, HITB… Il devient rapidement une star absolue du circuit et ses talks sont de véritables événements !
Pas de PowerPoints ennuyeux remplis de bullet points, The Grugq raconte des histoires captivantes. Il mélange technique et anecdotes, théorie et pratique. Il cite Sun Tzu et les manuels de la Special Operations Executive britannique. Il parle de hackers russes et d’espions de la Guerre Froide. Un storytelling incroyable qui captive !
Un de ses talks les plus célèbres est “OPSEC for Hackers” présenté à HITB 2012 où pendant une heure, il détaille comment les hackers se font prendre. Les erreurs classiques, les pièges à éviter. Il analyse des cas réels, décortique les échecs, explique ce qui aurait pu être fait différemment. Une vraie masterclass !
Et son message est clair comme du crystal : La technique ne suffit pas. Tu peux être le meilleur hacker du monde, si ton OPSEC est pourrie, tu finiras en prison.
“Donnez à un homme un 0day et il aura un accès pendant une journée, apprenez-lui à hameçonner et il aura un accès à vie.” De la sagesse hacker !
The Grugq développe comme ça toute une philosophie autour de l’OPSEC. Pour lui, c’est un art, pas une science, où chaque situation est unique. Les règles changent constamment. “Le cyberespace, c’est comme le calvinball. La seule règle, c’est qu’on ne joue jamais deux fois de la même manière.” Une jolie référence à Calvin & Hobbes qui fait mouche !
Il emprunte également beaucoup au monde du renseignement traditionnel. La compartimentation, par exemple, c’est à dire ne jamais mélanger les identités, ne jamais croiser les flux d’information, et créer de silos étanches qui limitent les dégâts en cas de compromission. En gros, du cloisonnement militaire appliqué au hacking !
Ou encore tout ce qui est désinformation. “Si vous voulez dissimuler quelque chose, ne faites pas jurer aux gens de garder le silence, racontez autant d’histoires alternatives que possible.” Une règle de la SOE britannique pendant la Seconde Guerre mondiale, toujours valable à l’ère numérique. Il fait du recyclage de techniques éprouvées qu’il adapte au monde moderne.
Il insiste particulièrement sur l’aspect humain. “On ne peut pas lutter contre un mème avec un exploit” car la technologie ne résout pas tout. Les failles les plus dangereuses sont souvent humaines et l’ingénierie sociale, la manipulation, la psychologie… C’est là que se gagnent les vraies batailles. L’humain, toujours l’humain !
Vers 2013, The Grugq sent alors que le vent tourne dans le business des exploits. Les prix deviennent complètement fous. La concurrence s’intensifie dangereusement. De nouvelles boîtes comme Vupen (qui deviendra Zerodium en 2015) ou Netragard entrent agressivement sur le marché. Les gouvernements commencent à acheter directement, sans passer par des intermédiaires. Le marché se professionnalise !
Plus important encore, l’éthique de tout ça commence sérieusement à le déranger. Ces exploits qu’il vend, ils servent à quoi exactement ? Espionner des dissidents ? Saboter des infrastructures ? Surveiller des journalistes ? The Grugq n’est pas naïf, il sait que ses clients ne sont pas des enfants de chœur, mais voir l’escalade, la militarisation du cyberespace, ça le fait réfléchir profondément.
Il décide alors de changer de cap radicalement. Exit la revente d’exploits et place à l’enseignement, la recherche, et le conseil. Il a assez d’argent pour vivre confortablement jusqu’à la fin de ses jours et il a prouvé ce qu’il avait à prouver. Maintenant, il veut transmettre. C’est, je trouve, une noble reconversion !
Il s’installe alors définitivement à Bangkok. Alors pourquoi Bangkok, me direz-vous ? Et bien “parce que c’est loin de tout”, dit-il en rigolant. Mais c’est plus profond que ça car Bangkok, c’est un hub international, connecté au monde entier mais en dehors des radars occidentaux. C’est facile d’y disparaître, d’y vivre anonymement… et puis, la bouffe est excellente et pas chère.
De Bangkok, The Grugq continue ses activités, mais autrement. Il donne des formations privées à des entreprises, des gouvernements (les gentils, précise-t-il avec ironie). Il écrit, beaucoup, notamment des articles, des guides, des analyses et devient le philosophe de l’OPSEC moderne, le Socrate de la sécurité opérationnelle !
Sa présence sur Twitter (@thegrugq) devient absolument culte. Chaque tweet est une leçon de vie. Parfois technique, parfois philosophique, toujours pertinent. Il commente l’actualité de la sécurité, analyse les échecs, dispense ses conseils. Le tout avec un humour noir bien caractéristique. C’est du contenu premium !
“Si un État-nation vous poursuit, vous allez passer un mauvais quart d’heure.” est un de ses tweets les plus célèbres, qui résume sa vision réaliste de la sécurité. Pas de faux espoirs. Pas de solutions miracles. Juste la vérité crue : contre certains adversaires, vous ne pouvez pas gagner. Point final.
Mais ça ne veut pas dire qu’il faut abandonner. Au contraire. The Grugq prêche la préparation, la discipline, la rigueur. “Pour bien maîtriser l’OPSEC, il faut intérioriser les changements de comportement nécessaires pour maintenir en permanence une posture de sécurité solide.” C’est un mode de vie, pas un hobby, je vous l’ai déjà dit !
Par exemple, en 2017, l’affaire Reality Winner éclate et devient un cas d’école parfait. Cette contractante de la NSA a leaké un document classifié au journal The Intercept. Elle est alors arrêtée quasi immédiatement.
Un cas d’école d’échec OPSEC que The Grugq va analyser dans son article Medium “Real Talk on Reality”. Car c’est un festival d’erreurs catastrophiques. Winner a par exemple imprimé le document depuis son poste de travail. Et comme les imprimantes laissent des micro-points invisibles qui permettent de tracer exactement quand et où un document a été imprimé, ça a été son erreur numéro. Surtout que c’était le seul document qu’elle avait imprimé ce mois-là !
Elle a ensuite accédé au document alors qu’elle n’avait aucune raison professionnelle de le faire. Dans une agence où tout est loggé en permanence, c’est un red flag immédiat. Erreur numéro 2, très grossière !
Mais attendez, c’est pas fini ! Elle avait déjà contacté The Intercept depuis son ordinateur professionnel. Alors quand l’enquête a commencé, son nom est ressorti immédiatement. Erreur numéro 3, fatale !
Et The Intercept ? Et bien ils ont envoyé une copie du document à la NSA pour vérifier son authenticité. Et avec les micro-points bien visibles. Ils ont littéralement donné à la NSA tout ce dont elle avait besoin pour identifier la source. Erreur numéro 4, 5, 6… La liste est longue !
The Grugq est sans pitié dans son analyse. “Mme Winner était condamnée, indépendamment des mesures prises par The Intercept pour protéger sa source qui, en réalité, étaient inexistantes.” Winner a violé toutes les règles de base de l’OPSEC. Elle a laissé des logs partout : Accès au document, impression, communications… Chaque action a créé une trace indélébile.
Mais il ne blâme pas que Winner car The Intercept a failli tragiquement à son devoir de protection des sources. Tout journaliste qui traite des documents sensibles devrait connaître les bases : micro-points, métadonnées, techniques de traçage. C’est de la négligence criminelle, selon lui.
“OPSEC is not a joke”, martèle-t-il. “Ce n’est pas facultatif. Ce n’est pas quelque chose que l’on fait quand on a le temps. C’est une discipline. Un mode de vie. Sinon, on finit comme Reality Winner : condamné à plusieurs décennies de prison pour avoir essayé de faire ce qui était juste, mais de la mauvaise manière.” Leçon douloureuse mais essentielle !
Au fil des ans, The Grugq devient une véritable institution dans le monde de la sécurité. “The most quoted man in infosec”, comme on l’appelle affectueusement. Pas une conférence sans qu’un speaker cite une de ses maximes. Pas un article sur l’OPSEC sans référence à ses enseignements. Une notoriété bien méritée !
Il publie régulièrement sur Medium, sur son blog, sur GitHub. Des guides pratiques, des analyses théoriques, des réflexions philosophiques… Et tout est disponible gratuitement. The Grugq ne vend pas ses connaissances OPSEC. Il les partage généreusement. C’est sa façon de rendre à la communauté.
Son blog “Hacker OPSEC” devient LA référence absolue. Des dizaines de pages détaillant chaque aspect de la sécurité opérationnelle. Comment choisir ses outils. Comment créer des identités. Comment communiquer. Comment disparaître. Mais surtout il met en garde car lire ne suffit absolument pas.
Il faut pratiquer, s’entraîner, développer les réflexes car l’OPSEC, c’est 10% de connaissances et 90% de discipline. Et la discipline, ça se travaille !
Ces dernières années, The Grugq s’est considérablement diversifié. Il dirige maintenant le Glasshouse Center, un think tank dédié aux cybermenaces émergentes et à la stratégie cyber. Il publie “The Grugq’s Newsletter”, une newsletter suivie par des dizaines de milliers d’abonnés. Il y commente l’actualité, analyse les tendances, partage ses réflexions sur l’évolution du paysage numérique.
Car le monde a radicalement changé depuis ses débuts dans les années 90. Les exploits zero-day se vendent maintenant des millions (Zerodium offre jusqu’à 2,5 millions pour certains exploits iOS). Les États-nations ont des armées entières de hackers. La surveillance est omniprésente. Mais les principes de base restent exactement les mêmes. Discipline. Compartimentation. Et surtout silence.
Car dans un monde où tout est enregistré, où chaque bit peut devenir une preuve, ce silence est littéralement d’or.
Aujourd’hui, The Grugq reste un mystère complet. Après plus de 25 ans dans le milieu, peu de gens connaissent son vrai visage. Encore moins ont son vrai numéro de téléphone. Il apparaît dans les conférences, donne ses talks brillants, puis disparaît. Comme un fantôme. Comme il l’a toujours fait. Comme il continuera de le faire.
C’est ça, le vrai OPSEC. Pas des outils fancy ou des techniques ultra-complexes. Juste cette discipline de rester dans l’ombre et de contrôler l’information sur soi-même. Il ne faut jamais baisser la garde même quand personne ne regarde.
Alors la prochaine fois que vous êtes tenté de tweeter ce truc super cool que vous venez de hacker, rappelez-vous The Grugq et de son mantra :
Toutes les nuits, en m’endormant, je me pose la question suivante : “Et si on pouvait créer un jeu vidéo juste en le décrivant ?”
Non, c’est faux, je m’endors en 30 secondes chrono comme une merde, épuisé par une journée à écrire sur ce site. Mais n’empêche, décrire un jeu vidéo et y jouer, bah figurez-vous que c’est maintenant possible avec Mirage 2.
DynamicsLab AI vient en effet de lancer ce qu’ils appellent un Generative World Engine, c’est à dire un modèle général qui vous permet de créer, jouer et transformer n’importe quel monde instantanément. Et ce n’est pas juste pour les jeux, mais pour n’importe quel monde interactif que votre imagination peut créer.
Ce qui est cool surtout c’est qu’on peut maintenant uploader nos propres images… un croquis, un concept art, une photo, même un dessin d’enfant aux crayons, et hop Mirage 2 les transforme en environnements jouables. Vous y décrivez ensuite ce que vous voulez voir apparaître comme une ruelle pour vous échapper, changer d’apparence, de décor… etc et le moteur intègre votre demande instantanément dans le jeu en cours.
C’est le futur des jeux en monde ouvert mes amis ! Et cerise sur le gâteau : vous pouvez partager vos mondes créés avec vos potes qui peuvent ensuite les explorer et y jouer.
Niveau contrôles, on peut basculer entre contrôle textuel, clavier et manette de façon fluide. Vous tapez par exemple “spawn une moto”, l’instant d’après vous la pilotez avec les touches directionnelles. Avec une latence d’environ 200ms et la possibilité de jouer pendant plus de 10 minutes d’affilée, c’est déjà impressionnant pour de la génération pure.
D’ailleurs, comparé à Genie 3 de DeepMind annoncé récemment, Mirage 2 a l’avantage d’être jouable maintenant… C’est pas juste une n-ième démo tech qu’on peut voir que sur YouTube.
Notez que l’équipe derrière DynamicsLab AI ce sont des anciens de Google, Nvidia, Amazon, SEGA, Apple et Microsoft et ils positionnent leur technologie comme un nouveau média où les jeux ne se téléchargent plus, mais s’imaginent, se promptent et se vivent….
Bien sûr, vous verrez en testant, c’est encore loin d’être parfait. Les virages à droite peuvent parfois bugger, les transitions rapides génèrent des variations visuelles bizarres, et le contrôle des personnages demande encore du travail. Mais quand on voit ce que ça donne aujourd’hui et qu’ils sont passés de Mirage 1 à Mirage 2 en seulement un mois, j’imagine facilement ce que ça va donner dans 2-3 ans.
On va peut-être passer d’un modèle où les développeurs créent des mondes fixes qu’on explore, à un système où chaque joueur co-crée son expérience en temps réel. Je sens que ça va encore faire grincer des dents mais les possibilités pour les plateformes créatives sont énormes car ça va permettre d’offrir un contenu personnalisé instantané, des formats infiniment rejouables, et surtout une barrière d’entrée à la création réduite à une simple idée.
Si ça vous chauffe de tester Mirage 2 directement dans votre navigateur, c’est par ici : demo.dynamicslab.ai
Les partis politiques français n'auront pas tenu une semaine avant de réagir à la mort de Jean Pormanove par des propositions de loi et d'autres idées loufoques. Ce fait-divers tragique mérite sûrement mieux.
Notre justicier préféré est encore et toujours de retour avec un troisième spin-off, plus de dix ans après la fin de la série originale. Mais doit-on vraiment être un expert de Dexter pour apprécier sa Resurrection, diffusée depuis le 21 août sur Canal+ ?
Un ressortissant chinois vivant dans l'Ohio vient d'être condamné à 4 ans de prison par la justice américaine. Ce développeur de logiciels, un brin revanchard, est reconnu coupable d'avoir implémenté un logiciel malveillant avant d'avoir été licencié par son employeur.
Depuis plusieurs mois, des articles écrits par Margaux Blanchard, une journaliste pigiste, apparaissent dans des médias américains (Wired, Business Insider…). Tous ont fini par réaliser que l'autrice n'existe pas vraiment.
C’est quand même fou, l’obsession des développeurs et des bouffeurs de changelog comme moi pour les numéros de version. Tenez, par exemple, comma.ai vient de sortir une nouvelle version d’openpilot et au lieu de passer à la tant attendue version 1.0, ils nous font le coup du 0.9.9 → 0.10. Une jolie feinte qui montre qu’ils ont encore de l’ambition sous le capot avant de franchir ce cap symbolique du 1.0, avec un objectif clair côté équipe : faire passer le contrôle longitudinal end-to-end d’Experimental à Chill.
Ce que je retiens de cette nouvelle release, c’est surtout leur nouvelle architecture “Tomb Raider”. Ce n’est pas juste une amélioration incrémentale, c’est carrément une approche validée scientifiquement dans un papier de recherche publié sur arXiv qui prouve qu’on peut, de manière fiable, entraîner des systèmes de conduite autonome dans des simulateurs, sans avoir besoin de règles codées en dur. Ces simulateurs produisent artificiellement des situations de conduite comme on pourrait en enregistrer chaque jour avec une dashcam par exemple. Cela permet d’avoir une masse de données gigantesque afin de renforcer l’apprentissage des modèles.
Et comme ça, au lieu de faire comme Cruise ou Waymo qui claquent des milliards dans du matériel spécialisé et des cartes HD au LiDAR, comma.ai peut continuer de faire tourner son système sur un équivalent de smartphone.
Terminé le MPC (Model Predictive Control) traditionnel, place maintenant à un World Model qui prédit directement les trajectoires. Dans leur papier de recherche, ils expliquent avoir développé deux stratégies de simulation : la simulation reprojective qui utilise des cartes de profondeur pour recréer des scènes, et la simulation par World Model qui génère carrément des scénarios de conduite réalistes. Et surtout, le MPC est retiré en latéral dans les modes Chill et Experimental, et le longitudinal bascule aussi sur ce modèle en Experimental dès cette release. C’est pas rien !
Ici, en bleu vous pouvez voir le trajet pris par un humain. En vert, c’est la prédiction du trajet humain par le modèle précédent. Et en orange, vous avez la prédiction du trajet humain par le nouveau modèle de cette release. Ce qu’il faut retenir, c’est que le trajet orange est le meilleur car il part de la position actuelle de la voiture, pour converger vers le centre de la voie. Ça permet de garder le véhicule bien au centre de sa voie.
Pour l’entraînement de Tomb Raider, ils ont aussi mis en place un genre de goulot d’étranglement volontaire de l’information pour éviter que le système n’exploite les artefacts du simulateur. En gros, ils forcent le réseau de neurones à apprendre des vraies compétences de conduite plutôt que de tricher en exploitant les failles de la simulation. C’est un détail technique, certes, mais ça fait la différence entre un prototype de labo et un système actuellement déployé dans la vraie vie.
Pour ceux qui veulent creuser la partie scientifique, leur approche future-anchored world model permet de générer des scénarios de conduite réalistes en partant du futur puis en remontant vers le présent. C’est contre-intuitif, mais ça permet d’éviter les dérives accumulatives typiques des modèles génératifs. Ils ont même réussi à déployer ces politiques apprises en simulation directement dans openpilot, prouvant que le transfert sim-to-real fonctionne vraiment.
D’après les tableaux de l’étude, ce nouveau système atteint chez 500 utilisateurs environ 30 % de temps d’engagement et 52 % de distance parcourue sous assistance. C’est impressionnant et comme je vous l’expliquais dans cet article, Consumer Reports avait classé openpilot au-dessus de l’Autopilot de Tesla en 2020, mais aussi du Super Cruise de Cadillac et du Co-Pilot 360 de Ford, particulièrement sur l’engagement du conducteur et la facilité d’utilisation. Ce n’est pas pour rien.
Techniquement, la nouvelle version améliore aussi significativement la détection des véhicules à l’arrêt grâce au modèle Space Lab 2 comme vous pouvez le voir ici. La team a validé ça en conditions réelles et via une batterie de 25 scénarios CARLA pour les arrêts et redémarrages.
Ils ont aussi réduit le nombre de frames ignorées à basse vitesse de 78 % à 52 %, ce qui se traduit concrètement par une bien meilleure gestion des embouteillages et des situations de stop-and-go. Je vous rassure, la vidéo est accélérée, ça ne fait pas flipper comme ça en vrai.
Donc pour tous ceux qui ont déjà pesté contre leur régulateur adaptatif qui ne comprend rien aux bouchons et se tape de grosses accélérations pour rien, c’est une vraie avancée.
Autre détail qui change la sensation au volant c’est l’estimation en direct du délai latéral qui est désormais utilisée, ce qui affine la précision de la direction selon les modèles de voitures. Et côté pipeline d’entraînement, ils ont aussi validé l’usage d’images compressées pour coller au simulateur de Machine Learning. Par exemple, le modèle Vegan Filet-o-Fish est entraîné directement sur ces frames compressées, sans dégradation notable de la politique de conduite.
Ils ont également réécrit leur parser CAN en Python avec détection automatique de la fréquence des messages, économisant 700 lignes de code par véhicule supporté. Du coup, plus de 300 modèles de voitures sont maintenant officiellement supportés, incluant les Honda Accord, CR-V et Pilot 2023-25, ainsi que l’Acura MDX 2025, et c’est devenu beaucoup plus simple d’en ajouter de nouvelles.
Puis ils ont aussi mis à jour leur dataset commaCarSegments qui contient maintenant 3000 heures de données CAN provenant de leur flotte de 20 000 utilisateurs dans le monde. Même les constructeurs n’ont pas accès à ces données CAN de production, donc je vous laisse imaginer, ça vaut de l’or !
Côté usage au quotidien, deux petites nouveautés bien pratiques. Ils ont ajouté un outil de clipping pour partager des extraits vidéo de conduite dans le channel #driving-feedback de leur Discord, et l’option d’enregistrer l’audio de la dashcam, désactivée par défaut et maintenant activable en un tapotement de doigt.
Bref, comme d’hab avec comma, ils ne sont pas dans le marketing, ils sont dans l’amélioration continue et surtout ils livrent du concret !
N’oubliez pas quand même qu’openpilot reste un système d’aide à la conduite de niveau 2 donc le conducteur reste responsable, mains sur le volant et yeux sur la route.
Maintenant, comme je vous le disais en intro, leur objectif pour la vraie 1.0 c’est de faire passer le contrôle longitudinal end-to-end du mode Experimental au mode Chill, autrement dit le rendre suffisamment fiable pour être utilisé par défaut. On verra s’ils y parviennent mais je suis confiant.
Qui sait, ça passera peut-être par un upgrade du matériel à un moment avec un nouveau comma 4 ?
En tout cas, cette jolie version 0.10 n’est pas qu’une simple mise à jour. C’est vraiment, je trouve, la validation d’une approche totalement différente de la conduite autonome qui mise sur l’apprentissage end-to-end, des générateurs de data virtuelles pour l’entraînement et bien sûr tout ça en open source !
C’est beau non ? Les constructeurs automobiles feraient bien d’en prendre de la graine.
La célèbre comédie américaine The Office va avoir droit à un tout premier spin-off, situé dans le même univers : The Paper. Casting, bande-annonce, date de sortie... Voici tout ce que vous devez savoir sur cette série qui arrivera très bientôt en streaming.
Connexion
