Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 29 mars 2024Tech Généraliste

Un malware cible les joueurs de Call of Duty qui veulent tricher et vole tous leurs Bitcoins

Par : Korben
29 mars 2024 à 11:52

Vous connaissez la dernière ?

Des petits malins ont eu l’idée de distribuer des logiciels de triche pour Call of Duty et d’autres jeux sur Battle.net. Sauf que… surprise ! En réalité, ces soi-disant « cheats » étaient bourrés de malwares qui aspirent les Bitcoins des joueurs ! Un coup de maître digne d’un scénario de Mr Robot.

D’après les experts en cybersécurité de VX Underground, cette attaque d’hameçonnage ciblée aurait potentiellement compromis près de 5 millions de comptes, rien que ça ! Une fois installé sur l’ordi de la victime, le malware s’attaque direct au portefeuille Bitcoin Electrum pour siphonner les précieuses crypto. On parle de presque 3,7 millions de comptes Battle.net, plus de 560 000 comptes Activision et environ 117 000 comptes ElitePVPers. Autant dire que les cybercriminels se sont fait plaisir.

Bon, Activision affirme que ses serveurs n’ont pas été directement compromis. Mais quand même, ça la fout mal. La boîte conseille à tous les joueurs qui auraient pu cliquer sur un lien louche de changer rapidement leur mot de passe et d’activer l’authentification à deux facteurs ce qui est un minimum.

Bref, méfiez-vous comme de la peste des logiciels de triche. Comme dirait l’autre, si c’est trop beau pour être vrai, c’est que ça cache sûrement une entourloupe !

Puis où est passé le plaisir de jouer à la loyale, de progresser à la sueur de son front et de laminer ses adversaires à la régulière ?

RCS sur iPhone – Apple va enfin adopter le standard de messagerie universel !

Par : Korben
29 mars 2024 à 11:29

Ça y est les amis, on y est ! Apple va enfin adopter le standard RCS sur iPhone à partir de fin 2024 ! C’est une excellente nouvelle qui va changer la donne dans le petit monde de la messagerie mobile. Il sera bientôt fini le temps où envoyer un message à un ami sous Android c’était l’enfer, avec une qualité dégueu des photos, des fonctionnalités limitées et zéro sécurité.

Maintenant, grâce à RCS, on va enfin pouvoir tchatcher avec tout le monde de la même façon, que ce soit sur iOS ou Android.

Alors c’est quoi RCS ? En gros c’est un protocole de messagerie nouvelle génération qui offre plein d’avantages par rapport aux bons vieux SMS/MMS d’il y a 20 ans. Déjà, ça permet d’envoyer des photos et vidéos en haute définition sans compression dégueulasse. Ensuite, y’as des trucs cools comme les indicateurs de frappe, les accusés de lecture, les messages via le WiFi, et surtout le chiffrement de bout en bout pour protéger vos conversations. En fait c’est un peu comme iMessage, mais en version universelle et interopérable.

Depuis des années, Google et les autres acteurs poussaient comme des malades pour que RCS devienne le nouveau standard sur Android. Mais il manquait toujours le dernier morceau du puzzle : Qu’Apple daigne enfin l’adopter sur iPhone ! Les mecs ont résisté longtemps, soi-disant pour garder leur avantage compétitif avec iMessage et continuer d’enfermer les gens dans leur écosystème. Résultat, quand on textait un pote sur Android depuis un iPhone, on était obligé de passer par ce bon vieux SMS tout pourri. La loose…

Mais sous la pression des régulateurs européens (comme d’hab ^^) qui exigent l’interopérabilité des messageries, Apple a fini par céder. Comme l’a subtilement révélé Google sur son site, la firme de Cupertino prévoit donc bien d’intégrer RCS dans une future mise à jour d’iOS, probablement iOS 18 en septembre 2024. Autant dire que c’est une sacrée bonne nouvelle pour nous, les utilisateurs !

Déjà, ça va permettre de communiquer de façon fluide avec tous nos contacts, quelle que soit leur religion (euh pardon leur smartphone). Photos, vidéos, réactions, indicateurs de frappe… On aura enfin droit aux mêmes fonctionnalités sympa et ergonomiques pour tchatcher avec tout le monde. Ensuite, on n’aura plus à se soucier de la sécurité et confidentialité de nos échanges. Avec le chiffrement de bout en bout de RCS, nos messages seront protégés des regards indiscrets, exactement comme sur iMessage ou WhatsApp. Et ça c’est crucial à l’heure où les scandales de surveillance de masse et de fuite de données s’enchaînent !

Après attention, connaissant Apple, faut pas s’attendre non plus à une implémentation parfaite de RCS qui effacerait complètement les frontières avec iMessage. Ils vont sûrement trouver des moyens de garder une petite spécificité à leur bébé, genre en conservant les bulles vertes, qui stigmatisent les pauvres, pour bien différencier les conversations Android. Ou alors en bridant certaines fonctionnalités un peu trop hypes d’iMessage dans les chats RCS. Mais bon, l’essentiel c’est qu’on puisse enfin s’envoyer des messages riches, sécurisés et fiables entre iPhone et Android. C’est déjà un énorme pas en avant !

Rendez-vous en septembre de cette année pour voir si ce rêve se réalise !

Source

Un faille critique 0-day corrigée dans Microsoft Edge, tous les navigateurs Chromium vulnérables

Par : Korben
29 mars 2024 à 10:56

Alerte rouge dans la galaxie des navigateurs web ! Microsoft vient d’annonce qu’une faille critique 0-day a été découverte dans Edge et corrigée en urgence. Mais attention, cette vulnérabilité ne se limite pas au navigateur de Microsoft puisque c’est toute la famille Chromium qui est touchée !

Google a bien tenté de faire profil bas en publiant discrètement un correctif pour Chrome le 26 mars, sans trop s’étendre sur les détails. Mais c’était sans compter sur la perspicacité de Microsoft qui a mis les pieds dans le plat en confirmant que l’exploit était activement utilisé par des cybercriminels. Aïe !

Baptisée CVE-2024-2883, cette vilaine faille se cache dans le moteur graphique ANGLE (Almost Native Graphics Layer Engine) utilisé par les navigateurs Chromium pour faire tourner le WebGL. En gros, c’est la porte d’entrée parfaite pour exécuter du code malveillant sur votre machine.

Heureusement, Microsoft a réagi au quart de tour en sortant illico presto la version 123.0.2420.65 d’Edge qui colmate la brèche. Mais attention, si vous utilisez un autre navigateur basé sur Chromium comme Chrome, Brave, Vivaldi ou Opera, vous êtes aussi concernés. Alors, foncez vérifier que vous avez bien la dernière version à jour !

Pour ce faire, rien de plus simple : tapez « chrome://settings/help » (ou l’équivalent pour votre navigateur) dans la barre d’adresse et laissez la magie opérer. Si une mise à jour est disponible, elle sera téléchargée et installée automatiquement. Ensuite, relancez le navigateur et le tour est joué !

Ce n’est pas la première fois qu’une faille 0-day fait trembler le monde des navigateurs. En 2021, une vulnérabilité similaire avait été découverte dans Chrome et avait été activement exploitée pendant des semaines avant d’être corrigée. Un vrai cauchemar pour les utilisateurs et les éditeurs !

Source

Lapce – L’IDE codé en Rust qui dépote

Par : Korben
29 mars 2024 à 09:00

Si vous êtes un développeur à la recherche d’un nouvel éditeur de code, vous allez être content avec Lapce dispo pour Windows, Linux et macOS. Encore en version pré-alpha, Lapce n’a d’autres ambitions que de venir chatouiller les orteils de Visual Studio Code.

Pour le moment, on en est loin, mais cet éditeur a quand même quelques atouts dans sa manche. Tout d’abord, son interface graphique et ses performances sont au top du top de l’optimisation grâce au langage dans lequel il est codé, à savoir Rust.

En effet, grâce à l’accélération GPU intégrée à l’interface graphique native, les lags au lancement de l’éditeur et lors de la saisie sont totalement éliminés. Pour les développeurs de Lapce, tout ralentissement lors de la frappe est considéré comme un bug et sera donc résolu.

L’une des fonctionnalités les plus intéressantes de Lapce est la possibilité de se connecter à une machine distante en toute transparence via SSH, pour bénéficier d’une expérience « locale ». Cela vous permet de profiter d’un environnement identique à votre serveur de production ou d’exploiter toutes les performances de la machine distante. Idéal pour les développeurs travaillant en équipe ou en télétravail.

Côté mise en forme du code, Lapce utilise Tree-sitter pour la coloration syntaxique, ce qui est une solution bien plus rapide et efficace que les techniques à l’ancienne basées sur les expressions régulières (regex). De plus, la prise en charge intégrée du protocole LSP (Language Server Protocol) permet à Lapce de proposer de la complétion de code, des diagnostics ainsi que des actions éventuelles sur le code analysé en temps réel.

Si vous êtes un utilisateur de Vim, bah déjà bon courage. Mais surtout, ne vous inquiétez pas, Lapce intègre nativement une expérience d’édition similaire à Vim, sans avoir besoin d’installer de plugin. Vous n’avez qu’à activer l’option d’édition modale dans les paramètres de l’IDE et vous pourrez utiliser tous vos raccourcis Vim comme un bon tröll velu.

Pour encore plus de personnalisation, vous pouvez aussi écrire vos propres plugins pour Lapce en utilisant n’importe quel langage de programmation capable d’être compilé pour produire du WASI (WebAssembly System Interface). Ainsi, vous pouvez choisir un langage de programmation que vous aimez pour créer des plugins rapidement sans apprendre un truc spécifique.

Enfin, Lapce vous permet de lancer un terminal directement dans le répertoire de votre espace de travail, sans quitter l’éditeur. Cette fonction simplifie la gestion des fichiers et des dossiers, rendant votre workflow encore plus fluide.

Bref, bien que Lapce soit encore en phase pré-alpha, et loiiiin d’égaler Visual Studio Code, cet éditeur open source écrit en Rust, est promis à un bel avenir chez tous ceux pour qui les perfs sont très importantes (tout le monde quoi…).

Rendez-vous sur lapce.dev pour en savoir plus ! Et la doc est ici.

Merci à Lorenper

Faille critique « WallEscape » dans Linux – Vos mots de passe en danger

Par : Korben
28 mars 2024 à 22:30

Saviez-vous qu’une faille de sécurité plus vicieuse qu’un boss de fin de niveau est tapie dans les entrailles de notre cher Linux depuis plus d’une décennie ? Et attention, on ne parle pas d’un vulgaire bug qui fait planter votre distrib’ préférée, non non. Cette saleté, baptisée « WallEscape » par Skyler Ferrante, un chercheur en sécurité un peu barré (on y reviendra), permet ni plus ni moins à un petit malin de vous subtiliser votre précieux mot de passe Admin !

Tout commence avec une commande anodine appelée « wall« , présente dans le package util-linux. Son petit boulot à elle, c’est d’envoyer des messages à tous les utilisateurs connectés sur une même machine. Jusque-là, rien de bien méchant, vous me direz.

Sauf que voilà, un beau jour, ou plutôt un sale jour de 2013, un commit un peu foireux est venu s’immiscer dans le code de wall tel un cheveu sur la soupe. Depuis, cette brebis galeuse s’est gentiment propagée dans toutes les versions de util-linux, tel un virus informatique qui s’ignore.

Mais qu’est-ce qu’il y avait de si terrible dans ce ce commit ? Eh bien, pour faire simple, le dev qui l’a poussé, a tout bonnement oublié de filtrer correctement les fameuses « escape sequences » dans les arguments de la ligne de commande. Résultat des courses : un petit malin un peu bricoleur peut maintenant s’amuser à injecter tout un tas de caractères de contrôle pour faire des trucs pas très catholiques sur votre terminal.

Et c’est là que notre ami chercheur en sécurité dont je vous parlais au début de l’article, entre en scène. Armé de sa curiosité légendaire et de son sens de l’humour douteux, il a flairé le potentiel de la faille et s’est amusé à monter un scénario d’attaque digne d’un film de ma saga préférée : « Die Hard ». L’idée, diaboliquement géniale, est d’utiliser ces fameuses « escape sequences » non filtrées pour créer de fausses invites sudo sur le terminal de la victime. Ainsi, tel un loup déguisé en agneau, l’attaquant peut vous inciter à gentiment taper votre mot de passe administrateur, pensant avoir affaire à une véritable demande d’authentification système.

Bon, je vous rassure tout de suite, il y a quand même quelques conditions à remplir pour que l’attaque fonctionne. Déjà, il faut que l’option « mesg » soit activée sur votre machine et que la commande wall ait les permissions setgid.

Bien sûr, en tant que vrai geek qui se respecte, vous avez probablement déjà mis à jour votre système avec la dernière version de util-linux qui colmate la brèche. Sinon, vous pouvez toujours vérifier que les permissions setgid ne sont pas activées sur wall ou carrément désactiver cette fonctionnalité de messages avec « mesg« .

En attendant, je ne peux que vous encourager à jeter un coup d’œil au PoC de notre ami chercheur, histoire de voir à quoi peut ressembler une fausse invite sudo des familles. C’est toujours ça de pris pour briller en société.

Allez, amusez-vous bien et n’oubliez pas : sudo rm -rf /*, c’est le mal !

Source

Elon Musk annonce des fonctionnalités premium gratuites sur X

Par : Korben
28 mars 2024 à 22:02

Tiens, tiens, ce cher Elon Musk nous réserve encore des surprises de taille avec X, anciennement connue sous le nom de Twitter ! Le milliardaire vient d’annoncer que certains comptes auront désormais accès gratuitement à des fonctionnalités premium. Il se prend pour Xavier Niel, le gars 🙂

Concrètement, si votre compte X a plus de 2500 abonnés vérifiés, vous allez pouvoir profiter des fonctionnalités Premium sans débourser un centime. Et si vous avez la chance d’avoir plus de 5000 fidèles followers, c’est carrément Premium+ qui vous tend les bras !

Avant cette annonce fracassante, il fallait casquer 8$ par mois pour avoir accès à Premium et tous ses avantages : des posts plus longs, des uploads vidéos plus conséquents, une priorité dans les réponses et moins de pubs dans votre timeline. Quant aux utilisateurs Premium+, en plus de dire adieu à la publicité, ils ont même droit à Grok, le chatbot d’IA générative de X.

Depuis qu’Elon Musk a racheté Twitter pour la modique somme de 44 milliards de dollars en avril 2022, le réseau social a beaucoup fait parler de lui. Entre les polémiques sur la liberté d’expression, les changements de nom, et les fonctionnalités qui changent ou disparaissent, on ne s’ennuie pas une seconde.

Mais tout n’est pas rose dans le monde merveilleux de X. Un juge américain vient de rejeter une plainte déposée par la plateforme contre un groupe accusant X de laisser proliférer les discours haineux depuis l’arrivée de Musk aux manettes. Le juge a estimé que X ne supportait pas la critique et punissait les défendeurs pour leur liberté d’expression. Un revers cinglant pour le réseau social qui compte bien faire appel.

Et comme si cela ne suffisait pas, le nombre d’utilisateurs quotidiens de X serait en chute libre par rapport à ses concurrents comme Instagram et TikTok. Selon des chiffres rapportés par NBC News, l’utilisation quotidienne de X aux États-Unis aurait chuté de 23% depuis novembre 2022, juste après la finalisation du rachat par Musk. Une baisse bien plus importante que pour les autres géants des réseaux sociaux sur la même période.

Au niveau mondial, c’est pas la joie non plus. Les utilisateurs actifs quotidiens sur X sont descendu à 174 millions, soit une baisse de 15% par rapport à l’année précédente. Pendant ce temps-là, Snapchat, Instagram, Facebook et TikTok continuent de voir leur nombre d’utilisateurs grimper. Aïe aïe aïe…

Alors certes, Elon Musk et son équipe peuvent se vanter d’accueillir encore 250 millions d’utilisateurs quotidiens dans le monde, comme l’a fièrement annoncé X Data en mars dernier. Mais n’oublions pas que c’est quand même moins que les 258 millions revendiqués par le patron en personne fin 2022.

Malgré ces quelques zones de turbulences, X continue d’avancer et d’innover pour séduire les utilisateurs. Les nouvelles fonctionnalités premium gratuites pourraient bien doper l’attractivité de la plateforme et convaincre les indécis de sauter le pas. Après tout, qui n’a pas envie de pouvoir poster des messages plus longs et des vidéos de meilleure qualité sans payer un centime ?

Source

Hier — 28 mars 2024Tech Généraliste

Un VPN public & gratuit pour un Internet libre – Merci la FDN

Par : Korben
28 mars 2024 à 13:52

La FDN (French Data Network), cette association de héros du Net qui défend nos libertés numériques propose un VPN public en accès libre ! Oui, un accès VPN gratuit et accessible à tous, pour surfer sur la Toile en mode ninja.

Pour rappel, un VPN (Virtual Private Network), c’est comme le tunnel magique d’El Chapo, sauf que ça chiffre toutes vos données quand vous vous baladez sur Internet. Vos échanges étant chiffrés de bout en bout, même les vilains FAI qui voudraient mettre leur nez dans vos petites affaires en ligne ne verront que du charabia incompréhensible. Avec le VPN de la FDN, vous allez pouvoir semer les mouchards, contourner la censure et naviguer en toute tranquillité, même sur les réseaux publics craignos.

Pour en profiter, c’est super simple. Il vous suffit d’installer le client OpenVPN sur votre ordi, votre smartphone ou votre tablette. Ensuite, vous téléchargez la configuration du VPN de la FDN, et hop, vous voilà paré.

Le VPN public de la FDN utilise les serveurs de l’asso, et s’engage à respecter votre vie privée et à ne pas logger vos données. Ça rend bien service donc et en plus, c’est l’occasion de soutenir la FDN qui se bat au quotidien pour nos droits et libertés sur Internet en leur faisant un petit don ou en rejoignant l’association si vous pouvez.

Personnellement, je dis un grand merci à toute l’équipe de la FDN pour cette initiative géniale. Ça fait du bien de voir qu’on peut encore compter sur des assos comme ça pour défendre l’intérêt général.

Pour essayer ce VPN, foncez sur https://vpn-public.fdn.fr.

Source

La moitié des applis pour enfants sur Android récoltent leurs données

Par : Korben
28 mars 2024 à 09:33

— Article en partenariat avec Incogni —

Salut la compagnie. Alors si vous avez l’habitude de me suivre, vous savez que j’ai déjà présenté l’outil Incogni de Surfshark d’un tas de façons différentes. Et mentionné les nombreux services qu’il peut rendre en fonction de votre situation. Mais s’il y a une cible que je n’ai pas abordée, c’est celui de nos marmottes marmots.

Parce que oui, lorsqu’on pense aux informations personnelles récupérées pour le plus grand bonheur des datas brokers (courtiers en données), on pense souvent aux nôtres, celles des « grands ». Et cela afin de créer des profils les plus complets possibles, notamment pour obtenir une image assez précise des sites que nous visitons, de nos achats en ligne, notre situation financière, nos centres d’intérêt, etc.

Sauf qu’il y a une catégorie d’utilisateurs que l’ont a tendance à oublier dans l’histoire, les enfants. Et oui, à notre époque pas mal de gamins passent déjà des heures en ligne (sur un smartphone ou à la maison) sans se préoccuper de savoir s’il y a un danger. Et les parents ne sont pas souvent capables de sécuriser leur environnement et leur apprendre les bons réflexes. Peu vont se renseigner sur les pratiques et les accès accordés aux applications installées (déjà que les parents eux-mêmes utilisent encore des passoires notoires comme Meta & Co …). Or les outils qu’utilisent les enfants, même s’ils semblent aussi peu dangereux que Oui-Oui, n’en sont pas mieux sécurisés pour autant. Ces bases de données centralisent et récupèrent leurs actions et peuvent ensuite tomber entre des mains malhonnêtes.

Le laboratoire de recherche d’Incogni a ainsi analysé 74 applications parmi les plus téléchargées et utilisées au monde par les plus jeunes. Sans surprise cela a permis d’épingler presque 50% de celles-ci (34) dont 2/3 (21) annoncent directement partager leurs données avec des tiers. Quasi 15% récoltent jusqu’à 7 types d’informations différentes : email, historique d’achat, localisation … voire photo. On comprend vite comment les choses peuvent mal tourner. En Europe c’est en moyenne 5 informations qui sont récupérées, la 2e région du monde la plus surveillée.

Incogni applis android pour enfants

Bon après il s’agit la plupart du temps de récolter de la data pour raison marketing, ou pour diagnostiquer des problèmes techniques (bugs & co). Mais encore faut-il faire confiance aux développeurs de l’appli en question. Ainsi Pokémon Quest annonce être clean sur le Google Play Store alors qu’elle récupère des données et les partage. À peine 1 appli sur 7 permet de désactiver cette récolte de données, et 1 sur 3 ne permet pas de supprimer ses infos (pas très RGPD). Une bonne nouvelle s’il faut en trouver une ? 94% chiffrent les données. C’est déjà ça.

Pour différencier les bons des mauvais élèves, vous pouvez vous rendre sur ce lien (onglet « App Rankings » puis cherchez votre pays). En France les cartons rouges sont pour Toca Life World, Kahoot et Avatar World (7 à 12 infos collectées), par contre les jeux des studios YovoGames et BabyBus c’est safe. Ainsi que Pat Partouille à la Rescousse … ouf, je vais mes gosses vont pouvoir continuer à jouer.

Du coup, pour en revenir à Incogni, disposer d’un service qui va nettoyer les bases de données du web des informations liées à vos enfants pourra s’avérer une bonne pratique à mettre en oeuvre. Plus vous commencez tôt et moins les informations se retrouveront dans de multiples bases de données. Si l’adresse mail de votre enfant se retrouve chez un broker, la faire retirer au plus vite est un bon réflexe à avoir, avant qu’elle ne soit reprise à gauche et à droite. N’attendez pas d’intégrer la liste de dizaines de brokers comme je l’ai fait, ça m’apprendra à laisser mon email chez n’importe qui 😉

Encore faut-il se rendre compte que tel ou tel courtier a ces informations en main. C’est le travail d’Incogni, qui va scanner l’ensemble des brokers qu’il surveille afin d’y trouver les éléments que vous voulez faire supprimer. Il contactera alors en votre nom ces derniers et leur demandera des retraits, et répétera l’opération jusqu’à ce qu’ils lâchent l’affaire. Des heures et des heures de recherches économisées et vous aurez l’esprit tranquille en sachant qu’il va s’assurer que ces retraits soient définitifs. Vous pouvez même suivre l’avancée des travaux directement depuis une interface simple.

Mais n’oubliez pas que VOUS êtes le premier rempart de votre progéniture. Eduquez-les, expliquez-leur les conséquences potentielles de tout ce qu’ils font sur la toile, etc. Vous ne les laisseriez pas jouer n’importe où ni avec n’importe qui en extérieur, il n’y a pas de raison que ce soit différent en ligne. Et si vous vous y mettez un peu tard, appelez le soldat Incogni à la rescousse pour vous assurer que les dommages sont limités !

Je découvre Incogni

Toolong – Un excellent outil pour gérer vos fichiers de log

Par : Korben
28 mars 2024 à 09:00

Non, Toolong n’est pas ce qu’a dit votre correspondante américaine la première fois qu’elle vous a vu en maillot de bain. C’est plutôt (le chien) un outil vachement pratique qui s’utilise ne ligne de commande et qui permet d’afficher, suivre en temps réel, fusionner les fichiers de log et d’y rechercher tout ce que vous voulez.

L’outil est capable d’appliquer une petite coloration syntaxique sur les formats de journalisation classique comme ceux d’un serveur web par exemple. Il est également capable d’ouvrir très rapidement de gros fichiers même s’ils font plusieurs gigas.

Si vous travaillez avec des fichiers JSONL, Toolong les affichera également au format pretty print. Il prend également en charge l’ouverture des fichiers .bz et .bz2.

De quoi arriver à vos fins beaucoup plus facilement qu’en jouant avec tail, less, ou encore grep.

Toolong est compatible avec Linux, macOS et Windows et pour l’installer Toolong, la meilleure solution actuelle consiste à utiliser pipx :

pipx install toolong

Vous pouvez également l’installer avec Pip :

pip install toolong

Note : Si vous utilisez Pip, il est recommandé de créer un environnement virtuel pour éviter les conflits de dépendances potentiels.

Une fois Toolong installé, la commande tl sera ajoutée à votre PATH. Pour ouvrir un fichier avec Toolong, ajoutez les noms de fichiers en arguments de la commande :

tl fichierdelog.log

Si vous ajoutez plusieurs noms de fichiers, ils s’ouvriront dans des onglets. Ajoutez l’option --merge pour ouvrir plusieurs fichiers et les combiner en une seule vue :

tl access.log* --merge

Voilà, l’essayer, c’est l’adopter. Si vous manipulez de gros logs, Toolong pourra vous faire gagner un max de temps !

Merci à Lorenper

À partir d’avant-hierTech Généraliste

Le premier cobaye Neuralink s’éclate sur Civilization VI

Par : Korben
27 mars 2024 à 15:27

Vous vous souvenez sûrement de Neuralink, la startup fondée par Elon Musk qui veut révolutionner les interfaces cerveau-machine ? Eh bien, figurez-vous que leur premier cobaye humain, un certain Noland Arbaugh, s’est amusé comme un petit fou avec son nouveau gadget greffé dans le ciboulot !

Ce cher Noland, un jeune homme de 29 ans paralysé des épaules jusqu’aux pieds suite à un accident de plongée, a eu l’immense privilège de recevoir l’implant Neuralink N1 en janvier dernier. Et croyez-moi, il n’a pas perdu de temps pour tester son joujou high-tech !

Lors d’un livestream sur X (l’ex-Twitter, vous suivez ?), notre cher patient a fait une démonstration époustouflante en jouant aux échecs sur ordi rien qu’avec la force de son esprit. Tel un Jedi de la stratégie, il a déplacé les pièces sur l’échiquier virtuel en un clin d’œil, laissant les spectateurs bouche bée.

Mais ce n’est pas tout ! Noland nous a confié qu’il avait déjà passé une nuit blanche à s’éclater sur Civilization VI, le célèbre jeu de stratégie. Avant son opération, il devait compter sur un pote pour l’aider à jouer, ce qui était loin d’être idéal pour enchaîner les parties jusqu’au bout de la nuit.

Maintenant, grâce à son implant miracle, il peut s’adonner à sa passion sans limites ! Enfin, presque… La seule contrainte, c’est d’attendre que son gadget se recharge quand il a épuisé toute la batterie. Mais bon, c’est un détail quand on peut à nouveau profiter des joies du gaming de manière autonome, non ?

Et ce n’est pas fini ! Notre champion a aussi réussi l’exploit de terminer deuxième à Mario Kart 8 Deluxe en affrontant son père et un ami. Pas mal pour un débutant qui pilote son kart à la force de la pensée !

Bien sûr, comme le souligne Noland, tout n’est pas encore parfait avec cette technologie. Il reste du chemin à parcourir pour que Neuralink tienne toutes ses promesses. Mais avouez que c’est quand même un sacré bond en avant pour redonner de l’autonomie et des loisirs aux personnes paralysées. Bravo Elon 🙂

D’ailleurs, le grand gourou de la tech, ne compte d’ailleurs pas s’arrêter là. Son objectif ultime ? Utiliser les implants pour « shunter » les signaux du cortex moteur directement vers les membres paralysés, histoire de contourner les lésions de la moelle épinière. Carrément !

Mais avant d’en arriver là, Neuralink va devoir convaincre les autorités américaines que ses expériences sont éthiques et sans danger, car la startup a déjà fait polémique avec ses tests sur les animaux, accusée d’avoir provoqué des souffrances inutiles sur des singes, des cochons et probablement Bruno Le Maire si on en croit la dernière annonce du déficit français.

Espérons que cette success story avec Noland ouvre la voie à des essais cliniques plus larges, histoire de transformer la vie d’autres personnes dans sa situation. En attendant, on peut toujours rêver au jour où on pourra tous s’affronter sur Civilization ou Mario Kart par la simple force de notre cerveau !

Perso, si Neuralink me permet de débrancher à la demande le son de mes oreilles quand j’ai les enfants dans les pattes, je me le fait implanter tout de suite !

Source

Apex Legends – Un hacker sème le chaos lors d’un tournoi majeur

Par : Korben
27 mars 2024 à 14:54

Est ce que vous avez entendu parler de ce qui s’est passé lors du tournoi ALGS d’Apex Legends ? C’était complètement dingue ! Un hacker qui se fait appeler Destroyer2009 a réussi à s’introduire dans le jeu en plein milieu d’un match et a filé des cheats (aimbot, wallhack…) à des joueurs pro sans qu’ils ne demandent rien.

Déjà, mettez-vous à la place des joueurs concernés, ImperialHal de l’équipe TSM et Genburten de DarkZero. Vous êtes tranquille en train de jouer le tournoi le plus important de l’année et d’un coup, PAF, vous vous retrouvez avec des hacks que vous n’avez jamais demandés ! Voir à travers les murs, avoir un aimbot pour mettre dans le mille à coup sûr… La totale quoi. Évidemment, ils ont dû quitter la partie direct, impossible de continuer à jouer dans ces conditions.

Mais le pire, c’est que ce hacker a fait ça « just 4 fun » ! Il voulait montrer à Respawn qu’il y avait des failles dans leur système de sécurité EAC (EasyAntiCheat). Bah mon gars, t’as réussi ton coup, bravo ! Tout le tournoi a été interrompu et reporté à plus tard. Les organisateurs étaient furax et je les comprends.

Bon après, faut reconnaître que ce Destroyer2009 est un sacré filou. Il a quand même réussi à pirater un des plus gros jeux du moment en plein milieu d’un événement majeur, c’est pas rien. Et en plus, il a fait ça sans toucher aux PC des joueurs, juste en passant par le jeu. Un vrai petit génie du hacking.

Mais quand même, ça fout les jetons de voir que même un mastodonte comme Apex Legends peut se faire avoir comme ça. Ça montre qu’aucun jeu en ligne n’est à l’abri, même avec toutes les protections anti-triche du monde. Et puis ça gâche la compétition pour tout le monde, les joueurs, les spectateurs, les organisateurs…

Après ce bad buzz monumental, Respawn a dû réagir au quart de tour. Ils ont balancé dans la foulée une flopée de mises à jour de sécurité pour colmater les brèches. Espérons que ça suffira à calmer les ardeurs des petits malins qui voudraient s’amuser à reproduire ce genre de coup fourré.

M’enfin, le mal est fait et ce tournoi ALGS restera dans les annales pour cette raison. Ça aura au moins eu le mérite de remettre un coup de projecteur sur l’importance de la sécurité dans l’e-sport. C’est un milieu qui brasse de plus en plus de thunes et forcément, ça attire les hackers en tout genre.

L’essentiel, c’est que le tournoi a fini par reprendre et aller à son terme, même si on a dû attendre un peu. Et puis ça nous aura permis de voir que même les plus grands joueurs peuvent se retrouver démunis face à un hack imprévu. Ça les rend plus humains ! mdrrr.

Allez, amusez-vous bien sur Apex ou ailleurs !

Merci à Ayden et Halioss pour l’info

Source

BlueDucky – Automatiser l’exploitation d’une faille Bluetooth pour exécuter du code à distance

Par : Korben
27 mars 2024 à 14:00

Vous pensiez que votre Bluetooth était safe ? Détrompez-vous ! Un chercheur en sécurité vient de dénicher une faille bien vicieuse qui permet d’exécuter du code à distance sur tout un tas d’appareils : smartphones Android, Chromecast, casques VR, TV connectées…

Le principe est diabolique : il suffit de se faire passer pour un clavier Bluetooth et hop, on peut envoyer des frappes de touches à la victime sans même qu’elle ait besoin d’accepter l’appairage. Pas besoin d’être à portée de main, quelques mètres suffisent. C’est ballot hein ?

Mais attendez, ça devient encore plus fort (ou pire, c’est selon). Des petits malins ont créé un outil baptisé BlueDucky qui automatise complètement l’exploitation de cette faille. Ça scanne les appareils vulnérables à proximité, ça les enregistre dans un fichier et ça balance un script Ducky bien sournois pour prendre le contrôle à distance. Le tout depuis un Raspberry Pi ou un smartphone Android !

Autant vous dire qu’ils se sont éclatés à tester ça sur tout ce qui passait : des smartphones, des objets connectés, des ordinateurs… Si c’est pas patché et que ça a du Bluetooth, ça tombe comme des mouches. Ils ont même réussi à ouvrir un navigateur et à envoyer la victime sur une page bien flippante, juste pour le fun.

Bon, vous allez me dire : « OK, mais comment on se protège de ce truc ?« . Eh bien c’est là que ça se gâte. Si vous avez un appareil récent, foncez installer les dernières mises à jour de sécurité. Mais pour les vieux machins sous Android 10 ou moins, c’est cuit, ça ne sera jamais patché. La seule solution : désactiver carrément le Bluetooth. Sinon, vous pouvez dire adieu à votre intimité numérique !

Mais ne cédons pas à la panique pour autant. Les chercheurs en sécurité font un boulot remarquable pour dénicher ces failles et alerter les fabricants. Maintenant, c’est à ces derniers de réagir en proposant des correctifs. Et à nous d’être vigilants en mettant à jour régulièrement nos appareils.

En attendant, si vous voulez jouer avec le feu dans la limite de ce que la loi permet, évidemment, le code de BlueDucky est disponible sur GitHub. Mais attention, c’est à vos risques et périls ! Ne venez pas vous plaindre si votre grille-pain se met à afficher des messages d’insulte au petit-déjeuner.

Pour l’installer :

# update apt
sudo apt-get update
sudo apt-get -y upgrade

# install dependencies from apt
sudo apt install -y bluez-tools bluez-hcidump libbluetooth-dev \
                    git gcc python3-pip python3-setuptools \
                    python3-pydbus

# install pybluez from source
git clone https://github.com/pybluez/pybluez.git
cd pybluez
sudo python3 setup.py install

# build bdaddr from the bluez source
cd ~/
git clone --depth=1 https://github.com/bluez/bluez.git
gcc -o bdaddr ~/bluez/tools/bdaddr.c ~/bluez/src/oui.c -I ~/bluez -lbluetooth
sudo cp bdaddr /usr/local/bin/

Et pour le lancer :

git clone https://github.com/pentestfunctions/BlueDucky.git
cd BlueDucky
sudo hciconfig hci0 up
python3 BlueDucky.py

Comme dirait l’autre, « le Bluetooth c’est comme le nucléaire, c’est génial tant que ça reste dans les mains des gentils« . Alors, soyez sympa et patchez-moi tout ça fissa ! Et si vous avez un appareil trop ancien qui traîne, coupez le Bluetooth et on n’en parle plus.

Pour en savoir plus sur cette faille et son exploitation, je vous invite à lire l’article ici.

VLC dévoile les sombres dessous de la signature d’apps Android

Par : Korben
27 mars 2024 à 09:21

Astuces VLC

La sécurité sur Android et plus particulièrement la signature des applications c’est loin d’être tout beau tout rose. Vous le savez peut-être, notre bon vieux VLC, a quelques soucis pour mettre à jour son app Android sur le Play Store ces derniers temps.

Alors pourquoi ce blocage ? Eh bien tout simplement parce que Google a décidé de rendre obligatoire l’utilisation des App Bundles pour toutes les applications proposant des fonctionnalités TV. Jusque-là, pas de problème me direz-vous. Sauf que ce nouveau format nécessite de fournir sa clé de signature privée à Google. Et ça, c’est juste im-po-ssible pour l’équipe de VLC !

Fournir sa clé privée à un tiers, c’est comme donner les clés de son appartement à son voisin. C’est la base de la sécurité : ce qui est privé doit le rester. Sinon autant laisser sa porte grande ouverte avec un panneau « Servez-vous » ! 😅

Depuis les débuts d’Android, chaque app doit être installée via un fichier APK. Ce fichier contient tout le nécessaire : le code, les ressources, les données… Et pour vérifier qu’un APK est authentique, il doit être signé avec une clé privée générée par le développeur. N’importe qui peut alors vérifier la clé publique utilisée pour signer le fichier.

L’avantage de ce système est de garantir l’intégrité de l’app. Si le développeur perd sa clé privée ou son mot de passe, impossible de publier des mises à jour car la nouvelle signature ne correspondra pas. Et s’il file sa clé à quelqu’un d’autre, cette personne pourra signer ses propres versions qui seront considérées comme légitimes. Vous voyez le problème maintenant ?

Avec les App Bundles, on passe à un système de double signature où une clé de téléchargement (upload key) permet au Play Store de vérifier que celui qui envoie le fichier est légitime. Jusque-là, ça va. Mais où clé de signature (release key), doit être détenue par Google ! Autrement dit, le Play Store signe l’app à la place du développeur. C’est donc cette clé privée que Google réclame aujourd’hui à VLC.

Google a bien tenté de mettre en place des mesures pour atténuer le problème, comme le dual release qui permet sur les appareils récents (Android 11+) d’installer une mise à jour signée différemment si une preuve de rotation de clé est fournie. Mais pour les apps comme VLC qui supportent aussi les vieux appareils et la TV, ça ne fonctionne pas.

Du coup, l’équipe de VLC se retrouve face à un choix cornélien :

  1. Donner sa clé privée à Google et continuer à publier normalement. Bénéfice : aucun. Risque : Google a le contrôle total sur les mises à jour et la sécurité de l’app. Autant dire que pour eux c’est non.
  2. Virer le support TV des APK publiés sur le Play Store. Avantage : pas besoin de donner sa clé privée pour les appareils récents. Inconvénient : plus de support TV pour les vieux appareils sous Android 10 et moins. Pas top.
  3. Passer full App Bundles. Avantage : aucun. Inconvénient : ça rendrait l’app incompatible avec 30% des utilisateurs actuels. Même pas en rêve !

Bref, vous l’aurez compris, l’équipe de VLC est dans une impasse et c’est pour ça qu’aucune mise à jour n’a été publiée ces derniers mois sur le Play Store.

Et ce n’est pas qu’une question de principe. Le Play Store n’est pas le seul store sur Android. VLC est aussi disponible sur le site officiel, l’Amazon AppStore, le Huawei AppGallery… Donc donner sa clé à Google compromettrait toute la chaîne de publication.

Malheureusement, sans modification de la part de Google sur ces nouvelles exigences, il n’y a pas de solution miracle pour continuer à proposer le support TV sur les vieux appareils Android via le Play Store.

C’est rageant pour les développeurs qui se retrouvent pieds et poings liés, mais c’est aussi inquiétant pour nous utilisateurs. Quand le plus gros store d’apps au monde se met à réclamer les clés privées des développeurs, on peut légitimement se poser des questions sur sa conception de la sécurité et de la vie privée.

Espérons que Google entendra les critiques et fera machine arrière sur ce point. En attendant, la seule chose à faire est de soutenir les développeurs comme VLC qui résistent encore et toujours à l’envahisseur et continuent à privilégier la sécurité de leurs utilisateurs avant tout.

Si ça vous interesse, vous pouvez suivre toute l’affaire en détail sur cet article passionnant (si si, je vous jure) : VLC for Android updates on the Play Store

Danswer – Posez des questions à vos documents directement dans Slack et compagnie

Par : Korben
27 mars 2024 à 09:00

Je pense qu’après tous les articles que j’ai écrit au sujet de l’IA, vous commencez à connaitre le concept de RAG (retrieval augmented generation), vous savez qu’il est possible de donner à bouffer à une IA, tout un tas de documents pour ensuite discuter avec celle-ci en utilisant le contenu comme base de connaissance.

Cela permet de poser des questions en langage naturel sur la documentation fournie. Y’a plein d’outils qui permettent de faire ça, et dernièrement, je vous ai présenté PDFToChat ou Reor qui font ça.

Et aujourd’hui, j’aimerais vous faire découvrir une solution open source de recherche unifiée nommée Danswer. Cet outil intègre plusieurs fonctionnalités essentielles, dont la recherche de documents et les réponses basées sur l’IA à partir des requêtes en langage naturel. Il se connecte également à tous les outils de travail courants, tels que Google Drive, Confluence, Github, Notion, Slack et bien d’autres. Il offre aussi une prise en charge de la discussion comme un ChatGPT qui aurait accès à vos ressources de connaissances privées. Vous pouvez même créer des assistants IA personnalisables avec différents prompts et jeux de données.

Cela permet de couvrir tout un tas de cas d’usages tels quel : accélération du support client et réduction des délais d’escalade, amélioration de l’efficacité de l’ingénierie grâce à une documentation et des historiques de code faciles à trouver, préparation des équipes de vente pour des appels plus efficaces, suivi des demandes et priorités des clients pour les équipes produit, et facilitation de la résolution autonome des problèmes liés aux services informatiques, à l’intégration et aux ressources humaines. #BurnoLeMaireLoveZeCapitalizme

Voici ce que ça donne une fois installé :

Vous pouvez même le connecter au modèle de langage LLM de votre choix (en local ou non) pour une solution entièrement cloisonnée. Il se déploie facilement avec une seule commande Docker Compose et peut être hébergé n’importe où. Vous pouvez également l’exécuter avec Kubernetes.

Pour l’installer rien de plus simple, il vous faut d’abord cloner le dépôt de Danswer :

git clone https://github.com/danswer-ai/danswer.git

ensuite, placez vous dans le dossier contenant le fichier de description du docker compose :

cd danswer/deployment/docker_compose

Puis y’a plus qu’à lancer le bousin :

docker compose -f docker-compose.dev.yml -p danswer-stack up -d --pull always --force-recreate

Ça peut prendre un quart d’heure, voire plus, selon votre connexion puisque Danswer a besoin de télécharger des modèles pour fonctionner.

Ensuite, y’a plus qu’à lancer un navigateur vers http://localhost:3000.

Ensuite pour apprendre à l’utiliser et le customiser, toute la documentation est là.

Merci à Lorenper

L’Atari 400 Mini débarque

Par : Korben
27 mars 2024 à 06:43

Si vous aimez le rétro-gaming qui sent bon le neuf, je tiens à vous présenter aujourd’hui l’Atari 400 Mini ! C’est le dernier joujou rétro qui déboule tout droit des années 80, mais avec un bon coup de boost côté fonctionnalités modernes.

Atari et Retro Games se sont dit « Et si on faisait renaître l’Atari 400 de 1979, mais en version mini ?« . Je me demande bien où ils ont été pêché cette idée (coucou Sega et Nintendo). Bref, ni une ni deux, les voilà qui nous sortent ce petit Atari 400 pile poil pour fêter les 45 ans de la bête.

Niveau look, c’est du pur vintage puisqu’on retrouve le design si distinctif de l’Atari 400, mais réduit de moitié. Ça a de la gueule, faut l’avouer ! Et ils ont aussi recréé à la perfection le mythique joystick Atari CX-40, rebaptisé pour l’occasion THECXSTICK avec un câble long de 1,8 m. Il y a également 5 ports USB qui vous permettront de brancher des manettes et des claviers supplémentaires.

Mais la vraie claque, c’est ce qui se cache sous le capot puisque cette mini console est capable d’émuler toute la gamme 8 bits d’Atari, des séries 400/800 aux XL/XE, en passant par la 5200. Et pour les jeux, la bonne nouvelle c’est qu’il y en a 25 préinstallés, dont des classiques indémodables comme Berzerk, Millipede, Miner 2049er, M.U.L.E. ou encore Star Raiders II. De quoi vous scotcher devant votre écran pendant des heures !

Côté image, ce sera du 720p (HD) avec connecteur HDMI et ils ont également pensé à des fonctionnalités bien pratiques, comme la possibilité de sauvegarder et reprendre sa partie à tout moment, ou même de rembobiner jusqu’à 30 secondes en arrière dans le jeu. Et plutôt que d’attendre qu’elle soit crackée et qu’on puissent y mettre n’importe quelle ROM, ils ont préféré prendre les devant en nous permettant de jouer à nos propres jeux directement depuis une clé USB. Va falloir allumer le RomStation.

Si ça vous chauffe, l’Atari 400 Mini sera disponible dès le 28 mars 2024 à un prix plus qu’abordable. Et si vous êtes pressés, vous pouvez même la précommander dès maintenant sur Amazon en passant par ce lien affilié.

Amusez-vous bien !

Source

Infinite Mac – Mac et NeXT dans votre navigateur

Par : Korben
27 mars 2024 à 06:26

Aujourd’hui, je vais vous parler d’un truc qui va vous faire voyager dans le temps façon Retour vers le Futur : Infinite Mac. Il s’agit d’un projet imaginé par le génial Mihai Parparita, qui permet de faire tourner d’anciens systèmes Mac et NeXT directement dans votre navigateur web.

Mihai a utilisé WebAssembly pour porter tout un tas d’émulateurs comme Mini vMac, Basilisk II, SheepShaver, DingusPPC et même Previous. Un sacré défi qui lui a demandé pas mal de bidouilles pour que tout soit compatible. Avec ça, vous allez pouvoir revivre les grandes heures de Mac OS, de System 6 jusqu’à Mac OS 9 en passant par System 7 et Mac OS 8. Et pour les fans de Steve Jobs, y a même du NeXTStep de la 0.8 de 1988 jusqu’à OPENSTEP 4.2 sorti en 1997 !

Le truc chouette, c’est que c’est hyper simple à utiliser. Vous allez sur le site infinitemac.org, vous choisissez votre version préférée (ou custom) et hop, vous voilà propulsé 20 ou 30 ans en arrière, à l’époque où les ordis avaient encore des disquettes et où on surfait avec Netscape Navigator.

D’ailleurs, c’est marrant de voir à quel point NeXTStep était en avance sur son temps par rapport au Mac de la même époque. Genre en 1988, y’avait d’un côté System 6 qui faisait un peu pitié et de l’autre ce monstre de puissance et d’innovation qu’était le Cube de Next. Pas étonnant que notre Steve national ait fini par racheter la boîte pour créer Mac OS X par la suite.

Et vous saviez qu’à partir de NeXTStep 3.0, on pouvait lire et écrire sur les disques HFS des Mac ? Ça veut dire qu’en 2024, on peut s’échanger des fichiers entre les machines NeXT et Mac d’Infinite Mac sans aucun souci. C’est beau.

Bref, un chouette projet à explorer, surtout si vous n’avez pas connu cette époque ou si vous cherchez à retrouver les sensations de votre jeunesse d’informaticien. Infinite Mac c’est par ici !

Source de l’image + Source

Projet Ghostbusters – Quand Meta espionnait Snapchat

Par : Korben
27 mars 2024 à 04:59

Figurez-vous que notre cher Meta (anciennement Facebook, alias Face2Bouc pour tonton Michel), s’est fait prendre la main dans le sac en train d’espionner son concurrent Snapchat ! Et attention, on ne parle pas d’un petit coup d’œil indiscret, non c’est carrément une opération d’espionnage digne des meilleurs films d’espionnage, au nom de code : « Projet Ghostbusters » !

Alors comment cette histoire a débuté ?

Eh bien tout simplement parce que Zucky et sa bande étaient jaloux de ne pas avoir accès aux précieuses données analytiques de Snapchat. Ils ont donc sorti l’artillerie lourde : Onavo, leur propre VPN censé protéger la vie privée des utilisateurs. Sauf qu’en fait, c’était tout l’inverse !

Grâce à Onavo, Meta a pu installer ses propres certificats SSL/TLS ce qui lui a permis d’intercepter le trafic de Snapchat et d’autres apps comme YouTube ou Amazon, pour les espionner en douce !

Une équipe de choc de 41 avocats et dirigeants avait même été mobilisée pour mener à bien cette mission top secrète.

Bon évidemment, quand l’affaire a éclaté en 2018, Meta a essayé de noyer le poisson en mode « circulez y a rien à voir ». Mais aujourd’hui les documents judiciaires ne mentent pas et montrent bien que Zuckerberg était au courant de tout ce bazar. Et le pire dans tout ça, c’est que cette opération pourrait bien être totalement illégale selon la loi américaine sur les écoutes électroniques !

En espionnant Snapchat, Meta voulait surtout avoir un avantage sur le marché publicitaire où la concurrence fait rage.

Bref c’est pas joli joli et Zuckerberg risque bien d’avoir des ennuis avec la justice américaine.

Source

42.parquet – La bombe Zip qui ruine le Big Data

Par : Korben
26 mars 2024 à 16:08

Saviez vous que les fichiers Parquet se prenaient pour des bombes ? Alors pas des bombes latines mais plutôt des bombes zip.

Alors, pour ceux qui débarquent de la planète Mars, il faut savoir que Parquet est devenu le format de prédilection pour échanger des données tabulaires. Très utilisé dans tout ce qui est Big Data et qui met une claque à ce bon vieux CSV tout pourri, Parquet, c’est binaire, c’est colonnaire, c’est compressé, c’est top !

Mais attention, derrière cette apparente perfection se cache un danger mortel pour vos disques durs et autres SSD ! En effet, même un fichier Parquet parfaitement valide peut mettre un sacré bordel et faire planter tous vos services.

Comment ? Et bien simplement avec ce fichier de seulement 42 Ko qui contient… tenez-vous bien… plus de 4 PÉTAOCTETS de données !! Oui, on parle bien de 4 millions de gigaoctets dans un malheureux fichier de 42 Ko, fallait oser.

On appelle ça une bombe de décompression ! Alors comment ça fonctionne ?

Eh bien c’est grâce à un petit tour de passe-passe démoniaque appelé « encodage par dictionnaire« . En gros, on lui donne un dictionnaire avec une seule valeur, et ensuite on fait référence à cette valeur en boucle, environ 2 milliards de fois. Résultat, on obtient un fichier minuscule car compressable au maximum mais qui une fois dézippé représente une table monstrueusement gigantesque.

C’est subtil… mais c’est vicieux ! 😈

Imaginez un peu le carnage si vous balancez ce fichier innocent dans votre pipeline Big Data sans faire gaffe… Boom ! 💥 Plantage général, crash systémique, apocalypse nucléaire ! Vos services vont tenter de lire ce fichier en pensant que c’est un gentil petit fichier Parquet de rien du tout, et là… Surprise ! C’est le chaos total. Votre cluster va fondre comme neige au soleil en essayant d’avaler ces pétaoctets de données.

Morale de l’histoire, faites attention à tout, même à ce que vous dézippez.

Et si vous avez un peu de place sur votre disque dur, vous pouvez toujours tenter l’aventure en téléchargeant 42.zip ici. (NON, NE DEZIPPEZ PAS CE TRUC !! MAUVAISE IDEE !!) (le mot de passe du zip est : 42)

Source

GPT-3.5 champion de Street Fighter III

Par : Korben
26 mars 2024 à 15:32

J’espère que vous êtes en forme et prêts à en découdre, car aujourd’hui on va parler d’un sujet marrant : GPT-3.5 Turbo d’OpenAI est devenu le nouveau champion toutes catégories de Street Fighter III !

Non, j’ai rien fumé, il y a bien une IA qui a mis la pâtée à tous ses adversaires lors d’un tournoi un peu spécial.

En effet, la semaine dernière, lors du Mistral AI Hackathon à San Francisco, une équipe de passionnés a eu l’idée de génie d’organiser un tournoi un peu particulier. : Faire s’affronter différents modèles de langage sur le cultissime jeu de baston Street Fighter III, pour voir lequel allait sortir vainqueur.

Parce que bon, c’est bien beau de savoir faire la conversation ou générer des images moches, mais quand il s’agit d’envoyer des tatanes dans la tronche, il faut être un peu plus réactif !

Et c’est là que notre pote GPT-3.5 sort les muscles et s’en sort très bien. Contrairement aux algorithmes d’apprentissage par renforcement (deep learning) qui se contentent bêtement d’accumuler des points en fonction de leurs actions, les modèles de langage comme GPT sont capables de comprendre un contexte et d’agir en conséquence.

En gros, ils analysent ce qu’il se passe à l’écran, les mouvements des personnages, leur barre de vie… Et en fonction de ça, ils décident quelle attaque lancer. Un peu comme un joueur humain en fait, sauf qu’eux n’ont pas besoin de café pour rester concentrés.

Les premières bagarres ont opposé différentes versions du modèle Mistral, dans des combats endiablés dignes des plus grands shōnens. Mais très vite, l’équipe a décidé de corser un peu les choses en invitant OpenAI et ses modèles GPT-3.5 et GPT-4 dans l’arène. Et là, mes amis, ça a commencé à sentir le roussi pour la concurrence !

Les poings ont volé, les combos se sont enchaînés, les contres se sont succédés à un rythme infernal. Un vrai feu d’artifice d’uppercuts, de coups spéciaux et de provocations bien senties. Mais au final, après des dizaines de combats acharnés, c’est bien GPT-3.5 (et plus précisément sa dernière version « Turbo ») qui est ressorti vainqueur ! La médaille d’argent revient à Mistral-small-2042, qui a réussi l’exploit de coiffer sur le poteau un modèle GPT-4 en accès anticipé.

Tout ça pour dire que si vous voulez vous mesurer à ces champions, c’est tout à fait possible ! Le code source du projet est disponible sur Github, et vous n’avez même pas besoin d’un supercalculateur pour faire tourner tout ça. Il vous faudra juste dénicher une ROM de jeu de baston 2D ou 3D old school, et le tour est joué. Perso j’ai hâte de voir ce que ça donne sur un bon vieux Tekken 3…

Pour installer et tester LLM Colosseum :

  1. Suivez les instructions de la documentation DIAMBRA, l’outil qui permet de faire jouer les LLM
  2. Téléchargez la ROM et placez-la dans ~/.diambra/roms
  3. Clonez le dépôt de llm coloseum et installez les paquets Python requis avec la commande pip3 install -r requirements.txt
  4. Créez un fichier nommé .env et copiez-y le contenu du fichier .env.example
  5. Lancez le programme avec la commande make run

Blague à part, cette expérience montre bien le potentiel hallucinant des modèles de langage pour les jeux vidéo. On peut tout à fait imaginer des PNJ avec lesquels on pourrait interagir de façon totalement naturelle et immersive, des adversaires capables de s’adapter à votre style de jeu et de vous surprendre… Bref, de quoi révolutionner complètement notre façon de jouer ! Après, faudra quand même faire gaffe à pas trop les énerver, on a bien vu ce que ça donnait quand on laissait GPT-3.5 jouer à des wargames… Boum, plus de planète !

Allez, je vous laisse, faut que je retourne taper Zangief moi.

Merci à Lorenper pour l’info et à très vite pour de nouvelles aventures.

❌
❌