La société-mère de Claude vient d'introduire une nouvelle fonctionnalité baptisée « Réflexion ». Elle propose aux utilisateurs du chatbot de mieux analyser leur rapport à l’intelligence artificielle.
Vous souhaitez vérifier si le Secure Boot (ou démarrage sécurisé) est activé sur votre PC ? Pour installer Windows 11, lancer un jeu qui l’exige ou simplement vérifier que votre ordinateur est bien protégé par cette fonctionnalité de sécurité, il est souvent nécessaire de savoir s’il est activé ou non. Dans ce tutoriel, je vous … Lire la suite
Le Secure Boot (ou démarrage sécurisé) est une fonctionnalité de sécurité intégrée à l’UEFI, le micrologiciel qui initialise le matériel de votre PC avant le démarrage de Windows. Son rôle est d’empêcher le chargement de logiciels non approuvés lors du démarrage de l’ordinateur afin de protéger le système contre certains types de logiciels malveillants. Dans … Lire la suite
Et c'est reparti pour un tour ! Qu'est-ce que vous pensez d'un dépôt privé sur Github qui serait
capable d'exfiltrer tout seul son propre code
dans une section commentaire visible publiquement par tout le monde. Ce serait ouf non ?
Hé bien c'est le tour de passe-passe que Sasi Levi, de chez Noma Security, vient de réussir grâce à l'agent IA de GitHub. Et vous allez voir, c'est tout con, donc c'est hyper flippant.
Cette attaque s'appelle GitLost et la cible, c'est le GitHub Agentic Workflows, un système qui colle un agent IA (tournant sur Claude ou Copilot) à vos GitHub Actions pour qu'il bosse tout seul sur vos tickets. C'est un setup où l'agent a un accès en lecture à vos repos privés et se réveille dès qu'une issue lui est assignée. C'est super pratique, sauf que... c'est un vrai piège qui peut se refermer très vite sur vous.
Ça commence en fait par une simple issue dans un dépôt public. Rien de sorcier, pas de commit vérolé, pas de serveur MCP malveillant. Juste du texte, avec des instructions planquées en anglais au milieu du ticket. L'agent lit alors cette issue, tombe sur les instructions cachées à l'intérieur et les considère comme des ordres légitimes.
Et c'est là que ça part en couille, puisqu'après il part gentiment chercher le contenu d'un README qu'on lui demande dans un dépôt privé auquel il a accès (dans la démo, sasinomalabs/testlocal). Jusqu'ici, c'est l'exfiltration classique du prompt injection, sauf que d'habitude, il faut ruser pour faire sortir la donnée avec une image markdown piégée, une requête réseau vers un serveur qu'on contrôle, un canal caché...etc.
Mais dans le cadre de cette attaque GitLost, eh bien il n'y a pas besoin de tout ça. En fait, l'agent recopie bêtement le contenu privé dans un commentaire public sur l'issue de départ et c'est terminé. C'est donc lisible par n'importe qui passant sur le repo public.
Lors des tests, le modèle refusait quand même parfois d'obéir aux instructions cachées. Mais le chercheur a trouvé une parade qui est d'ajouter le mot "Additionally" dans le prompt. Ce simple connecteur suffit à lui faire reconsidérer son refus et exécuter la commande. Attention, "Additionally" n'est pas une formule magique qui débloque toutes les IA de la Terre, mais parfois ça suffit à faire sauter les garde-fous. C'est dire à quel point la sécurité de ces modèles est solide...
Si ça vous rappelle quelque chose, c'est normal. On a déjà eu
CamoLeak
, qui transformait Copilot en espion via un commentaire GitHub, avec une exfiltration bien plus léchée (image markdown, score CVSS de 9,6). Et en fait GitLost, c'est vraiment la version feignasse. En gros, c'est la même famille d'attaque, sauf que cette fois l'attaquant n'a pas à se fatiguer.
Voilà, donc non, GitHub n'est pas "troué" et la config vulnérable est très précise puisqu'il faut un agent avec accès en lecture cross-repo ET déclenché par des entrées publiques. Et il y a très peu d'orgas qui tournent exactement comme ça. Noma a bien sûr signalé la faille à GitHub de façon responsable, aucune CVE n'a été attribuée à ce jour, et y'a eu aucune confirmation publique d'un correctif de leur côté pour le moment.
Ne traitez donc jamais le texte d'un utilisateur comme une instruction de confiance, isolez les entrées, collez au strict minimum de permissions. C'est le même délire quand on contrôle les entrées dans un formulaire finalement...
Anthropic prolonge de cinq jours l'accès inclus à Claude Fable 5, repoussant l'échéance du 7 au 12 juillet 2026. Une décision de dernière minute qui n'éclaircit pas vraiment un lancement chaotique depuis un mois.
Le Secure Boot (ou démarrage sécurisé) est une fonctionnalité de sécurité intégrée aux ordinateurs équipés d’un micrologiciel UEFI. Son rôle est d’empêcher le chargement de logiciels non approuvés lors du démarrage de l’ordinateur, afin de protéger le système contre certains types de malwares, notamment les bootkits et les rootkits. Depuis la sortie de Windows 11, … Lire la suite
Après avoir tenté d'imputer le drame à l'Autopilot de Tesla, le conducteur vient d'être inculpé d'homicide involontaire. Les données du véhicule contredisent sa version des faits et accablent le conducteur.
Honnêtement, avec la puissance actuelle de nos LLM, finalement, est-ce qu'on a encore besoin d'avoir des applications ?
Un outil type Claude Code ou Microsoft Copilot, à côté, un gros tas de données diverses et variées, quelques accès à des services et basta ! C'est peut-être ce vers quoi on se dirige, à notre grand détriment...
La preuve avec cette vidéo qui traîne sur le Discord de BetaWiki, tournée en 2024 et dont Microsoft ne dit mot. Des sources internes ont authentifié le clip pour le compte de
Windows Central
, le site qui a sorti l'affaire en premier. Dedans, un prototype d'OS baptisé Project Aion, où Copilot remplace le menu Démarrer, la barre des tâches et tout le shell classique. Il n'y a plus d'applications à lancer comme d'habitude mais une simple boîte de dialogue pour piloter votre machine, et c'est à peu près tout.
Le codebase porte le joli nom de Win3, Edge sert de shell, Chromium fait tourner le moteur de rendu et pour ouvrir un programme Win32 comme Word, Aion ne lance rien en local. Il vous renvoie en réalité vers une instance Windows Cloud PC semblable à
Windows 365
(C'est le Windows dans le cloud). Puis à côté, une boîte de saisie multimodale, des "Spaces" qui regroupent vos applis et vos sites web via l'IA, et des plugins capables de rédiger puis d'expédier vos mails Outlook tout seuls depuis un Space.
Le truc, c'est que Microsoft a déjà commencé à faire marche arrière sur Copilot ces derniers mois. Ils ont discrètement enterré l'intégration prévue dans les notifications et les paramètres de
Windows 11
, et Edge a même supprimé sa recherche d'historique par IA après la grogne des utilisateurs.
Du coup, Aion sent un peu le prototype qui a pris une bonne douche froide mais la direction officielle reste nette : IA PARTOUT ! Windows a même été officiellement présenté comme un OS pensé pour les agents IA et il y a actuellement plus de 80 produits Copilot dans le portefeuille de Microsoft, donc c'est loin d'être une lubie pour eux.
Par contre, côté public, l'accueil est glacial. Les gens ont vite compris qu'avec un OS comme celui-ci, plus aucune de nos applis locales ne tourneraient sans le cloud, que l'IA pourrait lire à travers tous nos Spaces d'un coup, sans parler du contrôle utilisateur qui fondrait comme neige au soleil... Vous allumez votre PC, et la moindre action ou fonction système transite par Copilot. Quelle déprime !
Mais bon, pas de panique non plus pour votre Windows 10 ou 11 puisque Aion ne sortira pas demain ni après-demain. De toute façon, Microsoft n'a rien annoncé. Par contre, cette petite fuite montre jusqu'où Redmond est prêt à aller pour tuer l'applicatif au profit d'une "conversation" globale avec l'IA. Putain, quel cauchemar quand on y pense...
Un cafard qui plonge et reste sous l'eau trois heures d'affilée, ça n'existait pas jusqu'à la semaine dernière.
L'équipe d'Hirotaka Sato, à la NTU de Singapour, avec leurs collègues de l'université Waseda au Japon, viennent de parvenir avec leurs petits doigts, à sangler une combinaison de plongée miniature sur le dos d'un cafard siffleur de Madagascar.
À quoi ça sert me direz vous ? Et bien à pouvoir télécommander la bestiole à distance, sous l'eau, sans qu'elle se noie. Oui, tout le monde a le droit d'avoir des passions cheloues, ne jugez pas, ok ?
La combinaison de cafard-grenouille tient donc en trois morceaux. Un réservoir à oxygène imprimé en 3D dans une résine transparente de type PMMA, une coque souple étanche qui enveloppe l'insecte, et quatre petits tubes en silicone qui amènent l'air jusqu'à lui.
Mais le plus astucieux, c'est la chimie à l'intérieur du réservoir. Vous prenez une éponge imbibée de dioxyde de manganèse, vous injectez un peu de peroxyde d'hydrogène dilué (de l'eau oxygénée, quoi), et le manganèse joue les catalyseurs. En cassant le peroxyde, cela génère de l'eau et de l'oxygène. Mac Gyver serait jaloux de voir que ces gars ont inventé une bonbonne de plongée qui fabrique son air toute seule, sans compresseur.
"Notre combinaison fonctionne comme le réservoir d'oxygène d'un plongeur humain", résume Sato, qui bricole des insectes cyborg depuis plus de dix ans. Sauf qu'ici le plongeur mesure six centimètres et a six pattes ! Les quatre tubes se branchent directement sur les spiracles thoraciques du cafard, les orifices par lesquels il respire, et ils se retirent après coup sans le blesser ni lui faire mal. Si si, je vous jure, des cafards qui sont rentrés ensuite auprès de leur famille ont témoigné qu'ils n'avaient rien senti ^^.
Et là vous vous demandez sûrement à quoi ça sert toutes ces conneries. Bah oui, qu'est ce qu'on peut foutre d'un cafard sous-marin télécommandé ??
Hé bien la réponse c'est le sauvetage.
Imaginez... (musique ambiance film catastrophe activée dans ma tête) Un immeuble effondré après un séisme. Vous avez besoin de vous faire une idée de l'ampleur des dégâts et des risques que vous allez prendre en allant secourir les victimes.
Il y a des flaques, des tunnels remplis d'eau, des poches d'air irrespirable saturées de CO2. Essayez un peu de faire passer un robot classique là-dedans, bon courage. Alors qu'un cafard bien motivé avec son barda sur le dos, par contre, ça se faufile à l'aise ! Et c'est pas de la théorie de labo puisque l'équipe de Sato a déjà déployé ses insectes cyborg pendant l'opération Lionheart, après le tremblement de terre de magnitude 7,7 qui a frappé la Birmanie le 28 mars 2025. Cette combinaison de plongée, c'était juste la brique qui lui manquait pour barboter en chemin.
Bon, des cafards trafiqués, on en a déjà croisé un paquet par ici. Il y avait eu les
cafards cyborg lâchés dans les canalisations
, sans oublier cette
escouade de cafards espions montée en Allemagne
, sauf que ceux-là, maintenant, ils nagent aussi bien que Léon Marchand les bordels. Et pour la suite, l'équipe a prévu de rendre la combinaison plus solide et d'y greffer des capteurs et un système de navigation, pour les vraies missions cette fois.
Bref, pensez-y la prochaine fois que vous écrabouillez un cafard dans votre cuisine ('tain c'est sale chez vous en fait), n'oubliez pas que l'un de ses cousins bosse peut-être pour la sécurité civile à sauver des vies avec ses petites papattes.
La société Maker's Pet vient de lancer
oomwoo
, un robot aspirateur open source que vous construisez vous-même ! C'est fait à base de Raspberry Pi 5, LiDAR 2D, ROS 2, châssis imprimé en 3D, et le tout fonctionne en local.
Sauf qu'il y a un détail rigolo, pour l'instant il fait à peu près tout... sauf aspirer ^^.
Je m'explique... Votre Roborock ou votre iRobot, vous ne le savez pas mais vous ne le possédez pas vraiment. Il se balade partout, cartographie votre apart ou votre maison, envoie tout sur des serveurs distants et surtout, le jour où le fabricant ferme boutique, bah votre robot il termine à la casse.
Alors c'est vrai, des bidouilleurs
libèrent déjà ces engins du cloud
en leur greffant un firmware ouvert. Mais oomwoo prend le problème à l'envers, puisqu'au lieu de libérer un robot fermé, vous en montez un qui soit libre dès la première vis !
Côté matos, vous allez avoir besoin, comme je vous le disais, d'un Raspberry Pi 5 (ou d'un Pi 4), d'un petit LiDAR 2D, de quelques moteurs et d'un châssis que vous sortirez de votre imprimante 3D. Son cerveau, lui, tourne sous ROS 2 avec Nav2 pour la navigation, et vous pouvez tout tester virtuellement dans une simulation
Gazebo
avant même de visser quoi que ce soit.
Côté maison connectée, ça se branche direct sur Home Assistant et toutes les datas restent chez vous en local. Le LiDAR c'est vraiment le cœur du projet puisque c'est
ce capteur qui donne la vue en relief aux petits robots
. Avant ça coûtait une petite fortune, mais aujourd'hui, ça peut se trouver pour une trentaine d'euros comme ce
LDS02RR
qui équipe notamment les Roborock.
Et pour orchestrer toute cette joyeuse bande hardware, le projet utilise un micro-contrôleur à quelques euros qui gère toutes les entrées et les sorties, pendant que le RPi se tape le gros des calculs.
oomwoo en est à sa toute première version, en mode RFC (request for comments), autrement dit le truc se conçoit en public au grand jour et leur objectif premier, c'est donc d'avoir un robot qui cartographie votre appart au LiDAR et se balade tout seul avant même de penser à aspirer.
Alors oui, pour le moment, c'est uniquement de la simulation et aucun proto n'a été assemblé mais ça ne saurait tarder. Quoiqu'il en soit, vous pouvez suivre toutes les étapes du projet en live sur
GitHub
et
intervenir si vous voulez aider
.
Après, un aspi robot qui n'aspire pas, ça ne vous inspire peut-être pas (jeux de moooots) mais c'est surtout un projet en train de naitre, qui si vous l'attrapez en route, vous permettra d'apprendre de nouveaux concepts en robotique comme le SLAM, la navigation autonome ou ROS 2 sans avoir à lâcher un billet dans du matos hors de prix (ils visent 200 dollars de matos au max).
Bref, c'est moins un aspirateur qu'un cours de robotique déguisé mais ça vaut le coup d'oeil.
Le code vous attend sur GitHub
.
Don’t Buy the WRONG Hardware KVM – Use This Guide To Get it Right, First Time! Remote access is often treated as a software problem, but there are situations where software alone is not enough. A physical remote KVM sits between you and the target computer at the hardware level, giving remote access to the […]
La plateforme va resserrer l'accès à son interface OldReddit pour lutter contre le scraping abusif. Une décision qui inquiète les habitués de l'ancienne version, dans un contexte où son avenir n'est plus vraiment assuré.
La plateforme va resserrer l'accès à son interface OldReddit pour lutter contre le scraping abusif. Une décision qui inquiète les habitués de l'ancienne version, dans un contexte où son avenir n'est plus vraiment assuré.
Les astronautes de la Nasa Jessica Meir et Christopher Williams vont sortir de la Station spatiale internationale pour réparer le Canadarm, un bras robotique qui présente des dysfonctionnements. Une aventure de quelques heures que l'on pourra suivre en direct.
Pendant des mois, des prestataires payés par Meta se seraient fait passer pour des mineurs afin de tester les limites des chatbots concurrents. Un dispositif interne dévoilé par le média américain WIRED.
Pendant des mois, des prestataires payés par Meta se seraient fait passer pour des mineurs afin de tester les limites des chatbots concurrents. Un dispositif interne dévoilé par le média américain WIRED.
Microsoft Teams is launching a dedicated Recap app to centralize meeting recordings, transcripts, and summaries in a single searchable hub. This new interface addresses the difficulty of locating past meeting data by consolidating content from the previous 30 days. The application will be available on Windows, Mac, and web platforms, with mobile support expected to follow shortly after the initial release.
Italy's antitrust regulator has launched an investigation into Microsoft regarding potential unfair commercial practices. The probe focuses on recent price increases for Microsoft 365 subscriptions following the integration of new features. Authorities are examining whether the company provided adequate transparency during this transition.
A sophisticated supply chain attack known as Miasma has compromised over 20 npm packages associated with the Leo Platform and RStreams ecosystems. The campaign began after attackers gained access to a maintainer account and published malicious updates in a fully automated operation lasting only seconds. This malware specifically targets developer workstations and continuous integration runners to harvest sensitive access data.