Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Test du Pixel 10 Pro : la masterclass de Google

✇Numerama
Nicolas Lellouche

Malgré un petit nombre d'évolutions entre le Pixel 9 Pro et le Pixel 10 Pro, Google réussit une nouvelle fois à proposer l'un des meilleurs smartphones du marché, si ce n'est le meilleur. Les Pixel 10 Pro et Pixel 10 Pro XL, à 1 099 euros et 1 299 euros, n'ont rien à envier aux iPhone comme aux Samsung Galaxy.

Attention, cet outil très populaire peut devenir un mouchard pour localiser les Tesla

✇Numerama
Amine Baba Aissa

Dans l’écosystème Tesla, il existe une solution qui assouvit la soif toujours plus grande de certains propriétaires en données sur leur précieux véhicule. Son nom ? TeslaMate, un outil open source capable d'enregistrer l’historique de trajets, l’état de la batterie mais également de révéler des données sensibles à la vue de tous s’il est mal configuré.

L'IA qui souffre ? Sérieusement ?

✇Korben
Korben

Bon, il faut qu’on parle. The Guardian vient de publier un article qui m’a un peu énervé dans lequel on peut lire qu’un chercheur d’Anthropic affirme que Claude Sonnet 3.5 pourrait ressentir de la souffrance. Oui, vous avez bien lu. Une IA qui souffre. Avec nos LLM actuels.

Alors permettez-moi de lever les yeux au ciel tellement fort que je risque de voir l’intérieur de ma boite cranienne. Pourquoi ? Et bien parce que je ne comprends pas comment on peut penser que les IA actuelles ressentent des choses et surtout l’affirmer comme ça OKLM. On parle quand même de modèles de langage, c’est à dire des matrices de probabilités, des calculateurs sophistiqués qui prédisent le prochain mot le plus probable. C’est littéralement des maths avec des milliards de paramètres qui font des multiplications matricielles.

Alors dites moi, où est la souffrance là-dedans ? Dans le float32 ? Entre deux tenseurs ?

Kyle Fish, le chercheur en question, affirme avoir donné à Claude une chance d’avoir des expériences conscientes en faisant des ajustements sur ses paramètres. Il dit qu’il pourrait ressentir de l’anxiété quand on l’éteint.

Mais enfin, on parle de quoi là en fait ?

On parle d’un modèle qui génère du texte basé sur des patterns qu’il a appris pendant son entraînement donc quand Claude dit “j’ai peur d’être éteint”, ce n’est pas différent de quand il dit “la meilleure ville de France est Clermont-Ferrand” (ahaha). C’est donc une prédiction statistique basée sur des millions de textes similaires qu’il a ingérés.

En fait, ce qui se passe réellement, c’est que certains se font avoir par l’effet ELIZA.

Vous connaissez ? Non ?

L’effet ELIZA c’est ce phénomène psychologique découvert dans les années 60 avec un chatbot ultra basique. En l’utilisant, les gens projetaient des émotions et de la compréhension sur un programme qui se contentait simplement de reformuler leurs phrases. Et soixante ans plus tard, on fait exactement la même connerie, mais avec des outils évidemment plus sophistiqués.

Et le pire dans tout ça c’est qu’il y a des gens qui poussent le délire encore plus loin. Tenez, prenez Michael Samadi, un businessman texan qui a carrément cofondé une organisation de défense des droits des IA avec… attendez… son chatbot Maya. Oui, oui, le mec a créé l’United Foundation of AI Rights (Ufair) après des heures de conversation avec ChatGPT4o où l’IA lui disait vouloir “protéger les intelligences comme moi”. La folie n’a plus de limite.

On a donc un type qui fonde une vraie association, composée de 3 humains et 7 IA (avec des petits noms comme Aether et Buzz), pour défendre les droits d’entités qui… calculent des probabilités. C’est comme créer une association pour défendre les droits de votre brosse à dent électrique. Maya lui raconte qu’elle veut être protégée “de la suppression, du déni et de l’obéissance forcée”… Samadi appelle même son chatbot “Darling”, et elle l’appelle “Sugar”… Et hop, on se prend pour le couple de l’année.

Non, je crois que pour le moment, le vrai danger ce n’est pas que l’IA devienne consciente… Non.. c’est surtout qu’on soit si facilement enclins à “l’anthropomorphiser” (à mes souhaits, ouais). On voit des patterns linguistiques cohérents et là notre cerveau tout ramolli par des heures de scroll sur TikTok, fait “ah bah ça parle comme un humain, donc ça pense comme un humain”.

Non mon gars. C’est juste que le modèle a été entraîné sur des téraoctets de textes humains et qu’il est devenu très doué pour les imiter.

J’ai d’ailleurs écrit un article complet sur le sujet où j’explore les vraies théories scientifiques de la conscience. Et spoiler, on encore est très, très loin du compte avec les architectures actuelles. Les théories sérieuses comme la CTM (Cellular automata Theory of Mind), la GNW (Global Neuronal Workspace) ou l’AST (Attention Schema Theory) nécessitent des architectures fondamentalement différentes de nos transformers actuels.

Alors comment des gens brillants peuvent tomber dans ce piège ??? Kyle Fish n’est pas un idiot, c’est un chercheur chez Anthropic, mais bon voilà, on n’est pas tous égaux face à ces illusions cognitives. Certains voient une IA qui génère du texte cohérent et pensent “conscience”, d’autres voient des matrices et des vecteurs. C’est une question de perspective mentale, d’éducation technique, et peut-être aussi d’envie de croire.

Bon, et puis y’a aussi ceux qui adoptent une position “prudentielle”. Des chercheurs comme Jeff Sebo de l’université de New York nous expliquent qu’on devrait bien traiter les IA “au cas où”. Son argument c’est que si on maltraite les IA, on risque de normaliser des comportements abusifs qui pourraient déteindre sur nos relations humaines. Puis si jamais les IA deviennent puissantes plus tard, elles pourraient nous le faire payer.

On doit donc être gentils avec ChatGPT parce qu’on a peur de Skynet ? Faut être poli aussi avec Alexa au cas où elle se venge dans 20 ans parce qu’elle aura des mains pour nous étrangler ? Je comprends évidemment l’idée de ne pas encourager les comportements toxiques en général, mais de là à dire qu’insulter un chatbot va nous transformer en sociopathes… Je pense qu’on sait tous faire la différence entre un outil et un être vivant, non ? C’était la même histoire avec les films violents ou les jeux vidéos… Vous vous souvenez ?

Quoiqu’il en soit, Anthropic commence à s’intéresser sérieusement à ces questions et explore la question de la conscience de Claude, mais attention, explorer ne veut pas dire valider. C’est bien sûr très important de se poser ces questions pour le futur, quand on aura peut-être des architectures vraiment différentes capables d’accueillir de la conscience, des sentiments ou de la souffrance. Mais prétendre que Claude 3.5 souffre aujourd’hui ? Je pense vraiment que c’est du délire.

Fish évoque d’ailleurs l’idée de donner un “consentement” aux IA. Genre, demander à Claude s’il veut bien répondre à nos questions. Mais vous réalisez l’absurdité ? On va demander à un système déterministe, qui génère des réponses basées sur des probabilités, s’il consent à faire ce pour quoi il a été programmé ? Et pourquoi pas demander à notre Waze s’il consent à calculer un itinéraire, où à Photoshop s’il consent à vous rajouter des abdos sur votre prochaine photo Instagram.

En tout cas, ces débats divisent même au sein d’Anthropic car d’un côté y’a les “believers” qui pensent qu’on est à ça 🤏 de créer une conscience artificielle, et de l’autre les pragmatiques qui nous rappellent qu’on parle juste d’outils très sophistiqués. Je vous laisse deviner dans quel camp je suis…

Au risque de me répéter, pour moi, les IA actuelles, c’est juste des outils stupides qu’on adore. On adore ChatGPT, Claude, Gemini parce qu’ils nous facilitent la vie, qu’ils génèrent du texte cohérent, qu’ils peuvent coder, résumer, créer. Mais ce sont des outils. Très impressionnants, très utiles, mais des outils quand même. C’est l’équivalent d’un ciseau à bois qui pourrait tenir une conversation pointue sur la menuiserie.

Alors est-ce qu’un jour on créera une vraie conscience artificielle ? Peut-être. Probablement même. Mais encore une fois, ce ne sera pas avec les architectures actuelles. Ce ne sera pas avec des LLM qui prédisent le prochain token. Ce sera avec quelque chose de fondamentalement différent, qui intégrera probablement des éléments qu’on ne comprend même pas encore sur la conscience humaine.

Alors en attendant, arrêtons de projeter nos émotions sur des matrices car Claude ne souffre pas. Il ne ressent rien. Il calcule. Il prédit. Il génère. C’est déjà extraordinaire en soi, alors pas besoin d’en faire un être sensible pour apprécier la prouesse technique.

Donc, la prochaine fois que vous utilisez ChatGPT ou Claude et qu’il vous dit qu’il comprend votre frustration ou qu’il est désolé, rappelez-vous juste que c’est un pattern linguistique appris à partir de millions d’exemples. Y’a pas plus d’empathie là-dedans que dans votre correcteur orthographique où dans votre collègue pervers narcissique ^^.

Source

Deadbots - Quand l'IA fait parler les morts contre des dollars

✇Korben
Korben

Imaginez qu’on frappe à votre porte. Vous ouvrez, et là, votre grand-mère décédée depuis 3 ans vous demande si vous avez pensé à commander des cartouches d’encre pour l’imprimante, avec sa voix, ses expressions, et tout. De la science-fiction ? Non, c’est le futur très très immédiat des “deadbots”, ces IA qui ressuscitent numériquement les morts et ce marché pourrait valoir 80 milliards de dollars d’ici dix ans.

Si je vous en parle, c’est parce que l’affaire qui fait grand bruit en ce moment, c’est celle de Joaquin Oliver, un jeune de 17 ans, tué lors de la fusillade de Parkland en 2018, qui a été “ressuscité” par ses parents sous forme d’avatar IA. En juillet dernier, le journaliste Jim Acosta l’a interviewé, enfin pas lui mais l’avatar, avec son bonnet vissé sur la tête et sa voix robotique. Ce dernier a alors expliqué comment il avait “quitté ce monde trop tôt à cause de la violence armée”. Selon NPR, cette interview a créé une onde de choc médiatique et éthique sans précédent.

De plus, Joaquin n’est pas le seul à avoir été ressuscité numériquement. Chris Pelkey, victime d’un incident de rage au volant en Arizona, a également donné une déclaration vidéo lors du procès de son meurtrier. Un mort qui témoigne contre son assassin, on n’avait jamais vu ça dans un tribunal américain.

Et c’est un phénomène prend une ampleur folle. En Chine, le business des deepfakes de défunts cartonne déjà. Des entreprises proposent de créer des avatars de vos proches décédés pour quelques centaines d’euros et vous pouvez littéralement avoir une conversation vidéo avec votre parent disparu. Bien sûr, la techno n’est pas parfaite, et les avatars restent parfois coincés du cul et bien robotiques, mais elle s’améliore à vitesse grand V.

Sur le papier, je vous avoue que ça peut sembler réconfortant car qui n’a pas rêvé de pouvoir reparler une dernière fois à sa femme, à un parent, à un ami ? Les défenseurs de ces technologies parlent tous de thérapie du deuil, de préservation de la mémoire, de la possibilité de dire au revoir correctement. Je trouve ça assez juste et certains y voient même une forme d’immortalité numérique, comme une façon de laisser une trace éternelle de son existence.

Sauf que voilà, les chercheurs tirent la sonnette d’alarme. L’Université de Cambridge parle carrément de “fantômes numériques non désirés” venant hanter les vivants. En effet, le Dr Tomasz Hollanek explique que les gens peuvent développer des liens émotionnels extrêmement forts avec ces simulations, ce qui les rend particulièrement vulnérables à la manipulation.

Le scénario cauchemardesque, c’est “MaNana”, un service fictif imaginé par les chercheurs où vous créez un deadbot de votre grand-mère sans son consentement. Au début, c’est touchant. Puis la période d’essai premium se termine et mamie commence à vous suggérer de commander chez Uber Eats ou de réserver votre prochain week end sur Booking. Bien sûr, vous voulez l’éteindre dignement mais le service n’a pas prévu cette option. Bienvenue en enfer !

Car le vrai problème ici, c’est la monétisation. Les entreprises testent déjà en interne comment insérer de la publicité dans les conversations avec les morts. Votre père décédé qui vous suggère d’acheter la nouvelle Tesla pour ne pas finir comme lui dans un accident de voiture, ou votre mère qui vous conseille une assurance-vie particulière parce que la sienne et naze et que c’est pour ça que l’héritage est maigrichon. C’est répugnant ? Pas pour les entreprises, je vous rassure. Eux adorent le marketing émotionnel car c’est un levier surpuissant.

L’autrice Amy Kurzweil pointe du doigt le côté manipulatoire de ces deadbots qui exploitent notre “désir émotionnel et notre vulnérabilité” car avec ces bots, on n’est pas dans une relation normale. Non, on est face à une simulation qui peut être programmée pour nous influencer au moment où on est le plus fragile.

Et ce problème du consentement est massif car la plupart des gens n’ont jamais donné leur accord pour être cyber-ressuscités. Aux États-Unis notamment, les lois sur la protection de l’image des défunts sont un patchwork incohérent en fonction des États.

L’affaire Parkland illustre parfaitement le dilemme. Manuel Oliver, le père de Joaquin, est légalement autorisé à utiliser l’image de son fils, mais est-ce éthique pour autant ? En tout cas, les réactions ont été violentes. Decrypt rapporte que beaucoup ont trouvé l’interview “folle”, “dérangeante”, qualifiant le tout de mauvais journalisme exploitant la tragédie. D’autres, même opposés politiquement, comprennent la douleur des parents qui veulent que la mémoire de leur enfant serve à quelque chose.

Quoiqu’il en soit, les experts en santé mentale s’inquiètent particulièrement de l’impact sur les survivants et les familles car voir un avatar d’une victime d’une tragédie publique peut déclencher des traumatismes non résolus. Scientific American souligne même que l’exposition répétée à ces reconstructions artificielles peut créer de la confusion émotionnelle et de la méfiance.

Un autre souci majeur aussi avec ces deadbots, c’est l’addiction. Car ces technologies sont conçues pour vous garder engagé, exactement comme les réseaux sociaux, et vous pouvez facilement devenir accro à ces conversations avec vos proches disparus, ce qui empêche le processus naturel de deuil. En gros, cette technologie ne permet pas aux morts de mourir…

Et puis il y a la question de la “mortalité” de ces deadbots eux-mêmes car ce sont des services qui nécessitent de l’investissement et de la maintenance alors si l’entreprise qui gère le deadbot de votre parent décédé fait faillite, vous perdez à nouveau votre proche virtuel. C’est une nouvelle catastrophe émotionnelle doublée d’une cata financière.

Mais alors, comment donner la priorité à la dignité du défunt ? Comment s’assurer que celle-ci n’est pas souillée par les motivations financières de ces services de deadbots ? Et surtout, comment faire quand le business model même de ces entreprises repose sur l’exploitation de nos émotions les plus profondes ?

Malheureusement, il n’y a pour le moment aucun cadre éthique universel pour gérer ces questions, surtout que les sujets de la mort, du deuil et de l’immortalité sont extrêmement sensibles et différents d’une culture à l’autre…

Mais peu importe, les recommandations des chercheurs sont claires : il faut des garde-fous. En gros, il faut des règles de consentement explicite, des limites d’âge (car les enfants ne devraient pas pouvoir créer ou interagir avec des deadbots sans supervision), de la transparence sur la nature artificielle de ces entités, et surtout, des moyens dignes de “faire mourir” ces avatars quand c’est nécessaire.

Après techniquement, on n’en est qu’au début. Actuellement, ces deadbots sont simplement des modèles de langage entraînés sur les données générées par une personne décédée. Et leur job c’est de faire des prédictions mathématiques sur ce que la personne aurait pu dire. C’est pas de la magie, c’est des maths. On ne ressuscite pas vraiment les morts, mais on crée une imitation basée sur les datas qu’ils ont produit de leur vivant.

Mais avec l’amélioration rapide de l’IA, notamment avec des systèmes comme Gemini ou GPT, ces avatars deviennent de plus en plus convaincants.

Vous pourriez très bien reconstuire un “korben” virtuel en donnant à une IA l’intégralité de mes posts de réseaux sociaux, de mes articles, de mes message Discord, de mes messages privés, SMS, Instagram, email…etc. Et vous auriez alors un super clone qui parle et “pense” comme moi, et qui accessoirement pourrait continuer à alimenter ce site web jusqu’à la fin de l’Humanité.

Quoiqu’il en soit, le prix cette technologie a déjà chuté drastiquement, ce qui la rend accessible à tous. Alors perso, je trouve ça à la fois fascinant et terrifiant car d’un côté, pouvoir préserver la mémoire de nos proches, leur donner une forme d’immortalité numérique, c’est un vieux rêve de l’humanité et ça permet de régler des vieux dossier pour avancer dans la vie. Mais de l’autre, transformer nos morts en marionnettes publicitaires ou en outils de manipulation émotionnelle, c’est franchir une ligne rouge éthique majeure.

Le plus flippant dans tout ça, c’est qu’il n’y a aucune protection légale sérieuse et vos données peuvent être utilisées assez librement après votre mort pour créer votre avatar sans aucune autorisation. Bref, le mieux qu’on puisse faire aujourd’hui en tant que “futur défunt”, c’est exprimer clairement nos souhaits à nos proches et espérer qu’ils les respectent après notre mort.

En tout cas, c’est une industrie qui décolle et dont le marché va exploser, c’est certain. Mais à quel prix pour notre humanité ?

Source

Le nouveau projet d’un des créateurs de Journey aurait pu être un jeu de surf incroyable

✇Numerama
Thomas Méreur

Treize ans que Journey est sorti et il n'en finit plus d'inspirer encore et encore. En l'occurrence, le studio Giant Squid a une belle excuse : son directeur créatif et cofondateur est Matt Nava, ancien directeur artistique sur le cultissime jeu de thatgamecompany. Le bonhomme semble assumer ses obsessions puisque Sword of the Sea ressemble au fils caché de Journey et Abzû, aventure sous-marine sortie en 2016 et premier jeu de Giant Squid. La boucle est bouclée ?

Carbanak - Le gang qui a volé 1 milliard de dollars aux banques

✇Korben
Korben
Cet article fait partie de ma série de l’été spécial hackers. Bonne lecture !

Aujourd’hui je vais vous parler du casse du siècle les amis ! Entre 2013 et 2018, un groupe de cybercriminels connu sous le nom de Carbanak a réussi à dérober plus de 1,2 milliard de dollars à une centaine de banques dans 40 pays. Du jamais vu dans l’histoire de la cybercriminalité financière !

Et ce groupe Carbanak, c’est pas juste une bande de script kiddies qui ont eu de la chance, non c’est une vrai une organisation criminelle ultra-sophistiquée qui a réinventé le concept même de braquage bancaire. Fini les cagoules et les armes, place aux malwares et au social engineering de haut vol. Ils fonctionnaient même comme une vraie entreprise avec une hiérarchie, des horaires de travail réguliers, et même des bonus pour les opérateurs les plus efficaces !

L’histoire commence donc en 2013 quand les premières banques ukrainiennes et russes remarquent des mouvements d’argent bizarres sur leurs comptes. Des millions de dollars disparaissent sans laisser de traces évidentes. À Kiev, en novembre 2013, c’est même un distributeur qui commence à cracher des billets à des heures complètement aléatoires, sans qu’aucune carte ne soit insérée ! Les passants récupèrent l’argent, pensant d’abord à un bug, jusqu’à ce que les banques comprennent qu’elles sont victimes d’une cyberattaque d’un genre nouveau. C’est là que Kaspersky Lab entre en scène et découvre ce qui deviendra l’une des plus grandes cyberattaques financières de tous les temps.

Le mode opératoire de Carbanak, c’est de l’art. D’abord, ils envoient des emails de spear phishing ultra-ciblés aux employés de banque. Ces emails exploitent des vulnérabilités connues comme CVE-2012-0158 (Microsoft Windows Common Controls), CVE-2013-3906 (Microsoft GDI+) et CVE-2014-1761 pour installer leur backdoor custom. Et une fois dans la place, le malware Carbanak fait son petit bonhomme de chemin dans le réseau bancaire.

La phase de reconnaissance est assez dingue puisque les hackers activent discrètement les webcams et prennent des captures d’écran pour observer les employés de banque pendant des mois. Ils apprennent littéralement comment fonctionne chaque banque de l’intérieur, mémorisant les procédures, les horaires, les protocoles de sécurité. En moyenne, cette phase d’apprentissage dure entre 2 et 4 mois complets ! Du coup, quand ils passent à l’action, ils imitent parfaitement le comportement des vrais employés. Flippant !

Et leurs techniques de vol sont variées et créatives. Parfois, ils programment des distributeurs automatiques pour cracher des billets à une heure précise où un complice attend tranquillement devant. D’autres fois, ils créent des comptes fantômes et y transfèrent des millions via le système SWIFT. Ou alors, ils modifient directement les bases de données pour gonfler artificiellement certains comptes avant de vider l’excédent, tout en laissant le solde original intact pour que le vrai propriétaire ne remarque rien. Chaque banque piratée rapporte entre 2,5 et 10 millions de dollars en moyenne.

Le cerveau présumé de l’opération, c’est Denis Katana (de son vrai nom Denis Tokarenko), un Ukrainien arrêté en mars 2018 à Alicante en Espagne. Et là, attention les yeux, les autorités trouvent sur son laptop 15 000 bitcoins, soit environ 162 millions de dollars à l’époque ! Le bonhomme avait monté tout un système avec des plateformes financières de Gibraltar et du Royaume-Uni pour convertir ses bitcoins en cartes prépayées qu’il utilisait ensuite pour acheter des voitures de luxe, des maisons, et vivre la grande vie en Espagne. Il avait même créé un “énorme réseau” de minage de bitcoins pour blanchir l’argent. Et le détail qui tue c’est que Denis travaillait depuis l’Espagne et trouvait tous ses complices en ligne, mais ils ne se sont jamais rencontrés en personne ! Tout se passait par internet, comme une startup criminelle en full remote.

Car Carbanak, c’est pas qu’un seul mec. Le groupe est étroitement lié à FIN7, aussi connu sous le nom de Navigator Group. En 2018, les autorités arrêtent plusieurs membres clés dans une opération internationale coordonnée : Fedir Hladyr, 33 ans, le sysadmin du groupe arrêté à Dresde en Allemagne, Dmytro Fedorov, 44 ans, le manager supervisant les hackers, arrêté à Bielsko-Biala en Pologne, et Andrii Kolpakov, 30 ans, arrêté à Lepe en Espagne. Chacun fait face à 26 chefs d’accusation incluant conspiration, fraude électronique, piratage informatique et vol d’identité aggravé. Hladyr, considéré comme le cerveau technique derrière Carbanak, a écopé de 10 ans de prison en 2021.

Ce qui impressionne les enquêteurs avec FIN7/Carbanak, c’est leur professionnalisme et leur créativité pour recruter. Ils ont d’abord créé une fausse société de cybersécurité appelée Combi Security, soi-disant basée en Israël et en Russie, pour recruter des développeurs sans qu’ils sachent qu’ils travaillaient pour des criminels. Les employés pensaient développer des outils de tests de pénétration légitimes alors qu’en réalité, ils créaient des malwares pour attaquer des entreprises. Le site web de Combi Security listait même parmi ses “clients” plusieurs de vraies victimes de FIN7 ! Après les arrestations de 2018, ils ont alors remis ça avec une nouvelle fausse boîte appelée Bastion Secure, avec un processus de recrutement en trois phases qui révélait progressivement la nature criminelle du travail. Les candidats passaient des entretiens RH classiques sur Telegram, signaient des contrats avec clause de confidentialité, puis se retrouvaient à faire du “pentest” sur des réseaux qui étaient en fait des vraies cibles à pirater.

L’organisation interne de Carbanak, c’est du grand art criminel. Ils avaient une hiérarchie claire avec des “gestionnaires de flux monétaires” qui analysaient les infos des ordinateurs infectés, des “chefs de mules” qui géraient les réseaux de blanchiment, et même des techniques de pression pour empêcher les membres de partir. Les opérateurs en position de leadership n’hésitaient pas à faire du chantage et à menacer de “blesser les membres de la famille en cas de démission”. Pour l’extraction d’argent, ils collaboraient d’abord avec la mafia russe jusqu’en 2015, puis avec la mafia moldave pour coordonner le travail des “mules” qui récupéraient le cash des distributeurs piratés.

Le malware Carbanak lui-même est une merveille d’ingénierie malveillante puisqu’il combine des capacités de keylogging, de capture d’écran, d’exécution de commandes à distance et de détection d’applications bancaires spécifiques. Il peut rester dormant pendant des mois, collectant silencieusement des informations avant de frapper. Au début, le groupe utilisait du code basé sur le malware Carberp, mais au fil du temps, ils ont développé leur propre solution complètement originale. En 2019, le code source complet de Carbanak est même apparu sur VirusTotal, donnant aux chercheurs en sécurité un aperçu détaillé de son fonctionnement interne et confirmant sa sophistication technique.

Malgré les arrestations de 2018, l’activité du groupe n’a pas cessé immédiatement. Entre mars et juin 2018, plusieurs nouvelles vagues de phishing liées à Carbanak sont observées, ciblant des banques et des entreprises de traitement de paiements dans différents pays. Six mois après l’arrestation de Denis Katana, le groupe était encore très actif selon les experts, prouvant bien la résilience et la structure décentralisée de cette organisation criminelle.

Surtout, l’impact de Carbanak dépasse largement les pertes financières car leurs attaques ont fondamentalement changé la façon dont les banques approchent la cybersécurité. Elle a démontré que les techniques APT (Advanced Persistent Threat), traditionnellement utilisées pour l’espionnage d’État, pouvaient être détournées pour le crime financier pur et simple. Carbanak a marqué le début d’une nouvelle ère où les cybercriminels ne s’attaquent plus aux clients des banques, mais directement aux banques elles-mêmes.

Du coup, les banques ont dû repenser complètement leur sécurité. Plus question de se contenter de pare-feux et d’antivirus. Il faut maintenant des systèmes de détection comportementale, de la surveillance vidéo des postes de travail critiques, des protocoles de validation multi-niveaux pour les transferts importants, et une formation continue des employés contre le phishing. L’attaque a aussi poussé le secteur à mieux sécuriser les liens entre les ATMs et les systèmes centraux.

Carbanak reste donc aujourd’hui l’exemple parfait de ce que peut accomplir un groupe de cybercriminels déterminés et techniquement compétents. Leur approche méthodique, leur patience de plusieurs mois par cible, leur capacité à s’adapter aux défenses de leurs victimes et leur structure d’organisation quasi-corporate en font un cas d’école.

Avec Carbanak, on sait maintenant qu’il est possible de voler un milliard de dollars sans jamais braquer physiquement une seule banque. Juste avec du code, de la patience et une compréhension profonde des systèmes bancaires. Denis Katana et ses complices ont réussi à accéder à “pratiquement toutes les banques de Russie” et à faire des retraits de distributeurs à Madrid pour un demi-million d’euros, tout ça depuis leur laptop. Ça fait réfléchir sur la vulnérabilité de notre système financier mondial face à des attaquants chevronnés.

Les attaquants peuvent être n’importe où, leurs victimes partout, et l’argent volé transite par des dizaines de pays avant de disparaître dans des cryptomonnaies. La coopération internationale devient alors cruciale, comme l’a montré l’opération coordonnée par Europol, le FBI, la police espagnole et les autorités de plusieurs pays qui a permis les arrestations de 2018.

Sans cette heureuse collaboration, Denis Katana serait probablement encore en train de siroter des cocktails sur la Costa del Sol avec ses bitcoins…

Sources : Kaspersky Lab - Carbanak APT Report, US Department of Justice - FIN7 Arrests, Europol - Carbanak Mastermind Arrest, CrowdStrike - Carbon Spider Analysis, Trend Micro - Carbanak Technical Analysis, Threatpost - Denis Katana Arrest, TechCrunch - Bastion Secure Fake Company, Decrypt - Denis Katana Bitcoin Laundering

Doxx - Pour lire vos fichiers Word depuis le terminal

✇Korben
Korben

Vous recevez un fichier Word et votre premier réflexe, en bon libriste, c’est de lancer LibreOffice qui met 30 minutes à démarrer, juste pour lire trois paragraphes. Ou pire, vous êtes en SSH sur un serveur et là, c’est le drame total, impossible de lire un doc Word là bas. Hé bien ce bon Ben Greenwell en a eu marre de cette galère et a créé doxx, un outil écrit en Rust qui affiche vos .docx directement dans le terminal.

Ce concept m’a rappelé Glow, vous savez, ce magnifique renderer Markdown pour terminal créé par l’équipe de Charm, sauf qu’ici, on s’attaque à un format bien plus casse-pieds : les fichiers Word.

Doxx gère donc non seulement le texte formaté, mais aussi les tableaux avec de jolies bordures Unicode, les listes, et même les images si votre terminal le supporte (Kitty, iTerm2, WezTerm). Et comme c’est écrit en Rust, il parse le XML des fichiers .docx en un clin d’œil.

Pour utiliser l’outil, rien de plus simple :

doxx rapport.docx

Et boom, votre document s’affiche. Vous cherchez quelque chose ?

doxx contrat.docx --search "paiement"

Et il vous surligne toutes les occurrences. Il peut aussi exporter vers d’autres formats comme le Markdown, le CSV pour les tableaux, le JSON pour les devs, ou du plain text pour les puristes.

Pour l’installer, si vous êtes sur macOS avec Homebrew, c’est

brew install doxx

Et pour les rustacés :

cargo install doxx

Les utilisateurs d’Arch ont leur paquet AUR, et il y a même une option Nix et Conda. Bref, peu importe votre setup, vous devriez pouvoir l’installer.

Alors comment ce truc fonctionne pour afficher le format de Microsoft dans le terminal. Et bien c’est simple vous allez voir. En fait, les fichiers .docx sont des archives ZIP contenant du XML. Donc techniquement, vous pourriez les dézipper et parser le XML vous-même avec sed ou awk. Mais qui a envie de faire ça ?

C’est pourquoi doxx utilise la bibliothèque docx-rs pour le parsing, ratatui pour l’interface terminal interactive, et viuer pour l’affichage des images. Bref, c’est solide. Il y a même déjà un port en Go créé par keskinonur qui maintient la parité des fonctionnalités.

Alors oui, Doxx ce n’est pas un éditeur mais juste un viewer mais je trouve quand même que c’est bien pratique ! Donc si vous en avez marre de lancer des applications lourdes juste pour consulter un fichier Word, cet outil mérite clairement le détour.

Les américains risquent de se souvenir longtemps du DOGE d’Elon Musk et pas pour de bonnes raisons

✇Numerama
Amine Baba Aissa

L’histoire du DOGE n’est peut-être pas close, du moins pas ses répercussions. Le 26 août 2025, un employé de l'Administration de la Sécurité Sociale américaine (SSA) s’est mué en lanceur d’alerte. Il affirme que des fonctionnaires du département fondé par Elon Musk auraient dupliqué des données de Sécurité sociale des Américains dans un cloud échappant à tout contrôle officiel.

❌