Il y a plusieurs mois, j’ai pris une décision qui peut paraître contre-intuitive pour quelqu’un qui vit du web : j’ai arrêté de partager mes articles sur les réseaux sociaux. Facebook, Twitter, Bluesky, Mastodon… Terminé. Et vous savez quoi ? Je respire enfin.
Cette décision, elle ne s’est pas prise du jour au lendemain. Elle est le fruit d’une longue réflexion sur ce que je fais, pourquoi je le fais, et surtout pour qui je le fais. Quand j’écris, c’est d’abord pour vous, mes lecteurs. Ceux qui prennent le temps de venir sur Korben.info, qui parcourent les articles, qui lisent ce qui les intéresse et qui zappent le reste sans faire de drama. C’est aussi pour moi, parce qu’écrire c’est ma façon de partager, de transmettre, de rester connecté à cette passion qui m’anime depuis des années.
Mais voilà, les réseaux sociaux ont transformé tout ça en quelque chose de malsain. Bien sûr, partager sur ces plateformes apporte de la visibilité. Les chiffres grimpent, les metrics s’affolent, et on pourrait croire que c’est ça le succès. Sauf que cette audience, elle est pourrie. Oui, pourrie et je pèse mes mots.
Sur les réseaux, on se retrouve face à une foule coincée dans une espèce de surenchère permanente. Des petites communautés qui réclament du sang chaque jour, qui cherchent le drama, le clash, la polémique. Des gens dont l’ego surdimensionné a besoin d’être nourri en permanence par des likes, des RT, des réactions. Et puis il y a ce manque de temps chronique qui les oblige à réagir vite, trop vite. Ils lisent en diagonale quand ils lisent, mais la plupart du temps ils se contentent du titre et foncent tête baissée pour vomir leur bile.
Le résultat ce sont des insultes, des incompréhensions, de la bêtise crasse et toutes les formes de violence verbale imaginables. J’ai vu des articles de fond, des analyses qui m’avaient pris des heures à écrire et à peaufiner, se faire déchiqueter en deux secondes par des types qui n’avaient même pas cliqué sur le lien. Des jugements à l’emporte-pièce, des procès d’intention, des attaques personnelles basées sur rien.
C’est donner en pâture à des clébards hargneux quelque chose de construit, de réfléchi (ou pas, si j’ai mal dormi ^^), qui demande du temps pour être écrit et surtout pour être lu. Ces gens ne vous connaissent pas, ne vous lisent pas vraiment, mais ils pensent avoir cerné qui vous êtes en deux secondes. Ils se construisent une image mentale de vous à partir de leur univers intérieur complètement claqué et obscur, et hop, le jugement tombe. Définitif. Implacable. Et complètement à côté de la plaque.
J’ai longtemps cru que c’était le prix à payer pour toucher plus de monde. Que c’était normal, que ça faisait partie du jeu. Mais non. Ce n’est pas normal de subir chaque jour ces cyber-toxicos accros à leur klout et aux petites phrases assassines. Ces gens qui passent leur vie à scruter leurs notifications, à compter leurs followers, à mesurer leur influence.
Alors j’ai dit stop. J’ai arrêté de nourrir la bête. Plus de partage, plus de liens balancés dans l’arène. Fini.
Est-ce que ça me fait moins de trafic sur le site ? Oui, c’est indéniable. Les chiffres ont baissé. Mais vous savez quoi ? La qualité de mon lectorat s’est améliorée. Aujourd’hui, quand j’écris, c’est pour des gens qui savent lire. Des gens qui prennent le temps. Des gens qui comprennent la nuance, qui apprécient l’effort, qui aiment vraiment la tech et pas juste le drama qui l’entoure. Dans le même esprit, j’ai même retiré les pubs programmatiques en espérant un jour compter uniquement sur mon Patreon pour faire vivre ce site.
Ces lecteurs-là, ils viennent directement sur le site. Ils ont leurs habitudes, leurs marque-pages, leurs flux RSS (abonnez-vous !!) peut-être. Ils ne sont pas là par hasard parce qu’un algorithme leur a collé mon article sous le nez entre deux vidéos de chats et trois polémiques du jour. Ils sont là par choix, par intérêt authentique.
A ces gens là, je dis MERCI ! Et moi, j’écris mieux depuis. Sans cette épée de Damoclès au-dessus de la tête, sans me demander comment telle phrase va être détournée, comment tel paragraphe va être sorti de son contexte pour faire le buzz. J’écris librement, authentiquement, pour les bonnes raisons, comme avant.
Cette décision, c’est aussi un acte de résistance contre cette économie de l’attention qui nous bouffe tous. Cette course aux metrics qui transforme tout en contenu jetable, en fast-food intellectuel qu’on consomme et qu’on oublie dans la seconde. Mes articles ne sont pas des tweets de 280 caractères. Ce sont des analyses, des tests, des tutos, des découvertes qui méritent mieux que d’être jugées en deux secondes par quelqu’un qui a lu trois mots en scrollant.
Je ne dis pas que tous les gens sur les réseaux sociaux sont toxiques. Il y a évidemment des communautés formidables, des échanges enrichissants, des découvertes magnifiques. Mais le ratio signal/bruit est devenu insupportable. Pour un commentaire constructif, combien de haine gratuite ? Pour une vraie discussion, combien de trolls ? Et croyez moi, c’est la même merde sur Bluesky, Mastodon, X, Facebook…etc.
Bref, non merci. Je préfère mille fois avoir moins de lecteurs mais de vrais lecteurs. Des gens qui viennent pour le contenu, pas pour le spectacle. Des gens qui lisent vraiment, qui réfléchissent, qui parfois ne sont pas d’accord mais qui savent l’exprimer avec intelligence et respect (du genre qui savent m’envoyer un email pour discuter et exposer leurs arguments plutôt que de se faire mousser devant leur communauté de canards ^^).
Voilà, cette décision de retirer des réseaux sociaux mes articles, c’est finalement un retour aux sources. Un retour à ce pourquoi j’ai commencé ce blog il y a des années : partager ma passion, découvrir des trucs cool, analyser les tendances tech, et échanger avec des gens qui partagent ces centres d’intérêt.
Les réseaux sociaux ont leur utilité, je ne dis pas le contraire mais pour le contenu long, pour les articles de fond, pour tout ce qui demande un minimum d’attention et de réflexion, ils sont devenus toxiques. Ils ont transformé le débat en combat, la discussion en confrontation, l’échange en agression. Alors maintenant, mes articles attendent patiemment leurs lecteurs, ceux qui font l’effort de venir, ceux qui prennent le temps de lire, ceux qui apprécient le travail fourni même quand ils ne sont pas d’accord avec tout.
Donc si vous lisez ces lignes, c’est que vous faites partie de ces lecteurs qui comptent vraiment. Ceux qui ne sont pas arrivés ici par hasard mais par choix. Et c’est pour vous que je continuerai à écrire, loin du bruit et de la fureur des réseaux sociaux.
Ceci est un truc qui pourrait bien vous intéresser surtout si vous implémentez de la synthèse vocale dans vos projets… Kitten TTS, c’est son petit nom, est un modèle qui fait seulement 25MB et qui est capable de générer de la voix de qualité professionnelle sur n’importe quelle machine, même votre vieux Raspberry Pi qui prend la poussière dans un tiroir.
Le créateur, Divam Gupta de KittenML, l’a sorti hier, et avec ses 15 millions de paramètres (c’est rien du tout comparé aux monstres habituels), Kitten TTS arrive à produire 8 voix différentes (4 féminines et 4 masculines) toutes expressives et naturelles. Le tout sans GPU, juste avec votre bon vieux processeur. C’est mieux que de la magie noire.
Pour comprendre à quel point c’est cool, faut savoir que jusqu’à maintenant, si vous vouliez de la synthèse vocale correcte, vous aviez deux options. Soit vous utilisiez des services cloud comme ceux d’Amazon ou Google (bonjour la latence et les frais), soit vous installiez des modèles énormes qui demandaient une RTX 4090 pour tourner correctement. Piper TTS était déjà pas mal dans le genre léger, mais Kitten TTS est encore plus petit et plus expressif. On parle d’un RTF (Real-Time Factor) de 0.73, ce qui veut dire que ça génère l’audio plus vite que le temps réel.
Le truc vraiment bien, c’est que c’est sous licence Apache 2.0 donc vous pouvez l’utiliser commercialement sans payer un centime. Imaginez les possibilités ! Vous développez un jeu indé ? Boom, voix-off gratuite et de qualité. Vous voulez créer un assistant vocal pour votre domotique ? C’est parti, tout tourne en local sans envoyer vos données à Google. Vous bossez sur des outils d’accessibilité ? Kitten TTS peut s’intégrer directement dans NVDA ou d’autres lecteurs d’écran pour donner une voix naturelle aux malvoyants.
L’installation, c’est du pip install tout bête depuis les releases GitHub. Le repo KittenML/KittenTTS est déjà en train d’exploser avec la communauté qui commence à bidouiller dessus. Vous pouvez aussi récupérer le modèle sur Hugging Face si vous préférez. Et pour ceux qui veulent échanger, y’a même un Discord communautaire qui se monte.
fromkittenttsimportKittenTTSimportsoundfileassfprint("Loading KittenTTS model... Meow! 🐱")# This downloads the model from Hugging Face the first timem=KittenTTS("KittenML/kitten-tts-nano-0.1")text="Hello my name is Korben. Thank you for reading my blog."print(f"Generating audio for: '{text}'")# Generate the audio waveformaudio=m.generate(text)# Save the audio to a file at 24kHz sample rateoutput_file='hello_kitten.wav'sf.write(output_file,audio,24000)print(f"✅ Audio saved to {output_file}! Go listen to it!")
A lancer comme ceci :
python test_kitten.py
Et en quelques secondes, ça vous fera un joli MP3 que voici :
Vous vous en doutez, comme d’hab, pour le moment, c’est anglais uniquement mais les dev bossent sur d’autres langues, alors faudra patienter un peu. Et puis c’est encore en “developer preview”, donc y’a quelques artefacts audio par-ci par-là. Mais pour un modèle de 25MB qui tourne sur une patate, le résultat est bluffant.
Avec ce truc, tous vos objets connectés peuvent maintenant parler avec une voix naturelle, sans connexion internet, sans latence, et sans bouffer votre batterie. Votre frigo peut vous dire qu’il manque du lait avec la voix de Garou. Votre voiture peut vous guider avec une voix sympa au lieu du robot monotone “Ministère de l’Interieur” habituel. Et tout ça en local, donc pas de problème de vie privée.
La comparaison avec Piper TTS est intéressante car Piper reste plus mature avec un écosystème plus développé et plus de langues supportées, mais Kitten TTS a l’avantage d’être encore plus petit et plus expressif pour l’anglais. Pour un projet qui vient de sortir, c’est impressionnant. J’ai donc super hâte de voir débarquer des forks et des améliorations dans les semaines qui viennent.
Si vous voulez tester, le modèle est dispo, et la doc commence à être pas mal. Alors pour une fois qu’on a un outil d’IA vraiment accessible qui ne demande pas une ferme de serveurs pour tourner, faut en profiter. Et puis pouvoir dire “mon grille-pain m’a conseillé ce matin d’investir dans des actions Nvidia”, c’est quand même la classe.
Allez faire un tour sur le site du projet pour voir les démos et comprendre pourquoi ce petit modèle de 25MB est en train de faire trembler les géants du TTS.
L’avenir de la synthèse vocale, c’est peut-être bien un chaton qui tient dans votre poche.
Vous savez ce qui est pire que de se confier à un psy qui prend des notes ?
Bah c’est se confier à ChatGPT en pensant que c’est privé, évidemment !
Un chercheur du nom de Digital Digging vient de révéler que 50 000 conversations ChatGPT ont fuité sur Google, et le contenu est explosif. Un avocat qui demande comment virer une communauté indigène d’Amazonie, des dissidents arabes qui critiquent leur gouvernement, et des PDG qui balancent leurs secrets d’entreprise comme si c’était Snapchat.
Le truc complètement dingue, c’est que tout ça vient d’une petite checkbox innocente dans la fonction de partage de ChatGPT. Vous savez, c’est ce bouton “Share” que tout le monde utilise pour montrer ses prompts géniaux à ses potes. Sauf qu’il y avait une option “Make this chat discoverable” que personne ne lisait vraiment. Du coup Google a indexé toutes ces conversations, et n’importe qui pouvait tomber dessus en cherchant les bons mots-clés.
Digital Digging a ainsi analysé 512 de ces conversations publiques et a découvert que 20% contenaient des informations sensibles ou potentiellement compromettantes : Des victimes de violence domestique qui planifient leur fuite, des professionnels de santé qui partagent des protocoles de traitement détaillés (bonjour le secret médical), et même des utilisateurs qui décrivent des activités cyber-criminelles potentielles. Certains utilisateurs arabes ont partagé des critiques du gouvernement égyptien, ce qui pourrait littéralement leur coûter leur liberté.
L’exemple le plus choquant reste quand même cet avocat d’une compagnie énergétique qui demandait conseil pour négocier le déplacement d’une communauté indigène en Amazonie. Le mec demandait littéralement comment obtenir “le prix le plus bas possible dans les négociations”. Si ça c’est pas un scénario de méchant de James Bond, je sais pas ce que c’est. Et tout ça, accessible publiquement pendant des mois avant qu’OpenAI ne réagisse.
OpenAI a bien essayé de faire le ménage en urgence. Ils ont supprimé les URLs originales, ajouté des tags noindex et nofollow, et demandé à Google de tout désindexer. Gizmodo rapporte qu’ils ont tenté de retirer près de 50 000 conversations de l’index Google. Le CISO d’OpenAI a même qualifié ça d’"expérience de courte durée pour aider les gens à découvrir des conversations utiles". Lol.
Mais voilà le problème : Internet n’oublie jamais. Archive.org, la Wayback Machine, a sauvegardé plus de 110 000 de ces conversations avant qu’OpenAI ne puisse réagir. Et Digital Digging confirme qu’OpenAI n’a même pas demandé à Archive.org de supprimer ces archives. Mark Graham, le directeur de la Wayback Machine, a confirmé qu’aucune demande d’exclusion à grande échelle n’a été faite. Du coup, toutes ces confessions sont encore accessibles pour qui sait où chercher.
Ce qui ressort de cette affaire, c’est surtout que les gens traitent ChatGPT comme un confessionnal numérique. Ils partagent leurs secrets les plus sombres, leurs plans d’affaires confidentiels, leurs problèmes personnels, en pensant que c’est entre eux et la machine. Sauf que non. Dès que vous cliquez sur “Share”, vous créez potentiellement une trace permanente sur Internet. Et même si OpenAI supprime tout de son côté, des dizaines de services d’archivage ont déjà fait des copies.
OpenAI, la boîte qui nous sermonne constamment sur l’importance de l’IA “sûre et responsable”, vient donc de créer la plus grande base de données de confessions publiques de l’histoire de l’humanité. Ils ont littéralement transformé leur chatbot en piège à secrets, et maintenant des milliers de personnes découvrent que leurs conversations privées sont consultables par n’importe qui avec une connexion Internet.
Pour les victimes de cette fuite (qui je le rappelle on quand même cliqué sur “Share” donc bon…), les conséquences peuvent être dramatiques. On parle de personnes qui ont révélé des informations pouvant détruire leur carrière, leur mariage, voire les mettre en danger physique dans le cas des dissidents politiques.
Bref, traitez ChatGPT comme vous traiteriez Twitter ou Facebook. Si vous ne voulez pas que ça se retrouve sur la place publique, ne le partagez pas. Et surtout, SURTOUT, lisez les petites cases à cocher avant de cliquer sur “Partager” parce qu’entre “partager avec un ami” et “indexer sur Google pour l’éternité”, il n’y a qu’une checkbox de différence.
Comme d’hab sur Internet, rien n’est vraiment privé, et ce qui est mis en ligne le reste pour toujours. Même quand c’est censé être une conversation privée…
A tous ceux qui galèrent avec Suno et ses limitations à la con sachez qu’ElevenLabs vient de sortir son générateur de musique IA et après l’avoir testé, je peux vous dire que ça envoie du lourd. Bon, la voix française a encore quelques progrès à faire niveau prononciation, mais le rendu global est impressionnant.
L’histoire, c’est donc qu’ElevenLabs a lancé son générateur musical hier et contrairement à Suno et Udio qui sont dans la merde avec des procès pour violation de copyright, eux ils ont fait les choses proprement. Ils ont signé des accords avec Merlin Network et Kobalt Music Group, ce qui leur donne accès légal à des millions de titres pour entraîner leur IA. Du coup, pas de risque de se faire défoncer juridiquement quand on utilise leur outil pour des projets commerciaux.
Pour mon test, j’ai voulu voir ce que ça donnait avec un truc bien spécifique. J’ai demandé “un morceau de rap electro trap qui parle du site tech Korben.info”. Et là, surprise totale. Le beat était nickel, les transitions fluides, et même si la voix avait du mal avec certains mots français, le flow était meilleur que ce que j’ai pu obtenir avec Suno après des heures de tweaking. Le morceau fait presque 3 minutes, avec des variations dans le beat, des breaks bien placés, bref du travail de pro.
Ce qui m’a vraiment scotché, c’est surtout la qualité audio. Suno, c’est bien, mais on sent toujours ce côté un peu “cheap” dans le mix final. Les fans de Jul peuvent en témoigner ^^. Là, on a ElevenLabs qui sort du son qui pourrait passer en radio sans problème. Les basses sont profondes, les aigus cristallins, et surtout il n’y a pas ces artefacts audio chelous qu’on retrouve souvent avec les générateurs concurrents. Par contre, petit bémol, j’ai galéré comme un malade pour télécharger le morceau depuis Firefox. Heureusement, VideoDownloadHelper m’a sauvé la mise.
Voici ce que ça donne :
Niveau tarifs, ElevenLabs propose 7 niveaux d’abonnement : Free, Starter, Creator, Pro, Scale, Business et Enterprise. Attention par contre, avec les formules Free, Starter et Enterprise, interdiction de distribuer vos créations sur les plateformes de streaming. Pour ça, il faut minimum la formule Creator. Les prix exacts ne sont pas encore communiqués partout, mais vu la qualité, ça risque de faire mal à la concurrence.
Le truc vraiment malin qu’ils ont fait, c’est le système de contrôle. Vous pouvez préciser la durée exacte du morceau (“60 secondes” par exemple), ajouter vos propres paroles, définir quand les voix doivent commencer (“lyrics begin at 15 seconds”), ou même créer des parties instrumentales (“instrumental only after 1:45”). C’est ce niveau de contrôle qui manque cruellement chez Suno où on balance un prompt et on prie pour que ça sorte quelque chose de potable.
Pour éviter les emmerdes juridiques, ElevenLabs a également mis des garde-fous stricts. Impossible d’utiliser le nom d’un artiste, d’un titre de chanson ou d’un album dans vos prompts. Ça peut paraître contraignant, mais au final c’est ce qui leur permet de proposer un outil utilisable commercialement sans risquer de se retrouver au tribunal. Et entre nous, c’est pas plus mal parce que ça force à être créatif plutôt que de pomper bêtement sur du Drake ou du Daft Punk.
J’ai tenté un prompt un peu plus construit que le précédent et voici mon premier morceau rock :
La vraie force d’ElevenLabs, c’est donc leur partenariat avec SourceAudio qui leur donne accès à 14 millions de morceaux pré-autorisés pour l’entraînement de l’IA. Alors que Suno et Udio ont scrappé le web sans autorisation et se retrouvent avec les majors sur le dos, ElevenLabs peut dormir tranquille. D’ailleurs, 72% des entreprises du Fortune 500 utilisent déjà leurs outils de voix-off, donc niveau crédibilité, ils ont de l’avance.
Si vous voulez tester, allez sur elevenlabs.io/music et commencez avec la version gratuite pour voir.
Google vient de sortir un truc super sympa hier et personne n’en parle encore, alors je me mets au boulot. Cela s’appelle Gemini Storybooks, et ça va faire mal aux concurrents qui facturent 20 balles par mois pour faire la même chose. En gros, vous balancez une idée, quelques photos de vos vacances ou même les gribouillis de votre gosse, et paf, l’IA vous pond un livre illustré de 10 pages avec narration audio en moins de 2 minutes chrono.
Le truc vraiment cool avec ce nouveau joujou de Google, c’est qu’ils ont pensé à tout. Vous pouvez choisir parmi 8 styles d’illustration différents, du pixel art façon rétro gaming au style comics Marvel, en passant par de la pâte à modeler animée ou même du crochet. Et surtout c’est gratuit. Totalement gratuit.
Pour l’utiliser, vous ouvrez Gemini sur votre ordi ou votre téléphone, vous décrivez votre histoire en quelques phrases du genre “Crée-moi une histoire où mon fils combat des pirates de l’espace avec son doudou rhinocéros appelé Bayrou” et l’IA se met au boulot. L’interface se divise en deux colonnes façon Canvas, avec le chat à gauche et votre livre qui se construit page par page à droite.
Ce qui est cool c’est la possibilité d’uploader vos propres images pour personnaliser l’histoire. Comme ça, vous prenez les photos de vos dernières vacances en Bretagne, vous les balancez dans Gemini avec un prompt du style “Transforme nos vacances en quête épique pour trouver le trésor perdu de Merlin”, et hop, vous avez un livre unique que vos enfants vont adorer.
Côté technique, Google a mis le paquet puisqu’ils utilisent trois IA différentes qui bossent ensemble : Gemini pour générer le texte de l’histoire, probablement Veo 2 (leur nouveau modèle vidéo) pour créer les illustrations, et Gemini 2.5 Pro TTS pour la narration vocale. D’ailleurs pour la voix, vous pouvez choisir entre une voix grave façon Morgan Freeman ou plus aiguë style conte de fées. Le tout fonctionne dans plus de 45 langues, même si la narration audio n’est pas encore dispo partout. Les français peuvent dormir tranquilles, on a droit à la totale. Par contre, je trouve la voix un poil trop rapide à la lecture, c’est dommage…
Google débarque donc comme un éléphant dans un magasin de porcelaine sur ce marché. Des startups comme CreateBookAI ou Scarlett Panda se sont battues pendant des mois pour construire leur business model autour de la génération de livres pour enfants, et là Google arrive et dit “Tiens, c’est gratuit maintenant”. C’est violent et ça me rappelle la façon de faire d’Apple.
Mais pour les parents geeks qui galèrent à trouver des histoires du soir originales, c’est une vraie révolution. Plus besoin de relire pour la 150ème fois “Tchoupi va sur le pot” (même si c’est un classique indémodable). Vous pouvez créer une histoire sur mesure qui explique pourquoi il faut se brosser les dents en mettant en scène les animaux préférés de votre enfant. Ou expliquer le système solaire avec une aventure de son grand-père dans l’espace. Les possibilités sont infinies.
Les premiers retours parlent de quelques bugs visuels assez marrants, des personnages avec des membres en trop, des perspectives un peu wtf, ou des cohérences douteuses entre les pages. Mais honnêtement, ça fait partie du charme. Et puis Google va sûrement améliorer ça dans les prochaines semaines. Comme vous le savez, ils ont l’habitude de sortir des trucs en beta et de les peaufiner au fur et à mesure.
La vraie question maintenant, c’est de savoir ce que ça va donner pour l’industrie du livre jeunesse. Est-ce que les éditeurs traditionnels vont flipper ? Probablement. Est-ce que ça va tuer la créativité humaine ? Je n’y crois pas un seul instant. Pour moi c’est plutôt un outil de plus dans la boîte à outils des parents créatifs. Et puis entre nous, si ça peut éviter à certains parents de devoir inventer des histoires pourries à 22h quand ils sont crevés, c’est déjà une victoire.
Si vous voulez tester, c’est super simple. Allez sur gemini.google.com, connectez-vous avec votre compte Google, et cherchez l’option Storybook. Vous pourrez alors créer autant de livres que vous voulez, les partager via un lien public, les imprimer directement depuis votre navigateur, ou juste les écouter en mode podcast pendant que junior s’endort.
Ah et petit conseil d’ami, évitez de demander des histoires avec des célébrités ou des personnages sous copyright car l’IA refuse gentiment mais vous propose de créer des “personnages inspirés” à la place. “Henry Potier, l’apprenti boulanger magique”, c’est même mieux que le vrai Harry Potter je trouve.
Des chercheurs de l’Université du Zhejiang en Chine viennent de sortir un truc de malade. Ils ont construit Darwin Monkey, un ordinateur neuromorphique qui simule littéralement le cerveau d’un macaque. Et quand je dis simuler, je veux dire que le truc embarque quand même 2 milliards de neurones artificiels et plus de 100 milliards de synapses. C’est donc officiellement le plus grand ordinateur neuromorphique au monde !
Et ce qui est fou avec Darwin Monkey, c’est qu’il ne fonctionne pas comme un ordinateur classique puisqu’au lieu d’utiliser des valeurs continues comme les réseaux de neurones artificiels traditionnels, il utilise des réseaux de neurones à impulsions (SNN pour les intimes). En gros, ça envoie des impulsions électriques discrètes pour traiter et transmettre les données, exactement comme le font les vrais neurones dans votre cerveau. C’est donc beaucoup plus proche de la biologie et potentiellement bien plus économe en énergie.
Le système est équipé de 960 puces Darwin 3, c’est à dire des processeurs neuromorphiques de troisième génération développés début 2023 par le laboratoire et chaque puce peut gérer plus de 2,35 millions de neurones à impulsions et des centaines de millions de synapses. Le tout est organisé en 15 serveurs neuromorphiques en forme de lame. Et tout ça ne consomme que 2000 watts en fonctionnement normal. A titre de comparaison, votre grille-pain consomme à peu près la même chose !
Mais là où ça devient encore plus intéressant c’est que Darwin Monkey peut faire tourner le modèle DeepSeek, l’IA chinoise dont tout le monde parle en ce moment. Ça lui permet ainsi de faire du raisonnement logique, de générer du contenu et même de résoudre des problèmes mathématiques. C’est donc le premier ordinateur neuromorphique au monde qui combine des capacités de réflexion avancées avec la vision, l’audition, le langage et l’apprentissage. En fait, c’est comme si on avait mis un cerveau de singe dans une boîte et qu’on lui avait appris à coder.
Pour mettre ça en perspective, Intel a sorti son Hala Point en avril 2024 avec 1,15 milliard de neurones soit l’équivalent d’un cerveau de chouette. Darwin Monkey, lui, c’est presque le double. Et Sandia National Laboratory utilise déjà Hala Point pour de la recherche avancée allant du commercial à la défense en passant par la science fondamentale. Imaginez tout ce que les Chinois vont pouvoir faire avec leur bête de course.
Les chercheurs peuvent simuler également d’autres cerveaux entiers d’animaux, des vers Caenorhabditis elegans aux poissons-zèbres, en passant par les souris. Pour les neuroscientifiques, c’est donc une révolution car ils peuvent explorer les mécanismes du cerveau sans avoir besoin de faire autant d’expériences sur de vrais animaux. C’est donc à la fois plus éthique et plus pratique.
La Darwin Mouse en 2020 simulait “seulement” 120 millions de neurones et en cinq ans, ils ont multiplié le nombre de neurones par 16 et ont fait des percées majeures dans l’interconnectivité des puces, le développement d’OS neuromorphiques et les mécanismes d’apprentissage en ligne non supervisé. À ce rythme, on pourrait bientôt voir arriver une simulation complète d’un cerveau humain d’ici quelques années.
Pour l’IA, c’est potentiellement un game changer car au lieu de faire tourner des modèles qui consomment des quantités astronomiques d’énergie, on pourrait avoir des systèmes qui fonctionnent avec l’efficacité énergétique d’un cerveau biologique. Les chercheurs parlent même d’apporter des “avancées révolutionnaires à l’IA” avec leur mécanisme d’apprentissage en ligne non supervisé. Imaginez ChatGPT qui tourne avec la consommation d’une ampoule LED au lieu d’une centrale électrique et qui serait capable d’apprendre par lui-même.
Évidemment, tout ça soulève des questions tout aussi fascinantes sur la conscience, l’intelligence et ce qui nous rend humains. Car si on peut simuler parfaitement un cerveau de singe, qu’est-ce qui nous empêche de simuler un cerveau humain ? Et si on y arrive, est-ce que cette simulation serait consciente ?
Je vous laisse méditer là-dessus pendant que je vais faire dodo, parce que j’ai besoin d’un petit repos pour mon propre cerveau biologique qui doit encaisser cette nouvelle !
Vous saviez qu’Animal Crossing sur GameCube cache 21 jeux NES complets dans ses fichiers ? Perso, j’en avais AUCUNE IDÉE et visiblement, ce ne sont pas des versions au rabais ou de démos, mais bien des jeux complets ! Animal Crossing était vraiment un jeu en avance sur son temps et l’une des fonctionnalités les plus adorées des joueurs, c’était ces petits meubles NES que vous pouviez collectionner et qui lançaient de vrais jeux quand vous interagissiez avec.
Balloon Fight, Super Mario Bros, The Legend of Zelda, Punch-Out !!… Nintendo avait carrément inclus un émulateur NES complet et les ROMs sur le disque GameCube. Le truc fou, c’est que cet émulateur est souvent cité comme étant plus précis que celui de la NES Classic ou même celui de la Switch.
Selon les versions du jeu (Doubutsu no Mori, Animal Crossing, etc.), il ya entre 19 et 21 jeux disponibles. La version américaine par exemple en contient 19, et certains jeux comme Donkey Kong Jr. Math valent aujourd’hui 151 dollars en seconde main. D’autres comme Clu Clu Land D ou Gomoku Narabe Renju étaient également des exclusivités Famicom Disk System introuvables plus tard sur Nintendo Switch Online.
Mais bon, passons au vif du sujet. Comment extraire ces ROMs ?
Et bien le passionné Seth Larson a développé une méthode géniale qui exploite la compression Yaz0 utilisée par Nintendo. Cette compression, reconnaissable par son header “Yaz0” en ASCII, est utilisée partout dans les jeux Nintendo depuis les années 2000. The Wind Waker, Mario Kart Wii, Super Mario Sunshine… tous utilisent Yaz0 pour compresser leurs assets.
D’abord, il vous faut une copie de votre ISO Animal Crossing que vous pouvez extraire légalement avec CleanRip sur votre Wii ou avec le nouvel outil FlippyDrive qui permet de sauvegarder vos jeux GameCube directement depuis la console. Une fois que vous avez votre ISO, le script Python de Seth fera tout le boulot.
Comme je vous le disais, le script parcourt toute l’ISO à la recherche des headers “Yaz0”, décompresse chaque blob trouvé, puis cherche les signatures des ROMs NES (qui commencent par “NES\x1a”) ou Famicom Disk System (avec leur signature spécifique). Une fois trouvées, les ROMs sont extraites et comparées à une base de données de checksums MD5 pour identifier exactement quel jeu c’est.
Et hop, vous vous retrouvez avec tous les jeux NES dans votre dossier. Ces ROMs fonctionnent avec n’importe quel émulateur NES, par exemple sur PC, vous pouvez utiliser Pinky (un émulateur WASM qui tourne dans le navigateur), sur mobile je vous recommande Delta qui est aussi excellent.
Un petit détail technique sympa au passage, le jeu Clu Clu Land D est stocké au format .qd (QuickDisk). Il faudra donc le convertir en .fds pour l’utiliser avec un émulateur. Un script Python existe également sur le GitHub pour faire cette conversion facilement.
Ce qui est vraiment dingue dans cette histoire, c’est qu’après deux ans et demi de travail, la communauté a presque complètement décompilé cette version d’Animal Crossing. Ça ouvre la porte à des mods incroyables et ils ont même réussi à faire tourner Linux dans l’émulateur NES d’Animal Crossing en patchant la mémoire. Bon, ça tourne à 1/64ème de la vitesse normale, mais techniquement ça marche !
D’ailleurs, l’émulateur NES générique du jeu peut lire n’importe quelle ROM depuis la carte mémoire si elle est formatée correctement. Il cherche des fichiers avec la string “GAFE01” (le nom interne d’Animal Crossing) et le préfixe “DobutsunomoriPF”. Et un outil appelé ACNESCreator permet ensuite de créer ces fichiers .gci automatiquement pour charger vos propres ROMs.
Si vous cherchez d’autres méthodes légales pour récupérer des ROMs, consultez le RED Project sur GitHub, qui contient une documentation complète de méthodes d’extraction similaires depuis des collections officielles et autres mini-consoles. Parce que oui, extraire des ROMs de jeux que vous possédez légalement, c’est parfaitement légal pour un usage personnel.
Je trouve quand même que jouer à Wario’s Woods extrait de votre propre copie d’Animal Crossing sur votre iPhone avec Delta, ça a quand même quelque chose de magique. Maintenant, si vous avez une vieille copie d’Animal Crossing qui traîne, vous savez maintenant qu’elle vaut bien plus que ce que vous pensez !
OpenAI vient de lâcher dans la nature ses premiers modèles open-weight depuis GPT-2, et apparemment, c’est du lourd. Après 5 longues années à garder jalousement ses modèles bien au chaud derrière des API payantes, Sam Altman et sa bande balancent donc gpt-oss-120b et gpt-oss-20b, deux modèles que vous pouvez télécharger gratuitement sur Hugging Face et faire tourner chez vous.
Ils ont claqué des milliards de dollars en recherche pour créer ces modèles, et maintenant ils les offrent au monde entier sous licence Apache 2.0. C’est beau !
Pour ceux qui se demandent ce que ça change, un modèle open-weight c’est comme avoir accès au moteur d’une voiture avec le capot grand ouvert. Vous pouvez voir comment ça fonctionne, bidouiller les paramètres internes, et surtout, le faire tourner en local sans connexion internet. Greg Brockman, le cofondateur d’OpenAI, explique que c’est complémentaire à leurs services payants comme ChatGPT et l’avantage, c’est que vos données ne partent pas dans le cloud.
Les deux nouveaux modèles utilisent l’approche chain-of-thought qu’OpenAI a introduite avec son modèle o1 l’automne dernier. Cela veut dire que au lieu de balancer une réponse directe, l’IA passe par plusieurs étapes de raisonnement pour répondre à vos questions. Ces modèles text-only ne sont pas multimodaux (donc pas d’images ou de sons), mais ils peuvent naviguer sur le web, appeler d’autres modèles cloud pour certaines tâches, exécuter du code et même agir comme des agents IA autonomes.
Le plus petit des deux, gpt-oss-20b avec ses 21 milliards de paramètres (dont 3,6 milliards actifs), est suffisamment compact pour tourner sur une machine avec 16 Go de RAM. Le gros calibre, gpt-oss-120b avec ses 117 milliards de paramètres (5,1 milliards actifs), nécessite 80 Go de mémoire et tourne idéalement sur une seule GPU H100. Les deux supportent un contexte de 128 000 tokens, soit l’équivalent de 300-400 pages de roman que vous pouvez balancer d’un coup.
D’après les benchmarks, gpt-oss-120b atteint quasiment les performances d’OpenAI o4-mini sur les tâches de raisonnement, tandis que gpt-oss-20b s’approche d’o3-mini. Sur une RTX 5090, vous pouvez atteindre jusqu’à 256 tokens par seconde, ce qui est franchement impressionnant pour du local. Avec l’architecture Mixture-of-Experts (MoE) et la précision native MXFP4, ces modèles sont optimisés pour tourner efficacement même sur du matériel grand public.
Bon, passons aux choses sérieuses avec le tutoriel Ollama pour faire tourner tout ça chez vous.
Installation d’Ollama
D’abord, installez Ollama si ce n’est pas déjà fait. Sur macOS, ouvrez un terminal et tapez :
brew install ollama
Sur Linux, c’est encore plus simple :
curl -fsSL https://ollama.ai/install.sh | sh
Pour Windows, téléchargez directement l’installateur sur ollama.com et suivez les instructions.
Lancement du serveur Ollama
Une fois installé, démarrez le serveur Ollama :
ollama serve
Le serveur va se lancer sur le port 11434 par défaut. Laissez cette fenêtre de terminal ouverte.
Téléchargement et exécution des modèles gpt-oss
Dans un nouveau terminal, vous pouvez maintenant télécharger et lancer les modèles. Pour le modèle léger gpt-oss-20b (idéal si vous avez 16 Go de RAM minimum) :
ollama pull gpt-oss:20b
ollama run gpt-oss:20b
Pour le modèle plus costaud gpt-oss-120b (nécessite au moins 80 Go de RAM ou un bon GPU) :
ollama pull gpt-oss:120b
ollama run gpt-oss:120b
Configuration du niveau de raisonnement
Une fonctionnalité sympa de ces modèles, c’est que vous pouvez ajuster l’effort de raisonnement selon vos besoins. Dans Ollama, vous pouvez configurer ça avec :
ollama run gpt-oss:20b --reasoning low # Pour des réponses rapides
ollama run gpt-oss:20b --reasoning medium # Équilibré (par défaut)
ollama run gpt-oss:20b --reasoning high # Pour des analyses complexes
Utilisation avec Python
Si vous préférez intégrer ça dans vos scripts Python, installez le package officiel :
pip install ollama
Puis utilisez-le comme ceci :
import ollama
response = ollama.chat(model='gpt-oss:20b', messages=[
{
'role': 'user',
'content': 'Explique-moi la différence entre un modèle open-weight et open-source',
},
])
print(response['message']['content'])
Alternative avec Hugging Face CLI
Si vous voulez télécharger directement depuis Hugging Face pour plus de contrôle :
# Installation de Hugging Face CLIpipinstallhuggingface-hub# Téléchargement de gpt-oss-20bhuggingface-clidownloadopenai/gpt-oss-20b--include"original/*"--local-dirgpt-oss-20b/# Téléchargement de gpt-oss-120bhuggingface-clidownloadopenai/gpt-oss-120b--include"original/*"--local-dirgpt-oss-120b/
Optimisations pour cartes NVIDIA RTX
Si vous avez une carte NVIDIA RTX, vous pouvez bénéficier d’optimisations spécifiques car Ollama détecte automatiquement votre GPU et applique les optimisations. Donc pour vérifier que votre GPU est bien détectée :
nvidia-smi # Pour voir votre GPU
ollama list # Pour voir les modèles disponibles
Quelques commandes utiles
Pour lister tous les modèles installés :
ollama list
Pour supprimer un modèle si vous manquez d’espace :
ollama rm gpt-oss:120b
Pour voir les logs et débugger si ça plante :
ollama logs
Le fait qu’OpenAI ait attendu mars pour annoncer ces modèles puis les ait retardés pour des tests de sécurité supplémentaires montre qu’ils prennent le sujet au sérieux. Eric Wallace, chercheur en sécurité chez OpenAI, explique qu’ils ont même fine-tuné les modèles en interne sur des scénarios à risque pour mesurer jusqu’où un “bad actor” pourrait les pousser. Résultat, les modèles n’ont pas atteint un niveau de risque élevé selon leur framework de préparation.
Pour finir, OpenAI s’est associé avec Azure, vLLM, llama.cpp, LM Studio, AWS, Fireworks, Together AI et plein d’autres plateformes pour rendre ces modèles accessibles partout. Microsoft propose même AI Foundry Local sur Windows où vous pouvez juste taper foundry model run gpt-oss-20b dans un terminal pour commencer.
Voilà, vous avez tout ce qu’il faut pour jouer avec les nouveaux jouets d’OpenAI. C’est quand même fou de voir OpenAI revenir à ses racines open source après toutes ces années à s’enfermer. Avec la licence Apache 2.0, vous pouvez utiliser ces modèles commercialement, les redistribuer, et les intégrer dans vos propres projets.
Pour plus d’infos, consultez le dépôt GitHub officiel ou la page Ollama dédiée. Allez-y, téléchargez, testez, et surtout, amusez-vous bien avec ces nouveaux modèles. Le futur de l’IA locale commence maintenant, et il est entre vos mains.
Microsoft vient de lever le voile sur un truc assez cool : Project IRE !
C’est un agent IA qui analyse et détecte les malwares en parfait autonomie. Plus besoin d’un expert humain pour décortiquer chaque fichier suspect, c’est l’IA qui s’en charge et elle le fait plutôt bien avec 98% de précision et seulement 2% de faux positifs sur un dataset de drivers Windows.
C’est du lourd car au lieu de se contenter d’une simple analyse par signatures comme les antivirus classiques, Project IRE fait de la vraie reverse engineering. L’agent décompile le code, reconstruit le graphe de flux de contrôle (control flow graph pour les intimes), analyse chaque fonction et génère un rapport détaillé expliquant pourquoi le fichier est malveillant ou non.
Pour faire tout ça, Microsoft s’appuie sur Azure AI Foundry et des outils de reverse engineering bien connus comme angr et Ghidra. Le processus commence ainsi par un triage automatique pour identifier le type de fichier et sa structure. Ensuite, l’IA reconstruit comment le programme s’exécute, analyse chaque fonction avec des modèles de langage spécialisés et compile tout dans une “chaîne de preuves” (chain of evidence).
Cette transparence est cruciale car elle permet aux équipes de sécurité de vérifier le raisonnement de l’IA et comprendre comment elle est arrivée à ses conclusions. Et surtout, les tests en conditions réelles sont prometteurs car sur 4000 fichiers que les systèmes automatisés de Microsoft n’arrivaient pas à classifier, Project IRE a correctement identifié 89% des fichiers malveillants avec seulement 4% de faux positifs.
Le seul bémol c’est le taux de détection global qui n’est que de 26%, ce qui signifie que l’IA rate encore pas mal de malwares. Mais comme le soulignent les chercheurs, cette combinaison de haute précision et faible taux d’erreur montre un vrai potentiel pour un déploiement futur.
Mike Walker, Research Manager chez Microsoft, raconte que dans plusieurs cas où l’IA et l’humain n’étaient pas d’accord, c’est l’IA qui avait raison. Ça montre bien que les forces complémentaires de l’humain et de l’IA peuvent vraiment améliorer la protection. Pour valider ses trouvailles, Project IRE utilise un outil de validation qui vérifie les affirmations du rapport contre la chaîne de preuves.
Cet outil s’appuie sur des déclarations d’experts en reverse engineering de l’équipe Project IRE et en combinant ces preuves et son modèle interne, le système produit un rapport final et classe le fichier comme malveillant ou bénin. L’objectif à terme est ambitieux puisqu’il s’agit de détecter automatiquement de nouveaux malwares directement en mémoire, à grande échelle.
Ce serait vraiment cool d’identifier des menaces avancées (APT) sans qu’un humain ait besoin d’intervenir. D’ailleurs, Project IRE a déjà réussi à créer le premier cas de conviction pour un malware APT chez Microsoft, sans aide humaine.
Pour l’instant, ça reste un prototype qui sera intégré plus tard dans Microsoft Defender comme outil d’analyse binaire mais les implications sont déjà énormes car les malwares deviennent de plus en plus sophistiqués et nombreux, et avoir une IA capable de les analyser automatiquement pourrait changer pas mal la lutte contre ces saloperies.
Alors oui, on n’est pas encore au point où l’IA remplace complètement les experts en sécurité mais on s’en rapproche et vu la pénurie de talents en cybersécurité et l’explosion du nombre de menaces, c’est plutôt une bonne nouvelle.
Imaginez pouvoir scanner votre propre installation Odoo comme un hacker éthique pour y débusquer toutes les failles en quelques minutes. Et bien c’est exactement ce que fait OdooMap créé par Mohamed Karrab et dispo sur GitHub. Avec plus de 7 millions d’entreprises qui utilisent Odoo dans le monde, les failles de sécurité peuvent coûter très cher, donc c’est super de s’y intéresser un minimum.
Pour ceux qui ne connaissent pas, Odoo c’est cet ERP open source hyper populaire qui gère tout dans une entreprise : ventes, stocks, comptabilité, RH, site web, et j’en passe. Le problème, c’est que beaucoup d’installations Odoo sont mal configurées ou pas à jour, ce qui les rend vulnérables. Et quand on sait que cet ERP contient littéralement toutes les données sensibles d’une boîte, ça fait froid dans le dos.
C’est là qu’OdooMap entre en jeu. Mohamed Karrab a développé cet outil de reconnaissance et de test de sécurité spécialement pour Odoo. Et c’est du sérieux car l’outil fait tout : détection de version, énumération des bases de données, vérification des permissions CRUD (Create, Read, Update, Delete), extraction de données, et même du brute-force sur les logins et le master password.
Ce qui est vraiment bien pensé, c’est que OdooMap couvre toutes les phases d’un test de sécurité. D’abord la reconnaissance pour identifier la version d’Odoo et récupérer les métadonnées. Ensuite l’énumération pour lister les bases de données accessibles et les modèles exposés. Puis l’authentification et la vérification des permissions pour voir ce qu’un utilisateur peut vraiment faire. Et enfin l’extraction de données depuis des modèles spécifiques si vous avez les droits.
L’installation est super simple. Vous clonez le repo GitHub, vous installez avec pipx (ou pip si vous préférez), et c’est parti. Le développeur recommande d’utiliser pipx pour éviter de polluer votre système Python, ce qui est une bonne pratique :
Les fonctionnalités de brute-force sont particulièrement intéressantes. Par exemple, OdooMap peut tester des credentials par défaut, utiliser vos propres listes de mots de passe, ou même attaquer le master password de la base de données. C’est exactement le genre d’attaques que les vrais hackers utiliseraient, donc autant les tester vous-même avant eux.
Pour un scan de base, c’est aussi simple que :
odoomap -u https://example.com
Mais la vraie puissance se révèle quand vous commencez à combiner les options. Par exemple, pour authentifier et énumérer les modèles :
L’outil a également la capacité d’extraire des données depuis des modèles spécifiques. Si vous avez accès à res.users ou res.partner par exemple, vous pouvez dumper toutes les infos comme ceci :
D’après mes recherches, les vulnérabilités les plus courantes dans Odoo incluent les failles XSS (Cross-Site Scripting), les problèmes de contrôle d’accès, les IDOR (Insecure Direct Object References) et les SSRF (Server-Side Request Forgery). OdooMap permet donc de tester une bonne partie de ces vulnérabilités, notamment les problèmes d’accès et d’authentification.
Ce qui est intéressant aussi, c’est que l’outil peut faire du brute-force sur les noms de modèles internes. Odoo a des centaines de modèles, et parfois certains sont exposés alors qu’ils ne devraient pas l’être. OdooMap peut les découvrir automatiquement :
Bien sûr, comme tout outil de sécurité, OdooMap doit être utilisé de manière responsable. Mohamed Karrab le rappelle clairement : c’est fait pour des tests autorisés uniquement. Utiliser cet outil sans permission, c’est illégal et vous risquez de gros problèmes avec la police (et pas la Municipale, hein ^^) !! Mais si vous gérez une installation Odoo ou si vous êtes mandaté pour faire un audit, c’est un must-have.
L’outil est sous licence Apache 2.0, donc totalement open source et gratuit et le code est en Python 3.9+, donc accessible si vous voulez comprendre comment ça fonctionne ou l’adapter à vos besoins.
Pour aller plus loin dans la sécurisation d’Odoo, je vous conseille de jeter un œil à la page officielle de sécurité d’Odoo. Ils prennent la sécurité au sérieux et encouragent la divulgation responsable des vulnérabilités.
Pour ceux qui cherchent d’autres outils de pentest, il y a évidemment les classiques comme Metasploit, Burp Suite ou Nessus mais l’avantage d’OdooMap, c’est qu’il est spécialisé pour Odoo. Il connaît les spécificités de cet ERP et peut donc aller beaucoup plus loin qu’un scanner générique.
Pour finir, un grand bravo à Mohamed Karrab pour cet outil !
Les bug bounty hunters n’ont qu’à bien se tenir car Google va bientôt tenter de les remplacer (comme ils ont déjà remplacé pas mal de créateurs web) grâce à leur nouvelle IA baptisée Big Sleep. En effet, celle-ci vient de prouver qu’elle peut détecter des failles de sécurité que même les meilleurs hackers humains ont loupées. Et je ne vous parle pas de petites vulnérabilités bidons, mais de véritables failles dans des logiciels critiques.
Vous vous souvenez quand je vous parlais de XBOW, cette IA qui était devenue numéro 1 sur HackerOne ? Eh bien Google vient de rentrer dans la danse avec Big Sleep, et visiblement ils ne sont pas venus pour rigoler. L’approche est différente mais tout aussi impressionnante.
Big Sleep, c’est le fruit d’une collaboration entre Google Project Zero (l’équipe d’élite qui trouve des failles zero-day) et DeepMind (les génies derrière AlphaGo). Ensemble, ils ont créé une IA capable d’analyser du code source et de détecter des vulnérabilités de manière autonome. Le nom “Big Sleep” vient d’ailleurs du roman noir de Raymond Chandler (lien affilié), un clin d’œil au côté détective de l’IA.
La première vraie victoire de Big Sleep, c’est donc d’avoir trouvé une vulnérabilité stack buffer underflow dans SQLite, la base de données la plus utilisée au monde. Cette faille était passée sous le radar de tous les outils de fuzzing traditionnels et des chercheurs humains. L’IA a réussi à l’identifier en analysant les patterns de code et en comprenant la logique profonde du programme.
Ce qui est vraiment fou avec Big Sleep, c’est sa capacité à comprendre le contexte et la sémantique du code car contrairement aux outils de fuzzing classiques qui bombardent le programme avec des données aléatoires pour voir s’il crashe, Big Sleep lit et comprend réellement ce que fait le code.
C’est la différence entre un lecteur de Korben.info qui lit l’un de mes articles et qui est content. Et un lecteur de Korben.info (ou pas d’ailleurs) qui lit l’un de mes articles en diagonale (ou juste le titre…lol), qui ne comprend rien et qui part ensuite m’insulter sur les réseaux sociaux ^^.
Google explique que Big Sleep utilise une approche en plusieurs étapes. D’abord, l’IA analyse le code source pour comprendre sa structure et son fonctionnement. Ensuite, elle identifie les zones potentiellement vulnérables en se basant sur des patterns connus mais aussi sur sa compréhension du flux de données. Enfin, elle génère des cas de test spécifiques pour confirmer l’existence de la vulnérabilité.
Les 20 vulnérabilités découvertes touchent différents types de logiciels, des bibliothèques système aux applications web. Google reste discret sur les détails exacts pour des raisons évidentes de sécurité, mais ils confirment que toutes les failles ont été corrigées avant toute exploitation malveillante. C’est le principe du responsible disclosure : on trouve, on prévient, on corrige, et seulement après on communique.
Ce qui différencie Big Sleep de XBOW, c’est surtout l’approche. Là où XBOW excelle dans les bug bounties publics avec une approche plus agressive, Big Sleep semble plutôt orienté vers l’analyse en profondeur de code complexe. Les deux IA sont donc complémentaires et montrent bien que l’avenir de la cybersécurité passera par ces assistants intelligents.
D’ailleurs, Google ne compte pas garder Big Sleep pour lui et l’équipe travaille sur une version open source qui permettra à la communauté de bénéficier de cette technologie. L’idée c’est de démocratiser la recherche de vulnérabilités pour que même les petites entreprises puissent sécuriser leur code.
Mais attention, tout n’est pas rose non plus car que se passera-t-il si des acteurs malveillants mettent la main sur ce genre d’IA ? La course aux armements entre attaquants et défenseurs risque de fortement s’accélérer drastiquement. Google assure avoir mis en place des garde-fous, mais on sait tous que dans le domaine de la sécurité, rien n’est jamais garanti à 100%.
Selon Google, Big Sleep peut analyser en quelques heures ce qui prendrait des semaines à une équipe humaine et contrairement à vous les vacanciers éternels, l’IA ne se fatigue pas, ne fait pas d’erreur d’inattention, et peut traiter des volumes de code monumentaux. Sur les 20 vulnérabilités trouvées, au moins 5 étaient considérées comme critiques avec un score CVSS supérieur à 8.
Pour voir les dernières découvertes de BigSleep c’est par ici.
L’objectif pour Google à terme c’est de créer une IA capable de comprendre non seulement le code, mais aussi l’intention derrière le code, donc si vous êtes développeur ou responsable sécurité, il est temps de prendre ce sujet au sérieux. Les IA comme Big Sleep et XBOW ne sont pas des gadgets, donc commencez à réfléchir à comment intégrer ces outils dans vos processus de développement et surtout, n’attendez pas que les attaquants s’en servent contre vous.
On le sait tous, utiliser des services de cloud comme OneDrive ou Google Drive nous expose à une violation de notre vie privée par des organismes gouvernementaux mais aussi à de simples piratages, ransomwares et fuites de données qui pourraient rendre publics nos fichiers.
Alors, si vous voulez vraiment utiliser ce genre de services, il n’y a qu’un seul moyen de protéger efficacement ses données : Les chiffrer.
Et pour chiffrer ses données avant de les envoyer là-bas loin, dans les data centers, il existe un soft gratuit et open source baptisé Duplicati pour vous aider.
Duplicati est un outil pour Windows, macOS et Linux qui vous permet de programmer des sauvegardes chiffrées des répertoires de votre choix. La version 2.1 stable apporte une refonte complète avec une interface web moderne accessible depuis votre navigateur et le chiffrement se fait toujours en AES-256 (ou GNU Privacy Guard si vous préférez), garantissant que vos fichiers sont sécurisés localement avant même de quitter votre machine.
Le logiciel supporte une liste impressionnante de destinations : serveurs personnels (via SFTP/FTP/WebDAV), mais aussi Google Drive, Dropbox, OneDrive, Backblaze B2, Amazon S3, MEGA, Box, et bien d’autres. Vous pouvez même sauvegarder sur des disques locaux, clés USB ou partages SMB.
Le système de sauvegarde incrémentale est particulièrement efficace… Après une première sauvegarde complète, seules les modifications sont envoyées. Si vous modifiez un document de 2 Mo dans un dossier de 10 Go, seuls ces 2 Mo seront transférés lors de la prochaine sauvegarde. Économie en bande passante et en espace disque !!
Le planificateur intégré vous permet aussi d’automatiser complètement vos sauvegardes. Plus besoin d’y penser, Duplicati s’occupe de tout aux heures que vous avez définies. Un système de notification vous prévient même des mises à jour disponibles.
Attention cependant, y’a quelques points de vigilance comme la base de données qui peut parfois se corrompre en cas de coupure pendant une sauvegarde, et l’interface qui propose tellement d’options avancées qu’il vaut mieux se documenter avant de toucher aux paramètres complexes. Si vous cherchez des alternatives, Rclone, Restic, Macrium Reflect ou Veeam sont aussi des options solides selon vos besoins.
Pour l’installation, rendez-vous sur le GitHub officiel, téléchargez la version pour votre OS et lancez l’installation. La configuration initiale est simple. Vous créez une nouvelle sauvegarde, sélectionnez vos dossiers, choisissez votre destination cloud, définissez un mot de passe de chiffrement (à conserver précieusement !), et vous programmez la fréquence.
Je vous conseille quand même de commencez avec un petit dossier de test pour vous familiariser avec l’interface et SURTOUT, testez régulièrement la restauration de vos fichiers, car une sauvegarde qu’on ne peut pas restaurer ne sert à rien !
Voilà avec toutes les menaces qui pèsent sur nos données, une solution de sauvegarde chiffrée n’est plus une option. Duplicati reste une excellente solution gratuite et open source pour protéger efficacement vos fichiers dans le cloud.
Article publié initialement le 25/11/2014 et mis à jour le 05/08/2025.
Et voilà encore une histoire à base d’Intelligence Artificielle qui va vous retourner le cerveau. Une équipe de chercheurs a lâché une IA sur des données de plasma poussiéreux, et elle a découvert des trucs que les physiciens avaient loupé pendant des années. Le plus foufou c’est qu’elle a même été capable de corriger des théories établies.
L’équipe de l’université Emory à Atlanta a fait quelque chose de complètement différent de ce qu’on voit habituellement avec l’IA. Au lieu de l’utiliser pour prédire des trucs ou nettoyer des données, ils l’ont entraînée à découvrir de nouvelles lois de la physique.
Pour cela, les chercheurs ont nourri leur réseau de neurones avec des données expérimentales issues d’un état de matière mystérieux appelé plasma poussiéreux. Pour faire simple, c’est un gaz super chaud, chargé électriquement et rempli de minuscules particules de poussière. On trouve ce truc partout dans l’univers, des anneaux de Saturne à la surface de la Lune, en passant par la fumée des incendies de forêt et vos dessous de bras quand vous ne vous lavez pas (non, je déconne).
Le problème avec ce plasma poussiéreux, c’est qu’il se comporte de manière vraiment bizarre. Les forces entre les particules ne suivent pas les règles habituelles. Une particule peut en attirer une autre, mais cette dernière la repousse en retour. C’est ce qu’on appelle des forces non-réciproques, et ça rend les physiciens complètement dingues depuis des années.
Pour réaliser cet exploit, l’équipe a construit un système d’imagerie 3D sophistiqué pour observer comment les particules de plastique se déplaçaient dans une chambre remplie de plasma. Ils ont utilisé une feuille laser et une caméra haute vitesse pour capturer des milliers de mouvements de particules minuscules en trois dimensions au fil du temps.
Ces trajectoires détaillées ont ensuite servi à entraîner un réseau de neurones sur mesure et. contrairement à la plupart des modèles d’IA qui ont besoin d’énormes ensembles de données, le réseau de l’équipe d’Emory a été entraîné sur un petit ensemble de données très riche. Et il a surtout été conçu avec des règles physiques intégrées, comme la prise en compte de la gravité, de la traînée et des forces entre particules.
Ilya Nemenman, co-auteur senior de l’étude et professeur à l’université, précise que “Quand vous explorez quelque chose de nouveau, vous n’avez pas beaucoup de données pour entraîner l’IA. Cela signifiait que nous devions concevoir un réseau de neurones qui pourrait être entraîné avec une petite quantité de données et apprendre quand même quelque chose de nouveau.”
Le réseau de neurones a donc décomposé le mouvement des particules en trois composantes : les effets de vitesse (comme la traînée), les forces environnementales (comme la gravité) et les forces interparticulaires. Cette approche a permis à l’IA d’apprendre des comportements complexes tout en respectant les principes physiques de base.
Et les résultats sont là !! L’IA a découvert des descriptions précises des forces non-réciproques avec une précision de plus de 99%. Elle a ainsi révélé qu’une particule en tête attire celle qui la suit, mais que la particule qui suit repousse celle qui la précède. Ce type d’interaction asymétrique avait été suspecté mais jamais clairement modélisé auparavant.
Je l’avoue, ce schéma est hors de ma portée mais je le trouvais cool alors je l’ai mis dans l’article
Mais attendez, ça devient encore plus intéressant car l’IA a également corrigé certaines hypothèses erronées qui façonnaient la théorie des plasmas depuis des années. Par exemple, on pensait que la charge électrique d’une particule augmentait exactement avec sa taille. Eh bien, c’est faux ! La relation dépend en fait de la densité et de la température du plasma environnant.
Une autre idée fausse était que la force entre les particules diminuait toujours de manière exponentielle avec la distance, quelle que soit leur taille. L’IA a révélé que cette diminution dépend aussi de la taille des particules, un détail que les scientifiques avaient complètement ignoré jusqu’à présent.
Et pour moi, le truc le plus impressionnant c’est que ce modèle d’IA a tourné sur un simple ordinateur de bureau. Pas besoin d’un supercalculateur ou d’une ferme de serveurs. Il a produit un cadre universel qui peut maintenant être appliqué à toutes sortes de systèmes à plusieurs particules, des mélanges de peinture aux cellules migrantes dans les organismes vivants.
Cette recherche démontre que l’IA peut aller bien au-delà du simple traitement de données. Elle peut réellement aider les scientifiques à découvrir les règles cachées qui gouvernent la nature.
L’étude a été publiée dans la revue Proceedings of the National Academy of Sciences (PNAS) et vous pouvez la consulter ici.
Les implications de cette découverte sont énormes car non seulement elle ouvre de nouvelles voies pour comprendre les plasmas poussiéreux, mais elle fournit également une méthode pour étudier d’autres systèmes complexes. Les chercheurs espèrent ainsi que leur approche par IA servira de point de départ pour déduire les lois de la dynamique d’une large gamme de systèmes à plusieurs corps.
L’avenir de la science va être prometteur et passionnant, je le sens !
Vous codez seul la nuit comme un petit lutin tout triste, paria de la société ? Et bien si je vous disais que vos collègues peuvent éditer vos fichiers en temps réel, directement dans votre Neovim ? Ce serait pas le feu ça ?
Ethersync vient de débarquer et c’est exactement ce qu’il propose à savoir transformer n’importe quel éditeur de texte en espace de collaboration instantané. Comme un Google Docs mais en local, peer-to-peer et chiffré.
Le projet a été présenté au FOSDEM 2025 par blinry, et la démo m’a scotché. En gros, vous tapez ethersync share dans votre terminal, un code apparaît du style “5-hamburger-endorse”, et de son côté, votre collègue tape ethersync join 5-hamburger-endorse et boom, vous éditez les mêmes fichiers en temps réel. Pas de serveur, pas de cloud, juste une connexion P2P chiffrée entre vos machines.
Ce qui rend Ethersync génial, c’est qu’il fonctionne avec VOTRE éditeur préféré. Neovim, VS Code, et bientôt Emacs et JetBrains grâce aux plugins communautaires en développement comme ça plus besoin de forcer tout le monde sur le même outil. Chacun garde ses habitudes, ses raccourcis, ses configurations. L’interopérabilité est totale !
Le secret technique derrière cette magie ce sont les CRDT (Conflict-free Replicated Data Types) via Automerge. En gros, c’est une structure de données qui permet à plusieurs personnes de modifier le même document sans créer de conflits. Chaque modification est enregistrée comme une opération, et l’algorithme sait comment les fusionner intelligemment. Même si vous travaillez hors ligne et que vous vous reconnectez plus tard, tout se synchronise nickel.
Mais Ethersync va plus loin qu’Etherpad ou Google Docs car il ne se contente pas d’un seul fichier mais synchronise des projets entiers ! Vous partagez un dossier, et tout ce qui s’y trouve devient collaboratif. Fichiers sources, documentation, configs… tout est synchronisé en temps réel ce qui en fait le complément parfait à Git pour la collaboration instantanée.
L’architecture est d’ailleurs brillante. Il y a un daemon qui tourne en arrière-plan et gère la synchronisation via Iroh (une bibliothèque Rust qui permet d’établir des connexions directes entre pairs via QUIC, avec du hole-punching et des relais de secours) ainsi que Magic Wormhole (que vous connaissez, pour l’établissement de connexion facile avec des codes courts).
Les éditeurs communiquent alors avec le daemon via un protocole JSON-RPC tout simple. Du coup, créer un nouveau plugin est relativement facile si vous voulez supporter votre éditeur exotique préféré.
Et surtout, niveau sécurité, c’est du solide. Comme, je vous le disais, toutes les connexions sont chiffrées de bout en bout, et y’a pas de serveur central qui pourrait être compromis. Comme ça, VOS données restent sur VOS machines et si même internet tombe parce que c’est la fin du monde, vous pourrez continuer à collaborer en local sur le même réseau.
Pour l’installer sous Linux/macOS, vous récupérez le binaire statique depuis GitHub, vous le mettez dans votre PATH, et c’est parti. Les utilisateurs d’Arch ont même un paquet AUR (yay -S ethersync-bin). Pour Android, ça marche dans Termux et pour les amateurs de Nix, il y a un flake officiel.
Ce projet est encore jeune et en développement actif mais l’équipe l’utilise au quotidien donc ça se bonifie avec le temps. D’ailleurs, la bonne nouvelle c’est que ça a été financé par NLNet via leur fonds NGI0 Core pour 2024, et par le Prototype Fund allemand pour 2025. Ça garantit comme ça un développement sérieux et en continu.
Bref, que ce soit pour du pair programming, mais aussi de la prise de notes collaborative, de la rédaction de documentation à plusieurs, de la sessions de debug en équipe…etc, ça devrait bien faire le taf et contrairement aux partages d’écran, chacun garde le contrôle de son environnement.
Si vous voulez tester, c’est le moment car le projet recherche des retours, des testeurs, et des contributeurs pour créer de nouveaux plugins. La documentation est claire, le code est propre et l’équipe est réactive !
De la collaboration fluide et instantanée, directement dans votre environnement de travail habituel, comme on aime !
2,4 milliards de dollars, c’est le montant des dégâts causés par un seul groupe de hackers russes entre 2019 et 2024. Et le truc marrant dans cette histoire c’est qu’en mai 2025, ces mêmes génies de la cybercriminalité se sont fait pirater par des hackers anonymes qui ont balancé tous leurs secrets sur Internet.
C’est vrai que j’ai toujours eu un faible pour les histoires de David contre Goliath, sauf que là, c’est l’inverse. C’est l’histoire de Goliath qui terrorise la planète entière avant de se prendre une pierre dans la gueule, et cette pierre, elle ne vient pas d’où vous croyez.
Le logo menaçant de LockBit qui a fait trembler des milliers d’entreprises
Septembre 2019, Dmitry Yuryevich Khoroshev, 26 ans, est développeur informatique lambda dans la grisaille de Omsk, en Sibérie. Le gars bosse probablement pour 300 euros par mois, galère à payer son appart communiste, et regarde les oligarques russes se goinfrer à la télé. Vous voyez le tableau ? Frustration maximale.
Alors Dmitry, il a une idée. Une idée de génie maléfique, si on peut dire. Au lieu de rester dans son coin à développer des sites web foireux, pourquoi ne pas créer le ransomware le plus puissant de la planète ? Après tout, c’est juste du code, et lui, il sait coder.
Les premières attaques commencent donc discrètement. Son bébé s’appelle encore “virus .abcd”, ouais, naze comme nom, hein ? C’est l’extension qu’il colle aux fichiers chiffrés. Mais bon, même Steve Jobs a commencé avec l’Apple I dans un garage. Dmitry, c’est pareil, sauf que son garage c’est l’internet russe et son Apple I c’est un malware qui va faire trembler Boeing et TSMC.
En janvier 2020, notre futur empereur du crime débarque sur un forum cybercriminel russophone et cette fois, il a trouvé le bon nom : LockBit. Percutant, efficace, ça sonne comme une marque de cadenas allemand. Et c’est exactement ça, un cadenas numérique inviolable sur vos données les plus précieuses.
Mais Dmitry, il est malin. Plus malin que tous ces script kiddies qui piratent 3 serveurs et se prennent pour Anonymous. Lui, il a compris le truc : pourquoi faire le boulot tout seul quand on peut créer une franchise criminelle ?
Vous connaissez le Software-as-a-Service ? Salesforce, Office 365, tout ça ? Et bien Dmitry a inventé le Crime-as-a-Service. Et franchement, côté business model, c’est du génie pur.
L’interface du site de leak de LockBit où les victimes voyaient leurs données exposées
Leur interface d’administrationn, c’est du niveau de ce qu’on fait en entreprise pour des clients légitimes. Interface point-and-click, tableaux de bord avec statistiques en temps réel, générateur automatique de ransomware personnalisé. Même leur FAQ était mieux foutue que celle de la plupart des startups parisiennes.
Mais le coup de génie, c’est le recrutement. LockBit ne prend pas n’importe qui. Non, ils chassent les experts en pentest qui maîtrisent Metasploit et Cobalt Strike. Des gars qui savent réellement s’infiltrer dans un réseau d’entreprise, pas juste télécharger un script sur GitHub. C’est la différence entre un cambrioleur amateur et un perceur de coffres-forts suisse.
Et contrairement aux autres gangs de ransomware qui se payent d’abord et donnent les miettes aux affiliés, LockBit fait l’inverse. Les affiliés touchent leur part directement, puis reversent la commission. C’est psychologiquement très fort car ça donne l’impression d’être un partenaire, pas un employé.
Puis en juin 2021, LockBit 2.0 débarque. Interface encore plus léchée, nouvelles fonctionnalités, vitesse de chiffrement améliorée. Dmitry soigne son produit comme Tim Cook soigne l’iPhone. Et ça marche ! Les affiliés se bousculent au portillon.
Mais parlons peu, parlons chiffres concrets. Selon les rapports du FBI, entre janvier 2020 et mai 2023, il y a eu plus de 1700 attaques rien qu’aux États-Unis et 91 millions de dollars de rançons payées officiellement. Et ça, c’est juste ce qu’on sait. La réalité doit être 5 fois plus importante.
Ce qui m’impressionne le plus, c’est quand même leur professionnalisme. Regardez leurs négociations avec les victimes (et oui, on peut les lire maintenant grâce aux fuites de 2025), c’est du niveau relation client d’Amazon. Ils expliquent le processus, rassurent sur la récupération des données, proposent même des facilités de paiement. Du grand art.
Le système technique de LockBit, c’est également du costaud. Chiffrement AES-256 bits combiné avec RSA-2048 pour les clés. Et surtout double extorsion systématique : on chiffre vos données ET on les exfiltre. Si vous ne payez pas, non seulement vous ne récupérez rien, mais en plus on balance tout sur le net. C’est vicieux mais efficace.
La vitesse de chiffrement ? C’est 100 000 fichiers par minute sur un serveur standard. Avec leur builder, en 3 clics, vous générez un ransomware personnalisé avec votre adresse Bitcoin, votre message de rançon, vos exclusions de fichiers. C’est le McDonald’s du crime, rapide, standardisé, efficace.
Dmitry, pendant ce temps, se paye une vie de milliardaire. 100 millions de dollars personnels. À 29 ans, parti de développeur sibérien à 300 euros par mois il vit son rêve russe, version cybercriminelle.
Sauf que comme tous les empires, LockBit avait ses failles. Et les gentils de ce monde préparaient leur contre-attaque.
Le site de LockBit après sa saisie lors de l’Opération Cronos - “Cette page est maintenant sous le contrôle des forces de l’ordre”
Février 2024 c’est l’Opération Cronos. Le nom fait classe, vous trouvez pas ? Cronos, le titan qui dévore ses enfants dans la mythologie grecque, c’est le symbole parfait pour une opération qui va bouffer LockBit de l’intérieur.
10 pays mobilisés. France, Royaume-Uni, États-Unis, Allemagne, Pays-Bas, Suisse, Japon, Australie, Canada, Suède. Quand vous voyez une coalition pareille, vous savez que ça va saigner. L’ANSSI, la Gendarmerie, le FBI, Europol selon le communiqué officiel… Tout l’alphabet de la lutte anti-cybercrime mobilisé. Et leur plan est chirurgical et impitoyable.
34 serveurs saisis d’un coup, 200 comptes cryptomonnaies gelés, 14 000 comptes en ligne fermés. Et surtout plus de 1000 clés de déchiffrement récupérées pour aider les victimes. C’est du level débarquement de Normandie, version bits et octets et en une nuit, 5 ans d’empire criminel réduits en cendres.
Et les détails personnels révélés sont nombreux… né le 17 avril 1993, passeport russe numéro 2006801524…etc. Le mec qui terrorisait la planète a maintenant sa date d’anniversaire sur Wikipedia. Happy birthday, Dmitry !
Dmitry Khoroshev sur l’affiche du FBI avec 10 millions de dollars de récompense
Bref, la machine de guerre LockBit, construite durant 5 ans, détruite en 48 heures. Game over.
Enfin… c’est ce qu’on croyait.
Parce que évidemment, Dmitry n’allait pas ranger ses affaires et ouvrir un kebab à Omsk. Quelques semaines après Cronos, LockBit refait surface. Sites web recréés, affiliés remobilisés, nouvelles victimes revendiquées. Le gars a même eu les couilles de narguer le FBI publiquement. “Le FBI bluffe, je ne suis pas Dmitry” a-t-il déclaré selon The Record. Bon, c’est pas exactement ce qu’il a dit parce que je ne parle pas russe, mais l’idée est là.
Et là, j’avoue, j’ai respecté. Pas pour le crime, hein. Mais pour la ténacité. Se faire démanteler par une coalition internationale et revenir au combat 3 semaines plus tard, faut avoir des burnes en titanium. Ou être complètement barré. Ou les deux.
LockBit 4.0 est même annoncé pour février 2025. Nouvelle version, nouvelles fonctionnalités, nouveau marketing. Dmitry fait du Steve Jobs version criminelle avec une keynote par an pour présenter les nouvelles features de son ransomware.
Sauf que cette fois, il y avait quelqu’un d’autre qui préparait un coup. Quelqu’un que personne n’avait vu venir.
Le message laissé par les mystérieux hackers de Prague : “Don’t do crime, crime is bad xoxo from Prague”
Mai 2025. Je suis tranquillement en train de checker mes flux RSS quand je tombe sur ça : “LockBit Infrastructure Breached”. Evidemment, je vérifie et là… bordel. Quelqu’un avait vraiment piraté LockBit. Pas les serveurs publics, non. Leur infrastructure interne. Le saint des saints. Leurs bases de données privées.
Le message sur leur site web défiguré est le suivant “Don’t do crime, crime is bad xoxo from Prague.” C’est exactement le même message que celui affiché après le piratage du groupe Everest en avril. C’est une signature, un trolling de niveau galactique.
Mais le meilleur restait à venir, parce que nos pirates anonymes, n’ont pas juste défiguré le site. Ils ont divulgué toute la base de données de LockBit. Absolument tout. 59 975 adresses Bitcoin, plus de 4400 conversations avec les victimes. Les mots de passe des admins stockés en clair. Les détails financiers. L’infrastructure technique. Les pseudos des affiliés. Même leurs querelles internes.
Bref, c’est une mine d’or pour comprendre comment fonctionne vraiment un empire criminel de l’intérieur.
Les mots de passe d’abord. “Weekendlover69”. “MovingBricks69420”. “Lockbitproud231”. Sérieusement ? L’empire cybercriminel le plus sophistiqué de la planète protégé par des mots de passe de collégien travaillé par ses hormones ?
Et puis les conversations internes, c’est bien naze… “I hate that idiot Leo.” “Too many ID chat windows, I will establish communication again later.” Des pirates épuisés, stressés, qui s’engueulent comme dans n’importe quelle boîte. La légende du cybercriminel concentré et froid qui s’effrite en direct…
Les chats internes de LockBit
Mais le plus humiliant, ce sont les statistiques commerciales. Sur 210 négociations de rançon entre décembre 2024 et avril 2025, seulement 15 ont abouti à un paiement. 7,1% de taux de conversion. 615 000 dollars récoltés sur la période, c’est le chiffre d’affaires d’une PME française lambda.
Hé oui, l’empire qui faisait trembler Boeing et TSMC génère moins de thunes qu’un salon de coiffure à Arras. C’est la vérité derrière le rideau de fer et cerise sur le gâteau, on a aussi accès à leurs outils d’attaque, les URLs pour tester les failles XSS, les domaines .onion sur TOR, les infrastructures automatisées…etc. Tout ça divulgué publiquement.
Mais au-delà de l’humiliation, ces fuites révèlent des trucs fascinants sur l’économie souterraine du ransomware. Parce que oui, c’est vraiment une économie, avec ses règles, ses acteurs, ses marges.
Le modèle RaaS de LockBit, c’est du franchising pur où l’affilié paie entre 40 et plusieurs milliers de dollars par mois pour accéder aux outils et en échange, il bénéficie de l’infrastructure, du support technique, et même de formations.
Leur panel d’administration est plus ergonomique que la plupart des outils légitimes que j’utilise au quotidien. Gestion des victimes, génération automatique de variants du ransomware, outils de chiffrement/déchiffrement, même un module de business intelligence pour analyser les performances.
Et leur support client avec les victimes est redoutable d’efficacité. Ils ont des templates, des procédures, des escalades. Comme dans n’importe quel centre d’appels, sauf qu’au lieu de vous vendre un crédit conso ou des panneaux solaires, ils vous expliquent comment payer 50 millions en Bitcoin.
Ce qui me fascine le plus, c’est leur compréhension de la psychologie des victimes. Ils rassurent, promettent la confidentialité, proposent des “tests” de déchiffrement pour prouver qu’ils peuvent vraiment récupérer les données et ils ont même des réductions pour payement rapide. C’est du marketing pur.
L’innovation continue aussi. StealBit, leur logiciel d’exfiltration de données maison, des mises à jour régulières du ransomware, une veille concurrentielle sur les autres gangs… Bref, c’est une vraie startup, qui est juste illégale.
Et surtout derrière les gros titres Boeing et TSMC, il y a des milliers de victimes invisibles. PME françaises, hôpitaux de province, mairies de communes de 2000 habitants. Eux, ils n’ont pas 200 millions en cash pour négocier. LockBit visait méthodiquement les maillons faibles.
Et puis il y a les hôpitaux. Corbeil-Essonnes en août 2022. Dix millions de dollars de rançon pour un hôpital public français. Vous imaginez la gueule du directeur quand il a découvert que tous les dossiers médicaux étaient chiffrés ? Les urgences à l’arrêt, les patients renvoyés dans d’autres établissements. Et Dmitry et sa bande, ils s’en foutent. Business is business.
Puis Cannes en avril 2024. Encore un hôpital français. Dmitry, il a visiblement un kink avec notre système de santé. Peut-être que sa mère a mal été soignée dans un hôpital russe et qu’il se venge sur nous ? Allez savoir la psychologie d’un cyber-psychopathe.
Ce qui me rend dingue, c’est cette asymétrie. On parle quand même d’un mec de 30 ans qui depuis son appart de Omsk, peut paralyser l’hôpital d’une ville de 50 000 habitants en France. 10 lignes de code bien placées et hop, 500 lits d’hôpital hors service.
LockBit avait pourtant promis de ne jamais attaquer les hôpitaux. Une “règle éthique” de leur programme RaaS, mais bon, l’éthique chez les criminels, c’est comme les promesses d’un politique, ça vaut pas tripette. Mais heureusement, il y a aussi les gentils. Et eux, ils ont pas chômé.
Car l’Opération Cronos selon la National Crime Agency, c’est pas juste de la com’. Derrière, il y a des centaines d’enquêteurs qui ont bossé pendant des années. Des types de l’ANSSI qui passent leurs nuits à traquer des serveurs en Ukraine. Des agents du FBI qui apprennent le russe pour infiltrer les forums. Des gendarmes français qui comprennent mieux les cryptomonnaies que 99% des français.
Et puis il y a les anonymes de Prague. Parce que oui, c’est forcément des Tchèques puisque le message le dit (lol). Ces gars-là, ils ont réussi là où 10 gouvernements avaient échoué. Infiltrer complètement LockBit et balancer toutes leurs données.
Ce qui me plaît surtout dans cette histoire, c’est qu’on voit que la tech peut être utilisée dans les deux sens. Dmitry a utilisé son talent pour faire du mal. Les anonymes de Prague ont utilisé le leur pour rétablir l’équilibre. Le code n’est ni bon ni mauvais, tout dépend de qui tape sur le clavier.
Entre juin 2022 et février 2024, plus de 7000 attaques utilisant LockBit ont eu lieu, soit un quart de toutes les attaques ransomware mondiales. Si c’était une entreprise légitime, elle serait dans le Fortune 500.
Alors qu’est-ce qu’on retient de cette saga ?
Et bien d’abord que personne n’est invincible sur internet. Dmitry se croyait intouchable, planqué derrière ses VPN et ses cryptomonnaies, résultat, il a sa photo d’identité publiée par le FBI et 10 millions de récompense sur sa tête.
Ensuite que la collaboration internationale peut fonctionner. Quand 10 pays décident de s’unir contre un ennemi commun, même le plus gros gang de cybercriminels du monde peut tomber. L’Opération Cronos, c’est la preuve que les gentils peuvent gagner quand ils s’y mettent sérieusement.
Et puis il y a cette leçon délicieuse : l’hubris tue toujours. Dmitry et sa bande se croyaient tellement supérieurs qu’ils ont négligé leur propre sécurité. Mots de passe ridicules, serveurs mal protégés, arrogance maximale. Et boom ! Piratés par des anonymes qui les ont ridiculisés publiquement.
Bref, la tech, c’est comme les arts martiaux. Plus tu montes en niveau, plus tu réalises que tu peux te faire battre par n’importe qui. L’humilité, n’est pas optionnelle dans ce métier.
Et maintenant ? Et bien Dmitry court toujours. Où qu’il soit planqué, il doit pas dormir tranquille. Ses 100 millions de dollars sont probablement encore accessibles, mais compliqués à utiliser car c’est difficile de mener la grande vie quand on est l’un des hommes les plus recherchés de la planète. Et puis maintenant, on connaît ses adresses Bitcoin donc chaque transaction est tracée…
Depuis la chute de LockBit, RansomHub a récupérè 41% du marché, BlackBasta se développe, Mora_001 utilise une variante de LockBit 3.0 comme base. Bref, l’empire est mort, mais l’ADN de LockBit survit.
En conclusion, le crime ne paie pas, surtout quand on commet les mêmes erreurs que ceux qu’on attaque…
Un artiste a transformé une cafetière des années 80 en PC gaming. Et ça marche ! Le café est bon aussi, il paraît…. En effet, Doug MacDowell nous prouve que la frontière entre génie et folie est parfois aussi fine qu’un filtre à café. Son Coffeematic PC est une machine qui défie toutes les lois du refroidissement informatique en utilisant du café chaud pour… refroidir son processeur. Pas de panique, je vais tout vous expliquer !!
L’histoire commence dans un magasin d’occasion durant l’hiver 2024. Doug cherchait le châssis parfait pour un ordinateur rétro gaming. Son regard s’est alors posé sur une magnifique cafetière General Electric Coffeematic des années 80. “Boxy yet athletic”, comme il la décrit. Un design qui ne s’embarrasse pas des considérations futures d’internet. Parfaite pour être hackée.
Et son concept est complètement barré car ce PC est entièrement fonctionnel, et la cafetière aussi. Elle percole du java comme n’importe quelle cafetière. Du café très chaud, à environ 90°C. Car là où les ordinateurs utilisent normalement des ventilateurs ou du watercooling pour réduire la chaleur, le Coffeematic PC fait exactement l’inverse. Il utilise le café brûlant qu’il prépare pour… chauffer ? refroidir ? caféiner ? son processeur !
Une pompe prend ce breuvage bouillant et le fait circuler à travers deux radiateurs placés sur le dessus de la machine. Le liquide descend ensuite vers un CPU (AMD Athlon II X4 640) niché dans une carte mère ASUS M2NPV-VM sanglée au dos de la cafetière. Le café continue ensuite son voyage à travers une artère qui le ramène dans la carafe. Et ça recommence, jusqu’à ce que le café soit “intégré à l’utilisateur” ou que la machine soit éteinte.
Normalement, un CPU doit rester froid et le café chaud. Les processeurs fonctionnent idéalement entre 30 et 70°C, et à 90°C on flirte avec la zone dangereuse où le CPU ralentit pour se protéger. Pourtant, malgré la circulation de café à 90°C, le Coffeematic PC ne plante pas.
Doug a écrit du code pour monitorer sa machine toutes les 5 secondes pendant 75 minutes et d’après ses résultats, sa machine est “presque auto-destructrice”. Le CPU, l’ensemble du système et son module circulatoire trouvent finalement leur équilibre à une température de 33°C, ce qui est étonnamment proche de celle du liquide qui circule en vous et moi. Un miracle thermodynamique qui défie toute logique de refroidissement PC.
Cela peut s’expliquer par le fait que ce grand volume de café en circulation dans de looong tuyaux fini par refroidir et dissiper à la fois sa propre chaleur mais aussi celle du processeur, sans oublier qu’il y a mis pas mal de radiateurs qui eux aussi participent à la dissipation thermique. Puis je crois aussi me souvenir pour en avoir eu un équivalent, que les processeurs Athlon AMD de l’époque étaient plutôt solide face à la canicule.
La liste des composants est un voyage temporel : une cafetière de la fin des années 70, une carte mère et un CPU des années 2000 récupérés dans un centre de recyclage, un SSD et du matériel moderne des années 2020.
Le tout tourne sous Linux Mint et la cafetière GE n’a nécessité qu’une réparation mineure à savoir remplacer un petit tube vinyle fissuré. Elle met bien sûr du temps à faire le café, mais une fois prêt… il a le goût d’un café fait dans une cafetière en plastique des années 70. Et ça c’est inimitable comme sensation !
Bref, vous l’aurez compris, on est plus dans un délire artistique que dans un véritable système de water-cooling euh pardon, de coffee-cooling ^^.
Et ce qui rend ce projet encore plus intéressant, c’est surtout qu’il s’inscrit dans une certaine lignée du hack de machines à café… Car Doug n’est pas le premier à fusionner café et informatique, mais il est probablement le premier à utiliser du café chaud comme méthode de refroidissement. L’histoire de cette “mode” commence en 2002 avec Nick Pelis et sa “Caffeine Machine”. Puis… plus rien pendant 15 ans. Un silence radio total dans le monde des ordinateurs-cafetières.
Mais la renaissance arrive en 2018 avec le “Zotac Mekspresso” d’Ali Abbas pour un salon et en 2019, un certain Logarythm crée le “Mr. Coffee PC” (le préféré de Doug pour sa simplicité). Enfin en 2024, la chaîne YouTube NerdForge construit un “PC that makes coffee”.
Et Doug vient donc compléter cette lignée avec son Coffeematic PC.
Mais alors pourquoi ce trou de 15 ans ? Les gens étaient-ils fatigués du café ? Doug ne le pense pas.
Pour comprendre, il a créé un graphique croisant la timeline des ordinateurs-cafetières avec les événements tech majeurs compilés par le Computer History Museum.
Entre 2002 et 2018, le monde a connu guerres, catastrophes naturelles, crises financières, et même l’apocalypse de 2012 selon le calendrier Maya. Mais en se concentrant sur la tech, Doug cherche des indices sur cette disparition de la créativité absurde. Facebook, Twitter, l’iPhone, Android… Est-ce que l’arrivée des réseaux sociaux et des smartphones a tué notre envie de créer des machines inutiles mais géniales ???
Suite à son invention, Doug a alors monté une expo appelée “Sparklines” où il explore ce mystère à travers des visualisations de données dessinées à la main. Il crée des portraits de ce qu’il appelle des “artistes-hackers”, utilisant des outils de dessin technique et un kit de lettrage vintage. C’est une jolie approche analogique pour documenter une créativité numérique.
Pour concevoir et construire son PC qui fait le café, Doug a passé environ un mois et ça lui a coûté dans les 300-400 dollars en pièces neuves (pompe, radiateurs, tuyaux alimentaires) + les composants recyclés.
Ainsi, son build traverse les époques, mélangeant des technologies de trois décennies différentes dans une seule machine totalement absurde.
Voilà, donc la prochaine fois que vous siroterez votre café devant votre PC bien ventilé, pensez au Coffeematic PC car vous pourriez peut-être faire pareil chez vous et voir circuler du café brûlant le long de votre processeur sans tout faire exploser. Car visiblement, on peut.
Vous pensiez que BitLocker était votre ami ? Celui qui protège gentiment vos données avec son chiffrement intégral du disque ?
Eh bien, Fabian Mosch vient de prouver lors de la conférence Troopers 2025 qu’on pouvait le transformer en complice involontaire pour des attaques plutôt vicieuses. Le principe, c’est qu’au lieu d’attaquer BitLocker frontalement (ce qui serait suicidaire vu la robustesse du chiffrement), la technique consiste à détourner ses mécanismes internes pour exécuter du code malveillant.
Comment ?
Et bien en exploitant le fait que BitLocker cherche à charger des objets COM qui n’existent pas. C’est le fameux CLSID A7A63E5C-3877-4840-8727-C1EA9D7A4D50 que le processus BaaUpdate.exe essaie désespérément de trouver à chaque fois qu’il se lance.
L’astuce ici, c’est donc d’utiliser WMI (Windows Management Instrumentation) pour créer à distance cette clé de registre manquante et y glisser le chemin vers une DLL malveillante.
Comme ça, quand BitLocker démarre, il charge gentiment votre code en pensant que c’est un composant légitime. Et le plus magique c’est que tout s’exécute sous l’identité de l’utilisateur connecté.
Alors si c’est un admin du domaine, je vous raconte pas le jackpot ! Pour prouver que ce n’est pas que de la théorie, l’équipe de r-tec Cyber Security a développé BitLockMove, un outil qui automatise toute l’attaque.
Le mode énumération permet d’abord de scanner les sessions actives sur une machine distante grâce aux API non documentées de winsta.dll et une fois qu’on a repéré un utilisateur intéressant (genre DOMAINE\Administrateur), on passe en mode attaque.
La séquence d’attaque est assez cool d’ailleurs :
Activation du service Remote Registry via WMI
Création de la clé de registre piégée
Déclenchement du processus BitLocker via l’interface BDEUILauncher
Exécution du code malveillant dans le contexte de l’utilisateur ciblé
Nettoyage des traces (suppression de la clé et de la DLL) Au fait, .
Ce qui rend cette technique particulièrement sournoise, c’est qu’elle abuse de processus Microsoft signés et légitimes. Par exemple, il y a BdeUISrv.exe, le processus qui finit par exécuter votre code, qui est un binaire officiel de Windows. Pour un EDR lambda, ça ressemble donc à du comportement normal de BitLocker.
Toutefois, ce n’est pas non plus la panacée pour les attaquants car il faut déjà avoir des privilèges d’administrateur local sur la machine cible. Ensuite, toute cette gymnastique laisse des traces exploitables. Le service Remote Registry qui passe de “désactivé” à “actif” puis retourne à “désactivé” en quelques secondes, c’est louche.
Les événements Windows 4657, 4660 et 4663 sur les clés de registre BitLocker, c’est donc un red flag énorme, sans parler des processus baaupdate.exe et BdeUISrv.exe qui apparaissent dans des contextes inhabituels.
Pour les défenseurs qui veulent mater leurs logs, voici les points de surveillance critiques :
Event ID 7040 pour les changements d’état du service Remote Registry
Surveillance des créations/suppressions sous HKEYCURRENTUSER\SOFTWARE\Classes\CLSID{A7A63E5C-3877-4840-8727-C1EA9D7A4D50}
Processus BdeUISrv.exe lancé par svchost.exe (au lieu du comportement normal)
Chargement des DLL winsta.dll ou wtsapi32.dll par des processus non standards
L’article original propose même des règles SIGMA toutes prêtes et des requêtes KQL pour Microsoft Defender for Endpoint. C’est du clé en main pour les équipes SOC qui veulent détecter cette technique.
Comme d’hab, la sécurité Windows reste un casse-tête car chaque fonctionnalité légitime introduit de nouvelles surfaces d’attaque. BitLocker protège vos données au repos, mais ses mécanismes internes deviennent des vecteurs d’attaque pour du “mouvement latéral” (c’est comme ça qu’on dit).
Pour ceux qui veulent creuser le sujet, le code de BitLockMove est disponible sur GitHub. Mais comme toujours avec ce genre d’outils, utilisez-le uniquement dans un cadre légal (tests d’intrusion autorisés, labos de recherche, etc.) sinon, vous allez finir en prison !!
Maintenant, reste à voir combien de temps il faudra à Microsoft pour patcher ce comportement… s’ils considèrent ça comme un bug, hein, et pas juste comme une “fonctionnalité” du système COM. On verra bien…
Vous êtes en train de lire tranquillement un long tuto, et voilà que votre écran s’éteint.
Relou, non ?
Alors si vous en avez marre de devoir toucher votre souris toutes les 30 secondes pour garder votre écran allumé, j’ai déniché un petit outil sympa qui va vous changer la vie : LumoSprite.
Le truc génial avec LumoSprite, c’est que c’est une application web toute simple qui empêche votre écran de s’endormir. Pas besoin d’installer quoi que ce soit, pas de logiciel lourd qui tourne en arrière-plan, juste une page web à garder ouverte.
C’est totalement gratuit et ça utilise la fameuse Wake Lock API pour faire sa magie. Pour ceux qui se demandent comment ça marche techniquement, la Screen Wake Lock API c’est une technologie web qui permet aux sites de demander au système de ne pas éteindre l’écran. Cette API est maintenant supportée par tous les navigateurs majeurs (Chrome, Safari, Firefox), ce qui rend l’outil super compatible.
Il suffit donc que votre navigateur supporte JavaScript et la Wake Lock API, et c’est parti. Vous arrivez sur le site, vous activez la fonction, et voilà, votre écran restera allumé tant que l’onglet est ouvert et au premier plan. L’outil propose même plusieurs langues (anglais, chinois, japonais, coréen… Pas de français encore) et différents thèmes pour personnaliser l’expérience.
C’est vraiment pensé pour être accessible à tous et les cas d’usage sont nombreux. Par exemple, vous lisez un livre numérique ou vous suivez une recette de cuisine sans avoir à toucher votre écran avec vos mains pleines de beurre ? Vous présentez quelque chose à distance ? Ou vous surveillez simplement un process au boulot ? Ça répond à tous ces besoins.
Des alternatives comme nosleep.page ou Keep Screen On proposent des fonctionnalités similaires mais LumoSprite se démarque par sa simplicité et son look sympa. Pas de fioritures inutiles non plus et niveau vie privée, c’est nickel puisque tout fonctionne localement dans votre navigateur, et qu’aucune donnée n’est collectée ou envoyée quelque part.
L’outil consomme d’ailleurs moins de 1% des ressources de votre machine, donc pas de souci pour la batterie ou les performances car c’est du JavaScript léger, qui fait juste ce qu’il faut. Après si vous cherchez une solution plus permanente, il existe aussi des extensions navigateur comme Keep Awake pour Chrome ou des solutions système comme PowerToys Awake pour Windows.
Mais franchement, pour un usage ponctuel, LumoSprite fait largement le job sans encombrer votre navigateur d’extensions supplémentaires.
Le succès de ce type d’outils montre bien qu’il y avait un vrai besoin. D’ailleurs, Betty Crocker (le site de cuisine américain) a vu une augmentation de 300% de l’intention d’achat après avoir implémenté la Wake Lock API sur leur site directement. Comme ça, les gens peuvent enfin suivre leurs recettes sans que l’écran s’éteigne toutes les deux minutes ! Pour un site de tuto, c’est peut-être un move pertinent.
Bref, si vous cherchez un moyen simple et efficace de garder votre écran allumé, foncez tester LumoSprite.
29 heures par semaine. C’est le temps qu’un gamin de 12 ans passe aujourd’hui sur son smartphone. Un mi-temps, quoi ! Et pendant que je tape ces lignes, des milliers de parents flippent en voyant leurs mômes hypnotisés par TikTok. Et je les comprends.
L’OMS vient de lâcher des chiffres qui donnent le vertige : entre 2018 et 2022, l’usage problématique des réseaux sociaux chez les ados est passé de 7% à 11%. Un ado sur dix, c’est énorme. Sans compter les 12% qui sont accros aux jeux vidéo et ne veulent rien faire d’autre. Autant dire qu’on a collectivement un sacré problème sur les bras.
C’est dans ce contexte, qu’un mouvement de résistance prend de l’ampleur. Le Smartphone Free Childhood, lancé par deux parents britanniques début 2024, cartonne méchamment et plus de 140 000 parents ont déjà signé leur pacte pour retarder l’arrivée du smartphone chez leurs gosses. Le truc a tellement pris qu’on retrouve des groupes similaires dans 60 pays, de l’Argentine à l’Ouzbékistan.
Jonathan Haidt, un prof qui a écrit “The Anxious Generation” (lien affilié), pousse le concept avec ses 4 règles simples : pas de smartphone avant 14 ans, pas de réseaux sociaux avant 16 ans, des écoles sans téléphones et surtout, redonner aux gamins une vraie enfance avec des activités dans le monde réel. Simple sur le papier, mais dans la pratique, c’est une autre paire de manches.
Le souci, c’est que quand vous êtes le seul parent à dire non au smartphone, votre gosse devient le paria de la cour de récré. “Mais tous mes copains en ont un !”… on la connaît tous celle-là. C’est pour ça que le mouvement mise sur l’action collective. Si tous les parents d’une classe ou d’une école s’y mettent ensemble, ça change la donne.
Bon, c’est bien beau tout ça, mais là c’est les vacances, on bosse tous en télétravail, et on a en même temps les enfants dans le collimateur. Alors concrètement, on fait quoi pour occuper nos chères têtes blondes sans écrans ? C’est là qu’intervient Offline Kids, un site lancé en 2025 qui propose des activités sans écran pour les 2-10 ans. Le concept est malin car tout est classé par durée (de 15 minutes à 2 heures), par âge, par type d’activité et même par niveau de bordel que ça va mettre dans votre salon.
Le site propose des trucs variés : arts créatifs, jeux, musique, danse, activités d’extérieur… Y’a même une catégorie “life skills” pour apprendre aux gamins des trucs utiles. Et franchement, quand je vois certaines idées, ça me rappelle ma propre enfance. Genre faire des châteaux avec des cartons Amazon (au moins ils servent à quelque chose), organiser des chasses au trésor dans le jardin ou apprendre à faire des crêpes.
Ce qui est cool, c’est qu’ils ont pensé aux parents crevés. Y’a toute une section d’activités que les gosses peuvent faire en autonomie pendant que vous êtes en call ou en train de préparer le dîner. Parce que oui, on a tous déjà autoriser plus d’heures de console ou de télévision pour avoir la paix pendant une conf call importante.
Et en France, on n’est pas en reste notamment avec le Défi Déconnexion 2025 qui mobilise parents, profs et animateurs pour créer des alternatives aux écrans. Car ce n’est pas en fliquant les gamins qu’on va s’en sortir, mais en proposant des activités qui les éclatent vraiment. D’ailleurs, les bénéfices d’une digital detox en famille sont prouvés : meilleure communication, plus de créativité, amélioration de la concentration et des résultats scolaires. Sans parler du sommeil qui revient et de l’anxiété qui diminue. Mais le plus important, c’est peut-être de retrouver du temps ensemble, du vrai temps, pas juste coexister dans la même pièce chacun sur son écran.
Alors oui, c’est pas facile. Les écrans, c’est pratique, ça occupe, ça calme. Mais quand on voit que depuis 2010, le temps que les ados passent avec leurs potes a chuté de 65%, y’a de quoi se poser des questions. On est en train de fabriquer une génération de gosses qui savent swiper avant de savoir lacer leurs chaussures.
D’ailleurs, j’avais déjà parlé des dangers des smartphones avant 13 ans et franchement, toutes ces nouvelles études ne font que le confirmer. Et le mouvement prend de l’ampleur puisque des célébrités comme Benedict Cumberbatch ont signé le pacte. Des écoles entières passent ainsi en mode “smartphone free”.
Maintenant, pour ceux qui veulent tenter l’aventure, le site Offline Kids est un bon point de départ. C’est tout en anglais mais bon, je pense que vous êtes assez malin pour traduire tout ça comme des grands. En plus, les activités sont simples, pas chères et testées par de vrais parents. Et surtout, pas besoin de matériel compliqué… Il faut juste un peu d’imagination et de bonne volonté. Et si ça permet de retrouver des moments de complicité avec vos gamins, ça vaut le coup d’essayer, non ?
Parce qu’au final, nos gosses n’ont qu’une enfance et elle est trop courte pour la passer derrière un écran. (Dis le vieux con qui a passé la sienne devant le Club Dorothée ^^)
Connexion
