Ceci est une histoire qui a fait trembler la première puissance militaire du monde. On est en février 1998 et les États-Unis sont à deux doigts de bombarder l’Irak de Saddam Hussein qui vient de virer les inspecteurs de l’ONU. La tension est électrique. Les Marines déploient leurs troupes dans le Golfe. Et là, sans prévenir, le Pentagone se fait hacker comme jamais.

Et pas juste un petit piratage de rien du tout, hein, car plus de 500 systèmes militaires et gouvernementaux compromis en trois semaines : NASA, Air Force, Navy, MIT, Lawrence Livermore (le labo qui conçoit les bombes atomiques américaines), et j’en passe. John Hamre, le numéro 2 de la Défense américaine, déclare alors que c’est “l’attaque la plus organisée et systématique que le Pentagone ait jamais vue”. La panique est totale !

Du coup, NSA, CIA, FBI, Defense Information Systems Agency, Air Force Office of Special Investigations, ministère de la Justice… Tout le gratin du renseignement américain se mobilise. Les briefings remontent jusqu’au bureau ovale, jusqu’à Bill Clinton himself. Et leur conclusion, c’est que c’est forcément Saddam qui lance la cyberguerre pour paralyser l’armée américaine avant les frappes… Non ?

L’histoire commence donc le 1er février 1998. Un dimanche soir tranquille au Pentagone. Sauf que dans les sous-sols du bâtiment, les systèmes ASIM (Automated Security Incident Monitors) de l’Air Force commencent à gueuler. Quelqu’un vient de s’introduire dans les serveurs de la Garde nationale aérienne à Andrews Air Force Base, dans le Maryland. Et pas n’importe comment puisque l’intrus a chopé les droits root, soit le Saint Graal absolu pour un hacker.

Le lendemain, 2 février, c’est la grosse panique. L’équipe de réponse aux urgences informatiques de l’Air Force (AFCERT) à Kelly Air Force Base au Texas découvre que ce n’est pas un incident isolé. D’autres bases militaires se font défoncer… Kirtland au Nouveau-Mexique, Lackland au Texas, Columbus dans le Mississippi, Gunter dans l’Alabama. L’attaque se propage comme une traînée de poudre.

Les experts du Pentagone analysent alors rapidement le mode opératoire et là, premère surprise, les hackers exploitent une vulnérabilité vieille comme le monde dans Solaris 2.4, le système d’exploitation Unix de Sun Microsystems. La faille “statd”, connue depuis 1996 (!), offre un joli buffer overflow dans le service RPC. En gros, vous envoyez un nom de fichier trop long bourré de shellcode, et pouf, ça permet d’exécuter du code arbitraire avec les privilèges root.

D’où le nom de code donné à l’incident : “Solar Sunrise” (Lever de Soleil Solaire). Un jeu de mots pourri entre Sun/Solaris et le fait que ça se passe au lever du jour. Les militaires et leur sens de l’humour…

Et une fois dans la place, les attaquants installent des analyseurs de paquets et des chevaux de Troie pour maintenir leur accès. Ils capturent ainsi tous les mots de passe qui transitent sur le réseau avec leurs sniffers. C’est méthodique, efficace, imparable et les serveurs DNS tombent comme des dominos.

Mais ce qui terrifie vraiment les stratèges du Pentagone, c’est le timing car on est en pleine crise diplomatique avec l’Irak. Les inspecteurs de l’ONU viennent d’être expulsés. Les porte-avions américains convergent vers le Golfe Persique. Et maintenant, les systèmes militaires se font pirater systématiquement. Pour les analystes, c’est évident : Saddam Hussein lance une cyberguerre pour aveugler l’armée américaine.

Richard Clarke, le coordinateur national pour la sécurité et le contre-terrorisme à la Maison Blanche, avouera plus tard que “Pendant des jours, des jours critiques alors que nous essayions d’envoyer des forces dans le Golfe, nous ne savions pas qui faisait ça. Nous avons donc supposé que c’était l’Irak.”

Le 3 février, l’affaire remonte jusqu’au bureau ovale. Le président Bill Clinton est briefé personnellement sur cette cyberattaque sans précédent. La situation est grave. Certes, les hackers n’ont pas touché aux systèmes classifiés (ouf), mais ils ont accès aux systèmes de logistique, d’administration et de comptabilité. Ce sont les nerfs et les muscles de l’armée américaine et sans eux, impossible de déployer des troupes ou de coordonner les opérations.

John Hamre prend alors personnellement les choses en main. Diplômé de Harvard, ancien analyste au Congressional Budget Office, Hamre n’est pas du genre à paniquer pour un rien. Mais là, il est vraiment inquiet. “C’est l’attaque la plus organisée et systématique que nous ayons jamais vue”, répète-t-il lors des briefings tendus au Pentagone.

L’enquête mobilise des moyens colossaux. Des mandats judiciaires sont obtenus en urgence pour tracer les connexions des pirates, mais les attaquants sont malins : ils rebondissent sur des serveurs dans le monde entier pour brouiller les pistes. Les enquêteurs identifient des connexions passant par les Émirats arabes unis, via un FAI appelé Emirnet alors pour les analystes paranos, c’est un indice de plus qui pointe vers le Moyen-Orient.

Et le 11 février, première percée. Les agents du FBI interceptent des communications entre les pirates sur IRC (Internet Relay Chat). C’est l’ancêtre de Discord pour les plus jeunes d’entre vous. Les pseudos utilisés sont “Makaveli”, “Stimpy”, et un certain “Analyzer” qui semble être le chef de bande. Les conversations sont édifiantes. Ils parlent de leurs exploits comme des gamers qui viennent de finir un niveau difficile.

Et grâce aux logs IRC mais aussi à un informateur (d’après les rumeurs, c’est probablement John Vranesevich d’AntiOnline, mais chut…), les enquêteurs remontent jusqu’à deux lycéens de Cloverdale, une petite ville paumée du nord de la Californie, à 140 kilomètres au nord de San Francisco. Population : 8 000 habitants. Nombre de hackers internationaux recherchés par le Pentagone : 2.

Seulement voilà, John Hamre fait une bourde monumentale. Lors d’un briefing avec des journalistes, il laisse échapper que les suspects sont “des gamins vivant dans le nord de la Californie”. L’info fuite immédiatement sur CNN. Du coup, les enquêteurs doivent accélérer avant que les hackers voient les infos et effacent toutes les preuves.

Et le 25 février 1998, à 6 heures du matin, le FBI débarque simultanément à deux adresses de Cloverdale. Première maison : le lycéen de 16 ans qui se fait appeler Makaveli. Deuxième maison : son pote de 15 ans, alias Stimpy. Les agents saisissent tout… ordinateurs, modems, piles de CD-ROM, carnets de notes remplis de mots de passe…

Les parents tombent des nues. Leur fils, un cyber-terroriste international ? Impossible ! Makaveli est juste un lycéen un peu geek, qui passe trop de temps sur son PC au lieu de faire ses devoirs. Stimpy, c’est pareil, un gamin passionné d’informatique qui étudie aussi la musique.

Mais pendant l’interrogatoire, Makaveli craque rapidement. Les agents s’attendent à des révélations sur un complot international, des liens avec des services secrets étrangers, ou que sais-je mais au lieu de ça, quand ils lui demandent pourquoi il a hacké le Pentagone, il répond : “It’s power, dude. You know, power.”

Les enquêteurs se regardent, interloqués. Trois semaines de mobilisation générale, des briefings présidentiels, la quasi-guerre avec l’Irak… pour un ado qui voulait se la péter ? Makaveli ajoute qu’il a un mentor à l’étranger qui lui a “tout appris”, un type “tellement bon qu’ils ne le trouveront jamais” et qui aurait piraté 400 sites militaires.

Les écoutes révèlent alors l’identité du troisième larron : “The Analyzer”, de son vrai nom Ehud Tenenbaum, 18 ans, Israélien. Né le 29 août 1979 à Hod HaSharon près de Tel Aviv, c’est lui le cerveau du groupe de hackers “The Enforcers” (Les Exécuteurs).

Et là, Tenenbaum fait un truc complètement dingue. Deux jours après l’arrestation de ses disciples américains, au lieu de se planquer ou de détruire les preuves, il accepte une interview en ligne avec AntiOnline. Genre, tranquille. Et il balance tout… les 400 sites piratés, les mots de passe, les vulnérabilités tout en se justifiant : “J’aide toujours les serveurs que je pirate. Je patche les trous que je trouve.” Robin des Bois 2.0, en somme.

L’interview fait l’effet d’une bombe. Non seulement ce gamin nargue ouvertement le gouvernement américain, mais en plus il prouve ses dires en publiant des dizaines de logins et mots de passe authentiques de sites en .mil. Le Pentagone est ridiculisé publiquement par un ado de 18 ans.

Les Américains mettent alors la pression sur Israël et le 18 mars 1998, la police israélienne arrête Ehud Tenenbaum dans sa maison. Brillant, persuadé de rendre service en exposant les failles, il correspond parfaitement au profil du hacker prodige mais arrogant. Deux autres membres de son groupe sont également interpellés, mais Tenenbaum est clairement le boss.

Janet Reno, la procureure générale des États-Unis, tente de sauver la face : “Cette arrestation devrait envoyer un message à tous les hackers potentiels dans le monde.” Mouais. Dans les couloirs du Pentagone, c’est plutôt la gueule de bois. Comment trois ados ont-ils pu mettre en échec tout l’appareil de cyberdéfense américain ?

Le procès est une blague. Les deux Californiens, mineurs au moment des faits, plaident coupables de délinquance juvénile. Pas de prison, juste de la probation et l’interdiction de toucher un ordi. La liste trouvée chez Makaveli contenait près de 200 serveurs piratés, dont le Lawrence Livermore National Laboratory. C’est “juste” le labo qui fabrique les armes nucléaires. Mais bon, “curiosité adolescente”, qu’ils disent.

Pour Tenenbaum, le procès traîne durant trois ans. En juin 2001, il écope de… six mois de travaux d’intérêt général, un an de probation, deux ans de sursis, et 18 000 dollars d’amende. Pour avoir ridiculisé la cyberdéfense américaine, ça passe ^^. À la sortie du tribunal, il déclarera : “Je voulais juste prouver que leurs systèmes étaient troués comme du gruyère.” Mission accomplie, effectivement.

Mais attendez, l’histoire ne s’arrête pas là car en 2003, libéré de ses obligations judiciaires, Tenenbaum fonde sa propre boîte de sécurité informatique baptisée “2XS”. L’ancien pirate devient consultant. C’est un classique, sauf qu’il n’a pas vraiment retenu la leçon…

Septembre 2008, rebelote. La police canadienne l’arrête à Montréal avec trois complices. Cette fois, c’est du lourd : piratage de banques, vol de données de cartes bancaires, détournement de 1,8 million de dollars via des distributeurs automatiques. En fait, depuis son appart montréalais, il augmentait les limites des cartes prépayées pour vider les DAB. Au total, les pertes s’élèvent à plus de 10 millions de dollars.

Extradé aux États-Unis, Tenenbaum passe alors plus d’un an en détention. En 2012, il plaide coupable et s’en tire avec le temps déjà passé en prison. Depuis, plus personne n’entend parler de lui. The Analyzer a enfin compris que “le pouvoir, mec” avait ses limites.

Mais revenons à l’impact de Solar Sunrise. Pour la première fois, le Pentagone réalise l’ampleur de sa vulnérabilité. Les patchs de sécurité pour la faille statd existaient depuis des mois, mais personne ne les avait installés. Procrastination, manque de personnel, négligence… Les excuses habituelles qui coûtent cher.

John Hamre reconnaîtra plus tard que Solar Sunrise a été une piqure de rappel salutaire : “Nous pensions que nos systèmes étaient sûrs parce qu’ils étaient complexes. On a découvert que la complexité créait des vulnérabilités.” Du coup, refonte massive, création du Joint Task Force-Computer Network Defense, investissement de milliards dans la cybersécurité, formation du personnel…

Le FBI produit même un film de formation de 18 minutes baptisé “Solar Sunrise: Dawn of a New Threat”, vendu jusqu’en 2004. On y voit des reconstitutions dramatiques avec de la musique anxiogène et le message c’est que la cyberguerre est réelle, même si les premiers cyber-soldats sont des ados boutonneux en pyjama.

L’incident révèle surtout le problème crucial de l’attribution dans le cyberespace car comment distinguer un gamin dans sa chambre d’une unité d’élite du renseignement militaire ? Encore aujourd’hui, les indices techniques sont trompeurs, car les hackers “rebondissent” à travers le monde.

Solar Sunrise marque aussi l’émergence des collectifs de hackers. Fini le pirate solitaire. Makaveli, Stimpy et Analyzer forment un groupe, échangent des techniques, se motivent. Pour Makaveli et Stimpy, l’aventure s’est arrêté brutalement. Certains racontent que Makaveli s’est reconverti dans la cybersécurité et que Stimpy, traumatisé, aurait complètement décroché de l’informatique. Mais leur petite phrase “It’s power, dude” est devenue culte dans la communauté hacker.

Alors la prochaine fois que vous ignorez une mise à jour de sécurité, pensez à Solar Sunrise et à ces 3 semaines où l’Amérique a cru que Saddam lançait la cyberguerre alors que c’était juste quelques ados qui s’amusaient à prendre le “pouvoir”.

Sources : National Security Archive - Solar Sunrise After 25 Years, Wikipedia - Ehud Tenenbaum, The Register - Solar Sunrise hacker ‘Analyzer’ escapes jail, InformIT - The Solar Sunrise Case, SF Gate - Hacker Hits Net Company That Tipped FBI to Teens, Insecure.org - Solaris Statd exploit

Si vous vous intéressez au référencement, ce que je vais vous raconter aujourd’hui risque de chambouler pas mal de vos certitudes sur le SEO. En effet, un chercheur vient de découvrir 59 facteurs de ranking cachés dans l’algorithme de Perplexity AI, et autant vous dire que ça change complètement la donne pour tous ceux qui veulent être visibles sur ce moteur de recherche IA.

Si vous ne connaissez pas encore Perplexity et bien c’est pas grave, je vous explique ! C’est un site qui combine un LLM avec un moteur de recherche traditionnel ce qui lui permet d’éviter la plupart du temps, les fameuses hallucinations de l’IA. Mais ce qu’on ne savait pas jusqu’à maintenant, c’est comment ce truc décide exactement quel contenu mérite d’apparaître dans ses réponses. Et vous allez voir, ce système est d’une complexité hallucinante.

Il y a d’abord ce qu’ils appellent le newpostimpression_threshold. C’est une fenêtre critique qui apparait juste après la publication et où tout se joue. Si votre contenu ne performe pas dans les premières minutes (littéralement), vous êtes grillé pour toujours. C’est brutal mais c’est comme ça que l’algorithme fonctionne.

D’ailleurs, l’algorithme Sonar de Perplexity (oui, ils lui ont donné un petit nom, c’est meugnon) est complètement obsédé par la fraîcheur du contenu. Sonar prend le système QDF de Google et le pousse à son maximum. Même une modification mineure remet complètement à zéro le chrono de fraîcheur. Du coup, certains malins automatisent des updates hebdomadaires juste pour rester dans la course.

Mais attendez, ça devient encore plus intéressant car le système utilise aussi un reranker machine learning à trois couches (L3) pour les recherches d’entités. En gros, après avoir récupéré les résultats initiaux, l’algo applique des filtres ML super stricts et si trop peu de résultats passent le seuil, hop, toute la liste part à la poubelle. C’est du tout ou rien.

Un autre pattern complètement loufoque, ce sont les titres YouTube qui obtiennent une visibilité boostée sur les deux plateformes, s’il correspondent exactement aux requêtes trending sur Perplexity. Ça suggère donc une validation croisée entre YouTube et Perplexity. Le système récompense ceux qui réagissent vite sur les sujets émergents.

Pour le contenu structuré, c’est également la fête du FAQ Schema. Les blocs JSON-LD avec @type: FAQPage doublent littéralement la fréquence de citation dans les tests A/B. Perplexity adore ces chunks sémantiques bien découpés qui s’alignent parfaitement avec la logique de récupération des LLM.

Et puis il y a cette histoire de PDFs qui défie toute logique. Un PDF obtient en moyenne 1,6 citations pour 100 requêtes contre 1,3 pour le même contenu en HTML. Ça peut paraître insignifiant, mais multipliez ça par le volume de recherches et vous comprenez vite l’intérêt.

Le système maintient aussi des listes manuelles de domaines autoritaires (Amazon, GitHub, LinkedIn, Coursera…) comme ça, si votre contenu est lié ou référencé par ces plateformes, vous bénéficiez automatiquement d’un boost d’autorité. C’est du favoritisme assumé, mais ça marche.

Pour ceux qui veulent optimiser leur contenu, pensez donc à le structurer avec des H1-H4, des bullet points, des listes numérotées car ces formats facilitent l’extraction par l’IA et améliorent vos chances d’être cité. Simple mais efficace. Perso, je ne mets jamais trop de liste ou d’inter-titres dans mes articles mais c’est encore à ma portée.

Le système privilégie aussi certains topics avec des multiplicateurs de visibilité différents. L’IA, la tech, la science et le business analytics sont les grands gagnants donc si vous écrivez sur ces sujets, vous partez avec un avantage naturel.

Un autre détail technique important c’est il existe un schéma cryptographique “weak” au niveau des requêtes du navigateur qui gouverne l’évaluation du contenu. Les signaux passent par cette couche additionnelle invisible via l’API standard, ce qui explique pourquoi certains contenus semblent avoir des avantages inexpliqués.

La fonction Deep Research de Perplexity décompose aussi automatiquement les questions complexes en sous-tâches, consulte diverses sources spécialisées et compile tout ça en rapport détaillé. C’est cette capacité qui rend l’optimisation si différente du SEO classique.

Bref, on est en plein dans du GEO (Generative Engine Optimization) qui est en train de remplacer progressivement le SEO traditionnel. Les règles changent complètement et s’en est fini du bourrage de mots-clés… Maintenant, place à la richesse sémantique et à la structuration intelligente du contenu.

Donc pour maximiser vos chances, voici la stratégie gagnante : Publiez fréquemment du contenu ultra-frais, structurez-le parfaitement avec du schema markup FAQ, créez des clusters de contenu interconnectés, et surtout, surtout, assurez-vous que les premières minutes après publication soient explosives en termes d’engagement.

Le time decay est impitoyable sur Perplexity et votre contenu perd exponentiellement en visibilité au fil du temps. C’est pourquoi les updates réguliers ne sont pas une option mais une nécessité absolue. Certains créateurs programment des rafraîchissements automatiques toutes les semaines juste pour maintenir leur position.

Perso, ça me parait compliqué à mon échelle de gérer tout ça, donc je vais passer mon tour et laisser mes collègues média bien se prendre le chou pour se faire indexer du mieux qu’ils peuvent. Vous me raconterez, moi j’ai la flemme ! Je compte uniquement sur mon flux RSS maintenant et sur les gens qui mettent korben.info en page d’accueil (ou qui installent ce plugin). Et advienne que pourra…

Ce qu’il faut retenir, c’est que Perplexity est très fort pour valider la pertinence en temps réel. Le système analyse les embeddings avec des seuils de similarité sophistiqués, traque l’engagement utilisateur de manière ultra-précise, et récompense les réseaux de contenu interconnectés qui démontrent une expertise par sujet.

Bref, je vous laisse lire tout ça mais ces 59 facteurs révèlent un algorithme d’une complexité insoupçonnée qui mélange machine learning avancé, signaux temps réel et validation cross-platform. J’sais pas si Google est au point là dessus, mais je leur souhaite aussi bon courage !

Et un grand merci à Lorenper pour l’info !

Source

Bon, je vais encore vous raconter un truc qui devrait vous filer des sueurs froides. Désolé ^^.

En juillet dernier, des prix Nobel se sont réunis à l’Université de Chicago pour écouter des experts du nucléaire leur expliquer comment le monde pourrait finir. Et devinez quoi ? Ils sont tous d’accord sur un point : l’IA va bientôt s’infiltrer dans les systèmes d’armes nucléaires. C’est pas une question de “si”, c’est simplement une question de “quand”.

Bob Latiff, un général de l’US Air Force à la retraite qui aide à régler l’horloge de l’apocalypse chaque année, compare l’IA à l’électricité : “Ça va s’infiltrer partout”. Et quand un mec qui s’occupe littéralement de l’heure de la fin du monde dit ça, j’sais pas vous, mais moi je commences à me poser des questions.

Le problème, c’est que personne ne sait vraiment ce que ça signifie de donner le contrôle d’armes nucléaires à une IA. Jon Wolfsthal, ancien assistant spécial de Barack Obama et maintenant directeur du risque global à la Federation of American Scientists, le dit tout de go : “Personne ne sait vraiment ce qu’est l’IA”. C’est vrai ça, on parle de quoi exactement ? De ChatGPT avec les codes nucléaires ? D’une puce qui décide de lancer des missiles ?

Rassurez-vous (ou pas), tous les experts s’accordent pour dire que ChatGPT ou Grok n’auront pas les codes nucléaires de sitôt, par contre, Wolfsthal a entendu des trucs flippants dans les couloirs du pouvoir américain. Des gens proposent sérieusement de créer des LLM pour simuler Putin ou Xi Jinping, histoire d’aider le président à anticiper leurs réactions. “Super idée”, dit Wolfsthal, “mais comment tu sais que Putin croit vraiment ce qu’il dit ou écrit ?”

L’année dernière, le général Anthony J. Cotton, le chef militaire en charge de l’arsenal nucléaire américain, a fait également un long discours sur l’importance d’adopter l’IA. Les forces nucléaires développent des “outils d’aide à la décision activés par l’IA mais dirigés par des humains”. Ça sonne bien sur le papier, mais dans la pratique, aucune idée de ce que ça donne…

Parlons maintenant de Stanislav Petrov, ce lieutenant-colonel soviétique qui a littéralement sauvé le monde en 1983. Selon le Bulletin of the Atomic Scientists, son système d’alerte précoce lui indiquait que les États-Unis avaient lancé 5 missiles. Et Petrov, sans se chier dessus, s’est dit : “C’est con, une première frappe américaine, ce serait tout ou rien, pas cinq missiles”. Il a donc décidé d’ignorer l’alerte. Bonne intuition ! En réalité, c’était le soleil qui se reflétait sur les nuages.

Du coup, si Petrov avait été une machine programmée pour répondre automatiquement à une attaque, c’est sûr qu’on aurait eu une guerre nucléaire. Petrov étant humain, il a su sortir de ses “données d’entraînement”, si je puis dire. Il a fait un jugement humain basé sur l’expérience et l’intuition. Une IA, par définition, ne peut pas faire ça.

Ce qui fait vraiment flipper Wolfsthal, ce n’est pas l’idée qu’une IA devienne skynet et lance une guerre nucléaire toute seule. C’est plutôt que quelqu’un décide d’automatiser certaines parties du système, créant des vulnérabilités qu’un adversaire pourrait alors exploiter. Ou pire, que l’IA produise des recommandations que les humains ne comprennent pas vraiment mais suivent quand même.

D’ailleurs, selon un rapport de Chatham House de juin 2025, l’IA pourrait aider à prévenir l’escalade nucléaire en étant intégrée dans les systèmes d’alerte précoce mais seulement si on comprend vraiment les risques. Et je vous spoile direct : On ne les comprend pas.

La France n’est pas en reste dans cette course. L’IFRI note que l’IA pourrait affaiblir la dissuasion nucléaire en rendant vulnérables des systèmes jusqu’alors considérés comme protégés. Les États-Unis développent également un projet pour frapper les lanceurs mobiles de missiles balistiques en utilisant l’IA pour analyser des données en temps réel. Les États pourraient alors avoir recours à l’arme nucléaire de manière préventive par peur de perdre leur capacité de riposte.

La Russie a aussi déjà son système Perimeter, surnommé “Dead Hand” (la main morte), et développe Poseidon, un drone sous-marin autonome armé nucléairement. Un drone qui peut traverser les océans tout seul pour livrer une bombe capable de vaporiser une ville entière. Qu’est-ce qui pourrait mal tourner, voyons ?

Le problème des biais d’automatisation est particulièrement vicieux. Brookings explique que les études montrent que les gens font naturellement confiance aux systèmes automatisés. Imaginez un opérateur stressé en temps de crise qui doit choisir entre son intuition et ce que lui dit l’IA. Et bah dans 99% des cas, il déposera son cerveau et suivra l’IA. Vous le savez, c’est ce que vous faites quand vous vibe codez ;-).

Le plus marrant dans tout ça (ou pas) c’est que Donald Trump et le Pentagone ont déclaré que l’IA était “le prochain projet Manhattan” et que “les États-Unis VONT GAGNER”. Sauf que comme le fait remarquer Lin : “Je sais quand le projet Manhattan s’est terminé… on a fait exploser une bombe. Mais je ne sais pas ce que signifie avoir un projet Manhattan pour l’IA.” Bah oui, ils vont faire exploser quoi ??

La revue de l’OTAN se demande si l’IA devrait être complètement bannie des systèmes d’armes nucléaires. En 2023, le Congrès américain a même proposé une loi dans ce sens et Biden a signé un décret sur le sujet. Mais il n’y a toujours pas de consensus global sur le fait que les humains doivent rester dans la boucle de décision nucléaire.

Voilà, donc pour l’instant, lancer une arme nucléaire américaine nécessite encore une chaîne complexe de décisions humaines et il faut toujours deux personnes qui doivent tourner des clés en même temps dans un silo pour lancer un missile. La politique nucléaire américaine exige ce qu’on appelle une “double phénoménologie”. Cela veut dire qu’une attaque doit être confirmée par satellite ET radar pour être considérée comme réelle. Mais combien de temps avant qu’on remplace un de ces phénomènes par une IA ?

Perso, je pense que l’IA dans le nucléaire c’est une idée à la con. Pourquoi jouer à la roulette russe avec l’humanité entière alors qu’on a déjà fort à faire avec tous nos dirigeants mentalement instables ?

Évidemment, vous l’aurez compris, l’IA ne lancera probablement pas des missiles toute seule, mais elle pourrait très bien nous convaincre de le faire nous-mêmes, à cause d’une mauvaise interprétation de données ou d’un bug qu’on ne comprend même pas. Et ça, c’est tout aussi flippant, je trouve.

Source

Vous vous souvenez de Super Mario 63 ? Ce jeu Flash mythique (qui n’a rien à voir avec l’Auvergne, je préfère préciser avant que ça s’enflamme trop à Clermont-Ferrand) créé par Runouw en 2006 qui mélangeait Mario 64, Sunshine et Galaxy dans un seul et même délire ? Bon bah accrochez-vous, parce qu’une équipe de passionnés vient de terminer un projet encore plus dingo : Porter tout ce bazar dans Super Mario Galaxy 2. Et j’avoue que le résultat est pas mal du tout.

Ce projet SMG63, mené par AlexSMG128 et son équipe “Galactic Insanity”, c’est 5 ans de développement pour transformer Super Mario Galaxy 2 en quelque chose de totalement différent. Je vous parle de plus de 30 galaxies entièrement nouvelles, 60 Shine Sprites à collecter (les étoiles de Sunshine pour ceux qui suivent), et 120 Star Coins planqués un peu partout. Autant vous dire que si vous pensiez avoir fait le tour de Galaxy 2, vous pouvez oublier.

Ce mod vient donc d’être finalisé, après des années de développement acharné et l’équipe a réussi à recréer l’ambiance du jeu Flash original tout en exploitant la puissance et les mécaniques de Galaxy 2. Le hub world custom, les galaxies repensées, tout a été conçu pour offrir une expérience complètement nouvelle aux fans des deux jeux.

Pour faire tourner ce mod, vous avez donc plusieurs options. Sur une vraie console, il vous faut une Wii ou Wii U avec le Homebrew Channel installé, Riivolution en version 1.06, et bien sûr votre disque original de Super Mario Galaxy 2. Le mod supporte les versions américaine, européenne et japonaise du jeu, donc pas de souci de ce côté-là.

Si vous préférez jouer sur PC, Dolphin fait parfaitement l’affaire. Il suffit de faire un clic droit sur Super Mario Galaxy 2 dans votre bibliothèque, de sélectionner “Start with Riivolution Patches”, et de choisir le bon fichier XML selon votre version du jeu. C’est tout con comme la lune ou un premier ministre, et ça marche nickel.

D’ailleurs, le monde du modding Galaxy est en pleine effervescence en ce moment. Luma’s Workshop propose des tonnes de mods pour les deux Galaxy, tous disponibles sous forme de patches Riivolution. GameBanana héberge aussi une communauté super active avec des tutoriels, des questions-réponses et des discussions entre fans.

Parmi les autres projets notables, il y a également Neo Mario Galaxy qui a déjà été téléchargé plus de 25 000 fois. Ce mod propose lui aussi de nouvelles galaxies avec des mécaniques inédites. Et pour ceux qui préfèrent Odyssey, un projet massif appelé “A Galaxy Story” est en développement pour porter toutes les galaxies du premier jeu dans le moteur d’Odyssey, avec 400 nouvelles lunes à collecter.

Ce qui est vraiment cool avec SMG63, c’est qu’il fait le pont entre deux époques du gaming. D’un côté, vous avez la nostalgie des jeux Flash qui ont bercé toute une génération sur les ordis du CDI. De l’autre, la magie de Super Mario Galaxy 2, un des meilleurs jeux de plateforme de tous les temps. Le fait que des fans arrivent à fusionner ces deux univers, c’est juste trop beau, je trouve !

Et pour ceux qui veulent revivre l’expérience du Super Mario 63 original, sachez qu’un projet appelé Super Mario 63 Redux est en développement. C’est un remake complet du jeu Flash dans le moteur Godot, avec l’approbation de Runouw himself. Une démo est déjà disponible sur itch.io si vous voulez tester.

Le code source de SMG63 est disponible sur GitHub, et l’équipe a même mis en place un serveur Discord pour la communauté. C’est écrit à 98% en C++, ce qui montre le niveau technique nécessaire pour modifier un jeu Wii de cette ampleur. Les contributeurs principaux (SPG64, Syreyup et AlexSMG128) ont vraiment fait un travail de titan, donc je leur tire mon chapeau !

Voilà, donc si vous avez une Wii qui prend la poussière ou que vous êtes adepte de l’émulation, franchement, foncez. La scène homebrew Nintendo est vraiment incroyable avec ses passionnés qui passent des années à créer du contenu gratuit pour d’autres passionnés, sans rien demander en retour. C’est beau et Nintendo n’en est vraiment pas digne.

Merci à Lorenper pour la découverte !

Imaginez, vous êtes patron d’une boîte de 170 personnes, vous payez une rançon de 200 000€ pour récupérer vos données, la police attrape les hackers ET récupère votre argent… mais refuse de vous rendre votre pognon. Bienvenue dans le cauchemar kafkaïen de Wilhelm Einhaus, 72 ans, qui vient de mettre la clé sous la porte après avoir littéralement tout tenté pour sauver son empire.

Ce mec n’est pas n’importe qui puisque c’est l’inventeur des assurances pour téléphones mobiles en Allemagne. Dans les années 2000, quand tout le monde découvrait à peine les Nokia 3310, lui avait déjà compris qu’on allait tous péter nos écrans et qu’on aurait besoin d’une assurance. Son réseau est composé de 5000 points de vente, il a des partenariats avec Deutsche Telekom et 1&1, et a fait 70 millions d’euros de chiffre d’affaires annuel au sommet de sa gloire.

Wilhelm Einhaus à gauche

Mars 2023, un matin comme les autres. Einhaus arrive au bureau et là, surprise : chaque imprimante de la boîte a craché le même message. “On vous a hacké. Toutes les infos sont sur le dark web.” Le groupe de cybercriminels Royal, qui s’est depuis rebrandé en BlackSuit selon la CISA, venait de verrouiller l’intégralité du système informatique. Plus rien ne fonctionnait : ni les contrats, ni la facturation, ni même les emails.

Le prix pour récupérer l’accès ? 200 000 euros en Bitcoin.

Vous me direz alors, pourquoi payer ? Et bien parce que sans système informatique, l’entreprise perdait des millions chaque jour. Les assurances ne pouvaient plus être traitées, les remboursements étaient bloqués, tout devait se faire à la main. Le total des dégâts se chiffrant en millions d’euros, Einhaus a donc payé, espérant limiter la casse.

Mais voilà où l’histoire devient complètement absurde. La police allemande finit par réussir à identifier trois suspects et même saisir les cryptomonnaies. Une somme à six chiffres selon les sources. Victoire ?

Pas du tout car le procureur refuse de rendre l’argent tant que l’enquête n’est pas terminée. Et le fait que l’entreprise ne puisse pas récupérer les fonds extorqués, même s’ils ont été confisqués, a fait dérailler leurs efforts de restructuration. Du coup, l’entreprise s’est littéralement désintégrée. De 170 employés, ils sont passés à… 8.

8 personnes pour gérer ce qui était autrefois un empire et en 2024, désespéré, Einhaus a finit par vendre le siège social de l’entreprise, mais cela n’a pas suffit. Surtout que pour couronner le tout, Royal/BlackSuit a publié 11% des données de l’entreprise sur le dark web. Histoire de bien montrer qu’ils ne plaisantaient pas. Au total, ce gang aurait extorqué plus de 275 millions de dollars à travers le monde selon les estimations.

Les 3 sociétés du groupe Einhaus ont donc officiellement déposé le bilan fin juillet 2025. Mais Wilhelm Einhaus, malgré ses 72 ans et 53 ans d’entrepreneuriat, refuse d’abandonner. Il prévoit de repartir de zéro. “Je ne prends pas ma retraite, je recommence”, a-t-il déclaré.

Cette histoire n’est malheureusement pas isolée et de plus en plus d’entreprises mettent la clé sous la porte après des attaques ransomware. Y’a 2 semaines, c’était Knights of Old au Royaume-Uni, une entreprise de transport vieille de 158 ans, qui fermait ses portes après une attaque du groupe Akira, mettant 700 personnes au chômage.

Le pire dans tout ça c’est que la justice, censée protéger les victimes, devient ici un obstacle supplémentaire à leur survie. Einhaus a payé la rançon, la police a récupéré l’argent, mais l’entreprise n’a jamais pu s’en servir pour se reconstruire. Un cercle vicieux où les victimes sont punies deux fois : une fois par les hackers et une fois par le système censé les protéger.

Donc si vous dirigez une entreprise, prenez-en de la graine. Les sauvegardes hors ligne, ce n’est pas une option, c’est une obligation !

Source

Je suis presque sûr que quand vous devez convertir un document avec des infos sensibles dedans en un joli PDF, vous n’installez rien sur votre ordinateur et vous préférez l’uploader sur un service random de conversion qui va probablement analyser et pomper son contenu ?

Je me trompe ?

C’est vrai que c’est plus rapide de faire confiance aveuglément à des services qui nous demandent notre email, notre carte bleue et notre âme pour simplement fusionner deux PDFs, mais moi, perso, j’aime pas trop ça !

Et apparemment, je ne suis pas le seul puisque des étudiants ont créé LuxPDF une boite à outils grâce à laquelle vos fichiers ne quittent JAMAIS votre ordinateur. Tout se passe dans le navigateur, côté client, y’a pas de serveur, pas d’upload, pas de stockage louche. Comme ça, vos documents restent chez vous, et picétou !

L’histoire derrière ce projet, c’est donc celle de petits jeunes qui devaient constamment convertir des PDFs pour leurs devoirs et leurs projets. Sauf que ces PDFs contenaient leurs noms, des infos financières, des données perso… et les services existants leur demandaient systématiquement de se créer un compte, de payer un abonnement, et tout ça pour des fonctions basiques. Sur Hacker News, ils expliquent qu’ils en ont donc eu super marre de sacrifier leur vie privée juste pour convertir un simple fichier en PDF et que c’est pour ça qu’ils ont codé LuxPDF.

Niveau fonctionnalités, on a donc le droit à 16 outils différents : conversion PDF vers PNG/JPEG/TXT, fusion, division, compression, rotation, suppression de métadonnées (super important pour la vie privée !), retrait de mot de passe, extraction de pages spécifiques…

Bref, tout ce qu’on attend d’une boîte à outils PDF complète. Et contrairement aux concurrents comme ILovePDF ou SmallPDF qui limitent le nombre d’utilisations gratuites ou la taille des fichiers, ici c’est illimité. Votre navigateur est capable d’encaisser l’ouverture d’un PDF de 1000 pages ? Pas de problème alors, LuxPDF le traitera quasi instantanément.

Le projet est totalement open source donc vous pouvez l’installer chez vous ou utiliser le site de LuxPDF surtout que les développeurs sont transparents sur leur modèle économique : pas de pub, pas de tracking, juste des dons volontaires et des sponsors.

Donc voilà, si vous cherchez une alternative éthique aux mastodontes du PDF qui récupère vos données, LuxPDF mérite clairement le détour. C’est gratuit, open source, sans inscription, et vos documents ne quittent jamais votre machine !

Merci à Letsar pour l’info !

Vous avez un laptop Dell ?

Alors permettez moi de me moquer un peu de vous. Ça ne sera pas long.

“Bwaaaahahahahahah !”

Bon, ça fait du bien ! Merci à vous !

D’ailleurs, j’ai une bonne et une mauvaise nouvelle pour vous. La bonne, c’est que vous pouvez maintenant le déverrouiller avec un oignon. La mauvaise, c’est que n’importe qui d’autre peut le faire aussi.

Je sais c’est bizarre mais des chercheurs ont démontré cette prouesse végétale en exploitant les failles ReVault qui touchent aujourd’hui plus de 100 modèles de portables Dell.

Vous n’y comprenez rien ? Attendez, je vous explique comment tout cela est possible. En fait, la réponse se trouve dans une petite carte électronique Broadcom cachée dans votre laptop, baptisée la ControlVault3. Cette puce de sécurité, censée protéger vos mots de passe et données biométriques, est maintenant une jolie backdoor depuis que Talos y a découvert 5 vulnérabilités critiques affectant potentiellement 30 millions d’appareils.

Le plus inquiétant c’est que ces failles permettent d’installer des malwares qui survivent même à une réinstallation complète de Windows. Vous formatez tout, réinstallez Windows depuis zéro, et le malware est toujours là, bien au chaud dans le firmware.

Techniquement, ce sont donc 5 CVE avec des scores CVSS tous supérieurs à 8.0 (donc “critiques”). Les plus vicieuses sont CVE-2025-25050 (exécution de code arbitraire) et CVE-2025-24919 (désérialisation non sécurisée dans les API Windows). En gros, un attaquant peut prendre le contrôle total du firmware sans même avoir besoin de se connecter à Windows.

Ce scénario d’attaque physique est particulièrement créatif car selon Talos, un attaquant peut ouvrir physiquement le laptop, accéder à la carte USH (Unified Security Hub) via USB avec un connecteur personnalisé, et exploiter les vulnérabilités sans connaître le mot de passe Windows ni celui du chiffrement de disque. Une fois le firmware compromis, l’attaquant peut alors modifier le système pour accepter n’importe quelle empreinte digitale.

Et pour achever Dell, Talos a donc mis en ligne une vidéo où on les voit utiliser un doigt en plastique qui pour être perçu par le lecteur d’empreinte de l’ordinateur, est recouvert d’un oignon (une cébette plus exactement…).

Mais il n’y a pas que l’attaque physique puisqu’un utilisateur Windows non privilégié peut également exploiter la faille de désérialisation (CVE-2025-24919) pour injecter du code dans le firmware ControlVault via les API officielles. Et pas besoin d’être admin, ni d’avoir des outils sophistiqués. Une fois dedans, l’attaquant peut ensuite extraire les clés cryptographiques, installer du code persistant, et maintenir son accès même après un formatage complet.

Les modèles affectés sont principalement les séries Latitude et Precision de Dell, très populaires dans les entreprises, les administrations et même l’industrie de la cybersécurité. Dell a publié l’advisory DSA-2025-053 avec la liste complète des plus de 100 modèles concernés donc si vous avez un Dell ControlVault3 en version antérieure à 5.15.10.14 ou un ControlVault3+ antérieur à 6.2.26.36, vous êtes vulnérable.

Dell a commencé à déployer des correctifs depuis mars 2025, mais les mises à jour firmware arrivent d’abord sur le site de Dell, puis quelques semaines plus tard sur Windows Update. Donc si vous attendez que Windows Update fasse le job, vous n’êtes pas couché… Et surtout, vous restez vulnérable plus longtemps que les autres…

Pour vous protéger en attendant le patch, Talos recommande plusieurs mesures. D’abord, si vous n’utilisez pas le lecteur d’empreintes, le lecteur de cartes à puce ou le NFC, désactivez complètement ControlVault via le gestionnaire de périphériques Windows. Ensuite, activez la détection d’intrusion physique dans le BIOS (si disponible) et Windows Enhanced Sign-in Security (ESS) qui est capable de détecter un firmware ControlVault compromis.

Voilà… ControlVault était censé être une solution de sécurité basée sur le matériel pour protéger vos données sensibles et au lieu de ça, il est devenu le talon d’Achille de millions de laptops.

Et mangez des oignons car en plus de hacker des machines, c’est bon pour la santé !

Source

OpenFoodFacts ? Ça vous parle ? Mais si, je suis sûr que ça vous dit quelque chose… Il s’agit d’une cette application qui permet de mieux comprendre ce qu’on mange. Et surtout, derrière cette interface minimaliste se cache un mouvement collaboratif massif et silencieux qui fait trembler l’industrie alimentaire.

Techniquement, OpenFoodFacts c’est un scanner de code-barres alimentaire gratuit qui vous donne instantanément la liste complète des ingrédients, l’impact carbone du produit, le Nutri-Score que vous connaissez tous ET le NOVA score que personne ne connait. Ce dernier, est crucial car la classification NOVA attribue une note de 1 à 4 selon le degré de transformation des aliments.

Comme vous pouvez le voir, le 4, c’est la zone rouge : les aliments ultra-transformés bourrés d’additifs, colorants, émulsifiants et autres joyeusetés chimiques.

Mais alors pourquoi c’est important ?

Et bien parce que selon une méta-analyse récente de l’École Johns Hopkins, les aliments ultra-transformés augmentent de 50% le risque de mortalité cardiovasculaire et de 48 à 53% les troubles anxieux. Je vous parle pas de petits bobos, hein, je vous parle là de votre espérance de vie. En France, selon France Assos Santé, ces aliments représentent 30 à 35% des calories consommées par les adultes et chez les moins de 18 ans, ça monte à 46%.

Donc si vous achetez des produits bruts et que vous faites la cuisine, vous vivrez plus longtemps (selon les études) que quelqu’un qui mange de la merde industrielle.

Maintenant, ce qui rend OpenFoodFacts unique par rapport aux autres apps du genre c’est d’abord, parce que c’est open source et totalement gratuit. Y’a pas de freemium en mousse, pas d’abonnement premium nuls… non, y’a rien. Et sa base de données dépasse maintenant les 4 millions de produits et est alimentée par plus de 170 000 contributeurs dans le monde. C’est littéralement le Wikipedia de l’alimentation.

D’ailleurs, Yuka qui cartonne avec 25 millions d’utilisateurs en France utilise la même base collaborative qu’OpenFoodFacts. La différence c’est que Yuka ajoute sa propre couche d’analyse et sa stratégie marketing, mais les données de base viennent du projet open source.

Des alternatives comme MyLabel, CodeCheck, ScanUp ou QuelProduit utilisent également cette base OpenFoodFacts. C’est vraiment ce projet français qui alimente tout l’écosystème des apps de nutrition en Europe. Et si le produit n’existe pas dans la base alors vous pouvez l’ajouter en prenant quelques photos. C’est surtout ce côté collaboratif qui fait sa force.

Et on peut même le configurer avec ses préférences alimentaires (vegan, sans gluten, allergies spécifiques…etc) et l’app vous alertera automatiquement si vous scannez un produit incompatible. Comme ça, fini de retourner les emballages dans tous les sens pour chercher la mention “peut contenir des traces de…”.

Au-delà de l’alimentation, le projet s’étend maintenant aux cosmétiques (Open Beauty Facts), à la nourriture pour animaux (Open Pet Food Facts) et même au tracking des prix avec Open Prices. Cette dernière fonctionnalité permet de détecter la shrinkflation, c’est à dire quand les produits rapetissent mais gardent le même prix.

Bref, c’est le genre d’outil que j’aurais aimé avoir il y a 20 ans, non pas pour devenir un parano de la bouffe, mais pour comprendre ce qu’on met dans notre assiette. Parce qu’au final, l**‘information c’est le pouvoir** et ça, les géants de l’agro alimentaire l’ont bien compris !

L’app est dispo sur tous les stores et même en version web si vous voulez tester avant. Votre corps vous remerciera, et vous vivrez plus longtemps pour lire Korben.info tous les jours !

Un grand merci à Guillaume pour m’avoir incité à me replonger dans ce super projet !

Quand un chef de police démissionne subitement, suivi par ses deux adjoints, sans même laisser un petit mot sur l’oreiller, c’est louche… Très louche. Et c’est pourtant c’est ce qui s’est passé à Calgary en avril dernier, soit 17 jours après qu’un commissaire à la vie privée ait forcé la divulgation de documents compromettants. Dans ces papiers on apprend comment la police locale a secrètement dépensé jusqu’à 100 000 dollars par an pour espionner les citoyens sur les réseaux sociaux, tout en jurant publiquement le contraire.

Il faut savoir que là bas, au Canadaaaa, la police utilise officiellement des logiciels de “reconnaissance d’images” commercialisés par les sociétés Meltwater et Talkwalker. Et non pas des logiciels de “reconnaissance faciale”. Ouf, c’est tout bon alors ?

Et bien non, car selon les documents obtenus par Drug Data Decoded, c’est exactement la même chose, mais comme d’hab avec un nom qui fait moins flipper. C’est un peu comme appeler un tank un “véhicule de transport blindé”. C’est techniquement correct, mais y’a “un peu” tromperie sur la marchandise…

Et, vous vous en doutez, cette distinction sémantique n’est pas anodine. En effet, techniquement, la reconnaissance d’images telle qu’elle est vendue par ces entreprises, c’est “la capacité d’un logiciel à reconnaître des lieux, objets, personnes, actions, animaux ou texte depuis une image ou vidéo”.

Oui, vous avez bien lu : “personnes”.

Ce genre d’outil est même capable de pouvoir identifier des célébrités et influenceurs dans les photos, donc on va arrêter de tortiller des fesses : Cette reconnaissance d’images, c’est de la reconnaissance faciale, mais avec un petit costume-cravate pour faire plus respectable.

Et vous savez combien d’agences canadiennes utilisent ces outils ?

Et bien d’après les documents, Meltwater qui fournit cette techno, compte parmi ses clients les polices d’Edmonton, Waterloo, Hamilton, Saskatoon, York, la Sûreté du Québec, la Police provinciale de l’Ontario, et même tous les ministères du gouvernement ontarien.

Le contexte canadien rend cette situation encore plus absurde car en 2021, les commissaires à la vie privée ont déclaré Clearview AI illégal, qualifiant ses pratiques de “surveillance de masse”. Pour rappel, la police de Toronto avait utilisé Clearview AI dans 84 enquêtes avant que leur chef ne l’apprenne et en ordonne l’arrêt.

Mais voilà un sacré retournement de situation qu’on n’attendait pas… un jugement de mai 2025 en Alberta pourrait légitimer le scraping de données et l’entraînement d’IA sur des informations publiques. En effet, le juge a estimé que la définition de “publiquement disponible” était trop restrictive dans le contexte d’Internet et violait la liberté d’expression. Du coup, Clearview AI peut prétendre exercer sa liberté d’expression au travers de son service.

C’est ti pas beau ça, non ?

Et pendant ce temps, la réglementation chez nos amis Canadiens reste dans les choux car contrairement aux empreintes digitales ou à l’ADN, la reconnaissance faciale n’est soumise à aucune règle claire. Des services de police comme York et Peel en Ontario ont d’ailleurs commencé à utiliser la technologie d’Idemia, tandis que Toronto cherche à moderniser son système avec un appel d’offres clos en février 2025.

Ce qui m’énerve particulièrement dans toute cette histoire, c’est une fois encore l’hypocrisie. Car en 2020, après s’être fait prendre la main dans le sac, avec Clearview AI, la police de Calgary avait promis de ne jamais utiliser de reconnaissance faciale sur des images qu’ils ne contrôlaient pas.

Et voilà que 2 ans plus tard, ils signent des contrats avec Hootsuite, Meltwater et Talkwalker pour faire exactement ça. Comme on dit, les promesses n’engagent que ceux qui les croient…

Les documents obtenus par Drug Data Decoded montrent surtout qu’ils ont maintenu jusqu’à 100 comptes utilisateurs avec ces entreprises, dont 19 pour des activités “non-investigatives”, probablement pour surveiller ce qu’on dit d’eux sur Twitter (hey coucou les cousins ! 👋).

Voilà… Visiblement, la police au Canada est en roues libres complet avec sa petite surveillance de masse faite maison. C’est quand même assez bizarre dans une démocratie, vous ne trouvez pas ?

Un détail technique qui fait froid dans le dos c’est qu’à part Hootsuite, toutes ces entreprises sont américaines. Et comme vous le savez, sous le Cloud Act US, le gouvernement américain peut forcer ces sociétés à lui fournir l’accès à leurs bases de données. Autrement dit, vos photos Instagram analysées par la police de Calgary pourraient finir dans les serveurs de la NSA. Sympa pour la souveraineté des données canadiennes.

Notez que la police de Calgary a mis 15 mois pour fournir ces documents, après avoir “perdu” la demande initiale et ont même exigé 1 133 dollars pour finalement les rendre public avec de 2 semaines de retard par rapport à la date limite exigée par le commissaire à la vie privée.

Ils n’ont vraiment aucun respect des lois, ces gens là ^^. Surtout que pendant ce temps là, le sommet du G7 à pu se tenir tranquillement… sous surveillance, évidemment.

Ce qui ressort surtout de tout ça, c’est que c’est un système complètement dysfonctionnel où la police fait ce qu’elle veut en jouant sur les mots : “Reconnaissance d’images” au lieu de dire “reconnaissance faciale”, “information open-source” pour parler de vos posts Facebook, “activités non-investigatives” pour du stalking institutionnel. Faudrait quand même pas oublier que les commissaires à la vie privée ont décidé en 2021 que les posts sur les réseaux sociaux ne pouvaient pas être traités comme des données “publiquement disponibles” par les organismes publics. Mais apparemment, comme d’hab, personne n’a reçu le mémo…

Pire, en novembre 2021 toujours, l’UNESCO a adopté sa première norme mondiale sur l’éthique de l’IA, interdisant la surveillance de masse. Et ce qui est drôle, c’est que le Canada fait partie des 193 pays signataires… Je ne sais pas ce que dirait l’UNESCO s’ils apprenaient que Calgary dépense vos impôts pour vous espionner avec des outils qui violent tous ces principes.

Maintenant, pour ceux qui veulent vérifier si la police de Calgary détient des informations sur eux, Drug Data Decoded fournit un formulaire de demande d’accès à vos informations, que vous pouvez envoyer à la police. Et n’oubliez pas de croiser les doigts pour ne pas attendre 15 mois.

Bref, la surveillance policière au Canada c’est zéro transparence, zéro responsabilité, et des jeux de mots constants pour contourner les lois… Ça ne vous chatouille pas un peu les Canadiens ?

Vous savez ce qui m’a le plus questionné dans cette annonce d’OpenAI dont tout le monde parle ? Pas le fait qu’ils offrent ChatGPT Enterprise aux agences fédérales américaines pour 1 dollar. Non, c’est surtout que ça arrive pile poil au moment où la boîte négocie une valorisation à 500 milliards de dollars avec ses investisseurs.

Un dollar contre 500 milliards. Ça vous paraît logique comme calcul ?

À moi non plus.

La réalité, c’est qu’OpenAI vient de jouer l’un des coups les plus brillants de l’histoire de la tech et contrairement à ce qu’on pourrait croire, cette “générosité” n’a rien de charitable. C’est du business pur et dur, orchestré avec une précision chirurgicale. Parce que voyez-vous, OpenAI a déjà empoché un contrat de 200 millions de dollars avec le Département de la Défense en juin dernier. Ils ont alors lancé “OpenAI for Government” et obtenu l’approbation officielle de la GSA (General Services Administration) comme fournisseur agréé pour les agences fédérales. Cette offre à 1 dollar, c’est donc juste la cerise sur le gâteau.

L’astuce (selon moi), c’est qu’ils viennent de transformer le gouvernement américain en client captif. Des milliers de fonctionnaires qui vont s’habituer à utiliser ChatGPT au quotidien, qui vont intégrer l’outil dans leurs workflows, leurs processus, leurs habitudes. Et au bout d’un moment, quand OpenAI reviendra avec un tarif “normal”, croyez-vous que le gouvernement pourra s’en passer et revenir à l’age de pierre ?

C’est exactement la stratégie du dealer qui offre la première dose gratuite.

Mais le plus top moumoute dans toute cette histoire (et vous pouvez me traiter de parano), c’est l’accès aux données que ça leur offre. Parce qu’avec ChatGPT Gov qui permet aux agences d’y injecter des “informations sensibles non-publiques”, OpenAI va avoir une vision privilégiée sur les tendances, les projets, les préoccupations du gouvernement américain. Pas besoin d’espionner quand vos “clients” vous donnent volontairement accès à leurs réflexions stratégiques.

OpenAI demande même au gouvernement américain d’évaluer “le niveau de données disponible pour entrainer les IA américaines” et pousse pour que les lois fédérales préemptent les réglementations des États. En gros, ils veulent façonner le cadre réglementaire à leur avantage tout en ayant un accès privilégié aux rouages du pouvoir.

OpenAI veut devenir puissant.

D’un point de vue investisseurs, c’est du caviar. Montrer qu’on a le gouvernement américain dans sa poche, c’est le genre d’argument qui fait monter les valorisations. Surtout quand on sait que les contrats publics, une fois établis, sont rarement remis en question et peuvent durer des décennies.

Au final, cette opération séduction va rapporter bien plus que les quelques millions “perdus” sur cette offre symbolique car entre les futurs contrats gouvernementaux, l’influence réglementaire et la crédibilité que ça apporte face aux investisseurs, ça parle déjà d’un retour sur investissement qui se chiffre en milliards.

OpenAI n’est pas votre ami. OpenAI devient naturellement l’extension technologique d’Oncle Sam et vous verrez, dans quelques années, quand on parlera de dépendance technologique, on citera cette manœuvre comme un cas d’école, j’en suis convaincu !

Vous savez quoi ? Il y a des jours où je me dis que Nintendo fait vraiment tout pour se faire détester. En effet, des speedrunners organisent un événement caritatif pour récolter des fonds pour Médecins Sans Frontières, et Nintendo débarque avec ses avocats pour leur dire “STOP, vous n’avez pas le droit !!! How dare you !?”.

C’est exactement ce qui vient de se passer avec le RTA in Japan, et franchement, c’est à se demander si quelqu’un chez Nintendo ne veut pas “une part de l’argent de l’opé caritative” comme le soulignent avec ironie les joueurs sur les forums.

C’est donc le 13 juin dernier que les organisateurs du RTA in Japan ont reçu un petit cadeau de Nintendo : un avertissement leur indiquant que toutes leurs diffusions précédentes constituaient une “utilisation non autorisée” de leurs jeux.

Pourquoi maintenant ? Bah tout simplement parce que l’association est devenue une entité juridique en 2020. Et apparemment, dans la tête de Nintendo, association officielle + speedrun = demande d’autorisation obligatoire pour chaque jeu. Oui, vous avez bien lu… Nintendo leur demande de soumettre une demande individuelle pour chaque titre qu’ils veulent utiliser.

Du coup, pour l’édition été 2025 qui démarre le 9 août, les organisateurs ont préféré jeter l’éponge. Pas le temps de faire toutes les demandes, pas envie de se prendre la tête… résultat, zéro jeu Nintendo au programme. Et on parle du plus gros événement de speedrun du Japon, celui où Super Mario 64 cartonnait systématiquement en termes d’audience. Les speedrunners et les fans sont dépités, et on les comprend.

Ce qui rend la situation encore plus absurde, c’est le contraste avec les autres éditeurs. Ubisoft et Activision tolèrent l’utilisation de leurs jeux dans des événements caritatifs, mais Nintendo, lui, reste inflexible, y compris pour un événement qui ne génère aucun profit personnel et reverse tout à des œuvres caritatives. Bref, la communauté est très énervé, et certains qualifient cette décision de “nouveau plus bas niveau” pour Nintendo.

Les organisateurs du RTA in Japan restent évidemment diplomates et annoncent qu’ils vont désormais faire les demandes pour les prochains événements. Mais franchement, obliger une association caritative à remplir de la paperasse pour chaque jeu Mario ou Zelda qu’ils veulent speedrunner, c’est vraiment un move de connards. Cette entreprise étouffe sa propre communauté sous les procédures administratives, et je trouve ça vraiment moche.

Le pire dans tout ça c’est que Nintendo aurait pu simplement dire “ok, faites vos demandes à partir du prochain événement” au lieu de forcer l’annulation de tous leurs jeux pour cet été. Mais non, il fallait marquer le coup, montrer qui avait les plus grosses coui… euh carapaces. Et dire que pendant ce temps, Games Done Quick aux États-Unis continue de speedrunner des jeux Nintendo sans problème grâce aux exceptions de fair use du droit américain.

Comme quoi, le problème n’est pas le speedrun en lui-même, mais bien l’obsession maladive de Nintendo pour le contrôle de sa propriété intellectuelle.

Alors oui, Nintendo a légalement le droit de faire ça. Mais avoir le droit ne veut pas dire que c’est intelligent. Bloquer un événement caritatif qui met en valeur vos jeux et génère de l’engagement communautaire positif, c’est vraiment se tirer une balle dans le pied niveau relations publiques, je trouve.

Bref, les speedrunners continueront à jouer, les donations iront toujours à Médecins Sans Frontières, mais l’image de Nintendo vient d’en prendre encore un coup. Et ça, aucune autorisation ne pourra le réparer.

Vous avez une Ioniq 5 et vous utilisez déjà sunnypilot sur votre boitier Comma ?

Alors j’ai une bonne nouvelle pour vous, parce que la communauté vient de passer un cap monumental avec la branche hkg-angle-steering-2025. Si vous trouviez que votre volant tremblait comme un chihuahua nerveux à basse vitesse, et bien maintenant, vous savez que c’est de l’histoire ancienne.

Pour comprendre pourquoi c’est chouette, il faut saisir la différence entre le contrôle par couple (torque control) et le contrôle par angle (angle control). En gros c’est comme pousser quelqu’un dans la bonne direction (couple) ou lui dire exactement où poser ses pieds (angle). Le premier est approximatif et demande des ajustements constants, le second est chirurgical. C’est donc ce qui se passe avec cette mise à jour.

Jusqu’à présent, la plupart des véhicules sous openpilot et sunnypilot utilisaient le contrôle par couple. Le système envoyait des commandes de force au volant, un peu comme si un copilote invisible tournait le volant avec ses mains. Ça fonctionne, mais sur les Ioniq 5 et autres véhicules Hyundai / Kia récents équipés du système LFA2, ça créait ces fameux tremblements à basse vitesse. Les micro-oscillations du modèle de conduite étaient traduites trop rapidement en mouvements du volant.

DevTekVE, l’un des développeurs clés de cette branche, a donc planché sur l’implémentation du contrôle par angle spécifiquement pour les véhicules HKG (Hyundai-Kia-Genesis). Ainsi au lieu d’appliquer une force, le système dit maintenant directement au volant : “mets-toi à 15,3 degrés”. C’est d’une précision redoutable. Plus de tremblements, plus d’hésitations, juste une trajectoire fluide comme du beurre dans vos cheveux au mois d’août.

La communauté sunnypilot est particulièrement active sur ce sujet et sur leur Discord (qui compte plusieurs milliers de membres actifs) et les retours des premiers testeurs sont top ! Attention quand même car ce dont je vous parle là, c’est pas de la beta, c’est même pas de l’alpha, c’est totalement expérimental ! Donc je vous conseille vraiment d’attendre encore un peu avant de vous y mettre. Au moins d’attendre que cette branche soit mergée dans la version stable de sunnypilot et/ou openpilot.

Toutefois, cette avancée technique n’est pas qu’un simple confort. Elle représente un bond en avant pour la sécurité et la confiance dans le système car quand votre volant a la tremblote, vous avez tendance à reprendre le contrôle par réflexe. Avec l’angle steering, la conduite est tellement fluide que vous pouvez vraiment rester vigilant sans plus jamais être déconcentré par les mouvements de votre volant.

Le travail sur cette branche montre aussi la force de l’open source dans l’automobile dont je vous parlais la dernière fois. Pour les Ioniq 5 équipées du HDA2 (Highway Driving Assist 2), c’est donc particulièrement intéressant car le système peut gérer le contrôle latéral (direction) de manière bien plus précise, même si le contrôle longitudinal (accélération/freinage) reste encore géré par le système d’origine (excellent au demeurant) du véhicule dans la plupart des cas.

L’installation nécessite toujours un Comma 3X et le harnais adapté, mais pour ceux qui ont déjà fait le pas, la mise à jour vers cette branche est gratuite. Il suffit de changer l’URL d’installation vers la branche spécifique depuis l’interface du Comma.

Dans la vidéo ci-dessous, cette version n’utilise pas le contrôle par angle, mais c’est pour vous montrer ce que ça donne.

Voilà… on en n’est qu’au début car les développeurs travaillent déjà sur l’intégration de cette fonctionnalité pour d’autres modèles Hyundai et Kia. Les Genesis GV70, Kia EV6 et même les nouveaux modèles 2025 pourraient bientôt bénéficier de ces améliorations.

Si vous êtes curieux de voir l’évolution du code, la branche hkg-angle-steering-2025 est dispo sur GitHub.

Voici aujourd’hui, l’histoire du groupe de hackers le plus mystérieux et le plus dévastateur de la décennie. Les Shadow Brokers. C’est le nom qu’ils se sont donné, probablement en référence au personnage de Mass Effect qui trafique de l’information au plus offrant, sauf qu’eux, ils n’ont pas volé n’importe quelle information, non. Ils ont réussi l’impossible : pirater la NSA, l’agence de renseignement la plus puissante du monde.

Entre août 2016 et juillet 2017, ils ont ainsi méthodiquement déversé sur Internet l’arsenal cyber secret de l’Amérique, déclenchant au passage WannaCry et NotPetya, des ransomwares qui ont causé des milliards de dollars de dégâts.

Et le pire c’est que personne ne sait vraiment qui ils sont.

C’est le 13 août 2016, une nuit d’été humide dans le Maryland. Pendant que l’Amérique débat de Clinton contre Trump, un événement sismique se déroule discrètement sur Internet. Un message bizarre, écrit dans un anglais tout pété presque ridiculement comique, vient d’apparaître sur GitHub et Pastebin. Au premier coup d’œil, ça ressemble à une blague, peut-être un troll cherchant l’attention, mais pour le petit cercle des experts en cybersécurité qui le lisent, c’est l’équivalent numérique d’une bombe atomique : la NSA vient d’être piratée.

Le message commence ainsi : “!!! Attention government sponsors of cyber warfare and those who profit from it !!!! How much you pay for enemies cyber weapons?” Les Shadow Brokers viennent de faire leur entrée sur la scène mondiale, et ils n’arrivent pas les mains vides. Ils prétendent avoir volé des cyberarmes à l’Equation Group, le nom de code donné par Kaspersky Lab au groupe de hackers d’élite de la NSA. Et pour prouver leurs dires, ils font quelque chose d’inédit : ils mettent une partie du butin en libre accès.

Les fichiers téléchargeables pèsent environ 300 mégaoctets ce qui n’est pas grand-chose en apparence, mais quand les chercheurs en sécurité commencent à analyser le contenu, leur sang se glace. C’est authentique. Des exploits zero-day, des payloads sophistiqués, des outils d’intrusion qui portent la signature indéniable de la NSA. EXTRABACON, un exploit contre les pare-feu Cisco ASA capable de prendre le contrôle à distance. EPICBANANA et JETPLOW, des backdoors pour différents systèmes. Des noms de code typiques de l’agence, cette obsession des fruits et des références loufoques que seuls les initiés connaissent.

Petite précision technique au passage, EXTRABACON exploite la CVE-2016-6366, une vulnérabilité zero-day dans le code SNMP des pare-feu Cisco qui permet l’exécution de code arbitraire sans authentification. EPICBANANA quand à lui, utilise la CVE-2016-6367, nécessite un accès SSH ou Telnet, mais permet ensuite une persistance totale. Et JETPLOW ? C’est tout simplement la version stéroïdée d’EPICBANANA, une backdoor firmware persistante que même un reboot ne peut pas virer.

Mais les Shadow Brokers ne s’arrêtent pas là en annonçant détenir bien plus : un fichier chiffré contenant “les meilleures cyberarmes” de la NSA, disponible au plus offrant. Le prix ? Un million de bitcoins, soit environ 568 millions de dollars à l’époque. Une somme astronomique qui suggère soit une méconnaissance totale du marché, soit un objectif autre que l’argent. “We auction best files to highest bidder. Auction files better than stuxnet,” promettent-ils avec leur anglais approximatif caractéristique.

Aujourd’hui, l’identité des Shadow Brokers reste encore l’un des plus grands mystères du monde cyber. Leur mauvais anglais suggère des locuteurs russes essayant de masquer leur origine. Des phrases comme “TheShadowBrokers is wanting that someone is deciding” ou “Is being like a global cyber arms race” sont grammaticalement douloureuses mais est-ce une tentative délibérée de brouiller les pistes ? Matt Suiche, expert en sécurité qui analyse leurs communications de près, pense que oui : “Le langage était probablement une tactique d’OpSec pour obscurcir les vraies identités des Shadow Brokers.”

Edward Snowden est évidemment l’un des premiers à réagir publiquement. Le 16 août 2016, il tweete : “Les preuves circonstancielles et la sagesse conventionnelle indiquent une responsabilité russe.” et pour lui, c’est un avertissement, une façon pour Moscou de dire à Washington : “Nous savons ce que vous faites, et nous pouvons le prouver.” Le timing est d’ailleurs suspect car on est 3 mois avant l’élection présidentielle américaine, juste après le hack du Parti Démocrate attribué à la Russie. Coïncidence ? C’est peu probable…

Mais d’autres théories émergent rapidement. James Bamford, journaliste spécialiste de la NSA, penche pour un insider, “possiblement quelqu’un assigné aux Tailored Access Operations hautement sensibles”. Puis en octobre 2016, le Washington Post révèle que Harold T. Martin III, un contracteur de Booz Allen Hamilton, est le suspect principal.

Alors là, prenez une grande inspiration avant de poursuivre votre lecture car l’histoire de Harold Martin, c’est du délire. Le mec travaille pour Booz Allen Hamilton (oui, la même boîte qu’Edward Snowden), est assigné à la NSA de 2012 à 2015, et bosse effectivement avec les Tailored Access Operations. Quand le FBI débarque chez lui en août 2016, ils découvrent… 50 téraoctets de données classifiées. C’est l’équivalent de millions de documents, qu’ils trouvent bien planqués dans sa baraque, mais aussi dans un abri de jardin non verrouillé, et même dans sa bagnole.

Le FBI pense alors tenir leur homme. Équipe SWAT, barrages routiers, porte défoncée au bélier, grenades flashbang… Ils sortent le grand jeu pour arrêter Martin, sauf que voilà, petit problème : les Shadow Brokers continuent à poster des messages cryptographiquement signés pendant que Martin croupit en taule. En 2019, il écope de neuf ans de prison, mais les procureurs confirment qu’aucune des données qu’il avait volées n’a été divulguée. L’identité des Shadow Brokers reste donc un mystère.

David Aitel, ancien de la NSA, résume parfaitement la situation telle qu’elle était en 2019 : “Je ne sais pas si quelqu’un sait, à part les Russes. Et on ne sait même pas si ce sont les Russes.” Matt Suiche, lui, a une théorie différente car pour lui, les Shadow Brokers sont des insiders américains mécontents, peut-être des contractuels du renseignement frustrés. Les indices c’est surtout leur connaissance intime de TAO, leurs références culturelles américaines, et leur timing politique…

Et le 31 octobre 2016, juste avant Halloween, les Shadow Brokers frappent à nouveau. Cette fois, ils publient une liste de serveurs prétendument compromis par l’Equation Group, accompagnée de références à sept outils jusqu’alors inconnus : DEWDROP, INCISION, JACKLADDER, ORANGUTAN, PATCHICILLIN, RETICULUM, SIDETRACK et STOICSURGEON. La communauté de la cybersécurité découvre alors l’ampleur de l’arsenal de la NSA. Chaque nom de code représente des années de développement, des millions de dollars investis, des capacités offensives soigneusement gardées secrètes.

L’enchère Bitcoin, pendant ce temps, est un échec total. Quelques plaisantins envoient des fractions de bitcoin (genre 0.001 BTC, les comiques), mais personne ne tente sérieusement d’atteindre le million demandé. Les Shadow Brokers semblent déçus mais pas surpris. En janvier 2017, ils changent alors de stratégie : “TheShadowBrokers is trying auction. Peoples no like auction, auction no work. Now TheShadowBrokers is trying direct sales.”

Du coup, ils créent une boutique en ligne sur le dark web, catégorisant leurs marchandises comme un vrai e-commerce du crime : “Exploits”, “Trojans”, “Payloads”. Les prix vont de 1 à 100 bitcoins selon la sophistication de l’outil. C’est surréaliste. Les cyberarmes les plus dangereuses de la planète sont en vente comme des t-shirts sur Amazon. Un exploit pour compromettre un serveur Linux ? 10 bitcoins. Un implant pour espionner les communications ? 50 bitcoins. Le menu est à la carte.

Mais le véritable tournant arrive le 8 avril 2017. Dans un post Medium intitulé “Don’t Forget Your Base”, les Shadow Brokers lâchent une bombe et révèlent le mot de passe pour déchiffrer le fichier mystérieux publié huit mois plus tôt : “CrDj”(;Va.*NdlnzB9M?@K2)#>deB7mN". Un mot de passe de 32 caractères qui va changer les choses.

Le timing est tout sauf innocent car le post fait explicitement référence à l’attaque de Trump contre une base aérienne syrienne le 7 avril, utilisée aussi par les forces russes. “Respectfully, what we do not agree with is abandoning ‘your base’, double dealing, saying one thing and doing another,” écrivent les Shadow Brokers. Le message est clair : vous nous avez trahis, voici les conséquences.

Et ce que contient ce fichier dépasse les pires cauchemars de la NSA. Des dizaines d’exploits zero-day, des payloads sophistiqués, des outils de surveillance massive, mais le plus dévastateur s’appelle EternalBlue. Il s’agit d’un exploit contre le protocole SMB de Windows qui permet de prendre le contrôle total d’une machine à distance. Microsoft a secrètement patché la vulnérabilité MS17-010 en mars 2017, un mois avant la révélation, suggérant que la NSA a prévenu l’entreprise mais des millions de systèmes restent vulnérables.

Et le 14 avril 2017, c’est l’apocalypse. Les Shadow Brokers publient leur dump le plus massif, baptisé “Lost in Translation”. FUZZBUNCH, une plateforme d’exploitation comparable à Metasploit mais développée par la NSA, un véritable framework pour charger des exploits sur les systèmes cibles. DARKPULSAR, ETERNALROMANCE, ETERNALSYNERGY, ETERNALCHAMPION… La liste semble interminable. Mais c’est ETERNALBLUE qui va entrer dans l’histoire.

Petite parenthèse technique quand même, DoublePulsar, c’est le complément parfait d’EternalBlue. Une backdoor kernel ultra-furtive qui ne crée aucun nouveau port, se cache dans les appels SMB non implémentés, et répond avec STATUS_NOT_IMPLEMENTED pour rester invisible. FUZZBUNCH quand à lui permet d’uploader des exécutables directement dans DoublePulsar via SMB. Bref, le combo mortel.

Les experts sont une nouvelle fois sous le choc. Nicholas Weaver écrit sur le blog Lawfare : “Ceci pourrait bien être le dump le plus dommageable contre la NSA à ce jour, et c’est sans aucun doute la révélation la plus désastreuse post-Snowden.” Jake Williams, fondateur de Rendition Security et ancien de la NSA, est encore plus direct : “C’est un putain de désastre.”

Les révélations incluent aussi la preuve que la NSA a compromis le système SWIFT, le réseau bancaire international. Les Shadow Brokers montrent ainsi que l’agence a infiltré EastNets, un bureau de service SWIFT gérant les transactions bancaires au Moyen-Orient et si c’est vrai, la NSA peut théoriquement surveiller, voire manipuler, les transferts financiers internationaux. Bref, les implications sont vertigineuses.

Moins d’un mois plus tard, le 12 mai 2017, le monde découvre alors le vrai prix de ces révélations. WannaCry, un ransomware utilisant EternalBlue (et DoublePulsar pour la persistance), se propage comme une traînée de poudre. En quelques heures, plus de 200 000 ordinateurs dans 150 pays sont infectés à une vitesse hallucinante de 10 000 machines par heure.

Et là, bonjour les dégâts ! Le National Health Service britannique ? Complètement paralysé soit 81 hôpitaux sur 236 touchés, 19 000 rendez-vous annulés, 1 100 admissions aux urgences en moins, des opérations reportées. Le coût pour le NHS ? 92 millions de livres sterling (20 millions en perte d’activité, 72 millions pour restaurer les systèmes). Des patients ne peuvent pas recevoir leurs traitements à temps, des services d’urgence doivent fonctionner à l’aveugle. Des IRM, des frigos pour stocker le sang, des équipements de bloc opératoire… 70 000 appareils touchés au total.

Mais WannaCry n’est que l’apéritif car le 27 juin 2017, NotPetya frappe, utilisant encore EternalBlue mais cette fois avec une particularité : ce n’est pas vraiment un ransomware. C’est une arme de destruction déguisée en ransomware. Même si vous payez, vos fichiers sont perdus pour toujours. L’adresse email pour récupérer la clé de déchiffrement est bloquée par le provider dans l’heure. C’est conçu pour détruire, pas pour extorquer.

NotPetya cause ainsi plus de 10 milliards de dollars de dégâts. Maersk, le géant du transport maritime danois subit 300 millions de pertes, 4 000 serveurs et 45 000 PC à reconstruire, 17 terminaux portuaires paralysés pendant des jours. FedEx via sa filiale TNT Express ? 300 à 400 millions. Merck Pharmaceuticals ? 870 millions de dollars après que 15 000 de leurs machines Windows sont détruites. En 90 secondes. Oui, c’est le temps qu’il a fallu pour mettre à genoux une des plus grandes entreprises pharmaceutiques du monde.

Et pendant ce chaos planétaire, les Shadow Brokers continuent leur étrange performance. En juin 2017, ils menacent de révéler l’identité d’un ancien employé de TAO qu’ils surnomment “Doctor”. “’Doctor’ person is writing ugly tweets to theshadowbrokers,” écrivent-ils. “TheShadowBrokers is thinking ‘doctor’ person is former EquationGroup developer who built many tools and hacked organization in China.”

La menace est sans précédent et révéler l’identité d’agents de renseignement et leurs opérations spécifiques, c’est franchir une nouvelle ligne rouge. Jake Williams avertit : “Publier ces données menacera la sécurité (et la liberté) d’anciens opérateurs de TAO voyageant à l’étranger.” Le “Doctor” en question, paniqué, finit par se doxxer lui-même le 29 juin pour “protéger les innocents”, niant être un employé de la NSA. Évidemment, personne ne le croit.

Les Shadow Brokers semblent avoir une vraie connaissance intime de TAO car ils connaissent les surnoms, les projets, les personnes… Dans un de leurs messages, ils prétendent même avoir fait partie du “Deep State” américain.

“TheShadowBrokers is being like the Oracle of the Matrix. TheShadowBrokers is not being the Architect,” écrivent-ils, dans une référence geek qui fait écho à leur nom emprunté à Mass Effect.

Leur dernier message public date de juillet 2017. Ils annoncent un service d’abonnement mensuel où pour 400 Zcash (une cryptomonnaie axée sur la confidentialité), vous pouvez devenir VIP et recevoir chaque mois de nouveaux exploits de la NSA. “Is being like wine of month club,” plaisantent-ils. “Each month peoples can be paying membership fee, then getting members only data dump each month.”

Puis, silence radio. Les Shadow Brokers disparaissent aussi mystérieusement qu’ils sont apparus. Ont-ils été arrêtés ? Ont-ils décidé qu’ils en en avaient fait assez ? Ont-ils été éliminés ? Personne ne le sait. Leur compte Twitter @shadowbrokerss reste muet, leur blog Medium n’est plus mis à jour et leur compte Steemit, pareil. Comme leur homonyme dans Mass Effect, ils s’évanouissent dans l’ombre.

Mais l’impact des Shadow Brokers sur la cybersécurité mondiale est difficile à surestimer car ils ont vraiment exposé la vulnérabilité fondamentale de l’accumulation d’armes cyber, qui peuvent être volées et retournées contre ceux qui les ont créées. Ils ont ainsi forcé un gros débat sur la responsabilité des agences de renseignement dans la découverte et la non-divulgation de vulnérabilités zero-day. D’ailleurs, combien de WannaCry et NotPetya dorment encore dans les serveurs de la NSA, de la DGSE, du FSB, du MSS chinois ?

Brad Smith, président de Microsoft, a même publié un plaidoyer passionné après WannaCry : “Les gouvernements du monde devraient traiter cette attaque comme un signal d’alarme. Un équivalent conventionnel de cet événement serait l’armée américaine se faisant voler des missiles Tomahawk.” Il appelle à une “Convention de Genève numérique” pour limiter la cyberguerre. 8 ans plus tard, on l’attend toujours. Comme d’habitude, les gouvernements s’en foutent.

Toutefois, les théories sur l’identité des Shadow Brokers continuent de proliférer. Insiders, hackers russe… Il y a même une théorie marginale mais fascinante qui suggère que c’est la NSA elle-même, brûlant des outils compromis de manière contrôlée pour éviter qu’ils ne soient utilisés contre eux.

En 2025, près d’une décennie après leur apparition, l’ombre des Shadow Brokers plane toujours. Les exploits qu’ils ont révélés circulent encore et des variantes d’EternalBlue sont toujours utilisées dans des attaques.

En tout cas, quand je vois qu’une nouvelle vulnérabilité zero-day a été patchée, je me demande toujours qui d’autre la connaissait avant et l’utilisait…

Sources : The Shadow Brokers - Wikipedia, EternalBlue - Wikipedia, WannaCry ransomware attack - Wikipedia, Shadow Brokers Threaten to Expose Identity of Former NSA Hacker - BleepingComputer, The Shadow Brokers Leaked Exploits Explained - Rapid7, Shadow Brokers: How the NSA Leak Affects Your Business - A10 Networks, Who are the Shadow Brokers? - HYPR Security Encyclopedia, Unveiling the Mystery Behind The Shadow Brokers - Security Outlines, NotPetya Ransomware Explained: The Billion Nation-State Cyberattack - Victor Nthuli, Shadow Brokers Twitter History - GitHub, Shadow Brokers Group Releases More Stolen NSA Hacking Tools - The Hacker News, NSA’s TAO Division Codewords - Electrospaces, What Is EternalBlue and Why Is the MS17-010 Exploit Still Relevant? - Avast, EXPOSED: Inside the Greatest Hack in History - The Shadow Brokers NSA Breach - Merge Society, The Shadow Brokers EPICBANANA and EXTRABACON Exploits - Cisco Blogs, Harold T. Martin - Wikipedia, Investigation: WannaCry cyber attack and the NHS - NAO, NotPetya Costs Merck, FedEx, Maersk 0M - CSHub

Vous vous souvenez de cette époque bénie où on soufflait dans les cartouches Game Boy pour les faire fonctionner ? Bon, ça ne servait pas à grand chose mais on le faisait quand même. C’était le bon vieux temps et aujourd’hui, je vous propose qu’on se replonge ensemble dans tout cela, grâce à un projet absolument fascinant.

Allison Parrish, une développeuse et poétesse (oui, ça existe !), vient de publier un guide technique monumental sur comment créer vos propres cartouches Game Boy avec un microcontrôleur RP2040.

Après plusieurs années de recherche acharnée, elle a non seulement réussi à créer sa propre cartouche bootleg fonctionnelle, mais elle partage absolument TOUT dans un article fleuve qui devrait ravir les fans de hardware rétro. Et quand je dis tout, c’est vraiment tout : du fonctionnement des bus de données aux memory bank controllers, en passant par les subtilités du chip select et les joies du bus contention (C’est quand deux puces essaient d’écrire sur le même bus, et que ça fait des étincelles, littéralement).

Ce qui rend ce projet particulièrement sympa, c’est l’utilisation du RP2040 (lien affilié), le microcontrôleur du Raspberry Pi. Allison exploite à fond ses fonctionnalités PIO (Programmable I/O) pour créer une interface parfaite avec le hardware vintage de la Game Boy. Les 8 machines d’état PIO agissent alors comme des mini co-processeurs dédiés aux opérations d’entrée/sortie, détectant automatiquement quand la cartouche doit transmettre ou recevoir des données.

Son guide commence par les bases.. qu’est-ce qu’un bus parallèle, comment fonctionne l’edge connector avec ses 32 broches dorées, puis monte progressivement en complexité. Vous apprendrez par exemple que la Game Boy utilise les pins A15, A14 et A13 de son bus d’adresse pour sélectionner intelligemment quel chip mémoire doit être actif. Smarty, non ? Ça évite que la ROM, la RAM interne et la RAM de cartouche ne se battent pour contrôler le bus de données.

Parlons également un peu des MBC (Memory Bank Controllers), ces petites puces magiques qui permettent aux jeux d’accéder à plus de 32KB de ROM. Allison se concentre sur le MBC5, capable de gérer jusqu’à 8MB de ROM et 128KB de RAM. Elle explique comment ces contrôleurs utilisent une technique de “bank switching” pour contourner les limitations d’adressage 16 bits de la Game Boy. C’est grâce à ça que des jeux comme Pokémon pouvaient avoir des mondes aussi vastes !

D’ailleurs, la preuve que ça fonctionne, c’est Sebastian Quilitz qui a sorti en août 2024 une cartouche commerciale basée sur le RP2040 qui utilise ces 12 canaux DMA et les 8 machines d’état PIO. Avec 16MB de flash, elle peut stocker plusieurs ROMs et propose même un bootloader pour choisir son jeu. La gestion des sauvegardes se fait via WebUSB (fini les piles bouton qui fuient après 20 ans) ! Par contre, attention à la consommation car le RP2040 overclocké pompe plus que les cartouches originales, ce qui peut poser problème avec les veilles alim des Game Boy d’origine.

Et Allison ne s’est pas arrêtée à la théorie puisqu’elle a créé des projets complètement barrés comme un thérémine optique Game Boy ! En connectant une photorésistance à sa cartouche custom via un breadboard, elle transforme la console en instrument de musique contrôlé par les mouvements de la main. Le RP2040 peut lire ET écrire sur le bus de données, ouvrant des possibilités créatives infinies.

Pour les aspects techniques pointus, le guide détaille des concepts comme le bus contention (quand deux composants essaient d’écrire simultanément sur le bus, créant un court-circuit comme je vous le disais un peu plus haut), la différence entre bus parallèle et série, ou encore pourquoi la Game Boy n’a pas vraiment d’OS mais juste un bootloader minuscule en ROM. Allison explique même pourquoi à l’époque, distribuer un jeu Game Boy revenait à distribuer du hardware car chaque cartouche contenait les puces mémoire nécessaires au fonctionnement du jeu.

Ce qui est génial avec ce projet, c’est qu’il utilise uniquement des composants disponibles dans le commerce. Pas besoin de cannibaliser de vieilles cartouches pour récupérer des puces introuvables ! Allison utilise de la vraie mémoire flash parallèle pour la ROM et de la vraie SRAM parallèle, ce qui évite les problèmes de timing qu’on peut avoir avec des solutions émulées.

Pour ceux qui veulent se lancer, tout est open source : les schémas PCB, le firmware, les exemples de code. Le design est pensé pour être “extrêmement hackable” selon les propres mots d’Allison. Vous pouvez même faire communiquer le Game Boy avec des périphériques modernes, ajouter des capteurs, créer des extensions hardware custom… Les possibilités sont vertigineuses.

Allison insiste aussi sur le fait que la Game Boy est une plateforme idéale pour le hacking hardware. Simple, bien documentée, pas de protection anti-copie, plus de 100 millions d’unités vendues, et une communauté toujours active qui sort encore des jeux en 2025. Sans compter les nombreux outils de développement modernes comme GBDK pour le C ou GB Studio pour la programmation visuelle.

Voilà, donc si vous êtes du genre à aimer comprendre comment les choses fonctionnent vraiment, ce guide est une mine d’or. Pour les plus motivés, les fichiers du projet ABC (Allison’s Bootleg Cart) sont disponibles sur son dépôt Git. Et si vous préférez acheter une cartouche toute faite, celle de Sebastian Quilitz est dispo sur Tindie et RetroReiz.

Prendre une console de 1989, la comprendre jusqu’au moindre transistor, et lui greffer un nouveau cerveau pour créer des trucs impossibles à l’époque… C’est quand même beau je trouve, non ?

Merci à Lilian pour le partage !

Il y a plusieurs mois, j’ai pris une décision qui peut paraître contre-intuitive pour quelqu’un qui vit du web : j’ai arrêté de partager mes articles sur les réseaux sociaux. Facebook, Twitter, Bluesky, Mastodon… Terminé. Et vous savez quoi ? Je respire enfin.

Cette décision, elle ne s’est pas prise du jour au lendemain. Elle est le fruit d’une longue réflexion sur ce que je fais, pourquoi je le fais, et surtout pour qui je le fais. Quand j’écris, c’est d’abord pour vous, mes lecteurs. Ceux qui prennent le temps de venir sur Korben.info, qui parcourent les articles, qui lisent ce qui les intéresse et qui zappent le reste sans faire de drama. C’est aussi pour moi, parce qu’écrire c’est ma façon de partager, de transmettre, de rester connecté à cette passion qui m’anime depuis des années.

Mais voilà, les réseaux sociaux ont transformé tout ça en quelque chose de malsain. Bien sûr, partager sur ces plateformes apporte de la visibilité. Les chiffres grimpent, les metrics s’affolent, et on pourrait croire que c’est ça le succès. Sauf que cette audience, elle est pourrie. Oui, pourrie et je pèse mes mots.

Sur les réseaux, on se retrouve face à une foule coincée dans une espèce de surenchère permanente. Des petites communautés qui réclament du sang chaque jour, qui cherchent le drama, le clash, la polémique. Des gens dont l’ego surdimensionné a besoin d’être nourri en permanence par des likes, des RT, des réactions. Et puis il y a ce manque de temps chronique qui les oblige à réagir vite, trop vite. Ils lisent en diagonale quand ils lisent, mais la plupart du temps ils se contentent du titre et foncent tête baissée pour vomir leur bile.

Le résultat ce sont des insultes, des incompréhensions, de la bêtise crasse et toutes les formes de violence verbale imaginables. J’ai vu des articles de fond, des analyses qui m’avaient pris des heures à écrire et à peaufiner, se faire déchiqueter en deux secondes par des types qui n’avaient même pas cliqué sur le lien. Des jugements à l’emporte-pièce, des procès d’intention, des attaques personnelles basées sur rien.

C’est donner en pâture à des clébards hargneux quelque chose de construit, de réfléchi (ou pas, si j’ai mal dormi ^^), qui demande du temps pour être écrit et surtout pour être lu. Ces gens ne vous connaissent pas, ne vous lisent pas vraiment, mais ils pensent avoir cerné qui vous êtes en deux secondes. Ils se construisent une image mentale de vous à partir de leur univers intérieur complètement claqué et obscur, et hop, le jugement tombe. Définitif. Implacable. Et complètement à côté de la plaque.

J’ai longtemps cru que c’était le prix à payer pour toucher plus de monde. Que c’était normal, que ça faisait partie du jeu. Mais non. Ce n’est pas normal de subir chaque jour ces cyber-toxicos accros à leur klout et aux petites phrases assassines. Ces gens qui passent leur vie à scruter leurs notifications, à compter leurs followers, à mesurer leur influence.

Alors j’ai dit stop. J’ai arrêté de nourrir la bête. Plus de partage, plus de liens balancés dans l’arène. Fini.

Est-ce que ça me fait moins de trafic sur le site ? Oui, c’est indéniable. Les chiffres ont baissé. Mais vous savez quoi ? La qualité de mon lectorat s’est améliorée. Aujourd’hui, quand j’écris, c’est pour des gens qui savent lire. Des gens qui prennent le temps. Des gens qui comprennent la nuance, qui apprécient l’effort, qui aiment vraiment la tech et pas juste le drama qui l’entoure. Dans le même esprit, j’ai même retiré les pubs programmatiques en espérant un jour compter uniquement sur mon Patreon pour faire vivre ce site.

Ces lecteurs-là, ils viennent directement sur le site. Ils ont leurs habitudes, leurs marque-pages, leurs flux RSS (abonnez-vous !!) peut-être. Ils ne sont pas là par hasard parce qu’un algorithme leur a collé mon article sous le nez entre deux vidéos de chats et trois polémiques du jour. Ils sont là par choix, par intérêt authentique.

A ces gens là, je dis MERCI ! Et moi, j’écris mieux depuis. Sans cette épée de Damoclès au-dessus de la tête, sans me demander comment telle phrase va être détournée, comment tel paragraphe va être sorti de son contexte pour faire le buzz. J’écris librement, authentiquement, pour les bonnes raisons, comme avant.

Cette décision, c’est aussi un acte de résistance contre cette économie de l’attention qui nous bouffe tous. Cette course aux metrics qui transforme tout en contenu jetable, en fast-food intellectuel qu’on consomme et qu’on oublie dans la seconde. Mes articles ne sont pas des tweets de 280 caractères. Ce sont des analyses, des tests, des tutos, des découvertes qui méritent mieux que d’être jugées en deux secondes par quelqu’un qui a lu trois mots en scrollant.

Je ne dis pas que tous les gens sur les réseaux sociaux sont toxiques. Il y a évidemment des communautés formidables, des échanges enrichissants, des découvertes magnifiques. Mais le ratio signal/bruit est devenu insupportable. Pour un commentaire constructif, combien de haine gratuite ? Pour une vraie discussion, combien de trolls ? Et croyez moi, c’est la même merde sur Bluesky, Mastodon, X, Facebook…etc.

Bref, non merci. Je préfère mille fois avoir moins de lecteurs mais de vrais lecteurs. Des gens qui viennent pour le contenu, pas pour le spectacle. Des gens qui lisent vraiment, qui réfléchissent, qui parfois ne sont pas d’accord mais qui savent l’exprimer avec intelligence et respect (du genre qui savent m’envoyer un email pour discuter et exposer leurs arguments plutôt que de se faire mousser devant leur communauté de canards ^^).

Voilà, cette décision de retirer des réseaux sociaux mes articles, c’est finalement un retour aux sources. Un retour à ce pourquoi j’ai commencé ce blog il y a des années : partager ma passion, découvrir des trucs cool, analyser les tendances tech, et échanger avec des gens qui partagent ces centres d’intérêt.

Les réseaux sociaux ont leur utilité, je ne dis pas le contraire mais pour le contenu long, pour les articles de fond, pour tout ce qui demande un minimum d’attention et de réflexion, ils sont devenus toxiques. Ils ont transformé le débat en combat, la discussion en confrontation, l’échange en agression. Alors maintenant, mes articles attendent patiemment leurs lecteurs, ceux qui font l’effort de venir, ceux qui prennent le temps de lire, ceux qui apprécient le travail fourni même quand ils ne sont pas d’accord avec tout.

Donc si vous lisez ces lignes, c’est que vous faites partie de ces lecteurs qui comptent vraiment. Ceux qui ne sont pas arrivés ici par hasard mais par choix. Et c’est pour vous que je continuerai à écrire, loin du bruit et de la fureur des réseaux sociaux.

Merci !

Ceci est un truc qui pourrait bien vous intéresser surtout si vous implémentez de la synthèse vocale dans vos projets… Kitten TTS, c’est son petit nom, est un modèle qui fait seulement 25MB et qui est capable de générer de la voix de qualité professionnelle sur n’importe quelle machine, même votre vieux Raspberry Pi qui prend la poussière dans un tiroir.

Le créateur, Divam Gupta de KittenML, l’a sorti hier, et avec ses 15 millions de paramètres (c’est rien du tout comparé aux monstres habituels), Kitten TTS arrive à produire 8 voix différentes (4 féminines et 4 masculines) toutes expressives et naturelles. Le tout sans GPU, juste avec votre bon vieux processeur. C’est mieux que de la magie noire.

Pour comprendre à quel point c’est cool, faut savoir que jusqu’à maintenant, si vous vouliez de la synthèse vocale correcte, vous aviez deux options. Soit vous utilisiez des services cloud comme ceux d’Amazon ou Google (bonjour la latence et les frais), soit vous installiez des modèles énormes qui demandaient une RTX 4090 pour tourner correctement. Piper TTS était déjà pas mal dans le genre léger, mais Kitten TTS est encore plus petit et plus expressif. On parle d’un RTF (Real-Time Factor) de 0.73, ce qui veut dire que ça génère l’audio plus vite que le temps réel.

Le truc vraiment bien, c’est que c’est sous licence Apache 2.0 donc vous pouvez l’utiliser commercialement sans payer un centime. Imaginez les possibilités ! Vous développez un jeu indé ? Boom, voix-off gratuite et de qualité. Vous voulez créer un assistant vocal pour votre domotique ? C’est parti, tout tourne en local sans envoyer vos données à Google. Vous bossez sur des outils d’accessibilité ? Kitten TTS peut s’intégrer directement dans NVDA ou d’autres lecteurs d’écran pour donner une voix naturelle aux malvoyants.

L’installation, c’est du pip install tout bête depuis les releases GitHub. Le repo KittenML/KittenTTS est déjà en train d’exploser avec la communauté qui commence à bidouiller dessus. Vous pouvez aussi récupérer le modèle sur Hugging Face si vous préférez. Et pour ceux qui veulent échanger, y’a même un Discord communautaire qui se monte.

Voici comment l’installer :

python -m venv .venv
source .venv/bin/activate
pip install https://github.com/KittenML/KittenTTS/releases/download/0.1/kittentts-0.1.0-py3-none-any.whl

Voici un code d’exemple :

from kittentts import KittenTTS
import soundfile as sf

print("Loading KittenTTS model... Meow! 🐱")
# This downloads the model from Hugging Face the first time
m = KittenTTS("KittenML/kitten-tts-nano-0.1")

text = "Hello my name is Korben. Thank you for reading my blog."

print(f"Generating audio for: '{text}'")
# Generate the audio waveform
audio = m.generate(text)

# Save the audio to a file at 24kHz sample rate
output_file = 'hello_kitten.wav'
sf.write(output_file, audio, 24000)

print(f"✅ Audio saved to {output_file}! Go listen to it!")

A lancer comme ceci :

python test_kitten.py

Et en quelques secondes, ça vous fera un joli MP3 que voici :

Vous vous en doutez, comme d’hab, pour le moment, c’est anglais uniquement mais les dev bossent sur d’autres langues, alors faudra patienter un peu. Et puis c’est encore en “developer preview”, donc y’a quelques artefacts audio par-ci par-là. Mais pour un modèle de 25MB qui tourne sur une patate, le résultat est bluffant.

Avec ce truc, tous vos objets connectés peuvent maintenant parler avec une voix naturelle, sans connexion internet, sans latence, et sans bouffer votre batterie. Votre frigo peut vous dire qu’il manque du lait avec la voix de Garou. Votre voiture peut vous guider avec une voix sympa au lieu du robot monotone “Ministère de l’Interieur” habituel. Et tout ça en local, donc pas de problème de vie privée.

La comparaison avec Piper TTS est intéressante car Piper reste plus mature avec un écosystème plus développé et plus de langues supportées, mais Kitten TTS a l’avantage d’être encore plus petit et plus expressif pour l’anglais. Pour un projet qui vient de sortir, c’est impressionnant. J’ai donc super hâte de voir débarquer des forks et des améliorations dans les semaines qui viennent.

Si vous voulez tester, le modèle est dispo, et la doc commence à être pas mal. Alors pour une fois qu’on a un outil d’IA vraiment accessible qui ne demande pas une ferme de serveurs pour tourner, faut en profiter. Et puis pouvoir dire “mon grille-pain m’a conseillé ce matin d’investir dans des actions Nvidia”, c’est quand même la classe.

Allez faire un tour sur le site du projet pour voir les démos et comprendre pourquoi ce petit modèle de 25MB est en train de faire trembler les géants du TTS.

L’avenir de la synthèse vocale, c’est peut-être bien un chaton qui tient dans votre poche.

Vous savez ce qui est pire que de se confier à un psy qui prend des notes ?

Bah c’est se confier à ChatGPT en pensant que c’est privé, évidemment !

Un chercheur du nom de Digital Digging vient de révéler que 50 000 conversations ChatGPT ont fuité sur Google, et le contenu est explosif. Un avocat qui demande comment virer une communauté indigène d’Amazonie, des dissidents arabes qui critiquent leur gouvernement, et des PDG qui balancent leurs secrets d’entreprise comme si c’était Snapchat.

Le truc complètement dingue, c’est que tout ça vient d’une petite checkbox innocente dans la fonction de partage de ChatGPT. Vous savez, c’est ce bouton “Share” que tout le monde utilise pour montrer ses prompts géniaux à ses potes. Sauf qu’il y avait une option “Make this chat discoverable” que personne ne lisait vraiment. Du coup Google a indexé toutes ces conversations, et n’importe qui pouvait tomber dessus en cherchant les bons mots-clés.

Digital Digging a ainsi analysé 512 de ces conversations publiques et a découvert que 20% contenaient des informations sensibles ou potentiellement compromettantes : Des victimes de violence domestique qui planifient leur fuite, des professionnels de santé qui partagent des protocoles de traitement détaillés (bonjour le secret médical), et même des utilisateurs qui décrivent des activités cyber-criminelles potentielles. Certains utilisateurs arabes ont partagé des critiques du gouvernement égyptien, ce qui pourrait littéralement leur coûter leur liberté.

L’exemple le plus choquant reste quand même cet avocat d’une compagnie énergétique qui demandait conseil pour négocier le déplacement d’une communauté indigène en Amazonie. Le mec demandait littéralement comment obtenir “le prix le plus bas possible dans les négociations”. Si ça c’est pas un scénario de méchant de James Bond, je sais pas ce que c’est. Et tout ça, accessible publiquement pendant des mois avant qu’OpenAI ne réagisse.

OpenAI a bien essayé de faire le ménage en urgence. Ils ont supprimé les URLs originales, ajouté des tags noindex et nofollow, et demandé à Google de tout désindexer. Gizmodo rapporte qu’ils ont tenté de retirer près de 50 000 conversations de l’index Google. Le CISO d’OpenAI a même qualifié ça d’"expérience de courte durée pour aider les gens à découvrir des conversations utiles". Lol.

Mais voilà le problème : Internet n’oublie jamais. Archive.org, la Wayback Machine, a sauvegardé plus de 110 000 de ces conversations avant qu’OpenAI ne puisse réagir. Et Digital Digging confirme qu’OpenAI n’a même pas demandé à Archive.org de supprimer ces archives. Mark Graham, le directeur de la Wayback Machine, a confirmé qu’aucune demande d’exclusion à grande échelle n’a été faite. Du coup, toutes ces confessions sont encore accessibles pour qui sait où chercher.

Ce qui ressort de cette affaire, c’est surtout que les gens traitent ChatGPT comme un confessionnal numérique. Ils partagent leurs secrets les plus sombres, leurs plans d’affaires confidentiels, leurs problèmes personnels, en pensant que c’est entre eux et la machine. Sauf que non. Dès que vous cliquez sur “Share”, vous créez potentiellement une trace permanente sur Internet. Et même si OpenAI supprime tout de son côté, des dizaines de services d’archivage ont déjà fait des copies.

OpenAI, la boîte qui nous sermonne constamment sur l’importance de l’IA “sûre et responsable”, vient donc de créer la plus grande base de données de confessions publiques de l’histoire de l’humanité. Ils ont littéralement transformé leur chatbot en piège à secrets, et maintenant des milliers de personnes découvrent que leurs conversations privées sont consultables par n’importe qui avec une connexion Internet.

Pour les victimes de cette fuite (qui je le rappelle on quand même cliqué sur “Share” donc bon…), les conséquences peuvent être dramatiques. On parle de personnes qui ont révélé des informations pouvant détruire leur carrière, leur mariage, voire les mettre en danger physique dans le cas des dissidents politiques.

Bref, traitez ChatGPT comme vous traiteriez Twitter ou Facebook. Si vous ne voulez pas que ça se retrouve sur la place publique, ne le partagez pas. Et surtout, SURTOUT, lisez les petites cases à cocher avant de cliquer sur “Partager” parce qu’entre “partager avec un ami” et “indexer sur Google pour l’éternité”, il n’y a qu’une checkbox de différence.

Comme d’hab sur Internet, rien n’est vraiment privé, et ce qui est mis en ligne le reste pour toujours. Même quand c’est censé être une conversation privée…

A tous ceux qui galèrent avec Suno et ses limitations à la con sachez qu’ElevenLabs vient de sortir son générateur de musique IA et après l’avoir testé, je peux vous dire que ça envoie du lourd. Bon, la voix française a encore quelques progrès à faire niveau prononciation, mais le rendu global est impressionnant.

L’histoire, c’est donc qu’ElevenLabs a lancé son générateur musical hier et contrairement à Suno et Udio qui sont dans la merde avec des procès pour violation de copyright, eux ils ont fait les choses proprement. Ils ont signé des accords avec Merlin Network et Kobalt Music Group, ce qui leur donne accès légal à des millions de titres pour entraîner leur IA. Du coup, pas de risque de se faire défoncer juridiquement quand on utilise leur outil pour des projets commerciaux.

Pour mon test, j’ai voulu voir ce que ça donnait avec un truc bien spécifique. J’ai demandé “un morceau de rap electro trap qui parle du site tech Korben.info”. Et là, surprise totale. Le beat était nickel, les transitions fluides, et même si la voix avait du mal avec certains mots français, le flow était meilleur que ce que j’ai pu obtenir avec Suno après des heures de tweaking. Le morceau fait presque 3 minutes, avec des variations dans le beat, des breaks bien placés, bref du travail de pro.

Ce qui m’a vraiment scotché, c’est surtout la qualité audio. Suno, c’est bien, mais on sent toujours ce côté un peu “cheap” dans le mix final. Les fans de Jul peuvent en témoigner ^^. Là, on a ElevenLabs qui sort du son qui pourrait passer en radio sans problème. Les basses sont profondes, les aigus cristallins, et surtout il n’y a pas ces artefacts audio chelous qu’on retrouve souvent avec les générateurs concurrents. Par contre, petit bémol, j’ai galéré comme un malade pour télécharger le morceau depuis Firefox. Heureusement, VideoDownloadHelper m’a sauvé la mise.

Voici ce que ça donne :

Niveau tarifs, ElevenLabs propose 7 niveaux d’abonnement : Free, Starter, Creator, Pro, Scale, Business et Enterprise. Attention par contre, avec les formules Free, Starter et Enterprise, interdiction de distribuer vos créations sur les plateformes de streaming. Pour ça, il faut minimum la formule Creator. Les prix exacts ne sont pas encore communiqués partout, mais vu la qualité, ça risque de faire mal à la concurrence.

Le truc vraiment malin qu’ils ont fait, c’est le système de contrôle. Vous pouvez préciser la durée exacte du morceau (“60 secondes” par exemple), ajouter vos propres paroles, définir quand les voix doivent commencer (“lyrics begin at 15 seconds”), ou même créer des parties instrumentales (“instrumental only after 1:45”). C’est ce niveau de contrôle qui manque cruellement chez Suno où on balance un prompt et on prie pour que ça sorte quelque chose de potable.

Pour éviter les emmerdes juridiques, ElevenLabs a également mis des garde-fous stricts. Impossible d’utiliser le nom d’un artiste, d’un titre de chanson ou d’un album dans vos prompts. Ça peut paraître contraignant, mais au final c’est ce qui leur permet de proposer un outil utilisable commercialement sans risquer de se retrouver au tribunal. Et entre nous, c’est pas plus mal parce que ça force à être créatif plutôt que de pomper bêtement sur du Drake ou du Daft Punk.

J’ai tenté un prompt un peu plus construit que le précédent et voici mon premier morceau rock :

Je vous donne mon prompt également :

Prompt - Intense Alternative Rock Song:

Write song lyrics with raw urgency and dark romanticism. 

Mix cryptic poetry with visceral imagery (moon, fire, eclipse, transformation). 

Alternate short punchy lines with longer verses. 

Themes: desire vs destruction, chaos, transforming pain into beauty, wild love, rebellion.

Structure & Timing:

Intro (0:00-0:15) - Cryptic opening, sets tension
Verse 1 (0:15-0:45) - 8-10 lines, controlled intensity building gradually, vivid imagery
Chorus (0:45-1:00) - 4-6 lines max, explosive, hypnotic repetition, hits like a wave
Verse 2 (1:00-1:30) - Higher energy than V1, more urgent and surreal
Chorus (1:30-1:45) - Same but bigger
Bridge (1:45-2:15) - Rhythm shift, drop metaphors for raw direct language, staccato delivery, build tension
Verse 3 (2:15-2:45) - Most intense, mix all elements, personal meets universal
Final Chorus (2:45-3:15) - Extended with variations/echoes, cathartic release
Outro (3:15-3:30) - Sudden stop or fade on mantra
Dynamic: Quiet-loud-quiet-LOUD progression. 

Each section urgent and necessary. Words should feel good to shout with passion. Short chorus allows instrumental space. 

The song must feel like it NEEDS to exist - like an electric scream with poetic depth.
Use "we/you" for collective intimacy. Balance concrete/abstract. Make it feel NOW.

La vraie force d’ElevenLabs, c’est donc leur partenariat avec SourceAudio qui leur donne accès à 14 millions de morceaux pré-autorisés pour l’entraînement de l’IA. Alors que Suno et Udio ont scrappé le web sans autorisation et se retrouvent avec les majors sur le dos, ElevenLabs peut dormir tranquille. D’ailleurs, 72% des entreprises du Fortune 500 utilisent déjà leurs outils de voix-off, donc niveau crédibilité, ils ont de l’avance.

Si vous voulez tester, allez sur elevenlabs.io/music et commencez avec la version gratuite pour voir.

Google vient de sortir un truc super sympa hier et personne n’en parle encore, alors je me mets au boulot. Cela s’appelle Gemini Storybooks, et ça va faire mal aux concurrents qui facturent 20 balles par mois pour faire la même chose. En gros, vous balancez une idée, quelques photos de vos vacances ou même les gribouillis de votre gosse, et paf, l’IA vous pond un livre illustré de 10 pages avec narration audio en moins de 2 minutes chrono.

Le truc vraiment cool avec ce nouveau joujou de Google, c’est qu’ils ont pensé à tout. Vous pouvez choisir parmi 8 styles d’illustration différents, du pixel art façon rétro gaming au style comics Marvel, en passant par de la pâte à modeler animée ou même du crochet. Et surtout c’est gratuit. Totalement gratuit.

Pour l’utiliser, vous ouvrez Gemini sur votre ordi ou votre téléphone, vous décrivez votre histoire en quelques phrases du genre “Crée-moi une histoire où mon fils combat des pirates de l’espace avec son doudou rhinocéros appelé Bayrou” et l’IA se met au boulot. L’interface se divise en deux colonnes façon Canvas, avec le chat à gauche et votre livre qui se construit page par page à droite.

Ce qui est cool c’est la possibilité d’uploader vos propres images pour personnaliser l’histoire. Comme ça, vous prenez les photos de vos dernières vacances en Bretagne, vous les balancez dans Gemini avec un prompt du style “Transforme nos vacances en quête épique pour trouver le trésor perdu de Merlin”, et hop, vous avez un livre unique que vos enfants vont adorer.

Côté technique, Google a mis le paquet puisqu’ils utilisent trois IA différentes qui bossent ensemble : Gemini pour générer le texte de l’histoire, probablement Veo 2 (leur nouveau modèle vidéo) pour créer les illustrations, et Gemini 2.5 Pro TTS pour la narration vocale. D’ailleurs pour la voix, vous pouvez choisir entre une voix grave façon Morgan Freeman ou plus aiguë style conte de fées. Le tout fonctionne dans plus de 45 langues, même si la narration audio n’est pas encore dispo partout. Les français peuvent dormir tranquilles, on a droit à la totale. Par contre, je trouve la voix un poil trop rapide à la lecture, c’est dommage…

Google débarque donc comme un éléphant dans un magasin de porcelaine sur ce marché. Des startups comme CreateBookAI ou Scarlett Panda se sont battues pendant des mois pour construire leur business model autour de la génération de livres pour enfants, et là Google arrive et dit “Tiens, c’est gratuit maintenant”. C’est violent et ça me rappelle la façon de faire d’Apple.

Mais pour les parents geeks qui galèrent à trouver des histoires du soir originales, c’est une vraie révolution. Plus besoin de relire pour la 150ème fois “Tchoupi va sur le pot” (même si c’est un classique indémodable). Vous pouvez créer une histoire sur mesure qui explique pourquoi il faut se brosser les dents en mettant en scène les animaux préférés de votre enfant. Ou expliquer le système solaire avec une aventure de son grand-père dans l’espace. Les possibilités sont infinies.

Les premiers retours parlent de quelques bugs visuels assez marrants, des personnages avec des membres en trop, des perspectives un peu wtf, ou des cohérences douteuses entre les pages. Mais honnêtement, ça fait partie du charme. Et puis Google va sûrement améliorer ça dans les prochaines semaines. Comme vous le savez, ils ont l’habitude de sortir des trucs en beta et de les peaufiner au fur et à mesure.

La vraie question maintenant, c’est de savoir ce que ça va donner pour l’industrie du livre jeunesse. Est-ce que les éditeurs traditionnels vont flipper ? Probablement. Est-ce que ça va tuer la créativité humaine ? Je n’y crois pas un seul instant. Pour moi c’est plutôt un outil de plus dans la boîte à outils des parents créatifs. Et puis entre nous, si ça peut éviter à certains parents de devoir inventer des histoires pourries à 22h quand ils sont crevés, c’est déjà une victoire.

Si vous voulez tester, c’est super simple. Allez sur gemini.google.com, connectez-vous avec votre compte Google, et cherchez l’option Storybook. Vous pourrez alors créer autant de livres que vous voulez, les partager via un lien public, les imprimer directement depuis votre navigateur, ou juste les écouter en mode podcast pendant que junior s’endort.

Ah et petit conseil d’ami, évitez de demander des histoires avec des célébrités ou des personnages sous copyright car l’IA refuse gentiment mais vous propose de créer des “personnages inspirés” à la place. “Henry Potier, l’apprenti boulanger magique”, c’est même mieux que le vrai Harry Potter je trouve.

Source