Et si le secret d’une bonne IA de programmation était de devenir moins productive ? C’est le pari insolite de Ponytail, un projet open source qui force les assistants de code à imiter les développeurs seniors les plus pragmatiques pour éviter la sur-ingénierie et réduire la facture.
Derrière le blocage soudain de Claude Fable 5 par Washington se cachent des révélations explosives. Entre soupçons d’espionnage chinois, alerte secrète lancée par le PDG d'Amazon et failles de sécurité à répétition, les coulisses de l'affaire ébranlent la crédibilité d'Anthropic.
La nouvelle mise à jour de Gran Turismo 7 ajoute cinq voitures inédites à l'occasion des 24 Heures du Mans qui approchent. La gagnante des trois éditions précédentes, la Ferrari 499P, est évidemment de la partie.
Une créatrice connue sous le pseudo de Kiara a reconstruit Goddard, le chien mécanique du dessin animé Jimmy Neutron, en taille réelle et en version qui bouge pour de bon.
Pour ceux qui n'ont pas grandi avec la série, Goddard est le compagnon canin du petit génie Jimmy Neutron : un chien entièrement robotique, capable de se transformer et de rendre toutes sortes de services improbables à son maître. Le rêve de gosse de pas mal de trentenaires d'aujourd'hui.
Kiara raconte avoir eu envie de ce magnifique toutou pour elle-même. Plutôt que de modéliser le personnage à partir de zéro, elle a récupéré le modèle 3D directement dans la version GameCube du jeu Jimmy Neutron, avant de l'adapter pour l'imprimer à l'échelle 1.
Récupérer un modèle dans un jeu GameCube vieux d'une vingtaine d'années pour le réimprimer aujourd'hui, l'idée a quelque chose d'assez gonflé. Les fichiers d'un vieux jeu vidéo ne sont évidemment pas pensés pour sortir d'une imprimante 3D, il a donc fallu nettoyer et retravailler toute la géométrie avant de lancer la moindre pièce.
Le corps est ensuite imprimé en 3D, pièce par pièce, puis vient un long travail de ponçage et de peinture pour effacer les stries du plastique. Le résultat reprend fidèlement la livrée d'origine : un chrome brillant rehaussé de violet, exactement comme à l'écran.
Le détail le plus malin se cache dans la tête. Là où le dessin animé laisse deviner un cerveau visible, Kiara a glissé une vraie boule à plasma, ces globes de verre traversés d'éclairs roses qui trônaient dans les chambres d'ados au début des années 2000. L'effet est saisissant.
Côté mouvement, les pattes sont animées par des vérins linéaires, ces petits moteurs qui poussent et tirent en ligne droite pour plier les articulations à la manière d'un piston. La tête, elle, bouge grâce à un système de fils de pêche reliés à des servomoteurs, la technique classique de l'animatronique, ces robots articulés qu'on voit dans les parcs d'attractions et sur les tournages de cinéma.
On reste quand même sur une pièce d'exposition plus que sur un robot autonome. Goddard ne se promène pas seul dans la rue et ne va pas vous chercher le journal. Mais ce n'était pas l'objectif : il s'agissait de faire exister un personnage de fiction en vrai, pas de marcher sur les plates-bandes de Boston Dynamics, le spécialiste américain des robots qui se déplacent tout seuls.
Le tout est documenté en vidéo, du fichier numérique jusqu'à la peinture finale, ce qui permet de mesurer la quantité de travail derrière un objet qui n'a, au fond, aucune utilité pratique; mais qui est bien sympa.
Source : Hackaday
Un vieux routeur DD-WRT qui prend la poussière et que vous n'avez pas mis à jour depuis des lustres, c'est pile poil ce que recherche C0XMO. C'est un nouveau botnet repéré par les chercheurs de Fortinet qui enrôle les machines via une faille de 2021 que beaucoup n'ont jamais bouchée. Et une fois dedans, il dégage les autres malwares déjà présents pour rester seul maître à bord.
La faille, c'est la CVE-2021-27137, un débordement de tampon planqué dans le service UPnP de DD-WRT. En clair, le composant qui gère les requêtes UPnP encaisse mal certains paquets envoyés sur le port UDP 1900, et ça suffit à un attaquant distant pour balancer son code sans même avoir besoin d'un mot de passe.
Bref, tout ça pour dire que toutes les builds antérieures au change set 45723 sont vulnérables, et les routeurs Buffalo livrés d'origine avec DD-WRT sont concernés aussi. Donc le réflexe immédiat si vous avez un de ces engins c'est de mettre à jour le firmware vers une build plus récente, et couper l'UPnP si vous ne vous en servez pas.
Cette faille a beau dater de 2021, elle reste grande ouverte sur tous les routeurs que personne n'a retouchés depuis, et je sais que des vieux routeurs flashés un week-end pour leur donner une seconde vie, vous êtes nombreux à en avoir. Par exemple mon bon vieux WRT54GL ressuscité qui fait point d'accès au fond du garage, ou encore la box recyclée en répéteur Wi-Fi... Tant qu'ils tournent sur un firmware figé, ce sont des cibles parfaites. C'est pile ce qu'un botnet adore à savoir du matériel branché en permanence, que plus personne ne surveille.
Ce qui rend C0XMO un peu particulier pour un dérivé de Gafgyt , c'est sa hargne à éliminer la concurrence. Car comme je vous le disais, une fois installé, il scanne les processus en cours pour repérer les clients d'autres botnets, supprime leurs binaires et démonte tout ce qui les fait persister : tâches cron, scripts d'init, services système, profils shell. En gros, c'est un squatteur qui change les serrures en s'installant. C'est pourquoi les chercheurs y voient un niveau de sophistication plus élevé que le Gafgyt habituel. Lui-même se réinstalle via une tâche cron toutes les 15 minutes, histoire de ne pas se faire déloger à son tour.
Et tout ça pour faire quoi me direz-vous ??
**Hé bien du DDoS, pardi !! **
C0XMO embarque 19 méthodes d'attaque, des classiques floods UDP, TCP, SYN et ICMP aux amplifications NTP et Memcached, jusqu'à des floods qui visent les serveurs vocaux Discord. Ça reste un dérivé de Gafgyt qui cogne plutôt dans les gigabits, mais c'est suffisant pour alimenter l'écosystème DDoS où les records se comptent maintenant en térabits par seconde . Et le botnet ne s'arrête d'ailleurs pas aux routeurs, puisqu'il vise aussi des DVR, des plateformes de gestion vidéo et des appareils Android, sur à peu près toutes les architectures qui existent (ARM, MIPS, PowerPC, SuperH, x86).
Ces failles UPnP qui transforment des appareils oubliés en chair à botnet, c'est une vieille histoire faut dire... Je me souviens de mon article d'il y a plus de 10 ans, où je vous parlais déjà de dizaines de millions d'appareils vulnérables à cause d'UPnP. Et comme le matériel, ne disparaît pas vraiment mais finit recyclé, revendu, ou planqué derrière un meuble en marche H24, c'est un vrai running gag.
Voilà, donc si vous avez du DD-WRT en service, prenez cinq minutes pour mettre à jour et couper l'UPnP si vous ne vous en servez pas et surtout, dites vous qu'un boîtier que vous ne touchez plus jamais, à un moment faut trancher : **soit vous le maintenez vraiment à jour, DD-WRT ou OpenWRT peu importe, soit c'est direction la poubelle (euh pardon la déchetterie). **
Le garder branché en mode mort-vivant, ni mis à jour, ni débranché, c'est le pire que vous pouvez faire... Un routeur qu'on a sauvé de la poubelle mérite quand même mieux que de finir zombie dans une armée de cybercriminels à faire du DDoS.
Source + Photo par Jonathan Zander , CC BY-SA 3.0
La Linux Foundation a annoncé son intention de lancer la Tokenomics Foundation, une nouvelle fondation dédiée à l'établissement de normes ouvertes pour l'économie de l'infrastructure IA.
Anthropic a publié un article de blog détaillant, chiffres internes à l'appui, les progrès de Claude dans le développement de ses propres modèles, et les implications que l'entreprise en tire pour l'avenir de l'IA.
Tout se joue dans une conversation polie avec l'assistant IA du support de Meta, le robot conversationnel censé dépanner les utilisateurs quand ils ont un souci avec leur compte.
Le principe tient en quelques étapes. Le pirate se connecte d'abord via un VPN, un outil qui maquille sa localisation, pour faire croire qu'il se trouve dans la ville de sa victime et ne pas déclencher les protections automatiques d'Instagram.
Ensuite, il ouvre une discussion avec le Meta AI Support Assistant et lui demande tout bonnement d'ajouter une nouvelle adresse e-mail au compte ciblé.
Le robot envoie alors un code de vérification vers l'adresse fournie par le pirate. Celui-ci renvoie le code au chatbot, qui affiche aussitôt un bouton pour réinitialiser le mot de passe. Nouveau mot de passe, et le compte change de mains.
Le plus dingue, c'est qu'à aucun moment l'attaquant n'a eu besoin de toucher à la vraie boîte mail de la victime. Pas de phishing élaboré, pas de faux site à monter, pas de malware à glisser. Le support officiel faisait tout le travail à sa place.
Côté victimes, ça pique. Le compte de la Maison-Blanche de l'ère Obama, inactif depuis 2017, celui du sergent-chef de l'US Space Force John Bentivegna, ou encore celui de la chercheuse en sécurité Jane Wong, qui a raconté s'être fait voler le sien. S'ajoutent plusieurs comptes aux pseudos très courts, ceux qui se revendent cher au marché noir, dont la valeur cumulée dépasserait le demi-million de dollars.
L'attaque a été mise en scène dans une vidéo de démonstration, publiée fin mai sur Telegram par un groupe de pirates pro-iraniens, avec un mode d'emploi qui a tranquillement circulé sur plusieurs canaux.
Heureusement, il y a un garde-fou. L'exploit ne marche pas contre les comptes protégés par une authentification à deux facteurs, ce deuxième code demandé en plus du mot de passe, souvent reçu par SMS. Même la version la plus basique de cette protection suffisait à bloquer les pirates net.
Chez Meta, le porte-parole Andy Stone affirme que le problème est réglé et que les comptes touchés sont en train d'être sécurisés. Un correctif d'urgence a été déployé , et l'entreprise précise qu'aucune base de données interne n'a été piratée. Le trou était dans le chatbot, pas dans les serveurs.
Reste le fond du problème. Pour Ian Goldin, chercheur en cybersécurité chez Black Lotus Labs, ces assistants IA ouvrent une toute nouvelle surface d'attaque, et on va sûrement en voir beaucoup d'autres du même genre dans les mois qui viennent.
Bref, un chatbot conçu pour rendre service qui finit par surtout servir les pirates, c'est le genre de bug qu'on n'avait pas avec un bon vieux formulaire.
Source : ARS Technica
D'après le site américain Media 404, des hackers seraient parvenus à détourner le chatbot d’assistance de Meta pour prendre le contrôle de comptes Instagram. Une faille simple, basée sur la fragilité des gardes-fous de l'IA.
Connexion