Actualités High-Tech

1.8k Sujets 9.0k Messages
  • La Terre, comme vous ne l'avez jamais vue

    3
    7 Votes
    3 Messages
    76 Vues

    @duJambon Merci pour la traduction de la philosophie inspirante de cet astronome. En effet, le milliard de micro pixel tout riquiqui terrien perdu dans l’infiniment vaste est une aide à la relativisation. Chaque locataire terrien ne fait que passer et laisser une trace dans le cosmos avec moins de célérité qu’un pet sur une tringle à rideau.

  • 3 Votes
    1 Messages
    36 Vues

    Alors que les contenus créés par des intelligences artificielles commencent à se répandre sur internet, des chercheurs alertent sur les conséquences à long terme. A force de réentraîner des modèles de langage avec des contenus «synthétiques», ils finiraient par dérailler.

    37141369-ab3e-45b2-b4e0-9bb29f5a82bb-image.png
    Comme pour le texte, la réutilisation d’images créées par IA pour entraîner les générations successives d’un modèle spécialisé – ici cinq, de gauche à droite – engendre des aberrations grandissantes.

    56c07e1b-8cf7-4fb1-b8fd-2054e4d050cf-image.png

    Entraîner des IA génératives avec des textes créées par des IA génératives conduit à une effondrement de celles-ci Des chercheurs ont tenté l’expérience avec des documents encyclopédiques: les modèles se perdent entre les époques et des réalités alternatives «Si les modèles sont entraînés à l’avenir avec du contenu généré par des IA — souvent plus correctes sur le plan linguistique et orthographique —, seront-ils encore capables d’interagir avec des données produites par des humains?», se demande un chercheur.

    C’est un peu l’histoire du serpent qui se mord la queue: nourrir des générations successives d’un modèle d’intelligence artificielle avec des textes de synthèse créés par la génération d’IA précédente finit par produire des résultats absurdes, ce que les scientifiques appellent un «effondrement» – collapse en anglais. C’est ce que confirment des travaux dirigés par Yarin Gal (Université d’Oxford, Grande-Bretagne), et publiés dans Nature. De précédents travaux mis en ligne sur ArXiv.org avaient déjà pointé ce problème avec les images.

    Faute de disposer de ressources de calcul considérables, un groupe basé en Grande-Bretagne et au Canada a travaillé avec un générateur de langage (LLM) relativement modeste, doté de seulement 125 millions de paramètres – les modèles les plus performants comme ChatGPT-4 en possèdent de l’ordre de mille milliards. «Comme l’effondrement est un phénomène général, d’ordre statistique, nous pouvons dire en toute confiance sur la base de nos résultats que cela se produit quelle que soit la taille des modèles, explique Ilia Shumailov (Université d’Oxford), premier auteur de l’article. Ces derniers engendrent toujours des erreurs; si ces défauts sont ingérés par un modèle, qui ajoute ses propres errements, et qu’on répète le processus, les erreurs finissent par prendre le dessus.»

    Article pour abonnés: https://www.letemps.ch/sciences/entrainer-une-ia-avec-des-donnees-d-ia-conduit-a-l-absurde

  • 2 Votes
    6 Messages
    170 Vues

    “les pauvres abandonnent le réseau” et vont enfin retrouver leur cerveau!

  • Grand sabotage du réseau Internet en France

    4
    5 Votes
    4 Messages
    121 Vues

    @RussianFighter a dit dans Grand sabotage du réseau Internet en France :

    J’allais le dire, y a du Russekof là dessous

    Pourquoi c’est toi ??

  • 0 Votes
    1 Messages
    26 Vues

    Créez un nouveau groupe appelé « Administrateurs ESX » et ESXi lui accorde automatiquement des droits d’administrateur.

    Microsoft exhorte les utilisateurs de l’hyperviseur ESXi de VMware à prendre des mesures immédiates pour parer aux attaques en cours des groupes de ransomwares qui leur donnent un contrôle administratif total sur les serveurs sur lesquels le produit s’exécute.

    La vulnérabilité, identifiée comme CVE-2024-37085, permet aux attaquants qui ont déjà obtenu des droits système limités sur un serveur ciblé d’obtenir le contrôle administratif complet de l’hyperviseur ESXi. Les attaquants affiliés à plusieurs syndicats de ransomwares, notamment Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest, exploitent cette faille depuis des mois dans de nombreuses attaques post-compromise, c’est-à-dire après que l’accès limité a déjà été obtenu par d’autres moyens.

    6284f295-5031-4682-b7b3-71e440ad361d-image.png

    Droits d’administrateur attribués par défaut

    Le contrôle administratif complet de l’hyperviseur offre aux attaquants diverses capacités, notamment le chiffrement du système de fichiers et la mise hors service des serveurs qu’ils hébergent. Le contrôle de l’hyperviseur peut également permettre aux attaquants d’accéder aux machines virtuelles hébergées pour exfiltrer des données ou étendre leur présence au sein d’un réseau. Microsoft a découvert la vulnérabilité exploitée au cours de son enquête normale sur les attaques et l’a signalée à VMware. La société mère de VMware, Broadcom, a corrigé la vulnérabilité jeudi.

    des membres de l’équipe Microsoft Threat Intelligence “Les chercheurs en sécurité de Microsoft ont identifié une nouvelle technique post-compromise utilisée par les opérateurs de ransomware comme Storm-0506, Storm-1175, Octo Tempest et Manatee Tempest dans de nombreuses attaques”, ont écrit lundi . « Dans plusieurs cas, l’utilisation de cette technique a conduit au déploiement des ransomwares Akira et Black Basta. »

    Le message documente ensuite une découverte étonnante : l’augmentation des privilèges de l’hyperviseur sur ESXi vers un administrateur sans restriction était aussi simple que la création d’un nouveau groupe de domaine nommé « Administrateurs ESX ». À partir de ce moment-là, tout utilisateur affecté au groupe, y compris les utilisateurs nouvellement créés, devenait automatiquement administrateur, sans aucune authentification nécessaire. Comme l’explique le message de Microsoft :

    Une analyse plus approfondie de la vulnérabilité a révélé que les hyperviseurs VMware ESXi joints à un domaine Active Directory considèrent par défaut que tout membre d’un groupe de domaine nommé « Administrateurs ESX » dispose d’un accès administratif complet. Ce groupe n’est pas un groupe intégré dans Active Directory et n’existe pas par défaut. Les hyperviseurs ESXi ne valident pas l’existence d’un tel groupe lorsque le serveur est joint à un domaine et traitent toujours tous les membres d’un groupe portant ce nom avec un accès administratif complet, même si le groupe n’existait pas à l’origine. De plus, l’appartenance au groupe est déterminée par le nom et non par l’identifiant de sécurité (SID).

    La création du nouveau groupe de domaines peut être réalisée avec seulement deux commandes :

    groupe net « Administrateurs ESX » /domaine /add groupe net « ESX Admins » nom d’utilisateur/domaine/add

    Ils ont déclaré qu’au cours de l’année écoulée, les auteurs de ransomwares ont de plus en plus ciblé les hyperviseurs ESXi dans des attaques qui leur permettent de chiffrer en masse des données en « quelques clics » seulement. En chiffrant le système de fichiers de l’hyperviseur, toutes les machines virtuelles hébergées sur celui-ci sont également chiffrées. Les chercheurs ont également déclaré que de nombreux produits de sécurité ont une visibilité limitée et peu de protection sur l’hyperviseur ESXi.

    La facilité d’exploitation, associée à la note de gravité moyenne attribuée par VMware à la vulnérabilité, soit 6,8 sur 10 possibles, a suscité les critiques de certains professionnels de la sécurité expérimentés.

    9610456e-fcb0-483e-ae79-456dad6e3c77-image.png

    ESXi est un hyperviseur de type 1, également connu sous le nom d’hyperviseur nu, ce qui signifie qu’il s’agit d’un système d’exploitation en soi installé directement sur un serveur physique. Contrairement aux hyperviseurs de type 2, les hyperviseurs de type 1 ne s’exécutent pas sur un système d’exploitation tel que Windows ou Linux. Les systèmes d’exploitation invités s’exécutent ensuite par-dessus. Prendre le contrôle de l’hyperviseur ESXi donne aux attaquants un pouvoir énorme.

    Les chercheurs de Microsoft ont décrit une attaque qu’ils ont observée par le groupe de menace Storm-0506 visant à installer un ransomware connu sous le nom de Black Basta. Comme étapes intermédiaires, Storm-0506 a installé un malware connu sous le nom de Qakbot et a exploité une vulnérabilité Windows précédemment corrigée pour faciliter l’installation de deux outils de piratage, l’un connu sous le nom de Cobalt Strike et l’autre Mimikatz. Les chercheurs ont écrit :

    Plus tôt cette année, une société d’ingénierie en Amérique du Nord a été touchée par le déploiement du ransomware Black Basta par Storm-0506. Au cours de cette attaque, l’auteur de la menace a utilisé la vulnérabilité CVE-2024-37085 pour obtenir des privilèges élevés sur les hyperviseurs ESXi au sein de l’organisation.

    L’acteur malveillant a obtenu un premier accès à l’organisation via une infection Qakbot, suivi de l’exploitation d’une vulnérabilité Windows CLFS (CVE-2023-28252) pour élever ses privilèges sur les appareils concernés. L’acteur malveillant a ensuite utilisé Cobalt Strike et Pypykatz (une version Python de Mimikatz) pour voler les informations d’identification de deux administrateurs de domaine et se déplacer latéralement vers quatre contrôleurs de domaine.

    Sur les contrôleurs de domaine compromis, l’acteur malveillant a installé des mécanismes de persistance à l’aide d’outils personnalisés et d’un implant SystemBC. L’acteur a également été observé en train de tenter de forcer brutalement les connexions RDP (Remote Desktop Protocol) à plusieurs appareils comme autre méthode de mouvement latéral, puis d’installer à nouveau Cobalt Strike et SystemBC. L’acteur malveillant a ensuite tenté de falsifier Microsoft Defender Antivirus à l’aide de divers outils pour éviter d’être détecté.

    Microsoft a observé que l’acteur malveillant avait créé le groupe « ESX Admins » dans le domaine et y avait ajouté un nouveau compte utilisateur. Suite à ces actions, Microsoft a observé que cette attaque entraînait le cryptage du système de fichiers ESXi et la perte des fonctionnalités des machines virtuelles hébergées. sur l’hyperviseur ESXi. L’acteur a également été observé en train d’utiliser PsExec pour chiffrer des appareils qui ne sont pas hébergés sur l’hyperviseur ESXi. L’antivirus Microsoft Defender et l’interruption automatique des attaques dans Microsoft Defender for Endpoint ont permis d’arrêter ces tentatives de chiffrement sur les appareils sur lesquels l’ agent unifié pour Defender for Endpoint était installé.

    3f967313-3913-40f2-87d9-9db684cdcc29-image.png
    La chaîne d’attaque utilisée par Storm-0506.

    Toute personne ayant la responsabilité administrative des hyperviseurs ESXi doit donner la priorité à l’enquête et à la correction de cette vulnérabilité. La publication Microsoft propose plusieurs méthodes pour identifier les modifications suspectes du groupe Administrateurs ESX ou d’autres signes potentiels d’exploitation de cette vulnérabilité.

    Source: https://arstechnica.com/security/2024/07/hackers-exploit-vmware-vulnerability-that-gives-them-hypervisor-admin/

  • 1 Votes
    1 Messages
    27 Vues

    Certains utilisateurs ont été scandalisés d’apprendre qu’il s’agissait d’une désinscription et non d’une inscription.

    La plateforme de médias sociaux X dirigée par Elon Musk forme Grok, son chatbot IA , sur les données des utilisateurs, et il s’agit d’une désinscription et non d’une inscription. Si vous êtes un utilisateur X, cela signifie que Grok est déjà formé sur vos publications si vous ne lui avez pas explicitement dit de ne pas le faire.

    Au cours des derniers jours, les utilisateurs de la plateforme ont remarqué la case à cocher permettant de désactiver cette utilisation des données dans les paramètres de confidentialité de X. Cette découverte s’est accompagnée d’une indignation quant au fait que les données des utilisateurs étaient utilisées de cette manière.

    Les publications sur les réseaux sociaux à ce sujet semblent parfois suggérer que Grok vient tout juste de commencer la formation sur les données des utilisateurs X, mais les utilisateurs ne savent pas avec certitude quand cela a commencé.

    Plus tôt dans la journée, le compte X’s Safety a tweeté : “Tous les utilisateurs de X ont la possibilité de contrôler si leurs publications publiques peuvent être utilisées pour former Grok, l’assistant de recherche IA.” Mais il n’a pas été précisé ni quand l’option est devenue disponible ni quand la collecte de données a commencé.

    Vous ne pouvez pas le désactiver actuellement dans les applications mobiles, mais vous pouvez le faire sur le Web mobile, et X indique que l’option sera bientôt disponible dans les applications.

    Sur la page des paramètres de confidentialité, X dit :

    Pour améliorer continuellement votre expérience, nous pouvons utiliser vos publications X ainsi que vos interactions d’utilisateur, vos entrées et vos résultats avec Grok à des fins de formation et de réglage. Cela signifie également que vos interactions, contributions et résultats peuvent également être partagés avec notre fournisseur de services xAI à ces fins.

    La politique de confidentialité de X le permet depuis au moins septembre 2023.

    Il est de plus en plus courant que les données des utilisateurs soient utilisées de cette manière ; par exemple, Meta a fait de même avec le contenu de ses utilisateurs, et il y a eu un tollé lorsqu’Adobe a mis à jour ses conditions d’utilisation pour autoriser ce genre de choses. ( Adobe a rapidement fait marche arrière et a promis de « ne jamais » entraîner l’IA générative sur le contenu des créateurs.)

    Comment se désinscrire

    Pour empêcher Grok de s’entraîner sur votre contenu X, allez d’abord dans « Paramètres et confidentialité » depuis le menu « Plus » du panneau de navigation… Ensuite, cliquez ou appuyez sur “Confidentialité et sécurité”… Puis “Grok”… Et enfin, décochez la case.

    Vous ne pouvez pas encore vous désinscrire dans les applications iOS ou Android, mais vous pouvez le faire en quelques étapes rapides sur le Web mobile ou de bureau. Faire cela:

    Cliquez ou appuyez sur “Plus” dans le panneau de navigation Cliquez ou appuyez sur “Paramètres et confidentialité” Cliquez ou appuyez sur “Confidentialité et sécurité” Faites défiler vers le bas et cliquez ou appuyez sur “Grok” sous “Partage et personnalisation des données”. Décochez la case “Autoriser l’utilisation de vos publications ainsi que de vos interactions, entrées et résultats avec Grok à des fins de formation et de réglage”, qui est cochée par défaut.

    Alternativement, vous pouvez suivre ce lien directement vers la page des paramètres et décocher la case en un seul clic. Si vous le souhaitez, vous pouvez également supprimer votre historique de conversations avec Grok ici, à condition que vous ayez déjà utilisé le chatbot.

    Source: https://arstechnica.com/ai/2024/07/x-is-training-grok-ai-on-your-data-heres-how-to-stop-it/

    “-Motus et bouche cousue : c’est notre devise. -Je dirais même plus, botus et mouche cousue : c’est votre denise.”

  • Testez vos reflexes en Cyber sécurité

    11
    4 Votes
    11 Messages
    213 Vues

    Ceinture jaune, mais j’ai pas de téléphone portable, ne travail plus et me promène pas avec un pc. Qui plus est les JO… suis trop bien dans ma campagne sans aller chercher des hackers parisiens ou pas. Aussi, mériterais-je la ceinture noire 🙂

  • 2 Votes
    1 Messages
    56 Vues

    Jeudi, des chercheurs de la société de sécurité Binarly ont révélé que Secure Boot était complètement compromis sur plus de 200 modèles d’appareils vendus par Acer, Dell, Gigabyte, Intel et Supermicro. La cause : une clé cryptographique à la base du démarrage sécurisé sur ces modèles qui a été compromise en 2022. Dans un référentiel GitHub public validé en décembre de la même année, une personne travaillant pour plusieurs fabricants d’appareils basés aux États-Unis a publié ce que l’on appelle une clé de plate-forme, la clé cryptographique. qui constitue l’ancre racine de confiance entre le périphérique matériel et le micrologiciel qui s’y exécute. Le référentiel se trouvait sur https://github.com/raywu-aaeon/Ryzen2000_4000.git, et on ne sait pas quand il a été supprimé.

    Le référentiel comprenait la partie privée de la clé de la plateforme sous forme cryptée. Le fichier crypté, cependant, était protégé par un mot de passe à quatre caractères, une décision qui rendait trivial pour Binarly, et pour toute autre personne même un peu curieuse, de déchiffrer le mot de passe et de récupérer le texte brut correspondant. La divulgation de la clé est passée largement inaperçue jusqu’en janvier 2023, lorsque les chercheurs de Binarly l’ont trouvée alors qu’ils enquêtaient sur un incident dans la chaîne d’approvisionnement. Maintenant que la fuite a été révélée, les experts en sécurité affirment qu’elle torpille effectivement les garanties de sécurité offertes par Secure Boot.

    “C’est un gros problème”, a déclaré Martin Smolár, un analyste de logiciels malveillants spécialisé dans les rootkits, qui a examiné l’étude Binarly et m’en a parlé. « Il s’agit essentiellement d’un contournement sécurisé du démarrage illimité pour les appareils qui utilisent cette clé de plate-forme. Ainsi, jusqu’à ce que les fabricants d’appareils ou les OEM fournissent des mises à jour du micrologiciel, n’importe qui peut essentiellement… exécuter n’importe quel logiciel malveillant ou code non fiable lors du démarrage du système. Bien sûr, un accès privilégié est requis, mais dans de nombreux cas, ce n’est pas un problème.

    Les chercheurs de Binarly ont déclaré que leurs analyses des images du micrologiciel ont découvert 215 appareils utilisant la clé compromise, qui peuvent être identifiés par le numéro de série du certificat 55:fb:ef:87:81:23:00:84:47:17:0b:b3 : cd:87:3a:f4. Un tableau apparaissant à la fin de cet article répertorie chacun d’entre eux.

    Les chercheurs ont rapidement découvert que la compromission de la clé n’était que le début d’une rupture beaucoup plus importante de la chaîne d’approvisionnement qui soulève de sérieux doutes sur l’intégrité du démarrage sécurisé sur plus de 300 modèles d’appareils supplémentaires provenant de pratiquement tous les principaux fabricants d’appareils. Comme c’est le cas avec la clé de plate-forme compromise dans la fuite GitHub de 2022, 21 clés de plate-forme supplémentaires contiennent les chaînes « NE PAS EXPÉDIER » ou « NE PAS FAIRE CONFIANCE ».

    5f44c0ac-f2be-4e81-903a-98e739cc7ae8-image.png
    Certificat de test fourni par AMI.

    Ces clés ont été créées par AMI, l’un des trois principaux fournisseurs de kits de développement de logiciels que les fabricants d’appareils utilisent pour personnaliser leur micrologiciel UEFI afin qu’il fonctionne sur leurs configurations matérielles spécifiques. Comme le suggèrent les chaînes, les clés n’ont jamais été destinées à être utilisées dans des systèmes de production. Au lieu de cela, AMI les a fournis à des clients ou des clients potentiels pour les tester. Pour des raisons qui ne sont pas claires, les clés de test ont été intégrées dans les appareils d’une liste presque inexhaustive de fabricants. Outre les cinq fabricants mentionnés précédemment, ils incluent Aopen, Foremelife, Fujitsu, HP, Lenovo et Supermicro.

    Les meilleures pratiques de gestion des clés cryptographiques exigent que les informations d’identification telles que les clés de plate-forme de production soient uniques pour chaque ligne de produits ou, au minimum, soient uniques pour un fabricant d’appareil donné. Les meilleures pratiques imposent également que les clés soient alternées périodiquement. En revanche, les clés de test découvertes par Binarly ont été partagées pendant plus d’une décennie par plus d’une douzaine de fabricants d’appareils indépendants. Le résultat est que les clés ne sont plus fiables car la partie privée de celles-ci est un secret industriel de polichinelle.

    Dans une interview, le fondateur et PDG de Binarly, Alex Matrosov, a écrit :

    « Imaginez que tous les habitants d’un immeuble aient la même serrure et la même clé de porte d’entrée. Si quelqu’un perd la clé, cela pourrait poser un problème pour tout le bâtiment. Mais que se passerait-il si les choses étaient encore pires et que d’autres bâtiments avaient la même serrure et les mêmes clés ?

    Matrosov a déclaré que son équipe avait trouvé des clés de plate-forme de test identiques sur les produits liés au client et au serveur. Les membres de l’équipe ont également déterminé qu’au moins une clé de test était utilisée dans des appareils vendus par trois fabricants distincts.

    « Si la clé est divulguée, cela aura un impact sur l’écosystème », a-t-il expliqué. “Cela n’affecte pas un seul appareil.”

    Binarly a nommé sa découverte PKfail en reconnaissance du problème massif de la chaîne d’approvisionnement résultant de l’incapacité de l’ensemble de l’industrie à gérer correctement les clés de la plate-forme. Le rapport est disponible ici . Les vidéos de preuve de concept sont ici et ici . Binarly a fourni un outil d’analyse ici .

    Source et beaucoup plus: https://arstechnica.com/security/2024/07/secure-boot-is-completely-compromised-on-200-models-from-5-big-device-makers/

    Encore un truc aussi foireux que BitLocker et une bonne raison de ne pas exiger ça de windows 11/12

  • 1 Votes
    1 Messages
    32 Vues

    L’événement a provoqué le chaos dans les aéroports, les épiceries et les points de vente Starbucks.

    ac9a36e9-87b9-4fc0-8e7e-98dffdfbb24f-image.png

    Vendredi, lorsqu’une mise à jour de CrowdStrike a provoqué le crash de millions de systèmes Microsoft dans le monde, de nombreuses entreprises ont été confrontées à un choix : adopter le paiement en espèces uniquement ou fermer leurs portes jusqu’à ce que les systèmes reviennent en ligne.

    Cela a rapidement provoqué le chaos en Australie, dont le gouvernement a explicitement encouragé les entreprises à ne plus utiliser de numéraire. Des photos publiées sur les réseaux sociaux montraient des caisses automatiques uniquement par carte de la chaîne d’épicerie Coles affichant des écrans bleus de la mort. Les files d’attente pour les registres gérés par des humains dans les épiceries australiennes s’étendaient jusqu’à l’arrière du magasin, selon les médias locaux. Certains magasins australiens ont tout simplement fermé leurs portes.

    Pendant ce temps, comme en témoignent les réseaux sociaux, certaines compagnies aériennes indiennes ont dû manuscrites délivrer des cartes d’embarquement aux personnes dont les vols étaient prévus vendredi. Aux États-Unis, un large éventail d’entreprises, notamment l’équipe de baseball des ligues mineures Norfolk Tides, les piscines publiques du comté d’Allegheny, en Pennsylvanie, et le cinéma Film Forum de New York, ont annoncé qu’elles fonctionneraient uniquement en espèces jusqu’à nouvel ordre.

    Starbucks – dont le PDG de l’époque avait déclaré en 2020 que l’entreprise s’orientait « vers davantage d’expériences sans numéraire » – semble avoir été particulièrement durement touché. Un employé de Starbucks basé au Kansas a publié un TikTok montrant que le système de commande mobile était « complètement en panne ». La machine utilisée par le magasin pour imprimer les étiquettes des gobelets ne fonctionnait pas non plus. “Il ressort vierge à chaque fois”, a-t-elle déclaré en désignant l’imprimante d’étiquettes. Elle raconte à WIRED que certains clients étaient « bouleversés et très impolis » lorsqu’elle a essayé de s’expliquer. Une autre employée de Starbucks a déclaré sur TikTok qu’elle devait écrire chaque commande sur des notes autocollantes.

    Alimentant encore davantage le chaos, Starbucks a proposé vendredi une offre de boissons à 3 $ aux membres de son programme de récompenses (au moins aux États-Unis). Un employé de Starbucks basé en Floride a déclaré à WIRED que la situation rendait le vendredi, un jour de la semaine « extrêmement chargé » dans des circonstances normales, encore plus stressant. Même si la plupart des gens étaient compréhensifs, dit-elle, il y avait « des gens frustrés à l’extérieur » lorsque le magasin a dû fermer son espace de restauration intérieur et se concentrer sur le service au volant.

    Richard Forno, professeur de cybersécurité à l’Université du Maryland, a déclaré à WIRED que la panne de vendredi démontre la vulnérabilité de notre infrastructure cloud et Internet actuelle. « Les chaînes d’approvisionnement en logiciels constituent depuis longtemps un grave problème de cybersécurité et un point de défaillance unique potentiel », explique Forno. « Compte tenu des événements d’aujourd’hui, avec un peu de chance, le monde pourrait enfin se rendre compte que notre société moderne de l’information, souvent basée sur le cloud, repose sur une fondation très fragile qui n’est pas conçue pour la sécurité ou la résilience. » (Un porte-parole de Microsoft n’a pas répondu directement à cette évaluation.)

    Un nombre croissant d’entreprises ont adopté le mode sans numéraire En 2020, en réponse à la pandémie, ce qui a perturbé la circulation de l’argent physique. Cependant, l’ACLU a averti que les magasins sans numéraire permettent la surveillance des consommateurs et ont un impact disproportionné sur les clients à faible revenu, qui sont moins susceptibles de posséder un compte bancaire et plus susceptibles d’utiliser des espèces. Ceci, en partie, a incité Philadelphie, San Francisco et New York à adopter des lois interdisant aux entreprises de fonctionner entièrement sans numéraire.

    Mais certaines entreprises soulignent les avantages du paiement sans numéraire. Le stade Mercedes Benz d’Atlanta, devenu sans numéraire en 2019, a affirmé que le changement réduisait les délais de transaction, permettant ainsi aux files d’attente pour la nourriture et les boissons de se déplacer plus rapidement. Le site a déclaré dans un communiqué de presse qu’il avait économisé « plus de 350 000 $ en dépenses opérationnelles » un an après le changement. (WIRED a appelé le stade à plusieurs reprises vendredi, mais n’a pas pu parler avec un humain.)

    Les systèmes de certaines entreprises concernées sont revenus en ligne en quelques heures. Bien qu’un article publié vendredi matin sur X ait annoncé que les parcours de golf North Park et South Park, basés à Pittsburgh, fonctionneraient uniquement en espèces jusqu’à nouvel ordre, un employé qui a répondu au téléphone a déclaré à WIRED que les parcours étaient déjà en mesure d’accepter à la fois les espèces et les cartes.

    Pendant ce temps, certaines entreprises entièrement sans numéraire n’ont pas été touchées du tout. Le Las Vegas Sphere, qui fonctionne entièrement sans numéraire, n’a pas été affecté, selon un représentant du service client. Bien qu’une publication virale sur X semble montrer la Sphère en panne, l’image est fausse et circule depuis février. Le représentant de Sphere a confirmé qu’aucun de ses écrans n’a été affecté.

    Source: https://www.wired.com/story/microsoft-crowdstrike-outage-cash/

  • 4 Votes
    2 Messages
    61 Vues

    J’ai déjà fait mon vieux con sur un autre topic, mais cette génération me fait un peu peur, il y a un côté on/off qui tue tout débat.

    Pour parfaire le côté vieux con, on était aussi con à l’époque que les jeunes de maintenant, mais sans les certitudes!

    C’était la connerie pour la connerie, sans les revendications.

  • 3 Votes
    5 Messages
    173 Vues

    @Nookyy Ils ne peuvent s’en prendre qu’a eux même, le politiquement correct n’a rien a faire dans l’art du divertissement et leur militantisme commence à en gonfler plus d’un!

  • 2 Votes
    2 Messages
    86 Vues

    Merci pour l’article très interessant qui en dit long sur les interêts stratégiques de nos nations. Ca fait un peu flipper n’empêche

  • 0 Votes
    4 Messages
    93 Vues

    @Popaul a dit dans Pire que le Japon, la marine militaire allemande utilise toujours des disquettes de 8 pouces :

    4k

    Normalement si tout va bien pour un remux, 4k, t’en auras pour plus de 50 ans à finir tous ça si tu commences maintenant ^^.
    Moi j’ai terminé un dvdrip .avi que j’ai débuté en 2004 à enregistrer de bout en bout et enfin c’est terminé à l’instant (bon faut juste que je loue un box pour stocker tous ça ^^).

    L’INA n’a qu’a bien se tenir, bibi va envoyer du lourd

  • Copilot dans Skype

    4
    0 Votes
    4 Messages
    60 Vues

    3h 1/2 plus tard, toujours rien 🙂 Y-a-t-il un modèle prédictif dans l’avion ?

  • 3 Votes
    2 Messages
    50 Vues

    Entre ça et les notes à tout va pour n’importe quel service Black Mirror n’est plus de la fiction.

  • 0 Votes
    1 Messages
    35 Vues

    L’application a été mise à jour pour résoudre le problème après avoir attiré l’attention du public.

    OpenAI a annoncé son application de bureau Mac pour ChatGPT en grande pompe il y a quelques semaines, mais il s’avère qu’elle présentait un problème de sécurité assez grave : les discussions des utilisateurs étaient stockées en texte brut, où tout mauvais acteur pouvait les trouver s’il avait accès à votre machine.

    Comme l’a noté l’utilisateur de Threads Pedro José Pereira Vieito plus tôt cette semaine , « l’application OpenAI ChatGPT sur macOS n’est pas en mode bac à sable et stocke toutes les conversations en texte brut dans un emplacement non protégé », ce qui signifie que « toute autre application/processus/malware en cours d’exécution peut lisez toutes vos conversations ChatGPT sans aucune demande d’autorisation.

    Il ajouta:

    macOS a bloqué l’accès à toutes les données privées des utilisateurs depuis macOS Mojave 10.14 (il y a 6 ans !). Toute application accédant aux données utilisateur privées (Calendrier, Contacts, Mail, Photos, tout bac à sable d’application tierce, etc.) nécessite désormais un accès utilisateur explicite.

    OpenAI a choisi de se retirer du bac à sable et de stocker les conversations en texte brut dans un emplacement non protégé, désactivant ainsi toutes ces défenses intégrées.

    OpenAI a maintenant mis à jour l’application et les discussions locales sont désormais cryptées, bien qu’elles ne soient toujours pas mises en bac à sable. (L’application est uniquement disponible en téléchargement direct depuis le site Web d’OpenAI et n’est pas disponible via l’App Store d’Apple où une sécurité plus stricte est requise.)

    De nombreuses personnes utilisent désormais ChatGPT comme elles utiliseraient Google : pour poser des questions importantes, trier les problèmes, etc. Souvent, des données personnelles sensibles peuvent être partagées lors de ces conversations.

    Ce n’est pas une bonne idée pour OpenAI, qui a récemment conclu un partenariat avec Apple pour proposer des services de chatbot intégrés aux requêtes Siri dans les systèmes d’exploitation Apple. Cependant, Apple a détaillé une partie de la sécurité autour de ces requêtes à la WWDC le mois dernier, et elles sont plus strictes que ce qu’OpenAI a fait (ou pour être plus précis, n’a pas fait) avec son application Mac, qui est une initiative distincte du Partenariat.

    Si vous avez utilisé l’application récemment, assurez-vous de la mettre à jour dès que possible.

    Source: https://arstechnica.com/ai/2024/07/chatgpts-much-heralded-mac-app-was-storing-conversations-as-plain-text/

    On a beau être rigoureux en termes de sécurité, n’importe quelle application peut vous mettre dans la merde.

  • 0 Votes
    1 Messages
    51 Vues

    Amazon rembourse les robots professionnels et se concentrera plutôt sur la version domestique.

    e1af4ec9-d994-447f-8dee-fe922b6cbd41-image.png
    Entre un aspirateur et Wall-E 🙂

    Amazon va fabriquer tous les robots Astro for Business le 25 septembre. Il a lancé le robot pour la première fois il y a environ huit mois en tant que dispositif de sécurité pour les petites et moyennes entreprises (PME) pour 2 350 $, mais l’appareil sera bientôt un nouvel ajout coûteux à la gamme d’Amazon à liste des produits ayant échoué.

    Amazon a annoncé Astro en septembre 2021 en tant que robot domestique ; cette version de l’appareil n’est toujours disponible qu’en aperçu de 1 600 $ sur invitation uniquement.

    En novembre, Amazon a orienté Astro vers les PME. Mais comme l’a rapporté GeekWire pour la première fois, Amazon a envoyé mercredi des e-mails aux employés travaillant sur Astro for Business et aux clients pour leur dire que les appareils cesseraient de fonctionner le 25 septembre. À l’époque, l’e-mail d’Amazon aux clients disait : « Vos données personnelles seront supprimées depuis l’appareil. Toutes les vidéos de patrouille ou d’enquête enregistrées par Astro seront toujours disponibles dans votre application Ring jusqu’à l’expiration de la durée de stockage de vos vidéos ou de la fin de votre abonnement Ring Protect. Selon The Verge, l’e-mail ajoute :

    Bien que nous soyons fiers de ce que nous avons construit, nous avons pris la décision de mettre fin au support d’Astro for Business afin de nous concentrer sur faire d’Astro le meilleur robot pour la maison.

    À partir de cette semaine, Amazon ne facturera plus aux utilisateurs les abonnements associés à Astro for Business, tels qu’Astro Secure, qui permet au robot de patrouiller les entreprises via des itinéraires personnalisés, ou Ring Protect Pro, qui permet aux propriétaires d’Astro for Business de stocker et de synchroniser l’historique vidéo. le robot avec les appareils Ring.

    Amazon a déclaré qu’il rembourserait 2 350 $ à ses clients et leur accorderait un crédit Amazon de 300 $. Il a également annoncé qu’il rembourserait les frais d’abonnement prépayés non utilisés.

    Amazon a refusé de partager le nombre de robots vendus, mais il est regrettable de voir une technologie aussi coûteuse et complexe devenir obsolète après moins d’un an. Amazon n’a partagé aucun moyen d’utiliser davantage les appareils, et la porte-parole Courtney Ramirez a déclaré à The Verge qu’Astro for Business ne pouvait pas être utilisé comme robot domestique. L’e-mail d’Amazon aux clients encourage les propriétaires à recycler Astro for Business via le programme de recyclage Amazon, Amazon couvrant les coûts associés.

    Astro tarde à décoller

    Amazon a présenté Astro fin 2021, mais en 2024, il n’est toujours pas disponible au grand public. Lorsqu’Amazon a lancé Astro pour les PME, il semblait qu’il aurait pu trouver une nouvelle niche pour le produit. Un rapport de Business Insider de mai 2023 affirmait qu’Amazon avait choisi de lancer Astro for Business plutôt que « un plan interne visant à lancer un modèle moins coûteux » en 2022 pour les consommateurs.

    Astro for Business pouvait patrouiller de manière autonome des espaces allant jusqu’à 5 000 pieds carrés avec un périscope HD et une vision nocturne, il pouvait transporter de petits appareils et, bien sûr, était contrôlable par Amazon Alexa. Depuis sa sortie, nous avons pris connaissance des difficultés financières désastreuses d’Alexa et avons vu David Limp, qui dirigeait le projet Astro en tant que vice-président directeur des appareils et services d’Amazon, quitter Amazon , tandis que sa division a subi des licenciements notables (un représentant d’Amazon a déclaré à GeekWire que la fermeture d’Astro for Business n’entraînera pas de licenciements puisque les employés commenceront plutôt à travailler sur la version domestique du robot).

    L’avenir d’Astro

    Selon les e-mails d’Amazon, la société est toujours désireuse de publier la version domestique d’Astro, ce qui pourrait surprendre certains puisqu’il n’y a eu aucun signe d’une sortie imminente depuis qu’Amazon a annoncé Astro il y a des années.

    En mai 2023, un représentant d’Amazon a déclaré à Insider que la société avait les yeux rivés sur le potentiel de l’IA générative pour Astro. Il est probable qu’Amazon espère un jour proposer Astro aux consommateurs avec la version IA générative d’Alexa (qui est attendue cette année avec des frais d’abonnement). En mai 2023, Insider a cité des documents internes qui, selon lui, discutaient de l’ajout « d’intelligence et d’une interface conversationnelle parlée » à Astro.

    Mais étant donné qu’il a fallu à Amazon plus de deux ans et demi (et ce n’est pas fini) et que cela aurait nécessité le travail de plus de 800 personnes pour rendre Astro généralement disponible, ainsi que la disparition soudaine de la version professionnelle, il y a des raisons d’hésiter à payer le prix. prix élevé et frais d’abonnement éventuels pour un Astro grand public, si jamais il sort. Les premiers utilisateurs pourraient se retrouver dans une position tout aussi décevante que les PME qui ont acheté Astro for Business.

    Le développement d’Astro intervient à une époque tumultueuse pour le secteur des appareils d’Amazon, car il cherche à faire d’Alexa un assistant d’IA compétitif et, surtout, lucratif. En juin, Reuters a rapporté que la haute direction d’Amazon avait déclaré aux employés que 2024 était une « victoire incontournable » pour Alexa. Certains analystes s’attendent à une réduction des investissements dans Alexa si le niveau payant ne décolle pas.

    Le robot domestique Astro d’Amazon fait face à une montée difficile vers toute sortie potentielle ou demande des consommateurs. Pendant ce temps, la version qui a réellement été commercialisée se dirige vers un cimetière rempli d’autres produits Amazon morts, comme Just Walk Out, Amazon Glow , Fire Phone, les boutons Dash et l’ Amazon Smart Oven.

    Source: https://arstechnica.com/gadgets/2024/07/amazon-is-bricking-2350-astro-robots-10-months-after-release/

  • 2 Votes
    1 Messages
    65 Vues

    Dans son rapport sur l’état de l’Internet en France, l’Arcep ne se penche pas uniquement sur l’interconnexion et la neutralité du Net. L’autorité en profite également pour faire le point sur le déploiement de l’IPv6 en France (la fin de la transition est prévue pour 2030) et sur les perspectives.

    L’Arcep se félicite que la France obtienne la médaille de bronze en termes d’utilisation d’IPv6, parmi les 100 pays au monde avec le plus d’internautes : « Mi-2023, 81 % des clients fixe grand public (FttH, câble, ADSL) avaient de l’IPv6 activé, contre 66 % sur le réseau mobile ». Un an auparavant, il était respectivement question de 72 et 60 %. Mais attention, ces chiffres cachent de grandes disparités entre les FAI.

    Fin de migration prévue pour 2030

    L’Arcep estime que la fin de la transition arrivera aux alentours de 2030. La période coïncidera avec la fermeture du réseau cuivre pour une raison simple : « certains opérateurs ont choisi de ne pas faire migrer des infrastructures en fin de vie vers le protocole IPv6 ».

    C’est un peu la même situation que Free Mobile qui joue la montre sur la 2G. L’opérateur n’a finalement déployé que quelques sites depuis son lancement, pour les fermer quelques mois plus tard. Free et Orange ont pour rappel prolongé leur accord d’itinérance en 2G et 3G jusqu’en 2025, au grand dam des deux autres opérateurs nationaux.

    IPv6 sur le fixe : demandez le programme

    L’Arcep dresse le bilan des quatre opérateurs nationaux pour le réseau fixe grand public :

    Bouygues Telecom : IPv6 activée pour tous ses clients FttH, ADSL, VDSL, 4G et 5G box équipés, avec une box compatible et connectés sur le réseau en propre de Bouygues. Il n’y a pas d’IPv6 pour les clients connectés sur un DSLAM Orange.

    Free : IPv6 activé pour tous ses clients FttH, ADSL, VDSL sur son réseau en propre. Pas d’IPv6 pour les clients non dégroupés, ni pour ceux avec une box 4G+.

    Orange : IPv6 activée pour tous ses clients FttH, ADSL, VDSL, 4G et 5G Home avec une box compatible et sur un réseau qui attribue les adresses par DHCP. L’IPv6 n’est pas proposé pour quelques clients ADSL grand public (adresses attribuées via PPP).

    SFR : le renouvellement des équipements incompatibles avec l’IPv6 sur le réseau FttH se termine, explique l’Arcep. L’IPv6 n’est pas systématiquement activé, c’est au client de le faire, ce qui explique le taux bien plus bas que les autres opérateurs.

    Avec la fermeture du cuivre en ligne de mire, SFR a décidé de « supprimer en 2023 le support de l’IPv6 sur les offres ADSL/VDSL. L’IPv6 (encapsulé dans l’IPv4) était auparavant disponible sur les offres ADSL et VDSL, mais non activé par défaut (à fin juin 2022, 1 % des clients ADSL et VDSL avaient activé cette option) ». Pas d’IPv6 sur le réseau câble.

    Pour les pros… ce n’est pas mieux

    Un mot sur les clients Pro. La situation est la même que pour le grand public chez Bouygues et Free. Mais elle est différente chez Orange et SFR, largement majoritaires sur ce marché (surtout le premier).

    Chez Orange, IPv6 n’est pas disponible en ADSL ou VDSL Pro. Chez SFR, IPv6 n’est disponible que sur les offres 4G et 5G fixe, pas pour les offres Pro en FttH, ADSL, VDSL ou câble. Il existe aussi de nombreux opérateurs alternatifs sur le marché pro, avec IPv6 par défaut.

    Comme le rappelle l’Arcep, « le retard de développement d’IPv6 entraîne le risque d’une scission en deux d’internet, avec IPv4 d’un côté et IPv6 de l’autre. À titre d’illustration, quand un site web ou une application est hébergée en “IPv6-only”, elle n’est alors pas accessible aux utilisateurs qui n’ont qu’une adresse IPv4 ».

    Or, nous sommes en période de pénurie d’IPv4 depuis plusieurs années.

    Allez, on passe au mobile (spoiler : c’est pire que le fixe)

    Sur le mobile, c’est encore plus compliqué : « Si les principaux opérateurs proposent tous de l’IPv6, la différence se fait sur l’activation » et sur le système d’exploitation.

    Sur Android, « Bouygues Telecom, Orange et SFR activent par défaut l’IPv6 sur les mobiles Android dont la date de commercialisation est postérieure à 2018 (Bouygues), 2020 (Orange) et 2021 (SFR). Free n’active pas l’IPv6 par défaut », il faut donc le faire manuellement depuis son espace client et sur son smartphone.

    Passons aux iPhone : « Bouygues Telecom, Orange et SFR activent par défaut IPv6 sur les iPhone dont la version iOS est au minimum iOS 12.2 (Bouygues), iOS 13.0 (Orange pour iPhone 7 et plus récent), iOS 14.3 (SFR), iOS 15.4 (Orange pour iPhone 6S et SE) ». Pourquoi faire simple quand on peut faire compliqué.

    Là encore, il faut manuellement activer IPv6 chez Free et avoir au moins iOS 15.4. Free, en tête de l’IPv6 sur le fixe, est bon dernier sur le mobile, faute d’activer cette fonctionnalité par défaut chez ses clients.

    Pas de grande différence chez les pros sur le mobile

    Sur les offres Pro, les conditions sont les mêmes chez Bouygues Telecom, Orange et SFR. Chez Free Pro, il n’y a pas encore d’IPv6.

    Hébergements, emails : des maillons encore fortement à la traine

    Pour accéder à un site ou un service en IPv6, il faut non seulement avoir un opérateur et un smartphone compatibles (et avec l’option activée), mais aussi que l’ensemble des maillons d’Internet prennent en charge IPv6. Ce dernier existe pour rappel depuis plus de 20 ans.

    « En octobre 2023, les hébergeurs de sites web représentent l’un des maillons de la chaîne d’internet les plus en retard dans la migration vers l’IPv6. En effet, seuls 31,2 % des sites web sont accessibles en IPv6 ». La situation s’améliore néanmoins avec plus de sites activés en IPv6 ces deux dernières années comparés à la période 2015 à 2021.

    Au-delà du chiffre global de 31,2 %, il y a de fortes disparités chez les hébergeurs. Ionos est largement en tête, suivi par LWS, Infomaniak et Cloudflare. D’autres sont encore loin de la moyenne : 6,3 % pour Amazon AWS, 5 % pour Google Cloud, 4,6 % pour Gandi, 9,8 % pour Scaleway…

    Mais, il y a pire : « La transition des hébergeurs e-mail connaît également un fort retard : seuls 18,8 % des serveurs e-mail sont à ce jour adressés en IPv6. Néanmoins, on note cette année une forte progression par rapport à 2022 : le taux d’IPv6 a plus que doublé en 12 mois, passant de 8 à 19 % ».

    Dans les deux cas, il reste encore beaucoup de travail.

    Source : next.ink