@Ashura et autres, mais le matraquage de Google pour son navigateur a tellement bien fonctionné que le plupart ne jure que par lui.

L’Institut de recherche de Toyota a présenté un robot capable d’utiliser son corps et ses membres pour porter des objets. L’humanoïde se sert de capteurs internes et de l’intelligence artificielle pour adapter ses postures en fonction de la taille et du poids des objets à ramasser.

Mince ! Votre sac de courses vient de tomber par terre… Votre voisin se penche et le ramasse. Une scène banale qu’un robot humanoïde est désormais capable de faire de façon (presque) aussi naturelle qu’un humain, et sans risque de mal de dos. Le Toyota research institute, l’un des centres scientifiques du constructeur japonais, a publié récemment une vidéo de son dernier robot capable d’utiliser son corps en complément de ses membres pour ramasser des objets.

Baptisé Punyo, il peut se saisir d’un bras d’une grosse peluche et tirer le tiroir d’une armoire de l’autre. Tout ceci pour ranger le jouet dans ce dernier en se penchant. Sur la vidéo réalisée par son équipe de concepteurs, on voit aussi le robot porter des sacs de courses contre lui en inclinant son abdomen vers l’arrière. Dans un autre exemple, la machine utilise ses bras pour faire rouler un traversin avant de l’agripper.

Mais quel est son secret ? En réalité, ce robot à la bouille sympathique en a deux. Le premier se trouve dans son corps et ses «mains» ovales, dépourvues de doigts ou d’articulation. Ses dernières sont recouvertes d’un tissu quadrillé qui permet à des caméras situées à l’intérieur de Punyo de détecter tout contact avec un objet. Les capteurs qui parsèment le corps du robot lui permettent aussi de sentir les objets à porter et d’adapter son comportement en conséquence.

Le robot utilise des mains particulières, qualifiées de «pattes», qui se terminent par des coussinets déformables et gonflables. Ils sont équipés de motifs de points, surveillés par des caméras internes. Le système permet à Punyo de percevoir le contact avec des objets, ce qui ajoute un niveau supplémentaire d’interaction et de compréhension de l’environnement par la machine. (voir la vidéo)

Plus impressionnant, Toyota a utilisé l’intelligence artificielle (IA) dans la conception du robot. Ainsi c’est l’IA qui a entraîné Punyo pour qu’il adapte ses postures et sa façon de se saisir des objets en fonction de leur forme ou de leur poids. Si la commercialisation de la machine n’est pas annoncée, un robot doté de capacités motrices comme Punyo pourrait permettre d’aider les humains dans leurs tâches quotidiennes. Un créneau qu’à en tête Tesla avec son Optimus Gen 2 présenté fin 2023 et dont l’un des objectifs affichés est de pouvoir soulager les travailleurs dans les tâches physiques pénibles. Toyota, dans un Japon à la population vieillissante, se concentre davantage sur les robots d’assistance aux personnes âgées.

Source: https://www.usinenouvelle.com/article/un-robot-pour-porter-vos-sacs-de-courses-vous-en-avez-reve-toyota-l-a-fait.N2211254

Elle me fout le torticolis cette image, je vous l’ai tournée:

a93521a1-b685-47a5-9137-df980f0dc7f8-image.png

@duJambon Juuuste ! mon 486 Dx2 66 avait ce port qui allait sur du 3.5’ de 1.44Mo !!!

Sinon, si comme le dit @Raccoon les disquettes 5 1/4 ne sont plus fabriquées : ils ont intérêt à être délicats avec leurs outils jusqu’à cette MaJ matérielle de 2030 ^^

@Popaul Pour la recherche avec kodi j’utilise une télécommande avec un clavier au verso et le plugin qui va bien. C’est génial !

@duJambon je ne pensais même pas à l’espionnage mais au fait que les entreprises payent pour utiliser Outlook voir directement leurs boites mails chez M$.
Si en plus de payer les services les entreprises se font aspirer leurs données au même titre que les particuliers qui eux utilisent les mêmes services mais gratuitement, je trouverais ça un peu fort de café. Mais je ne serais pas étonné que ce soit le cas.

C’est une bonne chose en effet, sachant qu’une étude récente parle que 90% des sites web ne respectent pas leur politique de cookies, et les refuser ne sert presque à rien, donc les sécuriser au max est une très bonne idée.

https://www.tomsguide.fr/refuser-les-cookies-sur-un-site-web-ne-sert-a-rien-selon-cette-etude-accablante/

@Rapace

Par une attaque bruteforce (ou par brumisation), on envoie des dictionnaires de mots de passe sur un compte (ou plusieurs séquentiellement) et quand ça matche, on a forcément le mot de passe… 🙂

Sinon, dans le cas du hash code (le mot de passe crypté enregistré sur le site), on peut aussi travailler (si on connait l’algorithme) ou chercher un match, si le cryptage est asymétrique.

Vous avez vu Voice Engine d’OpenAI ? C’est un modèle d’IA qui est capable de générer des voix synthétiques ultra-réalistes à partir d’un simple échantillon audio de 15 secondes. Seulement 15 secondes, oui !

Concrètement, ça veut dire qu’avec cette IA, on peut créer des voix qui ressemblent à s’y méprendre à celles de vraies personnes. Genre on donne un petit extrait de notre voix, et hop, l’IA peut générer un discours entier qui sonne exactement comme nous. C’est à la fois fascinant et un peu flippant, vous trouvez pas ?

OpenAI sont à la pointe de la recherche dans le domaine et ils nous pondent régulièrement des trucs de malade comme Sora. Concernant Voice Engine, ils ont développé la techno fin 2022 et l’ont intégré dans leur API de synthèse vocale ainsi que dans les fonctionnalités vocales de ChatGPT.

– Voici les 15 secondes de vraie voix :

https://korben.info/app/uploads/2024/03/age-of-learning-reference.mp3

– Et voici l’audio qui a été généré à partir de ça :

https://korben.info/app/uploads/2024/03/age-of-learning-physics.mp3

Mais attention, comme un grand pouvoir implique de grandes responsabilités (coucou Peter !), OpenAI joue la carte de la prudence. Ils sont bien conscients que cette technologie pourrait être utilisée à des fins pas très catholiques, genre pour créer des deepfakes audio et induire les gens en erreur. Du coup, ils la déploient pour l’instant à petite échelle, juste auprès de quelques partenaires de confiance.

Et ces partenaires, ils en font quoi de Voice Engine ?

Eh bien figurez-vous qu’ils développent des applications plutôt cools ! Par exemple, Age of Learning l’utilise pour générer des contenus audio éducatifs avec des voix naturelles et expressives. Ou encore HeyGen qui s’en sert pour traduire des vidéos dans différentes langues en conservant la voix du locuteur d’origine. D’ailleurs c’est ce que j’utilise pour ma chaine Youtube en anglais et je peux vous dire que ça coûte une couille. Ça peut aussi aider les personnes non-verbales à communiquer avec une voix unique grâce à Livox. Et même redonner la parole à des patients ayant perdu l’usage de la voix, comme le fait l’institut Norman Prince Neurosciences de Lifespan.

Rassurez-vous, OpenAI a mis en place des garde-fous, comme l’interdiction d’utiliser Voice Engine pour imiter quelqu’un sans son consentement, l’obligation d’obtenir l’accord explicite du locuteur original, ou encore le watermarking des contenus générés pour pouvoir en tracer l’origine. Ils suggèrent également d’abandonner progressivement l’authentification vocale comme mesure de sécurité, mais également d’explorer des réglementations qui permettraient de protéger l’usage des voix dans l’IA, de sensibiliser le public aux deepfakes et de développer des techniques pour tracer l’origine des contenus audio et visuels.

Bref, Voice Engine c’est à la fois excitant et inquiétant. Ce que je vois, c’est que ça ouvre des perspectives folles en termes d’applications, mais ça soulève aussi pas mal de questions sur l’avenir.

Je vous invite à checker l’article d’OpenAI qui détaille leur approche avec plein d’exemples.

– Sources :

https://www.theverge.com/2024/3/29/24115701/openai-voice-generation-ai-model

https://korben.info/openai-devoile-voice-engine-ia-generatrice-voix-synthetiques.html

–> Punaise déja que la réglementation des IA est quasi inexistante alors avec ce truc :blink:

C’est quand même impressionnant et je sortirais volontiers une blague bien lourde avec ce qui se fait militairement parlant mais je pense qu’il vaut mieux que je garde ça pour moi ^^

En lisant et dès que j’ai vu Corée du Nord, je n’ai pas pu m’empêcher de penser à ce film : L’Aube Rouge
Je ne donne pas très longtemps pour que ça arrive… 🙄

Un nouveau gang de ransomware surnommé SEXi est parvenu à compromettre l’infrastructure du fournisseur de services chilien IXMetro Powerhost ! Lors de cette attaque, les pirates ont chiffré des serveurs VMware ESXi ainsi que des sauvegardes ! Faisons le point.

PowerHost est un fournisseur de services spécialisés dans les centres de données et l’hébergement, implanté en Amérique du Sud, notamment avec sa division IXMetro présente au Chili, aux États-Unis, et en Europe.

Samedi 30 mars 2024, tôt en début de journée, IXMetro a subi une cyberattaque lors de laquelle les pirates sont parvenus à chiffrer plusieurs serveurs VMware ESXi notamment utilisés pour héberger des serveurs privés virtuels de clients (VPS). De ce fait, les services hébergés sont inaccessibles.

Les équipes d’IXMetro cherchent à restaurer les données de leurs serveurs et de leurs clients à partir de précédentes sauvegardes, mais la tâche ne s’annonce pas simple : les sauvegardes sont également chiffrées. Ricardo Rubem, le CEO de PowerHost, affirme qu’il a essayé de négocier avec les cybercriminels, car il a envisagé de payer la rançon : “J’ai négocié avec le pirate, qui a exigé un montant exorbitant de bitcoins par client : 2 BTC pour chacun, soit environ 140 millions de dollars.”, précise-t-il.

Le ransomware SEXi

Le gang de ransomware SEXi serait une menace relativement récente et cette attaque serait son premier “gros coup” !

, lorsque des fichiers sont chiffrés par ce ransomware, l’extension “.SEXi” est utilisée, et ceux-ci sont accompagnés par une note de rançon nommée “SEXi.txt”.

D’après le site BleepingComputer, ce gang mène des attaques depuis mars 2023, mais cela reste à confirmer. Ce qui est certain, c’est que les cybercriminels du groupe SEXi cible seulement les hyperviseurs VMware ESXi, ce qui en fait une menace supplémentaire pour les infrastructures de virtualisation basées sur la solution VMware by Broadcom.

Pour le moment, nous ignorons si ce gang de ransomware applique le principe de la double extorsion, car à l’heure actuelle, ce gang ne semble pas avoir de site dédié aux fuites de données.

– Source :

https://www.it-connect.fr/les-serveurs-vmware-esxi-un-hebergeur-chiffres-par-le-nouveau-ransomware-sexi/

Un nouvel ensemble de vulnérabilités baptisé “CONTINUATION Flood” a été découvert dans le protocole HTTP/2 ! Dans certains cas, l’exploitation de ces vulnérabilités permet un déni de service sur le serveur web pris pour cible, à partir d’une seule connexion TCP. Voici ce qu’il faut savoir.

Le chercheur en sécurité Barket Nowotarski a fait la découverte des vulnérabilités “CONTINUATION Flood” présente dans HTTP/2, une version du protocole HTTP standardisée en 2015. S’il a choisi ce nom, ce n’est pas un hasard, car ces faiblesses sont liées à une mauvaise gestion des trames HTTP/2 CONTINUATION dans de nombreuses implémentations du protocole HTTP/2. Ces trames sont utilisées pour assembler le flux de données correspondant à différents blocs de messages du protocole HTTP/2, notamment pour l’en-tête.

Lorsque les données ne sont pas correctement limitées ou vérifiées, un attaquant peut exploiter ces vulnérabilités en envoyant des trames extrêmement longues, sans définir l’indicateur “END_HEADERS”, ce qui va permettre d’épuiser les ressources du serveur cible et engendrer un déni de service. Dans certains cas, une seule connexion TCP en HTTP/2 peut suffire pour saturer le serveur en mémoire vive et le faire planter.

“Les implémentations sans timeout pour les en-têtes ne nécessitaient qu’une seule connexion HTTP/2 pour faire planter le serveur.”, peut-on lire dans le rapport de Barket Nowotarski.

Par ailleurs, il est important de préciser que le protocole HTTP/2 est encore largement utilisé. “Selon Cloudflare Radar, le trafic HTTP/2 représente environ 60 % de l’ensemble du trafic HTTP humain (données excluant les robots)”, précise Barket Nowotarski, avec un graphe à l’appui.

CONTINUATION Flood, un ensemble de 9 failles de sécurité

Le CERT/CC a également publié un rapport au sujet de l’ensemble de vulnérabilités CONTINUATION Flood. Il référence 9 failles de sécurité correspondantes à cette faiblesse dans différentes implémentations : la bibliothèque nghttp2, AMPHP, Apache HTTP, Arista Networks, Red Hat, SUSE Linux, Node.js, Envoy (version 1.29.2 ou antérieure), ainsi que le langage de programmation Go.

À la fin de l’article du CERT/CC, il y a un tableau récapitulatif, et nous pouvons voir que le statut est actuellement inconnu pour plusieurs dizaines d’implémentations. Voici un extrait :

Les CVE suivantes sont associées à CONTINUATION Flood : CVE-2024-27983, CVE-2024-27919, CVE-2024-2758, CVE-2024-2653, CVE-2023-45288, CVE-2024-28182, CVE-2024-27316, CVE-2024-31309, CVE-2024-30255.

Si vous utilisez Apache2, sachez que la vulnérabilité CVE-2024-27316, correspondante à CONTINUATION Flood, a été corrigée dans Apache 2.4.59 publiée ce jeudi 4 avril 2024 (voir cette page).
Ceci n’est pas sans rappeler la faille de sécurité “Rapid Reset” présente dans le protocole HTTP/2 et révélée en octobre 2023. À l’époque, elle avait permis de déclencher des attaques DDoS records !

– Source:

https://www.it-connect.fr/vulnerabilite-continuation-flood-dans-http2-expose-serveurs-web-attaques-dos/

On a éviter le carnage

C’est vachement pratique de pouvoir récupérer sa chambre d’hôtel après une grosse journée, simplement en passant par le terminal qui se trouve dans l’entrée de l’hôtel. On tape son nom, on paye et paf, on récupère son numéro de chambre et le code pour y accéder. Sauf que ce que vous ignorez peut-être, c’est que ce même terminal vient potentiellement d’exposer votre code d’accès à des personnes mal intentionnées…

C’est exactement ce qui s’est passé dans un hôtel IBIS Budget à Hambourg, en Allemagne. Lors d’un congrès de hackers, la société Pentagrid a remarqué une faille de sécurité pour le moins inquiétante dans le terminal de check-in. Ainsi, en entrant une série de tirets à la place du numéro, le terminal liste toutes les réservations avec leur numéro, la date d’arrivée prévue et le prix total du séjour. Puis en sélectionnant une réservation, on accède directement au numéro de chambre et au code d’accès de la porte.

Dans l’hôtel en question, pas moins de 87 réservations étaient ainsi exposées, soit près de la moitié des 180 chambres de l’établissement !

Vous imaginez le désastre si ces codes tombaient entre de mauvaises mains ? Adieu vos effets personnels, surtout dans un hôtel bas de gamme comme celui-ci qui n’est pas équipé de coffres-forts dans les chambres. Et je vous parle pas des agressions en pleine nuit ! C’est la porte ouverte à toutes les fenêtres comme dirait l’autre.

Fort heureusement, Pentagrid a immédiatement signalé cette faille à la chaîne hôtelière Accor, propriétaire des hôtels IBIS. Le problème a depuis été corrigé, mais il aura fallu quand même plusieurs échanges et relances de la part des hackers pour que des actions soient entreprises de la part d’Accor.

Mais comment une telle faille a-t-elle pu se produire ? Et bien d’après les informations fournies par Pentagrid sur leur blog, il semblerait que le terminal de check-in ait une fonction de recherche des réservations qui nécessite uniquement le numéro de réservation pour afficher le numéro de chambre et le code d’accès. Donc c’est pas un bug, c’est une feature qui a mal tournée…

Le pire dans tout ça, c’est que de base, les numéros de réservation ne sont pas une donnée très sécurisée puisqu’on les retrouve sur toute la paperasse comme les factures…etc qui peuvent ensuite être récupérées dans une poubelle par exemple. Donc n’importe qui pourrait mettre la main dessus et accéder à votre chambre.

C’est pourquoi les auteurs de cette découverte recommandent aux hôtels de mettre en place une vérification supplémentaire pour accéder aux informations de réservation, comme un code PIN qui serait communiqué séparément au client. Les terminaux devraient aussi supprimer automatiquement les réservations dès que les informations ont été imprimées ou consultées.

En attendant, si vous séjournez dans un hôtel IBIS Budget prochainement, n’allez pas vous amuser à vérifier que la faille a été corrigée sur le terminal de check-in parce que vous ne voulez pas finir en prison pour piratage (lol).

En tout cas, sachez-le, la prochaine fois que je dors à l’IBIS, je vous attendrais de pied ferme en embuscade dans mon peignoir façon biopic DSK par Liam Neeson.

– Sources :

https://www.pentagrid.ch/en/blog/ibis-hotel-check-in-terminal-keypad-code-leakage/

https://korben.info/faille-securite-terminaux-check-in-ibis-codes-acces-chambres-exposes.html

@Ashura a dit dans 42.parquet : la bombe Zip qui ruine le Big Data :

Comment c’est possible de passer de 42ko à une telle taille finale, c’est dingue

Encore un coup des poissons peut-être. :hum:

La solution pour contrer ça, c’est le bac à sable, au lieu de bloquer les pubs, il faut les exécuter hors affichage.

J’en rêve depuis le début de l’invasion des pubs.

Marchez mains dans les poches, on sait jamais!

Je sais pas si vous avez vu passer ça, mais dernièrement, il y a eu un peu de grabuge entre George Hotz (Geohot) et AMD, puisque ce dernier a essayé de faire tourner son framework IA Tiny Grad sur des GPU AMD.

Sauf que voilà, AMD lui a donné du fil à retordre avec ses firmwares propriétaires. Le driver open-source d’AMD se révélant être une jolie mascarade puisque tout les morceaux de code critiques sont bien protégés et sous licence.

Pourtant, Geohot n’a pas lésiné. Des mois à éplucher le code, à bypasser la stack logicielle, à discuter avec les pontes d’AMD. Mais rien à faire, les mecs veulent pas cracher leurs précieux blobs binaires. « Trop risqué, pas assez de ROI, faut voir avec les avocats. » Bref, c’est mort.

Pendant ce temps, Nvidia se frotte les mains avec son écosystème IA bien huilé. Des pilotes certifiés, des perfs au rendez-vous, une bonne communauté de devs… Tout roule pour eux, alors qu’AMD continue de s’enfoncer dans sa logique propriétaire, au détriment de ses utilisateurs.

La goutte d’eau pour Geohot ? Un « conseil » de trop de la part d’AMD qui l’a incité à « lâcher l’affaire« . Résultat, geohot est passé en mode « je vais vous montrer qui c’est le patron« . Si AMD ne veut pas jouer le jeu de l’open-source, alors il va leur exposer leurs bugs de sécu à la face du monde !

Et c’est ce qu’il a fait puisque durant un live de plus de 8h, il s’est attaché à trouver plusieurs exploit dans le firmware des GPU AMD. Il est fort !

Dans l’IA, l’aspect hardware compte évidemment mais le software c’est le nerf de la guerre. Les boîtes noires, les firmwares buggés, le code legacy, c’est plus possible et les sociétés qui tournent le dos à la communauté des développeurs et des hackers font, selon moi, le mauvais choix.

Et ce qui arrive à AMD n’est qu’un exemple de plus.

Bref, comme d’habitude, gros respect à Geohot pour son combat de vouloir encore et toujours que la technologie profite au plus grand nombre. En attendant, suite à sa mésaventure avec AMD, il a annoncé qu’il switchait tout son labo sur du matos Nvidia et qu’il bazardait ses 72 Radeon 7900 XTX sur eBay. Si vous voulez des GPU d’occase pour pas cher (et apprendre à les faire planter ^^), c’est le moment !

Et si le code source de ses exploits vous intéresse, tout est sur Github.

Merci George !

– Source :

https://korben.info/geohot-atomise-les-firmwares-amd-et-ca-fait-mal.html

Tiens à propos de support numérique qui n’avait pas fait long feu, le HD DVD créé par Toshiba qui voulait concurrencer le Blu-ray de chez Sony (j’ai encore mon lecteur HD DVD de chez Microsoft que j’avais acheté juste pour le fun sur le boncoin pour une bouchée de pain 😁)

https://www.cnetfrance.fr/produits/hd-blu-ray-hd-dvd-le-meilleur-format-39378766.htm