Ils devraient tous faire pareil je crois

Ha c’est pour ça que mon micro onde qui date ne voulait plus fonctionner (ou en réfléchissant bien, c’était juste une coïncidence 😁)

:clac:

https://intelligence-artificielle.developpez.com/actu/370364/Vulnerabilite-dans-GitHub-Copilot-et-Cursor-comment-les-pirates-peuvent-compromettre-le-code-genere-par-l-IA-avec-des-portes-derobees-et-des-vulnerabilites-en-injectant-des-instructions-malveillantes-cachees/

@duJambon a dit dans Sébastien Lecornu signe un décret qui valide la conservation de masse des données par les opérateurs télécoms :

@Violence a dit dans Sébastien Lecornu signe un décret qui valide la conservation de masse des données par les opérateurs télécoms :

Mais qui nous protège d’eux !

Un VPN ?

Si seulement…

En bref :
(Résumé généré automatiquement par IA)

– Le FBI et plusieurs agences fédérales américaines (DHS, ICE, DOJ) ont subi une fuite de données importante revendiquée par le collectif The Com.

– Plus de 1 000 employés ont vu leurs informations personnelles publiées, amplifiant le doute quant à la sécurité des réseaux gouvernementaux.

– L’attaque apparaît aussi comme un acte politique ciblé, visant à dénoncer une prétendue « autorité » excessive des institutions.

Au lendemain des manifestations “No Kings” visant à dénoncer ce que les participants perçoivent comme les dérives autoritaires du gouvernement Trump, les données personnelles de centaines de fonctionnaires américains viennent d’être divulguées par un groupe de hackers, cherchant vraisemblablement à poursuivre les contestations en ligne. L’action menée par le collectif “The Com” (déjà lié à plusieurs cyberattaques d’envergure contre l’opérateur AT&T, Ticketmaster ou encore Rockstar et GTA VI) vise en effet le FBI, le Department of Homeland Security (DHS),** de l’Immigration and Customs Enforcement** (ICE) ainsi que le Department of Justice (DOJ).

Cela fait maintenant plusieurs semaines que l’agence de l’immigration américaine enchaîne les polémiques (arrestations brutales, utilisation de la licence Pokémon pour faire la promotion des expulsions…), si bien que sa présence prononcée dans les données compromises ne laisse que peu de place au doute concernant le caractère de cette attaque.

D’où proviennent ces données et que contiennent-elles ?

Les pirates ont publié plusieurs feuilles de calcul contenant** les noms, adresses e-mail, numéros de téléphone et parfois adresses résidentielles de plus de 1000 employés** des départements que nous venons de citer. Les fichiers ont été analysés par le média 404, vérifiés par la société District 4 Labs, et correspondent bel et bien à des employés du gouvernement américain. Le mode d’obtention de ces données reste flou, mais certaines sources estiment déjà qu’il s’agit de la compilation de fuites précédentes et d’une possible infiltration récente dans les serveurs gouvernementaux.

Les pirates ont par ailleurs publié une rançon ouverte, accompagnée de messages tels que “Les cartels mexicains, contactez-nous ! On diffuse des documents confidentiels, où sont nos millions ?“, qui participent à renforcer l’idée selon laquelle cette attaque répond au contexte politique actuelle. Cette mention des cartels mexicains fait référence à des déclarations récentes du Department of Homeland Security. Celui-ci affirmait que les cartels chercheraient à obtenir des informations américaines moyennant d’énormes sommes d’argent, alors qu’aucune preuve officielle ne permet encore de vérifier cette information.

Il y a peu, le gouvernement américain évoquait une hausse de “plus de 1000%” des attaques visant les agents et autres forces de l’ordre. Ces chiffres n’ont pu être vérifiés et ont déjà été critiqués par des experts, mais le caractère de la cyberattaque du jour permet néanmoins d’affirmer que la guerre politique entre activistes et institutions bat son plein au pays de l’Oncle Sam.

– Source : https://www.journaldugeek.com/2025/10/20/le-fbi-pirate-une-cyberattaque-massive-frappe-les-etats-unis/

L’assistant d’OpenAI s’apprête à traiter les «adultes comme des adultes»: il autorisera dès décembre les conversations érotiques pour ses utilisateurs majeurs.

OpenAI va assouplir les restrictions de ChatGPT, y compris en permettant les conversations érotiques à partir de décembre, a annoncé mardi son patron Sam Altman, invoquant son principe de «traiter les utilisateurs adultes comme des adultes». Dans un message publié sur X, Sam Altman a expliqué que les garde-fous plus stricts mis en place pour répondre aux préoccupations sur la santé avaient rendu son assistant IA «moins utile/agréable pour de nombreux utilisateurs sans problème de santé mentale».

Ces mesures de précautions renforcées avaient été instaurées après les poursuites lancées fin août par les parents d’Adam Raine, un adolescent californien qui s’est suicidé après avoir reçu des conseils précis de ChatGPT, selon la plainte.

D’autres affaires et d’autres plaintes aux Etats-Unis ont suscité un vif débat sur les risques d’effets nocifs des compagnons IA sur les jeunes. L’autorité américaine de protection des consommateurs (FTC) a ouvert une enquête visant plusieurs entreprises d’IA, dont OpenAI.

Personnaliser l’assistant

«Vu la gravité du problème, nous voulions bien faire les choses», a justifié mardi Sam Altman, dont l’entreprise s’est vue accusée de «censure» par nombre d’utilisateurs réclamant parfois un usage débridé de l’IA pour tester toutes les possibilités offertes par cette révolution. Le patron d’OpenAI estime que les nouveaux outils sont désormais au point pour assouplir ces restrictions tout en assurant la protection de la santé mentale.

Une mise à jour permettra d’abord dans quelques semaines de personnaliser l’assistant: «si tu veux que ton ChatGPT réponde de manière très humaine, utilise plein d’émojis ou se comporte comme un ami, il devrait le faire (mais seulement si c’est ce que tu veux, pas parce qu’on cherche à gonfler au max l’utilisation)»", a écrit Sam Altman.

Le changement le plus notable interviendra en décembre, une fois déployé un système de vérification d’âge plus complet, qui permettra d’'autoriser «encore plus de choses, notamment les contenus érotiques pour les adultes vérifiés», a conclu le patron d’OpenAI, sans précision sur la méthode.

«Bénéfique pour la société»

En septembre, l’entreprise avait lancé une version de ChatGPT pour les moins de 18 ans bloquant les contenus choquants ou sexuels. OpenAI avait annoncé travailler sur une technologie de prédiction de l’âge capable d’estimer si un utilisateur a moins de 18 ans selon sa manière d’interagir avec ChatGPT.

«Nous voulons que ChatGPT ait un effet positif sur la santé mentale de nos utilisateurs» et «nous voulons également traiter nos utilisateurs adultes comme des adultes», avait déclaré Sam Altman le 6 octobre devant des journalistes à San Francisco.

«Il y aura certes des conflits, mais cela ne doit pas nous empêcher de créer quelque chose qui soit bénéfique pour la société et pour nos utilisateurs», avait-il assuré. (jzs/afp)

Source: https://www.watson.ch/fr/societe/chatgpt/765948330-chatgpt-va-debloquer-un-mode-erotique

OpenAI commande pour des centaines de milliards de dollars de puces à Nvidia, AMD et Broadcom, misant sur une expansion fulgurante de l’IA malgré des pertes colossales. Une frénésie d’achats qui alarme les investisseurs et alimente les craintes d’une nouvelle bulle technologique.

Lancé ventre à terre dans la course à l’intelligence artificielle (IA), OpenAI passe commande de puces par centaines de milliards de dollars, des montants déconnectés de ses revenus actuels qui inquiètent une partie des investisseurs.

En moins d’un mois, le géniteur de ChatGPT vient de s’engager auprès de Nvidia, AMD et Broadcom à acquérir des processeurs d’une puissance de 26 gigawatts (GW), ce qui représente au moins dix millions d’unités au total, nécessitant la production électrique de plus d’une vingtaine de réacteurs nucléaires.

«Il va leur falloir des centaines de milliards de dollars pour tenir leurs engagements»

Gil Luria, de la société de conseil financier D.A. Davidson

Mais OpenAI ne prévoit de réaliser qu’environ 13 milliards de dollars de chiffre d’affaires en 2025, perd plusieurs milliards chaque année et ne s’attend pas à être rentable avant 2029.

Sollicité par l’AFP, le groupe s’est refusé à communiquer sur le financement de ce shopping effréné. Lors d’un entretien à la chaîne CNBC, le président d’OpenAI, Greg Brockman, a évoqué «différents mécanismes», sans plus de précision.

Egalement contactés par l’AFP, Nvidia, AMD et Broadcom n’en disent pas plus sur les modalités de paiement de ces processeurs essentiels dans le développement de l’IA. Dans le cas de Nvidia, le mastodonte de Santa Clara (Californie) s’est engagé à acquérir, sur plusieurs années, pour 100 milliards de dollars d’actions OpenAI, un apport d’argent frais qui peut permettre à l’enfant chéri de l’IA d’absorber une partie du coût des puces.

Ce mécanisme est souvent qualifié de financement circulaire, un fournisseur offrant les moyens à un client de lui acheter ses biens ou services.

AMD a, lui, accepté de donner des titres à son client, dont la valeur pourrait atteindre des dizaines de milliards de dollars, une opération très atypique car elle n’inclut aucune contrepartie.

«C’est un autre exemple de comportement malsain»

Gil Luria, qui témoigne, au passage, du fait qu’«AMD est prêt à tout pour écouler ses puces IA»

Le patron d’OpenAI Sam Altman «a le pouvoir de faire dérailler l’économie mondiale pour une décennie ou de nous emmener jusqu’à la terre promise», a écrit l’analyste de Bernstein Stacy Rasgon. «Et à ce stade, nous ne savons pas comment ça se terminera.»

«Anticiper l’avalanche»

Lever du capital, auprès de Nvidia notamment, «ne sera pas du tout suffisant» pour régler la facture, estime Gil Luria, même avec une valorisation actuelle de 500 milliards de dollars, «donc il va surtout falloir s’endetter».

Certains évoquent des véhicules financiers ad hoc, qui emprunteraient les sommes nécessaires en apportant les puces comme garantie, une formule que vont utiliser Nvidia et xAI, concurrent d’OpenAI, dans le cadre d’un autre partenariat.

La stratégie est d’autant plus osée que la start-up a notamment pour concurrent Google ou Meta qui, eux, dégagent des dizaines de milliards de dollars de trésorerie chaque année et ont une toute autre puissance de feu.

Le terme de bulle spéculative revient de plus en plus souvent ces dernières semaines, de même que les comparaisons avec les investissements colossaux dans les infrastructures internet à la fin des années 90, le câble en particulier, en décalage avec le trafic encore modéré à l’époque.

«Cela semble un peu différent cette fois», tempère néanmoins Josh Lerner, professeur de finance à l’université d’Harvard, parce qu’il «est clair qu’il y a une vraie demande pour l’IA sous de nombreuses formes».

«Ils ont la croissance la plus forte qu’on ait jamais vue pour un éditeur de logiciels»

Angelo Zino, analyste de CFRA, au sujet d’OpenAI

Avec plus de 800 millions d’utilisateurs hebdomadaires de ChatGPT, OpenAI «un écosystème qui grandit très rapidement».

«Nous cherchons avec cette industrie (des processeurs) comment anticiper l’avalanche de demande qui nous arrive», a avancé Greg Brockman.

«Le problème», reconnaît Angelo Zino, «c’est leur manque de revenus, qui rend très difficile un financement classique. Donc nous pensons que ces partenariats font sens et nous ne les voyons pas comme problématiques.»

Malgré des voix dissonantes, Wall Street garde, pour l’instant, le cap et continue de parier massivement sur les fleurons de l’IA. «C’est un dilemme», selon Josh Lerner. «Comment se déterminer entre le potentiel futur (…) et le côté spéculatif de ces revenus anticipés?» (mbr/ats)

Source: https://www.watson.ch/fr/international/intelligence-artificielle/912520597-openai-perd-des-milliards-a-cause-de-ce-comportement-malsain

Comme il était plus simple d’aller sur Google que d’ouvrir un dictionnaire ou une encyclopédie, il est assurément plus simple de poser une question, via le micro, à une IA que d’aller chercher et lire une information.

2a3994f0-db0e-46f6-8f22-f6dc55c770ee-image.png

Dans un laboratoire de Vevey, en Suisse, un scientifique injecte un liquide riche en nutriments dans des cellules de cerveau humain pour les maintenir en vie: il nourrit ainsi… une nouvelle forme de processeurs pour ordinateurs.

Pas de docteur Frankeinstein ou Folamour pour autant: ce nouveau domaine de recherche - dénommé “biocomputing” ou “Wetware” (logiciel biologique) - a pignon sur rue et vise à exploiter les capacités de calcul mystérieuses du cerveau humain.

Les puces actuelles, à base de silicone, recopient le cerveau et le réseau neuronal humain. “Au lieu de copier, essayons sur les vraies choses”, résume simplement auprès de l’AFP Fred Jordan, le cofondateur de la start-up suisse FinalSpark.

L’ingénieur et entrepreneur est persuadé que ce nouveau type de processeur, avec des cellules cérébrales humaines, remplacera un jour les puces artificielles qui soutiennent le boom de l’intelligence artificielle.

Notamment parce que utiliser ces mini-cerveaux pourrait permettre de régler le problème des besoins démesurés en énergie qui accompagnent le développement de l’IA.

“Les neurones biologiques sont un million de fois plus efficaces énergétiquement que les neurones artificiels”, estime M. Jordan. Ils peuvent par ailleurs être produits sans limite de quantité en laboratoire, pas comme les puces produites massivement par des compagnies comme Nvidia.

La puissance des mini-cerveaux produits par FinalSpark reste toutefois encore loin de celles des standards informatiques actuels.

817c2cbf-7eac-4719-8770-06e442168041-image.png
Les dispositifs contenant des cellules cérébrales humaines à l’intérieur d’un réfrigérateur dans le laboratoire de Vevey, en Suisse

Cellules souches

Pour fabriquer ces bioprocesseurs, FinalSpark commence par acheter des cellules souches, des cellules de base qui peuvent devenir n’importe quel type de cellule du corps humains en se développant.

Puis les chercheurs transforment ces cellules souches en neurones, qu’ils relient entre eux pour former des amas d’un millimètre de largeur appelés organoïdes cérébraux.

À ce stade, ils correspondent à peu près au cerveau d’une larve de mouche à fruits, selon M. Jordan.

Des électrodes sont ensuite attachées aux neurones, ce qui permet aux scientifiques “d’espionner leurs discussions”.

Les chercheurs peuvent alors stimuler les organoïdes cérébraux avec un petit courant électrique. Selon qu’ils répondent ou non à ce stimuli, voici recréés le 1 et le 0 des bits de l’informatique traditionnelle.

Via internet, dix universités sont en train de mener des expérimentations avec les organoïdes de FinalSpark. La petite société diffuse en direct sur son site des images de ses neurones en action.

Benjamin Ward-Cherrier, chercheur à l’Université de Bristol en Angleterre, utilise ainsi des organoïdes dans un robot, dont le but est de distinguer les différentes lettres écrites en braille.

Il y a de nombreux défis, en particulier celui d’encoder les données de manière à ce que l’organoïde puisse les comprendre, puis essayer d’interpréter ce que les cellules “en recrachent”, explique-t-il à l’AFP. “Travailler avec des robots est très facile en comparaison.”

“Il faut aussi avoir en tête que ce sont des cellules vivantes, ce qui veut dire qu’elles peuvent mourir”, ajoute-t-il.

M. Ward-Cherrier en a déjà fait l’amère expérience, contraint avec son équipe de tout reprendre depuis le début lorsqu’un organoïde est mort en plein milieu d’une expérience.

Selon FinalSpark, leurs organoïdes peuvent vivre jusqu’à six mois.

“Un doux rêve”

Aux États-Unis, au sein de l’université Johns Hopkins, la chercheuse Lena Smirnova les utilise pour travailler sur les troubles cérébraux tels que l’autisme et la maladie d’Alzheimer, en espérant découvrir de nouveaux traitements.

Bien que très prometteur, le biocomputing n’est encore qu’“un doux rêve” mais cela pourrait changer drastiquement dans les vingt prochaines années, estime-t-elle auprès de l’AFP.

Une question éthique se pose par ailleurs: jusqu’à quel point le bien-être de ces organoïdes doit-il être pris en compte?

Tous les chercheurs interrogés par l’AFP ont rejeté l’idée que ces cellules - qui ne disposent pas de récepteurs de douleur - puissent s’approcher d’une quelconque forme de conscience.

La façon dont le cerveau en arrive à créer la conscience est par ailleurs inconnue.

2cb5383e-b453-40aa-b1ac-31f781aaab7d-image.png

Question éthique

FinalSpark collabore néanmoins avec des éthiciens, et rappelle en outre que leurs organoïdes comptabilisent 10.000 neurones, contre 100 milliards pour une personne.

De retour dans le laboratoire, M. Jordan ouvre la porte d’un grand frigo renfermant seize mini-cerveaux connectés par des tubes.

Et des lignes apparaissent soudain sur un écran dans la pièce, indiquant une activité neuronale importante.

Les chercheurs ont passé des années à percer ce mystère, mais celui-ci reste entier: “Nous ne comprenons toujours pas comment ils détectent l’ouverture de la porte”, avoue M. Jordan.

Source: https://www.7sur7.be/sciences/wetware-ces-mini-cerveaux-humains-utilises-dans-des-ordinateurs~a235d879/

Oups ! J’ai encore oublié de nourrir mon tamagotchi PC.

doas ftw

Résumé:

DirecTV prévoit d’introduire en 2026 des écrans de veille publicitaires générés par l’IA sur ses appareils de streaming Gemini, en partenariat avec la société publicitaire Glance.

Les utilisateurs verront ces publicités lorsque leur téléviseur restera inactif plus de 10 minutes. Ils pourront aussi créer et personnaliser un avatar IA via un QR code, qui leur permettra de recevoir des recommandations de produits, de faire des achats, et même de générer des vidéos de 30 secondes mettant en scène leur avatar. Glance affirme pouvoir relier ces avatars à un vaste catalogue d’un billion de références produits.

Ces économiseurs d’écran afficheront également des informations utiles (météo, résultats sportifs) et pourront être désactivés. DirecTV espère ainsi renforcer la découverte de contenu et la personnalisation, tout en diversifiant ses revenus publicitaires.

L’entreprise cherche de nouvelles sources de profit face à la chute du nombre d’abonnés (passé de 20 millions en 2015 à environ 11 millions en 2024) et à la baisse du marché de la télévision payante.

Cependant, cette initiative risque d’irriter les utilisateurs, peu enclins à voir leur appareil de streaming transformé en support publicitaire. Glance laisse entendre que ces publicités pourraient plus tard s’étendre à d’autres zones de l’interface du téléviseur.

Source: https://arstechnica.com/gadgets/2025/10/directv-screensavers-will-show-ai-generated-ads-with-your-face-in-2026/

Narcisse va adorer ! 🙂

@Raccoon a dit dans Le Pixel 10 Pro Fold explose lors d’un test de résistance de JerryRigEverything :

@Violence la chanson du dimanche :lovegirl: . Ils manquent vraiment au web francophone.

Carrément c’était super marrant !

En bref
(Résumé généré automatiquement par IA)

– Signal vient de résoudre l’apocalypse quantique pendant que 82% des entreprises du Fortune 500 dorment sur leurs deux oreilles
– Cette ONG à bout de souffle humilie les géants de la tech : ils sortent une protection quantique révolutionnaire que personne d’autre n’a réussi à faire
– Les cybercriminels stockent déjà vos données chiffrées pour les craquer demain avec des ordinateurs quantiques, mais Signal vient de leur couper l’herbe sous le pied

L’apocalypse de l’informatique quantique, c’est un truc que les experts annoncent régulièrement depuis 30 ans. Et cette fois ça commence à se préciser car si j’en crois Gartner , c’est pour 2029 - 2034 !

C’est le “on verra ça la semaine prochaine” éternel de la sécurité informatique, sauf que pendant que tout le monde rigole nerveusement en se disant on a le temps, Signal, eux s’attaquent sérieusement au sujet. Et il viennent de publier un write-up technique assez long expliquant comment ils ont déjà régler le problème.

Actuellement, seulement 18% des entreprises du Fortune 500 ont des réseaux protégés contre les ordinateurs quantiques donc autant vous dire que pas grand monde n’est prêt. Heureusement, on va tous pouvoir s’inspirer de ce qu’a fait Signal qui a mis au point un nouveau système baptisé SPQR (Sparse Post Quantum Ratchet, que j’imagine être un jeu de mot avec le SPQR romain… ).

Le problème, c’est que la cryptographie post-quantique, c’est pas juste une mise à jour de sécurité comme les autres. Concrètement, les nouvelles clés cryptographiques résistantes aux ordinateurs quantiques (ML-KEM-768, pour les intimes) font 2 272 bytes alors que les anciennes clés ECDH ne sont que de 32 bytes. C’est donc 71 fois plus gros et donc nos échanges chiffrés vont consommer encore plus de bande passante.

Et ça, c’est juste la partie visible du problème car Signal, c’est pas WhatsApp qui peut se permettre de dire “tant pis, on a de la thune, on va juste consommer plus de bande passante”. Non, Signal lui doit fonctionner partout c’est à dire aussi bien sur les vieux téléphones, que sur les réseaux pourris, ou dans les pays où les gouvernements surveillent activement le trafic. Et tout ça en restant plus sécurisé que n’importe quel autre service. C’est pas évident donc…

En 2023, Signal avait déjà fait une première mise à jour post-quantique avec PQXDH . L’idée, c’était de sécuriser la phase d’initialisation des conversations (le fameux handshake) au travers d’une approche hybride. En gros, on garde l’ancienne méthode X25519 et on ajoute un Kyber-1024 par-dessus, comme ça, même si les ordinateurs quantiques cassent l’une des deux protections, l’autre tient encore.

C’est malin, mais bon, ça ne suffisait pas car le handshake, c’est juste le début pour initialiser la conversation. Alors Signal a mis au point un système appelé le “Double Ratchet” qui fait évoluer les clés de chiffrement en permanence. Ainsi, à chaque message envoyé ou reçu, hop, de nouvelles clés sont générées. C’est ce qui donne à Signal ses super-pouvoirs : la forward secrecy (en gros, ça veut dire que si on vous pirate aujourd’hui, on ne peut pas déchiffrer vos vieux messages) et la post-compromise security (si on vous pirate, vous récupérez automatiquement une connexion sécurisée après quelques échanges).

Ce Double Ratchet, c’était une merveille d’ingénierie, sauf que devinez quoi… il repose entièrement sur ECDH, qui sera totalement cassable par les ordinateurs quantiques d’ici quelques années.

Donc il a fallu tout repenser !

Signal a donc ajouté un troisième ratchet au système. Un Triple Ratchet, le SPQR, qui fonctionne en parallèle des deux autres et injecte régulièrement des secrets post-quantiques dans le mélange.

L’astuce géniale, c’est qu’ils utilisent des “erasure codes”. C’est un peu comme les codes de correction d’erreur sur les CD, mais pour reconstituer des clés cryptographiques manquantes. Hé oui parce que sur un réseau merdique (ou surveillé par un vilain méchant gouvernement), des paquets se perdent. Du coup, avec les erasure codes, même si vous loupez quelques messages, vous pouvez quand même reconstituer les clés.

Et pour régler le problème de la taille des clés (vous vous souvenez, l’explosion de la bande passante ?), ils ont parallélisé les échanges de clés comme ça au lieu d’envoyer une grosse clé à chaque message, ils en envoient plusieurs petites en parallèle, réparties sur plusieurs messages. Ainsi, l’impact sur la bande passante reste raisonnable.

Voilà, donc pour résumer Signal a réussi à ajouter une protection post-quantique complète, en maintenant la forward secrecy et la post-compromise security, tout en gérant les environnements asynchrones (quand les gens sont offline), les réseaux pourris et les adversaires actifs. Tout ça avec un impact minimal sur les perfs ! C’est beau non ?

Et le plus beau dans tout ça c’est que pour nous, les utilisateurs rien ne change ! Toute cette complexité technique est totalement invisible. D’ailleurs les entreprises françaises feraient bien de se mettre sur le sujet car le temps passe vite. L’ANSSI a même tiré la sonnette d’alarme et fixé des échéances précises pour que les entreprises se bougent. Les secteurs les plus à risque (banques, santé, infrastructures critiques…) sont en première ligne. En plus quand on sait que les cybercriminels (et la NSA et compagnie) stockent déjà des données chiffrées pour les déchiffrer plus tard avec des ordinateurs quantiques, l’excuse du “on verra plus tard” ne tient plus vraiment la route.

Signal a ouvert totalement son code et publié ses algos et autres formules donc chaque entreprise qui le souhaite peut aller s’en inspirer. Pour une ONG c’est impressionnant ce qu’ils ont réussi là et ça prouve encore une fois qu’en matière de sécurité, il n’y a pas de fatalité.

Juste des choix.

– Sources et détails : arstechnica.com

https://korben.info/signal-vient-de-prouver-que-c-est-trop-complexe-n.html

https://korben.info/signal-vient-de-prouver-que-c-est-trop-complexe-n.html

Le mécanisme est détaillé ici: https://arstechnica.com/security/2025/10/why-signals-post-quantum-makeover-is-an-amazing-engineering-achievement/

En bref :
(Résumé généré automatiquement par IA)

– Les fabricants de GPU connaissent cette faille depuis 2 ans et refusent de la corriger : "pas notre problème.
– Votre code 2FA peut être volé en 14 secondes par une appli Android sans aucune permission suspecte.
– Le Samsung Galaxy S25 résiste à 100% des attaques alors que les Pixel de Google se font massacrer.

Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.

Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!

Et devinez quoi ?

Y’a toujours pas de patch !

L’histoire commence donc en septembre 2023. Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip , une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !

Tous les fabricants de GPU sont donc prévenu dès mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n’a pointé le bout de son nez. La position officielle des fabricants de GPU étant que “C’est au software de gérer ça”.

Les navigateurs web colmatent alors la brèche en limitant les iframes cross-origin, mais la faille hardware elle-même n’est jamais corrigée. Trop coûteux. Trop compliqué. Pas leur problème…

Maintenant on fait avance rapide en octobre 2025. Une équipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Université de Washington) sort Pixnapping , une attaque qui ressuscite GPU.zip sur Android. Le papier sera d’ailleurs présenté à la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine à Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs collègues on réalisé une démo où on voit une application Android malveillante voler des codes 2FA, des messages privés, ou n’importe quelle donnée affichée à l’écran, sans demander la moindre permission système.

– PoC ci-dessous :
👇

https://korben.info/gpu-zip-pixnapping-android-2fa-faille-non-patchee/gpu-zip-pixnapping-android-2fa-faille-non-patchee-1.mp4

L’attaque fonctionne en trois étapes. D’abord, l’app malveillante invoque des APIs Android publiques (activities, intents, tasks) pour déclencher l’affichage de données sensibles dans l’app cible. Par exemple, forcer Google Authenticator à afficher un code 2FA. Ensuite, elle dessine des fenêtres transparentes par-dessus ces données et effectue des opérations graphiques sur des pixels individuels. Enfin, elle mesure le temps de rendu de chaque frame pour reconstruire les pixels un par un via le canal auxiliaire GPU.zip. C’est lent (entre 0,6 et 2,1 pixels par seconde) mais c’est suffisant.

Les chercheurs ont testé l’attaque sur plusieurs modèles Google Pixel et Samsung Galaxy S25 et sur 100 tentatives de vol de codes 2FA depuis Google Authenticator, le Pixel 6 se montre particulièrement vulnérable avec un taux de réussite des attaques de 73% en seulement 14,3 secondes en moyenne. Le Pixel 7 offre une meilleure résistance avec 53% de réussite en 25,8 secondes, tandis que le Pixel 8 fait encore mieux en limitant les attaques réussies à 29% en 24,9 secondes. Curieusement, le Pixel 9 régresse et remonte à 53% de vulnérabilité en 25,3 secondes. Par contre, le Galaxy S25 se distingue complètement en bloquant systématiquement toutes les tentatives d’attaque grâce au bruit présent dans les mesures qui empêche toute exploitation.

Les vieux appareils sont donc plus vulnérables que les nouveaux, ce qui est probablement lié aux premières générations de GPU Tensor de Google, moins optimisées, plus prévisibles.

Google attribue une CVE à cette attaque (CVE-2025-48561), classée “High Severity” et un patch partiel est publié dans le bulletin de sécurité Android de septembre. Mais les chercheurs ont rapidement trouvé un contournement, qui est actuellement sous embargo. Un second patch est donc prévu pour décembre. Entre-temps, Google affirme qu’aucune exploitation “in-the-wild” n’a été détectée pour l’instant.

Le modèle de sécurité Android repose sur l’idée qu’une app sans permissions ne peut rien faire de dangereux. Pixnapping utilise uniquement des APIs publiques légitimes donc y’a rien de suspect dans le manifest, qui déclencherait une alerte Play Protect… Et pourtant, elle peut voler des codes 2FA.

Les recommandations de sécurité sont donc les mêmes depuis 2023 à savoir scruter attentivement les apps installées, privilégier les clés de sécurité hardware pour la 2FA (YubiKey, Titan), surveiller les comportements anormaux.

Après, je pense pas que beaucoup d’utilisateurs d’Android vont investir dans une clé hardware à 50 balles parce que Nvidia a la flemme de patcher son GPU.

Bienvenue dans la réalité de la sécurité mobile les amis.

– Sources : arstechnica.com

https://korben.info/gpu-zip-pixnapping-android-2fa-faille-non-patchee.html

@michmich a dit dans Fin de Windows 10 : à Bordeaux, des associations du libre sentent la différence :

mais il me semble qu’il y a des distributions orientées pour les entreprises (qui j’imagine sont un poil trop “canonical” à ton goût)

Oui tu as bien compris 🙂
Mais quand bien même elles seraient orientées entreprise, ça ne changera rien à mon problème.

@michmich c’est tellement vrai. :mrblue:

Ce lundi 13 octobre, les lycées des Hauts-de-France ont eu pour consigne de ne pas utiliser les ordinateurs et de les maintenir éteints.

Cela fait suite à la détection d’une cyberattaque survenue ce vendredi 10 octobre qui touchait « 80% des lycées publics de la région Hauts-de-France » selon nos confrères d’Ici Hauts-de-France. À ce moment-là, la région Hauts-de-France ne parlait que d’ « un accès aux réseaux et à Internet […] temporairement suspendu ». Elle affirmait que « les premières analyses indiquent que l’attaque a essentiellement ciblé des données techniques. Les environnements numériques de travail (ENT) ne sont pas affectés » et ajoutait avoir déposé plainte.

Ce n’est que dans le courant de la journée de lundi que la Région a demandé aux établissements de maintenir tous les ordinateurs éteints « afin d’éviter toute propagation et de ne pas retarder le retour à la normale », suivant « les recommandations des experts (ANSSI, prestataires, experts internes et gendarmerie) », explique un communiqué de la Région.

Celle-ci ajoute que « les chefs d’établissement des lycées sont informés régulièrement de l’évolution de la situation ».

Selon Ici Hauts-de-France, la cyberattaque serait liée à un rançongiciel du groupe de pirates Qilin.

[…]

Article complet : next.ink

Google étend l’usage de son modèle de retouche d’images par IA « Nano Banana », initialement testé dans le studio d’IA Gemini. Après son intégration à Gemini 2.5 Flash, cette technologie devient disponible dans Lens, Google Photos et NotebookLM.

Dans Google Lens, les utilisateurs peuvent désormais retoucher des photos par simple commande textuelle grâce à un bouton « Créer » (icône de banane). L’IA permet de modifier ou d’affiner les images directement depuis l’application.

Dans la recherche Google, l’outil « Créer une image » permet aussi de générer et d’ajuster des images via conversation.

Dans NotebookLM, Nano Banana est utilisé pour appliquer de nouveaux styles vidéo (tableau blanc, anime, rétro, etc.) plutôt que pour la retouche d’images libre. L’outil introduit aussi un format vidéo « Brève », en plus du mode « Explication ».

Dans Google Photos, Nano Banana sera intégré prochainement. Il remplacera l’ancien modèle de retouche pour offrir une édition d’images plus fluide et naturelle.

Google présente Nano Banana comme une mise à niveau majeure de ses outils de création et de retouche d’images par IA, avec une approche plus conversationnelle et intégrée à ses principaux services.

Source: https://arstechnica.com/google/2025/10/googles-nano-banana-ai-image-editor-is-coming-to-search-photos-and-notebooklm/

D’où mon ? quand j’écrivais. En 3.0007 secondes on sait que c’est la marque Nest.