Autoblog de korben.info

Le conseil de pilotage de Python, l'instance qui tranche les grandes décisions du langage, a demandé le 5 juin la suspension de tout nouveau développement sur son compilateur JIT.

Un JIT (just-in-time), c'est un compilateur à la volée : au lieu d'interpréter votre code ligne par ligne, il traduit les portions les plus sollicitées en instructions machine pendant l'exécution, histoire de gagner en vitesse. Python en a un, expérimental, depuis la version 3.13 sortie début 2024.

Le problème n'est pas le code. Il est dans la procédure.

Ce JIT est arrivé dans la branche principale de CPython, l'implémentation de référence du langage, sans passer par le circuit de décision habituel. Chez Python, toute évolution majeure doit faire l'objet d'un PEP, un document formel que la communauté discute puis valide. Celui qui couvre le JIT, le PEP 744 signé Brandt Bucher et Savannah Ostrowski, n'est qu'informatif et laisse plusieurs questions en suspens : la maintenance future, la compatibilité avec l'outillage existant, les critères de réussite mesurables.

Le conseil l'a reconnu noir sur blanc : il n'a pas été "aussi strict sur le respect du processus qu'un changement de cette ampleur le méritait". Responsabilité partagée, donc.

En pratique, plus aucune nouvelle fonctionnalité JIT ne peut atterrir sur la branche principale tant qu'un PEP en bonne et due forme n'est pas accepté. Les corrections de bugs et de sécurité, elles, continuent. Le conseil laisse une fenêtre de six mois pour soumettre et faire valider ce document. Passé ce délai, faute d'accord, le code du JIT sera purement et simplement retiré.

Le timing est mauvais. Le JIT amélioré était l'une des nouveautés mises en avant de Python 3.15, dont les fonctionnalités sont déjà gelées et dont la sortie est attendue en octobre. Sur du x86-64 sous Linux, il promet un gain de 8 à 9% en moyenne, même s'il reste désactivé par défaut et consomme 10 à 20% de mémoire en plus.

Mark Shannon, un des principaux contributeurs, n'a pas caché son agacement. Pour lui, tout arrêter d'un coup fait perdre l'élan et risque de faire fuir les nouveaux venus, alors il réclame une période de grâce pour avancer pendant que le PEP se construit. Barry Warsaw, lui, a demandé pourquoi le travail ne pourrait pas se poursuivre dans un dépôt séparé le temps des discussions.

La réponse du conseil tient en une idée : mettre le développement en pause évite que le JIT devienne une cible mouvante pendant qu'on débat de son sort.

Du coup, on se retrouve avec une techno qui fonctionne, déjà embarquée dans le langage, suspendue à un document qui n'existe pas encore.

Geler une techno qui marche pour une procédure oubliée, c'est agaçant sur le moment. Mais sur un langage utilisé par des millions de gens, c'est probablement plus prudent.

Source : The Register

Pendant la Guerre froide, les services de renseignement diffusaient sur ondes courtes des suites de chiffres récitées par une voix synthétique, à destination de leurs agents sur le terrain. On appelait ça des "numbers stations", et personne en dehors du destinataire ne savait décoder le message.

Steven Murdoch, professeur de sécurité informatique à l'University College London, vient de montrer que l'armée américaine fait à peu près la même chose depuis presque vingt ans, mais via le GPS que vous avez dans la poche.

Tout part d'un champ obscur du signal GPS baptisé "Subframe 4, Page 17". Le signal civil L1 transmet en permanence 50 bits par seconde de données de navigation, et dans ce flux se cache un bloc de 176 bits que la spécification officielle IS-GPS-200 réserve aux "messages spéciaux", dont le contenu est laissé "à la discrétion du commandement opérationnel". Autrement dit, personne n'a jamais dit publiquement à quoi il servait.

Murdoch a récupéré plus de 12 millions d'observations de ce champ dans une archive publique de stations au sol, couvrant 2007 à début 2026. Dix-neuf ans de données passées dans une moulinette en langage Julia puis stockées dans une base DuckDB, pour en extraire un peu moins de 4 000 messages uniques de 176 bits.

Le 26 mai 2011, les 31 satellites actifs changent de comportement très rapidement, en quelques heures, exactement au moment du déploiement du réseau OTAD de l'armée, le système qui distribue à distance les clés de chiffrement. Le rythme de rotation des messages passe de 3,7 jours à 1,8 jour, ce qui colle parfaitement avec une livraison quotidienne de clés tactiques aux récepteurs militaires.

En mai 2022, toute la flotte ralentit encore, sans la moindre annonce. Et en décembre 2023, le satellite PRN 8 inaugure un nouveau format : un préfixe "TEXT" en clair, suivi de 18 octets de texte chiffré.

L'hypothèse de Murdoch, c'est que ce champ sert à l'OTAR, la mise à jour à distance des clés de chiffrement des récepteurs GPS militaires. Plutôt que d'envoyer un technicien recharger physiquement chaque appareil, on diffuse la "prochaine clé" directement dans le signal public, captée uniquement par les récepteurs sécurisés SAASM capables de la déchiffrer.

Le reste du temps, le contenu ressemble à du bruit parfaitement aléatoire, comme tout bon texte chiffré. Avec quelques fuites quand même : des séquences de test 0xAA quand aucune clé n'est en transit, et une même chaîne de 9 caractères, LY47IRP16, qui réapparaît à des mois d'intervalle, possible en-tête cryptographique mal masqué.

"Chaque satellite GPS est une numbers station. Les récepteurs ont toujours écouté, il est temps que la communauté sécurité regarde enfin les octets", écrit Murdoch. La méthode a quand même ses limites face aux bonnes vieilles ondes courtes : un signal GPS se brouille et se leurre facilement en zone de conflit, et il faut un firmware spécialisé pour en tirer quoi que ce soit.

Franchement, planquer pendant vingt ans un canal militaire chiffré dans le signal que des milliards de civils utilisent chaque jour, c'est du très grand art quand même.

Source : Benthamsgaze

OpenCV, vous l'utilisez sans doute déjà sans le savoir. Cette bibliothèque open source de vision par ordinateur, autrement dit une grosse boîte à outils qui apprend aux logiciels à analyser images et vidéos, se cache derrière la reconnaissance de visages de votre téléphone, les caméras d'usine ou les yeux des robots. Née chez Intel à la fin des années 90, elle vient de franchir un cap avec sa version 5.0, dévoilée autour de la conférence CVPR de Denver et rendue installable en un clic.

Le cœur du chantier, c'est son module DNN, le composant chargé d'exécuter les modèles d'intelligence artificielle, et qui a été réécrit de fond en comble.

L'ancien moteur traitait les calculs un par un, dans l'ordre. Le nouveau dessine d'abord le graphe entier des opérations avant de les lancer, ce qui lui permet de fusionner des étapes et de digérer beaucoup mieux les transformers, ces architectures mathématiques qui forment l'ossature de toute l'IA générative d'aujourd'hui.

Un chiffre résume le bond accompli. La compatibilité avec ONNX, le format qui sert à faire voyager un modèle d'un logiciel à l'autre, grimpe d'à peine plus de 20% sur les versions 4.x à plus de 80% sur cette mouture. Autant dire un autre monde.

Mais le vrai morceau de bravoure est ailleurs. OpenCV 5 est capable d'exécuter lui-même des grands modèles de langage, ces LLM qui font tourner ChatGPT, et même des modèles auxquels vous montrez une image et qui la décrivent en mots, sans aucun moteur tiers branché à côté.

Et on ne parle pas de modèles au rabais, puisque la liste inclut le Qwen 2.5 d'Alibaba et les Gemma de Google. Plus fort encore, lors des essais maison, la réponse de Qwen collait mot pour mot à celle d'ONNX Runtime, l'outil de référence de Microsoft pour ce genre de tâches. Pour une bibliothèque qui n'avait pas du tout été pensée pour ça, le résultat force le respect.

Le reste relève de la grosse mise à niveau. La 5.0 sait tirer parti d'à peu près toutes les puces du marché, des Intel aux Arm en passant par les Snapdragon de Qualcomm et la jeune architecture libre RISC-V, son volet de vision en trois dimensions a été réorganisé en briques plus claires, et son code réclame désormais un compilateur plus récent qu'à l'époque de la version 4.0, sortie en 2018.

Détail qui a son importance, tout ce travail reste mené par une fondation à but non lucratif, OpenCV.org , épaulée par le studio Big Vision et par des équipes basées en Chine. Pas par un géant privé.

Franchement, voir une vieille bibliothèque de vision proche des vingt-cinq ans se mettre à faire tourner des modèles de langage, c'est quand même pas mal.

Source : Phoronix

Un youtubeur qui se fait appeler Hyperspace Pirate a fabriqué chez lui un cryogénérateur, c'est-à-dire une machine capable de produire du froid extrême, en imprimant lui-même la plupart des pièces en plastique.

Sur ses deux prototypes, il est descendu jusqu'à -84°C. Ce n'est pas un record, et il le sait très bien, mais réussir ça avec du matériel de garage a quand même de quoi surprendre.

Faille kernel Linux - Un seul caractère et vous voilà root

Tue, 09 Jun 2026 09:35:49 +0200 - (source)

Oliver Sieber, un chercheur de chez Exodus Intelligence, vient de publier l'exploit complet d'une faille qui tient dans un seul caractère. C'est la CVE-2026-23111, planquée dans nf_tables, c'est à dire au bout du noyau Linux qui filtre les paquets réseau. Un bug discret donc, qui transforme un compte tout pourri, sans le moindre privilège, en compte root sur la machine... et qui vous fait sortir d'un conteneur au passage.

Le scénario, vous le connaissez si vous traînez ici depuis un moment. Un utilisateur qui dispose d'un compte sans droit particulier sur une machine Linux (y compris parce qu'il a exploité une autre faille avant, dans une appli web par exemple) lance l'exploit, et se retrouve avec les pleins pouvoirs. Pas de vecteur distant, rien à cliquer : c'est l'arme qu'on dégaine une fois le pied dans la porte. Que ce soit un shell avec des droits limités, un conteneur compromis, un compte de service... tout y passe et hop, root sur l'hôte !

Le bug lui-même, c'est ce qu'on appelle un use-after-free, c'est à dire que le noyau réutilise un bout de mémoire qu'il a déjà libéré, et forcément ça part en vrille. Exodus a titré son analyse complète "Off By !", un clin d'œil au classique off-by-one des développeurs, sauf qu'ici le coupable c'est un test inversé. Un caractère de trop, une condition qui dit l'inverse de ce qu'elle devrait, et voilà. Et le correctif, lui, tient en une seule ligne.

Le fameux caractère : le ! qui inversait le test dans nft_map_catchall_activate(). Le correctif le retire, et c'est tout (commit 8fdb05de).

La faille a d'ailleurs été reproduite deux fois, par deux équipes qui ne se sont pas concertées. Exodus l'a validé sur Debian Bookworm, Debian Trixie, Ubuntu 22.04 et 24.04. FuzzingLabs avait sorti sa propre version dès avril, par un chemin complètement différent, et l'avait fait tourner sur RHEL 10 juste avant le Pwn2Own de Berlin. Bref, ça marche, c'est bien documenté, et c'est public.

Mais le pire, c'est le calendrier de tout ce merdier puisque le patch a été mis à dispo le 5 février. Ensuite, y'a eu l'exploit de FuzzingLabs publié le 16 avril, suivi d'un write-up détaillé d'Exodus le 8 juin. Autrement dit, ça fait des mois que le correctif existe et des semaines que le code d'exploitation traîne dans la nature.

La seule chose qui vous sépare donc d'un compte root offert à n'importe qui, c'est d'avoir mis à jour ou pas.

Et cette faille s'ajoute à une sacrée série de failles root-local sur Linux ce printemps. Y'a eu Copy Fail , y'a eu Dirty Frag et sa variante Fragnesia ... à chaque fois le même refrain, un compte sans droit qui finit root sur une install standard. C'est devenu presque routinier, et Synacktiv pointe une raison plutôt pertinente en nous expliquant que c'est à cause (ou grâce ^^) aux outils d'IA qui décortiquent les patchs pour en sortir un exploit rapidos, qui marche direct avant même que la correction soit déployée partout.

Du coup, qu'est-ce que vous devez faire ?

Hé bien le plus simple d'abord, c'est de mettre à jour le noyau et vous rebootez. Ubuntu a corrigé 22.04, 24.04 et 25.10, Debian a patché Bookworm et Trixie (avec un backport en 6.1 pour Bullseye), et Red Hat, SUSE et Amazon Linux ont suivi. Comme la version corrigée exacte dépend de votre distrib, jetez donc un œil à l'advisory qui correspond à la vôtre.

Si vous gérez une machine où tournent des utilisateurs ou des workloads pas franchement de confiance, vous pouvez également couper le chemin d'attaque sans attendre le patch. La faille a besoin des user namespaces non privilégiés, un mécanisme qui laisse un process lambda se bricoler son propre bac à sable avec des droits root à l'intérieur.

Et nf_tables comme ces namespaces, sur la plupart des desktops et pas mal de serveurs, c'est actif par défaut, donc oui, sans le patch vous êtes probablement exposé.

Pour les désactiver, le plus universel c'est user.max_user_namespaces=0 : un sysctl -w user.max_user_namespaces=0 pour tout de suite, et la même ligne dans un fichier genre /etc/sysctl.d/99-userns.conf pour que ça tienne au reboot.

Ça marche sur toutes les distros mais c'est radical, ça coupe tous les user namespaces, même ceux de root. Sur Debian et les vieilles Ubuntu, t'as plus fin avec kernel.unprivileged_userns_clone=0 qui ne vise que les non-privilégiés. Et sur Ubuntu 24.04, bonne nouvelle, c'est déjà restreint par défaut via AppArmor. Attention quand même, ça peut casser des trucs qui s'appuient dessus, genre le bac à sable de Chrome ou Flatpak.

À faire en connaissance de cause, donc.

La parade en vrai : une fois les user namespaces non privilégiés coupés, un compte lambda qui tente d'en créer un (le prérequis de l'exploit) se fait jeter sur un "No space left on device".

Après la bonne nouvelle, c'est que d'après les chercheurs, aucune exploitation dans la nature pour cette faille précise n'a été constaté à ce jour. Après comme sa cousine Copy Fail, elle, a déjà atterri au catalogue des failles activement exploitées de la CISA, ne traînez pas trop. Bref, comme d'hab padpanik, vous mettez à jour, vous rebootez, et on n'en parle plus.

Source

Music Decoy - Apple Music ne se lancera plus tout seul

Tue, 09 Jun 2026 09:25:31 +0200 - (source)

Vous appuyez sur la touche ▶ Play de votre clavier pour mettre en pause une vidéo. Et c'est ce couillon d'Apple Music qui s'ouvre en grand alors que vous n'avez rien demandé. Ou alors vous branchez votre casque Bluetooth, et le revoilà qui débarque comme votre ex à votre anniversaire. Sachez que si ce truc vous rend dingue depuis des années (moi le premier), les Low-Tech Guys (Alin Panaitiu, le dev derrière Lunar) ont pondu Music Decoy , une petite app gratuite qui règle le problème une bonne fois pour toutes.

Et cette app minimaliste ne fait rien d'autre que tourner en arrière-plan en se faisant passer pour l'app Musique, avec le même identifiant interne, le fameux com.apple.Music. Comme ça, quand vous appuyez sur Play, macOS regarde, voit que "Musique" est déjà là, et ne lance rien. Rideau on ferme ! Pour l'installer, suffit de faire brew install --cask music-decoy en ligne de commande, ou de passer par le ZIP à télécharger si vous préférez cliquer cliquer cliquer...

Ensuite, vous lancez, et voilà, y'a même pas d'icône.

Maintenant pour comprendre pourquoi il faut en arriver là, sachez qu'un petit démon nommé rcd (Remote Control Daemon) gère les touches média sur votre Mac. À chaque pression sur la touche Play, il vérifie si une app joue déjà du son. Si oui, il lui envoie la commande. Si non... bah il ouvre Apple Music par défaut, parce qu'Apple a décidé que c'était ça que vous vouliez. Merci les gars !

Toute l'astuce de Music Decoy, c'est donc qu'il occupe le terrain. L'alternative la plus connue, noTunes , surveille le système et referme Musique dès qu'elle tente de s'ouvrir. Donc il doit tourner en permanence pour monter la garde. Music Decoy, lui, fait juste croire que Musique tourne déjà. Donc il n'y a rien à surveiller ni à refermer. C'est mieux je trouve... Et comme c'est open source , vous pouvez aller voir vous-même les quelques lignes qui suffisent à berner le système ^^.

Et si vous écoutez vraiment de la musique, mais sur Spotify par exemple, vous pouvez carrément rediriger la touche Play vers elle grâce à cette commande dans le Terminal :

defaults write com.lowtechguys.MusicDecoy mediaAppPath /Applications/Spotify.app

Et pour revenir en arrière en mode "Si tu reviens j'annule tout", un defaults delete com.lowtechguys.MusicDecoy mediaAppPath et basta.

Vous l'aurez compris, comme Music Decoy squatte l'identité d'Apple Music, vous ne pourrez plus lancer la vraie app Musique tant qu'il tourne. Et y'a certaines applications qui essaient de dialoguer avec Musique, comme VLC, qui risquent de tousser au passage. Donc si vous ouvrez Apple Music dix fois par jour, bah passez votre chemin les amigos.

Et pour le quitter, comme il n'a ni icône ni menu, il faudra passer par le Moniteur d'activité ou taper un petit killall 'Music Decoy' dans le Terminal comme tout bon barbu.e qui se respecte.

Après si installer cette app vous saoule, il vous reste la méthode bourrine, à savoir faire un launchctl unload -w /System/Library/LaunchAgents/com.apple.rcd.plist pour désactiver complètement rcd. Mais là vous flinguez le play/pause et toutes les commandes de lecture légitimes d'un coup.

Music Decoy fait donc plus dans la dentelle, et si vous l'ajoutez à vos ouvertures au démarrage, vous n'y penserez plus jamais. C'est dans la lignée de ces petits softs dont je vous parle souvent, qui réparent les oublis de macOS, comme Boring Notch pour l'encoche ou iFetch pour reprendre la main sur iCloud.

Bref, un petit soft qui fait pas grand chose mais qui le fait bien.

Un clone de DOOM en COBOL ça vous dit ?

Mon, 08 Jun 2026 18:17:23 +0200 - (source)

Un développeur connu sous le pseudonyme icitry s'est posé une question que personne de sensé ne formule jamais, peut-on coder un jeu de tir à la première personne en COBOL ? La réponse, contre toute attente, est oui, et le résultat est même tout à fait jouable.

Pour ceux que ce nom laisse de marbre, COBOL, pour Common Business Oriented Language, est un langage né en 1959 qui fait encore tourner aujourd'hui une partie des mainframes chargés de vos virements bancaires et de la paie. C'est l'outil de la gestion et des relevés de compte, à peu près l'inverse de ce qu'on imagine pour un jeu vidéo.

Le moteur du jeu repose sur le raycasting, cette technique qui a propulsé Wolfenstein 3D au début des années 90. Le programme projette une rangée de rayons depuis le point de vue du joueur, regarde où chacun vient percuter un mur, et en déduit colonne par colonne la hauteur à dessiner. De la fausse 3D reconstruite à partir d'un simple plan vu de dessus.

Le vrai casse-tête, c'est que COBOL n'embarque aucune bibliothèque graphique, pas la moindre fonction pour allumer un pixel ou ouvrir une fenêtre. La parade est astucieuse. Le programme calcule lui-même chaque image, en recrache les pixels bruts sur la sortie standard du terminal, puis laisse un petit utilitaire nommé ffplay récupérer ce flux pour l'afficher comme une vidéo animée.

Même esprit de débrouille pour les commandes. Le terminal bascule en mode brut afin d'intercepter chaque touche sans attendre que vous validiez, pendant que le programme lit en continu ce qui arrive sur son entrée standard.

Et le rendu ne se limite pas à trois murs gris qui clignotent. On y trouve des sprites, des ennemis qui se baladent et vous tirent dessus, et même des secteurs de hauteur variable qui rapprochent l'ensemble du DOOM de 1993 plutôt que de son aîné Wolfenstein.

Le code complet est publié sur GitHub sous licence Apache, libre à chacun d'aller en fouiller les coulisses. Un internaute a d'ailleurs relevé que GnuCOBOL, le compilateur libre utilisé ici, sait parfaitement appeler du code écrit en langage C, ce qui ouvrirait l'accès à tout son arsenal de bibliothèques.

Toute la démonstration sert à rappeler que COBOL est Turing-complet, c'est-à-dire capable en théorie de calculer exactement la même chose que n'importe quel langage moderne, et à le prouver sur le terrain le plus hostile qu'on puisse lui opposer.

Bref, c'est rigoureusement inutile, et c'est très exactement pour ça que c'est cool.

Source : Hackaday

Test du Leap Nova de chez Strong - Google TV pour réveiller votre vieille téloche

Mon, 08 Jun 2026 18:00:07 +0200 - (source)

- Contient des liens affiliés Amazon -

Mon problème de départ était tout bête, je voulais lancer GeForce Now, le service de Nvidia qui fait tourner des jeux à distance sans grosse machine, directement sur ma télé LG OLED de 2023. Sauf que cette télé, aussi incroyable soit-elle, ne fonctionne qu'en Wi-Fi 5, et c'était la catastrophe, l'image saccadait dès que l'application GeForce Now tournait dessus.

Screenshot

La solution est venue d'un petit boîtier que je teste depuis quelques jours, le STRONG LEAP NOVA , un stick Google TV 4K à peine plus gros qu'une clé USB qui se branche en HDMI derrière l'écran. Pour tout vous dire la marque me l'a envoyé, je l'ai reçu ce matin, et je me suis jeté dessus pour tester mon besoin (et un peu plus).

En passant par lui plutôt que par l'application intégrée au téléviseur, GeForce Now tourne parfaitement, sans la moindre saccade. J'ai appairé une manette Xbox en Bluetooth directement sur le boîtier, et l'ensemble est d'une stabilité irréprochable. Franchement bluffant.

Là où ce stick sort vraiment du lot sur le papier, c'est sa puce maison dédiée à l'intelligence artificielle, ce que les fabricants appellent un NPU, capable d'environ 4 000 milliards d'opérations par seconde. Son rôle consiste à agrandir en temps réel les vidéos en Full HD pour les rapprocher de la 4K de votre téléviseur.

Deux algorithmes baptisés AI Super Resolution 2 et AI Picture Quality analysent chaque image pour reconstituer les détails importants et retoucher textures, contrastes et couleurs, sans que vous ayez le moindre réglage à toucher. C'est précieux quand la source est en Full HD, ce qui arrive sans arrêt sur les formules de streaming de base ou les chaînes de replay.

Pour le reste, la fiche technique tient parfaitement la route pour un objet de 44 grammes qui tient dans la paume. On a droit à Android 14, au Wi-Fi 6, au Bluetooth 5.2 et à une prise HDMI 2.1b avec tout l'attirail qui plaira aux joueurs, du VRR à l'ALLM, plus la compatibilité Dolby Vision, HDR10+ et Dolby Atmos.

Côté usage classique, rien à redire non plus, les applications de streaming habituelles comme Netflix, Disney+ ou Prime répondent au doigt et à l'oeil, et Plex, le serveur perso dont je me sers pour lire toute ma collection de films, fonctionne nickel.

Le prix est très bon, puisque la LEAP NOVA s'affiche à 74,99 euros chez Boulanger, Cdiscount ou Conforama, avec une version strictement identique baptisée LEAP NOVA X, exclusive à Amazon , vendue 69,99 euros et même moins de 60 euros en ce moment en promotion . Dans la boîte, vous trouverez une télécommande à commande vocale, le câble et l'alimentation. Simple, efficace.

Bref, un stick qui fait parfaitement tourner GeForce Now sur ma vieille télé et embarque une vraie puce IA, c'est 100% validé.

Signal, DuckDuckGo et NordVPN menacent de quitter le Canada à cause d'une loi sur la surveillance

Mon, 08 Jun 2026 17:08:03 +0200 - (source)

Le Canada planche sur un projet de loi, le C-22, qui obligerait les services numériques à conserver pendant un an les métadonnées de leurs utilisateurs, c'est-à-dire pas le contenu de vos messages mais qui vous contactez, à quelle heure et depuis où vous le faites.

Plusieurs champions de la vie privée préviennent qu'ils plieront bagage plutôt que de s'y soumettre.

Signal, l'application de messagerie chiffrée que recommandent les défenseurs de la confidentialité, l'a dit noir sur blanc devant le comité de la sécurité publique de la Chambre des communes. Son vice-président Udbhav Tiwari n'a pas tourné autour du pot : "Si on nous force un jour à choisir entre trahir les gens qui comptent sur nous et quitter un marché, nous partirons."

DuckDuckGo, le moteur de recherche qui se vend, lui, sur le respect de la vie privée, a confirmé qu'il retirerait son service de VPN du Canada si le texte passe. Un VPN, pour rappel, c'est l'outil qui masque votre adresse et chiffre votre trafic pour qu'on ne puisse pas voir ce que vous faites en ligne.

NordVPN tient le même discours et parle d'étudier "toutes les options possibles, y compris réduire ou retirer notre présence". Windscribe, un autre fournisseur de VPN, va plus loin et menace carrément de déménager son siège et ses impôts ailleurs. Apple, Google et Meta sont aussi venus exprimer leurs réserves devant les députés. Ces projets de loi d'accès légal, qui visent à donner aux autorités un droit de regard sur les communications, reviennent régulièrement au Canada depuis plus de dix ans, et finissent à chaque fois par se cogner au même mur, le chiffrement.

Ce qui coince, c'est cette obligation de stocker un an de métadonnées et de bâtir des capacités d'accès pour que la police et le CSIS, le service de renseignement canadien, puissent venir piocher dedans pendant une enquête. Le ministre de la Sécurité publique pourrait même imposer ce genre de mécanisme à d'autres entreprises par un simple ordre, sans mandat d'un juge, avec pour seul garde-fou le feu vert d'un commissaire au renseignement.

Le problème, c'est qu'une métadonnée raconte déjà énormément. Pas besoin de lire vos messages pour savoir que vous appelez un cabinet d'avocats à 2h du matin trois jours d'affilée.

Et pour construire ces fameuses capacités d'accès, il faut souvent affaiblir le chiffrement, donc créer une porte dérobée. Une porte dérobée, c'est comme laisser une clé sous le paillasson en jurant que seul le gentil facteur la trouvera.

Le gouvernement essaie de calmer le jeu. Le ministre Gary Anandasangaree a promis des amendements précisant qu'on n'obligera personne à casser son chiffrement. Mais la rétention d'un an de métadonnées, elle, ne bouge pas.

Du coup, des boîtes dont le métier c'est justement de ne rien savoir de vous se retrouvent priées de tout retenir. Normal qu'elles préfèrent partir.

Source : Techspot

OpenAI ajoute un "mode confinement" à ChatGPT pour bloquer les injections de prompt

Mon, 08 Jun 2026 11:45:29 +0200 - (source)

ChatGPT a gagné un réglage qui ne plaira pas à tout le monde. Un "mode confinement", Lockdown Mode dans le texte, qui débranche volontairement une partie des fonctions de l'assistant pour réduire le risque de fuite de données vers l'extérieur.

L'ennemi, ici, porte un nom : l'injection de prompt. Le principe de cette attaque est plutôt vicieux, puisqu'un pirate planque des instructions dans une page web ou dans un document anodin, et qu'au moment où ChatGPT lit ce contenu pour vous répondre, il avale ces ordres cachés et les exécute sans que rien ne s'affiche à l'écran.

Ce qui inquiète OpenAI, c'est la suite. Une consigne dissimulée peut très bien ordonner à l'assistant d'aller récupérer vos informations sensibles, mots de passe ou documents personnels, avant de les renvoyer en douce vers un serveur que l'attaquant contrôle. On appelle ça l'exfiltration de données. C'est tout le scénario que le mode confinement cherche à rendre impossible, en bouclant les sorties plutôt qu'en filtrant les entrées.

Concrètement, il débranche à peu près tout ce qui relie ChatGPT au reste du web. La navigation en direct ? Coupée. Elle est ramenée au contenu déjà enregistré dans les serveurs d'OpenAI, ce qui fait qu'aucune requête ne file vers internet pendant que vous discutez.

Le ménage continue. Plus de récupération d'images depuis le web, plus de téléchargement de fichiers, plus de Deep Research, cet outil qui part compiler automatiquement des dizaines de sources, et plus d'Agent Mode, ce système qui laisse ChatGPT cliquer et agir tout seul sur des sites à votre place comme s'il était assis derrière votre clavier.

Vos propres fichiers, eux, passent toujours. Vous gardez la possibilité de téléverser images et documents à la main, et OpenAI précise que le mode ne touche ni à la mémoire de ChatGPT, ni au partage de conversations, ni à la façon dont vos échanges peuvent servir à entraîner les modèles maison.

L'activation est simple. Direction les réglages, rubrique sécurité, puis sécurité avancée, et vous basculez un interrupteur. C'est ouvert à tous les comptes personnels, y compris la version gratuite, ainsi qu'aux comptes ChatGPT Business en libre-service.

Sauf que voilà, OpenAI le précise clairement : ce mode n'est pas fait pour tout le monde. Il vise les gens et les boîtes qui manipulent des données sensibles et qui acceptent de sacrifier une partie du confort d'usage contre des garde-fous nettement plus serrés.

Et surtout, l'entreprise reconnaît la grosse limite du truc. Le mode confinement n'empêche en rien les injections de se glisser dans le contenu que ChatGPT analyse, il se contente de verrouiller les issues par lesquelles un pirate pourrait aspirer vos données une fois qu'il a pris la main. La faille de fond, elle, est toujours là.

Reconnaître publiquement qu'on pose une barrière sans régler le problème de fond, c'est honnête. Ça montre surtout que l'injection de prompt est un casse-tête que personne n'a encore su désamorcer.

Source : TechCrunch

< Older

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles