Dualite onde-particule : un YouTuber la teste avec un detecteur de fumee et un capteur a 350 euros
Un vidéaste scientifique vient de reproduire des expériences de physique quantique depuis chez lui, avec un simple détecteur gamma portable et une capsule radioactive récupérée dans un vieux détecteur de fumée. Et les résultats sont plutôt convaincants.
De la physique quantique dans un garage
Huygens Optics, une chaîne YouTube spécialisée dans l'optique et la physique, s'est attaqué à une question qui occupe les physiciens depuis plus d'un siècle : la lumière est-elle une onde ou une particule ? Pour tenter d'y répondre, pas besoin d'un accélérateur de particules ou d'un labo à plusieurs millions d'euros.
Le vidéaste a utilisé un Radiacode 110, un petit détecteur de rayons gamma qui tient dans la main (67 grammes, connecté en Bluetooth à un smartphone), une capsule d'américium-241 extraite d'un détecteur de fumée hors service, un boîtier en plomb coulé maison et un Arduino pour mesurer les impulsions. Le tout pour quelques centaines d'euros.
Trois experiences, zero accelerateur
Première expérience : vérifier que les rayons gamma obéissent bien à la loi de l'inverse du carré. En mesurant le rayonnement à différentes distances de la source, c'est confirmé. Rien de surprenant, mais ça valide le protocole.
Deuxième test, plus costaud : analyser la corrélation temporelle entre deux détecteurs Radiacode placés côté à côté. Résultat, aucune corrélation dans les émissions de l'américium. Par contre, surprise, les deux capteurs ont détecté des corrélations dans le rayonnement cosmique de fond, ces gerbes de particules venues de l'espace qui traversent l'atmosphère en permanence. Un bonus inattendu.
La troisième expérience est la plus parlante. En envoyant des rayons gamma sur un bloc de graphite et en mesurant l'énergie du rayonnement diffusé à différents angles, Huygens Optics a reproduit l'effet Compton. Plus l'angle augmente, plus l'énergie du rayon diminue, exactement comme la théorie le prédit quand un photon percute un électron et lui cède une partie de son énergie.
Ce décalage en énergie est une preuve forte que la quantification n'est pas juste un artefact de la mesure : elle est bien intrinsèque au champ électromagnétique. La lumière se comporte comme des particules, même quand on la teste avec du matériel de bureau.
La science portable
Le Radiacode 110 n'est pas un jouet. Avec son cristal à scintillation de 14 mm de côté, il mesure l'énergie de chaque rayon gamma qui le traverse et peut construire un spectre énergétique en temps réel, le tout affiché sur une application smartphone via Bluetooth. Il coûte autour de 350 euros. C'est le genre d'outil qui, il y a vingt ans, aurait occupé une armoire entière dans un labo universitaire.
On est quand même face à un truc assez dingue : un type, chez lui, avec du matériel grand public, arrive à mettre en évidence un phénomène qui a valu un prix Nobel à Arthur Compton en 1927.
Bon, on ne va pas comparer ça à une publication dans Nature, les conditions restent artisanales et les marges d'erreur ne sont pas discutées en détail. Mais le fait qu'un détecteur portable à 350 euros permette de toucher du doigt la physique fondamentale, ça dit quelque chose sur la démocratisation des instruments scientifiques.
Source : Hackaday
macOS - Votre réseau TCP meurt au bout de 49 jours
49 jours, les amis, c'est la durée de vie d'un Mac avant que son réseau TCP ne s'effondre dans un silence assourdissant. Il suffit d'un overflow d'entier 32 bits dans le kernel XNU, une horloge interne qui se bloque, et hop, plus moyen d'ouvrir la moindre connexion. Le ping marche toujours, parce qu'ICMP se fout du TCP, mais pour le reste... c'est reboot obligatoire ou rien.
Pour savoir combien de temps il vous reste, tapez uptime dans le Terminal. Si votre Mac sous macOS Sequoia, Sonoma ou même Ventura tourne depuis plus de 7 semaines sans redémarrage, c'est le moment d'y remédier car le bug touche toutes les versions.
C'est l'équipe de Photon qui a révélé le problème. Celui-ci est apparu sur une flotte de Macs dédiée à la télémétrie iMessage. Pile 49,7 jours après le dernier redémarrage, plusieurs machines ont lâché en même temps. Plus de nouvelles connexions réseau, mais le ping répondait toujours.
En fouillant le code du
noyau XNU d'Apple
(qui est open source, faut le rappeler), ils sont tombé sur une variable tcp_now, qui est un compteur 32 bits qui s'incrémente chaque milliseconde. En gros, imaginez un compteur kilométrique qui arrivé au max (environ 4,3 milliards), repasse à zéro.
Sauf que le code contient un garde fou censé empêcher l'horloge de reculer du genre "si la nouvelle valeur est plus petite que l'ancienne, on ne met pas à jour". Ça a l'air malin mais en fait, au moment du rebouclage, patatras : la nouvelle valeur (proche de zéro) est forcément plus petite que l'ancienne (proche du max), du coup le garde fou bloque tout et l'horloge TCP se fige.
Et ensuite, ça part en cascade. Les connexions fermées restent normalement en TIME_WAIT durant 30 secondes sur macOS, avant d'être nettoyées par tcp_gc() mais avec l'horloge gelée, ce nettoyage ne se fait plus. Un netstat -an | grep TIME_WAIT montre alors la catastrophe en temps réel avec des connexions mortes qui s'empilent, et finissent par bouffer les 16 384 ports éphémères (range 49152-65535 sur macOS) restant... Et au bout de quelques heures, plus rien ne passe !
Photon a laissé tourner deux machines après l'overflow pour voir. Neuf heures plus tard, l'une affichait 8 000 connexions zombies et un load average de 49. La machine ne faisait plus que scanner sa propre file d'attente de connexions mortes.
Si ça vous rappelle quelque chose, c'est normal car j'sais pas si vous vous souvenais mais Windows 95 plantait au bout du même délai pour la même raison (le fameux GetTickCount() en 32 bits). Le Boeing 787 avait également un souci similaire au bout de 51 jours sur ses switches réseau, sans oublier le bug de l'an 2038 sous Unix, qui est la version signée du même phénomène. 30 ans séparent certains de ces bugs qui pourtant appartiennent à la même catégorie !
Après flippez pas car des devs avec des Macs à plus de 600 jours d'uptime disent n'avoir jamais eu le souci. À vrai dire, le bug ne se déclencherait que si votre Mac n'a aucun trafic TCP pile au moment de l'overflow. Si votre machine cause au réseau en permanence (et c'est le cas de 99% des Macs), l'horloge passe le cap sans broncher.
Les machines les plus exposées sont en fait les serveurs CI/CD sous macOS, les Mac mini en ferme de build Jenkins ou GitHub Actions, les Mac Pro dédiés au rendu 3D avec Blender ou Cinema 4D. Le MacBook qui passe en veille tous les soirs n'est pas vraiment concerné (le compteur tcp_now ne tourne pas pendant la veille, donc le délai de 49 jours ne concerne que le temps d'activité réel).
Maintenant pour vérifier votre compte à rebours personnel, ouvrez un Terminal et collez y ceci :
boot_sec=$(sysctl kern.boottime | grep -o 'sec = [0-9]*' | head -1 | awk '{print $3}')
now_sec=$(date +%s)
remain=$(( 4294967 - (now_sec - boot_sec) ))
echo "Temps restant avant overflow : $((remain/3600))h $((remain%3600/60))m"
Apple n'a pour l'instant rien communiqué sur le sujet, ce qui n'est guère surprenant vu que c'est un peu leur spécialité quand une vulnérabilité est remontée. L'équipe de Photon dit travailler sur un moyen de contourner le problème qui éviterait de rebooter, mais en attendant, le seul fix c'est le redémarrage, qui remet le compteur à zéro... et relance le compte à rebours.
Bref, y'a rien à faire si ce n'est de vérifier votre uptime et faire éventuellement un petit reboot préventif. Tic tac, l'horloge tourne ^^.
Il menace un agent du renseignement en parlant à ChatGPT, le RAID débarque chez lui
Un Strasbourgeois de 37 ans a été interpellé par le RAID après avoir formulé des menaces dans une conversation avec ChatGPT. OpenAI a signalé les propos au FBI, qui a transmis l'alerte aux autorités françaises via la plateforme Pharos.
L'affaire a été classée sans suite, mais elle montre que les échanges avec les chatbots ne sont pas vraiment privés.
Des menaces repérées par OpenAI
Les faits remontent au 3 avril. L'homme a indiqué à ChatGPT vouloir acheter un pistolet Glock pour "tuer un agent du renseignement de la CIA, du Mossad ou de la DGSI". Les propos ont été détectés par les systèmes de modération d'OpenAI, qui applique depuis 2024 une politique claire : si une conversation présente un risque de violence physique, l'entreprise peut transmettre les échanges aux forces de l'ordre.
Ici, OpenAI a alerté le FBI, qui a relayé l'information aux autorités françaises via Pharos, la plateforme de signalement en ligne gérée par l'OCLCTIC.
Le RAID intervient, aucune arme trouvée
L'intervention a eu lieu au domicile de l'homme, dans le quartier de Koenigshoffen à Strasbourg. Le RAID est entré sans incident et n'a trouvé aucune arme sur place. L'homme a été placé en garde à vue puis libéré le lendemain.
Il a expliqué être schizophrène, en rupture de traitement depuis deux ans, et avoir voulu "tester la fiabilité et la surveillance de l'intelligence artificielle" plutôt que planifier quoi que ce soit. Le parquet de Strasbourg a classé l'affaire sans suite et l'homme a été hospitalisé d'office en psychiatrie.
Vos conversations avec les chatbots ne sont pas privées
Cette affaire est un bon rappel pour tous les utilisateurs de ChatGPT et d'autres assistants IA. OpenAI le dit dans ses conditions d'utilisation : les conversations peuvent être analysées, et dans certains cas transmises à la police.
Depuis février 2024, l'entreprise a perturbé plus de 40 réseaux qui enfreignaient ses règles. Et le mécanisme est rapide : entre les propos tenus à Strasbourg et l'intervention du RAID, il s'est visiblement passé très peu de temps. La coopération entre OpenAI, le FBI et les autorités françaises a fonctionné en quasi temps réel.
C'est le genre d'histoire qui fait réfléchir. On parle quand même d'un type qui tape des menaces dans un chatbot depuis chez lui et qui voit le RAID débarquer à sa porte quelques heures plus tard. Ici l'affaire s'est bien terminée, l'homme avait visiblement besoin de soins et pas d'un Glock.
Mais ça pose une question très concrète : est-ce que tous les utilisateurs de ChatGPT, Claude ou Gemini ont bien conscience que leurs conversations sont surveillées et peuvent remonter aux autorités de n'importe quel pays ? On imagine bien que non.
Source : Vosges Matin
Un bidouilleur fait tourner des DVD sur Dreamcast avec un Raspberry Pi
Un développeur connu sous le pseudo ThroatyMumbo vient de réussir un petit exploit : faire lire des DVD à une Sega Dreamcast, la console qui n'a jamais eu droit à cette fonctionnalité.
Sa méthode passe par un Raspberry Pi 5, un Raspberry Pi Pico 2 et le port manette de la console, le tout sans la moindre modification hardware. Vingt-cinq ans après, la Dreamcast peut enfin lire des DVD.
Une vieille histoire de format
La Dreamcast est sortie en 1998 au Japon et utilisait le format GD-ROM, un disque propriétaire développé avec Yamaha capable de stocker jusqu'à 1 Go de données. Sega avait choisi ce format pour éviter les frais de licence du DVD Forum et garder des coûts de production proches de ceux d'un CD classique.
Sur le papier, la console avait les capacités techniques pour lire des DVD, mais Sega n'a jamais franchi le pas. Un prototype d'extension DVD avait même été montré à l'E3 2000 avant de disparaitre dans les cartons. En face, Sony sortait la PlayStation 2 avec un lecteur DVD intégré, et on connait la suite.
Du Raspberry Pi et un faux accessoire photo
Le montage imaginé par ThroatyMumbo est malin. Un Raspberry Pi 5 est connecté à un lecteur DVD USB externe et se charge d'encoder la vidéo en temps réel. Cette vidéo est ensuite envoyée par USB à un Raspberry Pi Pico 2, qui se fait passer pour un DreamEye, le petit accessoire photo que Sega avait sorti au Japon en 2000.
Le Pico 2 communique avec la Dreamcast via le bus Maple, le protocole qu'utilise la console pour ses manettes et périphériques. La Dreamcast croit recevoir des images d'une caméra, alors qu'elle affiche le contenu d'un DVD. Le créateur admet lui-même que le résultat est "un peu bancal", mais la vidéo de démonstration montre que ça tourne avec un DVD d'Aqua Teen Hunger Force.
Tout passe par le port manette
Le gros avantage de cette bidouille, c'est qu'elle ne demande aucune modification de la Dreamcast. Tout transite par le port manette, ce qui veut dire que n'importe quelle console en état de marche peut en profiter.
Le code source et les instructions sont disponibles sur GitHub. Ça reste du bricolage : il faut un Raspberry Pi 5, un Pico 2, un lecteur DVD USB et de quoi relier tout ça. Pas le genre de truc qu'on met en place en deux minutes.
C'est quand même rigolo de se dire que la Dreamcast aura attendu plus de vingt-cinq ans pour lire un DVD. Sega avait prévu un accessoire dédié qui n'est jamais sorti, et c'est un bidouilleur avec deux Raspberry Pi qui finit par régler la question.
L'idée de détourner un accessoire photo japonais en lecteur DVD, c'est bien trouvé. Pas sûr que Sega aurait apprécié la méthode, mais bon, le résultat est là.
Source : The Dreamcast Junkyard
Des agents IA découvrent deux failles critiques dans le système d'impression de Linux et macOS
CUPS, le système d'impression utilisé par macOS et la plupart des distributions Linux, est touché par deux nouvelles vulnérabilités. Elles ont été trouvées par des agents d'intelligence artificielle, et permettent une exécution de code à distance.
Aucun correctif officiel n'est disponible pour le moment, et les preuves de concept sont déjà publiques. Les environnements professionnels sont les premiers concernés.
Quand l'IA fait le boulot des chercheurs en sécurité
C'est un ingénieur sécurité de SpaceX, Asim Manizada, qui a publié les détails de ces deux failles. Le plus surprenant, c'est qu'il ne les a pas trouvées tout seul. Il a utilisé des agents IA pour analyser le code de CUPS et débusquer les problèmes.
Son travail s'inspire des recherches de Simone Margaritelli, qui avait déjà montré en 2024 comment enchaîner plusieurs failles CUPS pour exécuter du code à distance sur des machines Linux.
Les deux vulnérabilités portent les références CVE-2026-34980 et CVE-2026-34990. Elles touchent CUPS 2.4.16 et peuvent être combinées pour un résultat assez redoutable.
Deux failles qui se complètent
La première faille permet à un attaquant d'envoyer une tâche d'impression sur une file PostScript partagée, sans aucune authentification.
CUPS accepte par défaut les requêtes anonymes sur les files partagées, et un mécanisme d'échappement de caractères permet d'injecter du code qui sera exécuté en tant qu'utilisateur "lp". En pratique, un attaquant peut forcer le serveur à lancer un programme de son choix.
La seconde faille concerne l'authentification du démon cupsd. Un utilisateur local sans privilège peut tromper le service pour qu'il s'authentifie auprès d'un faux serveur IPP contrôlé par l'attaquant.
Le jeton récupéré permet alors d'écraser n'importe quel fichier avec les droits root. Combinées, les deux failles donnent à un attaquant distant et non authentifié la possibilité d'écraser des fichiers système en tant que root.
Pas de patch, mais des correctifs dans les tuyaux
Pour le moment, aucune mise à jour officielle de CUPS n'a été publiée. Michael Sweet, le créateur et mainteneur du projet, a mis en ligne des correctifs sur GitHub, mais il n'y a pas encore de version patchée à télécharger.
Manizada prévient que ces failles seront faciles à reproduire, vu que les preuves de concept sont publiques et que les modèles de langage actuels peuvent transformer un rapport technique en exploit fonctionnel en quelques minutes.
Côté impact, CUPS est le système d'impression par défaut de macOS et de la quasi-totalité des distributions Linux. Pour être vulnérable, il faut que le serveur CUPS soit accessible sur le réseau avec une file d'impression partagée configurée, ce qui est courant dans les environnements professionnels.
C'est quand même un drôle de signal. D'un côté, l'IA montre qu'elle sait trouver des failles de sécurité plus vite que les humains. De l'autre, les mainteneurs open source galèrent toujours autant pour sortir les correctifs à temps. Manizada lui-même le dit : les modèles de langage peuvent convertir un simple rapport technique en code d'attaque prêt à l'emploi.
Du coup, entre la divulgation d'une faille et le premier exploit, on parle de quelques heures, pas de quelques semaines. Si vous gérez des imprimantes en réseau, le plus prudent reste de couper le partage des files CUPS en attendant le patch, ou au moins de restreindre l'accès réseau au service. Pas très pratique, mais c'est le prix à payer quand le système d'impression a vingt ans de code derrière lui.
Source : The Register
Gemma Gem - Un agent IA dans Chrome, 100% local
Les extensions Chrome qui promettent de l'IA, ça pullule de ouf et à vrai dire, la plupart se contentent d'envoyer vos données sur un serveur distant. C'est naze ! Heureusement, l'extension Gemma Gem prend le problème à l'envers puisque son modèle tourne directement dans votre navigateur via WebGPU, sans clé API, sans cloud, et vos données ne sortent jamais de votre machine. C'est comme le kir, royal !
Comme c'est pas sur le Chrome Web Store, faudra la builder vous-même... Vous clonez le repo, vous lancez pnpm install puis pnpm build et vous chargez le dossier dans chrome://extensions en mode développeur et ensuite, elle téléchargera le modèle de Google (environ 500 Mo pour la version légère, genre le poids d'un gros jeu mobile), et pif paf pouf, ensuite vous aurez un agent IA qui vit sa best life dans votre Chrome.
Cliquez alors sur l'icône en bas à droite, une fenêtre de chat s'ouvre et vous pourrez interroger n'importe quelle page. Et si vous préférez un modèle plus costaud, l'E4B pèse 1,5 Go et permet d'obtenir des réponses plus fines.
Sauf que c'est pas juste un chatbot de plus. En effet, l'extension fait du tool calling en boucle à l'aide de 6 outils : read_page_content, click_element, type_text, scroll_page, take_screenshot et run_javascript. Elle peut ainsi lire une page, cliquer sur des boutons, remplir un formulaire et même balancer du JavaScript dans le contexte de la page.
Comme l'inférence WebGPU ne peut pas tourner dans un service worker Chrome (y'a pas d'accès au GPU, c'est une limitation connue depuis des années), le développeur a trouvé une parade : il utilise un offscreen document, c'est-à-dire une page HTML invisible que Chrome maintient en arrière-plan et qui, elle, a accès au GPU. Résultat, le modèle calcule dans cette page fantôme, le service worker joue le facteur entre les morceaux, et le content script affiche le chat. Je trouve ça bien pensé comme découpage !
Toute la boucle d'agent (le code qui décide quand appeler un outil et quand répondre) est isolée dans un dossier agent/ sans aucune dépendance Chrome. Cela veut dire que vous pouvez prendre ces 5 fichiers .ts (agent-loop.ts, prompt-builder.ts, tool-parser.ts, types.ts et index.ts), les coller dans un projet Node.js ou Deno, et hop, vous avez votre propre boucle agentique. Yaniv Kessler, le développeur a pensé le truc pour que ça serve ailleurs.
Les deux variantes (E2B et E4B) sont compressées en q4f16 avec 128K tokens de contexte en théorie, même si en pratique la fenêtre effective dépend de votre VRAM. Cela dit, c'est largement de quoi avaler une page web complète sans broncher ! Et le modèle reste en cache après le premier téléchargement, du coup au deuxième lancement, c'est quasi instantané. Par contre, si vous êtes sur un vieux Chromebook avec un Intel UHD intégré et 4 Go de RAM, ça risque de mouliner à fond. Et sur Firefox (qui est le meilleure navigateur du monde, comme je n'ai de cesse de vous le dire), le WebGPU est encore un peu expérimental, donc pour l'instant ce sera Chrome ou rien... Sniiif.
Si vous avez déjà testé des extensions comme Localsumm qui faisaient tourner Phi-3 en local pour résumer des pages, disons que Gemma Gem pousse le concept beaucoup plus loin avec ses capacités d'agent. Et si le sujet de l'IA locale dans le navigateur vous branche, jetez un oeil à Clippy qui fait tourner des LLM localement sur votre desktop.
Notez quand même que sur Hacker News, le projet a déclenché pas mal de débat. Certains pointent le risque du tool run_javascript qui donne au modèle les pleins pouvoirs sur le DOM (genre, supprimer des trucs ou poster un formulaire à votre place). C'est vrai que c'est important mais bon, c'est le même modèle de permissions que n'importe quel script web classique, sauf que là au moins vos données restent chez vous.
Bref, 500 Mo de modèle, pas de cloud, et votre navigateur qui devient plus autonome que votre fils de 22 ans. Pas mal non ?
Un driver Linux contre les périphériques USB piégés
Vous vous souvenez de BadUSB ? Mais siiii, c'est ce truc dévoilé en 2014 à la Black Hat qui avait foutu la trouille à tout le monde. Ça montrait qu'un simple périphérique USB pouvait se faire passer pour un clavier et balancer des commandes à votre place. Hé bien depuis, les attaques se sont bien raffinées et c'est pourquoi un dev vient de proposer un module kernel Linux capable de détecter ces saloperies.
Enfin !
Ce module s'appelle hid-omg-detect et c'est signé Zubeyr Almaho. Le patch (déjà en v2) a été soumis le 4 avril dernier sur la LKML. Alors je pense que vous allez vous dire que c'est encore un truc qui va bloquer par défaut vos périphériques USB sauf que non, ça ne bloque rien. En fait, il surveille passivement les périphériques HID (claviers, souris...) et leur attribue un score de suspicion basé sur trois critères.
D'abord, l'entropie des frappes clavier. Un humain tape de manière irrégulière, avec des pauses, des hésitations, des fautes (perso je fais au moins 3 fautes de frappe par phrase ^^). Un câble trafiqué, lui, balance ses commandes avec une régularité de métronome, genre 500 caractères en 2 secondes sans une seule erreur. Ensuite, y'a la latence entre le branchement et la première frappe. Si votre "clavier" commence à taper immédiatement après avoir été branché... y'a comme un souci. Et enfin, le fingerprinting des descripteurs USB pour repérer les vendor/product IDs suspects ou les anomalies dans les descripteurs HID.
Pas con hein ? Et si le score dépasse un certain seuil (configurable), hop, le module balance un warning dans dmesg et vous oriente vers
USBGuard
pour bloquer le périphérique. Parce que hid-omg-detect ne touche à rien lui-même. Il sonne juste l'alarme, et c'est à vous d'agir !
Mais alors pourquoi lancer ça maintenant ?
Hé bien parce que les outils d'attaque USB sont devenus légion ! Les câbles O.MG (créés par le chercheur MG et distribués via Hak5), par exemple, ça ressemble à un câble USB lambda que vous emprunteriez sans réfléchir pour charger votre téléphone. Sauf que dedans y'a un implant WiFi capable d'injecter des frappes, de les logger, de spoofer les identifiants USB, le tout contrôlable à distance. Quand je pense qu'il y a quelques mois, des chercheurs montraient qu'une simple webcam Lenovo pouvait être transformée en dispositif BadUSB ... Sa fé grav réchéflir 🤓 comme dirait les citoyens souverains ^^.
Maintenant, en attendant que le patch soit accepté, vous n'êtes pas totalement démunis non plus. Des outils comme
USBRip
(un script Python, pip3 install usbrip) permettent déjà de tracer les connexions et déconnexions USB en parsant /var/log/syslog. Y'a pas ce scoring d'anomalies, mais au moins vous avez un historique pour savoir qui a branché quoi et quand. Et si vous êtes vraiment parano (et franchement, vous avez raison de l'être), USBGuard peut carrément whitelister vos périphériques de confiance et bloquer tout le reste. Mais le problème d'une telle solution c'est que ça demande de maintenir une liste blanche à jour, ce qui n'est pas toujours pratique quand on branche 15 trucs par jour.
On verra si les mainteneurs du kernel l'accepte... Après ça ne protégera pas contre tous les scénarios non plus. Un périphérique qui attend 30 secondes avant de commencer son injection pourrait passer sous le radar. Et si un attaquant injecte du jitter aléatoire dans ses frappes pour simuler un humain, là ce sera plus compliqué. Mais combiné avec USBGuard, ça donnera enfin une vraie ligne de défense native contre les attaques par périphériques USB piégés . Et c'est quand même mieux que de boucher ses ports au plâtre et ciment (Mais pleure pas au dessus du mortier...) !
Bref, va falloir garder un œil là-dessus.
MemPalace - Quand Milla Jovovich code de l'IA open source
Milla Jovovich a un compte GitHub !! Oui, l'actrice des films Resident Evil, celle qui découpe des zombies depuis 2002 et qui a également incarné Leeloo dans un film qui est cher à mon cœur a mis en ligne son premier repo. Ça s'appelle MemPalace , et c'est un système de mémoire pour IA, qui vient de décrocher le meilleur score jamais publié sur LongMemEval, le benchmark de référence du domaine. Pas mal pour un premier commit !
Un petit pip install mempalace et ça tourne en local sur votre machine, sous licence MIT, en Python pur. C'est co-développé avec Ben Sigman et Claude Code et ça affiche un très joli score de 100% de rappel sur les 500 questions du benchmark LongMemEval (avec reranking via Haiku). Et c'est bien la vraie Milla, hein...
vidéo sur sa page Facebook
à l'appui.
Ce n'est pas si rare que des célébrités mettent les mains dans le code. Lyndsey Scott, mannequin chez Calvin Klein et Victoria's Secret, est aussi développeuse iOS et se classe dans le top 2% des contributeurs sur Stack Overflow. Justine Bateman (Family Ties) est retournée à UCLA à 46 ans pour décrocher un diplôme en informatique. Jimmy Fallon avait commencé par étudier l'informatique au College of Saint Rose avant de bifurquer vers la comédie. Alexandre Astier, le créateur de Kaamelott, code en Python et s'est développé un outil NLP maison pour l'aider à écrire le scénario du deuxième film. Et Karlie Kloss, le top model, a appris Ruby et fondé "Kode with Klossy" pour enseigner la programmation aux jeunes filles.
Côté musique, Will.i.am a monté sa boîte tech i.am+ et pris des cours de programmation. Mayim Bialik (The Big Bang Theory) a appris à coder pendant son doctorat en neurosciences à UCLA pour analyser ses données d'IRM, et milite depuis pour l'enseignement du code aux enfants. Chris Bosh rêvait de devenir informaticien avant que la NBA ne le rattrape à Georgia Tech, et reste ambassadeur de code.org. Même Ashton Kutcher, qui avait commencé des études d'ingénierie, est devenu ambassadeur de Hour of Code.
Milla, elle, est clairement du côté des bâtisseurs. En creusant un peu le projet, on comprend la logique : plutôt que de laisser l'IA décider toute seule ce qu'elle retient (genre votre pote sous beuh qui oublie la moitié de vos conversations), le système stocke tout et organise après. Le concept s'inspire des palais de mémoire, cette technique mnémotechnique de la Grèce antique, adaptée ici aux LLM.
Vos conversations sont rangées en ailes (projets, personnes), en salles (idées), et en couloirs typés : faits, événements, découvertes, préférences. Deux salles identiques dans des ailes différentes créent automatiquement des "tunnels", des connexions inter-domaines.
Le truc pas con dans son projet, c'est la compression AAAK. Imaginez un bouquin de 500 pages résumé sur un post-it, sauf que le post-it contient TOUTES les infos. Un contexte qui pèserait 1000 tokens en texte normal tient alors en environ 120 tokens dans ce format. Du coup, au démarrage, votre IA charge à peine 170 tokens pour retrouver tout le contexte, au lieu de 19,5 millions de tokens bruts. De quoi faire de sacrée économies !!
Et tout ça reste sur notre machine. On installe ChromaDB pour le vectoriel, SQLite pour le graphe de connaissances temporel, et c'est parti mon kiki ! En fait, c'est l'un des rares projets du genre qui ne demande pas de clé API OpenAI pour fonctionner. Y'a même 19 outils MCP pour brancher le système directement dans Claude, ChatGPT ou Cursor.
Le truc qui manque cruellement aux agents IA actuels , c'est d'ailleurs la détection de contradictions. Par exemple si quelqu'un dit "Bob a fini la migration auth" alors que c'était Alice dans les logs, le système corrige le tir avant que l'erreur ne se propage.
Même si le projet est jeune, la base technique est solide (MIT, tests, benchmarks reproductibles), et le fait que ça tourne 100% en local sans dépendance cloud, ça fait quand même une sacrée différence avec les solutions payantes du marché.
Bref, à tester d'urgence ! Merci Milla !
BlueHammer - Le zero-day Windows lâché par un chercheur en colère
Ce week-end, pendant qu'on se gavait d'oeufs de Pâques au Cadmium, un chercheur en sécu a balancé un zero-day Windows dans la nature... et tout ça d'après ce que j'ai compris, à cause de Microsoft qui l'a vraiment poussé à bout. L'exploit s'appelle BlueHammer et il permet à quiconque ayant un accès local sur une machine Windows 11 25H2 de passer SYSTEM. Et vous vous en doutez y'a toujours pas de patch.
Il s'agit d'une d'une escalade de privilèges locale (LPE) qui exploite une race condition de type TOCTOU (time-of-check to time-of-use), combinée avec une confusion de chemins dans le processus de mise à jour des signatures de Windows Defender. Je sais, il est trop tôt pour ces conneries mais disons que c'est le bug classique où un programme vérifie un truc, puis l'utilise, mais entre les deux quelqu'un a changé le truc en question.
En gros, l'exploit profite d'une fenêtre de temps entre le moment où Defender vérifie un fichier et celui où il l'utilise pour glisser un lien symbolique qui redirige vers la ruche SAM, le fichier C:\Windows\System32\config\SAM (là où Windows stocke les identifiants locaux). Et là, après ça devient open bar sur les hash de mots de passe de tous les comptes locaux.
Le chercheur derrière tout ça opère sous les pseudos Chaotic Eclipse et Nightmare-Eclipse et le 3 avril 2026, il a publié le code source complet sur GitHub , signé PGP, avec ce message assez salé : " I was not bluffing Microsoft, and I'm doing it again. "
Son reproche ? D'abord le MSRC (Microsoft Security Response Center) qui lui a demandé une vidéo de démonstration pour valider son rapport, et ensuite une réponse sur ce bug Windows Defender qui ne l'a visiblement pas satisfait : "I'm just really wondering what was the math behind their decision"
Will Dormann, analyste principal chez Tharros (ex-Analygence) et référence dans le milieu, a confirmé que l'exploit fonctionne, même s'il précise que l'exploitation n'est pas triviale. Une fois les privilèges obtenus, l'attaquant a les clés du royaume et peut lancer un shell avec les privilèges SYSTEM comme si c'était chez lui... Donc pas trivial, certes mais bien réel. D'ailleurs, c'est pas la première fois que Windows se fait éplucher par des chercheurs qui trouvent sans difficultés des failles d'escalade de privilèges en série.
Après, sous le capot, c'est quand même bien foutu. Un développeur (0xjustBen) a réimplémenté le PoC de manière modulaire et ça montre bien la mécanique : un module télécharge une vraie mise à jour Defender, un autre surveille les Volume Shadow Copies, un troisième enregistre un callback via l'API Cloud Files.
Et le cœur du truc joue la race condition avec un swap de lien symbolique pour lire la ruche SAM.
Notez quand même que le PoC original contient des bugs (le chercheur l'admet lui-même dans le README) et ne fonctionne pas sur Windows Server... ce qui ne veut pas dire que c'est inoffensif, attention. Et la réimplémentation de 0xjustBen, elle, n'a fonctionné que sur Windows 11 25H2, les versions 22H2, 23H2 et 24H2 n'étant pas affectées. Pas de CVE attribuée non plus pour l'instant, ce qui veut dire que Microsoft n'a même pas encore catalogué officiellement le problème.
Côté protection, c'est pas simple vu qu'il n'y a pas de correctif officiel mais comme l'attaque nécessite un accès local à la machine, ça limite pas mal les scénarios. Faut déjà être sur le poste Windows, que ce soit via un malware, du social engineering ou un accès physique. Après on sait bien qu'en entreprise, un poste partagé ou un stagiaire un peu curieux, c'est pas rare...
Premier réflexe donc : allez vérifier votre version de Windows (Paramètres > Système > À propos, ou winver dans Exécuter). Si vous n'êtes pas sur 25H2, vous n'êtes pas concerné. Sinon, vérifiez que vos comptes locaux ont des mots de passe costauds (pas "admin123"), désactivez les comptes inutilisés et gardez un œil sur les processus qui tournent avec des privilèges élevés. Côté entreprise, les solutions EDR devraient pouvoir détecter le comportement suspect (création de service temporaire, accès SAM inhabituel).
Bref, je pense que Microsoft finira bien par patcher... un jour.
Ce smartphone Android fait tourner Red Dead Redemption 2 et Cyberpunk 2077 en local
Le Red Magic 11 Golden Saga Edition est un téléphone Android capable de faire tourner des jeux PC Windows en local, sans connexion internet et sans cloud gaming. Red Dead Redemption 2 tourne à plus de 40 images par seconde, GTA V dépasse les 60, et Cyberpunk 2077 est jouable. Le tout dans la poche.
Comment ça marche
Red Magic utilise un outil appelé GameHub, qui fait tourner des jeux Windows directement sur Android grâce à une couche d'émulation basée sur Wine et Proton (les mêmes technologies que Valve utilise sur le Steam Deck pour faire tourner des jeux Windows sous Linux).
Pas besoin de streaming, pas besoin de serveur distant. Le jeu s'exécute en local sur le téléphone, avec les fichiers installés sur le stockage interne.
Le Red Magic 11 Golden Saga Edition embarque un Snapdragon 8 Elite Gen 5 avec 24 Go de RAM LPDDR5T et 1 To de stockage UFS 4.1 Pro.
Il y a aussi un système de refroidissement actif avec ventilateur, des chambres à vapeur dorées et de l'argent dans le circuit de dissipation thermique. L'écran fait 6,85 pouces, 144 Hz, en AMOLED, et la batterie est de 7 500 mAh.
Les performances en jeu
Red Dead Redemption 2 tourne autour de 40 à 50 images par seconde en moyenne, avec des pointes à 60 dans les intérieurs. GTA V monte jusqu'à 100 images par seconde en intérieur et reste autour de 65 en ville.
Cyberpunk 2077, le plus gourmand, tient au-dessus de 30 images par seconde en 720p avec les paramètres au minimum et le FSR activé. C'est jouable, mais on est loin du confort d'un PC.
Par contre, le téléphone chauffe beaucoup. Des tests ont montré que le processeur pouvait atteindre 100 degrés en charge prolongée sur Cyberpunk 2077. Le ventilateur tourne à fond, et l'autonomie en prend un coup.
Le prix du jouet
Le Red Magic 11 Golden Saga Edition est affiché à 1 500 euros. A ce tarif, on peut acheter un PC gaming portable correct ou un Steam Deck OLED avec encore pas mal de marge. Le public visé est très spécifique : les passionnés de gaming mobile qui veulent jouer à des jeux PC sans avoir de PC.
Bon maintenant on ne va pas de mentir, pour bien moins cher, un Steam Deck OLED fait largement mieux, avec un écran plus grand et une bien meilleure ergonomie pour jouer.
Source : Techspot