Autoblog de korben.info

Vous avez un serveur dans un placard, un NAS chez vos parents, ou une machine headless qui fait des siennes et qui refuse de booter correctement ? Alors vous connaissez forcement cette galère quand c'est impossible d'y accéder à distance parce que l'OS a crashé, que le réseau ne répond plus, ou que vous avez besoin de tripatouiller le BIOS pour changer un réglage.

Ah mais c'est terminé ces galères de cro-magnons, car il existe maintenant un petit boîtier open source qui règle tout ça et qui s'appelle LeafKVM. C'est un KVM over IP sans fil, avec un écran tactile intégré, qui vous permet de prendre le contrôle total d'une machine depuis votre navigateur web, sans avoir besoin d'installer quoi que ce soit sur la machine cible.

Vous branchez le LeafKVM en HDMI sur votre serveur (pour capturer l'image) et en USB (pour émuler clavier/souris), et hop, vous accédez à l'écran de la machine depuis n'importe quel navigateur que vous soyez sur votre canapé ou à l'autre bout du monde via RustDesk , vous voyez exactement ce que la machine affiche, du BIOS jusqu'à l'OS, et vous pouvez taper au clavier comme si vous étiez devant. Vous pouvez même monter des images ISO à distance pour réinstaller un OS sur une machine plantée, ce qui est quand même bien pratique.

Et LeafKVM embarque sa propre connectivité Wi-Fi 5 avec un mode hotspot intégré, du coup, même si votre serveur n'a pas de réseau fonctionnel (genre le driver réseau qui merde au boot), vous pouvez quand même y accéder en vous connectant directement au Wi-Fi du boîtier depuis votre smartphone. Pas besoin de trimballer un écran et un clavier dans votre local technique, le LeafKVM fait tout ça dans son boîtier alu de 90x65mm qui tient dans la poche.

Côté specs, on a donc un processeur Rockchip RV1106G3 avec 256 Mo de RAM et 16 Go de stockage eMMC, une puce Toshiba TC358743 pour la capture HDMI jusqu'en 1080p/60fps avec une latence sous les 100ms, du Wi-Fi 5 et Bluetooth via une puce RTL8821CS, un port Ethernet 100 Mbps avec support PoE optionnel, et surtout cet écran tactile IPS de 2,4 pouces qui permet de configurer le réseau ou de prévisualiser l'écran directement sur le boîtier sans avoir besoin d'un PC.

Le tout est vraiment open source avec les schémas hardware sous licence CERN-OHL-W et le logiciel sous GPLv2/v3. Le firmware est basé sur Linux Buildroot avec un backend en Rust, et l'interface web est dérivée du projet JetKVM. Bref, vous pous pouvez auditer le code si ça vous amuse mais également le modifier et le compiler vous-même si ça vous chante..

Par rapport aux alternatives comme le JetKVM à 69 dollars qui n'a pas de Wi-Fi hotspot, ou le NanoKVM de Sipeed qui est moins cher mais qui a eu quelques soucis de sécurité avec ses mots de passe par défaut, le LeafKVM se positionne très bien sur le créneau du "fait maison mais bien fini".

Le projet est actuellement en pré-lancement sur Crowd Supply, donc pas encore de prix annoncé, mais si vous êtes du genre à avoir des machines éparpillées un peu partout et que vous en avez marre de vous déplacer à chaque fois qu'une d'elles fait des caprices, ça vaut le coup de garder un œil dessus.

Merci à Letsar pour le partage !

Source

Vous vous souvenez d'ARPANET, ce réseau militaire américain des années 60-70 qui a donné naissance à Internet ? En 2006, les États-Unis ont remis le couvert avec GENI, un autre réseau de recherche afin de tester les technologies futures du web et qui a fonctionné durant plus d'une décennie avant de s'éteindre progressivement jusqu'en 2023.

Et aujourd'hui, devinez qui vient de prendre le relais ?

La Chine, évidemment !

Le pays vient en effet d'annoncer la mise en service officielle de CENI, pour China Environment for Network Innovation, qui est ni plus ni moins que la première infrastructure nationale chinoise dédiée à l'innovation dans les technologies réseau. Et les specs font un peu peur je dois dire...

Il s'agit d'un réseau qui relie 40 villes chinoises via plus de 55 000 km de fibre optique et qui a nécessité plus de 10 ans de construction. Le truc est capable de supporter 128 réseaux hétérogènes simultanément et de mener 4 096 tests de services en parallèle... Niveau chiffres, c'est assez costaud.

Pour vous donner une idée de ce que ça peut faire, ils ont effectué un test de transfert avec le radiotélescope FAST dans la province du Guizhou. Résultat, 72 téraoctets de données transférées vers la province du Hubei en à peine 1,6 heure sur une distance d'environ 1 000 km. Un calcul rapide nous donne un débit proche des 100 Gbit/s soutenu sur la durée... Sur une connexion fibre grand public à 1 Gbit/s, ce même transfert aurait pris environ une semaine.

Mais le plus impressionnant, c'est la stabilité du bouzin. D'après Liu Yunjie, le chef scientifique du labo Zijin Mountain, CENI affiche zéro perte de paquets lors des tests avec une gigue de latence inférieure à 20 microsecondes, même à pleine charge, sur un backbone de 13 000 km traversant 13 provinces et gérant 10 000 services déterministes. Ce sont des performances qu'on ne voit pas tous les jours...

Et côté applications, c'est le feu ! Huawei et Baidu sont déjà sur le coup pour tester leurs technos respectives, notamment pour des modèles d'IA avec 100 milliards de paramètres, dont chaque itération ne prend que 16 secondes grâce aux débits de CENI pour synchroniser les GPU. Y'a aussi le support des technologies 5G-A et 6G qui est prévu, ainsi que des applications pour l'industrie, l'énergie, la santé et l'éducation.

Et leur prochaine étape, ça va être de connecter 100 universités et entreprises leaders au réseau.

L'objectif avoué de CENI, c'est donc de développer des innovations "5 à 10 ans en avance sur l'industrie" et de, je cite, "prendre l'initiative dans la compétition internationale en matière de cyberespace". Bref, c'est aussi une question de souveraineté technologique et de positionnement géopolitique.

Screenshot

La Chine reprend donc explicitement le flambeau des projets de recherche réseau américains désormais abandonnés. ARPANET a ouvert la voie dans les années 70, GENI a pris le relais jusqu'en 2023, et maintenant c'est CENI qui devient le laboratoire mondial pour les architectures réseau du futur.

Et avec ses 221 brevets déposés, 139 droits d'auteur logiciels et 206 normes internationales et nationales, le projet a déjà une belle base de propriété intellectuelle...

Donc on verra bien ce qui en sortira dans les années à venir...

Source

Vous pensiez que votre PC était blindé avec toutes vos protections activées ? Et bien ça c'était avant que des chercheurs de Riot Games (oui, les mêmes mecs derrière League of Legends et Valorant) ne découvrent une bonne grosse faille UEFI qui touche les cartes mères des quatre plus gros fabricants du marché, à savoir ASUS, Gigabyte, MSI et ASRock.

La faille se décline en plusieurs CVE selon les constructeurs (CVE-2025-11901 pour ASUS, CVE-2025-14302 pour Gigabyte, CVE-2025-14303 pour MSI, CVE-2025-14304 pour ASRock) et concerne les protections DMA au démarrage. En gros, le firmware UEFI prétend activer l' IOMMU (un mécanisme matériel d'isolation mémoire destiné à bloquer les attaques DMA), sauf que dans les faits, il ne le configure pas correctement. Votre système pense être protégé alors qu'il ne l'est pas du tout... Bref ça craint !

Du coup, un attaquant qui branche un périphérique PCIe malveillant sur votre machine (notamment via Thunderbolt ou USB4, qui exposent du PCIe) peut lire ou modifier la mémoire système avant même que Windows ou Linux ne démarre. Donc bien avant que vos protections système n'aient eu le temps de se mettre en place quoi... Et comme l'attaque se déroule avant le chargement de l'OS, les antivirus et outils de sécurité logiciels classiques n'ont pas encore démarré et ne peuvent donc pas intervenir. Seule une mise à jour du firmware UEFI peut corriger le problème.

Côté chipsets touchés, accrochez-vous parce que la liste est longue. Chez Gigabyte, les bulletins de sécurité mentionnent notamment des cartes basées sur les séries Intel Z890, W880, Q870, B860, H810, Z790, B760, Z690, Q670, B660, H610, W790, et côté AMD des X870E, X870, B850, B840, X670, B650, A620, A620A et TRX50.

Chez ASUS, les chipsets concernés incluent les séries B460, B560, B660, B760, H410, H510, H610, H470, Z590, Z690, Z790, W480 et W680.

Et de son côté, ASRock indique que ses cartes mères Intel des séries 500, 600, 700 et 800 sont également affectées. Bref, si vous avez une carte mère relativement récente, il y a de bonnes chances qu'elle soit dans le lot, même si cela dépend du modèle précis et de la version de firmware installée.

Bien sûr, comme souvent avec ce type de faille, son exploitation nécessite un accès physique à la machine, puisqu'il faut connecter un périphérique PCIe capable de mener une attaque DMA (par exemple un dongle Thunderbolt ou une carte PCIe spécialement conçue).

Ce n'est donc pas le genre d'attaque qui se propage via Internet, mais c'est quand même problématique, notamment dans les entreprises qui ont des postes de travail accessibles au public, dans les bibliothèques, ou tout autre environnement partagé. Sans parler de quelqu'un qui aurait un accès temporaire à votre machine genre un réparateur, un collègue malveillant, votre ex un peu trop curieux(se)… Ou encore le marché de l'occasion, où personne ne sait vraiment ce qui a pu être branché sur la carte mère avant.

Petite anecdote au passage, les chercheurs de Riot Games sont tombés sur cette faille parce que Valorant refusait de se lancer sur certains systèmes. Leur anti-cheat Vanguard vérifie que les protections DMA sont bien actives au démarrage, et il a détecté que sur certaines machines, ce n'était pas le cas. De fil en aiguille, ils ont creusé et fini par identifier ce problème côté firmware UEFI.

Bref, les quatre constructeurs ont publié (ou sont en train de publier) des mises à jour de firmware pour corriger le problème. Attention toutefois, chez Gigabyte, le correctif pour TRX50 est prévu pour le premier trimestre 2026, et chez ASRock, les BIOS pour les séries 600/700/800 sont disponibles mais ceux de la série 500 sont encore en cours de développement.

Donc allez faire un tour sur le site support de votre fabricant, vérifiez si votre modèle est concerné, et installez le patch si c'est le cas.

Source

Vous connaissez Anna's Archive , cette bibliothèque pirate qui sauvegarde tous les livres et articles scientifiques de l'humanité ? Hé bien ils viennent de s'attaquer à un nouveau chantier : sauvegarder Spotify (en tout cas le plus possible), soit 256 millions de morceaux + de la métadonnées, soit ~300 téraoctets de données !!

Anna's Archive se focalise normalement sur le texte (livres, et documents de recherche) parce que c'est ce qui a la plus haute densité d'information mais leur mission, c'est de préserver le savoir et la culture de l'humanité, et ça inclut donc aussi la musique. Et comme ils ont trouvé un moyen de scraper Spotify à grande échelle, ils se sont dit "Hey pourquoi pas ? On est des oufs".

Et ça donne la plus grande base de données de métadonnées musicales jamais rendue publique, avec 186 millions d'ISRCs uniques (ces codes qui identifient chaque enregistrement). Pour vous donner un ordre de grandeur, MusicBrainz n'en a que 5 millions. Niveau fichiers audio, ils ont aussi archivé environ 86 millions de morceaux, ce qui représente 99,6% des écoutes sur la plateforme (même si ça ne fait "que" 37% du catalogue total). Donc si vous écoutez un morceau au hasard sur Spotify, y'a 99,6% de chances qu'il soit dans l'archive.

Pour trier tout ça, ils ont utilisé la métrique "popularité" de Spotify qui va de 0 à 100. Ainsi, pour les morceaux avec une popularité supérieure à 0, ils ont récupéré quasiment tout en qualité originale (OGG Vorbis 160kbit/s) et pour les morceaux à popularité 0 (soit ~70% du catalogue, des trucs que personne n'écoute), ils ont réencodé en OGG Opus 75kbit/s pour gagner de la place… mais ils ne sont pas allés au bout de la longue traîne (trop de stockage pour trop peu de gain, et pas mal de contenu “bof” à popularité 0). Pour 99% des gens ça sonne pareil, même si je sais que les audiophiles vont me tuer dans les commentaires ^^.

En regardant les stats qu'ils ont produit à partir de ce qui a été scrappé, les 3 morceaux les plus populaires (Die With A Smile de Lady Gaga et Bruno Mars, BIRDS OF A FEATHER de Billie Eilish, et DtMF de Bad Bunny) ont été streamés plus de fois que les 20 à 100 millions de morceaux les moins populaires combinés. Bon, ils précisent aussi que la popularité est très dépendante du moment, donc ce top est un peu arbitraire mais ça montre à quel point la longue traîne est looooongue sur les plateformes de streaming...

Après le problème avec la préservation musicale actuelle (ce qu'on retrouve sur les sites de Torrent par exemple), c'est qu'elle se concentre uniquement sur les artistes populaires et la qualité maximale (FLAC lossless). Du coup, y'a plein de musique obscure qui ne survit que si une seule personne décide de la partager. Et ces fichiers sont souvent mal seedés. Et c'est pour ça que je trouve l'approche d'Anna's Archive plutôt pas mal car elle consiste à archiver tout ce qui existe (ou presque), même en qualité "suffisante", plutôt que de se concentrer sur un sous-ensemble en qualité parfaite.

Et comme vous vous en doutez, tout est distribué via des torrents, avec les métadonnées déjà disponibles (moins de 200 Go compressés) et les fichiers audio qui arrivent progressivement par ordre de popularité. Note la base s'arrête à juillet 2025, donc tout ce qui est sorti après peut ne pas être là (même s'il y a quelques exceptions).

Bref, c'est la première archive de préservation musicale vraiment ouverte, que n'importe qui peut mirrorer s'il a assez de stockage et voilà comment grâce à l'aide de tout le monde, le patrimoine musical de l'humanité sera protégé pour toujours des catastrophes naturelles, des guerres, des coupes budgétaires et autres désastres... Par contre, pas sûr que ça la protège de la boulimie des IA génératives.

Merci à Lilian pour l'info !

Source

Passer d'OpenGL à Metal, c'était visiblement pas une mince affaire pour l'équipe d'OBS. La techno d'Apple est sortie y'a 10 ans sous macOS mais ça leur a pris un peu de temps pour la migration... Et n'allez pas croire que je "juge"... Tout ce temps, c'est normal car c'est un soft multiplateforme, donc faut gérer trois écosystèmes en parallèle et ça, ça prend un temps fou.

Tous les effets visuels d'OBS ont dû être réécrits pour fonctionner avec Metal, le langage graphique d'Apple étant bien plus exigeant que celui de Windows et la preview peut parfois légèrement saccader à cause de macOS, mais le flux final reste impeccable.

Niveau performances, Metal fait aussi bien voire mieux qu'OpenGL dans les builds Release mais c'est surtout pour le débogage que ça change tout car les développeurs ont maintenant accès à des outils de diagnostic bien plus performants, ce qui devrait accélérer les corrections de bugs et les futures améliorations.

Pour l'activer (ouais on est chaud !!), c'est hyper simple. Vous allez dans les paramètres d'OBS 32.0, onglet Avancé, section Vidéo, et vous sélectionnez Metal dans le menu déroulant du renderer. Un petit redémarrage de l'appli et hop, vous êtes passé sur le nouveau moteur.

Ce qui est cool aussi avec cette version 32.0, c'est qu'elle inclut un gestionnaire de plugins et des améliorations pour les fonctionnalités NVIDIA RTX.

L'équipe OBS bosse aussi sur des backends Vulkan pour Linux et Direct3D 12 pour Windows, parce que les anciennes APIs comme OpenGL et D3D11 reçoivent de moins en moins de support des fabricants de GPU, donc si vous êtes sur Linux ou Windows, votre tour viendra aussi.

Voilà, après si ça bug, revenez sur OpenGL, mais y'a quand même de bonnes chances que ça tourne mieux qu'avant.

Source

Keonne Rodriguez, le développeur derrière Samourai Wallet, vient de se prendre 5 ans de taule pour avoir créé un portefeuille Bitcoin qui protégeait un peu trop bien l'anonymat de ses utilisateurs.

Samourai Wallet, c'était un portefeuille Bitcoin open source lancé en 2015 avec comme promesse de permettre aux gens d'utiliser leurs bitcoins sans que le monde entier puisse tracer chacune de leurs transactions. Le truc utilisait une technique appelée le "coin mixing" qui, pour faire simple, mélange les transactions de plusieurs personnes pour brouiller les pistes et rendre le traçage quasi impossible.

Grave erreur car ça les États n'aiment pas !

Et voilà pourquoi en avril 2024, le FBI a débarqué chez Rodriguez à 6h du matin, arme au poing, devant sa femme et ses enfants. L'accusation ? Blanchiment d'argent et exploitation d'une entreprise de transmission monétaire non autorisée. Le Département de la Justice américain affirme que plus de 237 millions de dollars de "produits criminels" seraient passés par Samourai, provenant selon eux du trafic de drogue, de marchés du darknet, de fraudes diverses et même d'un site pédopornographique.

Rodriguez maintient qu'il a juste créé un logiciel, point. Dans l'interview ci-dessous accordée à Reason Magazine juste avant son incarcération ce 19 décembre, il explique qu'il n'a jamais eu accès aux fonds des utilisateurs et qu'il ne savait pas qui utilisait son outil ni pourquoi.

Sauf que le gouvernement américain voit pas les choses comme ça et pour eux, proposer un service qui rend les transactions Bitcoin intraçables, c'est forcément faciliter le crime. Peu importe que la plupart des gens voulaient juste protéger leur vie financière des regards indiscrets. Comme le dit Rodriguez : "Si vous dites que la vie privée financière est un crime, alors vous dites que la liberté est un crime."

Aussi, le dossier d'accusation contient des éléments qui vont au-delà du simple "j'ai codé un logiciel". D'abord, Samourai n'était pas qu'un bout de code open source tournant en local puisque l'équipe opérait des serveurs centralisés indispensables au fonctionnement du mixing et collectait des frais sur chaque transaction (environ 4,5 millions de dollars au total). Ensuite, certaines communications publiques des fondateurs étaient... comment dire... pas très smart. Par exemple, en juin 2022, après l'invasion de l'Ukraine et les sanctions internationales, le compte Twitter de Samourai (géré par Rodriguez) postait un message accueillant explicitement les oligarques russes cherchant à contourner les sanctions. Et quand Europol a identifié Samourai comme une "top threat", Hill a répondu de manière provocante en mode "venez nous chercher". Des documents marketing internes destinés aux investisseurs ciblaient même explicitement les "Dark/Grey Market participants".

Bref, la défense "j'ai juste écrit du code innocent" est un peu plus compliquée à tenir quand on tweete qu'on accueille les fraudeurs fiscaux russes à bras ouverts.

Ce qui pose quand même question, c'est le précédent. Où trace-t-on la ligne entre un outil de privacy légitime et une infrastructure criminelle ? Rodriguez n'a pas volé d'argent directement, mais il a opéré un service qui facilitait sciemment le blanchiment, tout en étant rémunéré pour ça. C'est différent de Tor ou Signal, dont les créateurs ne collectent pas de frais sur chaque utilisation et ne font pas de com' pour attirer les criminels.

Son avocat a bien évidemment tenté de négocier une peine plus légère en invoquant l'absence d'antécédents criminels et le fait qu'il soit père de famille, mais le juge a choisi d'appliquer le maximum prévu. William Hill, le cofondateur et CTO de Samourai, a lui aussi écopé de 4 ans pour les mêmes charges.

Après y'a quand même une lueur d'espoir pour lui car Trump a récemment laissé entendre qu'il pourrait examiner le dossier pour une éventuelle grâce présidentielle. Rodriguez reste optimiste là-dessus, même s'il sait que ça peut prendre du temps...

Bref, l'affaire Samourai Wallet n'est probablement pas le meilleur étendard pour défendre la vie privée financière car même si les outils de privacy sont légitimes et nécessaires, quand on opère une infrastructure centralisée, qu'on collecte des millions en frais, et qu'on fait ouvertement de la pub pour attirer les criminels... faut pas s'étonner que ça finisse mal...

Article mis à jour le 21 décembre pour y intégrer le dossier d'accusation à côté duquel j'étais totalement passé. Toutes mes excuses pour ça et merci au gentil lecteur qui m'a averti par mail de son existence.

1,5 To de VRAM sur un Mac Studio - Le RDMA Thunderbolt 5 qui change la donne

Sun, 21 Dec 2025 09:04:25 +0100 - (source)

Vous rêvez de faire tourner des modèles d'IA de 600 milliards de paramètres sur votre bureau sans avoir à vendre vos enfants ? Hé bien Jeff Geerling vient de tester un truc qui va vous faire baver, je pense. En tout cas, moi ça m'énerve (dans le bon sens du terme hein...) !

Apple lui a prêté 4 Mac Studios M3 Ultra pour tester une nouvelle fonctionnalité qui débarque avec macOS 26.2 et qui s'appelle le RDMA over Thunderbolt 5. En gros, c'est une techno qui permet à plusieurs Macs de partager leur mémoire unifiée comme si c'était un seul gros pool de RAM et du coup, au lieu d'avoir 4 machines séparées avec chacune leur mémoire, vous vous retrouvez avec 1,5 To de VRAM partagée accessible par toutes les machines.

Le setup de Jeff c'est deux Mac Studios avec 512 Go de RAM chacun à environ 11 700 dollars pièce, plus deux autres avec 256 Go à 8 100 dollars. Total de la douloureuse : environ 40 000 dollars. Ça pique, c'est clair, mais attendez de voir ce que ça fait.

Le truc qui change vraiment la donne avec le RDMA c'est la latence. Avant, quand un Mac devait accéder à la mémoire d'un autre Mac via le réseau, ça prenait environ 300 microsecondes. Avec cette nouvelle implémentation Thunderbolt 5, on tombe à moins de 50 microsecondes. Ça paraît rien comme ça, mais pour faire tourner ce genre de modèles, c'est énorme.

Jeff a fait tourner des benchmarks classiques et les résultats sont plutôt impressionnants. Sur Geekbench 6, le M3 Ultra explose le Dell Pro Max et l'AMD Ryzen AI Max+ 395 en mono et multi-coeur. Mais le plus fou c'est sur le benchmark HPL en virgule flottante 64 bits où c'est le seul système desktop testé à dépasser 1 Téraflop, avec presque le double des performances du Nvidia GB10.

Côté modèles IA massifs, le cluster fait tourner Qwen3 235B à 32 tokens par seconde avec Exo, DeepSeek V3.1 et ses 671 milliards de paramètres scale correctement sur les 4 machines, et même Kimi K2 Thinking avec ses 1000 milliards de paramètres tourne à environ 30 tokens par seconde. Tout ça en consommant environ 250 watts max et en faisant quasi aucun bruit.

Par contre, c'est encore du logiciel en beta et ça se sent. Par exemple, Jeff a eu pas mal de crashs pendant ses tests HPL sur Thunderbolt avec des instabilités qui ont nécessité des redémarrages fréquents, ou encore le fait que seulement 4 Macs sont supportés pour l'instant malgré les 5 ports Thunderbolt 5 disponibles. Ensuite y'a le problème de l'administration à distance qui est inexistante, car impossible de mettre à jour macOS via SSH, donc faut se taper l'interface graphique à la main sur chaque machine.

Bref, c'est hyper prometteur comme techno, surtout pour ceux qui veulent faire tourner des LLM monstrueux sur leur bureau sans monter une salle serveur mais faudra attendre que le logiciel murisse un peu avant de claquer vos 40 000 balles de PEL dedans.

Source

FUTO Voice Input - L'appli de dictée vocale qui garde tout sur votre téléphone

Sun, 21 Dec 2025 09:00:00 +0100 - (source)

Je sais pas vous, mais moi dès que j'ai un truc à écrire sur mon smartphone, je le dicte. Et que je sois sous Android ou soit iOS, je sais très bien que chaque mot que je prononce part directement sur les serveurs de Google ou Apple. Pourquoi j'ai trouvé FUTO Voice Input , intéressant parce que lui, garde tout sur votre téléphone...

C'est une appli Android qui utilise le modèle Whisper d'OpenAI pour faire de la reconnaissance vocale vraiment précise et ça tourne nickel sur un smartphone moderne. Trois tailles de modèle sont dispo : tiny, base, et small. La base suffira dans 90% des cas, mais vous pouvez basculer sur la small qui est un peu plus grosse, si vous avez un accent à couper au couteau ou si vous parlez dans le métro.

FUTO Voice Input supporte également 16 langues dont le français, l'anglais, l'allemand, l'espagnol, le japonais et plein d'autres et l'appli s'intègre directement comme clavier de saisie vocale Android, du coup elle fonctionne avec n'importe quelle application. Vous pouvez donc l'utiliser avec des claviers comme AnySoftKeyboard ou Unexpected Keyboard . Par contre, oubliez Gboard ou le clavier Samsung qui ont leur propre système verrouillé.

Le projet vient de FUTO, une organisation fondée par Eron Wolf (ex-investisseur de WhatsApp) et Louis Rossmann, le YouTubeur américain connu pour son combat pour le droit à la réparation, y bosse comme directeur de la com. Donc niveau éthique, je pense que c'est OK.

L'appli est dispo sur le Play Store, sur F-Droid, ou en APK direct d'environ 70 Mo. Y'a une version gratuite et une version payante sous forme de licence unique (pas d'abonnement, ouf) et le code source est ouvert et disponible sur GitLab.

Voilà, si vous en avez marre que vos paroles soient analysées par des serveurs à l'autre bout de la planète, FUTO Voice Input c'est une très bonne option !

Merci à PARADOXE_ pour l'info !

Quand une caméra de surveillance TP-Link laisse traîner ses clés HTTPS partout...

Sat, 20 Dec 2025 19:04:57 +0100 - (source)

Vous avez peut-être une caméra Tapo C200 qui tourne chez vous pour surveiller le chat, le bébé ou l'entrée. C'est mon cas et j'adore cette caméra mais j'ai une mauvaise nouvelle à vous annoncer... Le chercheur en sécurité Simone Margaritelli (alias evilsocket) vient de passer 150 jours à la disséquer et le résultat n'est pas glorieux pour TP-Link.

Alors déjà, commençons par le plus gros WTF qu'il a découvert... la clé privée HTTPS de la caméra, ce truc censé être ultra-secret qui permet de chiffrer les communications. Et bien elle est hardcodée dans le firmware. C'est donc la même clé pour TOUTES les caméras du même modèle. Du coup, n'importe qui peut faire un Man-in-the-Middle et intercepter ce que vous voyez sur votre caméra. Ah on se met bien déjà là, hein ? ^^

Et attendez, ça ne s'arrête pas là puisque Margaritelli a trouvé un bucket S3 chez Amazon, totalement ouvert au public, qui contient TOUS les firmwares de TOUS les produits TP-Link. C'est open bar, sans authentification, Noël avant l'heure pour les chercheurs en sécu... et les hackers.

En fouillant le firmware avec Ghidra et Claude (oui, l'IA a aidé au reverse engineering), le chercheur a découvert quatre failles critiques. La première, c'est un buffer overflow dans le parser SOAP XML utilisé par le protocole ONVIF. En gros, si vous envoyez un message trop long, la caméra plante. Pas besoin d'être authentifié pour ça, une requête HTTP suffit.

La deuxième faille est du même genre mais dans le header Content-Length. Envoyez 4294967295 (le max d'un entier 32 bits) et boum, integer overflow. Et la troisième, c'est la cerise sur le gâteau puisque l'endpoint connectAp reste accessible sans authentification même après le setup initial. Du coup, un attaquant peut forcer votre caméra à se connecter à son propre réseau WiFi malveillant et intercepter tout le flux vidéo. Vous ne vous y attendiez pas à celle-là, si ?

Et la quatrième faille, oubliée nulle part ailleurs c'est l'API scanApList qui balance la liste de tous les réseaux WiFi autour de la caméra, sans auth. Avec les BSSID récupérés et un outil comme apple_bssid_locator, on peut géolocaliser physiquement la caméra à quelques mètres près. Sur les 25 000 caméras exposées sur le net, ça fait froid dans le dos.

Le plus frustrant dans cette histoire, c'est que Margaritelli a signalé tout ça en juillet 2025 et TP-Link a demandé des rallonges de délai, encore et encore, durant plus de 150 jours. Et au final, les failles ont été corrigées mais pas de patch sur les pages publiques des CVE. Ah et petit détail rigolo, comme TP-Link est sa propre autorité de numérotation CVE, ils s'auto-évaluent sur leurs propres failles. Donc y'a pas de conflit d'intérêt du tout... ahem ahem...

Le chercheur estime qu'environ 25 000 de ces caméras sont exposées directement sur Internet donc si comme moi, vous en avez une, vérifiez que le firmware est bien à jour et surtout, ne l'exposez JAMAIS directement sur le net. Mettez-la derrière un VPN ou un réseau isolé.

Je trouve ça cool que Margaritelli ait utilisé de l'IA pour accélérer la phase de reverse engineering. Avec Claude Opus et Sonnet avec GhidraMCP, il a pu analyser le code assembleur et c'est comme ça que l'IA a identifié rapidement les fonctions vulnérables et expliqué le fonctionnement du code. Bref, l'IA comme outil de hacking, c'est assez ouf...

Voilà, donc si vous avez du matos TP-Link chez vous, gardez un œil sur les mises à jour et réfléchissez à deux fois avant de l'exposer sur le net. Et si vous aimez la lecture, l'analyse complète est dispo sur le blog d'evilsocket .

Beau boulot !

Comment Boston Dynamics compte construire un cerveau pour Atlas

Sat, 20 Dec 2025 08:38:08 +0100 - (source)

Boston Dynamics que vous connaissez tous pour ses chiens robots tueurs de la mort, vient de sortir une vidéo de 40 minutes. Pas de saltos arrière ou de robots qui dansent mais plutôt une loooongue session où ça parle stratégie IA et vision à long terme. Et comme j'ai trouvé que c'était intéressant, je partage ça avec vous !

Zach Jacowski, le responsable d'Atlas (15 ans de boîte, il dirigeait Spot avant), discute donc avec Alberto Rodriguez, un ancien prof du MIT qui a lâché sa chaire pour rejoindre l'aventure et ce qu'ils racontent, c'est ni plus ni moins comment ils comptent construire un "cerveau robot" capable d'apprendre à faire n'importe quelle tâche. Je m'imagine déjà avec un robot korben , clone de ma modeste personne capable de faire tout le boulot domestique à ma place aussi bien que moi... Ce serait fou.

Leur objectif à Boston Dynamics, c'est donc de créer le premier robot humanoïde commercialement viable au monde et pour ça, ils ont choisi de commencer par l'industrie, notamment les usines du groupe Hyundai (qui possède Boston Dynamics).

Alors pourquoi ? Hé bien parce que même dans les usines les plus modernes et automatisées, y'a encore des dizaines de milliers de tâches qui sont faites à la main. C'est fou hein ? Automatiser ça c'est un cauchemar, car pour automatiser UNE seule tâche (genre visser une roue sur une voiture), il faudrait environ un an de développement et plus d'un million de dollars.

Ça demande des ingénieurs qui conçoivent une machine spécialisée, un embout sur mesure, un système d'alimentation des vis... Bref, multiplié par les dizaines de milliers de tâches différentes dans une usine, on serait encore en train de bosser sur cette automatisation dans 100 ans...

L'idée de Boston Dynamics, c'est donc de construire un robot polyvalent avec un cerveau généraliste. Comme ça au lieu de programmer chaque tâche à la main, on apprend au robot comment faire. Et tout comme le font les grands modèles de langage type ChatGPT, ils utilisent une approche en deux phases : le pre-training (où le robot accumule du "bon sens" physique) et le post-training (où on l'affine pour une tâche spécifique en une journée au lieu d'un an).

Mais le gros défi, c'est clairement les données. ChatGPT a été entraîné sur à peu près toute la connaissance humaine disponible sur Internet mais pour un robot qui doit apprendre à manipuler des objets physiques, y'a pas d'équivalent qui traîne quelque part.

Du coup, ils utilisent trois sources de data.

La première, c'est la téléopération. Des opérateurs portent un casque VR, voient à travers les yeux du robot et le contrôlent avec leur corps. Après quelques semaines d'entraînement, ils deviennent alors capables de faire faire à peu près n'importe quoi au robot. C'est la donnée la plus précieuse, car il n'y a aucun écart entre ce qui est démontré et ce que le robot peut reproduire. Par contre, ça ne se scale pas des masses.

La deuxième source, c'est l'apprentissage par renforcement en simulation. On laisse le robot explorer par lui-même, essayer, échouer, optimiser ses comportements. L'avantage c'est qu'on peut le faire tourner sur des milliers de GPU en parallèle et générer des données à une échelle impossible en conditions réelles. Et contrairement à la téléopération, le robot peut apprendre des mouvements ultra-rapides et précis qu'un humain aurait du mal à démontrer, du genre faire une roue ou insérer une pièce avec une précision millimétrique.

La troisième source, c'est le pari le plus ambitieux, je trouve. Il s'agit d'apprendre directement en observant des humains.

Alors est-ce qu'on peut entraîner un robot à réparer un vélo en lui montrant des vidéos YouTube de gens qui réparent des vélos ? Pas encore... pour l'instant c'est plus de la recherche que de la production, mais l'idée c'est d'équiper des humains de capteurs (caméras sur la tête, gants tactiles) et de leur faire faire leur boulot normalement pendant que le système apprend.

Et ils ne cherchent pas à tout faire avec un seul réseau neuronal de bout en bout. Ils gardent une séparation entre le "système 1" (les réflexes rapides, l'équilibre, la coordination motrice, un peu comme notre cervelet) et le "système 2" (la réflexion, la compréhension de la scène, la prise de décision). Le modèle de comportement génère des commandes pour les mains, les pieds et le torse, et un contrôleur bas niveau s'occupe de réaliser tout ça physiquement sur le robot.

C'est bien pensé je trouve. Et dans tout ce bordel ambiant autour de la robotique actuelle, eux semblent avoir trouver leur voie. Ils veulent transformer l'industrie, les usines...etc. Leur plan est clair et ils savent exactement ce qu'ils doivent réussir avant de passer à la suite (livraison à domicile, robots domestiques...).

Voilà, je pense que ça peut vous intéresser, même si c'est full english...

< Older

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles