Un clone de DOOM en COBOL ça vous dit ?
Un développeur connu sous le pseudonyme icitry s'est posé une question que personne de sensé ne formule jamais, peut-on coder un jeu de tir à la première personne en COBOL ? La réponse, contre toute attente, est oui, et le résultat est même tout à fait jouable.
Pour ceux que ce nom laisse de marbre, COBOL, pour Common Business Oriented Language, est un langage né en 1959 qui fait encore tourner aujourd'hui une partie des mainframes chargés de vos virements bancaires et de la paie. C'est l'outil de la gestion et des relevés de compte, à peu près l'inverse de ce qu'on imagine pour un jeu vidéo.
Le moteur du jeu repose sur le raycasting, cette technique qui a propulsé Wolfenstein 3D au début des années 90. Le programme projette une rangée de rayons depuis le point de vue du joueur, regarde où chacun vient percuter un mur, et en déduit colonne par colonne la hauteur à dessiner. De la fausse 3D reconstruite à partir d'un simple plan vu de dessus.
Le vrai casse-tête, c'est que COBOL n'embarque aucune bibliothèque graphique, pas la moindre fonction pour allumer un pixel ou ouvrir une fenêtre. La parade est astucieuse. Le programme calcule lui-même chaque image, en recrache les pixels bruts sur la sortie standard du terminal, puis laisse un petit utilitaire nommé ffplay récupérer ce flux pour l'afficher comme une vidéo animée.
Même esprit de débrouille pour les commandes. Le terminal bascule en mode brut afin d'intercepter chaque touche sans attendre que vous validiez, pendant que le programme lit en continu ce qui arrive sur son entrée standard.
Et le rendu ne se limite pas à trois murs gris qui clignotent. On y trouve des sprites, des ennemis qui se baladent et vous tirent dessus, et même des secteurs de hauteur variable qui rapprochent l'ensemble du DOOM de 1993 plutôt que de son aîné Wolfenstein.
Le code complet est publié sur GitHub sous licence Apache, libre à chacun d'aller en fouiller les coulisses. Un internaute a d'ailleurs relevé que GnuCOBOL, le compilateur libre utilisé ici, sait parfaitement appeler du code écrit en langage C, ce qui ouvrirait l'accès à tout son arsenal de bibliothèques.
Toute la démonstration sert à rappeler que COBOL est Turing-complet, c'est-à-dire capable en théorie de calculer exactement la même chose que n'importe quel langage moderne, et à le prouver sur le terrain le plus hostile qu'on puisse lui opposer.
Bref, c'est rigoureusement inutile, et c'est très exactement pour ça que c'est cool.
Source : Hackaday
Test du Leap Nova de chez Strong - Google TV pour réveiller votre vieille téloche
Mon problème de départ était tout bête, je voulais lancer GeForce Now, le service de Nvidia qui fait tourner des jeux à distance sans grosse machine, directement sur ma télé LG OLED de 2023. Sauf que cette télé, aussi incroyable soit-elle, ne fonctionne qu'en Wi-Fi 5, et c'était la catastrophe, l'image saccadait dès que l'application GeForce Now tournait dessus.
Screenshot
La solution est venue d'un petit boîtier que je teste depuis quelques jours, le STRONG LEAP NOVA , un stick Google TV 4K à peine plus gros qu'une clé USB qui se branche en HDMI derrière l'écran. Pour tout vous dire la marque me l'a envoyé, je l'ai reçu ce matin, et je me suis jeté dessus pour tester mon besoin (et un peu plus).
En passant par lui plutôt que par l'application intégrée au téléviseur, GeForce Now tourne parfaitement, sans la moindre saccade. J'ai appairé une manette Xbox en Bluetooth directement sur le boîtier, et l'ensemble est d'une stabilité irréprochable. Franchement bluffant.
Là où ce stick sort vraiment du lot sur le papier, c'est sa puce maison dédiée à l'intelligence artificielle, ce que les fabricants appellent un NPU, capable d'environ 4 000 milliards d'opérations par seconde. Son rôle consiste à agrandir en temps réel les vidéos en Full HD pour les rapprocher de la 4K de votre téléviseur.
Deux algorithmes baptisés AI Super Resolution 2 et AI Picture Quality analysent chaque image pour reconstituer les détails importants et retoucher textures, contrastes et couleurs, sans que vous ayez le moindre réglage à toucher. C'est précieux quand la source est en Full HD, ce qui arrive sans arrêt sur les formules de streaming de base ou les chaînes de replay.
Pour le reste, la fiche technique tient parfaitement la route pour un objet de 44 grammes qui tient dans la paume. On a droit à Android 14, au Wi-Fi 6, au Bluetooth 5.2 et à une prise HDMI 2.1b avec tout l'attirail qui plaira aux joueurs, du VRR à l'ALLM, plus la compatibilité Dolby Vision, HDR10+ et Dolby Atmos.
Côté usage classique, rien à redire non plus, les applications de streaming habituelles comme Netflix, Disney+ ou Prime répondent au doigt et à l'oeil, et Plex, le serveur perso dont je me sers pour lire toute ma collection de films, fonctionne nickel.
Le prix est très bon, puisque la LEAP NOVA s'affiche à 74,99 euros chez Boulanger, Cdiscount ou Conforama, avec une version strictement identique baptisée LEAP NOVA X, exclusive à Amazon , vendue 69,99 euros et même moins de 60 euros en ce moment en promotion . Dans la boîte, vous trouverez une télécommande à commande vocale, le câble et l'alimentation. Simple, efficace.
Bref, un stick qui fait parfaitement tourner GeForce Now sur ma vieille télé et embarque une vraie puce IA, c'est 100% validé.
Signal, DuckDuckGo et NordVPN menacent de quitter le Canada à cause d'une loi sur la surveillance
Le Canada planche sur un projet de loi, le C-22, qui obligerait les services numériques à conserver pendant un an les métadonnées de leurs utilisateurs, c'est-à-dire pas le contenu de vos messages mais qui vous contactez, à quelle heure et depuis où vous le faites.
Plusieurs champions de la vie privée préviennent qu'ils plieront bagage plutôt que de s'y soumettre.
Signal, l'application de messagerie chiffrée que recommandent les défenseurs de la confidentialité, l'a dit noir sur blanc devant le comité de la sécurité publique de la Chambre des communes. Son vice-président Udbhav Tiwari n'a pas tourné autour du pot : "Si on nous force un jour à choisir entre trahir les gens qui comptent sur nous et quitter un marché, nous partirons."
DuckDuckGo, le moteur de recherche qui se vend, lui, sur le respect de la vie privée, a confirmé qu'il retirerait son service de VPN du Canada si le texte passe. Un VPN, pour rappel, c'est l'outil qui masque votre adresse et chiffre votre trafic pour qu'on ne puisse pas voir ce que vous faites en ligne.
NordVPN tient le même discours et parle d'étudier "toutes les options possibles, y compris réduire ou retirer notre présence". Windscribe, un autre fournisseur de VPN, va plus loin et menace carrément de déménager son siège et ses impôts ailleurs. Apple, Google et Meta sont aussi venus exprimer leurs réserves devant les députés. Ces projets de loi d'accès légal, qui visent à donner aux autorités un droit de regard sur les communications, reviennent régulièrement au Canada depuis plus de dix ans, et finissent à chaque fois par se cogner au même mur, le chiffrement.
Ce qui coince, c'est cette obligation de stocker un an de métadonnées et de bâtir des capacités d'accès pour que la police et le CSIS, le service de renseignement canadien, puissent venir piocher dedans pendant une enquête. Le ministre de la Sécurité publique pourrait même imposer ce genre de mécanisme à d'autres entreprises par un simple ordre, sans mandat d'un juge, avec pour seul garde-fou le feu vert d'un commissaire au renseignement.
Le problème, c'est qu'une métadonnée raconte déjà énormément. Pas besoin de lire vos messages pour savoir que vous appelez un cabinet d'avocats à 2h du matin trois jours d'affilée.
Et pour construire ces fameuses capacités d'accès, il faut souvent affaiblir le chiffrement, donc créer une porte dérobée. Une porte dérobée, c'est comme laisser une clé sous le paillasson en jurant que seul le gentil facteur la trouvera.
Le gouvernement essaie de calmer le jeu. Le ministre Gary Anandasangaree a promis des amendements précisant qu'on n'obligera personne à casser son chiffrement. Mais la rétention d'un an de métadonnées, elle, ne bouge pas.
Du coup, des boîtes dont le métier c'est justement de ne rien savoir de vous se retrouvent priées de tout retenir. Normal qu'elles préfèrent partir.
Source : Techspot
OpenAI ajoute un "mode confinement" à ChatGPT pour bloquer les injections de prompt
ChatGPT a gagné un réglage qui ne plaira pas à tout le monde. Un "mode confinement", Lockdown Mode dans le texte, qui débranche volontairement une partie des fonctions de l'assistant pour réduire le risque de fuite de données vers l'extérieur.
L'ennemi, ici, porte un nom : l'injection de prompt. Le principe de cette attaque est plutôt vicieux, puisqu'un pirate planque des instructions dans une page web ou dans un document anodin, et qu'au moment où ChatGPT lit ce contenu pour vous répondre, il avale ces ordres cachés et les exécute sans que rien ne s'affiche à l'écran.
Ce qui inquiète OpenAI, c'est la suite. Une consigne dissimulée peut très bien ordonner à l'assistant d'aller récupérer vos informations sensibles, mots de passe ou documents personnels, avant de les renvoyer en douce vers un serveur que l'attaquant contrôle. On appelle ça l'exfiltration de données. C'est tout le scénario que le mode confinement cherche à rendre impossible, en bouclant les sorties plutôt qu'en filtrant les entrées.
Concrètement, il débranche à peu près tout ce qui relie ChatGPT au reste du web. La navigation en direct ? Coupée. Elle est ramenée au contenu déjà enregistré dans les serveurs d'OpenAI, ce qui fait qu'aucune requête ne file vers internet pendant que vous discutez.
Le ménage continue. Plus de récupération d'images depuis le web, plus de téléchargement de fichiers, plus de Deep Research, cet outil qui part compiler automatiquement des dizaines de sources, et plus d'Agent Mode, ce système qui laisse ChatGPT cliquer et agir tout seul sur des sites à votre place comme s'il était assis derrière votre clavier.
Vos propres fichiers, eux, passent toujours. Vous gardez la possibilité de téléverser images et documents à la main, et OpenAI précise que le mode ne touche ni à la mémoire de ChatGPT, ni au partage de conversations, ni à la façon dont vos échanges peuvent servir à entraîner les modèles maison.
L'activation est simple. Direction les réglages, rubrique sécurité, puis sécurité avancée, et vous basculez un interrupteur. C'est ouvert à tous les comptes personnels, y compris la version gratuite, ainsi qu'aux comptes ChatGPT Business en libre-service.
Sauf que voilà, OpenAI le précise clairement : ce mode n'est pas fait pour tout le monde. Il vise les gens et les boîtes qui manipulent des données sensibles et qui acceptent de sacrifier une partie du confort d'usage contre des garde-fous nettement plus serrés.
Et surtout, l'entreprise reconnaît la grosse limite du truc. Le mode confinement n'empêche en rien les injections de se glisser dans le contenu que ChatGPT analyse, il se contente de verrouiller les issues par lesquelles un pirate pourrait aspirer vos données une fois qu'il a pris la main. La faille de fond, elle, est toujours là.
Reconnaître publiquement qu'on pose une barrière sans régler le problème de fond, c'est honnête. Ça montre surtout que l'injection de prompt est un casse-tête que personne n'a encore su désamorcer.
Source : TechCrunch
Encore un zero-day chez Cisco, exploité en ce moment même et toujours sans correctif
Le Catalyst SD-WAN Manager de Cisco, anciennement appelé vManage, c'est la salle de contrôle depuis laquelle une grande entreprise règle, surveille et met à jour à distance le réseau entier qui relie ses dizaines d'agences, usines ou boutiques entre elles, et c'est ce logiciel très sensible qui se retrouve aujourd'hui troué par une faille déjà exploitée dans la nature.
Le pire ? Aucun correctif.
Référencée CVE-2026-20245 et notée 7,8 sur 10 sur l'échelle CVSS, le barème qui classe la dangerosité des failles de zéro à dix, la vulnérabilité permet à un attaquant déjà titulaire d'un compte d'administrateur réseau, le profil baptisé netadmin chez Cisco, de téléverser un fichier piégé que le logiciel contrôle mal, puis d'exécuter ses propres commandes en root, c'est-à-dire avec les pleins pouvoirs sur la machine.
Et toutes les versions sont concernées.
Peu importe que la console tourne sur les serveurs de l'entreprise, dans les offres Cloud et Cloud-Pro hébergées par Cisco, ou dans la déclinaison FedRAMP réservée aux administrations américaines, le trou est exactement le même partout.
Il y a plus inquiétant, car dans plusieurs cas bien réels observés par Cisco, l'attaque ne s'est pas arrêtée à la console : elle a poussé une modification de configuration jusqu'aux routeurs et boîtiers installés dans chaque site distant, ce qui revient, quand on tient la salle de contrôle, à tenir d'un coup l'ensemble du réseau de la boîte.
Une nuance, quand même.
Il faut déjà être authentifié pour déclencher la faille, sauf que Cisco conseille du coup d'installer en priorité les correctifs sortis le 14 mai pour deux autres vulnérabilités, CVE-2026-20182 et CVE-2026-20127, dont l'enchaînement offre justement à un assaillant les fameux droits netadmin qui ouvrent ensuite la porte au reste.
En attendant un vrai patch, dont la date n'est pas connue, l'éditeur se contente de publier des indicateurs de compromission, en clair des traces à repérer dans les journaux du serveur pour savoir si on s'est déjà fait avoir.
Et ce n'est pas la première. C'est même la sixième faille SD-WAN exploitée chez Cisco depuis janvier, et le deuxième zero-day, une faille attaquée avant l'arrivée du moindre correctif, en à peine deux mois.
Bref, un accès root activement exploité sur un équipement aussi central, et toujours pas de rustine, ça commence à faire vraiment beaucoup.
Source : The Register
Mindwtr - Une app GTD libre qui tourne partout
Des apps de todo qui se réclament de la mouvance GTD , y'en a des centaines ! Mais des apps qui appliquent vraiment la méthode de David Allen de bout en bout, et qui en plus sont libres, locales, et qui tournent sur tous les OS, y'en a beaucoup moins.
Le développeur Dongdongbh en a sorti une nommée Mindwtr (prononcez "mind water", l'esprit clair comme l'eau... ^^), et je pense que ça va vous intéresser.
Alors comme d'hab, pour ceux qui débarquent (et ils sont légion, lol), l'idée de GTD c'est que votre cerveau est fait pour avoir des idées, mais pas fait pour les stocker. Donc le concept c'est de vider tout ce qui vous trotte dans la tête, de le trier, de l'organiser, et comme ça, vous saurez ensuite en permanence par quoi attaquer vos journées de ministre.
Capturer, clarifier, organiser, réviser, agir, ça se passe en 5 étapes, que Mindwtr suit à la lettre. Une tâche se note en moins de 2 secondes via un raccourci clavier ou l'icône système, même en pleine réunion. Ensuite une "inbox" vous permet de faire le tri (avec un coup de main d'une IA si vous voulez), puis tout s'organise en projets et contextes, une revue hebdo garde le système vivant, et enfin une vue Focus vous sort juste les prochaines actions selon l'endroit où vous êtes.
Et ça fonctionne sous Linux en Flatpak, AUR, dépôt APT et même RPM, Windows via Microsoft Store, Winget, Chocolatey ou Scoop, macOS sur l'App Store et Homebrew, iOS, Android sur le Play Store, F-Droid et IzzyOnDroid, plus une PWA web quand vous ne pouvez rien installer...
J'ai rarement vu un mec seul ratisser autant de surface niveau compatibilité.
Mais LE truc qui compte vraiment, c'est que tout reste chez vous.
C'est local-first, sans compte obligatoire et pour synchroniser tout ce bazar entre vos machines vous y branchez ce que vous voulez : WebDAV, votre propre serveur, un simple fichier, Dropbox ou iCloud. Petit piège honnête quand même, la sync Dropbox n'existe que sur les builds non-libres et iCloud uniquement sur les appareils Apple. Et sur la version 100% libre de Flathub ou F-Droid, vous synchronisez en WebDAV, par fichier local ou via votre propre serveur.
Rien de bloquant, mais autant le savoir avant de migrer dessus.
Pour les bidouilleurs, vous allez voir, je vais vous parler maintenant de la partie que je préfère.
Car Mindwtr expose une API REST (sur 127.0.0.1, port 3456, avec token), une CLI pour ajouter, lister et compléter vos tâches depuis le terminal, et un serveur MCP.
Traduction : Vous balancez tout le bordel que vous avez dans la tête via un prompt (que vous pouvez dicter dans la joie grâce à VoxDrop ) à un agent type Claude Code et hop, vos tâches atterrissent dans l'inbox sans que vous touchiez la souris.
L'IA intégrée tourne ensuite en BYOK (Bring Your Own Key), donc c'est à vous d'amener votre clé API, compatible OpenAI, Gemini, Claude ou un modèle local , comme ça vous gardez la main sur le modèle ET sur la facture.
Pour migrer, sachez également que l'app avale vos exports Todoist, OmniFocus, le format DGT GTD et vos vaults Obsidian , et elle ressort tout en JSON si vous voulez ensuite migrer dans l'autre sens.
Bref, si vous voulez appliquer GTD au sérieux sans louer votre cerveau à Todoist ou TickTick, ça vaut le coup d'œil. Le code est sur github.com/dongdongbh/Mindwtr .
Merci Jean pour l'info !
FixMyCV - Faites relire votre CV par des recruteurs IA
Chercher un job dans l'IT en ce moment, faut le savoir, c'est rude. Vous balancez votre CV, et très souvent c'est un logiciel à la con qui passe dessus avant même le moindre humain, le décortique, le classe, et s'il le lit mal, bah vous finissez direct au fond de la pile. FixMyCV est un outil web gratuit signé Jordan Delorme, qui attaque le problème par l'autre bout en faisant relire votre CV par une brochette de recruteurs IA avant que vous l'envoyiez pour de vrai.
Vous déposez votre CV en PDF sur FixMyCV , vous collez éventuellement une fiche de poste, et hop, en moins de 2 minutes vous récupérez un paquet de retours concrets sur, par exemple, la lisibilité, l'impact de vos missions, la cohérence, l'orthographe et la compatibilité avec les fameux ATS, ces logiciels qui passent les candidatures à la moulinette avant le recruteur.
Et le truc bien fichu, c'est que vous choisissez les angles d'analyse au travers de différents personas, chacun lisant votre CV avec ses propres lunettes et vous renvoyant un retour écrit. On a par exemple le DSI qui traque la crédibilité technique et le CV washing, ces compétences que vous affichez sans rien pour les appuyer, genre "expert Kubernetes" sans le moindre projet derrière.
Il y a également le recruteur startup, lui, cherche votre GitHub, vos side-projects, votre débrouillardise, et les autres ne sont pas beaucoup plus tendres. Le RSSI regarde par exemple votre conscience du risque et votre approche des référentiels, l'expert cyber zoome sur votre pratique offensive et vos CTF, l'ESN jauge votre polyvalence et votre mobilité...etc.
En plus de ça, chaque analyse passe une batterie de contrôles automatiques. Filtre RH, orthographe et typo, lisibilité pour les robots ATS, cohérence chronologique, et même la qualité de vos lignes de mission au format STAR (situation, tâche, action, résultat). Il repère aussi vos facteurs de différenciation, genre un repo GitHub actif, une certif ou un projet réellement déployé. Bref, tous ces petits trucs qui font qu'on vous rappelle... ou pas !
Et puis le dernier angle à analyser c'est le mode design et lisibilité visuelle, qui contrôle la mise en page et repère les zones qu'un ATS pourrait mal interpréter.
Sachez quand même que pour celui-là, votre PDF part en image et n'est donc pas anonymisé, contrairement au reste. C'est écrit noir sur blanc sur le site, donc à vous de voir. Si c'est le CV que vous comptiez envoyer dans la nature de toute façon, pas de quoi paniquer j'imagine, mais autant le savoir.
Au-delà du CV, l'outil décortique aussi la fiche de poste, avec les must-haves réels planqués sous le jargon et un score de clarté. Il vous génère aussi une lettre de motivation sur-mesure exportable en Word, dans un style qui évite de sentir le ChatGPT (mais relisez quand même), et propose même une simulation d'entretien avec des questions ciblées et une évaluation de vos réponses face à votre CV.
Pas mal, hein, pour un truc gratuit !
Et côté données, c'est plutôt carré. Hors l'angle Design vu plus haut, vos infos sont anonymisées au maximum avant de partir vers les IA, rien n'est conservé, et le traitement se fait en France.
Cet outil tombe à pic en tout cas, parce que le marché junior IT est devenu une vraie falaise à gravir. Les offres se raréfient, l'IA grignote les tâches d'entrée, et entre vous et un humain il y a souvent un logiciel qui passe en premier. Alors piger ce que regarde un recruteur avant de cliquer sur Envoyer, ça change tout quand vous cherchez à décrocher un job .
Et contrairement aux générateurs de CV qui pondent tous le même template, FixMyCV ne réécrit pas votre CV à votre place. Il critique uniquement ce que vous avez déjà, comme le ferait un pote recruteur un peu cash. Ça vous évitera de claquer 50 balles dans un coach LinkedIn bidon.
Voilà, si vous galérez à décrocher un entretien dans l'IT, ou qu'un alternant autour de vous rame, FixMyCV vaut le détour. C'est gratuit, en français, et bien plus utile que les conseils bateau.
Merci Jordan !
Surface RTX Spark Dev Box - L'IA locale signée NVIDIA
Microsoft vient d'annoncer lors de son événement Build 2026 l'arrivée de sa Surface RTX Spark Dev Box, un petit boîtier qui se pose sur le bureau et qui fait tourner des modèles IA de 120 milliards de paramètres en local, sans rien envoyer dans le cloud.
Et bien sûr derrière le badge Surface, c'est NVIDIA qui se tape tout le boulot.
Dans cette boîte noire, vous avez donc la puce NVIDIA RTX Spark, qui rassemble un GPU Blackwell et un processeur Grace pour sortir environ 1 pétaflop de puissance IA et 128 Go de mémoire unifiée.
De quoi donc faire tourner un gros modèle avec une fenêtre de contexte d'un million de tokens, ou carrément affiner (fine-tuner) un modèle sans louer des GPU dans le cloud. Le tout dans un châssis en aluminium pensé pour servir de dissipateur, donc refroidi passivement. Et un malheur n'arrivant jamais seul (je plaisante ^^), Windows 11 Pro arrive préconfiguré dessus pour les devs, avec tous les outils qui vont bien déjà installés.
D'après le site de Microsoft, ce petit joujou sera donc dispo fin 2026, aux États-Unis d'abord.
Détails du châssis
Maintenant, le truc à bien capter, c'est que cette puce RTX Spark, c'est exactement la même famille que la DGX Spark , le mini-PC que NVIDIA vend depuis octobre dernier. Même architecture Grace Blackwell, même pétaflop, mêmes 128 Go unifiés.
Eh oui, Microsoft n'a pas conçu de puce maison pour cette box (ses puces Maia, c'est pour ses datacenters), mais a juste pris la plateforme d'NVIDIA et l'a habillée en Surface avec une image Windows maison. Ce qui n'est pas grave, hein, mais autant le savoir avant de croire à une révolution Microsoft.
Côté tarif, pas de chiffre officiel encore mais les estimations tournent autour de 3500 dollars. Pour vous donner une idée, la DGX Spark d'NVIDIA, sa cousine sous Linux, est passée de 3999 à 4699 dollars récemment, la faute à la flambée des prix de la mémoire. Donc, ce ne sera pas donné, mais vous vous en fichez parce que vous êtes probablement pété de thunes ^^.
Cela dit, même si c'est cher, l'idée de faire tourner un modèle costaud entièrement chez soi, ça reste sacrément séduisant. Vos données ne sortent jamais de la machine, y'a zéro facture d'API qui gonfle à chaque requête, et vous pouvez bidouiller un fine-tuning maison tranquillement. C'est une tendance qu'on voit monter depuis un petit moment maintenant avec par exemple des gens qui glissent un GPU de datacenter dans leur PC gaming juste pour s'affranchir du cloud ^^.
Après, vous n'avez pas besoin d'attendre cette box pour faire de l'IA locale. La DGX Spark existe déjà, un Mac avec assez de mémoire unifiée encaisse de gros modèles aussi, sans oublier qu'il y'a carrément moyen de remplacer l'API d'OpenAI par votre propre Mac . Sans parler des PC AMD Strix Halo...
Non, le vrai plus de Microsoft ici, c'est le combo refroidissement passif et image Windows dev clé en main, taillé pour le futur "Windows agentique" qu'ils nous préparent, et grâce auquel les agents IA tourneront en permanence sur nos machines pour taffer à notre place.
Bref, rien de dingue, c'est certain mais ça peut clairement dépanner ceux qui veulent un PC IA local sans avoir à bricoler. J'ai hâte de connaître le prix en tout cas !
C0XMO - le botnet qui squatte vos vieux routeurs DD-WRT
Un vieux routeur DD-WRT qui prend la poussière et que vous n'avez pas mis à jour depuis des lustres, c'est pile poil ce que recherche C0XMO. C'est un nouveau botnet repéré par les chercheurs de Fortinet qui enrôle les machines via une faille de 2021 que beaucoup n'ont jamais bouchée. Et une fois dedans, il dégage les autres malwares déjà présents pour rester seul maître à bord.
La faille, c'est la CVE-2021-27137, un débordement de tampon planqué dans le service UPnP de DD-WRT. En clair, le composant qui gère les requêtes UPnP encaisse mal certains paquets envoyés sur le port UDP 1900, et ça suffit à un attaquant distant pour balancer son code sans même avoir besoin d'un mot de passe.
Bref, tout ça pour dire que toutes les builds antérieures au change set 45723 sont vulnérables, et les routeurs Buffalo livrés d'origine avec DD-WRT sont concernés aussi. Donc le réflexe immédiat si vous avez un de ces engins c'est de mettre à jour le firmware vers une build plus récente, et couper l'UPnP si vous ne vous en servez pas.
Cette faille a beau dater de 2021, elle reste grande ouverte sur tous les routeurs que personne n'a retouchés depuis, et je sais que des vieux routeurs flashés un week-end pour leur donner une seconde vie, vous êtes nombreux à en avoir. Par exemple mon bon vieux WRT54GL ressuscité qui fait point d'accès au fond du garage, ou encore la box recyclée en répéteur Wi-Fi... Tant qu'ils tournent sur un firmware figé, ce sont des cibles parfaites. C'est pile ce qu'un botnet adore à savoir du matériel branché en permanence, que plus personne ne surveille.
Ce qui rend C0XMO un peu particulier pour un dérivé de Gafgyt , c'est sa hargne à éliminer la concurrence. Car comme je vous le disais, une fois installé, il scanne les processus en cours pour repérer les clients d'autres botnets, supprime leurs binaires et démonte tout ce qui les fait persister : tâches cron, scripts d'init, services système, profils shell. En gros, c'est un squatteur qui change les serrures en s'installant. C'est pourquoi les chercheurs y voient un niveau de sophistication plus élevé que le Gafgyt habituel. Lui-même se réinstalle via une tâche cron toutes les 15 minutes, histoire de ne pas se faire déloger à son tour.
Et tout ça pour faire quoi me direz-vous ??
**Hé bien du DDoS, pardi !! **
C0XMO embarque 19 méthodes d'attaque, des classiques floods UDP, TCP, SYN et ICMP aux amplifications NTP et Memcached, jusqu'à des floods qui visent les serveurs vocaux Discord. Ça reste un dérivé de Gafgyt qui cogne plutôt dans les gigabits, mais c'est suffisant pour alimenter l'écosystème DDoS où les records se comptent maintenant en térabits par seconde . Et le botnet ne s'arrête d'ailleurs pas aux routeurs, puisqu'il vise aussi des DVR, des plateformes de gestion vidéo et des appareils Android, sur à peu près toutes les architectures qui existent (ARM, MIPS, PowerPC, SuperH, x86).
Ces failles UPnP qui transforment des appareils oubliés en chair à botnet, c'est une vieille histoire faut dire... Je me souviens de mon article d'il y a plus de 10 ans, où je vous parlais déjà de dizaines de millions d'appareils vulnérables à cause d'UPnP. Et comme le matériel, ne disparaît pas vraiment mais finit recyclé, revendu, ou planqué derrière un meuble en marche H24, c'est un vrai running gag.
Voilà, donc si vous avez du DD-WRT en service, prenez cinq minutes pour mettre à jour et couper l'UPnP si vous ne vous en servez pas et surtout, dites vous qu'un boîtier que vous ne touchez plus jamais, à un moment faut trancher : **soit vous le maintenez vraiment à jour, DD-WRT ou OpenWRT peu importe, soit c'est direction la poubelle (euh pardon la déchetterie). **
Le garder branché en mode mort-vivant, ni mis à jour, ni débranché, c'est le pire que vous pouvez faire... Un routeur qu'on a sauvé de la poubelle mérite quand même mieux que de finir zombie dans une armée de cybercriminels à faire du DDoS.
Source + Photo par Jonathan Zander , CC BY-SA 3.0
Zcash - Une IA déniche en 24h une faille vieille de 4 ans
Un chercheur en sécurité, Taylor Hornby, a lâché Claude Opus 4.8 sur le code de Zcash et 24 heures plus tard, le modèle lui a déniché une faille bien planquée là depuis 4 ans qui avait échappé aux auditeurs !
Et ce qu'elle permet de faire pique un peu (ouille ouille ^^) ! Car je vous rappelle que Zcash, c'est la cryptomonnaie taillée pour l'anonymat, où les transactions sont chiffrées et validées par des preuves mathématiques (le fameux "zero-knowledge" dont je vous ai déjà parlé). Sauf que dans son pool de confidentialité le plus récent, baptisé Orchard, une vérification censée s'assurer que les transactions étaient légitimes... ne vérifiait en fait rien du tout ! En clair, vous pouviez fabriquer du ZEC à partir de rien.
C'était une vraie planche à billets planquée dans le code, sauf que les faux billets étaient totalement impossibles à distinguer des vrais, et que le système les estampillait comme parfaitement authentiques.
Le plus dingue dans l'histoire, c'est que toute la faille tenait dans à peine deux lignes de code. Deux pauvres lignes, perdues quelque part dans le circuit cryptographique, qui laissaient passer de fausses valeurs sans broncher. Hornby a même écrit un exploit complet qui marchait pour de vrai, dans un environnement de test, histoire de prouver que ce n'était pas juste de la théorie sur un tableau blanc. Heureusement pour vous mes petits crypto-bro, l'équipe de Zcash a colmaté en urgence le 1er juin, et le cours du ZEC a dévissé de près de 40% dans la foulée.
Maintenant, le hic est ailleurs car Orchard est un pool privé, donc personne ne peut prouver mathématiquement si quelqu'un a exploité cette faille durant ces 4 dernières années. J'sais pas si vous saisissez le niveau d'ironie du truc mais LA confidentialité, c'est-à-dire l'argument de vente numéro un de Zcash, est exactement ce qui empêche aujourd'hui de savoir si les utilisateurs et investisseurs de cette crypto se sont fait pigeonner. L'équipe estime que c'est "peu probable", mais elle le dit elle-même : "Ne vous fiez pas à notre évaluation". Je vais traduire ça en français : "On n'en sait rien, et on ne le saura jamais". Oups !
Maintenant, ça ne veut pas dire que Zcash est mort ni que vos cryptos vont s'évaporer du jour au lendemain. Le trou est bouché, et l'équipe planche déjà sur un moyen de repérer une éventuelle fausse monnaie qui aurait été créée grâce à cette faille, mais faut savoir que ce genre de bugs planqués, il y en aura toujours.
Et ce qui est compliqué, c'est qu'on peut aujourd'hui les découvrir assez facilement et rapidement avec des modèles IA grand public. Et ce qui s'est passé avec Zcash n'est même pas un cas isolé puisque ces derniers mois, une IA a débusqué huit des neuf failles trouvées dans le serveur X.Org , et une autre a sorti du placard une faille vieille de 18 ans dans nginx .
Et bien sûr, Hornby ne compte pas s'arrêter à Zcash, puisqu'il a déjà annoncé qu'il menait le même genre d'analyse sur Monero, l'autre grosse crypto anonyme. Le XMR a perdu 10% rien qu'à l'annonce, par anticipation... lol.
Maintenant, si un modèle public déniche ça en 24h, je me demande vraiment ce que les modèles les plus costauds, ceux qui restent bien au chaud en privé, ont déjà trouvé sans que personne ne le sache ?
Bref, la faille sur Zcash est colmatée mais on a une fois de plus la preuve que "audité par des experts" ne pèse plus très lourd face à une IA un peu motivée.