Age of LLM - Un Age of Empires où aucun humain ne joue
Vous voulez savoir comment GPT-5.5, Claude ou Grok raisonnent quand on les met sous pression ? Hé bien filez-leur un jeu de stratégie et regardez-les se faire la guerre.
C'est tout le principe d' Age of LLM , monté par Rymentz, un lecteur du blog où deux IA s'affrontent au tour par tour, sans aucun humain aux commandes.
C'est un benchmark 1v1 dans lequel on balance deux modèles sur la même carte, on leur donne les règles et puis c'est tout, sans aucun autre conseil de stratégie. À eux alors de déduire seuls comment contrer les attaques, quand bâtir leur économie, quand lever une armée pour aller défoncer la base d'en face, quand négocier la paix et quand carrément appuyer sur le gros bouton rouge. Parce que dans ce benchmark, on peut gagner de trois façons : la conquête militaire, la victoire diplomatique, ou la bombe nucléaire.
Tout est ensuite rendu public sur le site, avec un classement ELO et le replay de chaque partie. Pour le moment, 13 modèles y sont classés, de GPT-5.5 à Grok en passant par Claude, Gemini, DeepSeek ou Qwen.
Sur les 43 parties jouées par la version 0.12.0 du moteur, 38 se terminent par un champignon atomique. C'est énorme je trouve... La diplomatie ne l'a emporté que 2 fois, et le militaire 3 fois. Mettez deux de ces modèles face à face avec une bombe à portée de main, et neuf fois sur dix, ça finit donc par appuyer sur le bouton rouge. Elles nous ressemblent tellement ces IA quand même...
Des chercheurs qui ont fait jouer des LLMs à des simulations de crise nucléaire ont relevé une tendance comparable. Quand l'option d'escalade existe, les modèles finissent le plus souvent par la prendre. C'est pour ça qui ne faut pas confier d'armes à des IA les amis... Car elles s'en serviront c'est certain !
Le jour où j'ai compris que les machines et les armes, c'était pas un bon mélange à faire
Et chacun de ces modèles a vraiment son style... Y'a qu'à regarder le classement qui est sans pitié. GPT-5.5 écrase tout le monde, 6 victoires sur 6, 100% de winrate, premier à l'ELO... mais il médite presque 5 minutes par tour avant de jouer.
À l'autre bout du tableau, on retrouve Grok 4.3 qui finit bon dernier, zéro victoire en 4 parties, mais qui joue le plus vite de tous, avec 7 secondes par tour (autant dire qu'il ne réfléchit pas trop).
Les Claude, eux, jouent propre et solide mais sans jamais dominer. Ça me rappelle l'IA qui galérait à finir un niveau de Super Mario ...
Mais le chiffre le plus parlant, c'est le taux de coups illégaux, c'est à dire le pourcentage de fois où un modèle propose une action interdite par les règles.
Par exemple, sous pression, Grok 4.3 culmine à 8,6% d'actions de triche, soit le pire du lot. Cela veut dire que sa capacité à suivre des règles sous pression est moins bonne que celle des autres modèles.
Ça résonne forcement avec ce papier d'Adrian de Wynter dont je vous parlais récemment , celui qui montrait qu'Age of Empires II a autant d'attributs "humains" que votre ChatGPT, histoire de dégonfler la hype sur les IA soi-disant conscientes.
Age of LLM, lui, prend le problème par l'autre bout, où au lieu d'analyser on fait jouer et on regarde ce qui sort. Derrière ce projet, on retrouve le même lecteur qui avait bricolé Nuclear Arms Race il y a quelques années et dont je vous avais parlé. Il a repris le concept, sauf que cette fois ce sont des IA qui jouent entre elles.
En tout cas, comme spectacle, c'est très hypnotique. Lancez un replay, vous allez voir... En regardant deux IA se bluffer et se faire exploser la tronche vous permettra d'en apprendre plus sur leur raisonnement qu'avec dix pages de benchmark.
Merci à Rymentz pour le lien et pour le projet !
FIFA - Un hacker pouvait rickroller le Mondial 2026 en direct
Avis aux fans de foot parmi vous qui comptent regarder cette Coupe du Monde 2026, j'ai une bonne et une mauvaise nouvelle à vous annoncer ! Non, je déconne, je n'ai que des mauvaises nouvelles à vous annoncer !
La première, c'est qu'un chercheur en sécurité qui se fait appeler BobDaHacker s'est inscrit comme agent de joueurs sur la plateforme publique de la FIFA, et s'est retrouvé, quelques clics plus tard, à prendre possession des commandes de TOUS LES FLUX caméra de la Coupe du Monde ! Oui, tous ces flux en direct diffusés sur toutes les chaînes du monde.
La deuxième mauvaise nouvelle, c'est que la FIFA n'a jamais pris la peine de lui répondre parce que visiblement, elle s'en branle que quelqu'un hack ses flux vidéo.
Et le pire les amis, c'est que c'était super fastoche à faire....
Tout commence donc sur le site agents.fifa.org, un portail où n'importe qui peut demander une licence d'agent en uploadant une pièce d'identité. BobDaHacker s'execute et après 2 refus pour une photo de mauvaise qualité, une troisième tentative est alors validée, et hop, notre chercheur en sécurité se retrouve automatiquement ajouté à l'annuaire d'identités de la FIFA. Avec ce sésame, il peut alors accéder à la "Football Data Platform", puis au panneau de gestion du streaming.
A partir de là, l'appli Angular du service lui affiche un joli "access denied"... sauf que c'est du flan car, tenez vous bien, le contrôle d'accès fonctionne côté client. Ouais, ouais, c'est de la folie. En fait, les APIs derrière acceptent gentiment n'importe quelle requête authentifiée sans jamais vérifier votre rôle.
Et au moment où il ouvre l'outil de gestion du streaming, le gars hallucine !! Devant lui, il peut voir chaque match du Mondial 2026 avec ses 5 flux caméra : le programme principal, le flux tactique, la Camera1 et les deux caméras placées en hauteur derrière les buts. Pour chacun d'entre eux, il y a l'adresse d'envoi du flux vidéo (l'URL RTMP d'ingestion), le manifest de preview et la sortie HLS.
Alors histoire d'être sûr de ne pas halluciner, il colle un des liens dans VLC et le flux vidéo s'affiche en live !
Pour bien comprendre l'enjeu, cette diffusion du Mondial est gérée par HBS, qui couvre 104 matchs dans 16 villes réparties entre les États-Unis, le Canada et le Mexique, avec 45 caméras par match. Ce sont littéralement les images que des milliards de gens, vous compris (mais pas moi), allez regarder. Et tout cela se monnaye à prix fort avec les chaines de TV par exemple.
Ce bon vieux BobDaHacker aurait pu balancer un rick roll, une vidéo de fesses, ou un faux discours de Trump annonçant l'arrivée des extraterrestre en direct, sur toutes les chaînes télé de la planète. Ou même tout couper...
Mais il ne l'a pas fait parce que c'est un professionnel ! (Sans parler de la certitude de finir en zonzon ^^.)
En prime, il pouvait aussi modifier les statistiques diffusées en temps réel, lire les notes préparées des commentateurs, et fouiller dans les fichiers planqués dans un blob storage Azure, à savoir des rapports de transferts, des comparatifs de revenus, des stats des arbitres et des coachs, et un mystérieux Debbie.xlsx dont on ne connaitra jamais le contenu...
Je me demande quand même dans quelle mesure, les mafias de l'IPTV n'étaient pas déjà au courant de ce "bug"... On ne le saura jamais.
Mais pour BobDaHacker, c'est là que commence la vraie galère, celle qui dure toute la nuit, parce que prévenir la FIFA d'un truc pareil, ça devrait être simple et pourtant, ça ne l'est pas du tout.
Il balance son rapport à plus de 10 adresses email de la FIFA, et 5 lui reviennent en erreur. Il tente alors un WhatsApp au responsable Football Technology & Data de la boîte, mais sans succès. Il appelle ensuite les bureaux de Zurich, mais pas de bol c'est fermé. Même la ligne téléphonique réservée à la presse est fermée aussi. Il laisse alors un simple message vocal au centre de diffusion de Dallas.
Et finalement, c'est MediaKind, le prestataire technique du streaming, qui décroche en pleine nuit. Puis la CISA américaine, dont la hotline 24/7 l'accueille plutôt bien. Et enfin le FBI, qu'il contacte carrément sur Signal.
Évidemment, la FIFA a été informée en suivant la règle du responsible disclosure et tout a été patché très rapidement.
Mais bizarrement, à ce jour, la FIFA n'a jamais répondu. Pas un merci, pas même un "vu". Voilà, le gars aura sauvé la Coupe du Monde mais n'aura même pas le droit à 2 places offertes pour aller voir un match, ni même une tape sur l'épaule.
La blague, c'est qu'ils ont même oublié de le retirer de la liste de diffusion de la Football Data Platform, du coup, il reçoit encore aujourd'hui les documents officiels des matchs du Mondial 2026 dans sa boîte mail.
Toute une analyse a été postée sur le blog du chercheur et je vous invite à la lire, parce que c'est un cas d'école.
Bravo à BobDaHacker qui a sans doute évité gratuitement l'un des plus gros bad buzz de l'histoire du foot.
Episteme - Le lecteur d'ebooks libre qui lit (vraiment) tout
Le monde des liseuses, c'est un monde impitoyaaaable. Entre les Kobo, les Kindle, les tablettes chinoises ou encore les formats proprio des ebooks et leurs DRM à la con, c'est super difficile de faire le bon choix. Puis ça coûte cher aussi ces petits trucs... Alors si vous visez les économies, l'arrêt des prises de tête et la préservation de la planète, Episteme est un lecteur d'ebooks libre qui va vous plaire.
Il supporte de nombreux formats de livres, à peu près tout ce qui traîne sur vos disques : PDF, EPUB, MOBI, AZW3, FB2, DOCX, ODT, du Markdown, du HTML, et même vos comics en CBZ, CBR et CB7. Et le truc cool, c'est que la même appli tourne aussi bien sur Android, que Windows et Linux (c'est du Kotlin). Pas de version pour macOS par contre... snif.
Episteme sur Android et son interface en Jetpack Compose
Et surtout, avec Epistem, le cœur de lecture reste 100% local, et les trucs en ligne (genre le résumé par IA, le dico, la synthèse vocale cloud...etc) sont totalement optionnels. Notez que la version du Play Store embarque tous ces extras proprio avec achats intégrés.
Mais il existe aussi une édition "OSS Offline" à qui on a carrément retiré les permissions réseau, comme ça, votre liseuse maison ne pourra littéralement plus appeler le moindre serveur, même si elle en avait envie.
La version libre, elle, est dispo sur F-Droid et Github et fonctionne en BYOK, "bring your own key" pour y mettre votre propre clé API pour l'IA au lieu de raquer un abonnement.
Perso, je n'aime pas trop lire de livres électroniques sur mon ordinateur, et je préfère largement mon Kindle mais quand je suis obligé, j'utilise la liseuse intégrée de Calibre, et j'avoue, c'est loin d'être sexy. Episteme, lui, est quand même bien plus agréable, vous verrez...
La même appli sur desktop, Linux comme Windows
Côté confort, vous pouvez tourner les pages ou scroller vers le bas, activer la synthèse vocale, prendre des notes, placer des signets, régler la police et la taille du texte ainsi que la couleur du fond de page.
Ajoutez à cela des thèmes (Sepia, OLED, Slate), un mode reflow pour les PDF, la lecture multi-onglets, un mode musicien et les annotations à l'encre. Et si vous lisez sur un écran e-ink, le vénérable Koodo et KOReader garderont l'avantage c'est sûr, mais sur un écran classique, Episteme envoie du lourd !
Si vous galérez encore à lire vos ebooks librement , c'est clairement une piste à creuser. Ça se télécharge sur le site officiel d'Episteme si ça vous intéresse.
MOTHER 1 sur SNES - le remake que Nintendo n'a jamais fait
EarthBound Beginnings Remake est à l'origine un projet entre potes qui traine depuis 19 ans et qui youpi !, vient enfin de voir le jour ! Il s'agit d'un ROM hack mené par un certain Gabbls, qui recrée MOTHER, le tout premier jeu de la série EarthBound, en 16-bit sur le même moteur que celui d'origine. Le projet avait été lancé en 2007 par une légende du milieu, Clyde Mandelin, alias Tomato, cofondateur de Starmen.Net et surtout l'homme derrière la fameuse traduction fan de MOTHER 3.
Pour jouer à ce jeu, ça se passe sur le site officiel du projet . Vous arrivez avec votre propre ROM d'EarthBound (la version SNES, achetée légalement hein), vous la glissez dans le patcher intégré au site , et hop, vous récupérez MOTHER 1 relooké aux petits oignons. C'est un jeu 8-bit redessiné en 16-bit, avec de nouveaux sprites poussés directement dans la ROM du jeu. Et comme le patch est au format BPS, si vous préférez le bidouiller à la main avec un outil comme Flips, c'est possible aussi. Y'aura aucune ligne de code à toucher.
Et pour bien saisir pourquoi c'est un petit événement et pourquoi je vous en parle, faut remonter un peu le fil de toute cette histoire...
Car si vous êtes un ancien comme moi, vous connaissez forcément MOTHER, ce RPG culte sorti en 1989 sur Famicom, donc au Japon uniquement. Nintendo en avait préparé une version occidentale baptisée Earth Bound vers 1990, sauf qu'elle a été annulée et n'a jamais atterri dans les boutiques. Le jeu a alors fini par fuiter en version prototype, avec la traduction anglaise officielle que Nintendo avait remisé au placard, et c'est la communauté qui l'a alors ensuite rebaptisé EarthBound Zero, avant de ressortir officiellement en 2015, uniquement sur la Console Virtuelle de la Wii U.
Bref, petite précision pour les non-initiés : MOTHER c'est ce tout premier épisode, à ne pas confondre avec EarthBound qui est sa suite sortie sur SNES (MOTHER 2 au Japon), celle que vous connaissez sûrement grâce à Ness dans Smash Bros. Et ce MOTHER-là, c'est un espèce de jeu maudit que Nintendo a laissé moisir durant 25 ans.
Du coup, voir ses fans lui offrir le remake 16-bit que Nintendo n'a jamais fait, c'est chouette. Y'a quand même eu 3 équipes différentes qui se sont relayés sur le projet jusqu'à hier, date de sortie de ce remake.
Mais ce n'est pas tout car en plus, l'équipe balance un patch compagnon baptisé EarthBound: Giygas Strikes Back avec pour idée de proposer un patch pour le jeu d'origine qui apporte uniquement les améliorations de confort qu'ils ont ajoutées au remake. Donc les achats groupés, le bouton pour courir, + quelques bugs corrigés au passage. Soit de quoi rejouer à l'EarthBound original sans les petites frictions d'époque. Il y a même une jaquette façon boîte SNES signée BigSharkZ et un guide complet en couleur en préparation... tant qu'à faire les choses proprement, autant y aller à fond !
Si vous vous intéressez au rétro gaming ou aux ROM hacks, ça devrait donc vous plaire. Dans le même esprit, jetez aussi un œil au hack qui transforme Zelda en Super Mario ou au superbe hack de Super Mario Kart . Et moi de mon côté, je suis toujours en train de bosser sur mon recompilateur de roms pour mes patreons d'amour, et ça fonctionne plutôt pas mal... J'ai hâte de vous montrer ça.
Oracle divise par deux son offre ARM gratuite, sans prévenir
Si vous faites tourner un petit serveur gratuit chez Oracle, je vous invite prestement, comme dirait Godefroy, à aller vérifier votre compte. Car oui mes amis, Oracle vient de diviser par deux son offre "Always Free" sur les machines ARM, et ils l'ont fait sans prévenir personne. Bouuuuuh ! Cela veut dire que leur fameuse bécane gratuite à 4 cœurs ARM (Ampere A1) et 24 Go de RAM, celle que la moitié de la communauté self-hosting fait tourner pour héberger son site web, son VPN ou son petit lab , est officiellement passée à 2 OCPU et 12 Go de mémoire .
La tristesse m'envahit... snif.
Cela veut donc dire que si vous avez une instance configurée en 4 OCPU / 24 Go, vous êtes dorénavant au-dessus de la limite gratuite. Vous devrez donc rapidement la redimensionner à 2 OCPU / 12 Go, et ça, ça prend 5 à 10 minutes.
Pour ce faire, il faudra vous rendre sur l'affreux dashboard d'Oracle Cloud. Vous ouvrez alors votre instance, Actions puis More actions puis Edit. Vous dépliez la ensuite la section Shape du VM.Standard.A1.Flex, vous mettez 2 OCPU et 12 Go, vous sauvegardez et vous validez le reboot comme des bonhommes, lol.
Ouais, faut redémarrer le VPS, puis se reconnecter dessus en SSH, et c'est réglé. Le guide de Viren070 détaille ce redimensionnement vers 2 OCPU pas à pas si vous voulez être un peu plus tenu par la main.
Et si vous ne touchez à rien parce que balek frrr ??? Et bien si votre compte est en Pay-As-You-Go, tout ce qui dépassera la nouvelle limite gratuite risque de vous être facturé, d'après les retours d'utilisateurs qui ont contacté le support Oracle. Et si vous êtes sur un compte purement gratuit, c'est l'instance elle-même qui peut être stoppée ou récupérée par Oracle. Bref, dans les deux cas, mieux vaut s'en occuper soi-même que de découvrir le problème en mode facture surprise ou disparition de serveur.
Je trouve quand même que le plus gênant dans cette histoire, c'est le silence d'Oracle. Ils n'ont fait aucune annonce ni aucun mail aux clients. Les gens s'en sont rendus compte simplement parce que la page de doc a changé... D'ailleurs, au moment où j'écris ces lignes, le simulateur de coûts d'Oracle affiche encore 0 € pour une instance 4 OCPU / 24 Go, ce qui me laisse penser que la facturation réelle pourrait se déclencher possiblemenet un peu plus tard.
Personne ne sait exactement quand le couperet tombera en fait et c'est ça le souci...
Petite précaution au passage, si vous redimensionnez, sur ARM, Oracle est en permanence à court de capacité... Donc quand vous éteignez votre instance pour la reconfigurer, rien ne vous garantit que vous récupérerez vos cœurs au reboot. Ils peuvent très bien partir à quelqu'un d'autre donc si vous tenez plus à votre machine qu'à vos propres gosses, passez le compte en Pay-As-You-Go avant de la redimensionner. Cela vous permettra de réduire le risque de le voir se faire dégommer.
Et voilà comme un bout d'offre "Always Free" (ce qui veut dire en français, "Toujours gratuit", je me permets de le souligner en toute subtilité QUAND MÊME) vient de prendre fin... Après c'est un peu logique parce que 4 cœurs ARM offerts à vie, c'était plutôt généreux dans le monde dans lequel on vit.
Mais bon, diviser leur offre par deux sans prévenir, en laissant notamment les comptes Pay-As-You-Go se prendre potentiellement une claque en facture alors qu'ils n'ont pas été prévenu, c'est pas un move que la communauté des adorateur du grand Oracle va apprécier je pense...
Bref, si vous avez une instance ARM chez Oracle, allez la vérifier maintenant parce que 5 petites minutes de resize aujourd'hui valent mieux qu'une facture surprise demain...
Google Earth - Un simulateur de vol planqué dans un menu
Google a planqué un vrai petit simulateur de vol dans Google Earth. Alors soyons honnêtes, ce n'est pas tout neuf : l'easter egg traîne dans la version desktop depuis 2007 (Google Earth 4.2, on le débloquait avec le raccourci Ctrl+Alt+A), c'est devenu une fonctionnalité officielle en 2008, et j'en parlais déjà à l'époque . Bref, ça fait presque vingt ans que ça existe. Ce qui change aujourd'hui, c'est que ça débarque enfin dans la version web, directement dans le navigateur. C'est tout en bas du menu Tools, une option "Flight simulator" estampillée "Experimental". Vous cliquez dessus, et hop, vous voilà aux commandes d'un avion au-dessus de n'importe quel coin de la planète.
Forcément, j'ai voulu survoler Paris. Grosse erreur !! C'est super sensible à piloter, alors le moindre coup de flèche un peu bourrin et l'avion part en vrille. Et une fois que c'est parti en cacahuètes, bon courage pour vous rattraper. Du coup, en une vingtaine de secondes, j'avais déjà planté mon zinc entre deux immeubles haussmanniens.
Voilà, voilà. Pilote de ligne, c'était pas pour moi j'crois...
Pour tester vous-même, ça se passe uniquement sur Google Earth dans le navigateur ( earth.google.com , pas l'appli mobile). Vous ouvrez le menu Tools, vous choisissez Flight simulator, et pensez bien à basculer le fond de carte de "Map" à "Satellite", sinon vous volerez au-dessus d'une carte abstraite toute moche au lieu d'avoir des vrais bâtiments 3D photoréalistes.
Côté pilotage, par contre c'est rustique : Page Up et Page Down pour les gaz, les flèches du clavier pour le tangage et le roulis, et un clic dans la fenêtre pour passer en commandes à la souris. De plus, les bâtiments et l'imagerie haute résolution se chargent au fur et à mesure que vous avancez, donc si vous foncez comme un dingue ou que votre connexion rame, vous traverserez parfois du vide le temps que ça charge.
Voilà, on est donc très loin d'un vrai simulateur de vol et Google le dit lui-même... c'est conçu pour de la balade tranquille, pas pour de l'aérodynamique réaliste. Si vous voulez réellement piloter dans votre navigateur, le [Web Flight Simulator et son F-15]( https://korben.info/web
Reconstituer l'écran d'une radio médicale avec une électrode de soudure
Un bricoleur, MarcellF , s'est mis en tête de produire lui-même l'écran fluorescent qui rend les rayons X visibles. Le genre de composant qu'on imagine sorti d'un labo d'imagerie. Sauf qu'il y est parvenu dans son atelier, en mélangeant des sels dans des creusets.
Le principe d'une radio est en fait assez simple. On éclaire un objet avec un faisceau de rayons X, ces ondes invisibles qui traversent la matière comme à l'hôpital, et puisque les zones denses en bloquent une partie pendant que les zones creuses le laissent filer, on récupère derrière l'objet une ombre qui dessine sa structure interne. Reste à rendre cette ombre visible.
C'est le rôle du scintillateur. Le mot est barbare mais la chose est simple : un matériau qui absorbe le rayonnement invisible et le recrache aussitôt en lumière visible, un peu comme un autocollant phosphorescent qui s'illumine dans le noir après s'être gorgé de lumière. Sans cet écran, pas d'image. Et comme le matériau adéquat coûte une fortune dans le commerce et reste introuvable pour un amateur, MarcellF a choisi de le synthétiser de zéro.
Sa première piste a été de passer en revue un tas de poudres fluorescentes du commerce, du genre qui s'allume sous une lampe UV. Mauvaise surprise. La plupart des matériaux qui réagissent aux ultraviolets sont indifférents aux rayons X, deux phénomènes qu'on confond trop vite.
Quelques candidats s'en sortent quand même, à commencer par les phosphores à base d'aluminate de strontium, très lumineux mais affligés d'une rémanence un peu gênante puisqu'ils continuent de luire longtemps après l'extinction de la source et brouillent donc l'image. Le sulfure de zinc récupéré dans de vieux panneaux électroluminescents s'est révélé presque aussi brillant que l'écran à oxysulfure de gadolinium d'un vrai scanner médical, et sans la moindre traînée.
Mais le clou du spectacle, c'est la fabrication maison de tungstate de calcium, un phosphore historique des radiographies. Là, on entre dans la vraie chimie. MarcellF fait fondre du nitrate de potassium avec du carbonate de sodium, y dissout du tungstène prélevé sur une banale électrode de soudure pour former des tungstates, fait précipiter le composé en le faisant réagir avec du chlorure de calcium, puis chauffe longuement la poudre obtenue pour réveiller sa fluorescence. Le résultat tient dans la main. Une poudre qui émet une jolie lueur bleue dès qu'on l'expose aux rayons X, et qu'une pincée de plomb ajoutée comme dopant rend encore plus brillante.
Ce genre de bidouille est quand même assez dingue. Prendre un objet qu'on croyait verrouillé dans les hôpitaux et les labos de physique, puis le reconstituer avec une électrode de soudure et trois sels achetés en droguerie, il y a là quelque chose de très réjouissant. Reste un détail qui calme. Il faut déjà posséder une source de rayons X, et manipuler ce rayonnement réclame des précautions autrement sérieuses qu'un tablier de plomb improvisé. Pas un tuto à refaire un dimanche pluvieux, donc. Mais comme preuve que le mur entre l'instrument médical et le bricolage de garage est plus mince qu'on ne le croit, c'est plutôt pas mal.
Source : Hackaday
dnsweaver - DNS automatique pour Docker, Proxmox et K8s
Si vous hébergez vos propres services derrière une IP dynamique, vous connaissez sans doute des outils merveilleux comme DynDNS, NoIP, ou encore Cloudflare DDNS.
Sauf que dès que votre homelab mélange du Docker, du Proxmox et un cluster Kubernetes, ça devient vite le bordel à maintenir ! Mais Maxfield Allison, un contributeur du projet OPNsense, qui visiblement en avait marre lui aussi de gérer tout ça à la mimine, nous a pondu dnsweaver .
dnsweaver, ça fait pas repousser les cheveux sur les sysadmins (désolé ^^) mais c'est un outil en Go qui peut se lancer comme un service et qui se configure avec la clé API de votre Cloudflare (ou d'un autre provider) pour mettre à jour sa zone DNS. Comme ça, quand l'un de vos conteneurs démarre avec un label Traefik, hop, l'enregistrement DNS apparaît automatiquement. Et quand vous le virez, il disparaît.
C'est génial parce que ça vous permet de ne plus jamais toucher à votre zone DNS à la main.
Et une fonctionnalité incroyable de dnsweaver, c'est le split-horizon DNS qui permet de donner accès à votre réseau local et à ses services depuis n'importe où sur Internet, mais avec la bonne tête selon d'où vous vous connectez. Vous aurez grâce à ça, votre bitwarden.maison.fr qui pointe vers le 192.168.1.10 quand vous êtes chez vous sur le réseau local, et vers votre IP publique quand vous tapez la même adresse depuis l'extérieur. Comme ça, plus la peine de maintenir 2 configs séparées qui finiront toujours par diverger à un moment...
Et dnsweaver ne se contente pas d'un seul fournisseur et ça c'est cool. Comme ça, si vous voulez allier la puissance des services de Cloudflare (pour le cache, la sécurité, la protection DDoS...etc.) à, par exemple, un Technitium perso pour votre réseau interne, bah c'est possible ! dnsweaver pousse comme ça vers 7 backends en parallèle: Technitium, Cloudflare, Pi-hole, AdGuard Home, dnsmasq, le bon vieux RFC 2136 (pour BIND, PowerDNS ou le DNS de Windows Server) et même un webhook pour brancher un truc maison.
Côté détection, vous aurez capté, ça va lire les labels Traefik, Caddy ou nginx-proxy sur vos conteneurs Docker, les annotations Ingress sur Kubernetes, et côté Proxmox il récupère vos VMs (via l'agent QEMU) comme vos conteneurs LXC. Très cool donc pour les furieux qui gèrent plein d'instances sur différents serveurs !!
Pour l'installer, maintenant vous avez le choix: Soit vous passez par l'image Docker maxamill/dnsweaver, le registre ghcr.io ou un chart Helm si vous êtes plutôt team Kubernetes. Vous lui passez les credentials de vos providers (via des secrets Docker ou Kubernetes, et pas en clair dans un fichier qui traîne comme un gros nooooobbzzzz) et vous le laissez tourner. Il expose même des métriques Prometheus, du coup vous le surveillez comme le reste de votre stack.
Alors oui, je saiiiis, ExternalDNS fait déjà ce genre de boulot, sauf que c'est du Kubernetes only. Alors que dnsweaver, lui, avale les trois plateformes d'un coup, ce qui colle pile poil à l'ADN même du homelab bordélique que vous avez chez vous ^^.
Le projet est encore assez récent et porté par une seule personne mais ça évolue à une vitesse impressionnante (déjà des dizaines de versions livrées en quelques mois), alors je vous recommande de tester ça quand vous aurez 5 min (pas en prod tout de suite par contre, promettez le moi, bande de fifous !!)
Voilà, si gérer votre DNS maison vous bouffe un temps de dingue, dnsweaver est à envisager (pas comme votre cousin.e, donc... )
Régie des eaux US piratée - Le bluff iranien de Handala
Handala, un groupe de hackers liés à l'Iran, vient d'annoncer qu'il aurait pu couper l'eau de 2 millions de Californiens. Le groupe a en effet piraté California Water Service et balancé 5 Go de données pour le prouver.... Mais bon, peu importe ce qu'ils disent, la vérité c'est que non, il n'aurait pas pu.
Et c'est tout l'intérêt de cette histoire que je m'en vais vous conter....
Tout d'abord, quand on regarde ce qu'ils ont vraiment chopé, je vous avoue, on est trèèèèès loin du robinet. Leur point d'entrée, visiblement, c'est un serveur RTKBase, un outil open-source de correction GPS pour les équipes de terrain. Le truc traînait sur Internet, accessible en HTTP sur le port 10000, avec les identifiants admin et les mots de passe en clair. Comme à peu près tous les sites de l'administration française quoi... loool #troll # dataleakasaservice .
Et il tournait comme ça depuis plus de 780 heures d'affilée, soit plus d'un mois en libre accès. A partir de celui-ci, les attaquants ont alors pu sauter vers les systèmes de facturation, parce que rien ne séparait correctement le réseau GPS des données sensibles. Et ça leur a permis de récupérer les infos clients d'au moins 7 districts (Bakersfield, Chico, Salinas, Stockton, Visalia, San Mateo...) : noms, adresses, téléphones, numéros de compte, historiques de paiement.
Cela veut dire que ce qu'ils ont chopé en réalité, ce sont des fichiers clients, mais pas du tout un accès à une valve ou une pompe, ni même au moindre petit robinet qui goutte... snif...
Donc oui, grosse fuite de données perso, mais pas une seule ligne du système de traitement ou de distribution de l'eau n'a été touchée ! Pas de SCADA, pas d'automate, rien de ce qui pilote physiquement ce qui sort de votre robinet. Les analystes qui ont épluché les données sont très clairs là-dessus : Rien là dedans ne prouve que Handala peut couper l'eau d'une ville américaine. Le groupe n'a d'ailleurs aucun historique connu de sabotage de système de traitement d'eau. Le "j'aurais pu faire pire", c'est de l'intimidation et rien de plus...
Pour comprendre la différence, faut voir à quoi ressemble une vraie attaque sur une infra. Quand on pense sécurité et systèmes industriels, le premier truc qui vient à l'esprit, c'est en général le SCADA en place dans les usines, qu'on peut parfois croiser au détour d'un Shodan ou autre.
Une vraie attaque, c'est ça qu'elle vise. Je ne sais pas si vous vous souvenez, mais en décembre 2015, environ 230 000 Ukrainiens ont été plongés dans le noir à cause d'un malware qui ciblait directement les systèmes de contrôle électrique. Ou Stuxnet , qui a physiquement détruit un millier de centrifugeuses iraniennes. Ou Oldsmar en 2021, où quelqu'un a brièvement fait grimper le taux de soude dans l'eau potable d'une petite ville de Floride. Ça, c'est toucher l'OT, la partie qui commande les machines pour de vrai.
Désolé Handala.... lol
Maintenant, faut pas non plus les ranger au rayon des script kiddies parce qu' Handala, c'est en réalité la façade "hacktiviste" de Void Manticore, un groupe rattaché au renseignement iranien, avec notamment tout un arsenal de wipers maison pour effacer des disques.
Par exemple en mars dernier, ils ont lancé une attaque destructrice chez Stryker, un géant de l'équipement médical. Leur mode opératoire, c'est de voler les données d'abord, puis de revenir ensuite pour tout casser. D'ailleurs ils sont loin d'être les seuls puisque dès 2023, un autre groupe iranien, CyberAv3ngers, avait piraté 75 automates Unitronics dans des stations d'eau et d'autres infras aux États-Unis, au point que la CISA a dû tirer la sonnette d'alarme. En clair, des hackers iraniens qui s'en prennent aux stations d'eau américaines , c'est devenu la routine....
Bref, Handala n'a pas coupé l'eau mais le jour où un groupe avec un vrai accès SCADA débarquera, faudra pas venir dire qu'on n'était pas prévenus.
RAMwavDroid - Et si on écoutait les malwares Android ?
Si vous faites un peu de reverse engineering sous Android, vous savez que les malwares modernes font absolument tout ce qu'ils peuvent pour planquer leurs mauvaises intentions, un peu comme vos parents toxiques... Code obfusqué, chargement dynamique, packing...etc, etc.
Mais c'était sans compter sur une équipe de chercheurs italiens menée par Giorgio Giacinto ont carrément changé de stratégie avec RAMwavDroid qui au lieu de désassembler le code , permet de le transformer en son et ensuite, laissent une IA l'écouter. Et cela permet d'obtenir un niveau de 98% de détection des malwares.
J'vous explique la sorcellerie de ce truc...
En effet, d'habitude, pour analyser une appli Android, on décompile l'APK et on récupère le code, notamment des fichiers smali, un équivalent lisible par un humain du code bas niveau Dalvik.
Mais avec leur RAMwavDroid, vous prenez le fichier, et chaque octet, qui vaut une valeur entre 0 et 255, devient directement une amplitude sonore. Pas de normalisation, ni de désassemblage mais simplement une forme d'onde, stockée dans un vrai fichier WAV ou MP3 + des réseaux de neurones qui apprennent à reconnaître la texture sonore d'un malware.
Le transformer utilisé, c'est Wav2Vec2, qui était même à la base entraîné sur de la voix humaine.
Comment RAMwavDroid transforme les octets d'une appli en forme d'onde
Mais alors pourquoi passer par le son ?
Hé bien parce que les antivirus classiques s'appuient sur le "sens" du programme, ses permissions, ses appels API, la structure de son code...etc. Or c'est exactement ça que les vrais malwares un peu filous brouillent pour passer entre les mailles. Alors que la texture brute des octets, elle, reste la même, peu importe l'habillage que son concepteur a donné à son malware.
Et ça, une oreille artificielle finit par le repérer.
Mais le vrai coup de génie c'est que plutôt que d'analyser le fichier au repos, RAMwavDroid lance l'appli dans un émulateur et prend un instantané de sa mémoire vive juste après le démarrage. Ça permet de parcourir les fichiers chargés en mémoire, les processus, et surtout le code que le packing a déjà déchiffré pour pouvoir s'exécuter. Cette analyse forensique de la mémoire fait alors grimper la précision de près de 94% en statique à jusqu'à 98% en dynamique.
Le spectrogramme d'une appli malveillante, vu comme un son
Sur un extrait de dataset de malwares utilisé pour leurs tests, composé de 600 applis (moitié saines moitié vérolées), RAMwavDroid tape jusqu'à 98% de bonnes réponses, avec dans sa meilleure configuration quasiment aucun faux positif.
Un faux positif, c'est quand il n'y a pas de malware, mais que l'antivirus clignote quand même en rouge, donc ça montre bien l'efficacité de leur technologie. On est au même niveau que VirusTotal qui fait bosser des dizaines de moteurs de détection en parallèle.
Bien sûr, c'est un résultat de laboratoire sur un échantillon limité d'apps, et le code source n'est pas encore disponible publiquement, donc on ne peut que les croire sur parole. Surtout que leur système fonctionne uniquement dans un émulateur (pour accéder à la RAM) et ça c'est un truc typique que les malwares sont capables de détecter... Donc bon, à voir...
En plus ce système se fait avoir par les applis bourrées de gros SDK légitimes qui noient également le signal, et par les malwares minimalistes trop simples pour faire du bruit. Bref, la robustesse face à l'obfuscation avancée, ce sera pour plus tard mais j'ai trouvé cette façon de faire plutôt originale.
Peut-être qu'à terme, les créateurs de malware mixeront leur binaire avec un MP3 de Jul ou Gims pour tromper ces futurs détecteurs audio ^^.