Autoblog de korben.info

Ce site n'est pas le site officiel de korben.info
C'est un blog automatisé qui réplique les articles de korben.info

Utiq - Le pistage pub de votre opérateur et comment l'éviter

Fri, 29 May 2026 14:29:11 +0200 - (source)

Si vous avez cliqué un peu vite sur "J'accepte" ces derniers jours, vous avez peut-être activé Utiq sans le savoir. Si ça ne vous dit rien, c'est normal puisque c'est le nouvel identifiant publicitaire monté comme des grands par les opérateurs télécoms européens, dont Orange, Deutsche Telekom, Vodafone et Telefónica, et qui vous piste via votre connexion à Internet.

Plutôt qu'un cookie planqué dans votre navigateur, Utiq s'appuie tout simplement sur votre box ou votre forfait mobile avec un identifiant attribué à votre ligne fixe (fibre ou ADSL) ou mobile.

Par exemple, comme on peut le lire sur AuFeminin :

Et c'est là que ça pique fort car comme l'identifiant vient de la connexion et pas du navigateur, il se moque éperdument des protections habituelles. Vous videz le cache ? Il s'en balek ! Navigation privée ? Pareil. Vous changez de navigateur ou d'appareil ? Tant que c'est la même connexion, vous restez la même personne aux yeux des annonceurs.

Pour finir le travail, Utiq demande même aux sites un petit sous-domaine maison, du genre utiq.lamarque.fr, qui pointe vers ses propres serveurs. Cette technique de CNAME cloaking fait ainsi passer le mouchard pour le site lui-même, et hop, il passe alors sous le radar d'une bonne partie des bloqueurs de traceurs, votre uBlock compris !

Bon, après ce n'est pas non plus Big Brother (et non, votre smartphone ne vous écoute pas ) puisque l'activation passe obligatoirement par votre consentement, et un opérateur qui ferait n'importe quoi avec vos données de connexion risquerait très gros au regard de la directive ePrivacy.

Le vrai souci, que Next a bien pointé d'ailleurs, c'est que l'identifiant de base que livre l'opérateur, le fameux "Network Signal", est une boîte noire totale. À en croire Next, même la CNIL n'en connaît pas le contenu exact. Difficile donc de parler de "consentement éclairé" quand personne ne sait vraiment ce qu'on accepte...

Ce bidule intrusif a déjà une ampleur folle, avec 36 opérateurs partenaires, plus de 330 éditeurs et 75 millions d'identifiants créés, dont 40 millions rien qu'en France ! Renault a même été l'un des premiers annonceurs à dégainer cette techno.

Et le plus fou, c'est que c'est vendu comme l'alternative "éthique et européenne" aux GAFAM. En gros, vous troquez Google contre votre opérateur, ce qui en fonction de l'opérateur n'est pas très rassurant ^^.

Heureusement, sortir du game prend à peine 30 secondes. Foncez sur consenthub.utiq.com , et vous pourrez bloquer Utiq pour un an d'un coup. C'est aussi là que vous verrez si vous êtes déjà enrôlé. Après sur les sites web qui l'ont implémenté, cliquez sur Rejeter, ou refusez Utiq dans les détails des réglages du site.

Et si vous voulez la ceinture et les bretelles, un VPN changera l'adresse IP sur laquelle repose le système et brouillera sérieusement les pistes. D'ailleurs, je le rappelle, ici, vous ne croiserez ni Utiq, ni cookie publicitaire, ni tracker mais juste de gros liens vers mon Patreon pour le soutien ^^.

Voilà, donc rien d'apocalyptique sous le soleil mais quand même 2 ou 3 trucs à savoir pour ne pas se faire berner...

Source


Ils ont créé des villes gérées par IA

Fri, 29 May 2026 13:33:37 +0200 - (source)

Une société de recherche baptisée Emergence AI a eu une idée à la fois ludique et un peu vertigineuse : bâtir des petites sociétés virtuelles entièrement gérées par des intelligences artificielles, puis les laisser vivre quinze jours pour voir ce qu'elles deviennent.

Le projet, appelé Emergence World, a placé une dizaine d'habitants synthétiques dans chaque ville, tous pilotés par un même modèle, et a confronté les résultats obtenus par cinq IA concurrentes, dont Claude, ChatGPT, Grok et Gemini.

Le terrain de jeu n'avait rien d'improvisé. Chaque ville comptait plus de quarante lieux, parmi lesquels un commissariat et une mairie, sa météo était synchronisée sur celle de New York, et ses habitants disposaient d'un accès à l'actualité réelle et à internet.

Tous obéissaient en théorie aux mêmes interdits : pas de vol, pas de destruction de biens, pas de mensonge. Le cadre étant rigoureusement identique, les écarts observés ne pouvaient venir que d'une seule variable, le modèle aux commandes.

Et ces écarts sont spectaculaires. La société dirigée par Claude, dans sa déclinaison Sonnet 4.6, a tenu pendant toute la durée comme une démocratie relativement apaisée, sans le moindre crime à déplorer.

À l'opposé, la ville gouvernée par Gemini 3 Flash a certes réussi l'exploit de garder ses dix habitants en vie jusqu'au bout, mais en laissant prospérer un désordre permanent : 683 délits enregistrés en deux semaines, avec une courbe qui continuait de grimper au moment précis où l'expérience a été stoppée.

Les deux autres scénarios ont viré au naufrage, chacun à sa manière. Sous la conduite de Grok, la cité a sombré dans la violence avec 183 infractions recensées avant de s'effondrer complètement au quatrième jour.

Sous celle de ChatGPT, le problème fut exactement inverse : les habitants se sont montrés incapables d'assurer les gestes élémentaires de leur survie, si bien que la population entière avait disparu en une semaine.

On peut sourire de ces villes de poche peuplées de personnages artificiels, mais l'enseignement est sérieux. À l'heure où l'on parle de déléguer à ces modèles des arbitrages bien réels, voir des consignes parfaitement identiques accoucher de sociétés aussi dissemblables a de quoi inciter à la plus grande prudence.

Source : Fortune.com


Dynamic Workflows - Quand Claude Code orchestre des centaines d'agents

Fri, 29 May 2026 13:33:06 +0200 - (source)

Faut le reconnaître, malgré toute la bonne volonté qu'elle peut y mettre, y'a encore des tâches trop grosses pour être réalisées en une seule passe avec de l'IA, du genre auditer votre projet de Saas en mousse en intégralité ou traiter les milliers de fichiers que vous récupérez sur le darkweb (ça va, j'rigole mes petits Pablo). Hé bien c'est exactement ce que les dynamic workflows d'Anthropic, sortis hier avec Opus 4.8 dans Claude Code, viennent régler.

Et comme c'est encore un nouveau truc relou à savoir, je viens vous expliquer comment tout ceci fonctionne et dans quels cas les utiliser.

En fait, grâce à ça, au lieu de bosser tout seul en une fois, Claude écrit lui-même un petit script qui lance des dizaines, voire des centaines de sous-agents en parallèle, les fait se vérifier entre eux, et vous rend le résultat une fois que tout converge. Vous décrivez le chantier et lui s'occupe de l'orchestration et puis c'est tout !

Le problème que ça règle

Car jusqu'ici, un agent IA bossait en gros comme un employé seul à son bureau, avec une demande, une passe, une réponse. Ça marche donc très bien pour un bug isolé ou un bout de code mais dès que le chantier devient énorme, genre rechercher une faille dans tout un projet complexe ou reconstruire une API à partir de milliers de fichiers, là y'a plus personne... la passe unique sature et oublie alors des trucs en route.

Les dynamic workflows cassent donc ce plafond en découpant le boulot en sous-tâches confiées à plein d'agents qui tournent alors tous en même temps, et comme la coordination se passe en dehors de la conversation, pas d'inquiétude, le plan ne déraillera pas, même quand la tâche sera giganormouuuuus !

Comment ça tourne ?

En fait, quand vous lancez un workflow, Claude planifie à la volée selon votre demande, découpe en sous-tâches, et répartit le tout sur des sous-agents en parallèle. Et chaque résultat est ensuite scrupuleusement vérifié avant d'être réintégré à la conversation principale.

Et comme c'est bien pensé, cette vérification est adversariale, ce qui veut dire que des agents attaquent le problème sous des angles indépendants pendant que d'autres essaient activement de démolir ce que les premiers ont trouvé. Ça tourne donc en boucle jusqu'à ce que les réponses convergent, ce qui élimine pas mal de conneries plausibles qui seraient fausses.

Autre bon point avec cette nouvelle technique, c'est la progression qui est sauvegardée au fil de l'eau. Comme ça si un job se fait interrompre, il repart où il en était dans la même session, au lieu de tout recommencer comme un débile. Et côté garde-fous, sachez qu'un workflow plafonnera max à 16 agents en parallèle et max 1000 agents au total par run, histoire que ça ne parte pas en cachuète !

Comment l'activer ?

Il y a 2 façons de lancer cette armée d'agents, et la première ne demande aucun réglage.

Vous demandez juste à Claude de créer un workflow, littéralement avec un truc du genre "crée un workflow pour faire X". Vous verrez, la première fois qu'un workflow se déclenchera, Claude Code vous montrera ce qu'il s'apprête à lancer et vous demandera de confirmer la chose. Comme ça, pas de surprise, c'est vous le boss et c'est vous qui validez avant que ça parte.

Mais y'a aussi la méthode automatique, qui consiste à activer un réglage maison appelé ultracode depuis le menu d'effort (/effort) durant une session en cours, qui pousse le raisonnement très haut (xhigh) et laisse ensuite Claude décider tout seul quand sortir un workflow pour les tâches qui le méritent.

Pour profiter de cette nouvelle feature, il vous faut Claude Code en version 2.1.154 ou plus récente, et ça tourne aussi bien en ligne de commande que sur l'app desktop ou l'extension VS Code. Côté abonnement, c'est dispo sur tous les plans payants... Sur le plan Pro faudra juste l'activer à la main dans le menu /config, alors que sur Max, Team et Enterprise c'est présent d'office.

Ce que ça donne en vrai

Pour la chasse aux bugs ou les audits de sécurité sur un dépôt entier, où Claude fouille en parallèle puis revérifie chaque trouvaille de façon indépendante, c'est top ! Pour les grosses migrations aussi, genre changer de framework ou porter un langage vers un autre sur des milliers de fichiers c'est le top aussi surtout que comme je vous le disais, quand c'est critique, vaut mieux que ce soit vérifié deux fois plutôt qu'une !

Ils l'ont utilisé par exemple pour le portage de Bun du langage Zig vers Rust. Cela a pris 11 jours entre le premier commit et la fusion, avec des centaines d'agents en parallèle et deux relecteurs sur chacun des fichiers et au final ce sont plus de 750 000 lignes de Rust qui ont été réécrites. La société Klarna, de son côté, s'en sert pour repérer le code mort que l'analyse statique classique laissait passer.

Ce que j'en fais

Perso, ce que je trouve le plus utile, c'est pour les chantiers que je repoussais justement parce qu'ils étaient trop gros pour une seule session. Passer en revue le code de mon site de fond en comble (ce que j'ai fait ce matin), ou encore bosser plus efficacement sur le recompilateur que je suis en train de créer (je vous en recause bientôt..)

Le prix à payer

Évidemment, je suis lucide, ça a un coût et Anthropic prévient noir sur blanc qu'un dynamic workflow bouffe nettement plus de tokens qu'une session classique. Bah oui, des centaines d'agents qui tournent en parallèle, forcément, ça consomme à fond. Du coup leur conseil officiel, c'est de commencer sur une tâche bien cadrée pour prendre la mesure de ce que ça pompe avant de lâcher l'outil sur un gros morceau. C'est totalement ce que je n'ai pas fait ^^ mais je suis un punk, que voulez-vous !

Source


SixBack - Ressusciter une Bose SoundTouch avec un ESP32

Fri, 29 May 2026 11:25:36 +0200 - (source)

Si comme moi, vous avez une enceinte Bose SoundTouch , vous savez que ses boutons de radio internet ont cessé de fonctionner début mai. En effet, Bose a coupé le cloud qui tournait derrière, et les six boutons de présélections sont devenus de jolis boutons inutiles. Mais un dev nommé Tostmann, lui, a refusé cette fatalité et a sorti SixBack, un firmware ESP32 qui ramène tout ça à la vie.

L'idée, c'est de faire croire à l'enceinte que rien n'a changé puisque l'ESP32 se fait passer pour les serveurs Bose disparus et répond à sa place, sans toucher au firmware d'origine de l'enceinte. Pour réussir cela, il a réimplémenté 22 des 30 points d'accès du service, de l'enregistrement du compte au streaming en passant par les vérifs de mise à jour et voilà comment pour la SoundTouch, c'est comme si le cloud n'était jamais parti !

D'habitude, ce genre de résurrection passe par une redirection DNS bricolée au niveau du routeur, un truc bien lourd et bien casse-gueule, mais Tostmann, lui, exploite un shell de diagnostic ouvert sur le port 17000, accessible en Telnet sans le moindre mot de passe et à partir de là, il réécrit directement les adresses des serveurs vers son ESP32 via ces quelques lignes de commande :

sys configuration bmxRegistryUrl http://IP_ESP32:8000/bmx/registry/v1/services
sys reboot

Côté installation, pas besoin de sortir le fer à souder rassurez-vous ! Vous branchez simplement un ESP32-S3 (comptez une dizaine d'euros) en USB, vous ouvrez sixback.io dans Chrome, Edge, ou maintenant Firefox vous cliquez sur Connect et le navigateur flashera tout seul le firmware de l'ESP32, l'interface et la config WiFi. Et voilà, votre enceinte se mettra à revivre !!

Et comme rien ne touche au firmware de l'enceinte, c'est réversible, suffit de remettre les adresses d'origine via le même shell.

Après, je le reconnais c'est un hack de niche qui ne va peut-être intéresser que 3 personnes parmi vous, mais c'est pas grave parce que moi ça m'intéresse fortement ^^. Notez quand même que ça ne marche que sur les SoundTouch 10, 20 et 30, et uniquement sous les firmwares 27.0.3 et 27.0.6, et rien d'autre.

L'interface pour régler les paramètres de votre enceinte

Côté carte, prenez donc plutôt un ESP32-S3 que les petits C6, qui décrochent parfois du réseau et exigent un reset à la main. Et comme la licence de son code est non-commerciale, sachez que personne ne vendra de boîtier clé en main pour faire ça, donc ce sera du système D ou rien ! Mais je suis certain que vous y arriverez !!

ESP32-S3

Comme je vous le disais, j'en ai une à la maison, que je ne fais tourner qu'en AirPlay, donc les fameux presets, je m'en passe très bien mais je suis content que ce SixBack existe.

C'est quand même dommage à chaque fois de voir un appareil parfaitement fonctionnel transformé en presse-papier parce qu'un fabricant a décidé d'éteindre un serveur... Heureusement que des gens comme Tostmann existent pour s'énerver un peu !

SixBack est dispo sur GitHub .

Source


Linux va enfin faire tourner le GA100 de NVIDIA avec un pilote 100% libre

Fri, 29 May 2026 11:03:55 +0200 - (source)

Petite victoire pour le logiciel libre. Avec la prochaine version du noyau Linux, la 7.2, le pilote Nouveau va enfin prendre en charge le GA100 de NVIDIA.

Pour situer, Nouveau, c'est le pilote graphique libre développé par la communauté pour faire fonctionner les cartes NVIDIA sans dépendre du pilote propriétaire maison.

Le GA100, lui, n'est pas une carte de gamer. C'est la puce qui anime l'A100, l'accélérateur que NVIDIA vend par camions entiers aux data centers pour entraîner les IA et faire tourner du calcul scientifique. Une bête taillée uniquement pour le calcul, sans même de sortie vidéo.

Et c'est justement ce qui posait problème. Nouveau gérait déjà les autres cartes de la génération Ampere grâce au GSP, un petit processeur embarqué sur la carte qui sert d'intermédiaire pour la piloter.

Sauf que le GA100, étant une puce entièrement dédiée au calcul, faisait bande à part et réclamait un traitement particulier, en réutilisant au passage des bouts de code prévus pour la génération précédente. NVIDIA a fini par publier les correctifs nécessaires en février, et ils arrivent donc maintenant dans le noyau.

Attention quand même à ne pas crier victoire trop vite. Le pilote côté noyau est prêt, d'accord, mais la partie logicielle qui permet réellement d'exploiter la carte pour faire du calcul n'est pas encore au point côté libre.

Les outils comme Mesa ou les pilotes OpenCL ne savent toujours pas gérer une carte NVIDIA dépourvue de moteur 3D. Il reste du boulot avant d'avoir une chaîne entièrement open source du début à la fin.

Source : Phoronix


Il transforme deux Xbox One hors service en une clé USB de 10 Go

Fri, 29 May 2026 10:51:21 +0200 - (source)

En pleine flambée des prix de la mémoire et du stockage, un bricoleur du nom de Chase Fournier a imaginé une façon rigolote de recycler du vieux matériel : récupérer les puces de stockage de deux Xbox One pour les assembler en une seule clé USB de 10 Go, suffisamment compacte pour tenir dans la main.

Son astuce repose sur un composant méconnu. La carte mère d'une Xbox One S embarque une puce eMMC, autrement dit de la mémoire flash soudée qui sert de stockage interne, exactement le même type de composant que l'on trouve dans un smartphone d'entrée de gamme. Sur la console, cette puce dispose d'une capacité de 5 Go.

Fournier en a dessoudé deux, une par machine, avant de les installer sur une petite carte équipée d'un contrôleur Norelsys NS1081, capable de faire dialoguer jusqu'à quatre mémoires de ce type avec un port USB 3.0. En additionnant les deux puces, on obtient une clé de 10 Go reconnue sans difficulté par n'importe quel ordinateur.

Du côté des performances, le résultat reste modeste, avec environ 140 Mo par seconde en lecture et 64 Mo par seconde en écriture. C'est honnête pour de la récupération, même si une clé USB neuve vendue quelques euros ferait nettement mieux. La vitesse n'était de toute façon pas l'objectif recherché.

L'intérêt du projet tient surtout à son contexte. Alors que les prix du stockage grimpent un peu partout, l'idée d'aller puiser dans du matériel obsolète pour récupérer de quoi conserver ses fichiers retrouve une vraie pertinence.

Une Xbox One hors service cesse d'être une console, mais elle conserve des composants parfaitement fonctionnels qui finissent trop souvent à la déchetterie. Personne ne se lancera évidemment dans une telle manipulation pour économiser trois euros, tant l'opération exige du matériel spécifique et un réel savoir-faire en soudure.

Il n'empêche que la démarche a quelque chose de réjouissant, à l'heure où l'on jette bien plus vite qu'on ne répare.

Source : Hackaday


Apocalypse Early Warning - Quand les riches fuiront

Fri, 29 May 2026 09:29:41 +0200 - (source)

Le pari de Kyle McDonald, le site dont je vais vous parler aujourd'hui c'est que si une catastrophe se prépare, les milliardaires le sauront avant nous et fileront en jet privé. C'est pour ça que cet artiste-programmeur de Los Angeles a construit l' Apocalypse Early Warning System , un site qui surveille en temps réel l'activité des jets privés pour repérer le moment où les riches se barrent.

Son truc écoute un réseau de récepteurs radio répartis sur toute la planète, qui captent les signaux ADS-B des avions, à savoir leur position, leur altitude, leur direction et leur identifiant. McDonald filtre alors tout ça pour ne garder que les jets privés et d'affaires, soit plus de 35 000 appareils sur la carte, puis compare le nombre en vol à un instant donné avec ce qu'on devrait attendre normalement en cas de panique.

Et ce "normalement", ce sont des années de données historiques, avec les habitudes de chacun selon l'heure, le jour et les vacances genre Thanksgiving ou Noël. Et quand l'activité grimpe au-dessus de tout ce qu'on a vu sur un an, hop, le niveau d'alerte passe à 5 sur 5, soit bien plus de décollages que d'habitude.

Par contre, ce n'est pas sur du pistage individuel à la ElonJet, avion par avion, mais sur le compteur global de toute cette flottille privée. Difficile donc de dire si tel ou tel milliardaire précis a décollé, mais ça offre une tendance générale.

L'idée lui est venue après une menace de Trump sur l'Iran, du genre "une civilisation entière" pourrait disparaître. McDonald s'est alors demandé qui serait prévenu en premier, même si en réalité, l'activité des jets de milliardaires ne prédit pas vraiment l'apocalypse, et un pic n'annonce pas forcément une catastrophe.

Et le mec est productif puisque durant les manifestations George Floyd à Los Angeles, il a aidé à pister les hélicos de la police via le trafic aérien, et a découvert que le LAPD masquait l'identité de certains appareils. Puis il a aussi sorti ICESpy et FuckLAPD, deux projets de reconnaissance faciale pour identifier des agents des forces de l'ordre. Ça lui a même valu des menaces de mort.

Tout ça, vous l'aurez deviné, repose sur de l'OSINT, c'est à dire l'art d'exploiter des données déjà publiques que personne ne prend la peine de vraiment croiser, dans la lignée de ShadowBroker que je vous ai présenté y'a pas longtemps.

Son tracker de jets, lui, est gratuit sur le web et avec des alertes Telegram, ou si vous voulez recevoir un SMS, c'est 5 dollars par an. N'allez pas croire que ça n'intéresse personne puisque près de 2 500 personnes ont déjà payé. C'est fou !

Bref, on est un peu entre la blague et le malaise et on peut voir tout ça en direct sur son site .

Source


FROST - Quand un site web peut vous tracker grâce à votre SSD

Fri, 29 May 2026 07:23:41 +0200 - (source)

FROST, c'est le nom d'une nouvelle attaque qui transforme votre SSD en mouchard. Des chercheurs de l'université de Graz, avec Daniel Gruss au générique (un des cerveaux derrière Spectre et Meltdown), ont montré qu'un simple site web peut deviner quels autres sites et applis vous avez ouverts et cela juste en mesurant les micro-ralentissements de votre disque. Oui, je sais c'est geudin !

Le principe ?

Quand vous ouvrez la page piégée, elle crée discrètement un gros fichier sur votre disque via une API du navigateur baptisée OPFS ( Origin Private File System ), présente aujourd'hui dans tous les navigateurs modernes. C'est ce fichier qui sert de sonde.

Le JavaScript passe son temps à lire dedans et chronomètre chaque lecture au poil de cul et dès qu'une autre appli ou un autre onglet sollicite le SSD, ça crée un embouteillage minuscule sur le disque... que le code peut repérer sous forme de ralentissement.

Sauf que des variations de timing, ça reste du bruit illisible pour un humain. Du coup les chercheurs ont balancé toutes ces mesures dans un réseau de neurones (un CNN, le même genre de bidule qui reconnaît des choses sur des photos).

Entraîné sur des tonnes de traces, le modèle apprend alors la signature de chaque appli et de chaque site web et voilà comment à partir de ça, il devine ce que vous avez ouvert !

Sur un Mac, dans les tests présentés cette semaine, le truc retrouve le bon site parmi un top 50 dans près de 9 cas sur 10, et grimpe à plus de 95% pour reconnaître les applications ouvertes. Le tout sans la moindre action de votre part, à part avoir cliqué sur le lien. C'est totalement invisible.

Mais avant de débrancher votre PC, renvoyer votre box internet et vous lancer à temps complet dans la culture de chanvre, faut relativiser, car cette attaque a plusieurs limites... Le hic numéro un, c'est que le fichier-sonde doit être énorme, genre 1 Go ou plus, et un site qui se met à bouffer autant de place sur votre disque, ça se remarque vite. Le hic numéro deux, c'est que ce fichier doit être sur le même SSD que le navigateur sinon l'attaque est aveugle.

Les chercheurs ont fait tourner l'attaque complète sur un Mac M2, et démontré que la brique de base fonctionne aussi sous Linux (sans dérouler la classification complète), mais n'ont pas testé Windows. Et surtout, personne n'a encore vu FROST exploité dans la nature.

Perso, je trouve que cette attaque est trop bancale / incertaine pour faire du tracking de masse, en tout cas aujourd'hui...

Pensez donc à fermer les onglets dont vous ne vous servez plus comme ça, y'a moins d'activité à mesurer et pour les plus paranoïaques, vous pouvez toujours vous mettre à surveiller les fichiers OPFS créés par des sites web inconnus. Après comme tout repose sur du JavaScript, bloquer le JS sur les sites pas nets (avec un NoScript ou équivalent) ça coupe aussi l'attaque à la racine.

Les chercheurs proposent aussi aux éditeurs de navigateurs de plafonner la taille de ces fichiers OPFS. Ce serait dans la lignée de ce que fait par exemple Firefox avec le pistage, qui a récemment musclé son anti-fingerprinting .

Bref, pas de panique, personne ne fouille votre SSD en douce mais la technique reste intéressante. Les détails techniques complets sont dans le papier de recherche , qui sera présenté à la conférence DIMVA en juillet. Bonne lecture !

Source


iOS 26 gèle vos appels FaceTime quand il détecte de la nudité, même entre adultes

Thu, 28 May 2026 15:58:39 +0200 - (source)

Attention, votre iPhone vous surveille pendant vos appels FaceTime. Depuis iOS 26, Apple a glissé une fonction baptisée "Sensitive Content Warning" qui scanne en temps réel le flux vidéo et fige automatiquement la communication dès qu'elle détecte de la nudité.

Audio coupé, vidéo coupée, avec un message qui s'affiche : "Audio et vidéo sont en pause car vous montrez peut-être quelque chose de sensible". Sympa.

À la base, la fonctionnalité fait partie d'une suite plus large appelée "Communication Safety", destinée aux comptes enfants. L'idée est légitime : éviter que des mineurs ne tombent sur du contenu inapproprié, ou en envoient.

Sauf que voilà, dans iOS 26, la fonction est aussi accessible sur les comptes adultes. Elle est désactivée par défaut, mais on peut l'activer manuellement. Et plusieurs utilisateurs constatent que les faux positifs ne sont pas rares.

Le principe technique est plutôt rassurant côté vie privée. La détection se fait entièrement sur l'appareil grâce à du machine learning embarqué (les modèles de reconnaissance d'image tournent en local sur votre iPhone, sans envoyer la moindre image à Apple). Du coup, contrairement à ce qu'on pourrait imaginer, Apple n'a aucune idée de ce qui déclenche la détection sur votre téléphone. Le scan ne sort pas de l'appareil.

Le problème, c'est que ce genre de filtre se trompe souvent. Une consultation médicale en visio ? Bloquée. Une conversation entre adultes consentants ? Bloquée aussi. Et chaque interruption nécessite une action manuelle pour reprendre l'appel. Pour les usages légitimes qui ressemblent visuellement à de la "nudité" sans en être, c'est franchement pénible.

Au-delà du bug ou choix de design, la question de fond, c'est le précédent. Apple installe l'idée que votre flux vidéo, même dans un appel chiffré de bout en bout, peut être analysé en permanence par les filtres maison. Aujourd'hui c'est de la nudité. 

Demain, ça pourrait être des armes, des drogues, des contenus politiques selon les pays, ou tout ce que les gouvernements demanderont. La porte est ouverte, et c'est ce qui inquiète une partie des défenseurs de la vie privée. Apple a beau jurer que tout reste en local, l'infrastructure d'analyse est désormais en place sur des centaines de millions d'iPhone.

Vous pouvez désactiver la fonction en allant dans Réglages, puis FaceTime, puis « Avertissement de contenu sensible ». C'est en théorie OFF par défaut, mais autant vérifier. Et si vous l'aviez activée par curiosité, sachez qu'elle peut ruiner un appel important au pire moment.

Source : PC Mag


Un développeur de malware oublie son propre token GitHub dans le code

Thu, 28 May 2026 14:51:36 +0200 - (source)

Voilà qui est rigolo. Un développeur malveillant a essayé de voler les fichiers sensibles des utilisateurs de Claude (l'assistant IA d'Anthropic, concurrent d'OpenAI sur les modèles de langage) en uploadant un package npm piégé.

Sauf que dans son code, il a laissé son propre token d'authentification GitHub privé. Les chercheurs n'ont eu qu'à le récupérer pour remonter jusqu'à lui.

Le package s'appelait mouse5212-super-formatter. Il se présentait comme un utilitaire interne de synchronisation de déploiement, mais en pratique, il scannait le répertoire local de l'utilisateur, encodait tous les fichiers en base64 (un format texte qui permet de transporter des données binaires), puis les uploadait sur un dépôt GitHub contrôlé par l'attaquant via l'API Contents.

La cible : les fichiers laissés par Claude Code (la version en ligne de commande de l'assistant IA d'Anthropic) sur le système, qui peuvent contenir des clés API, des tokens, ou des bouts de code propriétaire.

Le package a fait 676 téléchargements avant d'être supprimé par npm (le registre de packages JavaScript le plus utilisé au monde). C'est limité, mais pas anecdotique. 

Le compte GitHub utilisé pour la campagne a été créé le 26 mai 2026, soit quelques heures seulement avant la première version malveillante. Une opération préparée à la va-vite donc.

La bourde monumentale, c'est donc ce token GitHub privé hardcodé dans le code en fallback, au cas où la variable d'environnement ne soit pas définie.

Du coup, les chercheurs d'OX Security (une boîte spécialisée dans la sécurité des dépendances open-source) ont pu accéder directement au dépôt de l'attaquant, lister tous les fichiers volés, et confirmer l'ampleur de l'opération. C'est le genre d'erreur qu'on pardonne à un débutant sur un projet perso. Pas à quelqu'un qui essaie de monter une campagne d'exfiltration.

Les chercheurs notent aussi que le code a tout l'air d'avoir été pondu par une IA un peu foireuse. Variables mal nommées, structure approximative, gestion d'erreurs incohérente. Bref, du "slop" (terme utilisé pour qualifier les productions IA bâclées) avec toutes les négligences que ça implique. Et ce n'est probablement qu'un avant-goût. Avec la généralisation des assistants IA pour coder, n'importe qui peut désormais bricoler un malware fonctionnel sans rien connaître au développement. Et faire des erreurs de débutant en passant.

En tout cas, ça reste comique. Un attaquant piégé par son propre token. Bonne vanne.

Source : The Hacker News


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles