Autoblog de korben.info

Un affilié du gang Nova, spécialisé dans les rançongiciels (ces logiciels qui chiffrent vos fichiers pour vous réclamer une rançon), a commis la bourde qui restera probablement dans les annales du milieu. Il a verrouillé les serveurs d'Eriell, une grosse société de forage pétrolier dont le siège se trouve en Ouzbékistan et qui garde un bureau à Moscou.

Le souci, c'est la géographie. L'Ouzbékistan fait partie de la CEI, la Communauté des États indépendants, en gros l'ensemble des anciennes républiques soviétiques. Et dans ce métier, on ne s'attaque pas à la CEI. Jamais.

"La première règle du club des rançongiciels, c'est qu'on n'attaque pas les organisations de la CEI, et elle est manifestement toujours valable en 2026", résume Allan Liska, analyste chez Recorded Future, une société spécialisée dans le renseignement sur les cybermenaces.

Eriell n'est pas une PME de quartier. C'est un acteur du forage qui travaille pour le secteur pétrolier et gazier de la région, et son nom avait bien été ajouté fin mai à la liste des victimes publiée sur le site du gang, avant le rétropédalage.

Cette règle n'a rien d'une question de politesse entre voyous. Les groupes qui opèrent depuis la Russie et les ex-républiques soviétiques sont tranquilles tant qu'ils dirigent leurs attaques vers l'Occident, mais le jour où ils s'en prennent à une cible locale, ils risquent de réveiller des autorités qui, jusque-là, fermaient les yeux. Pas d'extradition vers les États-Unis, pas d'ennuis, à condition de rester dans les clous.

En temps normal, le tri se fait tout seul. Une partie de ces logiciels vérifie la langue du clavier avant de s'installer, et s'ils détectent du cyrillique, ils s'effacent d'eux-mêmes plutôt que de risquer une cible russophone. L'astuce est tellement connue que des chercheurs en sécurité conseillent, à moitié sérieusement, d'installer un clavier russe sur sa machine pour passer sous le radar de ces logiciels. Là, le garde-fou a visiblement sauté.

Plus drôle encore, c'est Eriell qui a contacté Nova pour signaler l'erreur. Le gang, connu jusqu'à récemment sous le nom de RALord, fonctionne comme une franchise: les développeurs louent leur logiciel à des "affiliés" qui mènent les attaques sur le terrain et partagent ensuite le butin. Le reste du temps, Nova frappe sans état d'âme des cibles un peu partout dans le monde.

Et la suite vaut le détour. Nova a publié des excuses officielles, promis d'aider Eriell à tout remettre en état gratuitement, assuré qu'aucun fichier n'avait été chiffré et juré qu'aucune des données volées ne fuiterait. Quant à l'affilié maladroit, il a tout simplement été banni de l'opération.

Des cybercriminels qui dégainent des excuses publiques et un service après-vente, on ne voit pas ça tous les jours.

Source : The Register

Microsoft a présenté le 2 juin, pendant sa conférence développeurs Build 2026, une version expérimentale de son terminal baptisée Intelligent Terminal 0.1, un logiciel open source publié sous licence MIT qui intègre directement des assistants IA dans la fenêtre où l'on tape des commandes.

Pour situer le truc si vous êtes vraiment très noob, le terminal c'est cette interface en texte que les développeurs et les administrateurs système utilisent au quotidien pour lancer des commandes, compiler du code ou piloter un serveur à distance. Microsoft propose déjà Windows Terminal depuis des années, et Intelligent Terminal en est une déclinaison distincte, pas un remplacement.

L'élément central, c'est l'agent pane, un panneau ancré sur le côté de la fenêtre qui joue le rôle de copilote. Il lit en permanence ce qui s'affiche dans votre terminal, et quand une commande échoue, il détecte l'erreur et vous propose une explication ou un correctif.

Vous pouvez choisir de recevoir une simple notification dans la barre d'état, ou laisser l'assistant appliquer directement ses corrections selon la configuration que vous avez définie.

Il y a aussi une astuce intégrée à la palette de commandes : tapez un point d'interrogation suivi de votre demande, et l'outil lance une tâche en arrière-plan dans un onglet dédié, sans bloquer la session en cours. Pratique quand on veut déléguer une opération longue sans interrompre son travail.

Côté assistants, Microsoft a fait un choix ouvert. Par défaut, c'est GitHub Copilot CLI, l'assistant maison qui fonctionne en ligne de commande. Mais Intelligent Terminal accepte n'importe quel agent compatible avec l'Agent Client Protocol (ACP), une norme qui permet à différents assistants IA de venir se brancher sur le même outil.

Vous pouvez donc passer par Claude Code, l'assistant de codage signé Anthropic, le concurrent d'OpenAI, ou par Codex, l'équivalent maison d'OpenAI, à la place de la solution de Microsoft. C'est suffisamment rare chez l'éditeur de Windows pour être signalé.

Le logiciel s'installe depuis le Microsoft Store ou via la commande winget install Microsoft.IntelligentTerminal, et il se pose à côté de Windows Terminal sans le remplacer. Microsoft précise que si vous ne voulez pas d'IA dans votre terminal habituel, rien ne change pour vous.

Il y a quand même un détail qui coince, et c'est Phoronix, le site spécialisé dans l'actualité Linux, qui le relève : malgré son code ouvert publié sous licence MIT, Intelligent Terminal ne tourne pour le moment que sous Windows.

On parle aussi d'une version 0.1 estampillée expérimentale, ce qui annonce des bugs et des changements à venir avant une éventuelle version stable.

Bref, un terminal open source qui laisse l'utilisateur choisir son IA au lieu d'imposer la sienne, c'est un geste plutôt bien pensé de la part de Microsoft.

Source : Phoronix

Tout se joue dans une conversation polie avec l'assistant IA du support de Meta, le robot conversationnel censé dépanner les utilisateurs quand ils ont un souci avec leur compte.

Le principe tient en quelques étapes. Le pirate se connecte d'abord via un VPN, un outil qui maquille sa localisation, pour faire croire qu'il se trouve dans la ville de sa victime et ne pas déclencher les protections automatiques d'Instagram.

Ensuite, il ouvre une discussion avec le Meta AI Support Assistant et lui demande tout bonnement d'ajouter une nouvelle adresse e-mail au compte ciblé.

Le robot envoie alors un code de vérification vers l'adresse fournie par le pirate. Celui-ci renvoie le code au chatbot, qui affiche aussitôt un bouton pour réinitialiser le mot de passe. Nouveau mot de passe, et le compte change de mains.

Le plus dingue, c'est qu'à aucun moment l'attaquant n'a eu besoin de toucher à la vraie boîte mail de la victime. Pas de phishing élaboré, pas de faux site à monter, pas de malware à glisser. Le support officiel faisait tout le travail à sa place.

Côté victimes, ça pique. Le compte de la Maison-Blanche de l'ère Obama, inactif depuis 2017, celui du sergent-chef de l'US Space Force John Bentivegna, ou encore celui de la chercheuse en sécurité Jane Wong, qui a raconté s'être fait voler le sien. S'ajoutent plusieurs comptes aux pseudos très courts, ceux qui se revendent cher au marché noir, dont la valeur cumulée dépasserait le demi-million de dollars.

L'attaque a été mise en scène dans une vidéo de démonstration, publiée fin mai sur Telegram par un groupe de pirates pro-iraniens, avec un mode d'emploi qui a tranquillement circulé sur plusieurs canaux.

Heureusement, il y a un garde-fou. L'exploit ne marche pas contre les comptes protégés par une authentification à deux facteurs, ce deuxième code demandé en plus du mot de passe, souvent reçu par SMS. Même la version la plus basique de cette protection suffisait à bloquer les pirates net.

Chez Meta, le porte-parole Andy Stone affirme que le problème est réglé et que les comptes touchés sont en train d'être sécurisés. Un correctif d'urgence a été déployé , et l'entreprise précise qu'aucune base de données interne n'a été piratée. Le trou était dans le chatbot, pas dans les serveurs.

Reste le fond du problème. Pour Ian Goldin, chercheur en cybersécurité chez Black Lotus Labs, ces assistants IA ouvrent une toute nouvelle surface d'attaque, et on va sûrement en voir beaucoup d'autres du même genre dans les mois qui viennent.

Bref, un chatbot conçu pour rendre service qui finit par surtout servir les pirates, c'est le genre de bug qu'on n'avait pas avec un bon vieux formulaire.

Source : ARS Technica

Neuf failles de sécurité viennent d'être corrigées d'un coup sur le serveur X.Org, le vieux logiciel qui dessine les fenêtres, gère la souris et le clavier sur une grande partie des machines Linux. Et le plus marquant, c'est qui les a trouvées.

Huit des neuf ont été repérées par une intelligence artificielle. Plus précisément par TrendAI, l'outil maison du programme de chasse aux bugs de l'éditeur de sécurité Trend Micro, la Zero Day Initiative, qui rémunère depuis des années la découverte de failles. La neuvième, elle, a été dénichée à l'ancienne par Peter Hutterer, un développeur de Red Hat qui travaille sur la gestion clavier et souris de X.Org depuis bien longtemps.

Dans le lot, on retrouve surtout deux familles de problèmes bien connues. Des dépassements de mémoire tampon d'abord, où le programme écrit plus de données que prévu dans une case mémoire et le surplus déborde sur le code voisin. Et des "use-after-free" ensuite.

Ce dernier type est vicieux : le logiciel continue d'utiliser un bout de mémoire qu'il a pourtant déjà rendu au système, ce qui permet à un attaquant de glisser son propre code à la place. Trois des neuf failles tombent dans cette catégorie, planquées dans le composant qui synchronise l'affichage.

Le reste touche un peu partout : la gestion du clavier, les alias de polices, la couche graphique 3D, l'économiseur d'écran et le sous-système qui parle directement à la carte graphique, autant de morceaux qu'un programme malveillant déjà présent sur la machine pourrait détourner pour s'octroyer plus de droits que prévu ou aller lire de la mémoire qui ne le regarde pas.

Les correctifs sont déjà là. X.Org a sorti du coup les versions 21.1.23 du serveur et 24.1.12 de XWayland, la passerelle qui fait tourner les vieilles applications X.Org sur les bureaux Wayland modernes. Si vous êtes sur Linux, la mise à jour s'impose.

Côté historique, ça fait plus de dix ans que la sécurité de X.Org traîne une sale réputation. Un chercheur avait résumé l'affaire d'une formule restée célèbre : c'est pire que ça en a l'air. Le code est vieux, tentaculaire, et personne n'a vraiment envie de le réécrire.

Ce qui change cette fois, c'est la méthode. Lâcher une IA sur une base de code aussi ancienne, c'est un peu comme passer un détecteur de métaux sur une plage que personne n'a jamais ratissée : elle remonte des objets que plus personne n'avait le courage d'aller chercher à la main. Et X.Org n'est pas un cas isolé, le noyau Linux voit lui aussi défiler les failles à bon rythme.

Bref, si les IA se mettent à éplucher tout le vieux code de l'open-source, on n'a pas fini d'en voir passer cet été. Tant mieux qu'elles soient dans notre camp.

Source : Phoronix

Je suis trop content parce qu'avec son nouveau SDK pour extensions , Ableton nous permet enfin d'écrire nos propres outils pour son DAW Live en JavaScript. L'intérêt c'est que ces extensions peuvent lire et modifier vos Sets : pistes, clips, notes MIDI, paramètres, automations... et comme ça votre projet se transforme en un truc qu'on peut trafiquer avec du code (et donc avec de l'IA car ça repose sur des technos web standard ^^ niark niark).

En pratique, une extension peut renommer tous vos clips d'un coup, transformer une photo en mélodie MIDI, découper un beat tout seul, ou carrément faire tourner un petit jeu dans Live. Vous faites un clic droit dans le Set, ça s'exécute, et hop, c'est plié !

Par contre, ça ne remplace pas Max for Live puisque Max tourne en temps réel en agissant sur le son des synthés et des effets alors que les Extensions, elles, se lancent d'un clic droit, font leur boulot, puis s'arrêtent. Ce n'est donc pas du temps réel. C'est juste fait pour automatiser et bidouiller la structure d'un projet mais c'est ce qui fait que les deux se complètent bien.

Screenshot

Pour vous lancer, il faut Node.js, être à l'aise avec le terminal, et toute la doc est sur GitHub . Ableton a même sorti une vidéo qui montre comment créer sa première extension de bout en bout.

J'ai testé en le branchant avec Claude Code, et je lui ai demandé de me faire un morceau french electro du thème d'Indiana Jones et voilà ce que ça m'a sorti from scratch (j'ai juste mis un kit rock pour les drums car sinon, y'avait pas de son sur la piste) :

Maintenant, c'est réservé à Live 12 Suite (Beta), soit le haut de gamme du logiciel, donc sur Standard ou Intro, c'est mort. Ensuite c'est de la bêta, donc c'est pas encore 100% complet... Et n'oubliez pas que c'est du JavaScript tiers qui s'exécute dans Live avec un accès à votre projet, donc ça peut toujours faire des dégâts. Évitez donc d'installer un truc random trouvé sur Discord, car ce serait un peu comme quand vous lanciez des VBScript reçus par mail à la grande époque de Windows 98. Surtout que du code pondu par une IA peut aussi cacher quelques saloperies sans que ça se voie, donc vérifiez toujours d'où ça vient et lisez le code.

Quoi qu'il en soit, si vous êtes sur Live 12 Suite, foncez tester et surtout amusez-vous bien !

Shai-Hulud : un ver vole les identifiants planqué dans des paquets Red Hat

Tue, 02 Jun 2026 17:14:49 +0200 - (source)

Du code piégé glissé dans des paquets signés Red Hat, et téléchargé environ 80 000 fois par semaine. C'est le bilan d'une attaque repérée le 1er juin.

Pour bien saisir, il faut d'abord savoir ce qu'est npm. C'est l'immense bibliothèque où les développeurs JavaScript piochent des briques de code toutes prêtes plutôt que de tout réécrire. Des millions de projets en dépendent au quotidien.

Et c'est exactement là qu'un malware s'est faufilé. Plusieurs dizaines de paquets publiés sous le nom de Red Hat (l'éditeur du système Linux du même nom, racheté par IBM) ont été infectés par un ver, c'est-à-dire un logiciel malveillant capable de se propager tout seul d'une machine à l'autre.

Le ver s'appelle "Miasma", une variante du tristement célèbre Shai-Hulud, du nom des vers géants du film Dune. Cette fois les pirates ont troqué les clins d'œil à Dune contre de la mythologie grecque, mais le principe ne change pas.

Son fonctionnement est vicieux. Le code malveillant se déclenche via un "preinstall hook", un petit script qui s'exécute automatiquement dès qu'on installe le paquet, avant même que le développeur n'ait touché à la moindre ligne. Pas besoin d'ouvrir quoi que ce soit, l'infection est immédiate.

Une fois en place, il fait les poches de la machine. Clés d'accès aux clouds d'Amazon, Google et Microsoft, jetons Kubernetes et Vault, clés SSH, tokens npm... bref, tout ce qui permet de se connecter ailleurs et de continuer à se répandre.

Et c'est tout l'intérêt d'un ver pour un pirate. Avec un jeton npm volé, le malware peut republier d'autres paquets vérolés au nom de leurs vrais propriétaires, qui contamineront à leur tour de nouvelles machines. La chaîne s'auto-alimente.

D'après les chercheurs de Wiz (la filiale sécurité de Google) et de Socket, qui ont levé le lièvre, le tout remonte au compte GitHub piraté d'un employé de Red Hat. Socket a compté de son côté une trentaine de paquets touchés et près d'une centaine de versions vérolées. Les paquets ont été publiés via la chaîne de production automatisée de l'entreprise, pas via un simple mot de passe volé, ce qui rend l'attaque encore plus difficile à repérer.

Red Hat a réagi vite et retiré les paquets de npm. La boîte précise que ce code n'a jamais été destiné à ses clients et qu'il s'agissait d'outils internes, sans impact connu sur ses systèmes en production.

Le coupable, lui, est encore inconnu. Le groupe TeamPCP avait publié le code source de ce ver en accès libre, du coup impossible de dire si ce sont eux ou un imitateur qui sont derrière l'attaque.

Ce qui est fou, c'est moins cette attaque que sa facilité de copie. Hélas, des vers open source qui se dupliquent, on n'a clairement pas fini d'en voir passer.

Source : The Register

Des mathématiciens ont calculé Pi avec des monstres de Minecraft, sans écrire une seule ligne de code

Tue, 02 Jun 2026 14:17:29 +0200 - (source)

Molly Lynch, de l'université Hollins, et Michael Weselcouch, du Roanoke College, deux profs de maths américains, ont eu une idée que personne n'avait osé tenter : estimer la valeur de Pi en lâchant des monstres dans Minecraft, sans programmer quoi que ce soit, juste en exploitant les règles du jeu.

Tout part d'une vieille technique de probabilités appelée méthode de Monte-Carlo, qu'on surnomme aussi la méthode des fléchettes. Imaginez un carré avec un cercle dessiné dedans, qui touche les bords. Vous lancez des fléchettes au hasard sur le carré. La proportion de fléchettes qui tombent dans le cercle, comparée au total, vaut environ Pi divisé par quatre. Vous multipliez par quatre, et vous obtenez une approximation de Pi.

Sauf qu'ici, pas de fléchettes. Les fléchettes, ce sont les slimes, ces créatures cubiques et gélatineuses de Minecraft qui se baladent au hasard, même quand aucun joueur ne les regarde.

Le duo a construit un cercle avec des blocs rouges, d'un rayon de 11 blocs, le tout enfermé dans un carré de blocs bleus. Au sol, des entonnoirs (des "hoppers" dans le jeu) récupèrent automatiquement tout ce qui tombe.

Ensuite, il a fallu un bourreau. Ce rôle revient aux zoglins, des bestioles programmées pour attaquer les slimes à vue. Chaque fois qu'un zoglin tue un slime à l'intérieur du cercle rouge, l'objet lâché par la victime atterrit dans les entonnoirs.

Il suffit alors de comparer le nombre d'objets récoltés dans le cercle au nombre total d'objets récoltés partout. Ce rapport, multiplié par quatre, donne Pi. Les monstres font tout le boulot, et le hasard de leurs déplacements remplace le générateur aléatoire d'un ordinateur.

Sur un essai, 619 slimes ont été tués, dont 508 à l'intérieur du cercle. Quatre fois 508 sur 619, ça donne environ 3,283. La vraie valeur de Pi tourne autour de 3,14159, donc on est encore loin du compte.

Mais c'est normal. La méthode de Monte-Carlo devient plus précise quand on multiplie les tirages. Pour s'approcher du vrai Pi, il faudrait agrandir le cercle et envoyer beaucoup plus de slimes au massacre. C'est lent, c'est inefficace, et ça n'a jamais été le but.

Le but, c'est de montrer les maths autrement. Lynch et Weselcouch visent les jeunes, ceux qui décrochent devant une formule au tableau mais qui passent leurs soirées sur Minecraft. Là, d'un coup, une notion abstraite vue en cours devient un truc qu'on peut regarder fonctionner sous ses yeux.

Franchement, calculer Pi en regardant des monstres s'entretuer dans un cube, c'est la plus belle excuse que j'aie vue pour rester devant un jeu vidéo.

Source : Techspot

Un ingénieur de Netflix crée une appli pour alléger ses factures d'IA, puis l'ouvre à tout le monde

Tue, 02 Jun 2026 09:19:57 +0200 - (source)

Tejas Chopra, ingénieur senior chez Netflix, a bricolé un petit logiciel appelé Headroom qui s'attaque à un poste de dépense devenu douloureux dans toutes les boîtes qui carburent à l'IA : la facture en tokens, ces unités que les modèles de langage facturent au passage et qui correspondent en gros à des morceaux de mots.

Son constat de départ est sévère. Près de 90% de ce qu'on balance à un grand modèle de langage, le type d'IA qui fait tourner ChatGPT, serait selon lui de la redondance pure, du remplissage que la machine paie au prix fort sans en tirer la moindre valeur.

Headroom s'installe comme un proxy, c'est-à-dire un intermédiaire qui se glisse entre votre machine et l'IA, et il tourne en local sur le port 8787. Avant que la moindre requête ne file vers le modèle, il intercepte tout ce qui gonfle le contexte, l'historique de conversation, les logs (les journaux d'activité techniques de la machine), les sorties d'outils, les bouts de documentation que le système a jugés utiles, et il compresse l'ensemble.

Un routeur devine d'abord le type de contenu, puis l'envoie vers le bon compresseur. Du code part vers un module qui le réduit à sa structure logique, son arbre syntaxique si vous voulez. Le JSON et le HTML, eux, passent à la moulinette pour virer tout le code de remplissage répétitif.

Et si le modèle réclame finalement la version complète ? Headroom garde les originaux de côté dans une petite base locale, Redis ou SQLite, et laisse l'IA aller les rechercher à la demande grâce à des marqueurs et au protocole MCP, ce standard récent qui permet à un modèle d'appeler des outils extérieurs tout seul.

Les taux de compression dépendent de la matière. Les logs serveur fondent de 90%. Les sorties d'outils MCP, bourrées de JSON répétitif, perdent à peu près 70%.

Présenté la semaine dernière à l'Open Source Summit, Headroom aurait déjà épargné quelque 700 000 dollars à ses utilisateurs, soit 200 milliards de tokens récupérés pour servir ailleurs.

Le projet reste officieux. Plusieurs équipes de Netflix s'en servent, mais ce n'est pas un produit maison estampillé par le studio.

À noter que Chopra a une explication assez simple à ce succès : beaucoup de ses utilisateurs sont des gens qui se sont fait sérieusement échauder par le coût des tokens, plus que par n'importe quoi d'autre.

Voir un ingénieur régler son propre problème de facture puis filer la solution gratuitement, plutôt que d'en faire une startup, c'est suffisamment rare pour qu'on le souligne.

Source : The Register

< Older

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles