Autoblog de korben.info

Ce site n'est pas le site officiel de korben.info
C'est un blog automatisé qui réplique les articles de korben.info

Vous vous souvenez du web d'avant ?

Thu, 02 Oct 2025 17:39:02 +0200 - (source)

Mais siiii, celui où on cliquait sur un lien et hop, la page s’affichait. Sans popup de cookies, sans overlay “Abonnez-vous à notre newsletter”, sans ce message agaçant “Désactivez votre bloqueur de pub pour continuer” ou “Abonnez-vous pour lire cet article”. Bref, l’époque bénie où internet était juste… internet.

Le RGPD devait nous sauver de la surveillance mais le résultat c’est qu’on passe notre vie à cliquer sur des bouton “Tout refuser” ou à chercher le bouton caché derrière 47 onglets de paramètres. L’enfer est pavé de bonnes intentions réglementaires, il parait… Mais heureusement, des extensions comme PopUpOFF existent pour réparer ce que cette loi a cassé.

Ce que fait cette extension pour Chrome et Firefox, c’est virer les popups, les overlays, les bannières de cookies et toutes ces merdes qui transforment la navigation en parcours du combattant. RomanistHere, le dev derrière le projet, a créé ça tout seul dans son coin et son extension est dispo en open-source sur GitHub .

PopUpOFF propose donc 3 modes de blocage : agressif, modéré et délicat. Le mode agressif, c’est le rouleau compresseur… il dégomme tout ce qui bouge. C’est super pratique quand vous êtes pressé.

Le mode modéré quant à lui fait le tri entre les popups légitimes (genre, celles de votre banque) et les overlays parasites. Et le mode délicat, lui, intervient uniquement quand vous le décidez manuellement.

Ainsi, vous gardez le contrôle total, ce qui change des extensions qui décident de tout ça à votre place.

Alors bien sûr, tout n’est pas parfait et l’extension peut parfois rater des overlays invisibles ou péter l’affichage de certains sites, notamment les PWA (Progressive Web Apps), mais pour 90% des cas d’usage, ça fait le job impeccable.

À l’opposé des mastodontes type Ghostery ou uBlock Origin (qui sont excellents, ne me faites pas dire ce que je n’ai pas dit…), RomanistHere a misé sur le minimalisme radical. Pas de filtres à mettre à jour toutes les semaines, pas de liste de 50 000 domaines à bloquer, pas de consommation RAM de malade. Non, c’est juste un script intelligent qui détecte les patterns d’overlays et les neutralise.

Notez qu’en bonus, l’extension peut parfois débloquer du contenu payant sur certains sites qui utilisent des overlays pour bloquer la lecture. Ce n’est pas son objectif principal, mais vu que beaucoup de paywalls reposent sur des overlays CSS basiques, bah… PopUpOFF les vire aussi. Je dis pas que vous devriez l’utiliser pour contourner les abonnements (soutenez vos médias préférés, toussa toussa), mais sachez que techniquement, ça peut arriver.

À noter que PopUpOFF n’est pas seul sur ce créneau. Il y a aussi “ I Don’t Care About Cookies ” (racheté par Avast, ce qui a refroidi pas mal de gens), ou encore la fonction “ Never-Consent ” de Ghostery qui auto-rejette les cookies via les CMP (Consent Management Platforms). Ces alternatives ont chacune leurs forces, mais PopUpOFF reste le champion du rapport efficacité/poids.

Bref, si vous en avez marre de perdre 15 secondes par page à fermer des popups de merde, PopUpOFF mérite clairement sa place dans votre navigateur. C’est léger, c’est open-source, c’est gratuit, et ça fait exactement ce qu’on lui demande…


Il refait un ChatGPT avec de la redstone Minecraft

Thu, 02 Oct 2025 16:10:57 +0200 - (source)

Vous ne trouvez pas que ChatGPT met un peu de temps à répondre parfois ? Et bien imaginez maintenant devoir attendre 2 heures pour obtenir une réponse de 3 mots. Bienvenue dans le monde de CraftGPT, le ChatGPT entièrement construit en redstone Minecraft par un gars du nom de sammyuri !

Ce dernier a créé un vrai modèle de langage avec 5 087 280 paramètres, construit UNIQUEMENT avec de la redstone. Pas de command blocks. Pas de datapacks. Et pas de mods. Juste de la redstone pure et dure, comme à l’ancienne.

Il a pris un dataset d’entraînement (TinyChat, des conversations basiques en anglais), l’a entraîné en Python comme n’importe quel modèle de langage normal, puis a RECRÉÉ toute l’architecture du modèle dans Minecraft. Un modèle avec 6 couches, 1920 tokens de vocabulaire, une dimension d’embedding de 240, et une fenêtre de contexte de 64 tokens. C’est petit mais assez pour des conversations très courtes.

Et le résultat, c’est une cathédrale de redstone qui occupe un volume de 1020 x 260 x 1656 blocs. Soit 439 millions de blocs au total. C’est tellement gigantesque qu’il a dû utiliser le mod Distant Horizons juste pour filmer l’ensemble, ce qui fait que les composants lointains ont l’air un peu bizarres dans la vidéo parce qu’ils sont rendus avec moins de détails.

Mais ce qui est génial ici, c’est pas vraiment l’exploit technique en lui-même. Enfin si, c’est impressionnant, mais c’est surtout ce que ça nous dit sur la nature même du calcul et de l’intelligence artificielle. Parce qu’en réalité, ce que sammyuri vient de prouver c’est qu’on peut faire de l’IA avec N’IMPORTE QUOI. Des cailloux virtuels dans un jeu vidéo, des dominos, de l’eau, peu importe. Tant que vous avez un système Turing-complet, vous pouvez faire tourner un modèle de langage.

Cela veut dire que l’intelligence artificielle, au final, c’est juste de la logique. Ce sont juste des calculs. Des additions, des multiplications, des comparaisons et cela peu importe le support technique. Qu’on utilise du silicium ultra-rapide ou des torches de redstone qui s’allument et s’éteignent dans un monde cubique, le principe reste le même.

Bon, après, c’est lent car même en utilisant MCHPRS (Minecraft High Performance Redstone Server) qui accélère le jeu à 40 000 fois la vitesse normale, CraftGPT met environ 2 heures pour générer une réponse. Sans cette accélération, ça pourrait prendre jusqu’à 10 ans. Dix ans pour une phrase de quelques mots.

Et dire qu’on râle quand ChatGPT met 3 secondes à répondre, alors qu’on a dans nos poches une puissance de calcul qui aurait fait pleurer de joie Alan Turing…

Sinon, histoire de rentrer un peu plus dans le détail, sammyuri a dû faire face aux mêmes problématiques que les chercheurs en IA d’aujourd’hui. Pour faire rentrer son modèle dans Minecraft, il a dû quantifier la plupart des poids à 8 bits. Les poids d’embedding et de LayerNorm sont stockés à 18 et 24 bits respectivement, mais le gros du modèle est compressé. C’est exactement le même débat qu’actuellement sur l’optimisation des LLMs pour les faire tourner sur des machines moins puissantes.

Et le meilleur dans tout ça c’est que le gars a tout mis en open source sur GitHub . Vous pouvez donc télécharger le monde Minecraft (version Vanilla 1.20.4 ou version MCHPRS), récupérer l’émulateur, les poids du modèle, et le guide pour le faire tourner.

Voilà… Encore un chouette projet inutile, certes mais qui nous permet de nous reconnecter aux fondamentaux pour mieux comprendre les technologies du moment.

Tout est sur ce repo CraftGPT de sammyuri .

Source


Quand le set LEGO Game Boy prend vie

Thu, 02 Oct 2025 14:32:21 +0200 - (source)

J’espère que votre semaine se passe bien. Moi c’est la course comme d’hab… Mais je viens de tomber sur un truc que j’ai trouvé super cool et je ne résiste pas à l’envie de partager ça avec vous. Vous avez vu le nouveau set LEGO Game Boy officiel (lien affilié) qui vient de sortir ? 421 pièces, une soixantaines d’euros, une réplique à l’échelle 1:1 avec des cartouches Link’s Awakening et Super Mario Land faits de briques… C’est joli, c’est nostalgique, mais ça ne fait strictement rien. C’est juste décoratif.

Et bien selon The Verge , une moddeuse australienne du nom de Natalie the Nerd a trouvé ça carrément abusé, alors elle a fait ce que ferait n’importe quel geek qui se respecte : elle l’a transformé en vraie console Game Boy fonctionnelle. Et attention, je ne vous parle pas d’un vulgaire Raspberry Pi Zero planqué dedans avec un émulateur. Non, non, non, elle y a mis des vrais morceaux de Game Boy, avec de VRAIES cartouches qui tournent, ainsi qu’un circuit imprimé qu’elle a conçu elle-même.

Bah oui, pourquoi faire simple quand on peut faire compliqué ?

Pour arriver à ses fins, elle a dû miniaturiser toute la logique d’une Game Boy sur un PCB de la taille d’un timbre-poste. Elle a installé l’écran le plus petit du marché (ce qui l’a obligée à retirer quelques briques LEGO au passage), passé un port USB-C pour l’alimentation, et même prévu des boutons totalement fonctionnels.

D’ailleurs, en août dernier, Natalie avait fait aussi le buzz avec une Game Boy Color entièrement transparente , circuit imprimé inclus. Elle a conçu un PCB en matériau acrylique transparent où on voit tous les fils de cuivre flotter dans le vide. Super beau, super technique, mais elle-même disait que c’était juste un projet artistique pour montrer son travail, et pas quelque chose de très pratique.

Elle a même fondé le Modded Gameboy Club , une communauté avec un Discord et un Wiki où les gens partagent leurs tutos pour réparer, modifier, upgrader leurs vieilles consoles Nintendo. Elle vend aussi des composants de seconde main pour les modders et partage ses designs de circuits en open source.

Et bonne nouvelle pour ceux qui voudraient reproduire sa version fonctionnelle de la LEGO Game Boy puisqu’elle a annoncé qu’elle publierait les schémas et les plans une fois qu’elle serait satisfaite du résultat final. Donc si vous avez des compétences en soudure et que l’idée de fabriquer un PCB custom ne vous fait pas peur, vous pourrez bientôt tenter l’aventure.

En tout cas, moi je trouve ça trop super méga génial !


Vous vous êtes déjà demandé d’où venaient tous ces SMS bidons qui vous disent “Bonjour c’est le coursier…” ou vous demande “Est ce que vous êtes chez vous " ? En gros, ces messages de smishing (phishing par SMS) qui polluent nos téléphones tous les jours ?

Et bien figurez-vous que dans beaucoup de cas, ils viennent de petits routeurs cellulaires industriels planqués dans des placards à balais. Ce sont des trucs conçus à la base pour connecter des feux de circulation ou des compteurs électriques à Internet, qui sont détournés par des escrocs pour balancer des milliards de SMS frauduleux.

Selon Sekoia , la boîte de cybersécurité française qui a mené l’enquête, c’est en analysant des traces réseau suspectes dans leurs honeypots qu’ils sont tombés sur ce système. En creusant un peu, ils ont découvert comme ça plus de 18 000 routeurs cellulaires Milesight accessibles sur Internet, dont au moins 572 d’entre eux qui permettaient à n’importe qui de se connecter à leurs interfaces d’admin sans authentification. Bref, la porte grande ouverte…

Ces routeurs, fabriqués par Milesight IoT , c’est du matériel industriel costaud. Ce sont des boîtiers 3G/4G/5G qui servent normalement à connecter des équipements à distance, genre des capteurs ou des systèmes de contrôle. Ils sont équipés de cartes SIM et peuvent être contrôlés par SMS, scripts Python ou via interfaces web. Du coup, pour un attaquant, c’est le jackpot car une fois qu’il met la main dessus, il peut envoyer des SMS en masse sans se faire choper.

Les chercheurs de Sekoia ont alors envoyé des requêtes aux API non protégées de ces routeurs et ont récupéré le contenu des boîtes de réception et d’envoi de SMS. Et là, surprise, ils ont trouvé des campagnes de smishing qui dataient d’octobre 2023. Les messages visaient principalement des numéros en Suède, en Belgique et en Italie. Les textos envoyés demandaient aux gens de se connecter à des services gouvernementaux bidon pour “vérifier leur identité”, avec des liens qui menaient vers des sites frauduleux récupérant les identifiants.

Rien qu’en analysant les SMS, on dénombre de 42 044 numéros suédois uniques et 31 353 numéros italiens ciblés dans des campagnes de masse lancées simultanément. La Belgique serait même le pays le plus touché, avec plusieurs campagnes observées entre novembre 2022 et juillet 2025.

Alors comment ces routeurs se sont-ils retrouvés compromis ?

Et bien c’est pas encore totalement clair. Une première piste, c’est la CVE-2023-43261 , une vulnérabilité corrigée en 2023 avec la version 35.3.0.7 du firmware. En gros, il s’agit d’une mauvaise config qui rendait les fichiers de stockage du routeur publiquement accessibles via l’interface web. Pire encore, certains de ces fichiers contenaient les mots de passe chiffrés des comptes admin, mais aussi la clé de chiffrement et le vecteur d’initialisation pour les déchiffrer. Donc autant dire que c’était cadeau pour les cybercriminels.

Selon le chercheur Bipin Jitiya , qui a découvert cette faille, un attaquant pouvait récupérer le mot de passe en clair et prendre le contrôle total du routeur. À noter que la majorité des 572 routeurs identifiés comme non sécurisés tournaient avec des versions de firmware 32 ou antérieures, donc ultra-vulnérables.

Mais attention, l’histoire se complique. Les chercheurs de Sekoia ont trouvé des incohérences avec cette théorie. Par exemple, un cookie d’authentification trouvé sur un routeur piraté ne pouvait pas être déchiffré avec la clé et le vecteur d’initialisation décrits dans l’article de Jitiya. Et puis, certains routeurs utilisés abusivement dans les campagnes de smishing tournaient avec des versions de firmware qui n’étaient pas sensibles à la CVE-2023-43261.

Du coup, il y a probablement d’autres méthodes d’exploitation en jeu.

Les sites de phishing eux-mêmes étaient assez bien foutus. Ils utilisaient du JavaScript pour ne délivrer du contenu malveillant que si vous accédiez au site depuis un téléphone mobile. Un autre site désactivait carrément le clic droit et les outils de débogage du navigateur. Bref, des techniques pour compliquer l’analyse et le reverse engineering.

Certains de ces sites loggaient aussi les interactions des visiteurs via un bot Telegram appelé “GroozaBot”. Ce bot serait opéré par un acteur nommé “Gro_oza”, qui semble parler arabe et français. De plus, les artefacts JavaScript trouvés font référence à “Grooza”, ce qui suggère une continuité entre l’infrastructure, les outils et l’identité de l’opérateur.

Mais surtout, ce qui est dingue avec cette histoire, c’est que c’est un vecteur d’attaque relativement simple mais très efficace. Ces routeurs permettent en effet une distribution décentralisée de SMS dans plein de pays différents, ce qui complique énormément la détection et la suppression des campagnes. Les chercheurs estiment qu’il est d’ailleurs très probable que d’autres équipements similaires soient déjà exploités dans des campagnes en cours ou à venir.

Bref, on n’est pas vraiment plus avancé, mais voilà, la prochaine fois que vous recevrez un SMS chelou qui vous demande de confirmer vos infos, pensez à ces petits boîtiers oubliés dans des placards techniques, qui bossent tranquillement pour arnaquer des milliers de personnes chaque jour.

Et si vous gérez ce genre de matériel dans votre job, pensez à mettre à jour le firmware et à sécuriser les interfaces, parce que là, visiblement c’est vraiment trop facile pour les pirates…

Source


Je vous ai déjà parlé de Maigret, de Sherlock , de Holehe ou de Toutatis … Mais si vous n’avez pas pris le temps de tester tout ça, ce n’est pas grave car vous allez pouvoir tous les essayer et faire votre meilleur OSINT grâce à OSINT.rocks .

OSINT.rocks est un site qui rassemble les outils d’investigation les plus puissants directement dans votre navigateur. Plus besoin d’installer Python, de configurer des environnements virtuels ou de galérer avec des dépendances. Vous ouvrez votre navigateur, vous tapez l’URL du site, et vous avez accès à une batterie d’outils prêts à l’emploi.

OSINT.rocks centralise tout. Vous avez Sherlock pour traquer les comptes utilisateurs sur les réseaux sociaux, Holehe pour découvrir où une adresse email est enregistrée, Hudson Rock pour vérifier si un email a été compromis par un info stealer, GHunt pour investiguer sur Google, et Maigret qui collecte un dossier complet sur une personne uniquement à partir d’un nom d’utilisateur.

La plateforme propose aussi des outils pour les numéros de téléphone et les recherches WHOIS. Vous entrez un numéro, vous obtenez des informations géolocalisées. Et si vous cherchez des détails sur un domaine, vous avez les enregistrements disponibles. Tout est centralisé, tout est rapide.

Comme ça, un journaliste qui enquête sur quelqu’un peut vérifier rapidement l’empreinte numérique d’une personne, un recruteur peut vérifier les informations d’un candidat, un chercheur en sécurité peut analyser l’exposition d’une cible ou un particulier peut vérifier ce qui traîne sur lui en ligne. L’OSINT, c’est utile dans plein de contextes !

Bref, si vous voulez tester Sherlock, Maigret, Holehe ou Hudson Rock sans vous prendre la tête avec l’installation, OSINT.rocks fait le job. Et si vous voulez aller encore plus loin, j’ai trouvé également une superbe boite à outils OSINT ici .


Cet article fait partie de ma série spéciale hackers . Bonne lecture !

Vous connaissez APT27, Winnti, Mustang Panda… Ces groupes de cyberespionnage chinois qui font régulièrement les gros titres. Mais il y en a un dont vous n’avez probablement jamais entendu parler. Et c’est justement ça qui le rend flippant : Phantom Taurus.

Pendant deux ans et demi, ce groupe fantôme s’est infiltré dans les ministères des affaires étrangères, les ambassades et les réseaux de télécommunications à travers l’Afrique, le Moyen-Orient et l’Asie. Personne ne s’en est rendu compte avant le 30 septembre 2025, quand les chercheurs de l’ Unit 42 de Palo Alto Networks ont levé le voile sur cette opération d’espionnage de très haut niveau.

7 décembre 2022, Riyadh. L’avion du président Xi Jinping est escorté par quatre chasseurs de l’armée saoudienne qui dessinent les couleurs chinoises dans le ciel. Le prince Faisal bin Bandar Al Saud l’accueille sur le tarmac pour le premier sommet historique Chine-États arabes. Signature de la Déclaration de Riyadh, renforcement du partenariat stratégique entre Pékin et Riyad. Ça ne rigole pas !

Mais pendant que les diplomates négocient dans les salles officielles, Phantom Taurus est déjà dans leurs systèmes. Les hackers infiltrent les serveurs Exchange des ministères des affaires étrangères qui participent au sommet. Leur mission : fouiller les emails contenant les noms “Xi Jinping” et “Peng Liyuan” pour savoir ce que les pays arabes pensent VRAIMENT de ce rapprochement avec la Chine.

En surface, tout le monde sourit pour les photos officielles mais en coulisses, les services chinois lisent en temps réel les communications diplomatiques confidentielles de leurs nouveaux “partenaires stratégiques”. C’est ça, l’espionnage moderne.

L’histoire commence réellement en juin 2023 quand les analystes de Unit 42 détectent des activités suspectes qu’ils classent sous le code CL-STA-0043. Un cluster d’activité malveillante parmi des centaines d’autres, sauf que celui-là sent plutôt “bon”. Pendant des mois, les chercheurs accumulent les preuves, connectent les points, observent les patterns.

Mai 2024, le cluster est promu “temporary threat group” avec un nom de code évocateur : Operation Diplomatic Specter. Spectre Diplomatique. Ça sonne comme un bouquin de Tom Clancy version cyberpunk. Mais ce n’est qu’après une année supplémentaire d’investigation que Unit 42 franchit le cap et baptise officiellement ce groupe : Phantom Taurus.

Pourquoi Taurus ? Hé bien parce que chez Unit 42, tous les groupes chinois portent le nom de la constellation du Taureau. Taurus pour la Chine, Ursa pour la Russie, Pisces pour la Corée du Nord, Serpens pour l’Iran. Et Phantom ? Tout simplement parce que ce groupe est littéralement un fantôme, capable d’opérer dans l’ombre pendant des années sans se faire remarquer.

Et si Phantom Taurus est un groupe fantôme, alors NET-STAR est son arme invisible. C’est une suite de malwares entièrement développée en .NET, spécialement conçue pour infiltrer les serveurs IIS et le joyau de cette collection s’appelle IIServerCore.

IIServerCore c’est une backdoor modulaire et fileless. Cela veut dire qu’elle opère entièrement en mémoire dans le processus w3wp.exe d’IIS. Rien sur le disque dur, rien dans les logs classiques. Fantôme, je vous dis. Son point d’entrée est un web shell ASPX nommé OutlookEN.aspx qui contient un binaire compressé en Base64. Ainsi, quand le web shell s’exécute, il charge IIServerCore directement dans la mémoire et l’attaque commence.

Et ses capacités sont impressionnantes : opérations sur le système de fichiers, accès aux bases de données, exécution de code arbitraire, gestion de web shells, contournement des solutions de sécurité, et chiffrement de toutes les communications avec le serveur C2.

Le deuxième outil, AssemblyExecuter, charge et exécute des assemblies .NET additionnels directement en mémoire. Sa version 2 inclut même des méthodes dédiées pour contourner AMSI (Antimalware Scan Interface) et ETW (Event Tracing for Windows). Résultat, Phantom Taurus peut exécuter du code malveillant même dans des environnements ultra-surveillés sans déclencher d’alerte.

Un détail que j’ai trouvé particulièrement malin dans leur manière de procéder c’est leur technique de timestomping . En gros, c’est l’art de modifier les métadonnées temporelles d’un fichier pour le faire passer pour un vieux fichier légitime.

Phantom Taurus a donc timestompé le web shell OutlookEN.aspx pour qu’il corresponde au timestamp d’un autre fichier ASPX déjà présent sur le système. Ils ont aussi modifié le temps de compilation des backdoors NET-STAR vers une date future aléatoire. C’est tordu, mais dans une investigation forensique, un analyste qui voit un fichier ASPX avec un timestamp de 2018 va naturellement penser qu’il est légitime et ne va pas creuser plus loin.

Bref, pendant longtemps, Phantom Taurus s’est concentré sur l’exfiltration d’emails via des serveurs Microsoft Exchange compromis. Ils exploitaient des vulnérabilités connues comme ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473), puis cherchaient des emails contenant des mots-clés liés aux intérêts chinois : données militaires, infos sur les télécommunications et l’énergie, mentions de Xi Jinping, Joe Biden et autres leaders politiques.

Mais début 2025, le groupe fait évoluer sa stratégie. Au lieu de se limiter aux emails, ils commencent à cibler directement les bases de données SQL Server. Pour cela, ils sortent un outil fait maison, un script batch nommé mssq.bat qui se connecte au serveur SQL avec le compte sa préalablement obtenu, exécute des requêtes dynamiques avec des keywords spécifiques, et sauvegarde les résultats au format CSV. Le script est exécuté à distance via Windows Management Instrumentation (WMI) et les chercheurs les ont observés chercher des documents relatifs à l’Afghanistan et au Pakistan.

Cette évolution montre surtout une chose : Phantom Taurus s’adapte. Ce passage de l’email mining au database mining leur permet d’obtenir bien plus de données qu’ils ne pourraient en trouver dans des conversations par email.

Et surtout, Phantom Taurus ne travaille pas en vase clos. Il partage une infrastructure opérationnelle avec d’autres groupes chinois connus comme Iron Taurus (APT27), Starchy Taurus (Winnti, APT41), et Stately Taurus (Mustang Panda). Les serveurs C2 qu’ils utilisent ont les mêmes adresses IP, les mêmes domaines malveillants, les mêmes informations de registration.

Mais attention, même s’ils partagent l’infrastructure, Phantom Taurus maintient une compartimentation opérationnelle stricte. Les composants spécifiques de NET-STAR n’ont jamais été observés dans les opérations des autres groupes. C’est comme s’ils louaient un datacenter commun, mais que chacun avait ses propres serveurs et outils. Ça permet de mutualiser les coûts tout en préservant le secret des opérations.

Maintenant, est ce que vous savez ce qui différencie vraiment Phantom Taurus des autres APT ? C’est leur obsession pour la persistence. En effet, la plupart des groupes, quand ils se font détecter publiquement, disparaissent pendant des semaines voire des mois pour se refaire une santé. Mais pas Phantom Taurus qui refait surface en quelques heures ou jours après avoir été détectés.

Unit 42 a ainsi documenté un cas où Phantom Taurus avait maintenu un accès à un réseau pendant presque deux ans, avec des exfiltrations périodiques de données sensibles au bon moment. Cette approche révèle la nature stratégique de leurs opérations. Ces accès soutenus à long terme leur permettent de revenir piocher de l’information chaque fois qu’un événement géopolitique important se profile.

Après pour vraiment comprendre Phantom Taurus, il faut le replacer dans le contexte plus large de l’espionnage cyber chinois. Par exemple, l’attaque contre le siège de l’Union Africaine à Addis-Abeba, financé et construit par la Chine est un cas assez emblématique de leur mode opératoire.

Durant cinq ans, chaque nuit entre minuit et 2h du matin, toutes les données du siège de l’UA étaient transférées vers des serveurs à Shanghai. Quand l’UA a voulu acheter ses propres serveurs, la Chine a “généreusement” offert de les fournir gratuitement. Du coup, ils se sont retrouvés avec des serveurs pré-compromis installés au cœur même de l’organisation panafricaine.

Les équipes techniques ont même découvert par la suite, des microphones cachés dans les murs et les bureaux…

Phantom Taurus est en réalité un outil parmi d’autres dans l’arsenal cyber chinois. C’est un outil spécialisé dans l’espionnage diplomatique et les télécommunications. Du coup, pour contrer leurs attaques, Palo Alto Networks a mis à jour ses produits de sécurité pour détecter NET-STAR. Ils ont par exemple upgradé leur logiciel Cortex XDR pour relever quand le processus w3wp.exe spawne des processus enfants suspects comme cmd.exe ou powershell.exe. Comme ça, même si IIServerCore est fileless et opère en mémoire, Cortex XDR peut le détecter.

Aujourd’hui encore, Phantom Taurus est toujours actif. Les dernières activités observées datent de quelques mois seulement avant la publication du rapport de Unit 42 mais maintenant que le groupe est exposé publiquement, ils vont probablement modifier leurs outils, changer leur infrastructure, et développer de nouvelles techniques d’évasion.

Mon pari c’est qu’ils vont upgrader NET-STAR, modifier quelques TTPs (Tactiques, techniques et procédures) pour éviter les détections connues, mais garder leur approche fondamentale d’accès long terme, d’exfiltration opportuniste, et de synchronisation avec les événements géopolitiques.

Bah oui, pourquoi changer une recette qui marche ?

Voilà, c’est la fin de l’histoire… En tout cas pour l’instant car pendant que tout le monde se focalise sur les gros ransomwares et les attaques spectaculaires, Phantom Taurus continue tranquillement et discrètement à aspirer les secrets diplomatiques du monde entier…

Sources : Unit 42 - Phantom Taurus: A New Chinese Nexus APT , Palo Alto Networks - Defending against Phantom Taurus with Cortex , CISA - Countering Chinese State-Sponsored Actors , Council on Foreign Relations - African Union Bugged by China


Sam Altman, Elon Musk et leurs copains courent après l’IA qui “pense” comme nous grâce notamment à des machines qui calculent plus vite que nos cerveaux, mais on n’a jamais vraiment réussi à créer des circuits électroniques qui parlent VRAIMENT à nos cellules. Enfin, jusqu’à maintenant.

Des chercheurs de l’Université du Massachusetts viennent de publier une étude dans Nature Communications qui explique un truc assez dingue. Ils ont fabriqué des neurones artificiels qui fonctionnent exactement comme les vrais. Ce qui est fou, c’est pas qu’ils imitent le cerveau, c’est qu’ils utilisent le même langage que nos cellules.

Leur super astuce ? Des nanofils protéiques extraits d’une bactérie qui s’appelle Geobacter sulfurreducens. C’est une bactérie qui vit dans les sédiments et les sols anaérobies (là où y’a pas d’oxygène) et elle a un super-pouvoir qui est de produire de l’électricité. Les chercheurs Shuai Fu et Jun Yao ont donc eu l’idée de prendre ces nanofils protéiques pour construire des “memristors” (une sorte de résistance à mémoire) qui fonctionnent pile-poil aux mêmes voltages que nos neurones biologiques.

Avant, les neurones artificiels fonctionnaient donc à 0,5 volt minimum alors que les vrais neurones dans notre corps tournaient entre 70 et 130 millivolts (soit environ 0,1 volt). C’était donc comme essayer de parler anglais avec quelqu’un qui parle français en gueulant plus fort… ça marchait pas terrible.

Du coup, grâce à cette découverte, Jun Yao et son équipe ont réussi à créer le premier composant électronique qui parle exactement la même langue électrique que nos cellules. Et pour le prouver, ils ont fait un truc de malade. Ils ont branché ces neurones artificiels sur de vraies cellules cardiaques humaines (des cardiomyocytes)… et ça a marché ! Les neurones artificiels ont détecté en temps réel les changements d’activité des cellules quand elles étaient exposées à de la noradrénaline.

Ça ouvre ainsi la voie par exemple à des capteurs corporels qui comprennent vraiment ce que disent nos cellules, à des prothèses intelligentes qui réagissent naturellement, à des interfaces cerveau-machine qui ne forcent plus la communication…etc. Le neuromorphic computing devient enfin biocompatible.

Bon, évidemment je vous vois venir avec vos questions sur les implants cérébraux et tout le tralala futuriste à la Elon Musk mais calmos. On en est pas encore là. Mais on vient peut-être de franchir une frontière un peu bizarre qui est celle où nos machines arrêtent d’imiter le vivant pour commencer à vraiment dialoguer avec lui.

Et tout ça grâce à une bactérie qui bouffe du métal dans la boue sans oxygène…

C’est beau la science, non ?

Source


OpenAI vient de lancer Sora 2 , son générateur de vidéos par IA et le truc, c’est que si vous êtes créateur de contenu, vous devez opt-out manuellement pour éviter que vos œuvres servent à entraîner le modèle. Pas d’opt-in par défaut, pas de respect automatique du droit d’auteur. C’est à vous de faire la démarche pour dire non.

Selon Cartoon Brew , la politique d’OpenAI oblige donc les détenteurs de droits à signaler chaque violation spécifique. Pas de formulaire global genre “je refuse que vous utilisiez mes trucs”. Non, vous devez rapporter chaque contenu un par un si vous le trouvez dans les datasets d’entraînement…

Le problème, c’est que personne sait vraiment ce qu’OpenAI a utilisé pour entraîner Sora. Il y a des rumeurs sur l’utilisation massive de vidéos YouTube, de contenus de jeux vidéo, de films, mais OpenAI reste hyper flou sur les sources. Du coup, comment vous voulez opt-out de quelque chose dont vous ignorez l’existence dans leur base de données d’entrainement ?

Et malheureusement, cette approche opt-out est la norme chez les géants de l’IA… Meta, Google, OpenAI, tous adoptent le même principe qui est on prend d’abord, et vous vous opposez après si vous avez le courage. Le fardeau de la preuve et de la protection repose donc sur les créateurs, et pas sur les entreprises qui exploitent les contenus. De quoi faire encore grincer des dents !

Maintenant, pour les personnalités publiques, OpenAI a mis en place un système de cameo … Cela veut dire que si quelqu’un veut générer une vidéo avec votre visage ou votre voix, il faut votre permission explicite. C’est un début, mais ça ne couvre que les cas évidents… Il n’y a rien de tel par exemple pour les styles artistiques, les techniques de réalisation, les univers visuels créés par des artistes et j’en passe…

Bref, les experts juridiques commencent donc à s’inquiéter car ce modèle d’opt-out pose des problèmes de droit d’auteur majeurs, surtout dans des pays comme la France où le droit moral est inaliénable. Vous ne pouvez pas par exemple renoncer à vos droits d’auteur même si vous le voulez. Donc comment une politique opt-out peut-elle être légale alors qu’elle force la main aux créateurs pour abandonner leurs droits par défaut ?

Et la situation devient encore plus complexe avec les contenus sous licence restrictive car des chaînes YouTube ont des CGU qui interdisent l’utilisation commerciale de leurs vidéos et les jeux vidéos ont des EULA qui limitent l’exploitation de leurs assets. Cela veut donc dire que Sora s’assoit sur tout ça en considérant que l’absence d’opt-out équivaut à un consentement.

Pour sa défense, OpenAI nous explique que l’entraînement d’IA relève du fair use aux États-Unis mais le problème, c’est que cette jurisprudence n’existe pas partout. En Europe par exemple, le règlement sur l’IA impose des obligations de transparence et de traçabilité sur les données d’entraînement et OpenAI le sait très bien et joue avec ce flou entre les différentes juridictions.

Puis ce système de signalement proposé par OpenAI est aussi hyper critiquable car c’est, comme je vous l’expliquais, à vous de prouver que votre contenu a été utilisé pour l’entraînement. Mais alors comment faire quand les datasets ne sont pas publics ??? Comment vérifier que Sora a bien appris à partir de vos vidéos si vous n’avez pas accès aux données d’entraînement ???

Certains créateurs envisagent donc déjà des recours collectifs car si OpenAI a effectivement utilisé des millions de vidéos YouTube sans autorisation, ce serait une violation massives du droit d’auteur… Est-ce que développer une IA générative justifie de récupérer tout ce travail créatif humain sans apporter ni compensation ni consentement ?

OpenAI sembler penser que oui et mise sur l’inertie des créateurs et la complexité de ses démarches d’opt-out pour continuer son petit business…

Mais en attendant, si vous voulez protéger vos créations de Sora, vous devez aller sur le site d’OpenAI, trouver le formulaire de signalement , prouver que vous êtes le détenteur des droits, identifier chaque contenu concerné, et espérer qu’OpenAI respecte votre demande.

C’est donc la lose pour les créateurs, c’est sûr. Comme je le disais dans un de mes précédents articles sur le sujet, ce dont on a besoin maintenant c’est de cohérence et de clarté au niveau des lois, car là on discute des détails mais la question du “vol” par ces GAMMO (Google / Anthropic / Meta / Microsoft / OpenAI) n’est pas vraiment tranchée au niveau de la loi. J’ai l’impression que ça traine et que personne n’est pressé de trancher la question car ça arrange bien tout le monde (sauf les créateurs).


Vous voulez regarder une vidéo YouTube avec des potes qui habitent à l’autre bout du monde sans que ça rame ? Ou vous devez faire une démo produit à un client sans avoir à lui envoyer 50 captures d’écran ? Ou mieux vous avez besoin d’un navigateur jetable qui ne laisse aucune trace après utilisation ?

Et bien pour tout ça et plus encore, voici Neko , un navigateur virtuel auto-hébergé qui tourne dans Docker et utilise WebRTC pour streamer l’écran à plusieurs utilisateurs en même temps. C’est un outil développé par m1k1o et ça permet de créer très facilement des sessions de navigation partagées avec une latence inférieure à 300 millisecondes.

Vous lancez donc Neko sur votre serveur Docker, vous accédez à l’interface web, et vous avez un navigateur complet qui tourne dans le cloud. Plusieurs personnes peuvent se connecter à la même session et voir exactement le même écran en temps réel. L’hôte de la session peut également donner ou retirer le contrôle aux participants. Un peu comme quand on partage son écran sur Zoom, mais en mieux parce que tout le monde voit le même flux avec une qualité parfaite.

D’ailleurs, la technologie derrière est plutôt intéressante puisque ça utilise du WebRTC. Ainsi, le flux média ne transite pas par un serveur centralisé mais directement en peer-to-peer entre les navigateurs. Les médias circulent via SRTP et les données via SCTP, du coup, vous avez un streaming ultra-fluide avec synchronisation audio et vidéo impeccable.

Neko affiche sur son site plusieurs cas d’usage assez pratiques. Vous pouvez par exemple organiser des watch party pour regarder des films ou séries ensemble. Vous pouvez aussi pourquoi pas faire des présentations interactives où tout le monde voit la même chose en direct. Vous pouvez l’utiliser pour du support technique à distance en montrant exactement sur quoi cliquer. Ou tout pour du debugging collaboratif quand vous galérez sur un bug avec un collègue.

Le projet supporte aussi l’automatisation avec Playwright ou Puppeteer, donc vous pouvez scripter des actions dans le navigateur virtuel. Pratique si vous devez faire des tests automatisés ou des interactions complexes sur des sites web.

Niveau sécurité et vie privée, Neko propose deux modes. Le mode persistent browser garde les sessions entre les connexions, donc vous pouvez retrouver vos onglets et votre historique. Et le mode throwaway browser qui crée une session isolée qui est détruite après utilisation, sans historique, cookies ou cache. Zéro trace !

Vous pouvez aussi l’utiliser comme jump host (hôte relais quoi…) pour accéder à des ressources internes de votre réseau sans exposer directement ces ressources. Ou pour protéger la propriété intellectuelle en permettant à des gens de consulter des documents sensibles sans pouvoir les télécharger ou les copier.

L’installation se fait via Docker avec plusieurs images disponibles puisque vous avez le choix entre Firefox, Chrome, Brave et d’autres navigateurs. Le projet est d’ailleurs assez complet avec des projets satellites comme Neko Rooms pour gérer plusieurs salles, Neko Apps pour créer un environnement virtuel complet dans le navigateur, et Neko VPN pour des connexions sécurisées. Vous pouvez même broadcaster sur Twitch, YouTube ou n’importe quel service compatible RTMP directement depuis Neko.

Notez que Neko ne se limite pas qu’aux navigateurs puisque vous pouvez faire tourner n’importe quelle application Linux dedans, comme VLC par exemple. C’est en réalité plutôt une machine virtuelle streamée qu’un simple navigateur.

Le projet est sous licence Apache 2.0, donc c’est complètement open source et il y a aussi un serveur Discord actif pour échanger avec la communauté.

Bref, si vous cherchez une alternative aux solutions propriétaires pour le partage d’écran ou les watch party, Neko fera le job. Et comme c’est auto-hébergeable et hyper flexible, vous gardez le contrôle sur vos données tout en ayant une grande liberté sur l’usage que vous en ferez ! A tester donc !

Merci à Lorenper pour le partage.


Vous téléchargez une image sur le web et vous vous retrouvez avec un fichier WebP ou AVIF que votre logiciel de retouche refuse d’ouvrir ? Vous vouliez juste une image en JPG ou PNG normale quoi, mais ce foutu site vous force à récupérer un format trop récent pour votre logiciel graphique préféré, genre Photoshop. C’est la lose !

Heureusement, voici WebP / Avif image converter , une extension Firefox développée par Nullbrains qui règle ce souci en un clic droit. L’idée est simple, vous faites un clic droit sur n’importe quelle image WebP ou AVIF, vous choisissez “Convert and save image” dans le menu contextuel, et l’extension convertit automatiquement l’image en JPG ou PNG avant de l’enregistrer sur votre disque.

L’extension propose des réglages avancés pour la qualité de l’image et la conversion. Vous pouvez configurer l’emplacement de téléchargement et le nom du fichier. Elle supporte également d’autres types d’images au-delà de WebP et AVIF et les permissions demandées sont assez standards : stockage, téléchargements, menus contextuels, et accès à toutes les URLs pour pouvoir convertir les images de n’importe quel site.

Malgré ses avantages, WebP a une compatibilité limitée. Bien que les navigateurs modernes comme Chrome, Firefox et Edge le supportent, certains logiciels et anciens navigateurs ne le prennent pas en charge. Et pour AVIF, c’est encore pire puisque le format est encore plus récent.

D’ailleurs, ce format mérite qu’on s’y attarde deux secondes. C’est celui que j’utilise ici sur mon site car AVIF combine une qualité d’image exceptionnelle avec des fichiers ultra-légers. Publié en 2019 par l’Alliance for Open Media, il compresse 30% mieux que WebP et jusqu’à 50% mieux que JPEG. Et tous les navigateurs modernes le supportent ! Même WordPress a même ajouté le support AVIF nativement.

Mais bon, même si tous ces nouveaux formats sont très cools, si vous en avez marre de jongler avec des convertisseurs en ligne qui vous limitent à 5 images par jour, cette extension Firefox fera le boulot discrètement. Un clic droit, une conversion, et vous avez votre JPG ou PNG à l’ancienne, prêt à l’emploi

Merci à Lorenper pour le partage !


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles