Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

@  — 

2 bidouilleurs viennent de prouver qu’avec un peu d’astuce et beaucoup de persévérance, on pouvait cracker les coffres-forts numériques les mieux gardés.

Leur cible ? Un wallet Bitcoin contenant la bagatelle de 3 millions de dollars, verrouillé par un mot de passe de 20 caractères généré par le gestionnaire de mots de passe Roboform en 2013. Le propriétaire, un certain Michael, avait perdu ce sésame et pensait son magot à jamais inaccessible. Mais c’était sans compter sur la détermination de Joe Grand et de son pote Bruno, bien décidés à relever le défi.

Michael, propriétaire de la cryptomonnaie depuis 2013, avait stocké ses 43,6 BTC (valant environ 5 300 dollars à l’époque et environ 3 millions aujourd’hui) dans un fichier chiffré par TrueCrypt contenant le mot de passe généré par Roboform, qu’il n’avait pas entré dans le gestionnaire de mots de passe par peur d’un hack. Malheureusement, le fichier chiffré s’est retrouvé corrompu, et Michael perdit l’accès à son portefeuille.

Joe Grand, ingénieur électrique et hacker de renom, avait refusé la première demande d’aide de Michael en 2021, jugeant la tâche irréalisable sans une faille dans Roboform. Cependant, en 2022, Michael a retenté sa chance. Après des mois à décortiquer le code de Roboform, Joe Grand et Bruno découvrirent que les anciennes versions d’avant 2015, utilisaient une méthode de génération de mots de passe basée sur l’horloge du système. En connaissant la date et l’heure exacte de création, ainsi que les paramètres du mot de passe, ils ont alors pu reconstituer le mot de passe d’origine.

Initialement, Michael ne se souvenait pas de la date précise de génération de son mot de passe. Selon les journaux de son portefeuille, il avait commencé à y transférer des Bitcoins le 14 avril 2013. En analysant la chronologie et les paramètres habituels, Joe et Bruno cherchèrent d’abord dans la plage du 1er mars au 20 avril 2013, puis jusqu’au 1er juin 2013, sans succès. Ce n’est qu’après de multiples ajustements, et en excluant les caractères spéciaux, qu’ils parvinrent à générer le mot de passe correct créé le 15 mai 2013 à 16:10:40 GMT.

La faille se trouvait dans l’algorithme de génération des mots de passe des anciennes versions de Roboform, qui n’était pas aussi aléatoire que prétendu. Elle permettait de reconstituer un mot de passe en manipulant l’horloge de l’ordinateur pour remonter dans le temps. Tout est expliqué dans la vidéo ci-dessous :

Il est à noter que depuis la version 7.9.14 de juin 2015, Roboform affirme avoir corrigé cette faille et avoir amélioré la génération aléatoire des mots de passe. Cepandand, Joe Grand reste sceptique face à cette déclaration de Roboform car ces derniers n’ont pas recommandé explicitement aux utilisateurs de générer de nouveaux mots de passe pour leurs comptes après cette mise à jour, ce qui laisse potentiellement des mots de passe vulnérables en circulation.

Bref, un mot de passe n’est pas infaillible même s’il est généré par un outil réputé et il vaut mieux utiliser des phrases de passe longues et complexes, les changer régulièrement et activer la double authentification partout où c’est possible. N’ayez pas non plus une confiance aveugle dans les générateurs de mots de passe, surtout s’ils ont quelques années au compteur.

Bref, soyez prudent et bien joué Michael, pour qui la vie va sûrement changer à partir de maintenant.

Source

@  — 

Ça y est, les amis, l’API WebNN débarque enfin en preview pour les développeurs, et croyez-moi, ça va changer totalement la manière dont on fait tourner de l’IA dans nos navigateurs web !Grâce à cette techno, on va pouvoir profiter de la puissance de nos GPU et autres accélérateurs matériels directement depuis nos pages web, sans avoir à installer le moindre plugin ou logiciel supplémentaire.

Concrètement, WebNN est une API JavaScript qui va permettre aux applications web d’exécuter des tâches d’inférence de réseaux neuronaux de manière super efficace, en exploitant à fond les capacités des CPU, GPU et autres processeurs dédiés à l’IA (les fameux NPU et TPU). Fini les calculs qui rament, bonjour la fluidité et la réactivité, même pour les modèles les plus gourmands !

WebNN est complètement agnostique côté matériel et côté modèles. Quel que soit le hardware qu’on a sous le capot (Intel, AMD, NVIDIA, Qualcomm…) et le format des modèles (ONNX, TensorFlow…), cette API va nous permettre de tirer parti un maximum des ressources disponibles, tout ça de manière transparente, sans avoir à se prendre la tête avec des lignes de code spécifiques à chaque plateforme.

Cette API suit un modèle de programmation super simple en deux grandes étapes :

  • 1. La construction du modèle : on utilise l’API MLGraphBuilder pour définir notre réseau de neurones, ses opérations, ses entrées et ses sorties et une fois que c’est fait, on peut le compiler en un graphe exécutable.
  • 2. L’exécution du modèle : maintenant qu’on a notre super graphe optimisé, il ne reste plus qu’à lui envoyer nos données d’entrée, et il va nous fournir ses prédictions et classifications à toute vitesse !

Grâce à WebNN, les tâches d’inférence de machine learning sont accélérées par le matériel local, ce qui offre des performances améliorées et une faible latence, même sans connexion internet ou avec une connexion non fiable. De plus, les données restent sur la machine de l’utilisateur, ce qui préserve ainsi sa vie privée.

WebNN est conçu pour fonctionner avec DirectML sur Windows, lequel assure des performances optimales sur divers matériels, notamment les RTX GPUs de NVIDIA, les Intel Core Ultra avec Intel AI Boost, et les Copilot+ PC avec des NPU Qualcomm Hexagon. Ça ouvre la porte à des applications évoluées de génération d’IA, de reconnaissance d’images, de traitement du langage naturel, et bien d’autres cas d’utilisation tout à fait passionnants.

Si vous voulez vous lancer dès maintenant avec WebNN, je vous conseille fortement de visiter le dépôt WebNN Developer Preview sur GitHub. Vous y trouverez plein de démos et d’exemples de code pour vous familiariser avec l’API et ses fonctionnalités. Par contre, vous devrez télécharger Edge en version Canary et la dernière Insider de Windows 11 puis dans la barre d’URL, tapez edge://flags/ pour pouvoir ensuite activer WebNN.

Pour plus de détails, vous pouvez consulter le tutoriel officiel de Microsoft.

Un grand merci au super neurone NexusSeven pour les sources de cet article !

Source

@  — 

Et si la reconnaissance faciale devenait monnaie courante en France ? Partout où vous allez, des caméras scrutent votre visage, comparent vos traits à une gigantesque base de données, et vous identifient en temps réel. Aux chiottes l’anonymat dans l’espace public, Big Brother vous observe, tout le temps, où que vous soyez. Ça fout les jetons, pas vrai ?

Et pourtant, c’est ce genre de scénario qui risque de se concrétiser si on n’y prend pas garde. Les autorités françaises multiplient les expérimentations de technologies de surveillance plus intrusives les unes que les autres avec de la reconnaissance faciale à l’entrée des lycées, de l’analyse des comportements par vidéosurveillance algorithmique dans les gares, de l’identification des supporters dans les stades… Ça part dans tous les sens !

Alors quand il s’agit de vérifier son identité à l’aéroport pour passer plus vite ou de déverrouiller notre smartphone, pourquoi pas mais quand il s’agit d’identifier automatiquement et pister les gens à leur insu, en permanence, dans l’espace public, ça s’appelle de la surveillance de masse. Et c’est très dangereux pour nos libertés fondamentales.

C’est une atteinte disproportionnée à notre droit à la vie privée car être épié en continu, sans rien avoir à se reprocher, juste parce qu’on met le nez dehors, ça reste inacceptable dans une société démocratique et ça menace également sérieusement le droit de manifester et la liberté d’expression. Si on sait qu’on sera identifié et fiché dès qu’on participe à un rassemblement, les gens vont y réfléchir à 2 fois avant de descendre dans la rue. Bref, c’est la porte ouverte à l’autocensure et au musellement de toute contestation.

Enfin, on sait que la reconnaissance faciale est loin d’être infaillible. Elle fait beaucoup d’erreurs, surtout sur les visages noirs et métissés. Du coup, il y a un gros risque d’aggravation des discriminations et de ciblage de certaines populations. Sans parler du fait que ces outils high-tech entre les mains des régimes autoritaires, c’est un cauchemar assuré pour les opposants et les minorités…

Bref, la reconnaissance faciale appliquée à la surveillance de masse, c’est non comme l’illustre très bien le court-métrage d’Amnesty International que je vous invite à regarder :

Tout cela nous rapproche dangereusement d’une société de contrôle façon 1984 ou Minority Report et perso, c’est pas le futur dont je rêve !

Heureusement, tout n’est pas perdu puisqu’en France, la CNIL veille au grain et recadre régulièrement les velléités sécuritaires abusives du mieux qu’elle peut. Mais face à la pression et avec ses moyens limités, ça ne suffira pas. Il faudrait surtout une loi claire pour interdire purement et simplement la reconnaissance faciale à des fins d’identification dans l’espace public, autrement les garde-fous sauteront les uns après les autres.

Bref, c’est ce que réclame Amnesty International avec sa campagne lancée à l’occasion des Jeux olympiques. L’objectif, c’est de créer une prise de conscience et de pousser nos élus à légiférer avant qu’il ne soit trop tard. parce qu’une fois que la reconnaissance faciale se sera répandue comme une traînée de poudre, ce sera beaucoup plus dur de revenir en arrière…

D’ailleurs, vous pouvez aussi agir en signant la pétition d’Amnesty International pour dire « Non à la reconnaissance faciale en France »

En espérant que ce court-métrage ne devienne pas notre quotidien.

Source

@  — 

Microsoft dévoile une nouvelle fonctionnalité qui va faire frétiller d’impatience les gamers sur Windows 11, et plus particulièrement les utilisateurs de machines équipées d’une puce Qualcomm Snapdragon X : j’ai nommé Auto SR, pour « Automatic Super Resolution ». Derrière ce nom qui claque se cache ni plus ni moins qu’une solution d’upscaling basée sur l’IA, dans la lignée de DLSS chez NVIDIA ou de FSR chez AMD.

Concrètement, c’est quoi l’upscaling ?

Et bien imaginez que vous jouiez sur un écran 4K mais que votre GPU a du mal à suivre et affiche une résolution native bien inférieure, genre du 1080p. L’upscaling va permettre d’augmenter artificiellement la résolution de l’image en 4K et vous offrir un rendu bien plus détaillé, tout en préservant vos précieux FPS. Alors bien sûr Auto SR a quelques limitations puisqu’il est réservé pour le moment uniquement aux puces Snapdragon X qui intègrent un NPU (le processeur dédié à l’IA). Et ensuite, ça ne fonctionne qu’avec les jeux natifs ARM ainsi que certains titres DirectX 11 et 12 (oubliez DirectX 8 / 9, OpenGL / Vulkan).

Auto SR ne supporte également pas les résolutions d’affichage inférieures à 1080p ni le HDR, ce qui est dommage si vous avez un OLED ou IPS de haute qualité. Il faudra aussi parfois mettre les mains dans le cambouis et éditer des clés de registre pour activer des options. Bref, pas super user-friendly tout ça…

Mais des gros jeux comme The Witcher 3, God of War ou Borderlands 3 sont d’ores et déjà compatibles. Et pour les autres, un petit tour sur le site Worksonwoa.com vous permettra de savoir s’ils peuvent profiter des bienfaits de l’upscaling automatique.

Pour ajuster le paramètre Auto SR par défaut, allez dans Paramètres > Système > Affichage > Graphiques et activez la super résolution automatique dans les paramètres par défaut.

Lorsque vous lancez un jeu compatible avec Auto SR, une notification apparaîtra pour confirmer que la super résolution automatique est activée.

Vivement qu’on puisse tester ça en tout cas !

Source

@  — 

Vous pensiez être tranquille chez vous, à l’abri des regards indiscrets et bien désolé de casser l’ambiance, mais j’ai une mauvaise nouvelle pour vous : votre box Wi-Fi vous espionne ! Enfin, pas directement, hein, mais figurez-vous que des chercheurs en sécurité ont trouvé le moyen de vous géolocaliser en douce, simplement en capturant l’identifiant unique de votre routeur appelé également BSSID (Basic Service Set Identifier).

En effet, il existe des systèmes de géolocalisation par Wi-Fi (WPS – Wi-Fi Positioning System), comme celui d’Apple, qui utilisent les BSSID comme balises pour vous localiser. En gros, dès qu’un iPhone ou un Mac capte votre réseau WiFi, le BSSID de celui-ci et votre position sont envoyés directement dans la base de données d’Apple. Et après, n’importe qui peut interroger ce WPS pour savoir où vous êtes sans avoir besoin d’être un hacker professionnel… il suffit juste de connaître l’astuce.

Cette équipe de chercheur a donc démontré la vulnérabilité principale de ce système en développant une attaque permettant de collecter des millions de BSSID géolocalisés sans avoir besoin d’autorisation. Leur méthode est simple : ils bombardent le WPS d’Apple avec des BSSID générés au hasard, en se basant sur des plages d’adresses MAC officielles et le système répond en donnant la localisation du BSSID et, très souvent, les coordonnées d’environ 400 autres BSSID à proximité.

En un an, ils ont ainsi réussi à constituer une base de données impressionnante : plus de 2 milliards de BSSID, répartis partout dans le monde ! Même en Antarctique ou sur l’île isolée de Tristan da Cunha, il n’y a pas moyen d’y échapper. Le seul endroit qui résiste encore est la Chine continentale. On suppose que le gouvernement là bas a mis en place des restrictions légales pour éviter cela.

Mais le pire, c’est que lorsqu’ils ont suivi les routeurs Wi-Fi nomades, ils ont découvert que 76% de ces appareils pouvaient être traqués sur des distances considérables, soit en moyenne 100 kilomètres ! Ça permet comme ça de suivre les déplacement des utilisateurs qui se promènent avec leur routeur portable.

Alors pourquoi quelqu’un s’intéresserait à votre position ? Hé bien cette technique pourrait être utilisé par un harceleur pour vous suivre à distance ou par les gouvernements pour connaitre vos aller-retours. Mais ça permet aussi de suivre les mouvements dans des zones de conflit.

Alors que faire pour empêcher ça ?? Premièrement, il faudrait qu’Apple et les autres entreprises cessent de distribuer nos BSSID si librement. Une limitation du nombre de requêtes et un meilleur filtrage seraient un bon point de départ. Le top serait que les fabricants de routeurs implémentent une randomisation des BSSID, comme c’est déjà le cas sur les appareils Apple quand ils sont en mode hotspot. SpaceX a d’ailleurs déjà montré l’exemple avec ses derniers modèles Starlink. Ce serait bien que les autres suivent le mouvement maintenant.

En attendant, si vous tenez à votre vie privée, le seul truc à faire est de changer régulièrement de matériel, surtout quand vous vous déplacez et d’éviter de transporter le même routeur du travail à la maison ou de l’appartement au camping-car. Et si vous êtes un peu bricoleur et que vous avez un accès root à votre routeur, sachez qu’il est possible de forcer le changement de BSSID à chaque redémarrage en modifiant la configuration de hostapd.

Mais bon, il est clair qu’il y a un sacré risque et des questions éthiques qui se posent sur ces divulguation de nos localisations sans notre consentement.

Pour plus de détails, vous pouvez consulter l’étude complète sur arXiv.